ГОСТ Р МЭК 62443-3-3-2016 Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3-3. Требования к системной безопасности и уровни безопасности (Переиздание)

     5.3 SR 1.1 - Идентификация и аутентификация пользователя - физического лица

5.3.1 Требование

Система управления должна обеспечивать возможность идентификации и аутентификации всех пользователей - физических лиц. Эта возможность должна навязывать такую идентификацию и аутентификацию на всех интерфейсах, которые обеспечивают доступ людей-пользователей к системе управления, с поддержанием ранжирования обязанностей и минимальной привилегии в соответствии с применимыми политиками и регламентами безопасности.

5.3.2 Целесообразность и дополнительная методологическая основа

Все пользователи - физические лица должны проходить идентификацию и аутентификацию для осуществления любого доступа к системе управления. Аутентификация идентичности этих пользователей должна по возможности осуществляться посредством таких методов, как пароли, токены, биометрические признаки, или, в случае многофакторной аутентификации, той или иной их комбинации. Географическое местонахождение пользователей - физических лиц также может использоваться в рамках процесса аутентификации. Это требование должно быть по возможности применимо и к локальному, и к удаленному доступу к системе управления. Помимо идентификации и аутентификации всех пользователей - физических лиц на уровне системы управления (например, при регистрации на входе в систему), механизмы идентификации и аутентификации часто применяются на уровне приложения.

Там, где пользователи - физические лица действуют как единая группа (например, операторы пульта управления), идентификация и аутентификация пользователей может быть проведена на основе ролей или групп. Применительно к некоторым системам управления критически важна возможность беспрепятственного взаимодействия между операторами. Жизненно важно, чтобы требования идентификации или аутентификации не затрудняли локальных действий в чрезвычайных ситуациях, а также не вносили ограничений в жизненно важные функции системы управления (см. раздел 4 для получения более полных сведений). Доступ к этим системам может быть сдержан соответствующими механизмами физической безопасности (см. МЭК 62443-2-1). Примером такой ситуации служит пульт управления в критических режимах, где действуют строгий контроль и мониторинг физического доступа и, в соответствии с планами работы на рабочую смену, ответственность распределяется между той и иной группой пользователей. Эти пользователи затем могут использовать персоналии одного и того же пользователя. Кроме того, по возможности должны проходить аутентификацию клиенты выделенных рабочих станций операторов (см. 5.4, SR 1.2 - Идентификация и аутентификация программных процессов и устройств), или использование этой разделенной учетной записи должно быть по возможности ограничено средой пульта управления.

Для поддержания политик IAC, как определено в МЭК 62443-2-1, система управления в качестве первого этапа верифицирует идентичность всех пользователей - физических лиц. На втором этапе вводятся в действие полномочия, закрепленные за идентифицированным пользователем - физическим лицом (см. 6.3, SR 2.1 - Обязательная авторизация).

5.3.3 Расширения требований

5.3.3.1 SR 1.1 RE1 - Уникальная идентификация и аутентификация

Система управления должна обеспечивать возможность уникальной идентификации и аутентификации всех пользователей - физических лиц.

5.3.3.2 SR 1.1 RE2 - Многофакторная аутентификация для недоверенных сетей

Система управления должна обеспечивать возможность применения многофакторной аутентификации для осуществления доступа пользователей - физических лиц к системе управления через недоверенную сеть (см. 5.15, SR 1.13 - Доступ через недоверенные сети).

Примечание - См. 5.7.3.5.7.3.1, SR 1.5 - Управление аутентификаторами, RE5.7.3.1 относительно расширенного управления аутентификаторами для программных процессов.

5.3.3.3 SR 1.1 RE3 - Многофакторная аутентификация для всех сетей

Система управления должна обеспечивать возможность применения многофакторной аутентификации для осуществления доступа всех пользователей - физических лиц к системе управления.

5.3.4 Уровни безопасности

Ниже приведены требования к четырем уровням SL, относящимся к SR 1.1 - Идентификация и аутентификация людей-пользователей:

- SL-C (IAC, система управления) 1: SR 1.1;

- SL-C (IAC, система управления) 2: SR 1.1 (1);

- SL-C (IAC, система управления) 3: SR 1.1 (1) (2);

- SL-C (IAC, система управления) 4: SR 1.1 (1) (2) (3).