ISA和IEC批准了工业网络安全风险评估标准

振工链
关注

评估网络安全风险的可审核方法

ISA / IEC 62443系列标准包括十四个单独的文件,每个寻址工业系统网络安全的主题的具体方面。其中大多数是标准,共同提供了一套全面的规范性要求,这些要求适用于解决方案生命周期的各个阶段,从规范和开发到实施到操作和支持。

为了对工业网络安全程序的设计和运行做出明智的决策,首先必须进行全面的风险评估,以应对威胁,脆弱性和潜在后果。然后,资产所有者和运营商使用此练习的结果来确定在哪里最好地应用稀缺资源以获得最佳结果。直到最近,关于如何进行这种评估的实践指导还很少。有一些公司提供这项服务,但是资产所有者拥有如何自己进行评估的指导也很重要。幸运的是,基本方法类似于安全评估所使用的方法,该方法是安全工程师长期实践的方法。这导致了诸如安全过程危害分析(PHA)等概念的出现。

62443系列标准

ISA和IEC批准了工业网络安全风险评估标准

ISA99委员会最近完成了解决该主题的标准的工作。该标准现已以IEC 62443-3-2的形式提供,并且很快将以ISA-62443-3-2的价格出售,它定义了一组工程措施,这些措施可指导组织完成评估特定工业控制系统风险的过程。确定并应用安全对策,以将安全风险降低到可以容忍的水平。

目标受众包括资产所有者,系统集成商,产品供应商,服务提供商和法规遵从性机构。该标准围绕一个全面的工作流进行组织,该工作流包含以下每个步骤以及所需的输入和预期结果。

1. 定义正在考虑的系统(SUC)。

2. 进行初步风险评估。

3. 将SUC分为区域和管道。

4. 确定初始风险是否可以承受。

5. 如果需要,请执行更详细的风险评估。

6. 记录安全要求,假设和约束。

总共为该过程定义了30多个规范要求,每个要求都有适当的理由和补充指导。

ISA / IEC 62443-3-2是有效的网络安全响应的重要且长期以来期望的组成部分,它反映了公认的实践或若干学科。鼓励对此领域有需要或对此主题感兴趣的人从服务提供商,培训组织和其他知情的渠道中了解,更多信息尽在振工链。

声明: 本文由入驻OFweek维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。
侵权投诉

下载OFweek,一手掌握高科技全行业资讯

还不是OFweek会员,马上注册
打开app,查看更多精彩资讯 >
  • 长按识别二维码
  • 进入OFweek阅读全文
长按图片进行保存