ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности

7.5 SR 3.3 - Верификация функциональности безопасности

 

7.5.1 Требование

Система управления должна обеспечивать возможность поддержания верификации предполагаемого действия функций безопасности и сообщать об обнаружении аномалий в ходе FAT, SAT и планового техобслуживания. Эти функции безопасности должны включать в себя все те функции, которые необходимы для поддержания требований безопасности, определенных в настоящем стандарте.

7.5.2 Целесообразность и дополнительная методологическая основа

Поставщик продуктов и/или системный интегратор по возможности должны предоставлять методологическую основу на предмет того, как тестировать разработанные элементы управления безопасностью. Собственники объектов должны быть осведомлены о возможных последствиях проведения этих верификационных тестов во время штатных операций. Подробности реализации этих верификаций должны быть определены с тщательным учетом требований непрерывности операций (например, планирования или предварительного уведомления).

Примеры функций верификации безопасности включают в себя:

- верификацию антивирусных мер посредством тестирования файловой системы системы управления с помощью тестового файла EICAR. Антивирусное программное обеспечение по возможности должно обнаружить этот файл, и по возможности должны быть инициированы соответствующие процедуры обработки инцидентов;

- верификацию мер идентификации, аутентификации и мер контроля использования посредством осуществления попыток доступа с неавторизованной учетной записью (для некоторой функциональности это может быть автоматизировано);

- верификацию систем IDS как элемента управления безопасностью посредством включения определенного правила в IDS, которое срабатывает при регистрации нестандартного, но известного невредоносного трафика. После этого может быть проведен тест посредством внесения трафика, который инициирует это правило и соответствующие процедуры IDS по отслеживанию и обработке инцидентов;

- подтверждение того, что регистрация аудита происходит в соответствии с требованиями политик и регламентов безопасности и не деактивирована внутренним или внешним субъектом.

7.5.3 Расширения требований

7.5.3.1 SR 3.3 RE 1 - Автоматизированные механизмы верификации функциональности безопасности

Система управления должна обеспечивать возможность применения автоматизированных механизмов для поддержания управления верификацией безопасности во время FAT, SAT и планового техобслуживания.

7.5.3.2 SR 3.3 RE 2 - Верификация функциональности безопасности во время штатной работы

Система управления должна обеспечивать возможность поддержания верификации предполагаемого действия функций безопасности во время штатных операций.

Примечание - Общепринятой практикой является точная реализация данного требования во избежание отрицательных последствий. Зачастую данное требование считается неподходящим для систем, связанных с физической безопасностью.

 

7.5.4 Уровни безопасности

Далее приведены требования для уровней SL, относящихся к SR 3.3 - Верификация функциональности безопасности:

- SL-C (SI, система управления) 1: SR 3.3;

- SL-C (SI, система управления) 2: SR 3.3;

- SL-C (SI, система управления) 3: SR 3.3 (1);

- SL-C (SI, система управления) 4: SR 3.3 (1) (2).