評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的可審核方法

ISA ／ IEC 62443系列標(biāo)準(zhǔn)包括十四個(gè)單獨(dú)的文件，每個(gè)尋址工業(yè)系統(tǒng)網(wǎng)絡(luò)安全的主題的具體方面。其中大多數(shù)是標(biāo)準(zhǔn)，共同提供了一套全面的規(guī)范性要求，這些要求適用于解決方案生命周期的各個(gè)階段，從規(guī)范和開(kāi)發(fā)到實(shí)施到操作和支持。

為了對(duì)工業(yè)網(wǎng)絡(luò)安全程序的設(shè)計(jì)和運(yùn)行做出明智的決策，首先必須進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估，以應(yīng)對(duì)威脅，脆弱性和潛在后果。然后，資產(chǎn)所有者和運(yùn)營(yíng)商使用此練習(xí)的結(jié)果來(lái)確定在哪里最好地應(yīng)用稀缺資源以獲得最佳結(jié)果。直到最近，關(guān)于如何進(jìn)行這種評(píng)估的實(shí)踐指導(dǎo)還很少。有一些公司提供這項(xiàng)服務(wù)，但是資產(chǎn)所有者擁有如何自己進(jìn)行評(píng)估的指導(dǎo)也很重要。幸運(yùn)的是，基本方法類(lèi)似于安全評(píng)估所使用的方法，該方法是安全工程師長(zhǎng)期實(shí)踐的方法。這導(dǎo)致了諸如安全過(guò)程危害分析（PHA）等概念的出現(xiàn)。

62443系列標(biāo)準(zhǔn)

ISA99委員會(huì)最近完成了解決該主題的標(biāo)準(zhǔn)的工作。該標(biāo)準(zhǔn)現(xiàn)已以IEC 62443－3－2的形式提供，并且很快將以ISA－62443－3－2的價(jià)格出售，它定義了一組工程措施，這些措施可指導(dǎo)組織完成評(píng)估特定工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)的過(guò)程。確定并應(yīng)用安全對(duì)策，以將安全風(fēng)險(xiǎn)降低到可以容忍的水平。

目標(biāo)受眾包括資產(chǎn)所有者，系統(tǒng)集成商，產(chǎn)品供應(yīng)商，服務(wù)提供商和法規(guī)遵從性機(jī)構(gòu)。該標(biāo)準(zhǔn)圍繞一個(gè)全面的工作流進(jìn)行組織，該工作流包含以下每個(gè)步驟以及所需的輸入和預(yù)期結(jié)果。

1． 定義正在考慮的系統(tǒng)（SUC）。

2． 進(jìn)行初步風(fēng)險(xiǎn)評(píng)估。

3． 將SUC分為區(qū)域和管道。

4． 確定初始風(fēng)險(xiǎn)是否可以承受。

5． 如果需要，請(qǐng)執(zhí)行更詳細(xì)的風(fēng)險(xiǎn)評(píng)估。

6． 記錄安全要求，假設(shè)和約束。

總共為該過(guò)程定義了30多個(gè)規(guī)范要求，每個(gè)要求都有適當(dāng)?shù)睦碛珊脱a(bǔ)充指導(dǎo)。

ISA ／ IEC 62443－3－2是有效的網(wǎng)絡(luò)安全響應(yīng)的重要且長(zhǎng)期以來(lái)期望的組成部分，它反映了公認(rèn)的實(shí)踐或若干學(xué)科。鼓勵(lì)對(duì)此領(lǐng)域有需要或?qū)Υ酥黝}感興趣的人從服務(wù)提供商，培訓(xùn)組織和其他知情的渠道中了解，更多信息盡在振工鏈。