ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности
3 Термины, определения, сокращения, допущения
3.1 Термины и определения
В настоящем стандарте применены термины и определения по МЭК 62443-1-1 и МЭК 62443-2-1, а также следующие термины с соответствующими определениями:
Примечание - Многие из нижеследующих терминов и определений изначально базируются на соответствующих источниках Международной организации по стандартизации (ИСО), Международной электротехнической комиссии (МЭК) или Национального института стандартов и технологий (NIST) (США), при этом изредка делаются незначительные поправки для лучшей применимости терминов и определений при определении требований к безопасности систем управления.
3.1.1 имущественный объект (объект, актив) (asset): Физический или логический объект, который представляет для IACS ощущаемую или реальную ценность.
Примечание - В настоящем стандарте имущественный объект - это любая единица, которую следует защищать в рамках системы управления безопасностью IACS.
3.1.2 собственник объекта (asset owner): Лицо или организация, отвечающие за один или более IACS.
Примечание 1 - Термин "собственник объекта" используется взамен родового термина "конечный пользователь" в целях их дифференциации.
Примечание 2 - Это определение распространяется на компоненты, являющиеся частью IACS.
Примечание 3 - В контексте настоящего стандарта собственник объекта включает в себя также оператора IACS.
3.1.3 атака (attack): Посягательство на систему, являющееся следствием рациональной угрозы.
Примечание 1 - Например, осмысленное действие, представляющее собой продуманную попытку (особенно в плане метода или стратегии) обойти сервисы безопасности и нарушить политику безопасности системы.
Примечание 2 - Существуют различные общепризнанные типы атак:
- "активная атака" имеет целью преобразовать ресурсы системы или воздействовать на их работу;
- "пассивная атака" имеет целью заполучить или использовать информацию системы без воздействия на ресурсы системы;
- "внутренняя атака" - атака, инициированная субъектом в пределах периметра безопасности ("инсайдером") - т.е. субъектом, который наделен правами на получение доступа к ресурсам системы, но использует их в целях, не одобренных теми, кто предоставил эти права;
- "внешняя атака" - атака, инициированная за пределами периметра безопасности неавторизованным или неуполномоченным пользователем системы (им может быть и инсайдер, атакующий за пределами периметра безопасности). Потенциальными злоумышленниками, осуществляющими внешнюю атаку, могут быть как простые любители пошутить, так и организованные преступные группы, международные террористы и враждебные правительства.
3.1.4 аутентификация (authentication): Обеспечение уверенности в том, что заявляемая характеристика идентичности корректна.
Примечание - Аутентификация обычно - необходимое предварительное условие предоставления доступа к ресурсам в системе управления.
3.1.5 аутентификатор (authenticator): Средство, используемое для подтверждения идентичности пользователя (человека, программного процесса или устройства).
Примечание - Например, в качестве аутентификатора могут использоваться пароль или токен.
3.1.6 аутентичность (authenticity): Свойство соответствия субъекта тому, за кого или за что он себя выдает.
Примечание - Аутентичность обычно употребляется в контексте достоверности идентичности субъекта или правомерности передачи сообщения, самого сообщения или его источника.
3.1.7 автоматический (automatic): Процесс или оборудование, которые при определенных условиях функционируют без вмешательства человека.
3.1.8 доступность (availability): Свойство, гарантирующее своевременный и надежный доступ к информации и функциям, относящимся к системе управления, и их использование.
3.1.9 канал связи (communication channel): Особая линия логической или физической связи между субъектами.
Примечание - Канал облегчает установление соединения.
3.1.10 компенсационная контрмера (compensating countermeasure): Контрмера, применяемая взамен или в дополнение к встроенным или рекомендованным мерам безопасности для обеспечения более полного соответствия требованиям безопасности.
Примечание - Примеры включают в себя следующие компенсационные меры:
- (уровня компонентов): запертый шкафчик контроллера, не имеющий достаточно контрмер управления кибербезопасностью;
- (уровня системы управления/зоны): средства управления физическим доступом (охрана, ворота и ружья) для защиты пульта управления с целью ограничения доступа к группе известного персонала, что позволяет компенсировать техническое требование, согласно которому персонал должен уникально идентифицироваться IACS; и
- (уровня компонентов): программируемый логический контроллер (PLC) поставщика не может соответствовать характеристикам управления доступом, определенным конечным пользователем, в результате чего поставщик устанавливает межсетевой экран перед PLC и продает их как одну систему.
3.1.11 орган нормативно-правового регулирования (compliance authority): Субъект с правовой юрисдикцией определять корректности оценки безопасности, ее реализации или эффективности, регламентированных в руководящем документе.
3.1.12 тракт (conduit): Логическое объединение каналов связи, связывающее между собой две или более зоны, для которых действуют общие требования безопасности.
Примечание - Допустимо пересечение трактом зоны при условии, что эта зона не влияет на безопасность каналов, содержащихся в тракте.
3.1.13 конфиденциальность (confidentiality): Сохранение авторизованных ограничений на доступ и раскрытие информации, включая средства защиты неприкосновенности частной жизни и проприетарной информации.
Примечание - При употреблении в контексте IACS термин относится к защите данных и информации, относящихся к IACS, от неавторизованного доступа.
3.1.14 соединение (connection): Связь, установленная между двумя или более оконечными точками, которая поддерживает установление сессии.
3.1.15 последствие (consequence): Состояние или условие, которое является логическим или естественным следствием события.
3.1.16 система управления (control system): Компоненты аппаратного и программного обеспечения IACS.
3.1.17 контрмера (countermeasure): Действие, устройство, процедура или методика, смягчающие угрозу, уязвимость или атаку посредством их устранения или предотвращения, посредством минимизации ущерба, который они способны нанести, или посредством их обнаружения и информирования о них, чтобы могло быть предпринято корректирующее воздействие.
Примечание - В некоторых контекстах для описания этого понятия используется также термин "управление". Применительно к настоящему стандарту выбран термин "контрмера" во избежание путаницы с термином "управление" в контексте "управление процессами".
3.1.18 режим ограниченной функциональности (degraded mode): Режим функционирования при наличии неполадок, которые были приняты в расчет в проекте системы управления.
Примечание - Режимы ограниченной функциональности допускают дальнейшее выполнение системой управления жизненно важных функций, несмотря на снижение эффективности одного или нескольких элементов системы, например неполадки или отказ управляющего оборудования, перебои в связи из-за отказа или целенаправленного отключения системы как ответной меры против выявленной или ожидаемой угрозы безопасности подсистем.
3.1.19 демилитаризованная зона (demilitarized zone): Простая ограниченная сеть серверов, связывающая между собой две или более зоны в целях управления потоком данных между зонами.
Примечание - Демилитаризованные зоны (DMZ) обычно используются для исключения прямых соединений между разными зонами.
3.1.20 устройство (device): объект, включающий в себя один или более процессоров, способных посылать или принимать данные/управляющие команды к другому объекту или от него.
Примечание - Примеры включают в себя контроллеры, человеко-машинные интерфейсы (HMI), PLC, пульты дистанционного управления (RTU), передатчики, исполнительные механизмы, клапаны, сетевые коммутаторы и т.д.
3.1.21 среда (environment): Окружение объектов, область или обстоятельства, которые могут воздействовать на функционирование IACS и/или подвергаться воздействию со стороны IACS.
3.1.22 жизненно важная функция (essential function): Функция или характеристика, которая требуется для поддержания охраны труда, техники безопасности, охраны окружающей среды, а также работоспособности и доступности управляемого оборудования.
Примечание - Жизненно важные функции включают в себя, но не ограничиваются этим, функцию отказа в случае возникновения опасной ситуации (SIF), функцию управления и возможность оператора отслеживать и манипулировать управляемым оборудованием. Утрата существенных функций обычно носит название утраты защиты, утраты управления и утраты отслеживаемости соответственно. В некоторых отраслях промышленности могут считаться существенными дополнительные функции, такие как архивирование.
3.1.23 событие (event): Появление или изменение определенного набора обстоятельств.
Примечание - В контексте системы IACS событием может быть действие, предпринятое тем или иным лицом (авторизованным или неавторизованным), изменение, обнаруженное в пределах системы управления (штатное или нештатное), или автоматический отклик со стороны самой системы управления (штатный или нештатный).
3.1.24 пожарный вызов (firecall): Метод, учрежденный для обеспечения аварийного доступа к защищенной системе управления.
Примечание - В аварийной ситуации непривилегированные пользователи могут получать доступ к ключевым системам для урегулирования проблемы. Если применен пожарный вызов, то обычно проводится процедура проверки того, что доступ был использован корректно для урегулирования проблемы. Эти методы в общем случае предусматривают одноразовый идентификатор (ID) пользователя или одноразовый пароль.
3.1.25 идентификатор (identifier): Символ, уникальный в пределах своего домена безопасности, обозначающий или используемый для заявления притязания субъекта на название или другую идентичность.
3.1.26 идентифицировать (identify): Операция контроля идентичности.
3.1.27 воздействие (impact): Оцененное последствие отдельно взятого события.
3.1.28 инцидент (incident): Событие, которое не является частью ожидаемого функционирования системы или сервиса и которое вызывает или может вызвать сбой или ухудшение качества сервиса, предоставляемого системой управления.
3.1.29 система промышленной автоматики и контроля; IACS (industrial automation and control system; IACS): Совокупность персонала, аппаратного и программного обеспечений и политик, задействованных в функционировании промышленного процесса и способных влиять или воздействовать иным образом на его защищенное, безопасное и надежное функционирование.
3.1.30 целостность (integrity): Свойство защиты корректности и полноты имущественных объектов.
3.1.31 минимальная привилегия (least privilege): Основополагающий принцип, который гласит, что пользователи (люди, программные процессы или устройства) должны по возможности наделяться минимальными привилегиями в соответствии с вмененными им обязанностями и функциями.
Примечание - Минимальная привилегия в контексте IACS обычно реализуется в виде набора ролей.
3.1.32 мобильный код (mobile code): Программа, передаваемая в пределах удаленной, возможно - "недоверенной", системы через сеть или съемные носители, которая может запускаться в неизменном виде на локальной системе без явной инсталляции или запуска этой программы получателем.
Примечание - Примеры мобильного кода включают в себя JavaScript, VBScript, Java-апплеты, управляющие элементы ActiveX, Flash-анимации, видеофрагменты Shockwave и макросы Microsoft Office.
3.1.33 защита от непризнания участия (non-repudiation): Возможность подтверждения факта заявленного события или действия и породивших его субъектов.
Примечание - Целью защиты от непризнания участия является разрешение диспутов относительно факта наличия или отсутствия события или действия и причастности к нему субъектов.
3.1.34 производитель продукта (product supplier): Производитель аппаратного и/или программного продукта.
Примечание - Данное понятие используется взамен обобщенного термина "поставщик" в целях их дифференциации.
3.1.35 удаленный доступ (remote access): Доступ к системе управления со стороны любого пользователя (человека, программного процесса или устройства), осуществляемый из (вне) периметра рассматриваемой зоны.
3.1.36 роль (role): Набор взаимосвязанных характеристик, привилегий и обязательств, привязанных ко всем пользователям (людям, программным процессам или устройствам) IACS.
Примечание - Привилегии на выполнение определенных операций ставятся в соответствие конкретным ролям.
3.1.37 автоматизированная система безопасности (safety instrumented system): Система, используемая для реализации одной или более функций технологической безопасности.
3.1.38 уровень безопасности (security level): Мера достоверности того, что IACS лишена уязвимостей и функционирует надлежащим образом.
Примечание - Уязвимости могут быть внесены на этапе проектирования IACS или в любой момент ее жизненного цикла либо быть следствием меняющихся угроз. Проектные уязвимости могут обнаруживаться спустя длительное время после начальной реализации IACS, например: может быть взломан алгоритм шифрования или применена некорректная политика управления учетными записями, когда, например, не удаляются старые учетные записи пользователей. Внесенные уязвимости могут возникать по вине патча или изменения в политике, которое вскрывает новую уязвимость.
3.1.39 провайдер сервиса (service provider): Организация (внутренняя или внешняя организация, производитель и т.д.), согласившаяся взять на себя обязательство на предоставление того или иного сервиса поддержки, а также добывание материально-технических средств в порядке соответствующего соглашения.
Примечание - Это понятие используется взамен родового термина "поставщик" в целях их дифференциации.
3.1.40 сессия (session): Устойчивый, интерактивный, с отслеживанием состояний, обмен информацией между двумя или более коммуникационными устройствами.
Примечание - В типичном случае сессия включает в себя четко определенные процессы начала и завершения.
3.1.41 ID сессии (session ID): Идентификатор, используемый для обозначения конкретного входа в сессию.
3.1.42 уставка (set point): Целевое значение, обозначенное внутри системы управления, которое позволяет контролировать одно или более действий в пределах системы управления.
3.1.43 системный интегратор (system integrator): Лицо или организация, которые специализируются на сведении воедино подсистем компонентов и обеспечении того, чтобы эти подсистемы функционировали в соответствии с проектными спецификациями.
3.1.44 угроза (threat): Обстоятельство или событие, способное отрицательно отразиться на процессах хозяйствования (включая задачи, функции, имидж или репутацию), объектах, системах управления или людях посредством получения несанкционированного доступа, уничтожения, раскрытия, видоизменения данных и/или отказа в обслуживании.
3.1.45 доверие (trust): Уверенность в том, что на операцию, источник данных, сетевой или программный процесс можно полагаться в отношении их ожидаемого функционирования.
Примечание 1 - В общем случае может считаться, что некий субъект "доверяет" второму субъекту, если делает допущение, что второй субъект будет функционировать в соответствии с ожиданиями первого субъекта.
Примечание 2 - Это доверие может быть применимо только в отношении какой-то конкретной функции.
3.1.46 недоверенный (untrusted): Не соответствующий заданным требованиям доверия.
Примечание - Субъект может быть просто объявлен недоверенным.
3.1.47 зона (zone): Совокупность логических или физических объектов, соответствующих общим требованиям безопасности.
Примечание - Зона имеет четкую границу. Политику безопасности зоны обычно составляют комбинации механизмов безопасности как на периферии зоны, так и внутри нее.
3.2 Сокращения
В настоящем стандарте применены следующие сокращения:
AES | - улучшенный стандарт шифрования; |
API | - интерфейс программирования приложений; |
ASLR | - случайное размещение схем адресного пространства; |
BPCS | - основная система управления процессами; |
CA | - центр сертификации; |
CIP | - защита объектов жизнеобеспечения; |
COTS | - коммерчески доступные продукты; |
CRL | - перечень отзыва сертификатов; |
DC | - конфиденциальность данных; |
DEP | - предотвращение выполнения данных; |
DHCP | - протокол динамического конфигурирования хостов; |
DMZ | - демилитаризованная зона; |
DNS | - служба доменных имен; |
DoS | - отказ в обслуживании; |
EICAR | - Европейский институт компьютерных антивирусных исследований; |
EMI | - электромагнитные помехи; |
FAT | - заводские приемочные испытания; |
FIPS | - Федеральный стандарт обработки информации (NIST, США); |
FR | - фундаментальное требование; |
FS-PLC | - PLC функциональной безопасности; |
FTP | - протокол передачи файлов; |
GLONASS | - Глобальная навигационная спутниковая система (ГЛОНАСС); |
GPS | - система глобального позиционирования; |
HMI | - человеко-машинный интерфейс; |
HSE | - охрана труда, техника безопасности и охрана окружающей среды; |
HTTP | - протокол передачи гипертекста; |
HTTPS | - HTTP защищенный; |
IAC | - управление идентификацией и аутентификацией; |
IACS | - система(ы) промышленной автоматики и контроля; |
IAMS | - система управления контрольно-измерительными объектами; |
ID | - идентификатор; |
IDS | - система обнаружения несанкционированных проникновений; |
IEC | - Международная электротехническая комиссия (МЭК); |
IEEE | - Институт инженеров по электротехнике и электронике; |
IETF | - инженерный совет Интернета; |
IM | - система мгновенного обмена сообщениями; |
IP | - интернет-протокол; |
IPS | - система предотвращения несанкционированных проникновений; |
ISA | - Международная ассоциация автоматизации; |
ISO | - Международная организация по стандартизации (ИСО); |
IT | - информационная технология; |
MES | - система управления производственными процессами; |
NERC | - Североамериканская корпорация по обеспечению надежности электросистем; |
NIST | - Национальный институт стандартов и технологий (США); |
NX | - запрет исполнения; |
OCSP | - онлайновый протокол статуса сертификата; |
OWASP | - открытый проект обеспечения безопасности веб-приложений; |
- формат переносимых документов; | |
PKI | - инфраструктура открытых ключей; |
PLC | - программируемый логический контроллер; |
RA | - работоспособность и доступность ресурсов; |
RAM | - оперативное запоминающее устройство; |
RDF | - ограничение потока данных; |
RE | - расширение требований; |
RFC | - запрос на комментарии; |
RJ | - стандартный телекоммуникационный интерфейс; |
RTU | - пульт дистанционного управления; |
SAT | - приемо-сдаточные испытания; |
SHA | - алгоритм безопасного хеширования; |
SI | - целостность системы; |
SIEM | - управление информацией о безопасности и событиями безопасности; |
SIF | - функция отказа в случае возникновения опасной ситуации; |
SIL | - уровень целостности безопасности; |
SIS | - автоматизированная система безопасности; |
SL | - уровень безопасности; |
SL-A | - достигнутый уровень безопасности; |
SL-C | - потенциальный уровень безопасности; |
SL-T | - целевой уровень безопасности; |
SP | - специальная публикация; |
SR | - системное требование; |
SSH | - безопасная оболочка; |
SuC | - рассматриваемая система; |
TCP | - протокол управления передачей; |
TPM | - модуль доверительной платформы; |
TRE | - своевременный отклик на события; |
UC | - контроль использования; |
USB | - универсальная последовательная шина; |
VoIP I | - P-телефония; |
WEP | - конфиденциальность на уровне проводных сетей; |
WLAN | - беспроводная локальная сеть. |
3.3 Допущения
Настоящий стандарт расширяет семь FR, установленных в МЭК 62443-1-1, до серии SR. Каждое SR содержит основополагающее требование, а также может содержать одно или несколько расширений требования (RE) для ужесточения безопасности. По мере необходимости для читателя дополнительно приводятся наглядная и аргументированная методологическая основа к каждому основополагающему требованию и комментарии к любым привязанным к ним RE. Основополагающее требование и расширения RE, при их наличии, затем ставятся в соответствие одному из четырех потенциальных уровней безопасности SL-C (FR, система управления).
Все семь FR имеют определенный набор из четырех SL. Применительно к системе управления соответствие уровню 0 для отдельно взятого FR определено неявным образом как отсутствие требований. Например, постановка задачи для раздела 8, FR 4 - Конфиденциальность данных, звучит следующим образом:
Обеспечивать конфиденциальность информации на коммуникационных каналах и в хранилищах данных для предотвращения их неавторизованного раскрытия.
Соответствующие четыре SL определены как:
- SL 1 - предотвращать неавторизованное раскрытие информации посредством ее несанкционированного извлечения или случайного обнародования;
- SL 2 - предотвращать неавторизованное раскрытие информации субъекту, активно ее ищущему с использованием простых средств, при незначительных ресурсах, посредственных навыках и низкой мотивации;
- SL 3 - предотвращать неавторизованное раскрытие информации субъекту, активно ее ищущему с использованием изощренных средств при умеренных ресурсах, наличии специальных познаний в IACS и умеренной мотивации;
- SL 4 - предотвращать неавторизованное раскрытие информации субъекту, активно ее ищущему с использованием изощренных средств при обширных ресурсах, наличии специальных познаний в IACS и высокой мотивации.
Таким образом, выдвижение отдельных SR и RE основано на ступенчатом повышении общей безопасности системы управления для данного конкретного FR.
SL-C (система управления), используемый на протяжении всего настоящего стандарта, обозначает наличие ресурсов, необходимых для соответствия конкретному SL, соотносящемуся с конкретным FR. Полное описание векторной концепции SL можно найти в приложении A.
Подписаться на обновления