ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности

7.9 SR 3.7 - Обработка ошибок

 

7.9.1 Требование

Система управления должна идентифицировать и обрабатывать условия, указывающие на ошибки, так, чтобы осуществлялось эффективное устранение ошибок и их последствий. Это должно выполняться таким образом, чтобы не выдавалась информация, которой могут воспользоваться злоумышленники для атак на IACS, если только раскрытие этой информации не требуется для своевременного урегулирования проблем.

7.9.2 Целесообразность и дополнительная методологическая основа

Структура и содержание сообщений об ошибках по возможности должны тщательно учитываться поставщиком продуктов и/или системным интегратором. Сообщения об ошибках, сгенерированные системой управления, по возможности должны предоставлять своевременную и полезную информацию без раскрытия потенциально вредоносной информации, которой могут воспользоваться злоумышленники для неправомерного использования IACS. Может быть не очевидно, является ли отдельно взятое условие, указывающее на ошибку, следствием события безопасности, поэтому все сообщения об ошибках должны быть легкодоступны в ходе реагирования на инциденты. Раскрытие этой информации по возможности должно быть обосновано необходимостью своевременного урегулирования условий, указывающих на ошибки. Руководящие материалы, которые следует учитывать, могут включать в себя требования OWASP Code Review Guide [31].

7.9.3 Расширения требований

Отсутствуют.

7.9.4 Уровни безопасности

Далее приведены требования для уровней SL, относящихся к SR 3.7 - Обработка ошибок:

- SL-C (SI, система управления) 1: не определено;

- SL-C (SI, система управления) 2: SR 3.7;

- SL-C (SI, система управления) 3: SR 3.7;

- SL-C (SI, система управления) 4: SR 3.7.