侵權(quán)投訴
訂閱
糾錯
加入自媒體

ISA和IEC批準(zhǔn)了工業(yè)網(wǎng)絡(luò)安全風(fēng)險評估標(biāo)準(zhǔn)

2020-08-12 15:08
振工鏈
關(guān)注

評估網(wǎng)絡(luò)安全風(fēng)險的可審核方法

ISA / IEC 62443系列標(biāo)準(zhǔn)包括十四個單獨的文件,每個尋址工業(yè)系統(tǒng)網(wǎng)絡(luò)安全的主題的具體方面。其中大多數(shù)是標(biāo)準(zhǔn),共同提供了一套全面的規(guī)范性要求,這些要求適用于解決方案生命周期的各個階段,從規(guī)范和開發(fā)到實施到操作和支持。

為了對工業(yè)網(wǎng)絡(luò)安全程序的設(shè)計和運行做出明智的決策,首先必須進(jìn)行全面的風(fēng)險評估,以應(yīng)對威脅,脆弱性和潛在后果。然后,資產(chǎn)所有者和運營商使用此練習(xí)的結(jié)果來確定在哪里最好地應(yīng)用稀缺資源以獲得最佳結(jié)果。直到最近,關(guān)于如何進(jìn)行這種評估的實踐指導(dǎo)還很少。有一些公司提供這項服務(wù),但是資產(chǎn)所有者擁有如何自己進(jìn)行評估的指導(dǎo)也很重要。幸運的是,基本方法類似于安全評估所使用的方法,該方法是安全工程師長期實踐的方法。這導(dǎo)致了諸如安全過程危害分析(PHA)等概念的出現(xiàn)。

62443系列標(biāo)準(zhǔn)

ISA和IEC批準(zhǔn)了工業(yè)網(wǎng)絡(luò)安全風(fēng)險評估標(biāo)準(zhǔn)

ISA99委員會最近完成了解決該主題的標(biāo)準(zhǔn)的工作。該標(biāo)準(zhǔn)現(xiàn)已以IEC 62443-3-2的形式提供,并且很快將以ISA-62443-3-2的價格出售,它定義了一組工程措施,這些措施可指導(dǎo)組織完成評估特定工業(yè)控制系統(tǒng)風(fēng)險的過程。確定并應(yīng)用安全對策,以將安全風(fēng)險降低到可以容忍的水平。

目標(biāo)受眾包括資產(chǎn)所有者,系統(tǒng)集成商,產(chǎn)品供應(yīng)商,服務(wù)提供商和法規(guī)遵從性機構(gòu)。該標(biāo)準(zhǔn)圍繞一個全面的工作流進(jìn)行組織,該工作流包含以下每個步驟以及所需的輸入和預(yù)期結(jié)果。

1. 定義正在考慮的系統(tǒng)(SUC)。

2. 進(jìn)行初步風(fēng)險評估。

3. 將SUC分為區(qū)域和管道。

4. 確定初始風(fēng)險是否可以承受。

5. 如果需要,請執(zhí)行更詳細(xì)的風(fēng)險評估。

6. 記錄安全要求,假設(shè)和約束。

總共為該過程定義了30多個規(guī)范要求,每個要求都有適當(dāng)?shù)睦碛珊脱a充指導(dǎo)。

ISA / IEC 62443-3-2是有效的網(wǎng)絡(luò)安全響應(yīng)的重要且長期以來期望的組成部分,它反映了公認(rèn)的實踐或若干學(xué)科。鼓勵對此領(lǐng)域有需要或?qū)Υ酥黝}感興趣的人從服務(wù)提供商,培訓(xùn)組織和其他知情的渠道中了解,更多信息盡在振工鏈。

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標(biāo)題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號