Информационная безопасность, кибербезопасность и серия стандартов IEC 62443

Все чаще мы слышим не столько об информационной безопасности, сколько о кибербезопасности и ее важности для каждого, как частного лица, так и для организации, для государства и т.д.

Все ли хорошо понимают, что такое кибербезопасность?

Согласно определению, данному в Законе о национальной системе кибербезопасности Польши, кибербезопасность — это сопротивление информационных систем действиям, нарушающим конфиденциальность, целостность, доступность и подлинность обрабатываемых данных или связанных с ними услуг, предлагаемых этими системами. Очень похожее определение можно найти в стандарте ISO/IEC 27032: кибербезопасность — поддержание конфиденциальности, целостности и доступности информации в киберпространстве.

Обеспечение кибербезопасности — довольно сложная задача, особенно когда мы говорим об организациях. Существует множество стандартов, норм и правовых положений, касающихся информационной безопасности и кибербезопасности, в которые время от времени вносятся поправки, и регулярно появляются новые положения. Мы стараемся постоянно быть в курсе и информировать вас, поэтому рекомендую вам подписаться на информационный бюллетень IKMJ и следить за нашими новостями.

Zobacz podobne  Стандарт ISO 15189

Наиболее популярным и признанным стандартом является ISO/IEC 27001 Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования. Стандарт ISO/IEC 27001 подлежит сертификации, существуют стандарты из семейства ISO 27000, которые помогают во внедрении 27001, дают различные советы и хорошие практики (ISO/IEC 27002, ISO/IEC 27005, ISO/IEC 27007 и т.д.). IKMJ поможет вам на каждом этапе внедрения, сопровождения или улучшения систем управления информационной безопасностью и кибербезопасностью.

Однако существуют стандарты, которые в большей степени ориентированы на организации, применяющие определенные технологические решения, например, серия стандартов IEC 62443 «Безопасность в системах промышленной автоматизации и управления» (IACS). Серия стандартов IEC 62443 устанавливает требования соответствия для всех организаций, поддерживающих владельцев активов в реализации технических и процедурных мер безопасности для защиты операционных объектов от киберугроз, уделяя особое внимание ОТ — операционным технологиям, а не ИТ.

Zobacz podobne  Инструменты, помогающие аудиторам проводить внутренние аудиты

Эти стандарты охватывают многие области и могут широко использоваться, что подтверждено Международной Электротехнической Комиссией (МЭК). Серия стандартов IEC 62443 может быть определена как всеобъемлющая, поскольку они охватывают различные структурные аспекты стратегии безопасности, такие как люди, процессы и технологии. Стандарты данной серии сгруппированы в четыре группы, в том числе:

  • общие понятия, определения и темы, общие для серии;
  • политики и процедуры безопасности IACS, включая требования к программам безопасности для владельцев активов, поставщиков услуг и поставщиков решений, а также методологию оценки уровня защиты, обеспечиваемого действующей IACS;
  • технические требования и методология оценки риска кибербезопасности на общесистемном уровне;
  • требования к безопасному жизненному циклу компонентов системы и требования безопасности к ним на техническом уровне.

Система управления кибербезопасностью (CSMS), предложенная стандартом IEC 62443, состоит из шести основных элементов:

  • инициировать программу CSMS (для предоставления информации, необходимой для получения поддержки со стороны руководства);
  • высокоуровневая оценка рисков (выявление и приоритизация угроз);
  • детальная оценка рисков (детальная оценка технических уязвимостей);
  • установление правил безопасности, организации и осведомленности;
  • выбор и реализация контрмер (для снижения рисков для организации);
  • поддержка CSMS (чтобы убедиться, что CSMS остается эффективной и поддерживает цели организации).
Zobacz podobne  Уязвимости и их раскрытие. Обзор ISO/IEC 29147 и ISO 30111. Часть 2

Вы планируете внедрить в своей организации систему управления информационной безопасностью или систему управления кибербезопасностью? У вас есть вопросы о стандартах, которые лучше всего подходят для вашей организации? Не стесняйтесь, связажитесь с нами!

 

Использованные источники:

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Польский Закон от 5 июля 2018 г. о национальной системе кибербезопасности

ISASecure: “IEC 62443 – SDLA Certification;” https://www.isasecure.org/en-US/Certification/IEC-62443-SDLA-Certification-(1).

ISA/IEC-62443-3-2: “Security for Industrial Automation and Control Systems: Security Risk Assessment and System Design,” 2015.

Прокрутить вверх