Общие требования 4.1 Основные требования Требования сетевой безопасности для цифровых предприятий в сталелитейной промышленности должны соответствовать требованиям второго уровня защиты или выше, включая расширенные требования для промышленных систем управления. Должна быть создана система мониторинга сетевой безопасности, системы раннего предупреждения и информационного уведомления, а также должны быть созданы и усовершенствованы технические средства мониторинга безопасности промышленного Интернета для обнаружения основных рисков сетевой безопасности, проведения оценок воздействия на безопасность и своевременного принятия целевых и эффективных превентивных мер. образом. В соответствии с соответствующими нормами безопасности промышленного Интернета должны быть реализованы защитные меры, соответствующие их собственному уровню безопасности, а стороннему агентству по оценке следует поручить проведение стандартной оценки соответствия и оценки рисков. Разработать планы устранения и реализовать меры по устранению основных рисков безопасности, обнаруженных в ходе анализа и оценки. Компания должна оперативно контролировать ситуацию с безопасностью сети безопасности, разрабатывать план действий в чрезвычайных ситуациях для сетевой безопасности компании и проводить регулярные учения по чрезвычайным ситуациям. 4.2 Требования к управлению 4.2.1 Главное ответственное лицо должно быть первым лицом, ответственным за сетевую безопасность предприятия, ответственным за создание и совершенствование системы ответственности за сетевую безопасность и организацию ее внедрения, построение и совершенствование системы управления сетевой безопасностью предприятия, создание механизм экстренного реагирования на инциденты сетевой безопасности и укрепление сетевой безопасности. Инвестиции и оценка, а также защита сетевой безопасности как важная часть работы и управления предприятием. 4.2.2 Управление персоналом по обеспечению безопасности Управление персоналом по обеспечению безопасности должно отвечать следующим требованиям: а) Должна быть создана система управления персоналом по обеспечению безопасности; в) Должны проводиться регулярные учения по сетевой безопасности для обеспечения скорости реагирования на чрезвычайные ситуации. 4.2.3 Система управления Система управления должна отвечать следующим требованиям: a) За разработку системы управления безопасностью должны отвечать специальные отделы или персонал; b) Должна быть создана полная система управления сетевой безопасностью, такая как авторизация и одобрение, и т. д.; c) Должна быть создана сеть обратной связи и стратегии реагирования на управление безопасностью; d) Специализированные отделы или персонал должны нести ответственность за демонстрацию и одобрение рациональности и применимости системы управления безопасностью на регулярной основе (с интервалом не более одного года) или при существенные изменения и выявление недостатков или потребностей. Пересмотрено в целях улучшения. 4.2.4 Управление использованием носителей Управление использованием носителей должно отвечать следующим требованиям: а) типы носителей, пользователи, права использования и т. д., которые разрешено использовать, должны быть четко определены, и каждый процесс использования носителей должен быть записан; б) Необходимое оборудование для стирания и уничтожения электронной информации должно быть оснащено оборудованием, очищать информацию от носителей информации, измененных для использования, и уничтожать выброшенные носители информации; в) Перед подключением мобильных носителей информации к компьютерам и информационным системам подразделения вирусы, трояны и другие вредоносные коды должны быть проверены, а несъемные носители должны быть проверены и уничтожены.Доступ к доверенным носителям запрещен. 4.2.5 Управление уязвимостями и рисками Управление уязвимостями и рисками должно отвечать следующим требованиям: a) Должна быть создана полная и осуществимая система мониторинга уязвимостей и рисков; b) Должна быть создана стратегия реагирования на чрезвычайные ситуации и план реализации уязвимостей и рисков; c ) Должна быть создана полная система мониторинга уязвимостей и рисков; Критерии приемлемости области процесса устранения уязвимостей и рисков. 4.2.6 Управление эксплуатацией и техническим обслуживанием оборудования и систем Управление эксплуатацией и техническим обслуживанием оборудования и систем должно отвечать следующим требованиям: а) оборудование и системы должны иметь безопасную рабочую среду, а также должны проводиться регулярное техническое обслуживание и проверки; б) персонал, ответственный за эксплуатация оборудования и систем должна проводить необходимое обучение навыкам; c) Оборудование и системы должны иметь необходимые меры защиты от сетевых рисков и должны соответствовать соответствующим национальным нормам. 4.2.7 Мониторинг и аудит безопасности Мониторинг и аудит безопасности должны отвечать следующим требованиям: а) Должна быть создана полная система мониторинга безопасности оборудования и продукции; б) Должны быть предусмотрены функции сигнализации, стратегии реагирования на чрезвычайные ситуации и планы реализации; в) Реагировать на важное оборудование и платформы, системы и т. д. позволяют функции аудита безопасности проверять важное поведение пользователей и важные события безопасности. Записи аудита должны включать дату и время события, пользователя, тип события, успешность события и другие данные аудита. -информация, связанная с; d) персонал службы безопасности должен регулярно автоматически/вручную проверять функции системы мониторинга безопасности и содержание аудита, а также оперативно выявлять потенциальные проблемы риска; e) Обеспечить, чтобы время хранения записей аудита соответствовало законодательным и нормативным требованиям. 4.2.8 Отмена и отмена должны отвечать следующим требованиям: а) Должна быть установлена и строго внедрена строгая система отмены для обеспечения сетевой безопасности; б) Объекты отмены должны быть строго очищены, чтобы гарантировать отсутствие угроз безопасности; в) Функция ликвидации объектов должна быть обеспечена замещающими работами для обеспечения нормальной работы системы. 5 Архитектура управления сетевой безопасностью Сеть цифрового завода в сталелитейной промышленности должна быть разделена на несколько доменов безопасности в соответствии с принципами разделения модели безопасности промышленной системы управления и разделена на три различных домена безопасности: Интернет, предприятие информационная сеть и сеть промышленного управления. Соответствующая взаимосвязь между архитектурой управления сетевой безопасностью и архитектурой бизнес-функций показана на рисунке 1. Рисунок 1. Схема сетевой структуры цифрового завода в сталелитейной промышленности. Разделение различных доменов безопасности должно отвечать следующим требованиям: a) Интернет-часть должна включать доступ сталелитейных компаний к интернет-ресурсам, а также к платформам интернет-сервисов, созданным для производства и операционная деятельность сталелитейных компаний, такая как электронная торговая платформа сталелитейного предприятия, многосайтовая сетевая совместная работа и т. д.; b) часть информационной сети предприятия должна представлять собой сетевую среду, созданную для потока информации, генерируемой внутренней производственной и операционной деятельностью сталелитейные предприятия, такие как сеть управления энергией, сеть управления производством, сеть управления логистикой и т. д.; c) Часть сети промышленного управления должна представлять собой выделенную сетевую среду, созданную для обеспечения нормальной работы оборудования производственного процесса, такого как базовые сети автоматизации, сети управления технологическими процессами и т.д. 6 Требования экологической безопасности 6.1 Физическая среда Физическая среда должна соответствовать положениям 7.1.1 стандарта GB/T22239-2019. 6.2 Сетевая среда Разделение домена безопасности сети цифровой фабрики Базовая архитектура домена безопасности сети цифровой фабрики должна соответствовать положениям 7.5.2.1 в GB/T22239-2019. Безопасность связи между различными уровнями сетей 566.16.26.2.16.2.26.2.2.1 Между Интернетом и информационной сетью предприятия должно быть установлено оборудование сетевой безопасности, такое как межсетевые экраны, управление поведением в Интернете, обнаружение и защита от вторжений, фильтрация информации и т. д. сталелитейных предприятий для обеспечения внутренней безопасности данных предприятия, предотвращения атак и вторжений посторонних во внутреннюю сеть компании. 6.2.2.2 Между информационной сетью металлургического предприятия и сетью промышленного управления должно быть установлено оборудование сетевой безопасности промышленного уровня, такое как промышленные межсетевые экраны, изолирующие шлюзы, шлюзы и т.п., чтобы в максимальной степени обеспечить нормальную работу систем, непосредственно связанных с производством предприятия. степень. 6.2.2.3 Изолированное передающее оборудование должно быть установлено в различных зонах безопасности промышленной сети управления металлургическими предприятиями для обеспечения разумного потока информации с различными уровнями конфиденциальности. 6.2.2.4 Пограничная охрана сетей различных уровней, таких как Интернет, корпоративная информационная сеть и сеть производственного контроля металлургических предприятий, должна отвечать следующим требованиям: а) доступ и передача данных между областями сети должны контролироваться оборудованием пограничной охраны; ) Должны быть приняты меры Технические меры должны быть приняты для проверки или ограничения поведения неавторизованных устройств, подключающихся к внутренней сети без разрешения, такие как логическое отключение незанятых портов коммутатора, аутентификация привязки IP/MAC-адреса и т. д.; c) Следует принять технические меры. Чтобы предотвратить подключение внутренних пользователей к внешней сети без авторизации.Проверьте или ограничьте поведение, например, использование системы управления безопасностью терминала и отключение использования сетевых интерфейсов хоста, таких как серверы, рабочие станции и ноутбуки для управления сетью. 6.2.3.1 Безопасность связи внутри сети на одном уровне 6.2.3.1 Такие меры, как аутентификация личности, контроль доступа, записи операций и аудит данных, должны быть приняты в сети на том же уровне для контроля, записи и аудита операций пользователей, а также создать систему предварительного предотвращения, текущего мониторинга и аудита после события.Жесткая система управления. 6.2.3.2 Вопросы надежности следует учитывать при общении внутри сети на одном уровне.Например, в сценарии централизованного управления металлургическими предприятиями должны быть приняты такие меры, как резервирование хоста и резервирование сети, чтобы обеспечить безопасную и стабильную работу. работу каждой системы управления в централизованной среде управления. 6.2.3.3 Контроль доступа между областями сети на одном уровне должен отвечать следующим требованиям: а) между различными областями сети должны быть приняты строгие, эффективные и минимальные правила контроля доступа для ограничения сетевого взаимодействия между областями сети. потребности бизнеса; б) Оборудование межрегионального контроля доступа должно поддерживать правила проверки контроля доступа к пакетам данных и доступ на основе адреса источника, адреса назначения, порта источника, порта назначения и протокола управления пакетами данных связи; в) Межрегиональный контроль доступа Оборудование контроля доступа должно поддерживать правила проверки контроля доступа к потоку данных и выполнять контроль доступа на основе информации о состоянии сеанса потока данных связи, протоколов приложений (включая протоколы промышленного управления) и содержимого приложения; d) отказ механизма межрегионального управления доступом При возникновении ситуации , сигнал тревоги должен быть подан незамедлительно. 6.3 Аутентификация личности хост-среды должна соответствовать положениям 7.1.4.1 в GB/T22239-2019, а доступ внешним пользователям, не прошедшим аутентификацию личности, должен быть запрещен. Контроль доступа должен соответствовать положениям 7.1.4.2 в GB/T22239-2019, четкие разрешения должны распределяться строго в соответствии с потребностями пользователей, а количество и использование суперпользователей, таких как администраторы, должны строго контролироваться. Предотвращение вторжений 6.3.3.1 должно соответствовать положениям 7.1.4.4 в GB/T22239-2019. 6.3.3.2 Внешние интерфейсы, такие как интерфейсы USB, беспроводная связь и 5G, должны быть закрыты, а установка ненужных или непроверенных программ должна быть запрещена. 6.3.3.3 Для информационной сети стального предприятия и сети промышленного управления в сети должны быть приняты меры по обнаружению вторжений в сеть для эффективного обнаружения известного поведения сетевых атак и неизвестного нового поведения сетевых атак; при обнаружении поведения атаки IP-адрес источника атаки, атака Тип, цель атаки, время атаки и другая информация, а также сигнализация о серьезном вторжении. 6.3.3.4 Беспроводные устройства должны отвечать, помимо прочего, следующим требованиям: а) должны быть способны обнаруживать режим доступа несанкционированного оборудования беспроводного доступа и неавторизованных мобильных терминалов; б) должны быть способны обнаруживать сетевое сканирование оборудования беспроводного доступа; DDoS-атаки, взлом ключей, атаки «человек посередине» и спуфинг-атаки; c) Должна быть возможность обнаружить включенное состояние функций высокого риска, таких как широковещательная передача SSID и WPS устройств беспроводного доступа; d) Устройства беспроводного доступа и устройства беспроводного доступа должны быть отключены. Рискованные функции входного шлюза, такие как широковещательная передача SSID, аутентификация WEP и т. д. e) Следует запретить нескольким точкам доступа использовать один и тот же ключ аутентификации. Предотвращение вредоносного кода 6.3.4.1 должно соответствовать положениям 7.1.4.5 стандарта GB/T22239-2019. В то же время должны быть приняты технические меры, такие как белые или черные списки для защиты от атак вредоносного кода или механизмы доверенной проверки с активным иммунитетом, чтобы оперативно выявлять вторжения и поведение вирусов и эффективно блокировать их. 6.3.4.2 В сценариях, когда в информационной сети стального предприятия необходимо установить несколько приложений, следует использовать черный список для предотвращения проникновения вредоносного кода. 6.3.4.3 Для сценариев, когда в сети управления сталелитейных предприятий работают относительно фиксированные приложения, целесообразно использовать метод белого списка для предотвращения проникновения вредоносного кода. 6.4 Медиа-среда Управление носителями информации должно соответствовать положениям 7.1.10.3 стандарта GB/T22239-2019. В то же время не следует хранить конфиденциальные данные на неконфиденциальных съемных носителях и не использовать конфиденциальные съемные носители данных. на неконфиденциальных компьютерах. Обновление носителя: срок хранения носителя следует отмечать и регулярно проверять.Если он поврежден или срок его действия истек, носитель следует своевременно обновлять, чтобы обеспечить безопасность информации данных. 6.5 Достоверная проверка Доверительная проверка серверов, рабочих станций, хост-компьютеров, оборудования безопасности, контрольного оборудования и т. д. основных систем и сопутствующих систем при построении цифровой фабрики сталелитейных предприятий должна соответствовать положениям 7.1.4.6 в GB/T22239-2019, и в то же время динамическая доверенная проверка должна выполняться на ключевых этапах выполнения приложения. 6.6 Аудит безопасности Основные требования к аудиту безопасности должны соответствовать положениям 7.1.4.3 стандарта GB/T22239-2019. В то же время система на цифровом заводе сталелитейных предприятий также должна отвечать следующим требованиям: а) Реагировать на трафик системы через границы сети и региональное оборудование, меры аудита безопасности должны быть приняты для инцидентов безопасности и операций по техническому обслуживанию сетевого оборудования и оборудования безопасности, а также должны храниться полные записи аудита; b) возможное поведение пользователей удаленного доступа, доступ к поведению пользователей Интернет и т. д. должны подвергаться независимому аудиту и анализу; c) Должен соответствовать положениям b) пункта 7.1.4.3 в GB/T22239-2019 и добавлять записи аудита источников событий, таких как имена пользователей и IP-адреса; d) Должен соответствовать положениям c) пункта 7.1.4.3 GB/T22239-2019. 7 Требования безопасности для создания программного обеспечения 7.1 Идентификация и обработка рисков Модель угроз и анализ рисков Модель угроз и анализ рисков должны отвечать следующим требованиям: a) Модель угроз должна быть создана на основе продуктов цифровой фабрики в соответствии с процессом оценки рисков; и риски должны быть идентифицированы на основе модели угроз; б) Оценка и анализ рисков должны проводиться по рискам для определения классификации, частоты, масштаба и уровня риска и другой информации. Оценка и подтверждение требований безопасности Оценка и подтверждение требований безопасности должны отвечать следующим требованиям: а) должен быть установлен эффективный процесс управления требованиями безопасности для единообразного управления всеми требованиями безопасности продукта; б) требования безопасности должны оцениваться для определения их цели и приоритеты, оценка и т. д. Стратегия и реализация безопасности Стратегия и реализация безопасности должны отвечать следующим требованиям: а) Разумная стратегия безопасности должна быть выбрана в соответствии с требованиями безопасности и безопасно реализована; б) Должен быть установлен разумный процесс для отслеживания процесса реализации безопасности, чтобы гарантировать, что все требования безопасности реализованы. Тестирование и проверка безопасности Тестирование и проверка безопасности должны отвечать следующим требованиям: а) Все реализации безопасности должны быть проверены на безопасность в эффективной среде, чтобы гарантировать эффективность реализаций безопасности; б) Должен быть установлен механизм отслеживания для отслеживания хода тестирования всех реализации безопасности и обеспечения безопасности. Проблемы, обнаруженные в ходе тестирования, решены. 7.2 Процесс внедрения компонентов с открытым исходным кодом регулирует оценку рисков компонентов с открытым исходным кодом. Должен быть установлен эффективный процесс внедрения компонентов с открытым исходным кодом, а его безопасность должна быть разумно оценена, чтобы гарантировать предотвращение неконтролируемых рисков. Справочный обзор компонентов с открытым исходным кодом Справочный обзор компонентов с открытым исходным кодом должен отвечать следующим требованиям: а) Должен существовать процесс оценки рисков внедрения компонентов с открытым исходным кодом для эффективного контроля рисков продукта с открытым исходным кодом; б) Риски внедренные компоненты с открытым исходным кодом должны быть оценены для определения их политики безопасности и достигнутой безопасности. Выпуск лицензий на компоненты с открытым исходным кодом должен эффективно управлять авторизацией лицензий на компоненты с открытым исходным кодом и устанавливать эффективные требования к выпуску лицензий для различных форм продуктов. 7.3 Гарантийные требования к выпуску безопасности системы должны соответствовать следующим требованиям: а) Должны существовать стандартизированные спецификации разработки и управления цифровой производственной системой, чтобы гарантировать, что процесс разработки эффективно выявляет и обрабатывает риски; б) Исходный код должен быть статически отсканирован, и выявленные проблемы должны быть эффективно решены; в) должно быть проведено динамическое сканирование безопасности исходного кода, и выявленные проблемы должны быть эффективно решены; г) должно быть выполнено сканирование безопасности двоичного пакета системы, и выявленные проблемы должны эффективно решаться; e) строгое тестирование продуктов на проникновение должно проводиться в соответствии с требованиями безопасности; эффективно выявлять потенциальные проблемы и устанавливать процедуры их разрешения. 7.4 Мониторинг обновлений безопасности системы, обновлений рисков 7.4.1.1 Должен быть установлен механизм мониторинга рисков для быстрого выявления новых рисков, которым подвержены точки риска, связанные с продуктом. 7.4.1.2 Должен быть установлен механизм уведомления о подписке на риски, обеспечивающий своевременное получение ответственными лицами уведомлений о подписке при возникновении новых рисков. Оценка, устранение и подтверждение риска 7.4.2.1 Новые риски должны быть повторно оценены для определения стратегии риска и мер по устранению. 7.4.2.2 Реагировать на безопасную реализацию новых рисков и отслеживать трубопровод, чтобы обеспечить его полное завершение. 7.4.2.3 Реализация безопасности новых рисков должна быть протестирована и подтверждена в эффективной среде. 8 Требования безопасности данных 8.1 Сбор данных Сбор данных должен отвечать следующим требованиям: а) Он должен соответствовать принципам «законных и законных, последовательных прав и обязанностей, четкой цели и минимально достаточного»; б) Он должен обрабатываться в соответствии с с «Руководством по классификации и классификации промышленных данных (испытательная версия)» Создать механизм классификации и классификации данных для классификации и управления данными; c) Должна быть создана система управления источниками данных для идентификации и регистрации собранных источников данных; d) Качество данных Должны быть доступны возможности управления для мониторинга формата данных, их полноты, мониторинга и оценки качества источников данных. 8.2 При необходимости для передачи данных будут использоваться технологии шифрования, десенсибилизации данных, технологии проверки, цифровой подписи и другие технологии для обеспечения конфиденциальности, целостности и доступности передаваемых данных. Передача данных должна отвечать следующим требованиям: а) для передаваемых конфиденциальных данных следует использовать соответствующие меры шифрования; б) следует строго контролировать открытый и закрытый ключи данных; в) следует использовать безопасный протокол передачи данных. 8.3 Хранение данных Хранение данных должно отвечать следующим требованиям: 123456788.18.28.3a) Должны быть предусмотрены безопасные средства хранения данных и должны быть приняты строгие меры контроля безопасности; b) Должны быть установлены меры по классификации и изоляции безопасности данных в зависимости от количества хранимые данные и важность данных., конфиденциальность данных и другие факторы, выберите соответствующие носители данных и внедрите дифференцированное безопасное управление хранением; c) Для доступа к хранимым данным должны быть установлены политики контроля безопасности и механизмы авторизованного доступа, а также безопасность данных. Должен быть установлен процесс оценки риска; Заметная информация о тревогах должна предоставляться авторизованным пользователям. 8.4 Использование и обмен данными Использование и обмен данными должны отвечать следующим требованиям: 8.4a) Должна быть создана система оценки законного использования данных, чтобы предотвратить неправомерное использование ресурсов данных; b) Должен быть создан механизм снижения чувствительности данных для достижения дифференцированного использования данных. десенсибилизация конфиденциальных данных., установить процесс оценки эффекта десенсибилизации данных; c) Исходный формат данных и конкретные атрибуты должны быть сохранены после десенсибилизации данных, чтобы удовлетворить потребности различных сценариев, таких как разработка, тестирование и обмен; d) Импорт данных и должна быть установлена политика безопасности экспорта, соответствующая бизнес-правилам, такая как политика авторизации, политика пакетного экспорта и т. д. e) Должна быть установлена политика совместного использования данных для уточнения содержания и объема совместного использования данных. 8.5 Уничтожение данных Уничтожение данных должно отвечать следующим требованиям: 8.5a) Должен быть установлен механизм уничтожения данных для уточнения метода уничтожения и требований к уничтожению; b) Необходимые технические средства уничтожения данных и меры контроля должны быть настроены так, чтобы гарантировать, что конфиденциальные данные и их копии уничтожаются в необратимом порядке Содержание; в) Срок хранения данных журналов архивации и уничтожения должен составлять не менее 6 месяцев. 8.6 Требования к управлению безопасностью данных Обнаружение и анализ данных Обнаружение и анализ данных должны отвечать следующим требованиям: 8.6a) Должны быть доступны возможности обнаружения данных для автоматического обнаружения различных типов данных; b) Должны быть установлены соответствующие стратегии классификации и оценки данных для автоматической идентификации данных., создать полное представление данных; c) должно быть установлено отслеживание и мониторинг доступа к данным, их потока и совместного использования, а также должно быть установлено представление доступа к данным, их передачи и совместного использования; d) он должен иметь возможность проводить углубленный анализ данных и проведение комплексного анализа с использованием данных в качестве ядра. Анализ связей и построение многомерных представлений. Требования к управлению разрешениями на данные Управление разрешениями на данные должно отвечать следующим требованиям: 8.6.18.6.2123456788.18.28.38.48.58.68.6.18.6.2a) Должна быть установлена полная стратегия управления разрешениями на данные; b) Доступ к данным должен быть обеспечен на основе принципа минимизации разрешений Разумное разрешение в) Должен быть четко установлен принцип разделения прав на данные. Управление резервным копированием и восстановлением Управление резервным копированием и восстановлением должно отвечать следующим требованиям: а) Должен быть создан полный механизм резервного копирования и восстановления данных для предотвращения повреждения важной информации, такой как управленческая и деловая информация; используется для хранения резервной копии данных и размещения ее в безопасной среде для управления; c) Должны быть доступны возможности мониторинга и управления безопасностью данных, чтобы обеспечить своевременное срабатывание стратегий реагирования в случае повреждения данных; d) Должны быть проведены тренировки по восстановлению резервных данных Необходимо регулярно проверять важные процессы восстановления резервных копий данных. Мониторинг и аудит безопасности данных 8.6.4.1 Осуществлять мониторинг и аудит безопасности данных для предотвращения и контроля рисков безопасности, таких как несанкционированный доступ, злоупотребление данными и утечка данных, которые могут существовать на каждом этапе жизненного цикла данных. 8.6.4.2 Мониторинг безопасности данных должен отвечать следующим требованиям: a) Он должен иметь возможности мониторинга и аудита безопасности данных, такие как отслеживание данных, анализ поведения, мониторинг полномочий и т. д., чтобы обеспечить непрерывный, динамический аудит безопасности данных в режиме реального времени. статус безопасности; б) Он должен иметь возможность отслеживать конфиденциальные данные, а также иметь возможность записывать и контролировать весь процесс передачи конфиденциальных данных; в) Он должен иметь возможность обнаруживать и предупреждать об утечке данных; г) Он должен иметь возможность отслеживать данные и проводить корреляционный анализ поведения данных в различных измерениях, а также отслеживаемость и сбор доказательств; e) он должен иметь возможность отслеживать риски соответствия данных, отслеживать поведение данных в различных сценариях соответствия и выяснять, имеются нарушения, такие как несанкционированный доступ и злоупотребление данными; f) Должна быть возможность отслеживать события с данными. Записи должны включать такую информацию, как данные и тип события, посетитель данных, устройство, приложение, тип операции с данными, дату и время и т. д. 8.6.4.3 Аудит безопасности должен включать, помимо прочего: a) Меры аудита безопасности должны приниматься в ответ на трафик системы, пересекающий границы сети и регионального оборудования, инциденты безопасности сетевого оборудования и оборудования безопасности, операции по техническому обслуживанию и т. д. и должны храниться полные записи аудита; b) Возможное поведение пользователей удаленного доступа и поведение пользователей доступа в Интернет должно подвергаться независимому аудиту и анализу; c) Запись аудита должна включать дату и время события, источник события ( имя пользователя или IP-адрес и т. д.), тип события, а также содержание события и информацию о результатах. Записи аудита должны быть защищены (например, контроль прав доступа и т. д.) и регулярно создавать резервные копии в соответствии с политиками резервного копирования, чтобы избежать неожиданного удаления, изменения или перезаписи; образом.
T/CISA 197-2022 История
2022T/CISA 197-2022 Металлургическая промышленность. Требования кибербезопасности цифрового завода