Cách tiếp cận khác biệt và trên phạm vi rộng
Nhiều doanh nghiệp và ngành công nghiệp sử dụng CNTT đã có hệ thống quản lý an toàn mạng (Cyber Security Management System – CSMS) được thiết lập thích hợp tiêu chuẩn IEC 62443 bao gồm bảo mật cho cả CNTT và CNVH, trong đó bao gồm nhiều khía cạnh và cung cấp một khuôn khổ linh hoạt để giải quyết và giảm thiểu các lỗ hổng bảo mật hiện tại và tương lai trong IACS. Dòng tiêu chuẩn IEC 62443 được tổ chức thành bốn phần bao gồm:
Phần chung IEC
+ 62443 IEC/TS 62443-1-1: 2009, xác định thuật ngữ, khái niệm và mô hình cho bảo mật IACS. Nó thiết lập cơ sở cho các tiêu chuẩn còn lại trong loạt IEC 62443. Trong đó có 07 yêu cầu cơ bản sau:
-
- Kiểm soát nhận dạng và xác thực (Identification and Authentication Control – IAC);
- Kiểm soát sử dụng;
- Tính toàn vẹn của hệ thống;
- Bảo mật dữ liệu;
- Luồng dữ liệu hạn chế;
- Phản ứng kịp thời với các sự kiện;
- Tính khả dụng của tài nguyên.
- Các chính sách và thủ tục
+ IEC 62443-2-1: 2010, xác định các yếu tố cần thiết để thiết lập một CSMS cho IACS và cung cấp hướng dẫn về cách phát triển các yếu tố đó. Các yếu tố của CSMS được mô tả trong tiêu chuẩn này chủ yếu là chính sách, thủ tục, thực hành và nhân sự có liên quan, mô tả những gì sẽ hoặc nên được đưa vào CSMS cho tổ chức.
+ IEC TR 62443-2-3: 2015, đề cập đến quản lý bản vá trong môi trường IACS và mô tả các yêu cầu đối với chủ sở hữu tài sản và nhà cung cấp sản phẩm IACS đã thiết lập và hiện đang duy trì chương trình quản lý bản vá IACS. Báo cáo Kỹ thuật này đề xuất một định dạng xác định để phân phối thông tin về các bản vá bảo mật từ chủ sở hữu tài sản đến các nhà cung cấp sản phẩm IACS.
Nó cũng cung cấp định nghĩa cho một số hoạt động liên quan đến việc phát triển thông tin bản vá của các nhà cung cấp sản phẩm IACS và việc triển khai, cài đặt các bản vá của chủ sở hữu nội dung. Định dạng trao đổi và các hoạt động được xác định để sử dụng trong các bản vá liên quan đến bảo mật. Tuy nhiên, nó cũng có thể áp dụng cho các bản vá hoặc cập nhật không liên quan đến bảo mật. Nó không phân biệt giữa các nhà cung cấp các thành phần cơ sở hạ tầng hoặc các ứng dụng IACS, nó cung cấp hướng dẫn cho tất cả các bản vá có thể áp dụng.
+ IEC 62443-2-4: 2017, chỉ rõ các yêu cầu về khả năng bảo mật đối với các nhà cung cấp dịch vụ IACS mà họ có thể cung cấp cho chủ sở hữu tài sản trong các hoạt động tích hợp và bảo trì của một giải pháp tự động hóa.
Phần hệ thống
+ IEC TR 62443-3-1: 2009, Mạng truyền thông công nghiệp – Bảo mật mạng và hệ thống – Công nghệ bảo mật cho IACS, cung cấp đánh giá hiện tại về các công cụ an toàn mạng khác nhau, các biện pháp giảm thiểu và công nghệ có thể áp dụng hiệu quả cho IACS dựa trên điện tử hiện đại điều chỉnh và giám sát nhiều ngành công nghiệp và cơ sở hạ tầng quan trọng.
Nó mô tả một số danh mục công nghệ an toàn mạng tập trung vào hệ thống kiểm soát, các loại sản phẩm có sẵn trong các danh mục đó, ưu và nhược điểm của việc sử dụng các sản phẩm đó trong môi trường IACS tự động có liên quan đến các mối đe dọa dự kiến và lỗ hổng mạng đã biết. Quan trọng nhất là các khuyến nghị sơ bộ và hướng dẫn sử dụng các sản phẩm công nghệ an toàn mạng này và các biện pháp đối phó.
+ IEC 62443-3-2: 2020, bảo mật cho IACS tập trung vào đánh giá rủi ro bảo mật cho thiết kế hệ thống. Trong số những thứ khác nhau, nó thiết lập các yêu cầu đối với:
-
- Xác định một hệ thống đang được xem xét cho IACS.
- Phân chia hệ thống đang được xem xét thành các khu vực và đường dẫn.
- Đánh giá rủi ro cho từng khu vực và đường dẫn.
- Thiết lập mức bảo mật mục tiêu cho từng vùng và đường dẫn.
- Ghi lại các yêu cầu bảo mật.
Các thành phần khác
+ IEC 62443-4-1: 2018, tập trung vào các yêu cầu về vòng đời phát triển sản phẩm an toàn. Nó chỉ định các yêu cầu quy trình để phát triển an toàn các sản phẩm được sử dụng trong các hệ thống điều khiển và tự động hóa công nghiệp. Xác định các yêu cầu vòng đời phát triển an toàn liên quan đến an toàn mạng đối với các sản phẩm được thiết kế để sử dụng trong môi trường IACS và cung cấp hướng dẫn về cách đáp ứng các yêu cầu được mô tả cho từng thành phần.
Mô tả vòng đời bao gồm định nghĩa yêu cầu bảo mật, thiết kế an toàn, triển khai an toàn (bao gồm hướng dẫn mã hóa), xác minh và xác thực, quản lý lỗi, quản lý bản vá và cuối cùng là vòng đời của sản phẩm. Các yêu cầu này có thể được áp dụng cho các quy trình mới hoặc hiện có để phát triển, bảo trì và gỡ bỏ phần cứng, phần mềm hoặc phần sụn. Những yêu cầu này chỉ áp dụng cho nhà phát triển và người bảo trì sản phẩm, không áp dụng cho nhà tích hợp hoặc người sử dụng sản phẩm.
+ IEC 62443-4-2: 2019, yêu cầu an toàn kỹ thuật cho các thành phần IACS. Nó cung cấp các yêu cầu chi tiết về thành phần hệ thống điều khiển kỹ thuật liên quan đến 07 yêu cầu cơ bản được liệt kê ở trên, bao gồm việc xác định các yêu cầu đối với khả năng kiểm soát các mức độ bảo mật của hệ thống và các thành phần của chúng.
Mở ra nhiều chức năng và khả năng ứng dụng mới của hệ thống. Sử dụng mạng truyền thông công nghiệp cho phép áp dụng các kiến trúc điều khiển mới như điều khiển phân tán, điều khiển phân tán với các thiết bị trường, điều khiển giám sát hoặc chẩn đoán lỗi từ xa qua Internet, tích hợp thông tin của hệ thống điều khiển và giám sát với thông tin điều hành sản xuất và quản lý công ty.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
