ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности

7.7 SR 3.5 - Валидация входных данных

 

7.7.1 Требование

Система управления должна выполнять валидацию синтаксической структуры и содержания любых входных данных, которые служат входными данными управления производственными процессами или входными данными, непосредственно воздействующими на работу системы управления.

7.7.2 Целесообразность и дополнительная методологическая основа

Должны по возможности действовать правила проверки актуальности синтаксической структуры входных данных системы управления, например уставок, для верификации того факта, что эта информация не была искажена и согласуется со спецификацией. Входные данные, поступившие к интерпретаторам, по возможности должны проходить предварительную проверку для предотвращения случайной интерпретации содержания как команд. Следует отметить, что это - SR безопасности и потому не учитывает человеческий фактор, например подачу правомерного целого числа, которое лежит вне ожидаемого диапазона.

Общепринятые промышленные практики для валидации входных данных распространяются на значения вне допустимого диапазона для определенного типа поля, недопустимые символы в полях данных, отсутствующие или неполные данные и переполнение буферов. Другие примеры, когда недопустимые входные данные провоцируют проблемы безопасности систем, включают в себя атаки с внедрением SQL-кода, межсайтовый скриптинг или искаженные пакеты (обычно генерируемые тестерами протоколов (protocol fuzzers)). Руководящие материалы, которые следует учитывать, могут включать в себя требования Open Web Application Security Project (OWASP) [31] Code Review Guide.

7.7.3 Расширения требований

Отсутствуют.

7.7.4 Уровни безопасности

Далее приведены требования для уровней SL, относящихся к SR 3.5 - Валидация входных данных:

- SL-C (SI, система управления) 1: SR 3.5;

- SL-C (SI, система управления) 2: SR 3.5;

- SL-C (SI, система управления) 3: SR 3.5;

- SL-C (SI, система управления) 4: SR 3.5.