ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности

9.5 SR 5.3 - Ограничения на передачу общецелевой информации "абонент - абонент"

 

9.5.1 Требование

Система управления должна обеспечивать возможность предотвращения получения общецелевых сообщений "абонент - абонент" пользователями или системами, находящимися за пределами системы управления.

9.5.2 Целесообразность и дополнительная методологическая основа

Системы передачи общецелевой информации "абонент - абонент" включают в себя, но не ограничиваются этим: системы обмена электронной корреспонденцией, разного рода социальные медиа (Твиттер, Фейсбук, галереи изображений и т.д.) или любые системы обмена сообщениями, допускающие передачу исполнимых файлов любых типов. Эти системы обычно используются в личных целях, которые никак не связаны с операциями систем управления, а потому риски, привносимые этими системами, обычно превалируют над любой кажущейся пользой.

Такого рода системы передачи общецелевой информации являют собой векторы атак, широко используемые для внедрения вредоносного программного обеспечения в систему управления, передачи информации, для которой существует авторизация на осуществление операции чтения, на участки за пределами системы управления, и внесения в сеть чрезмерной нагрузки, которая может быть использована для создания проблем безопасности или осуществления атак на систему управления. Адекватные компенсационные контрмеры для соответствия этому требованию может обеспечить применение широкого спектра других системных требований, затрагивающих, например, ограничения использования и ограничение потока данных, как описано в других местах настоящего стандарта, для систем передачи общецелевой информации "абонент - абонент".

Система управления может обеспечивать возможность применения такого рода систем двусторонней связи, но только между серверами и/или рабочими станциями в составе системы управления. Следует отметить, что это SR должно поддерживать требования, соотносящиеся с 8.3, SR 4.1 - Конфиденциальность информации.

Система управления может также ограничивать электронную почту или иные решения для обмена сообщениями, обеспечивающие связь от внутренних компьютеров к внешним компьютерам посредством исходящих сообщений. Эти соединения могут быть ограничены в целях отправки системных уведомлений или других информационных сообщений, генерируемых компьютером, пользователям или системам за пределами системы управления. Для предотвращения передачи информации, для которой поддерживается явная авторизация на осуществление операции чтения, следует использовать преконфигурируемые сообщения (возможно, с возможностью включения в них некоторого ограниченного количества текста) для передачи уведомлений или информации о состоянии. Пользователи не должны наделяться возможностью присоединения файлов или другой информации к этим сугубо исходящим сообщениям во время создания сообщений системой.

9.5.3 Расширения требований

9.5.3.1 SR 5.3 RE 1 - Запрет на любую передачу общецелевой информации "абонент - абонент"

Система управления должна обеспечивать возможность предотвращения как передачи, так и приема общецелевых сообщений "абонент - абонент".

9.5.3.2 Пусто

9.5.4 Уровни безопасности

Далее приведены требования для уровней SL, относящихся к SR 5.3 - Ограничения на передачу общецелевой информации "абонент - абонент":

- SL-C (RDF, система управления) 1: SR 5.3;

- SL-C (RDF, система управления) 2: SR 5.3;

- SL-C (RDF, система управления) 3: SR 5.3 (1);

- SL-C (RDF, система управления) 4: SR 5.3 (1).