ГОСТ Р МЭК 62443-3-3-2016. Национальный стандарт Российской Федерации. Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности

Приложение B

(справочное)

СООТНЕСЕНИЕ SR И RE С УРОВНЯМИ SL 1 - 4 FR

B.1 Обзор

Задача данного приложения - предоставить пользователю общую методологическую основу по дифференциации уровней SL 0 - 4 на базе FR посредством обозначенных SR и соответствующих им PT.

B.2 Таблица соотнесения SL

Таблица B.1 иллюстрирует соответствие требований уровня системы требованиям FR для отдельно взятого потенциального SL системы - SL-C(xx, система управления). Для отдельно взятого FR соответствие необходимых требований уровня системы отдельно взятому SL-C показано галочкой. Так, например, характеристики безопасности системы SL = 1 для FR 5 (или SL-C(RDF, система управления) = 1) будут включать в себя базовые требования всех четырех обозначенных SR. Система, не способная удовлетворить всем четырем SR, будет иметь SL-C(RDF, система управления) = 0. Для соответствия SL-C(RDF, система управления) = 2 система должна поддерживать базовые требования этих четырех SR плюс RE(1) SR 5.1 и SR 5.2. В качестве другого примера: необходимо только базовое требование SR 6.1 для соответствия SL-C(TRE, система управления) = 1, но оба обозначенных SR необходимы для соответствия SL-C(TRE, система управления) = 2. A.3.3 раскрывает порядок обозначения общего вектора SL.

Таблица B.1

Соотнесение SR и RE с уровнями SL 1 - 4 FR (одним из четырех)

SR и RE		SL 1	SL 2	SL 3	SL 4
FR 1 - Управление идентификацией и аутентификацией (IAC)
SR 1.1 - Идентификация и аутентификация пользователя - физического лица	5.3
SR 1.1 RE 1 - Уникальная идентификация и аутентификация	5.3.3.1
SR 1.1 RE 2 - Многофакторная аутентификация для недоверенных сетей	5.3.3.2
SR 1.1 RE 3 - Многофакторная аутентификация для всех сетей	5.3.3.3
SR 1.2 - Идентификация и аутентификация программных процессов и устройств	5.4
SR 1.2 RE 1 - Уникальная идентификация и аутентификация	5.4.3.1
SR 1.3 - Управление учетными записями	5.5
SR 1.3 RE 1 - Унифицированное управление учетными записями	5.5.3.1
SR 1.4 - Управление идентификаторами	5.6
SR 1.5 - Управление аутентификаторами	5.7
SR 1.5 RE 1 - Аппаратная безопасность для регистрационных данных идентичности программных процессов	5.7.3.1
SR 1.6 - Управление беспроводным доступом	5.8
SR 1.6 RE 1 - Уникальная идентификация и аутентификация	5.8.3.1
SR 1.7 - Надежность аутентификации по паролю	5.9
SR 1.7 RE 1 - Ограничения на генерацию паролей и сроки их действия для пользователей - физических лиц	5.9.3.1
SR 1.7 RE 2 - Ограничения сроков действия паролей для всех пользователей	5.9.3.2
SR 1.8 - Сертификаты инфраструктуры открытых ключей (PKI)	5.10
SR 1.9 - Надежность аутентификации по открытому ключу	5.11
SR 1.9 RE 1 - Безопасность аппаратного обеспечения при аутентификации по открытому ключу	5.11.3.1
SR 1.10 - Обратная связь при аутентификации	5.12
SR 1.11 - Неудачные попытки входа в систему	5.13
SR 1.12 - Уведомление об использовании системы	5.14
SR 1.13 - Доступ через недоверенные сети	5.15
SR 1.13 RE 1 - Принятие явного запроса на доступ	5.15.3.1
FR 2 - Контроль использования (UC)
SR 2.1 - Контроль выполнения авторизации	6.3
SR 2.1 RE 1 - Контроль выполнения авторизации для всех пользователей	6.3.3.1
SR 2.1 RE 2 - Соотнесение полномочий с ролями	6.3.3.2
SR 2.1 RE 3 - Приоритетность диспетчерского управления	6.3.3.3
SR 2.1 RE 4 - Двойное подтверждение	6.3.3.4
SR 2.2 - Контроль беспроводного использования	6.4
SR 2.2 RE 1 - Идентификация и сообщение о неавторизованных беспроводных устройствах	6.4.3.1
SR 2.3 - Контроль использования портативных и подвижных устройств	6.5
SR 2.3 RE 1 - Ужесточение статуса безопасности портативных и подвижных устройств	6.5.3.1
SR 2.4 - Мобильный код	6.6
SR 2.4 RE 1 - Проверка целостности мобильного кода	6.6.3.1
SR 2.5 - Блокировка сеанса	6.7
SR 2.6 - Прерывание удаленных сеансов	6.8
SR 2.7 - Контроль параллельных сеансов	6.9
SR 2.8 - События, подлежащие аудиту	6.10
SR 2.8 RE 1 - Централизованно управляемый системный журнал аудита	6.10.3.1
SR 2.9 - Емкость систем хранения данных аудита	6.11
SR 2.9 RE 1 - Предупреждение при достижении порога емкости носителя записей аудита	6.11.3.1
SR 2.10 - Реакция на технологические сбои аудита	6.12
SR 2.11 - Временные метки	6.13
SR 2.11 RE 1 - Внутрисистемная синхронизация времени	6.13.3.1
SR 2.11 RE 2 - Защита целостности источника синхроимпульсов	6.13.3.2
SR 2.12 - Защита от непризнания участия	6.14
SR 2.12 RE 1 - Защита от непризнания участия для всех пользователей	6.14.3.1
FR 3 - Целостность системы (SI)
SR 3.1 - Целостность коммуникации	7.3
SR 3.1 RE 1 - Защита целостности средствами криптографии	7.3.3.1
SR 3.2 - Защита от вредоносного кода	7.4
SR 3.2 RE 1 - Защита от вредоносного кода на входах и выходах	7.4.3.1
SR 3.2 RE 2 - Централизованное управление и отчетность для защиты от вредоносного кода	7.4.3.2
SR 3.3 - Верификация функциональности безопасности	7.5
SR 3.3 RE 1 - Автоматизированные механизмы верификации функциональности безопасности	7.5.3.1
SR 3.3 RE 2 - Верификация функциональности безопасности во время штатной работы	7.5.3.2
SR 3.4 - Целостность программного обеспечения и информации	7.6
SR 3.4 RE 1 - Автоматизированное уведомление о злоумышленных нарушениях целостности	7.6.3.1
SR 3.5 - Валидация входных данных	7.7
SR 3.6 - Детерминированный поток выходных сигналов	7.8
SR 3.7 - Обработка ошибок	7.9
SR 3.8 - Целостность сеанса	7.10
SR 3.8 RE 1 - Аннулирование идентификаторов ID сеанса после завершения сеанса	7.10.3.1
SR 3.8 RE 2 - Генерация уникального ID сеанса	7.10.3.2
SR 3.8 RE 3 - Случайный характер ID сеансов	7.10.3.3
SR 3.9 - Защита информации аудита	7.11
SR 3.9 RE 1 - Записи аудита на неперезаписываемых носителях	7.11.3.1
FR 4 - Конфиденциальность данных (DC)
SR 4.1 - Конфиденциальность информации	8.3
SR 4.1 RE 1 - Защита конфиденциальности информации в ходе ее хранения или передачи через недоверенные сети	8.3.3.1
SR 4.1 RE 2 - Защита конфиденциальности при пересечении границ зон	8.3.3.2
SR 4.2 - Сохранность информации	8.4
SR 4.2 RE 1 - Удаление ресурсов на базе разделяемой памяти	8.4.3.1
SR 4.3 - Использование криптографии	8.5
FR 5 - Ограничение потока данных (RDF)
SR 5.1 - Сегментация сети	9.3
SR 5.1 RE 1 - Физическая сегментация сети	9.3.3.1
SR 5.1 RE 2 - Независимость от сетей, не относящихся к системам управления	9.3.3.2
SR 5.1 RE 3 - Логическая и физическая изоляция критически важных сетей	9.3.3.3
SR 5.2 - Защита границ зоны	9.4
SR 5.2 RE 1 - Отказ по умолчанию, разрешение по исключению	9.4.3.1
SR 5.2 RE 2 - Островной режим	9.4.3.2
SR 5.2 RE 3 - Закрытие при отказе	9.4.3.3
SR 5.3 Ограничения на передачу общецелевой информации "абонент - абонент"	9.5
SR 5.3 RE 1 - Запрет на любую передачу общецелевой информации "абонент - абонент"	9.5.3.1
SR 5.4 - Разбиение приложений	9.6
FR 6 - Своевременный отклик на события (TRE)
SR 6.1 - Доступность файлов регистрации аудита	10.3
SR 6.1 RE 1 - Программный доступ к файлам регистрации аудита	10.3.3.1
SR 6.2 - Непрерывный мониторинг	10.4
FR 7 - Работоспособность и доступность ресурсов (RA)
SR 7.1 - Защита от отказа в обслуживании	11.3
SR 7.1 RE 1 - Регулировать загрузки линий связи	11.3.3.1
SR 7.1 RE 2 - Ограничить последствия DoS для других систем или сетей	11.3.3.2
SR 7.2 - Управление ресурсами	11.4
SR 7.3 - Резервирование в системе управления	11.5
SR 7.3 RE 1 - Верификация резервирования	11.5.3.1
SR 7.3 RE 2 - Автоматизация резервирования	11.5.3.2
SR 7.4 - Восстановление и воссоздание системы управления	11.6
SR 7.5 - Аварийное питание	11.7
SR 7.6 - Параметры конфигурации сети и безопасности	11.8
SR 7.6 RE 1 - Машиночитаемая отчетность о текущих параметрах безопасности	11.8.3.1
SR 7.7 - Минимальная функциональность	11.9
SR 7.8 - Инвентаризация компонентов системы управления	11.10