评估网络安全风险的可审核方法
ISA / IEC 62443系列标准包括十四个单独的文件,每个寻址工业系统网络安全的主题的具体方面。其中大多数是标准,共同提供了一套全面的规范性要求,这些要求适用于解决方案生命周期的各个阶段,从规范和开发到实施到操作和支持。
为了对工业网络安全程序的设计和运行做出明智的决策,首先必须进行全面的风险评估,以应对威胁,脆弱性和潜在后果。然后,资产所有者和运营商使用此练习的结果来确定在哪里最好地应用稀缺资源以获得最佳结果。直到最近,关于如何进行这种评估的实践指导还很少。有一些公司提供这项服务,但是资产所有者拥有如何自己进行评估的指导也很重要。幸运的是,基本方法类似于安全评估所使用的方法,该方法是安全工程师长期实践的方法。这导致了诸如安全过程危害分析(PHA)等概念的出现。
62443系列标准
ISA99委员会最近完成了解决该主题的标准的工作。该标准现已以IEC 62443-3-2的形式提供,并且很快将以ISA-62443-3-2的价格出售,它定义了一组工程措施,这些措施可指导组织完成评估特定工业控制系统风险的过程。确定并应用安全对策,以将安全风险降低到可以容忍的水平。
目标受众包括资产所有者,系统集成商,产品供应商,服务提供商和法规遵从性机构。该标准围绕一个全面的工作流进行组织,该工作流包含以下每个步骤以及所需的输入和预期结果。
1. 定义正在考虑的系统(SUC)。
2. 进行初步风险评估。
3. 将SUC分为区域和管道。
4. 确定初始风险是否可以承受。
5. 如果需要,请执行更详细的风险评估。
6. 记录安全要求,假设和约束。
总共为该过程定义了30多个规范要求,每个要求都有适当的理由和补充指导。
ISA / IEC 62443-3-2是有效的网络安全响应的重要且长期以来期望的组成部分,它反映了公认的实践或若干学科。鼓励对此领域有需要或对此主题感兴趣的人从服务提供商,培训组织和其他知情的渠道中了解,更多信息尽在振工链。