概述
行業標準,如ISO/IEC 27000和ISA/IEC 62443,解決OT係統網絡安全的各個方麵。總的來說,他們提供了如何組建一個全麵的OT網絡安全計劃的方向。每一個這些標準中有一部分旨在盡可能廣泛地處理一組應用程序,這對那些希望將它們應用於單個行業、公司或應用程序的人提出了挑戰。
概要文件可以提供一種根據上下文定製定義和需求的方法。但是,必須有定義此類概要文件的方法,以確保基本需求已經得到處理。這將作為ISA/IEC 62443標準的一部分提供。
OT網絡安全標準的現狀
對於如何解決OT係統的網絡安全問題,長期以來都需要指導和指導。盡管信息安全是一門成熟的學科,但OT係統也有必須解決的特點。這可以通過應用ISO/IEC 27000和ISA/IEC 62443中包含的原則、概念和要求來實現。前者側重於保護信息,後者則處理與工業或運營係統相關的具體或獨特的挑戰。總之,他們提供了如何組建一個有效的網絡安全計劃的方向。
行業標準旨在處理盡可能廣泛的應用程序集,幾乎涵蓋所有行業和技術。當試圖將標準應用於單個行業、公司或應用程序時,這可能會出現問題。雖然通用概念是適用的,但標準中使用的語言通常非常寬泛,甚至晦澀難懂,以避免特定的術語。這迫使讀者將更廣泛的語言翻譯成更適合他們所提出的應用程序的形式。此外,標準有意不具有規定性。雖然它們根據規範性要求定義了必須完成的任務,但通常沒有規定滿足這些要求的方法。
正因為如此,當資產所有者設計他們的網絡安全程序時,單靠標準可能是不夠的。在提供所需專一程度的實踐和指導的形式中需要更多的細節。此類參考的例子包括NIST網絡安全框架(NIST CSF)和各種特定行業的指南。不幸的是,這些資源可能不完全符合標準中所包含的正式要求。
簡單地說,必須有一種直接的方法將規範性標準中所包含的“是什麼”與指導方針和框架中所提供的“如何”聯係起來。雖然簡單地將規範要求映射到NIST CSF所做的指導方針是有用的,但這是不夠的。這樣的映射也很難維護,因為源是由不同的組維護的,使用不同的過程和時間表。
ARC谘詢集團客戶可在以下網站查看完整報告ARC客戶端門戶
如果您想購買這份報告或獲取如何成為客戶的信息,請聯係我們
關鍵詞:網絡安全,ISO/IEC 27000, ISA/IEC 62443,概要,扇區,標準,ARC谘詢組