智能流程、解决方案和策略
您如何要求您的供应商提供安全保障?您如何评估他们的安全知识和实践的广泛程度?他们是浮华、魅力和商业词汇,还是真的拥有具备为您提供安全产品、服务和解决方案的教育、技能和经验的称职人员?您的供应商是否重视安全的价值或将其视为一种强制性税收?
在 ISA/IEC 62443 系列标准发布之前,供应商在任何标准和标准中都需要回答这些具有挑战性的问题可测量的方式。
不过现在,您可以通过一种方式来指定您想要的内容、您想要的内容以及您想要的最关键的地方。
哈利路亚!
62443 标准规定了对每个纵深防御层的要求——组件、集成到系统中的组件以及系统终端用户或资产所有者。
这些要求特定于网络安全工业控制系统的类型:房屋的 OT 端。许多其他众所周知且无处不在的标准适用于房屋的 IT 方面——NIST 网络安全框架、ISO 27001 和 NIST 800-82——但很难直接应用于评估 OT。 IEC 62443 要求集专门用于解决这一差距和需求。
对于组件和系统而言,技术网络安全控制对于确保组件和/或系统的安全至关重要。这些是加密算法和安全 Web 服务器之类的东西。如果组件或系统不包括这些众所周知的行业最佳实践,那么结果的安全性就有问题。 IEC 62443 标准承认对手有不同的技能、动机和经济激励,这些会给组件和解决方案带来不同类型和级别的风险。 62443 为技术控制提供了分层方法。它们被指定为安全级别 (SL)。
它必须认识到,减轻复杂对手带来的更高级别风险需要组件、集成和/或最终用户成本。许多安全控制非常昂贵,而且不可能在组件级别实施。
关于组件或系统如何构建和维护以及如何处理问题的要求较少受到关注。这可以称为开发或生命周期过程。
62443 标准指定了产品或解决方案生命周期开发所有领域的要求,包括指定安全要求、了解威胁、测试以确保目标威胁得到真正解决
该标准还规定了这些领域的管理要求,例如确保员工具备开发安全组件或解决方案所需的安全技能和经验,即所遵循的流程不断改进随着行业最佳实践的发展,所有步骤的审查始终包括安全方面。
此外,必须以某种方式满足这些生命周期过程要求,并且应用它们的成熟度是衡量标准。这些称为成熟度级别 (ML)。
供应商无法知道哪些技术安全控制及其范围对您来说最重要。这些可以根据 62443 安全级别进行通信。对于任何安全级别,您都可以确保供应商了解并使用行业最佳实践来开发组件,因为所有 62443 组件认证都需要这些。
