ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности

8.3 SR 4.1 - Конфиденциальность информации

 

8.3.1 Требование

Система управления должна обеспечивать возможность защиты конфиденциальности информации, для которой поддерживается явная авторизация на осуществление операции чтения, будь то хранящаяся или передаваемая информация.

8.3.2 Целесообразность и дополнительная методологическая основа

Защита информации, как хранящейся, так и передаваемой, может обеспечиваться с помощью физических средств, секционирования или шифрования, а также других технологий. Крайне существенно, что та или иная технология выбирается с учетом ее потенциального воздействия на функционирование системы управления и возможности восстановления после системного сбоя или атаки.

Решение о том, следует ли защищать конфиденциальность отдельно взятого фрагмента информации, зависит от контекста и не может быть принято в ходе разработки продукта. Однако тот факт, что организация ограничивает доступ к информации посредством конфигурации явной авторизации на осуществление операции чтения в системе управления, означает, что организация причисляет эту информацию к конфиденциальной. Таким образом, вся информация, для которой система управления поддерживает возможность выдвижения явной авторизации на осуществление операции чтения, по возможности должна причисляться к потенциально конфиденциальной, а значит, система управления по возможности должна также обеспечивать возможность ее защиты.

Различные организации и отрасли промышленности могут требовать разных уровней надежности шифрования для разных категорий информации, в зависимости от степени важности информации, а также промышленных стандартов и регламентных требований (см. 8.5, SR 4.3 - Использование криптографии). В некоторых ситуациях конфиденциальной может считаться информация о конфигурации сети, фиксируемая и обрабатываемая в коммутаторах и маршрутизаторах.

Коммуникации, предполагающие открытую передачу информации, могут быть уязвимы перед несанкционированным извлечением информации или другими несанкционированными вмешательствами. Если система управления привязана к провайдеру сервисов внешних коммуникаций, то может быть сложнее получить необходимые гарантии относительно реализации необходимых требований безопасности для конфиденциальности коммуникации. В таких случаях может быть целесообразно реализовать компенсационные контрмеры или явно принять дополнительный риск.

Субъекты должны быть также по возможности осведомлены о конфиденциальности информации, когда используются портативные и мобильные устройства (например, инженерные лэптопы и USB-накопители).

В соответствии с требованиями 5.7, SR 1.5 - Управление аутентификаторами, аутентификационная информация, такая как пароли, по возможности должна причисляться к конфиденциальной и поэтому никогда не пересылаться в незашифрованном виде.

8.3.3 Требования безопасности

8.3.3.1 SR 4.1 RE 1 - Защита конфиденциальности информации в ходе ее хранения или передачи через недоверенные сети

Система управления должна обеспечивать возможность защиты конфиденциальности информации в ходе ее хранения и сеансов удаленного доступа через недоверенную сеть.

Примечание - Криптография - типичный механизм обеспечения конфиденциальности информации.

 

8.3.3.2 SR 4.1 RE 2 - Защита конфиденциальности при пересечении границ зон

Система управления должна обеспечивать возможность защиты конфиденциальности информации, пересекающей любую границу зоны.

8.3.4 Уровни безопасности

Далее приведены требования для уровней SL, относящихся к SR 4.1 - Конфиденциальность информации:

- SL-C (DC, система управления) 1: SR 4.1;

- SL-C (DC, система управления) 2: SR 4.1 (1);

- SL-C (DC, система управления) 3: SR 4.1 (1);

- SL-C (DC, система управления) 4: SR 4.1 (1) (2).