NIS2 OT drošība: ISO 27001 un IEC 62443 kartējums

Pirmdien plkst. 02.17 ūdens attīrīšanas iekārtas operators saņem trauksmi no dozēšanas sistēmas. Ķīmisko vielu padeve joprojām ir drošības robežās, bet viens PLC ziņo par neregulārām komandām, inženierdarbstacija rāda neveiksmīgus pieteikšanās mēģinājumus no piegādātāja VPN konta, un dežurējošais SOC analītiķis uzdod jautājumu, uz kuru spiediena apstākļos neviens nevēlas atbildēt.

Vai tas ir IT incidents, OT incidents, drošības notikums vai NIS2 izpratnē ziņojams būtisks incidents?

Objektā ir ugunsmūri. Tam ir ISO dokumentācija. Tam ir piegādātāju izklājlapa. Tam pat ir incidentu reaģēšanas plāns. Taču plāns tika rakstīts e-pasta kompromitēšanas un mākoņpakalpojumu nepieejamības gadījumiem, nevis mantotam kontrolierim, kuru ražošanas laikā nevar ielāpot, piegādātājam, kuram pakalpojuma atjaunošanai nepieciešama attālināta piekļuve, un regulatoram, kurš sagaida pierādījumus NIS2 ziņošanas termiņos.

Tāda pati problēma parādās arī valdes sēžu telpās. Reģionāla enerģijas pakalpojumu sniedzēja CISO korporatīvajam IT var būt ISO/IEC 27001:2022 sertificēta informācijas drošības pārvaldības sistēma, bet operacionālo tehnoloģiju vide joprojām ir sarežģīts PLC, RTU, HMI, procesu vēsturisko datu sistēmu, inženierdarbstaciju, industriālo komutatoru un piegādātāju piekļuves ceļu kopums. CEO jautājums ir vienkāršs: “Vai esam nosegti? Vai varat to pierādīt?”

Daudzām būtiskām un svarīgām vienībām godīgā atbilde ir neērta. Tās ir nosegtas daļēji. Tās to var pierādīt daļēji. Taču NIS2 OT drošība prasa vairāk nekā vispārīgu IT atbilstību.

Tai nepieciešams vienots darbības modelis, kas sasaista ISO/IEC 27001:2022 pārvaldību, ISO/IEC 27002:2022 kontroles pasākumu valodu, IEC 62443 industriālās inženierijas prakses, NIS2 Article 21 kiberdrošības risku pārvaldības pasākumus un NIS2 Article 23 incidentu ziņošanas pierādījumus.

Šī rokasgrāmata veido tieši šo tiltu.

Kāpēc NIS2 OT drošība atšķiras no parastas IT atbilstības

NIS2 attiecas uz daudzām publiskām un privātām vienībām, kas ES sniedz direktīvas darbības jomā ietvertus pakalpojumus, tostarp būtiskām un svarīgām vienībām tādās nozarēs kā enerģētika, transports, banku darbība, finanšu tirgus infrastruktūra, veselība, dzeramais ūdens, notekūdeņi, digitālā infrastruktūra, IKT pakalpojumu pārvaldība, valsts pārvalde, kosmoss, pasta pakalpojumi, atkritumu apsaimniekošana, ražošana, ķīmiskās vielas, pārtika, digitālo pakalpojumu sniedzēji un pētniecība.

Direktīva prasa atbilstošus un samērīgus tehniskus, operacionālus un organizatoriskus pasākumus kiberrisku pārvaldībai, incidentu ietekmes novēršanai vai mazināšanai un pakalpojumu nepārtrauktības aizsardzībai. Article 21 ietver visu apdraudējumu pieeju, aptverot riska analīzi, drošības politikas, incidentu apstrādi, darbības nepārtrauktību, krīzes pārvaldību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, ievainojamību apstrādi un izpaušanu, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību, MFA vai nepārtrauktu autentifikāciju, drošu saziņu un, ja piemērojams, ārkārtas saziņu.

ISO/IEC 27001:2022 komandai šīs prasības šķiet pazīstamas. OT vidē katra no tām darbojas citādi.

Tīmekļa servera ievainojamību bieži var ielāpot dažu dienu laikā. Turbīnas kontroliera ievainojamībai var būt nepieciešama piegādātāja validācija, apkopes logs, drošības pārskatīšana un rezerves darbības procedūras. Klēpjdatoru var pārbūvēt. Ražošanas HMI var būt atkarīgs no mantotas operētājsistēmas, jo industriālā lietojumprogramma nav sertificēta jaunākai platformai. SOC rokasgrāmata var norādīt “izolēt resursdatoru”, bet OT inženieris atbild: “ne pirms zinām, vai izolācija ietekmēs spiediena kontroli.”

Atšķirība nav tikai tehniska. IT parasti prioritizē konfidencialitāti, integritāti un pieejamību. OT prioritizē pieejamību, procesa integritāti un drošību. Drošības kontroles pasākums, kas ievieš latentumu, prasa restartēšanu vai pārtrauc fizisku procesu, bez inženiertehniska apstiprinājuma var būt nepieņemams.

NIS2 neatbrīvo OT no kiberdrošības risku pārvaldības. Tā paredz, ka organizācija spēj pierādīt, ka kontroles pasākumi ir atbilstoši riskam un samērīgi ar operacionālo realitāti.

Kontroles pasākumu slāņi: NIS2, ISO/IEC 27001:2022, ISO/IEC 27002:2022 un IEC 62443

Aizstāvama NIS2 OT drošības programma sākas ar daudzslāņu kontroles pasākumu kopumu.

ISO/IEC 27001:2022 nodrošina pārvaldības sistēmu. Tas prasa organizācijai definēt kontekstu, ieinteresētās puses, regulatīvos pienākumus, ISMS darbības jomu, saskarnes un atkarības. Tas prasa arī vadības atbildību, informācijas drošības politiku, risku izvērtēšanu, riska apstrādi, piemērojamības deklarāciju (SoA), dokumentētu informāciju, iekšējo auditu, vadības pārskatīšanu un nepārtrauktu uzlabošanu.

ISO/IEC 27002:2022 nodrošina kontroles pasākumu terminoloģiju. OT kontekstā svarīgākie kontroles pasākumi bieži ietver piegādātāju drošību, IKT piegādes ķēdes risku pārvaldību, incidentu plānošanu, gatavību darbības nepārtrauktībai, tiesiskās un līgumiskās prasības, aktīvu pārvaldību, piekļuves kontroli, ievainojamību pārvaldību, rezerves kopijas, žurnālfiksēšanu, uzraudzību, tīkla drošību un tīklu nodalīšanu.

IEC 62443 nodrošina industriālās drošības inženierijas modeli. Tas palīdz pārvaldības sistēmas prasības pārvērst OT praksēs, piemēram, zonās, kanālos, drošības līmeņos, aktīvu īpašnieku atbildībās, sistēmu integratoru atbildībās, produktu piegādātāju prasībās, attālinātās piekļuves ierobežojumos, minimālās funkcionalitātes principā, kontu pārvaldībā, drošā konfigurēšanā un dzīves cikla kontroles pasākumos.

Clarysec izmanto šo slāņu kopumu, jo tas novērš divas biežas kļūdas. Pirmkārt, tas neļauj ISO ieviešanai kļūt pārāk vispārīgai OT vajadzībām. Otrkārt, tas neļauj IEC 62443 inženiertehniskajam darbam atrauties no valdes pārskatatbildības, NIS2 ziņošanas pienākumiem un audita pierādījumiem.

Clarysec IoT / OT drošības politika šo sasaisti formulē tieši:

Nodrošināt, ka visas ieviešanas ir saskaņotas ar ISO/IEC 27001 kontroles pasākumiem un piemērojamām nozares vadlīnijām (piem., IEC 62443, ISO 27019, NIST SP 800-82).

Šis teikums ir būtisks. Politika nav tikai ierīču cietināšanas kontrolsaraksts. Tā sasaista ISO pārvaldību, OT nozares vadlīnijas un operacionālo drošību.

Sāciet ar darbības jomu: kurš OT pakalpojums ir jāaizsargā?

Pirms kontroles pasākumu kartēšanas definējiet OT pakalpojumu biznesa un regulatīvajā valodā.

Ražotnes vadītājs var teikt: “Mēs darbinām iepakošanas līniju.” NIS2 izvērtējumā būtu jāsaka: “Šis ražošanas process atbalsta būtisku vai svarīgu pakalpojumu un ir atkarīgs no PLC, HMI, inženierdarbstacijām, procesu vēsturisko datu sistēmām, industriālajiem komutatoriem, piegādātāju attālinātās piekļuves, uzturēšanas līgumslēdzēja, mākoņanalītikas plūsmas un uzņēmuma identitātes pakalpojuma.”

ISO/IEC 27001:2022 clauses 4.1 to 4.4 ir noderīgi, jo tie liek organizācijai identificēt iekšējos un ārējos jautājumus, ieinteresētās puses, tiesiskās un līgumiskās prasības, ISMS robežas, saskarnes un atkarības. NIS2 OT drošībā tas nozīmē kartēt ne tikai galvenā biroja tīklu, bet arī industriālās sistēmas un pakalpojumu atkarības, kas ietekmē nepārtrauktību, drošību un regulēta pakalpojuma sniegšanu.

NIST CSF 2.0 pastiprina to pašu loģiku. Tā GOVERN funkcija prasa izprast misiju, ieinteresētās puses, atkarības, tiesiskos un regulatīvos pienākumus, kritiskos pakalpojumus un pakalpojumus, no kuriem organizācija ir atkarīga. Organizational Profiles nodrošina praktisku metodi pašreizējā stāvokļa noteikšanai, mērķa stāvokļa definēšanai, trūkumu analīzei un prioritizēta rīcības plāna sagatavošanai.

OT videi Clarysec parasti sāk ar pieciem jautājumiem:

1. Kādu regulētu vai kritisku pakalpojumu šī OT vide atbalsta?
2. Kādi OT aktīvi, tīkli, datu plūsmas un trešās puses ir nepieciešamas šim pakalpojumam?
3. Kādi drošības, pieejamības un operacionālie ierobežojumi ietekmē drošības kontroles pasākumus?
4. Kādi tiesiskie, līgumiskie un nozares pienākumi ir piemērojami, tostarp NIS2, GDPR, DORA, ja attiecināms, klientu līgumi un nacionālie noteikumi?
5. Kuras vides daļas ir ISMS tvērumā, un kuras ir ārējās atkarības, kam nepieciešami piegādātāju kontroles pasākumi?

Daudzas NIS2 programmas izgāžas tieši šeit. Tās nosaka darbības jomu ap korporatīvo IT, jo to ir vieglāk uzskaitīt. Auditori un regulatori nebūs pārliecināti, ja kritiskākā pakalpojuma atkarība parādīsies tikai kā neskaidra rinda “rūpnīcas tīkls”.

Praktisks NIS2 OT kontroles pasākumu kartējums

Zemāk redzamā tabula parāda, kā NIS2 Article 21 tēmas pārvērst ISO/IEC 27001:2022, ISO/IEC 27002:2022 un IEC 62443 pierādījumos. Tā neaizstāj formālu risku izvērtēšanu, bet sniedz CISO, OT vadītājiem un atbilstības komandām praktisku sākumpunktu.

Šis kartējums apzināti ir orientēts uz pierādījumiem. NIS2 ietvaros ar apgalvojumu “mums ir segmentēšana” nepietiek. Jāparāda, kāpēc segmentēšana ir atbilstoša, kā tā ir ieviesta, kā tiek apstiprināti izņēmumi un kā projektējums samazina ietekmi uz regulēto pakalpojumu.

Segmentēšana: pirmais OT kontroles pasākums, ko pārbaudīs auditori

Ja 02.17 incidents ietvertu uzbrucēja pārvietošanos no biroja klēpjdatora uz inženierdarbstaciju, pirmais audita jautājums būtu acīmredzams: kāpēc šāds ceļš vispār varēja pastāvēt?

IoT / OT drošības politika ir nepārprotama:

OT sistēmām jādarbojas īpaši izveidotos tīklos, kas izolēti no uzņēmuma IT un internetam pieejamām sistēmām.

Mazākām vidēm Lietu interneta (IoT) / operacionālo tehnoloģiju (OT) drošības politika - SME sniedz praktisku pamatlīmeni:

Visas lietu interneta (IoT) un operacionālo tehnoloģiju (OT) ierīces jānovieto atsevišķā Wi‑Fi vai VLAN tīklā

Nobriedušam kritiskās infrastruktūras operatoram segmentēšana jāprojektē ap OT zonām un kanāliem. Uzņēmuma lietotājiem nevajadzētu tieši piekļūt PLC tīkliem. Piegādātāju savienojumiem jābeidzas kontrolētās piekļuves zonās. Procesu vēsturisko datu replikācijai jāizmanto apstiprināti ceļi. Drošības sistēmas jāizolē atbilstoši riskam un inženiertehniskajām prasībām. Bezvadu OT tīkliem jābūt pamatotiem, droši konfigurētiem un uzraudzītiem.

Zenith Blueprint: auditora 30 soļu ceļkarte posmā “Kontroles pasākumi darbībā”, Step 20, skaidro ISO/IEC 27002:2022 tīkla drošības principu:

Industriālās vadības sistēmas jāizolē no biroja datplūsmas.

Tajā arī brīdināts, ka tīkla drošībai nepieciešama droša arhitektūra, segmentēšana, piekļuves kontrole, šifrēšana pārsūtē, uzraudzība un daudzslāņu aizsardzība.

Zenith Controls: starpatbilstības rokasgrāmatā ISO/IEC 27002:2022 control 8.22, Segregation of Networks, ir aplūkots kā preventīvs kontroles pasākums, kas atbalsta konfidencialitāti, integritāti un pieejamību, ir saskaņots ar Protect kiberdrošības konceptu, sistēmu un tīkla drošību kā operacionālo spēju un Protection kā drošības jomu.

Šāda klasifikācija ir noderīga NIS2 pierādījumiem, jo segmentēšana nav dekoratīva diagramma. Tā ir preventīvs kontroles pasākums, kas paredzēts ietekmes zonas samazināšanai un būtiska pakalpojuma nepārtrauktības saglabāšanai.

Ievainojamību pārvaldība, ja OT sistēmas nevar vienkārši ielāpot

NIS2 prasa drošu tīklu un informācijas sistēmu iegādi, izstrādi un uzturēšanu, tostarp ievainojamību apstrādi un izpaušanu. IT vidē ievainojamību pārvaldība bieži nozīmē skenēt, prioritizēt, ielāpot un verificēt. OT pievieno ierobežojumus.

Kritisks HMI var būt ielāpojams tikai plānota pārtraukuma laikā. PLC aparātprogrammatūras atjaunināšanai var būt nepieciešama piegādātāja iesaiste. Drošībai sertificēta sistēma var zaudēt sertifikāciju, ja tā tiek nepareizi modificēta. Dažām mantotām ierīcēm vispār var nebūt piegādātāja atbalsta.

Zenith Blueprint posmā “Kontroles pasākumi darbībā”, Step 19, sniedz pareizo audita loģiku tehniskajām ievainojamībām:

Sistēmām, kuras nevar ielāpot nekavējoties, piemēram, mantotas programmatūras vai dīkstāves ierobežojumu dēļ, ieviesiet kompensējošos kontroles pasākumus. Tas var ietvert sistēmas izolēšanu aiz ugunsmūra, piekļuves ierobežošanu vai pastiprinātu uzraudzību. Visos gadījumos dokumentējiet un formāli pieņemiet atlikušo risku, parādot, ka problēma nav aizmirsta.

SME politikas pamatlīmenis ir tikpat praktisks:

Aktīvu uzskaite jāpārskata reizi ceturksnī, lai identificētu novecojušas, neatbalstītas vai neielāpotas ierīces

Zenith Controls ietvaros ISO/IEC 27002:2022 control 8.8, Management of Technical Vulnerabilities, ir kartēts kā preventīvs kontroles pasākums, kas atbalsta konfidencialitāti, integritāti un pieejamību, ir saskaņots ar Identify un Protect, un kura operacionālā spēja ir draudu un ievainojamību pārvaldība pārvaldības, ekosistēmas, aizsardzības un aizstāvēšanās jomās.

Spēcīgā OT ievainojamību lietā jāiekļauj:

• Aktīva identifikators, īpašnieks, zona un kritiskums
• Ievainojamības avots, piemēram, piegādātāja paziņojums, skeneris, integratora paziņojums vai draudu izlūkošana
• Drošības un pieejamības ierobežojumi
• Ielāpa iespējamība un plānotais apkopes logs
• Kompensējošie kontroles pasākumi, piemēram, izolācija, piekļuves kontroles saraksti, atspējoti pakalpojumi vai pastiprināta uzraudzība
• Riska īpašnieka apstiprinājums un atlikušā riska pieņemšana
• Verifikācijas pierādījumi pēc trūkumu novēršanas vai kompensējošā kontroles pasākuma ieviešanas

Tas pārvērš “mēs nevaram ielāpot” no attaisnojuma auditējamā riska apstrādē.

Attālināta piegādātāju piekļuve: NIS2 un IEC 62443 kritiskais punkts

Lielākajai daļai OT incidentu kaut kur ir trešās puses dimensija. Piegādātāja konts. Integratora klēpjdators. Attālinātās uzturēšanas rīks. Koplietojami autentifikācijas dati. Ugunsmūra izņēmums, kam pirms trim gadiem bija jābūt īslaicīgam.

NIS2 Article 21 tieši ietver piegādes ķēdes drošību, piegādātājiem specifiskas ievainojamības, piegādātāju kiberdrošības prakses un drošas izstrādes procedūras. NIST CSF 2.0 šajā jautājumā ir tikpat detalizēts, aptverot piegādātāju kritiskumu, līguma prasības, sākotnējo izpēti, pastāvīgu uzraudzību, incidentu koordināciju un izbeigšanas noteikumus.

Clarysec Trešo pušu un piegādātāju drošības politika - SME principu formulē vienkārši:

Piegādātājiem piekļuve jāpiešķir tikai minimālajām sistēmām un datiem, kas nepieciešami viņu funkcijas izpildei.

OT vidē minimālā piekļuve nozīmē vairāk nekā lomās balstītu piekļuvi lietojumprogrammā. Piegādātāju piekļuvei jābūt:

• Iepriekš apstiprinātai noteiktam apkopes mērķim
• Laikā ierobežotai un pēc noklusējuma atspējotai
• Aizsargātai ar MFA vai nepārtrauktu autentifikāciju, ja piemērojams
• Novirzītai caur drošu pārejas serveri vai kontrolētu attālinātās piekļuves platformu
• Ierobežotai līdz attiecīgajai OT zonai vai aktīvam
• Žurnālfiksētai, uzraudzītai un, augsta riska piekļuvei, ar sesiju ierakstīšanu
• Pārskatītai pēc pabeigšanas
• Aptvertai ar līgumiskām drošības un incidentu paziņošanas prasībām

Uzņēmuma IoT / OT drošības politika ietver atsevišķu attālinātās piekļuves prasību:

Attālinātajai piekļuvei (pārvaldībai vai piegādātāja apkalpošanai) jānodrošina:

Šī klauzula nostiprina pārvaldības punktu, savukārt detalizētās prasības jāievieš piekļuves procedūrās, piegādātāju līgumos, tehniskajā konfigurācijā un uzraudzības darbplūsmās.

Zenith Controls ietvaros ISO/IEC 27002:2022 control 5.21, Managing information security in the ICT supply chain, ir klasificēts kā preventīvs kontroles pasākums, kas atbalsta konfidencialitāti, integritāti un pieejamību, ir saskaņots ar Identify konceptu, piegādātāju attiecību drošību kā operacionālo spēju un Governance, Ecosystem un Protection kā jomām.

OT kontekstā šis kartējums palīdz izskaidrot, kāpēc attālinātās piekļuves pierādījumi vienlaikus ietilpst piegādātāju riska, identitātes pārvaldības, tīkla drošības, reaģēšanas uz incidentiem un nepārtrauktības lietās.

Reaģēšana uz incidentiem: NIS2 termiņi satiekas ar vadības telpu

Atgriežoties pie 02.17 trauksmes, organizācijai jāizlemj, vai notikums ir būtisks NIS2 izpratnē. Article 23 prasa bez nepamatotas kavēšanās paziņot par būtiskiem incidentiem, kas ietekmē pakalpojuma sniegšanu. Secība ietver agrīno brīdinājumu 24 stundu laikā no informētības brīža, incidenta paziņojumu 72 stundu laikā, starpposma atjauninājumus pēc pieprasījuma un gala ziņojumu ne vēlāk kā vienu mēnesi pēc incidenta paziņojuma vai progresa ziņojumu, ja incidents joprojām turpinās.

OT vidē reaģēšanai uz incidentiem jāatbild uz jautājumiem, kurus IT rokasgrāmatas bieži ignorē:

• Vai skarto ierīci var izolēt, neradot drošības risku?
• Kam ir pilnvaras apturēt ražošanu vai pārslēgties uz manuālo režīmu?
• Kuri žurnāli ir gaistoši un nekavējoties jāsaglabā?
• Ar kuru piegādātāju vai integratoru jāsazinās?
• Vai notikums ir ļaunprātīgs, nejaušs, vides faktoru izraisīts vai nepareizas konfigurācijas rezultāts?
• Vai var būt pārrobežu ietekme vai ietekme uz pakalpojuma saņēmējiem?
• Vai ir iesaistīti personas dati, piemēram, piekļuves karšu žurnāli, CCTV, darbinieku dati vai klientu apkalpošanas ieraksti?

SME OT politika sniedz vienkāršu anomāliju eskalācijas noteikumu:

Par jebkādām anomālijām nekavējoties jāziņo ģenerāldirektoram turpmākai rīcībai

Tajā ir ietverts arī drošību ņemošs vērā ierobežošanas princips:

Ierīce nekavējoties jāatvieno no tīkla, ja to var izdarīt droši

Šie pēdējie pieci vārdi ir kritiski. OT reaģēšana nevar akli kopēt IT ierobežošanas darbības. “Ja to var izdarīt droši” jāatspoguļo rokasgrāmatās, eskalācijas matricās, apmācībā un galda vingrinājumos.

NIST CSF 2.0 šeit labi kartējas. Tā Respond un Recover rezultāti aptver triāžu, kategorizēšanu, eskalāciju, pamatcēloņa analīzi, pierādījumu integritāti, ieinteresēto pušu informēšanu, ierobežošanu, izskaušanu, atjaunošanu, rezerves kopiju integritātes pārbaudes un atjaunošanas komunikāciju.

Izveidojiet pierādījumu līniju no riska līdz kontroles pasākumam

Praktisks veids, kā izvairīties no sadrumstalotas atbilstības, ir veidot vienu pierādījumu līniju no riska līdz regulējumam, kontroles pasākumam un pierādījumam.

Scenārijs: attālinātam kompresora piegādātājam nepieciešama piekļuve inženierdarbstacijai OT tīklā. Darbstacija var mainīt PLC loģiku. Piegādātāja konts vienmēr ir iespējots, to koplieto vairāki piegādātāja inženieri, un tas ir aizsargāts tikai ar paroli. Darbstacijā darbojas programmatūra, kuru nevar jaunināt līdz nākamajam apkopes pārtraukumam.

Ierakstiet riska scenāriju riska reģistrā:

“Nesankcionēta vai kompromitēta piegādātāja attālināta piekļuve OT inženierdarbstacijai var izraisīt nesankcionētas PLC loģikas izmaiņas, ražošanas traucējumus, drošības ietekmi un NIS2 ziņojamu pakalpojuma pārtraukumu.”

Pēc tam kartējiet kontroles pasākumus un pienākumus.

Apstrādes plānam jāatspējo pastāvīga piegādātāju piekļuve, jāpieprasa individuāli piegādātāju konti, jāpiemēro MFA, jānovirza piekļuve caur kontrolētu pārejas serveri, jāierobežo piekļuve inženierdarbstacijai, jāpieprasa apkopes pieteikuma apstiprinājums, jāieraksta priviliģētas sesijas, jāuzrauga komandas un anomāla datplūsma, jādokumentē neielāpotā darbstacija kā ievainojamības izņēmums un jātestē reaģēšana uz incidentiem aizdomīgas piegādātāja aktivitātes gadījumā.

Zenith Blueprint Risku pārvaldības posmā, Step 13, sniedz SoA izsekojamības loģiku:

Veiciet regulējumu krustenisku sasaisti: ja noteikti kontroles pasākumi ir ieviesti konkrēti, lai izpildītu GDPR, NIS2 vai DORA prasības, to var atzīmēt vai nu Riska reģistrā (kā daļu no riska ietekmes pamatojuma), vai SoA piezīmēs.

Praktiskā mācība ir vienkārša. Neuzturiet NIS2, ISO un OT inženiertehniskos pierādījumus atsevišķos silosos. Pievienojiet riska reģistram un SoA kolonnas NIS2 Article 21 tēmai, ISO/IEC 27002:2022 kontroles pasākumam, IEC 62443 prasību saimei, pierādījumu īpašniekam un audita statusam.

Kur OT drošībā iederas GDPR un DORA

OT drošība ne vienmēr ir tikai par iekārtām. Kritiskās infrastruktūras vidēs personas dati bieži tiek apstrādāti, izmantojot CCTV, piekļuves kontroles sistēmas, piekļuves karšu žurnālus, darbaspēka drošības sistēmas, apkopes pieteikumus, transportlīdzekļu izsekošanu, apmeklētāju sistēmas un klientu apkalpošanas platformas.

GDPR prasa personas datus apstrādāt likumīgi, godprātīgi un pārredzami, vākt noteiktiem nolūkiem, ierobežot līdz nepieciešamajam, uzturēt precīzus, glabāt tikai tik ilgi, cik nepieciešams, un aizsargāt ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem. Tas prasa arī pārskatatbildību, proti, pārzinim jāspēj pierādīt atbilstību.

OT kontekstā tas nozīmē, ka piekļuves žurnāli un uzraudzības ieraksti nedrīkst kļūt par nekontrolētām novērošanas datu krātuvēm. Glabāšana, piekļuves tiesības, nolūka ierobežojums un pārkāpuma izvērtēšana jāiestrādā žurnālfiksēšanā un uzraudzībā.

DORA var būt piemērojama, ja iesaistītas finanšu vienības vai ja IKT trešās puses pakalpojumu sniedzējs atbalsta finanšu sektora operacionālo noturību. DORA aptver IKT risku pārvaldību, incidentu ziņošanu, noturības testēšanu un IKT trešo pušu risku. Finanšu vienībām, kas saskaņā ar NIS2 transponēšanas noteikumiem vienlaikus ir būtiskas vai svarīgas vienības, DORA var darboties kā nozares specifiskais režīms pārklājošiem pienākumiem, savukārt koordinācija ar NIS2 iestādēm joprojām var būt aktuāla.

Piemēro tās pašas pierādījumu disciplīnas: aktīvu identificēšana, aizsardzība, detektēšana, nepārtrauktība, rezerves kopijas, trešo pušu risks, testēšana, apmācība un vadības pārraudzība.

Audita skatījums: viens kontroles pasākums, vairākas apliecinājuma perspektīvas

Spēcīgai NIS2 OT drošības ieviešanai jāiztur vairākas audita perspektīvas.

Tāpēc Clarysec Zenith Controls uztver kā starpatbilstības kompasu. Tā kontroles pasākumu atribūti palīdz izskaidrot oficiālo ISO/IEC 27002:2022 kontroles pasākumu mērķi, savukārt kartēšanas pieeja sasaista šos kontroles pasākumus ar NIS2, NIST CSF, piegādātāju pārvaldību, nepārtrauktību un audita pierādījumiem.

Biežākās NIS2 OT ieviešanas kļūdas

Biežākās OT drošības neveiksmes reti izraisa dokumentu trūkums. Tās izraisa dokumenti, kas neatbilst ražotnes realitātei.

Kļūda 1: IT ir NIS2 programmas īpašnieks, bet OT ir riska īpašnieks. Jāiesaista operācijas, inženierija, drošība un uzturēšana.

Kļūda 2: aktīvu uzskaite apstājas pie serveriem. OT uzskaitē jāiekļauj PLC, RTU, HMI, procesu vēsturisko datu sistēmas, inženierdarbstacijas, industriālie komutatori, sensori, vārtejas, attālinātās piekļuves iekārtas un piegādātāju pārvaldīti komponenti.

Kļūda 3: segmentēšana pastāv diagrammā, bet ne ugunsmūra noteikumos. Auditori prasīs piemērošanas, izmaiņu kontroles un uzraudzības pierādījumus.

Kļūda 4: ievainojamību izņēmumi ir neformāli. Mantotie ierobežojumi ir pieņemami tikai tad, ja tie ir dokumentēti, apstiprināti, uzraudzīti un periodiski pārskatīti.

Kļūda 5: piegādātāju piekļuve tiek uzskatīta tikai par piegādātāju jautājumu. Tā ir arī piekļuves kontroles, žurnālfiksēšanas, uzraudzības, tīkla drošības, reaģēšanas uz incidentiem un nepārtrauktības jautājums.

Kļūda 6: reaģēšana uz incidentiem ignorē drošību. OT rokasgrāmatām jādefinē, kas var izolēt ierīces, apturēt procesus, pārslēgt režīmus vai sazināties ar regulatoriem.

Kļūda 7: NIS2 ziņošana nav izmēģināta. 24 stundu un 72 stundu lēmumu process jātestē pirms reāla notikuma.

Clarysec ieviešanas ceļš no valdes pārskatatbildības līdz OT pierādījumiem

Praktiska NIS2 OT drošības ieviešana var notikt šādā secībā:

1. Apstipriniet NIS2 darbības jomu, vienības klasifikāciju un pakalpojuma kritiskumu.
2. Definējiet OT darbības jomu ISMS ietvaros, tostarp saskarnes un atkarības.
3. Izveidojiet OT aktīvu un datu plūsmu uzskaiti.
4. Identificējiet tiesiskos, līgumiskos, drošības, privātuma un nozares pienākumus.
5. Veiciet OT specifiskas risku izvērtēšanas darbnīcas ar inženieriju, operācijām, IT, SOC, iepirkumu un vadību.
6. Kartējiet riska apstrādi uz ISO/IEC 27002:2022 kontroles pasākumiem, NIS2 tēmām un IEC 62443 ieviešanas modeļiem.
7. Atjauniniet piemērojamības deklarāciju (SoA) ar OT pamatojumu un pierādījumu īpašniekiem.
8. Ieviesiet prioritāros kontroles pasākumus: segmentēšanu, piegādātāju piekļuvi, ievainojamību apstrādi, uzraudzību, rezerves kopijas un reaģēšanu uz incidentiem.
9. Atjauniniet politikas un procedūras, tostarp OT drošību, piegādātāju drošību, attālināto piekļuvi, reaģēšanu uz incidentiem un darbības nepārtrauktību.
10. Veiciet galda vingrinājumus un tehniskās validācijas vingrinājumus.
11. Sagatavojiet audita pakotnes NIS2, ISO/IEC 27001:2022, klientu apliecinājuma un iekšējās pārvaldības vajadzībām.
12. Iekļaujiet konstatējumus vadības pārskatīšanā un nepārtrauktā uzlabošanā.

Tas atspoguļo Zenith Blueprint darbības modeli, īpaši Step 13 riska apstrādei un SoA izsekojamībai, Step 14 politiku izstrādei un regulatīvajām krusteniskajām atsaucēm, Step 19 ievainojamību pārvaldībai un Step 20 tīkla drošībai.

Tā pati pieeja izmanto Clarysec politikas, lai ietvaru valodu pārvērstu operacionālos noteikumos. Uzņēmuma IoT / OT drošības politika pirms ieviešanas prasa drošības arhitektūras izvērtēšanu:

Visām jaunām IoT/OT ierīcēm pirms ieviešanas jāveic drošības arhitektūras izvērtēšana. Šajā pārskatīšanā jāvalidē:

Tajā arī noteikts:

Visa datplūsma IoT/OT tīklos un starp tiem ir nepārtraukti jāuzrauga, izmantojot:

Šīs klauzulas izveido pārvaldības atskaites punktus. Ieviešanas pierādījumi var ietvert OT IDS brīdinājumus, ugunsmūra žurnālus, SIEM korelāciju, pamatdatplūsmas profilus, anomāliju pieteikumus un reaģēšanas ierakstus.

Kā izskatās labi NIS2 OT pierādījumi

NIS2 OT pierādījumu pakotnei jābūt pietiekami praktiskai inženieriem un pietiekami strukturētai auditoriem.

Segmentēšanai iekļaujiet apstiprinātu arhitektūru, zonu un kanālu shēmas, ugunsmūra noteikumu eksportus, izmaiņu ierakstus, periodiskas noteikumu pārskatīšanas, izņēmumu ierakstus un uzraudzības brīdinājumus.

Piegādātāju piekļuvei iekļaujiet piegādātāja kritiskuma izvērtējumu, līguma klauzulas, apstiprinātu piekļuves procedūru, individuālus kontus, MFA pierādījumus, piekļuves žurnālus, sesiju ierakstus, periodisku piekļuves tiesību pārskatīšanu un darba attiecību vai pakalpojuma pārtraukšanas ierakstus.

Ievainojamību pārvaldībai iekļaujiet uzskaiti, paziņojumu avotus, pasīvās atklāšanas izvaddatus, ievainojamību pieteikumus, ielāpu plānus, kompensējošos kontroles pasākumus, riska pieņemšanu un slēgšanas pierādījumus.

Reaģēšanai uz incidentiem iekļaujiet rokasgrāmatas, eskalācijas kontaktus, NIS2 ziņošanas lēmumu koku, galda vingrinājumu rezultātus, incidentu pieteikumus, iestāžu paziņojumu melnrakstus, pierādījumu apstrādes noteikumus un gūtās mācības.

Nepārtrauktībai iekļaujiet OT rezerves kopiju stratēģiju, bezsaistes vai aizsargātas rezerves kopijas, atjaunošanas testu rezultātus, kritisko rezerves daļu sarakstu, manuālās darbības procedūras, atjaunošanas prioritātes un krīzes komunikācijas plānus.

Pārvaldībai iekļaujiet valdes vai vadības apstiprinājumu, lomu piešķīrumus, apmācību ierakstus, iekšējā audita rezultātus, KPI, riska pārskatīšanas protokolus un vadības pārskatīšanas lēmumus.

Šis pierādījumu modelis atbilst ISO/IEC 27001:2022, jo tas atbalsta riska apstrādi, dokumentētu informāciju, veiktspējas izvērtēšanu un nepārtrauktu uzlabošanu. Tas atbilst NIS2, jo pierāda atbilstošus un samērīgus pasākumus. Tas atbilst IEC 62443, jo to var izsekot līdz OT arhitektūrai un inženiertehniskajiem kontroles pasākumiem.

Pārvērtiet savu OT drošības programmu auditējamā NIS2 gatavībā

Ja jūsu OT vide atbalsta kritisku vai regulētu pakalpojumu, gaidīt regulatoru, klientu vai incidentu, kas atklās trūkumus, ir nepareiza stratēģija.

Sāciet ar vienu augstas ietekmes lietošanas gadījumu: attālinātu piegādātāju piekļuvi kritiskai OT zonai, ievainojamību apstrādi neatbalstītiem industriālajiem aktīviem vai segmentēšanu starp uzņēmuma IT un OT. Izveidojiet riska scenāriju, kartējiet to uz NIS2 Article 21, atlasiet ISO/IEC 27002:2022 kontroles pasākumus, pārtulkojiet tos IEC 62443 ieviešanas modeļos un savāciet pierādījumus.

Clarysec var palīdzēt paātrināt šo darbu ar Zenith Blueprint, Zenith Controls, IoT / OT drošības politiku, Lietu interneta (IoT) / operacionālo tehnoloģiju (OT) drošības politiku - SME un Trešo pušu un piegādātāju drošības politiku - SME.

Jūsu nākamā darbība: izvēlieties vienu OT pakalpojumu, kartējiet tā aktīvus un atkarības un šonedēļ izveidojiet pierādījumu līniju no riska līdz kontroles pasākumam. Ja vēlaties strukturētu ieviešanas ceļu, Clarysec 30 soļu ceļkarte un starpatbilstības rīkkopa var pārvērst šo pirmo līniju pilnvērtīgā NIS2 OT drošības programmā.