Endüstriyel siber güvenlik için IEC 62443 standardında diziye tekrar hoş geldiniz. Bu üçüncü taksit, ikinci belge dizisinin veya IEC 62443-2 serisindeki belgelerin bir parçası olan belgeleri araştıracaktır.
|
• 62443-2-1 Bir IACS Siber Güvenlik Yönetim Sistemi Oluşturma • 62443-2-2 IACS Güvenlik Koruma Şeması (SPS) • IACS ortamında 62443-2-3 yama yönetimi • 62443-2-4 IACS Servis Sağlayıcıları için Güvenlik Programı Gereksinimleri |
Bu belge dizisi hala endüstriyel güvenlik, politikalar, prosedürler ve benzerlerinin daha yumuşak alanlarına yöneliktir, ancak hepsi hangi bölümlerin politikaların ve prosedürlerin bir parçası olması gerektiği konusunda rehberlik eder!
IEC 62443-1 serisinin bir parçası olan belgelerle ilgili önceki makalede olduğu gibi, size IEC62443-2 serisindeki belgelerin bir parçası olan bazı içerikler hakkında bilgi vereceğim. Bu şekilde, size en çok değer sağlayacak belgelere odaklanabilirsiniz, çünkü ulusal standartlar organınızdan belgeleri satın alma maliyeti önemsizdir.
IEC 6244321’in amacı, varlık sahibinin sorumluluklarına odaklanan endüstriyel otomasyon ve kontrol sistemleri (IACS) için etkili bir siber güvenlik yönetim sistemi (CSMS) oluşturmak ve sürdürmek için rehberlik ve gereksinimler sağlamaktır.
Daha basit bir şekilde, bir organizasyona teknik cihaz gereksinimlerini belirlemek yerine endüstriyel sistemleri için siber güvenliği nasıl organize edeceğini, uygulayacağını ve sürdüreceğini anlatır.
Yapı ve Çekirdek İçerik
1. IACS Güvenlik Programına Giriş
- Geleneksel BT siber güvenlik yaklaşımlarının neden yeterli değil IACS için.
- Program hedeflerinin ana hatlarını çizer, aşağıdakiler:
- Kullanılabilirliği ve güvenliği korumak
- Siber olayların riskini azaltmak
- Düzenleyici ve iş gereksinimlerini karşılamak
2. Güvenlik Programı Gereksinimleri
Standart, bir siber güvenlik programının minimum unsurlarını tanımlar:
- Politika ve yönetişim
- Bir IACS güvenlik politikası oluşturulması
- Siber güvenlik için rol ve sorumluluk atama
- Yönetim taahhüdü ve kaynak tahsisi
- Risk yönetimi
- IACS’ye özgü risk değerlendirmelerinin gerçekleştirilmesi
- Kritik varlık ve güvenlik açıklarının belirlenmesi
- Hedef Güvenlik Düzeylerinin Belirlenmesi (SL-T)
- Güvenlik Programı Uygulaması
- Güvenlik kontrollerini planlama ve önceliklendirme
- Prosedürler ve yönergeler geliştirme
- Personeli eğitim ve farkındalığı artırma
- İzleme ve sürekli iyileştirme
- KPIS kullanarak program etkinliğini izleme
- Programı düzenli olarak denetleme ve güncelleme
- Olaylardan öğrenilen derslerin dahil edilmesi
3. Siber Güvenlik Yönetim Sistemi (CSMS) Modeli
- ISO 27001’deki PDCA döngüsüne (plan-yapı-kontrol-akış) benzer.
- Şunlardan oluşur:
- CSM’lerin kurulması
- CSM’lerin uygulanması ve çalıştırılması
- Performansı izleme ve gözden geçirme
- CSM’lerin korunması ve geliştirilmesi
4 IEC 62443 Yaşam Döngüsü ile Entegrasyon
- IEC 62443-1-4’teki güvenlik yaşam döngüsü kavramlarıyla hizalanır.
- Yönetim süreçlerini teknik kontrollere bağlar (3-3 olarak tanımlanmıştır, bu serideki sonraki makaleye bakın).
- Örgütsel ve teknik katmanları koordine ederek savunmayı derinlemesine destekler
5. Dokümantasyon ve raporlama
- Şunlar için net belgeler önerir:
- Güvenlik Politikaları
- Varlık Envanterleri
- Risk değerlendirmeleri
- Olay Günlükleri
Düzenleyici gereksinimlerle ilgili kısım, yaşam bilimi sektörü gibi birçok sektör için önemlidir, ancak yetkililerin sürekli artan düzenlemeleriyle, genel olarak IEC 62443 standardı uyumluluk ve sorumluluğu göstermeye yardımcı olabilir!
IEC 6244322’nin amacı, endüstriyel otomasyon ve kontrol sistemleri (IACS) için güvenlik korumalarının uygulanması ve sürdürülmesi için pratik, operasyonel rehberlik sağlamaktır.
1. Güvenlik Koruma Şeması (SPS) Tanımı
- SPS’yi IACS operasyonu sırasında siber riskleri yönetmek için konuşlandırılan teknik, fiziksel ve süreç önlemlerinin portföyü olarak tanımlar
- SPS, yüksek seviyeli CSM’leri 6244321’den ayrıntılı koruma mekanizmalarıyla genişletir.
2. Yaşam döngüsü rehberliği
- SPS yaşam döngüsünü temel aşamalarda çerçeveler: geliştirme, doğrulama, dağıtım, işletme ve bakım.
- Siber güvenlik operasyonlarını genel varlık sahibi güvenlik programı hedefleriyle hizalar
3. Bağlam ve Referanslar
- 62443 serisinin önceki bölümleri üzerine inşa eder – yani 21, 24, 32 ve 33 (bu serideki bir sonraki makaleye bakın) – yerleşik terminoloji, risk değerlendirmesi ve sistem gereksinimleri konusundaki önerilerini topraklamak için
4. Olgunluk Değerlendirme Modeli
- SP’lerin pratikte ne kadar olgunlaştığını değerlendirmeye yardımcı olan tabloları (örneğin, vade seviyesi değerlendirme prosedürleri ve özellikler) içerir
Olgunluk değerlendirme modeli sizin için yeni olabilir, ISA/IEC 62443 SMM, endüstriyel siber güvenlik için tipik olgunluk modelidir. IACS güvenliğini ne kadar etkili bir şekilde yönetebileceklerini ve sürdürebileceklerini belirlemek için bir kuruluşun yönetişimini, süreçlerini ve teknik uygulamalarını değerlendirir.
|
Resmi veya tekrarlanabilir güvenlik uygulaması yok |
|
|
Geçici uygulamalar; Tehditlere reaktif yanıt |
|
|
Temel tekrarlanabilir süreçler; Bazı proaktif önlemler |
|
|
Organizasyon genelinde iyi belgelenmiş, entegre süreçler |
|
|
Güvenlik uygulamalarının sürekli iyileştirilmesi ve optimizasyonu |
CMMI modeli gibi Yetenek Olgunluk Modeli Entegrasyonu – Wikipediaancak endüstriyel siber güvenliğin karşılaştığı zorluklara odaklanarak.
IEC 6244323’ün amacı (IACS ortamında yama yönetimiTeknik Rapor olarak yayınlanmıştır) Özellikle Endüstriyel Otomasyon ve Kontrol Sistemleri (IACS) için bir yama yönetimi sürecinin kurulması ve yönetilmesi için rehberlik sağlamaktır.
Sık ve rutin olan yamalamanın aksine, OT ortamları (bitkiler, SCADA, DC’ler, PLC’ler) özel kullanım gerektirir, çünkü kesinti veya beklenmedik davranış güvenliği, kullanılabilirliği ve üretimi etkileyebilir
1. Yama Yönetimi Yaşam Döngüsü
Tam bir programlı yaşam döngüsü kaplamasını açıklar:
- Yama Kimliği – Satıcı Tedarikçi Tavsiyeleri ve Bültenleri
- Önceliklendirme – risk, kritiklik ve operasyonel etkiye dayalı
- Test – Sandbox’ta veya evreleme ortamlarında doğrulama
- Dağıtım – Değişiklik Yönetimi Prosedürlerini Kullanarak Zamanlanmış Yeniden Sunum
- Doğrulama – Başarılı kurulum ve sistem istikrarını doğrulamak
2. Standart Yama Bilgi Değişimi
Meta veriler ve uygulanabilirlik kriterleri dahil olmak üzere, tedarikçilerden varlık sahiplerine yama ayrıntılarını iletmek için önerilen bir biçimi (genellikle XML tabanlı) tanımlar
3. Rol açıklaması
- Ürün Tedarikçileri: Yama içeriği hazırlamak ve dağıtmak ve rehberlik desteklemekten sorumludur.
- Varlık Sahipleri: Değerlendirme, test, dağıtım, geri alma planlaması ve yamanın izlenmesi ile görevli
- Ürün Tedarikçileri: Yama içeriği hazırlamak ve dağıtmaktan ve rehberliği desteklemekten sorumludur.
- Varlık Sahipleri: Değerlendirme, test, dağıtım, geri alma planlaması ve yamanın izlenmesi ile görevli
4. OT’ye özgü zorluklar
Endüstriyel ortamlarda benzersiz sorunları ele alır:
- Güvenlik-Kritik Operasyonlar
- Miras ve özel ekipman
- Yüksek Kullanılabilirlik Gereksinimleri
- Yamalar uygularken geri dönüş mekanizmalarına ve risk kontrollerine ihtiyaç
Çoğu endüstriyel ortamın çok fazla eski ekipmana sahip olduğu için, BT dünyasından bilindiği gibi normal yama, endüstriyel bir ortamda uygulanamaz.
IEC 6244324’ün amacı (IACS Servis Sağlayıcıları için Güvenlik Programı Gereksinimleri) endüstriyel otomasyon ve kontrol sistemlerine (IACS) hizmet veren kuruluşlar için siber güvenlik gereksinimlerini tanımlamaktır.
Sistem entegratörlerinin, bakım sağlayıcılarının ve diğer hizmet kuruluşlarının, varlık sahipleri için IAC’leri tasarlarken, entegre ettiklerinde veya işlettiklerinde tutarlı, denetlenebilir siber güvenlik uygulamalarını takip etmelerini sağlar.
1. Standartın amacı
- IACS’yi ele alan harici tarafların (entegratörler, servis sağlayıcılar) varlık sahibinin güvenlik programı ile uyumlu siber güvenlik önlemleri uygulamasını sağlayın.
- Tedarikçiler için açık gereksinimler tanımlayarak tedarik, uyumluluk ve denetimi destekleyin.
2. Güvenlik Programı Gereksinimleri
Belge, bir servis sağlayıcısının iç güvenliği için gereksinimleri tanımlar programiçermek:
- Örgütsel güvenlik
- Belgelenmiş Siber Güvenlik Politikaları
- Tanımlanmış roller ve sorumluluklar
- Personel Veterinerlik, Eğitim ve Farkındalık Programları
- Sistem ve Ağ Güvenliği Uygulamaları
- Güvenli yapılandırma ve sertleştirme uygulaması
- Erişim Kontrolü, Hesap Yönetimi ve Parola Politikaları
- Güvenli kanallar ve izleme dahil uzaklık erişim yönetimi
- Operasyonel ve bakım güvenliği
- Yama ve güvenlik açığı yönetimi prosedürleri
- Değişim Yönetimi ve Belgeleri
- Yedekleme ve Kurtarma Prosedürleri
- Olay ve risk yönetimi
- Olay Yanıt Planlaması ve Raporlama
- Risk değerlendirmeleri ve azaltma planlaması
- Güvenlik ile ilgili etkinlik için günlük kaydı ve denetim parkurları
3. Tedarikçi değerlendirmesi ve denetimi
- Hizmet sağlayıcısının IEC 62443’e uygunluğunu değerlendirmek için bir çerçeve sağlar.
- Satıcı seçimi ve sözleşmeler için ölçülebilir gereksinimler sunarak varlık sahiplerini tedarik alanında destekler.
4 Güvenlik seviyelerine eşleme
- Tedarikçi gereksinimlerini IEC 6244311 ve 33’te tanıtılan güvenlik seviyelerine (SL 1-4) bağlar.
- Bir tedarikçinin daha yüksek SLS gerektiren sistemleri destekleyip destekleyemeyeceğini belirlemeye yardımcı olur.
5. Dokümantasyon Gereksinimleri
- Servis sağlayıcıları açık ve denetlenebilir belgeleri sürdürmelidir:
- Güvenlik politikaları ve prosedürleri
- Günlükleri ve bakım kayıtlarını değiştirin
- Olay raporları ve düzeltici eylemler
Bu, bir müşterinin yeni ekipman ararken veya zaten var olan bir ortam için yeni bir servis sağlayıcısı aradığınızda kullanması gereken belgedir. AB NIS2 ve CRA (Siber Esneklik Yasası) yürürlüğe girdiğinden, bu belgenin önümüzdeki yıllarda her zaman önemli olmasını bekliyorum.
IEC 62443-2 serisinin bir parçası olan belgeler, endüstriyel bir ortamda siber güvenlik için politikalar ve prosedürler tasarlamamıza ve uygulamamıza yardımcı olan önemli temel belgelerdir.
Serinin bir sonraki makalesi IEC 62443-3 serisindeki belgeye bakacak:
|
• IAC için IEC 62443-3-1 Güvenlik Teknolojileri • IEC 62443-3-2 Güvenlik Risk Değerlendirmesi ve Sistem Tasarımı • IEC 62443-3-3 Sistem güvenlik gereksinimleri ve güvenlik seviyeleri |
Sizler için, daha teknik bir bükülme, bir sonraki makale endüstriyel güvenliğin daha teknik bölümlerine bakacak!
Serinin geri kalanına göz atın: Bölüm I | Bölüm II | Bölüm III | Kelime bilgisi
