ГОСТ Р МЭК 62443-3-3-2016 Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности (Переиздание)
3.1 Термины и определения
В настоящем стандарте применены термины и определения по МЭК 62443-1-1 и МЭК 62443-2-1, а также следующие термины с соответствующими определениями.
Примечание - Многие из нижеследующих терминов и определений изначально базируются на соответствующих источниках Международной организации по стандартизации (ИСО), Международной электротехнической комиссии (МЭК) или Национального института стандартов и технологий (NIST) (США), при этом изредка делаются незначительные поправки для лучшей применимости терминов и определений при определении требований к безопасности систем управления.
3.1.1 имущественный объект (объект, актив) (asset): Физический или логический объект, который представляет для IACS ощущаемую или реальную ценность.
Примечание - В настоящем стандарте имущественный объект - это любая единица, которую следует защищать в рамках системы управления безопасностью IACS.
3.1.2 собственник объекта (asset owner): Лицо или организация, отвечающие за один или более IACS.
Примечание 1 - Термин "собственник объекта" используется взамен родового термина "конечный пользователь" в целях их дифференциации.
Примечание 2 - Это определение распространяется на компоненты, являющиеся частью IACS.
Примечание 3 - В контексте настоящего стандарта собственник объекта включает в себя также оператора IACS.
3.1.3 атака (attack): Посягательство на систему, являющееся следствием рациональной угрозы.
Примечание 1 - Например, осмысленное действие, представляющее собой продуманную попытку (особенно в плане метода или стратегии) обойти сервисы безопасности и нарушить политику безопасности системы.
Примечание 2 - Существуют различные общепризнанные типы атак:
- "активная атака" имеет целью преобразовать ресурсы системы или воздействовать на их работу;
- "пассивная атака" имеет целью заполучить или использовать информацию системы без воздействия на ресурсы системы;
- "внутренняя атака" - атака, инициированная субъектом в пределах периметра безопасности ("инсайдером") - т.е. субъектом, который наделен правами на получение доступа к ресурсам системы, но использует их в целях, не одобренных теми, кто предоставил эти права;
- "внешняя атака" - атака, инициированная за пределами периметра безопасности неавторизованным или неуполномоченным пользователем системы (им может быть и инсайдер, атакующий за пределами периметра безопасности). Потенциальными злоумышленниками, осуществляющими внешнюю атаку, могут быть как простые любители пошутить, так и организованные преступные группы, международные террористы и враждебные правительства.
3.1.4 аутентификация (authentication): Обеспечение уверенности в том, что заявляемая характеристика идентичности корректна.
Примечание - Аутентификация обычно - необходимое предварительное условие предоставления доступа к ресурсам в системе управления.
3.1.5 аутентификатор (authenticator): Средство, используемое для подтверждения идентичности пользователя (человека, программного процесса или устройства).
Примечание - Например, в качестве аутентификатора могут использоваться пароль или токен.
3.1.6 аутентичность (authenticity): Свойство соответствия субъекта тому за кого или за что он себя выдает.
Примечание - Аутентичность обычно употребляется в контексте достоверности идентичности субъекта или правомерности передачи сообщения, самого сообщения или его источника.
3.1.7 автоматический (automatic): Процесс или оборудование, которые при определенных условиях функционируют без вмешательства человека.
3.1.8 доступность (availability): Свойство, гарантирующее своевременный и надежный доступ к информации и функциям, относящимся к системе управления, и их использование.
3.1.9 канал связи (communication channel): Особая линия логической или физической связи между субъектами.
Примечание - Канал облегчает установление соединения.
3.1.10 компенсационная контрмера (compensating countermeasure): Контрмера, применяемая взамен или в дополнение к встроенным или рекомендованным мерам безопасности для обеспечения более полного соответствия требованиям безопасности.
Примечание - Примеры включают в себя следующие компенсационные меры: