Hiệp hội Tự động hóa Quốc tế (ISA) và Liên minh An ninh Mạng Toàn cầu ISA (ISAGCA) đã phát hành sách trắng cung cấp tổng quan về tiêu chuẩn ISA 62443-3-2. Nó cũng nêu bật một số phương pháp luận có thể được sử dụng để hỗ trợ việc thực hiện các yêu cầu của quy trình đánh giá rủi ro an ninh mạng của hệ thống điều khiển tự động hóa công nghiệp (IACS).
Sách trắng, có tiêu đề ‘Tận dụng ISA 62443-3-2 Đối với Đánh giá Rủi ro IACS và Chiến lược Liên quan đến Rủi ro’, liệt kê tóm tắt một số phương pháp luận có thể được sử dụng để hỗ trợ việc thực hiện các yêu cầu của quy trình đánh giá rủi ro an ninh mạng IACS, chi tiết trong tiêu chuẩn.
Được phát hành vào tháng 2 năm ngoái, tiêu chuẩn ISA 62443-3-2 có thể được mua từ ISA hoặc Ủy ban Kỹ thuật Điện Quốc tế (IEC). Các lợi ích của việc sử dụng phương pháp tiếp cận tiêu chuẩn dựa trên rủi ro bao gồm giảm khả năng tấn công mạng thành công, sử dụng một bộ yêu cầu chung giữa các bên liên quan, cung cấp bảo mật trong suốt vòng đời và giảm chi phí vòng đời tổng thể.
Tiêu chuẩn ISA 62443-3-2 đặt ra cho các công ty công nghiệp, những công ty chủ yếu liên quan đến hàng không vũ trụ, sản xuất gỗ, công cụ, quốc phòng, xây dựng, quản lý chất thải, xi măng và chế tạo kim loại trong số nhiều công ty khác, để xác định Hệ thống đang được xem xét (SuC) , thực hiện đánh giá rủi ro không gian mạng ban đầu, phân vùng SuC thành các khu vực và đường dẫn, thực hiện đánh giá rủi ro mạng cấp độ chi tiết và cập nhật tài liệu sử dụng các yêu cầu an ninh mạng để thiết kế chi tiết.
Tiêu chuẩn ISA 62443-3-2 đưa ra các yêu cầu để thiết lập quy trình làm việc để đánh giá rủi ro an ninh mạng có thể được tích hợp với chương trình đánh giá rủi ro hiện có và thể hiện thông lệ kỹ thuật tốt được công nhận và chấp nhận chung (RAGAGEP). Các lợi ích của việc sử dụng tiêu chuẩn này bao gồm giảm khả năng tấn công mạng thành công, sử dụng một bộ yêu cầu chung giữa các bên liên quan, bảo mật trong suốt vòng đời và giảm chi phí vòng đời tổng thể.
Trước khi đánh giá rủi ro an ninh mạng ban đầu, chu vi và các điểm truy cập của SuC phải được xác định và lập thành tài liệu, theo sách trắng. Điều quan trọng cần nhận ra là khi xác định SuC, các thiết bị từ cảm biến trường và các phần tử cuối cùng cho đến giao diện chồng chéo với công nghệ thông tin (CNTT) trong khu phi quân sự (DMZ) cần được xem xét. Trong trường hợp internet vạn vật công nghiệp (IIoT) hoặc đám mây được sử dụng để thực hiện các chức năng trong cấp độ công nghệ hoạt động (OT), chúng cũng nhất thiết phải được đưa vào, nó nói thêm.
Andre Ristaino, Giám đốc điều hành ISAGCA nhận xét: “Sứ mệnh của ISAGCA là kích hoạt và đẩy nhanh việc áp dụng các thực hành an ninh mạng cho tất cả các nhóm bên liên quan dựa trên họ ISA / IEC 62443 về tiêu chuẩn an ninh mạng tự động hóa”. “Các công ty thành viên của chúng tôi đang hợp tác với nhau, các đối tác trong ngành và các cơ quan quản lý / lập pháp để đảm bảo quá trình tự động hóa ảnh hưởng đến cuộc sống hàng ngày của chúng ta.”
Dựa trên sự hiểu biết rằng bảo mật IACS là một vấn đề của quản lý rủi ro. IACS tùy chỉnh rủi ro đối với một tổ chức tùy thuộc vào mối đe dọa liên quan, mức độ rủi ro, khả năng xảy ra sự kiện, các lỗ hổng cố hữu và hậu quả của sự thỏa hiệp.
“Mỗi tổ chức sở hữu và điều hành IACS có khả năng chấp nhận rủi ro riêng và các tổ chức được yêu cầu cung cấp đầu vào được sử dụng để đánh giá rủi ro của một IACS cụ thể, Ron Brash, giám đốc thông tin chi tiết về an ninh mạng tại Verve Industrial, đã viết trong một bài đăng trên blog của công ty . “Dựa trên những yếu tố đầu vào đó, ISA / IEC 62443-3-2 có thể trợ giúp khi thiết kế một giải pháp bằng cách hướng dẫn xác định / áp dụng các biện pháp đối phó an ninh để giảm nguy cơ đó xuống mức có thể chấp nhận được đối với các mức bảo mật đã xác định, vùng, ống dẫn và các bảo mật khác các nguyên tắc cơ bản. ”
Tiêu chuẩn ISA 62443-3-2 dựa trên sự hiểu biết rằng bảo mật IACS là một vấn đề quản lý rủi ro. Mỗi IACS mang đến một rủi ro khác nhau cho một tổ chức tùy thuộc vào các mối đe dọa mà tổ chức đó phải đối mặt, khả năng phát sinh các mối đe dọa đó, các lỗ hổng cố hữu trong hệ thống và hậu quả nếu hệ thống bị xâm phạm. Hơn nữa, mỗi tổ chức sở hữu và vận hành IACS đều có khả năng chấp nhận rủi ro riêng.
“Vì những lý do này, ISA / IEC 62443-3-2 sẽ xác định một tập hợp các biện pháp kỹ thuật để hướng dẫn các tổ chức thông qua quá trình đánh giá rủi ro của một IACS cụ thể và xác định và áp dụng các biện pháp đối phó an ninh để giảm rủi ro đó xuống mức có thể chấp nhận được,” viết chuyên gia an ninh mạng Anastasios Arampatzis trong một bài đăng trên blog cho Tripwire.
Các nhà cung cấp cũng đã hướng tới việc tạo ra các công nghệ đáp ứng tiêu chuẩn ISA 62443-3-2. Ví dụ: aeCyberSolutions đã công bố vào tháng 4 rằng aeCyberPHA Facilitation Suite dành cho các chủ sở hữu tài sản công nghiệp muốn tự thực hiện, duy trì và quản lý các đánh giá rủi ro an toàn mạng PHA (phân tích các mối nguy trong quá trình). Bộ này bao gồm một gói tất cả trong một gồm các công cụ, đào tạo và hướng dẫn cần thiết để dẫn đầu thành công việc đánh giá rủi ro tuân thủ ISA / IEC 62443-3-2 theo phương pháp PHA không gian mạng đã được chứng minh.
An ninh mạng công nghiệp đã liên tục bị ảnh hưởng trong vài tháng qua với hàng loạt ransomware và các sự cố an ninh mạng khác, thường làm gián đoạn hoạt động tại các đơn vị công nghiệp và các phân khúc cơ sở hạ tầng quan trọng, bao gồm cả các nhà máy nước và hoạt động của đường ống dẫn nhiên liệu.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Với khát vọng vươn tới sự hoàn hảo, Vina Aspire luôn mong muốn mang đến cho người dùng những trải nghiệm bảo mật và an toàn thông tin tuyệt đối. Vina Aspire đã từng bước khẳng định vị trí của mình trên thị trường và tham vọng sẽ trở thành một trong những Tập đoàn Công nghệ hàng đầu tại Đông Nam Á trong tương lai gần.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://industrialcyber.co/news/isa-62443-3-2-standard-accessible-to-industrial-companies-for-automation-control-systems-cybersecurity/
