Bezpieczeństwo przemysłowych systemów sterowania: ISA 62443-2-1:2009

Seria norm ISA-62443, opracowana przez Międzynarodowe Towarzystwo Automatyki (ISA), jest kompleksowym zbiorem wytycznych dotyczących zapewnienia bezpieczeństwa systemów automatyki przemysłowej i sterowania (IACS).

ISA 62443-2-1:2009 to jeden konkretny standard z tej serii, który koncentruje się na ustanowieniu systemu bezpieczeństwa systemów automatyki przemysłowej i sterowania. Ponieważ wiele z tych systemów zapewnia krytyczną infrastrukturę, niezbędna jest ich ochrona przed wszelkimi incydentami bezpieczeństwa, które mogą zakłócić działanie. Na tym blogu znajdują się szczegółowe informacje na temat ocen opisanych w ISA 62443-2-1:2009 oraz powody, dla których IACS powinien traktować je priorytetowo.

Zautomatyzuj kwestionariusze oceny bezpieczeństwa za pomocą UpGuard >

Seria norm ISA-62443

Normy ISA-62443 szczegółowo opisują oceny IACS, które zapewniają organizacjom pełną ochronę ich krytycznych systemów przed znaczącymi zagrożeniami fizycznymi i cyfrowymi. IACS, czyli System Automatyki i Sterowania Przemysłowego, odnosi się do zbioru połączonych w sieć systemów wykorzystywanych do obsługi i automatyzacji procesów przemysłowych.

Przykłady obejmują programowalne sterowniki logiczne (PLC), rozproszone systemy sterowania (DCS), systemy sterowania nadzorczego i akwizycji danych (SCADA), interfejsy człowiek-maszyna (HMI) oraz sieci czujników i siłowniki.

Wcześniej znane jako standardy ISA99, standardy ISA-62443 są niezbędne do utrzymania bezpieczeństwa w różnych branżach. Normy zapewniają ustrukturyzowane i systematyczne podejście do zabezpieczania przemysłowych systemów sterowania o krytycznym znaczeniu w różnych sektorach, takich jak produkcja, energetyka, uzdatnianie wody itp. W skład serii wchodzą:

Ogólne pojęcia i modele (ISA-62443-1): Ta sekcja stanowi podstawę serii, przedstawiając definicje, pojęcia i modele używane w zabezpieczeniach IACS.
Ustanowienie systemu bezpieczeństwa systemów automatyki przemysłowej i sterowania (ISA-62443-2): Ta sekcja koncentruje się na tworzeniu i utrzymywaniu programu bezpieczeństwa IACS, w tym na ocenie ryzyka, usuwaniu luk w zabezpieczeniach i środkach ochronnych.
Wymagania dotyczące zabezpieczeń systemu i poziomy zabezpieczeń (ISA 62443-3): W tej sekcji wymieniono szczegółowe wymagania dotyczące zabezpieczeń IACS, zdefiniowano poziomy zabezpieczeń i przedstawiono wymagania dotyczące osiągnięcia tych poziomów.
Wymagania techniczne dla komponentów IACS (ISA 62443-4): W tej sekcji wyjaśniono wymagania techniczne dotyczące komponentów IACS, takie jak wymagania dotyczące bezpiecznych cykli rozwoju produktu i integracji systemów.

Podstawowe komponenty ISA 62443-2-1:2009

Drugi standard z serii ISA 62443 koncentruje się na ustanowieniu systemu bezpieczeństwa systemów automatyki przemysłowej i sterowania. W szczególności norma ta określa elementy cyberbezpieczeństwa niezbędne do zarządzania systemem IACS i prowadzi użytkowników do spełnienia wymagań każdego elementu.

Norma ta określa cztery główne obszary, w których IACS musi nadać priorytet, wraz z określonymi elementami w każdym z nich, które należy zidentyfikować i ocenić.

Ocena programów bezpieczeństwa i prywatności
Ocena bezpieczeństwa infrastruktury
Ocena bezpieczeństwa fizycznego i bezpieczeństwa centrum danych
Ocena bezpieczeństwa aplikacji

Ocena programów bezpieczeństwa i prywatności

Program bezpieczeństwa i prywatności informacji to kompleksowy zestaw zasad, wytycznych i procesów służących do identyfikowania i eliminowania zagrożeń i ryzyka dla informacji i systemów firmowych. W przypadku IACS niezbędne są oceny programów bezpieczeństwa i prywatności. W tej sekcji ISA 62443-2-1:2009 skupiono się na tym, czy organizacja ma ustanowiony program zabezpieczeń, a jeśli nie, przedstawiono kluczowe obszary, które należy wziąć pod uwagę podczas jego tworzenia.

Sprawdzony program bezpieczeństwa i prywatności pomaga zapewnić bezpieczeństwo informacji o klientach. Norma ta ocenia kluczowe obszary, w tym:

Bezpieczeństwo i prywatność: Ustanowione programy bezpieczeństwa i środki kontroli bezpieczeństwa
Bezpieczeństwo personelu: kontrola dostępu, protokoły haseł, umowy o zachowaniu poufności, szkolenia w zakresie bezpieczeństwa informacji i prywatności dla pracowników itp.
Zgodność z przepisami ustawowymi i wykonawczymi: proces identyfikacji, dokumentowania i utrzymywania odpowiednich wymogów prawnych, regulacyjnych i umownych

Ocena bezpieczeństwa infrastruktury

Ocena bezpieczeństwa infrastruktury to kompleksowa ocena fizycznej i cyfrowej infrastruktury IACS. Jego celem jest zidentyfikowanie wszelkich podatności lub potencjalnych punktów awarii, które mogą być zagrożone cyberzagrożeniami.

IACS często wykorzystuje systemy krytyczne dla różnych procesów przemysłowych, więc każdy rodzaj naruszenia lub awarii może mieć katastrofalne konsekwencje (zakłócenia operacyjne, zagrożenia bezpieczeństwa itp.). W związku z tym ten typ oceny pomaga zrozumieć stan zabezpieczeń i adekwatność istniejących środków bezpieczeństwa. Obszary w tej sekcji ISA-62443-2-1:2009 obejmują:

Sieć: narzędzia do zarządzania konfiguracją systemu, zapory sieciowe, szyfrowanie danych, posegregowane systemy, ciągłe monitorowanie itp.
Serwery: procesy aktualizacji i poprawek systemu operacyjnego, środki ochrony przed złośliwym oprogramowaniem itp.
Klienci (stacje robocze, laptopy itp.): Standardy dla systemów klienckich, ochrona przed złośliwym oprogramowaniem na urządzeniach klienckich, osobista kontrola dostępu itp.
Umowy dotyczące wsparcia technicznego dla nieobsługiwanych wersji systemu operacyjnego
Zarządzanie danymi: Oddzielne środowiska do programowania, testowania i produkcji
Techniczne testy bezpieczeństwa: testy penetracyjne, skanowanie luk w zabezpieczeniach, testy bezpieczeństwa itp.
Rejestrowanie: Rejestrowanie zdarzeń związanych z zabezpieczeniami
Zarządzanie zasobami: Aktualne inwentaryzacje, śledzenie zasobów pracowników/wykonawców/osób trzecich itp.

Ocena bezpieczeństwa fizycznego i bezpieczeństwa centrum danych

Kolejny obszar ISA-62443-2-1:2009 koncentruje się na bezpieczeństwie fizycznym i bezpieczeństwie centrów danych. Ocena ta ocenia fizyczne środki bezpieczeństwa, które zapobiegają nieautoryzowanemu dostępowi do wrażliwego sprzętu i centrów danych, w których jednostka przechowuje komponenty i dane swojego IACS.

Kompleksowa ocena identyfikuje fizyczne kontrole dostępu, systemy nadzoru i kontrole środowiskowe. Ta ocena ocenia stan zabezpieczeń przed zagrożeniami cybernetycznymi, takimi jak hakowanie, złośliwe oprogramowanie i naruszenia danych dla zasobów cyfrowych. To podwójne podejście zapewnia solidne bezpieczeństwo fizyczne i bezpieczeństwo centrum danych oraz bieżące operacje IACS. Obszary w tej sekcji obejmują:

Bezpieczeństwo w biurze: środki fizyczne, takie jak strażnicy, czujniki ruchu, telewizja przemysłowa, elektroniczna kontrola dostępu, ochrona obwodowa, automatyczne blokowanie nienadzorowanego sprzętu itp.
Bezpieczeństwo centrum danych: Kontrolowane punkty dostępowe, protokoły awarii, oceny ryzyka itp.

Ocena bezpieczeństwa aplikacji

Aplikacje odgrywają kluczową rolę w sterowaniu, monitorowaniu i zarządzaniu procesami przemysłowymi w IACS. Każda luka w tych aplikacjach może prowadzić do znacznego ryzyka, takiego jak zakłócenia operacyjne, naruszenia danych i zagrożenia bezpieczeństwa.

Przeprowadzenie kompleksowej oceny bezpieczeństwa tych aplikacji może pomóc w zidentyfikowaniu i ograniczeniu luk w zabezpieczeniach, w tym błędów w kodzie, nieodpowiedniego szyfrowania lub niezabezpieczonych interfejsów API, które mogą zostać wykorzystane przez cyberprzestępców. Ocenia również skuteczność istniejących protokołów bezpieczeństwa, takich jak mechanizmy uwierzytelniania i autoryzacji, oraz zapewnia zgodność ze standardami branżowymi i najlepszymi praktykami. Obszary w tej sekcji obejmują:

Raportowanie luk w zabezpieczeniach i zarządzanie nimi: Procesy zgłaszania luk w zabezpieczeniach, powiadamiania klientów itp.
Uwierzytelnianie i autoryzacja: usługi uwierzytelniania, wymagania dotyczące haseł, mechanizmy SSO itp.
Cykl życia tworzenia oprogramowania: wymagania dotyczące bezpieczeństwa aplikacji, integralności i poufności przetwarzanych informacji, bezpiecznych procesów kodowania itp.
Zależności stron trzecich: Przeglądy bezpieczeństwa dostawców usług outsourcingowych

UpGuard, BreachSight i VendorRisk automatyzują proces oceny za pomocą naszych potężnych wbudowanych kwestionariuszy bezpieczeństwa. Wysyłaj standardowe szablony lub niestandardowe kwestionariusze do swoich dostawców, konfiguruj terminy wypełniania kwestionariuszy i ustawiaj regularne przypomnienia, aby zapewnić dostawcom sprawną realizację wniosków.

Zagrożenia są automatycznie identyfikowane w odpowiedziach dostawców, dzięki czemu można zażądać ich usunięcia lub zrzec się ich. Współpracuj z dostawcami w celu ograniczania ryzyka za pomocą przepływu pracy oceny ryzyka, koresponduj bezpośrednio w celu uzyskania konkretnych odpowiedzi dostawców za pomocą wbudowanych komunikatów z możliwością audytu lub dodawaj notatki wewnętrzne.

Nasza biblioteka kwestionariuszy zawiera odniesienia do przepisów i najlepszych praktyk z branży cyberbezpieczeństwa, w tym:

Kwestionariusz SIG Lite
Kwestionariusz ISO 227001
Kwestionariusz narzędzia do oceny dostawców dla społeczności szkolnictwa wyższego (HECVAT)
Kwestionariusz ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA)
Kwestionariusz ram bezpieczeństwa cybernetycznego NIST
Standardowy kwestionariusz bezpieczeństwa COBIT 5
Kwestionariusz dotyczący kalifornijskiej ustawy o ochronie prywatności konsumentów (CCPA)
CIS Controls 7.1 Standardowy Kwestionariusz Bezpieczeństwa
Kwestionariusz PCI DSS
Apache Log4J — kwestionariusz dotyczący krytycznej luki w zabezpieczeniach