Требования к обеспечению информационной безопасности в системах автоматизации и телемеханизации ТП МТ
5.6.1 В системах автоматизации и телемеханизации должен быть предусмотрен контроль доступа пользователей к функциям системы. 5.6.2 Для всех АРМ должны быть реализованы следующие уровни доступа: - «прочие» - доступен только просмотр и навигация по видеокадрам; - «поверитель» – права группы «прочие» и ввод коэффициентов и констант, влияющих на вычисление массы нефти/нефтепродукта; - «диспетчер» («оператор») – права группы «прочие», управление технологическим оборудованием, просмотр значений технологических уставок, шкал и настроек, изменение уставок регулирования САР; - «инженер» - права группы «диспетчер» («оператор») и права на изменение уставок и шкал, маскирование параметров готовности и защит, включение и отключение режимов имитации; - «администратор» – права группы «поверитель», «инженер» и администрирование системы; Группа пользователей «поверители» предназначена для работы только на АРМ СИКН. Возможность входа на другие АРМ с учетной записью из группы «поверители» должна быть заблокирована. Каждая учетная запись должна входить только в одну из указанных групп. При вхождении учетной записи в две и более группы из указанных групп, прикладное ПО должно ограничивать права данной учетной записи правами группы «прочие». Все локальные системные и доменные учетные записи, требующиеся для установки и настройки прикладного ПО должны быть удалены (заблокированы), вход в систему под именем данных записей должен быть запрещен. 5.6.3 Каждому пользователю прикладного ПО, в зависимости от должности, назначается учетная запись, включаемая в одну из групп, перечисленных в п. 5.6.2. Каждый пользователь перед началом работы, предусматривающей управление объектом или настройку системы, должен зарегистрироваться под собственной учётной записью. В прикладном ПО должна быть обеспечена возможность смены учетной записи пользователя прикладного ПО, без смены учетной записи пользователя операционной системы. Имя и пароль учетной записи, входящей в группу «прочие», должны быть известны всем зарегистрированным пользователям. Каждый пользователь по окончании работы должен зарегистрировать учетную запись, входящую в группу «прочие». Ни одна учётная запись, кроме группы уровня «прочие», не должна действовать более 750 минут непрерывно. По истечении указанного времени любая учётная запись должна быть автоматически заменена на учётную запись «прочие», с выдачей оперативного сообщения о превышении максимального непрерывного времени действия учётной записи. 5.6.4. Учетная запись пользователя (кроме группы «прочие») должна позволять идентифицировать его признаки: Фамилию, Имя, Отчество, должность, подразделение, Общество, предоставленные пользователю служебные телефоны, служебный адрес электронной почты (при наличии), а также, при необходимости – другие общедоступные персональные данные, согласие об обработке которых получено от пользователя в соответствии с требованиями Федерального закона [4]. 5.6.5 Все программное обеспечение технических средств АСУ ТП не должно иметь функций, требующих соединений с Интернетом и иными публичными или корпоративными сетями сторонних организаций, в том числе для обновления, подтверждения лицензии или активации. Серверное и прикладное программное обеспечение, работающее под операционной системой Windows, должно быть совместимым с антивирусным программным обеспечением, используемым в ОАО «АК «Транснефть». 5.6.6 Для обеспечения информационной безопасности в части отделения ЛВС АСУ ТП уровней ТДП, РДП и МДП от других сетей должны использоваться межсетевые экраны. 5.6.7 На уровне площадочных объектов ЛВС АСУ ТП должна быть физически отделена от корпоративной ЛВС, используемой для административного управления, связи с системами управления и оптимизации производственной деятельности (MES системы) и доступа в сеть Интернет. В точке подключения должен быть установлен межсетевой экран, обеспечивающий контроль межсетевого взаимодействия и фильтрацию трафика. Подключение авторизованных пользователей корпоративной сети к сети АСУ ТП уровней ТДП, РДП и МДП должно осуществляться по защищенным соединениям на фиксированные серверы внутри сети АСУ ТП (рисунок 1) строго по заданным протоколам: - канальный уровень: Ethernet; - сетевой уровень: IP; - транспортный уровень: TCP (допускается использование UDP); - прикладной уровень: HTTP и HTTPS. Примечание: Допускается использовать внутрифирменные протоколы связи баз данных, таких как MS SQL Server, Oracle, OSI PI System и т.п. Использовать DCOM запрещается. Из ЛВС АСУ ТП уровней ТДП, РДП и МДП должна быть исключена возможность получения и отправки электронной почты пользователям корпоративной почтовой системы ОАО «АК «Транснефть» и внешним абонентам, а также должен быть исключен доступ в сеть Интернет и иным публичным или корпоративным сетям сторонних организаций.
Рисунок 1. Подключение пользователей корпоративной сети (в т.ч. MES систем) к сети Связь между ЛВС АСУ ТП и корпоративной ЛВС, используемой для административного управления, связи с системами управления и оптимизации производственной деятельности (MES системы), должна осуществляться на базе сетевого протокола IP поверх соединений 10/100/1000 Base-TX/FX/Т/Х Ethernet. Все маршрутизаторы и коммутаторы должны поддерживать диагностику на базе протокола SNMP. 5.6.8 На уровне линейных объектов ЛВС АСУ ТП должна быть физически или логически отделена от корпоративной ЛВС, используемой для административного управления, связи с системами управления и оптимизации производственной деятельности (MES системы) и доступа в сеть Интернет. 5.6.9 На этапе развертывания систем и АРМ, в процессе их эксплуатации и обновления (модернизации), должен осуществляться контроль целостности системного и прикладного программного обеспечения. 5.6.10 Предварительная отладка, тестирование ПО должно производиться на специально предназначенных имитаторах и тренажерах. 5.6.11 Во всех операционных системах серверов должен быть настроен контроль (аудит) удачных и неудачных попыток регистрации, копирования, чтений/записи, выполнения или удаления файлов стандартными средствами операционной системы. 5.6.12 В серверах и АРМ всех уровней должен быть исключён доступ к внешним устройствам записи информации (накопителей на гибких магнитных дисках (дискетах), приводов CD‑RW, USB-портов (кроме портов для включения аппаратных ключей ПО) и т.п. устройств записи информации), к возможности записи и запуска ПО, в том числе портативного (компактных аналогов обычных программ, не требующих установки) для всех пользователей за исключением пользователей с уровнем доступа «администратор». Удалённый доступ к оборудованию среднего уровня систем автоматизации площадочных объектов из ЛВС МДП, а также других сетей должен быть исключен. Удалённый доступ к оборудованию среднего уровня систем автоматизации площадочных объектов может осуществляться только с верхнего уровня соответствующей системы автоматизации площадочного объекта.
|