NIS2 OT saugumas: ISO 27001 ir IEC 62443 susiejimo žemėlapis

Pirmadienį 02:17 vandens valymo operatorius gauna dozavimo sistemos pavojaus signalą. Cheminių medžiagų tiekimas vis dar neviršija saugos ribų, tačiau vienas PLC praneša apie netipines komandas, inžinerinėje darbo stotyje matomi nepavykę prisijungimai iš tiekėjo VPN paskyros, o budintis SOC analitikas užduoda klausimą, į kurį niekas nenori atsakyti patirdamas spaudimą.

Ar tai IT incidentas, OT incidentas, saugos įvykis, ar pagal NIS2 praneštinas reikšmingas incidentas?

Gamykloje yra ugniasienės. Yra ISO dokumentacija. Yra tiekėjų skaičiuoklė. Yra net reagavimo į incidentus planas. Tačiau planas buvo parengtas el. pašto kompromitavimui ir debesijos paslaugų nepasiekiamumui, o ne senosios kartos valdikliui, kurio negalima pataisyti gamybos metu, tiekėjui, kuriam reikia nuotolinės prieigos paslaugai atkurti, ir reguliuotojui, kuris tikisi įrodymų per NIS2 pranešimų teikimo terminus.

Ta pati problema kyla ir valdybų posėdžiuose. Regioninio energetikos paslaugų teikėjo CISO gali turėti ISO/IEC 27001:2022 sertifikuotą informacijos saugumo valdymo sistemą organizacijos IT sričiai, o operacinių technologijų ūkis tebėra sudėtingas PLC, RTU, HMI, istorinių duomenų serverių, inžinerinių darbo stočių, pramoninių komutatorių ir tiekėjų prieigos kelių mazgas. Generalinio direktoriaus klausimas paprastas: „Ar esame apsaugoti? Ar galite tai įrodyti?“

Daugeliui esminių ir svarbių subjektų sąžiningas atsakymas nėra patogus. Jie iš dalies apsaugoti. Jie iš dalies gali tai įrodyti. Tačiau NIS2 OT saugumui nepakanka bendros IT atitikties.

Tam reikalingas vieningas veiklos modelis, susiejantis ISO/IEC 27001:2022 valdyseną, ISO/IEC 27002:2022 kontrolės priemonių kalbą, IEC 62443 pramoninės inžinerijos praktikas, NIS2 Article 21 kibernetinio saugumo rizikos valdymo priemones ir NIS2 Article 23 pranešimo apie incidentus įrodymus.

Šis vadovas ir kuria tokį tiltą.

Kodėl NIS2 OT saugumas skiriasi nuo įprastos IT atitikties

NIS2 taikoma daugeliui viešojo ir privataus sektoriaus subjektų, teikiančių į taikymo sritį patenkančias paslaugas ES, įskaitant esminius ir svarbius subjektus tokiuose sektoriuose kaip energetika, transportas, bankininkystė, finansų rinkų infrastruktūra, sveikatos priežiūra, geriamasis vanduo, nuotekos, skaitmeninė infrastruktūra, IRT paslaugų valdymas, viešasis administravimas, kosmosas, pašto paslaugos, atliekų tvarkymas, gamyba, cheminės medžiagos, maistas, skaitmeninių paslaugų teikėjai ir moksliniai tyrimai.

Direktyvoje reikalaujama tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių kibernetinėms rizikoms valdyti, incidentų poveikiui užkirsti kelią arba jį sumažinti ir paslaugų tęstinumui apsaugoti. Article 21 apima visų grėsmių požiūrį, kuriame numatyta rizikos analizė, saugumo politikos, incidentų valdymas, veiklos tęstinumas, krizių valdymas, tiekimo grandinės saugumas, saugus įsigijimas ir priežiūra, pažeidžiamumų tvarkymas ir atskleidimas, veiksmingumo vertinimas, kibernetinė higiena, mokymai, kriptografija, personalo saugumas, prieigos kontrolė, turto valdymas, MFA arba tęstinis autentifikavimas, saugios komunikacijos ir, kai tinkama, avarinės komunikacijos.

Šie reikalavimai ISO/IEC 27001:2022 komandai skamba pažįstamai. OT aplinkoje kiekvienas iš jų veikia kitaip.

Žiniatinklio serverio pažeidžiamumas dažnai gali būti pataisytas per kelias dienas. Turbinos valdiklio pažeidžiamumui gali prireikti tiekėjo validavimo, priežiūros lango, saugos peržiūros ir atsarginių veiklos procedūrų. Nešiojamąjį kompiuterį galima perkurti. Gamybos HMI gali priklausyti nuo senosios operacinės sistemos, nes pramoninė taikomoji programa nėra sertifikuota naujesnei platformai. SOC veiksmų planas gali nurodyti „izoliuoti pagrindinį kompiuterį“, o OT inžinierius atsakys: „ne tol, kol nežinome, ar izoliavimas paveiks slėgio valdymą.“

Skirtumas nėra vien techninis. IT paprastai prioritetą teikia konfidencialumui, vientisumui ir prieinamumui. OT prioritetą teikia prieinamumui, proceso vientisumui ir saugai. Saugumo kontrolės priemonė, sukelianti delsą, reikalaujanti perkrovimo arba nutraukianti fizinį procesą, gali būti nepriimtina be inžinerinio patvirtinimo.

NIS2 neatleidžia OT nuo kibernetinio saugumo rizikos valdymo. Ji tikisi, kad organizacija pagrįs, jog kontrolės priemonės yra tinkamos rizikai ir proporcingos operacinei realybei.

Kontrolės priemonių sluoksniai: NIS2, ISO/IEC 27001:2022, ISO/IEC 27002:2022 ir IEC 62443

Pagrįsta NIS2 OT saugumo programa prasideda nuo sluoksniuoto kontrolės priemonių rinkinio.

ISO/IEC 27001:2022 suteikia valdymo sistemos pagrindą. Jis reikalauja, kad organizacija apibrėžtų kontekstą, suinteresuotąsias šalis, reglamentavimo įpareigojimus, ISVS taikymo sritį, sąsajas ir priklausomybes. Taip pat reikalaujama vadovybės atsakomybės, informacijos saugumo politikos, rizikos vertinimo, rizikos tvarkymo, Taikytinumo pareiškimo, dokumentuotos informacijos, vidaus audito, vadovybės peržiūros ir nuolatinio tobulinimo.

ISO/IEC 27002:2022 suteikia kontrolės priemonių terminiją. OT srityje svarbiausios kontrolės priemonės dažnai apima tiekėjų saugumą, IRT tiekimo grandinės rizikos valdymą, incidentų planavimą, pasirengimą veiklos tęstinumui, teisinius ir sutartinius reikalavimus, turto valdymą, prieigos kontrolę, pažeidžiamumų valdymą, atsargines kopijas, žurnalavimą, stebėseną, tinklo saugumą ir tinklų atskyrimą.

IEC 62443 suteikia pramoninio saugumo inžinerijos modelį. Jis padeda valdymo sistemos reikalavimus paversti OT praktikomis, tokiomis kaip zonos, kanalai, saugumo lygiai, turto savininkų atsakomybės, sistemų integratorių atsakomybės, produktų tiekėjų lūkesčiai, nuotolinės prieigos apribojimai, mažiausio funkcionalumo principas, paskyrų valdymas, sistemų grūdinimas ir gyvavimo ciklo kontrolės priemonės.

Clarysec naudoja šį sluoksnių modelį, nes jis padeda išvengti dviejų dažnų nesėkmių. Pirma, jis neleidžia ISO įgyvendinimui tapti pernelyg bendram OT aplinkai. Antra, jis neleidžia IEC 62443 inžineriniam darbui atsiskirti nuo valdybos atskaitomybės, NIS2 pranešimų teikimo pareigų ir audito įrodymų.

Clarysec IoT / OT saugumo politika šį tiltą įvardija tiesiogiai:

Užtikrinti, kad visi diegimai būtų suderinti su ISO/IEC 27001 kontrolės priemonėmis ir taikomomis sektoriaus gairėmis (pvz., IEC 62443, ISO 27019, NIST SP 800-82).

Šis sakinys svarbus. Politika nėra vien įrenginių grūdinimo kontrolinis sąrašas. Ji susieja ISO valdyseną, OT sektoriaus gaires ir operacinį saugumą.

Pradėkite nuo taikymo srities: kuri OT paslauga turi būti apsaugota?

Prieš susiejant kontrolės priemones, OT paslaugą reikia apibrėžti verslo ir reglamentavimo kalba.

Gamyklos vadovas gali pasakyti: „Mes valdome pakavimo liniją.“ NIS2 vertinime turėtų būti nurodyta: „Šis gamybos procesas palaiko esminę arba svarbią paslaugą ir priklauso nuo PLC, HMI, inžinerinių darbo stočių, istorinių duomenų serverių, pramoninių komutatorių, nuotolinės tiekėjų prieigos, priežiūros rangovo, debesijos analitikos srauto ir įmonės tapatybės paslaugos.“

ISO/IEC 27001:2022 4.1–4.4 punktai naudingi, nes jie įpareigoja organizaciją identifikuoti vidaus ir išorės klausimus, suinteresuotąsias šalis, teisinius ir sutartinius reikalavimus, ISVS ribas, sąsajas ir priklausomybes. NIS2 OT saugumui tai reiškia ne tik būstinės tinklo, bet ir pramoninių sistemų bei paslaugų priklausomybių, veikiančių tęstinumą, saugą ir reguliuojamą paslaugų teikimą, susiejimą.

NIST CSF 2.0 sustiprina tą pačią logiką. Jo GOVERN funkcija reikalauja suprasti misiją, suinteresuotąsias šalis, priklausomybes, teisinius ir reglamentavimo įpareigojimus, kritines paslaugas ir paslaugas, nuo kurių organizacija priklauso. Organizaciniai profiliai suteikia praktinį metodą dabartinei būsenai apibrėžti, tikslinei būsenai nustatyti, spragoms analizuoti ir prioritetizuotam veiksmų planui parengti.

OT aplinkai Clarysec paprastai pradeda nuo penkių klausimų:

1. Kokią reguliuojamą arba kritinę paslaugą palaiko ši OT aplinka?
2. Kokie OT turtai, tinklai, duomenų srautai ir trečiosios šalys yra būtini tai paslaugai?
3. Kokie saugos, prieinamumo ir operaciniai apribojimai veikia saugumo kontrolės priemones?
4. Kokie teisiniai, sutartiniai ir sektoriaus įpareigojimai taikomi, įskaitant NIS2, GDPR, DORA, kai aktualu, klientų sutartis ir nacionalines taisykles?
5. Kurios aplinkos dalys patenka į ISVS, o kurios yra išorinės priklausomybės, kurioms reikia tiekėjų kontrolės priemonių?

Daugelis NIS2 programų žlunga šiame etape. Jos taikymo sritį formuoja aplink organizacijos IT, nes jį lengviau inventorizuoti. Auditoriams ir reguliuotojams nepadarys įspūdžio, jei kritiškiausia paslaugos priklausomybė bus paminėta tik neaiškia eilute „gamyklos tinklas“.

Praktinis NIS2 OT kontrolės priemonių žemėlapis

Toliau pateikta lentelė rodo, kaip NIS2 Article 21 temas paversti ISO/IEC 27001:2022, ISO/IEC 27002:2022 ir IEC 62443 įrodymais. Ji nepakeičia formalaus rizikos vertinimo, tačiau suteikia CISO, OT vadovams ir atitikties komandoms praktinį atspirties tašką.

Šis žemėlapis sąmoningai orientuotas į įrodymus. Pagal NIS2 nepakanka pasakyti „turime segmentavimą“. Reikia parodyti, kodėl segmentavimas yra tinkamas, kaip jis įgyvendintas, kaip tvirtinamos išimtys ir kaip projektas mažina poveikį reguliuojamai paslaugai.

Segmentavimas: pirmoji OT kontrolės priemonė, kurią tikrins auditoriai

Jei 02:17 incidentas būtų susijęs su užpuoliko judėjimu iš biuro nešiojamojo kompiuterio į inžinerinę darbo stotį, pirmasis audito klausimas būtų akivaizdus: kodėl toks kelias galėjo egzistuoti?

IoT / OT saugumo politika yra aiški:

OT sistemos turi veikti atskiruose tinkluose, izoliuotuose nuo įmonės IT ir į internetą nukreiptų sistemų.

Mažesnėms aplinkoms Daiktų interneto (IoT) / operacinių technologijų (OT) saugumo politika - SME pateikia praktinį bazinį reikalavimą:

Visi daiktų interneto (IoT) ir operacinių technologijų (OT) įrenginiai turi būti patalpinti atskirame Wi‑Fi arba VLAN tinkle

Brandžiam kritinės infrastruktūros operatoriui segmentavimas turi būti projektuojamas pagal OT zonas ir kanalus. Įmonės naudotojai neturi tiesiogiai pasiekti PLC tinklų. Tiekėjų jungtys turi baigtis kontroliuojamose prieigos zonose. Istorinių duomenų serverių replikacija turi naudoti patvirtintus kelius. Saugos sistemos turi būti izoliuotos pagal riziką ir inžinerinius reikalavimus. Belaidžiai OT tinklai turi būti pagrįsti, sustiprinti ir stebimi.

Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas, Kontrolės priemonių praktikoje etape, 20 žingsnyje, paaiškina ISO/IEC 27002:2022 tinklo saugumo principą:

Pramoninės valdymo sistemos turėtų būti izoliuotos nuo biuro srauto.

Jame taip pat įspėjama, kad tinklo saugumui reikalinga saugi architektūra, segmentavimas, prieigos kontrolė, perduodamų duomenų šifravimas, stebėsena ir daugiasluoksnė gynyba.

Zenith Controls: kelių atitikties sričių vadove ISO/IEC 27002:2022 8.22 kontrolė, Tinklų atskyrimas, laikoma prevencine kontrolės priemone, palaikančia konfidencialumą, vientisumą ir prieinamumą, suderinta su Protect kibernetinio saugumo koncepcija, kurios operacinė geba yra sistemų ir tinklo saugumas, o saugumo sritis – Protection.

Ši klasifikacija naudinga NIS2 įrodymams, nes segmentavimas nėra dekoratyvi schema. Tai prevencinė kontrolės priemonė, skirta sumažinti poveikio zoną ir išsaugoti esminės paslaugos tęstinumą.

Pažeidžiamumų valdymas, kai OT sistemų negalima tiesiog pataisyti

NIS2 reikalauja saugaus tinklų ir informacinių sistemų įsigijimo, kūrimo ir priežiūros, įskaitant pažeidžiamumų tvarkymą ir atskleidimą. IT srityje pažeidžiamumų valdymas dažnai reiškia skenuoti, prioritetizuoti, pataisyti ir patikrinti. OT prideda apribojimų.

Kritinis HMI gali būti pataisomas tik planinio sustabdymo metu. PLC programinės aparatinės įrangos atnaujinimui gali reikėti tiekėjo dalyvavimo. Saugai sertifikuota sistema gali prarasti sertifikavimą, jei bus netinkamai pakeista. Kai kurie senieji įrenginiai gali apskritai nebeturėti tiekėjo palaikymo.

Zenith Blueprint, Kontrolės priemonių praktikoje etape, 19 žingsnyje, pateikia tinkamą audito logiką techniniams pažeidžiamumams:

Sistemoms, kurių negalima pataisyti nedelsiant, pavyzdžiui, dėl senosios programinės įrangos arba prastovos apribojimų, įgyvendinkite kompensuojamąsias kontrolės priemones. Tai gali apimti sistemos izoliavimą už ugniasienės, prieigos ribojimą arba stebėsenos sustiprinimą. Visais atvejais įrašykite ir formaliai priimkite liekamąją riziką, parodydami, kad problema nėra pamiršta.

SME politikos bazinis reikalavimas taip pat praktiškas:

Apskaita turi būti peržiūrima kas ketvirtį, siekiant identifikuoti pasenusius, nepalaikomus arba nepataisytus įrenginius

Zenith Controls ISO/IEC 27002:2022 8.8 kontrolę, Techninių pažeidžiamumų valdymas, susieja kaip prevencinę kontrolės priemonę, palaikančią konfidencialumą, vientisumą ir prieinamumą, suderintą su Identify ir Protect, kurios operacinė geba yra grėsmių ir pažeidžiamumų valdymas Governance, Ecosystem, Protection ir Defense srityse.

Tvirtas OT pažeidžiamumo failas turėtų apimti:

• Turto identifikatorių, savininką, zoną ir kritiškumą
• Pažeidžiamumo šaltinį, pvz., tiekėjo saugumo pranešimą, skenerį, integratoriaus pranešimą arba grėsmių žvalgybą
• Saugos ir prieinamumo apribojimus
• Pataisos įgyvendinamumą ir planuojamą priežiūros langą
• Kompensuojamąsias kontrolės priemones, pvz., izoliavimą, prieigos kontrolės sąrašus, išjungtas paslaugas arba sustiprintą stebėseną
• Rizikos savininko patvirtinimą ir liekamosios rizikos priėmimą
• Patikrinimo įrodymus po taisomųjų veiksmų arba kompensuojamosios kontrolės priemonės įgyvendinimo

Taip teiginys „negalime pataisyti“ iš pasiteisinimo tampa auditui tinkamu rizikos tvarkymu.

Nuotolinė tiekėjų prieiga: NIS2 ir IEC 62443 rizikos taškas

Dauguma OT incidentų turi bent vieną trečiosios šalies aspektą. Tiekėjo paskyra. Integratoriaus nešiojamasis kompiuteris. Nuotolinės priežiūros priemonė. Bendri prisijungimo duomenys. Ugniasienės išimtis, kuri prieš trejus metus turėjo būti laikina.

NIS2 Article 21 aiškiai apima tiekimo grandinės saugumą, tiekėjams būdingus pažeidžiamumus, tiekėjų kibernetinio saugumo praktikas ir saugaus kūrimo procedūras. NIST CSF 2.0 šiuo klausimu taip pat detalus: jis apima tiekėjo kritiškumą, sutartinius reikalavimus, deramą rūpestingumą, nuolatinę stebėseną, incidentų koordinavimą ir pasitraukimo nuostatas.

Clarysec Trečiųjų šalių ir tiekėjų saugumo politika - SME principą nurodo paprastai:

Tiekėjams turi būti suteikiama prieiga tik prie minimalių sistemų ir duomenų, reikalingų jų funkcijai atlikti.

OT srityje minimali prieiga reiškia daugiau nei vaidmenimis grindžiamą prieigą taikomojoje programoje. Tiekėjo prieiga turi būti:

• Iš anksto patvirtinta apibrėžtam priežiūros tikslui
• Terminuota ir pagal numatytuosius nustatymus išjungta
• Apsaugota MFA arba tęstiniu autentifikavimu, kai tinkama
• Nukreipta per saugų tarpinį prisijungimo serverį arba kontroliuojamą nuotolinės prieigos platformą
• Apribota atitinkama OT zona arba turtu
• Žurnaluojama, stebima ir, didelės rizikos prieigos atveju, įrašoma sesijos lygiu
• Peržiūrima užbaigus darbą
• Padengta sutartiniais saugumo ir pranešimo apie incidentus įpareigojimais

Įmonės IoT / OT saugumo politikoje yra atskiras nuotolinės prieigos reikalavimas:

Nuotolinė prieiga (valdymui arba tiekėjo aptarnavimui) turi:

Ši nuostata įtvirtina valdysenos punktą, o detalūs reikalavimai turi būti įgyvendinti prieigos procedūrose, tiekėjų susitarimuose, techninėje konfigūracijoje ir stebėsenos darbo eigose.

Zenith Controls ISO/IEC 27002:2022 5.21 kontrolę, Informacijos saugumo valdymas IRT tiekimo grandinėje, klasifikuoja kaip prevencinę kontrolės priemonę, palaikančią konfidencialumą, vientisumą ir prieinamumą, suderintą su Identify koncepcija, kurios operacinė geba yra tiekėjų santykių saugumas, o sritys – Governance, Ecosystem ir Protection.

OT kontekste šis susiejimas padeda paaiškinti, kodėl nuotolinės prieigos įrodymai tuo pačiu metu priklauso tiekėjų rizikos, tapatybės valdysenos, tinklo saugumo, reagavimo į incidentus ir tęstinumo byloms.

Reagavimas į incidentus: NIS2 laikrodis susitinka su valdymo patalpa

Grįžkime prie 02:17 pavojaus signalo. Organizacija turi nuspręsti, ar įvykis pagal NIS2 yra reikšmingas. Article 23 reikalauja nepagrįstai nedelsiant pranešti apie reikšmingus incidentus, darančius poveikį paslaugų teikimui. Seka apima ankstyvąjį įspėjimą per 24 valandas nuo sužinojimo, pranešimą apie incidentą per 72 valandas, tarpinius atnaujinimus, jei jų prašoma, ir galutinę ataskaitą ne vėliau kaip per vieną mėnesį po pranešimo apie incidentą arba pažangos ataskaitą, jei incidentas vis dar tęsiasi.

OT aplinkoje reagavimas į incidentus turi atsakyti į klausimus, kurių IT veiksmų planai dažnai nepaiso:

• Ar paveiktą įrenginį galima izoliuoti nesukeliant saugos rizikos?
• Kas turi įgaliojimus sustabdyti gamybą arba perjungti į rankinį režimą?
• Kurie žurnalai yra nepastovieji ir turi būti nedelsiant išsaugoti?
• Su kuriuo tiekėju arba integratoriumi būtina susisiekti?
• Ar įvykis yra piktavališkas, atsitiktinis, aplinkos sukeltas, ar dėl netinkamos konfigūracijos?
• Ar gali būti tarpvalstybinis poveikis arba poveikis paslaugų gavėjams?
• Ar susiję asmens duomenys, pvz., prieigos kortelių žurnalai, CCTV, darbuotojų duomenys arba klientų aptarnavimo įrašai?

SME OT politika pateikia paprastą anomalijų eskalavimo taisyklę:

Apie visas anomalijas turi būti nedelsiant pranešta generaliniam vadovui tolesniems veiksmams

Joje taip pat numatytas saugą įvertinantis lokalizavimo principas:

Įrenginys turi būti nedelsiant atjungtas nuo tinklo, kai tai saugu padaryti

Paskutiniai penki žodžiai yra kritiškai svarbūs. OT reagavimas negali aklai kopijuoti IT lokalizavimo veiksmų. „Kai tai saugu padaryti“ turi atsispindėti atkūrimo instrukcijose, eskalavimo matricose, mokymuose ir stalo pratybose.

NIST CSF 2.0 čia gerai tinka. Jo Respond ir Recover rezultatai apima triažą, kategorizavimą, eskalavimą, pagrindinės priežasties analizę, įrodymų vientisumą, suinteresuotųjų šalių informavimą, lokalizavimą, pašalinimą, atkūrimą, atsarginių kopijų vientisumo patikras ir atkūrimo komunikaciją.

Sukurkite rizikos–kontrolės–įrodymų liniją

Praktinis būdas išvengti fragmentuotos atitikties – sukurti vieną įrodymų liniją nuo rizikos iki reglamentavimo, kontrolės priemonės ir įrodymo.

Scenarijus: nuotolinis kompresoriaus tiekėjas turi gauti prieigą prie inžinerinės darbo stoties OT tinkle. Darbo stotis gali keisti PLC logiką. Tiekėjo paskyra visada įjungta, ja dalijasi keli tiekėjo inžinieriai, o apsauga pagrįsta tik slaptažodžiu. Darbo stotyje veikia programinė įranga, kurios negalima atnaujinti iki kito priežiūros sustabdymo.

Rizikos scenarijų įrašykite į rizikų registrą:

„Neteisėta arba kompromituota tiekėjo nuotolinė prieiga prie OT inžinerinės darbo stoties gali lemti neteisėtus PLC logikos pakeitimus, gamybos sutrikimą, saugos poveikį ir pagal NIS2 praneštiną paslaugos nutrūkimą.“

Tada susiekite kontrolės priemones ir įpareigojimus.

Tvarkymo plane turi būti išjungta nuolatinė tiekėjo prieiga, reikalaujama vardinių tiekėjo tapatybių, taikoma MFA, prieiga nukreipiama per kontroliuojamą tarpinį prisijungimo serverį, prieiga apribojama inžinerine darbo stotimi, reikalaujamas priežiūros užklausos patvirtinimas, įrašomos privilegijuotos sesijos, stebimos komandos ir nenormalus srautas, nepataisyta darbo stotis dokumentuojama kaip pažeidžiamumo išimtis ir testuojamas reagavimas į incidentus dėl įtartinos tiekėjo veiklos.

Zenith Blueprint, Rizikos valdymo etape, 13 žingsnyje, pateikia SoA atsekamumo logiką:

Kryžmiškai susiekite reglamentus: jei tam tikros kontrolės priemonės įgyvendintos konkrečiai siekiant laikytis GDPR, NIS2 arba DORA, tai galite pažymėti Rizikų registre (kaip rizikos poveikio pagrindimo dalį) arba SoA pastabose.

Praktinė pamoka paprasta. Nelaikykite NIS2, ISO ir OT inžinerinių įrodymų atskiruose silosuose. Į rizikų registrą ir SoA įtraukite stulpelius NIS2 Article 21 temai, ISO/IEC 27002:2022 kontrolei, IEC 62443 reikalavimų šeimai, įrodymų savininkui ir audito būsenai.

Kur OT saugume dera GDPR ir DORA

OT saugumas ne visada susijęs tik su įrenginiais. Kritinės infrastruktūros aplinkos dažnai tvarko asmens duomenis per CCTV, prieigos kontrolės sistemas, prieigos kortelių žurnalus, darbuotojų saugos sistemas, priežiūros užklausas, transporto priemonių sekimą, lankytojų sistemas ir klientų aptarnavimo platformas.

GDPR reikalauja, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai, renkami apibrėžtais tikslais, apriboti tuo, kas būtina, tikslūs, saugomi tik tiek, kiek reikia, ir apsaugoti tinkamomis techninėmis ir organizacinėmis priemonėmis. Jis taip pat reikalauja atskaitomybės, t. y. duomenų valdytojas turi gebėti įrodyti atitiktį.

OT kontekste tai reiškia, kad prieigos žurnalai ir stebėsenos įrašai neturi tapti nekontroliuojamomis priežiūros duomenų saugyklomis. Saugojimo terminai, prieigos teisės, tikslo apribojimas ir pažeidimo vertinimas turi būti įtraukti į žurnalavimą ir stebėseną.

DORA gali būti taikomas, kai dalyvauja finansų subjektai arba kai IRT trečiosios šalies paslaugų teikėjas palaiko finansų sektoriaus operacinį atsparumą. DORA apima IRT rizikos valdymą, pranešimą apie incidentus, atsparumo testavimą ir IRT trečiųjų šalių riziką. Finansų subjektams, kurie pagal NIS2 perkėlimo taisykles taip pat yra esminiai arba svarbūs subjektai, DORA gali veikti kaip sektoriui būdingas režimas persidengiantiems įpareigojimams, nors koordinavimas su NIS2 institucijomis gali išlikti aktualus.

Taikomos tos pačios įrodymų disciplinos: turto identifikavimas, apsauga, aptikimas, tęstinumas, atsarginės kopijos, trečiųjų šalių rizika, testavimas, mokymai ir vadovybės priežiūra.

Audito perspektyva: viena kontrolės priemonė, kelios patikinimo perspektyvos

Tvirtas NIS2 OT saugumo įgyvendinimas turi atlaikyti kelias audito perspektyvas.

Todėl Clarysec Zenith Controls traktuoja kaip kelių atitikties sričių kompasą. Jo kontrolės atributai padeda paaiškinti oficialių ISO/IEC 27002:2022 kontrolės priemonių paskirtį, o susiejimo metodas jungia šias kontrolės priemones su NIS2, NIST CSF, tiekėjų valdysena, tęstinumu ir audito įrodymais.

Dažniausios NIS2 OT įgyvendinimo klaidos

Dažniausios OT saugumo nesėkmės retai kyla dėl dokumentų trūkumo. Jos kyla dėl dokumentų, kurie neatitinka gamyklos realybės.

1 klaida: IT valdo NIS2 programą, tačiau OT valdo riziką. Operacijos, inžinerija, sauga ir priežiūra turi būti įtrauktos.

2 klaida: turto apskaita sustoja ties serveriais. OT apskaita turi apimti PLC, RTU, HMI, istorinių duomenų serverius, inžinerines darbo stotis, pramoninius komutatorius, jutiklius, šliuzus, nuotolinės prieigos įrenginius ir tiekėjų valdomus komponentus.

3 klaida: segmentavimas egzistuoja schemoje, bet ne ugniasienės taisyklėse. Auditoriai prašys taikymo, pakeitimų kontrolės ir stebėsenos įrodymų.

4 klaida: pažeidžiamumų išimtys yra neformalios. Senosios aplinkos apribojimai priimtini tik tada, kai jie dokumentuoti, patvirtinti, stebimi ir periodiškai peržiūrimi.

5 klaida: tiekėjų prieiga vertinama tik kaip tiekėjo klausimas. Tai taip pat yra prieigos kontrolės, žurnalavimo, stebėsenos, tinklo saugumo, reagavimo į incidentus ir tęstinumo klausimas.

6 klaida: reagavimas į incidentus nepaiso saugos. OT veiksmų planai turi apibrėžti, kas gali izoliuoti įrenginius, sustabdyti procesus, perjungti režimus arba susisiekti su reguliuotojais.

7 klaida: NIS2 pranešimų teikimas nėra repetuojamas. 24 valandų ir 72 valandų sprendimų procesas turi būti testuojamas prieš realų įvykį.

Clarysec įgyvendinimo kelias nuo valdybos atskaitomybės iki OT įrodymų

Praktinis NIS2 OT saugumo įgyvendinimas gali vykti tokia seka:

1. Patvirtinkite NIS2 taikymo sritį, subjekto klasifikaciją ir paslaugos kritiškumą.
2. Apibrėžkite OT taikymo sritį ISVS viduje, įskaitant sąsajas ir priklausomybes.
3. Sudarykite OT turto ir duomenų srautų apskaitą.
4. Identifikuokite teisinius, sutartinius, saugos, privatumo ir sektoriaus įpareigojimus.
5. Vykdykite OT būdingas rizikos vertinimo dirbtuves su inžinerijos, operacijų, IT, SOC, pirkimų ir vadovybės atstovais.
6. Susiekite rizikos tvarkymą su ISO/IEC 27002:2022 kontrolės priemonėmis, NIS2 temomis ir IEC 62443 įgyvendinimo modeliais.
7. Atnaujinkite Taikytinumo pareiškimą, įtraukdami OT pagrindimą ir įrodymų savininkus.
8. Įgyvendinkite prioritetines kontrolės priemones: segmentavimą, tiekėjų prieigą, pažeidžiamumų tvarkymą, stebėseną, atsargines kopijas ir reagavimą į incidentus.
9. Atnaujinkite politikas ir procedūras, įskaitant OT saugumą, tiekėjų saugumą, nuotolinę prieigą, reagavimą į incidentus ir veiklos tęstinumą.
10. Vykdykite stalo pratybas ir techninio validavimo pratybas.
11. Parenkite audito paketus NIS2, ISO/IEC 27001:2022, klientų patikinimui ir vidaus valdysenai.
12. Perduokite išvadas į vadovybės peržiūrą ir nuolatinį tobulinimą.

Tai atspindi Zenith Blueprint veiklos modelį, ypač 13 žingsnį dėl rizikos tvarkymo ir SoA atsekamumo, 14 žingsnį dėl politikų rengimo ir reglamentavimo kryžminių nuorodų, 19 žingsnį dėl pažeidžiamumų valdymo ir 20 žingsnį dėl tinklo saugumo.

Tas pats požiūris naudoja Clarysec politikas, kad sistemų kalbą paverstų operacinėmis taisyklėmis. Įmonės IoT / OT saugumo politika reikalauja saugumo architektūros peržiūros prieš diegimą:

Visi nauji IoT/OT įrenginiai prieš diegimą turi pereiti saugumo architektūros peržiūrą. Ši peržiūra turi patvirtinti:

Joje taip pat nurodoma:

Visas srautas IoT/OT tinkluose ir tarp jų turi būti nuolat stebimas naudojant:

Šios nuostatos sukuria valdysenos atramas. Įgyvendinimo įrodymai gali apimti OT IDS įspėjimus, ugniasienės žurnalus, SIEM koreliaciją, bazinius srauto profilius, anomalijų užklausas ir reagavimo įrašus.

Kaip atrodo geri NIS2 OT įrodymai

NIS2 OT įrodymų paketas turi būti pakankamai praktiškas inžinieriams ir pakankamai struktūruotas auditoriams.

Segmentavimui įtraukite patvirtintą architektūrą, zonų ir kanalų schemas, ugniasienės taisyklių eksportus, pakeitimų įrašus, periodines taisyklių peržiūras, išimčių įrašus ir stebėsenos įspėjimus.

Tiekėjų prieigai įtraukite tiekėjo kritiškumo vertinimą, sutartines nuostatas, patvirtintą prieigos procedūrą, vardines paskyras, MFA įrodymus, prieigos žurnalus, sesijų įrašus, periodinę prieigos peržiūrą ir darbo santykių nutraukimo proceso įrašus.

Pažeidžiamumų valdymui įtraukite apskaitą, saugumo pranešimų šaltinius, pasyvaus aptikimo išvestis, pažeidžiamumų užklausas, pataisų planus, kompensuojamąsias kontrolės priemones, rizikos priėmimą ir uždarymo įrodymus.

Reagavimui į incidentus įtraukite veiksmų planus, eskalavimo kontaktus, NIS2 pranešimų sprendimų medį, stalo pratybų rezultatus, incidentų užklausas, pranešimų institucijoms projektus, įrodymų tvarkymo taisykles ir įgytą patirtį.

Tęstinumui įtraukite OT atsarginių kopijų strategiją, neprijungtas arba apsaugotas atsargines kopijas, atkūrimo testų rezultatus, kritinių atsarginių dalių sąrašą, rankines veiklos procedūras, atkūrimo prioritetus ir krizių komunikacijos planus.

Valdysenai įtraukite valdybos arba vadovybės patvirtinimą, vaidmenų priskyrimus, mokymų įrašus, vidaus audito rezultatus, KPI, rizikos peržiūros protokolus ir vadovybės peržiūros sprendimus.

Šis įrodymų modelis dera su ISO/IEC 27001:2022, nes palaiko rizikos tvarkymą, dokumentuotą informaciją, veiksmingumo vertinimą ir nuolatinį tobulinimą. Jis dera su NIS2, nes parodo tinkamas ir proporcingas priemones. Jis dera su IEC 62443, nes gali būti atsekamas iki OT architektūros ir inžinerinių kontrolės priemonių.

Paverskite savo OT saugumo programą auditui tinkamu pasirengimu NIS2

Jei jūsų OT aplinka palaiko kritinę arba reguliuojamą paslaugą, laukti, kol reguliuotojas, klientas arba incidentas atskleis spragas, yra netinkama strategija.

Pradėkite nuo vieno didelio poveikio naudojimo atvejo: nuotolinės tiekėjo prieigos prie kritinės OT zonos, nepalaikomų pramoninių turtų pažeidžiamumų tvarkymo arba segmentavimo tarp įmonės IT ir OT. Sukurkite rizikos scenarijų, susiekite jį su NIS2 Article 21, pasirinkite ISO/IEC 27002:2022 kontrolės priemones, paverskite jas IEC 62443 įgyvendinimo modeliais ir surinkite įrodymus.

Clarysec gali padėti paspartinti šį darbą naudojant Zenith Blueprint, Zenith Controls, IoT / OT saugumo politiką, Daiktų interneto (IoT) / operacinių technologijų (OT) saugumo politiką - SME ir Trečiųjų šalių ir tiekėjų saugumo politiką - SME.

Kitas jūsų veiksmas: pasirinkite vieną OT paslaugą, susiekite jos turtą ir priklausomybes ir šią savaitę sukurkite rizikos–kontrolės–įrodymų liniją. Jei norite struktūruoto įgyvendinimo kelio, Clarysec 30 žingsnių veiksmų planas ir kelių atitikties sričių priemonių rinkinys gali tą pirmąją liniją paversti visa NIS2 OT saugumo programa.