ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009 Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели (Издание с Поправкой)

     5.10 Тракты

5.10.1 Общие положения

Информация должна поступать в зону безопасности, выходить из этой зоны безопасности и перемещаться в ее пределах. Даже в несвязанной системе присутствует некоторая коммуникация (например, периодическое соединение между собой программирующих устройств для создания и обслуживания систем). Чтобы охватить аспекты безопасности коммуникации и создать концепцию, затрагивающую уникальные требования к коммуникациям, в настоящем стандарте определен особый тип зоны безопасности - коммуникационный тракт.

Тракт - это особый тип зоны безопасности, группирующей информационные взаимодействия, способные быть логически организованы в группу информационных потоков, распространяющихся внутри зоны и вне ее. Тракт может представлять собой единый сервис (т.е. единую сеть Интернет) или быть образован серией переносчиков информации (серией сетевых кабелей и прямых физических доступов). Как и зона, тракт может быть образован как физическими, так и логическими компонентами. Тракты могут связывать между собой субъекты в пределах одной зоны или связывать между собой различные зоны.

Как и зоны, тракты могут быть доверенными или недоверенными. Тракты, не пересекающие границ зоны, обычно являются доверенными до уровня коммуникационных процессов в пределах этой зоны. В доверенных трактах, пересекающих границы зоны, необходимо реализовывать сквозной доверенный процесс.

Недоверенные тракты - это тракты, уровень безопасности которых отличен от уровня безопасности крайней точки зоны. В этом случае фактическая безопасность коммуникации сводится к безопасности отдельного канала, как показано на рисунке 7.

Рисунок 7 - Пример тракта

На рисунке 7 изображена организация, включающая в себя три завода и отдельный центральный офис. Каждый из трех заводов связан с корпоративной сетью для обеспечения обмена данными между отдельно взятым заводом и центральным офисом, а также другими заводами. На рисунке обозначено четыре возможных тракта (возможны и другие тракты, но для наглядности они опущены). Первый из них - корпоративный тракт, показанный в верхней части рисунка. Данный тракт связывает несколько заводов, расположенных на разных территориях, с корпоративным дата-центром. Если WAN сформирована с использованием выделенных или частных линий связи, то такую сеть можно считать надежным трактом. Если в такой сети использованы как общедоступные, так и частные сети, то ее можно отнести к ненадежному тракту. В состав тракта входит любое коммуникационное оборудование и межсетевые экраны, которые образуют связные линии заводов.

Варианты ненадежных трактов показаны на каждом заводе. В данном случае каждый завод содержит свой собственный доверенный тракт для передачи управляющих воздействий.

5.10.2 Каналы

Каналы - это особые линии связи, созданные внутри коммуникационного тракта. Каналы повторяют свойства безопасности тракта, используемого в качестве коммуникационной среды (т.е. канал, находящийся внутри защищенного тракта, будет поддерживать уровень безопасности защищенного тракта). Каналы могут быть надежными или ненадежными.

Доверенные каналы - это связные линии, обеспечивающие защищенный обмен данными с другими зонами безопасности. Надежный канал может использоваться для расширения виртуальной зоны безопасности с целью включения в нее субъектов, находящихся за пределами физической зоны безопасности.

Недоверенные каналы - это связные линии, уровень безопасности которых отличен от уровня безопасности рассматриваемой зоны безопасности. Правильность передачи данных в рассматриваемую зону и из нее (зону, которая определяет незащищенный обмен данных) должна быть проверена перед принятием информации.