評估網(wǎng)絡(luò)安全風(fēng)險的可審核方法

ISA ／ IEC 62443系列標準包括十四個單獨的文件，每個尋址工業(yè)系統(tǒng)網(wǎng)絡(luò)安全的主題的具體方面。其中大多數(shù)是標準，共同提供了一套全面的規(guī)范性要求，這些要求適用于解決方案生命周期的各個階段，從規(guī)范和開發(fā)到實施到操作和支持。

為了對工業(yè)網(wǎng)絡(luò)安全程序的設(shè)計和運行做出明智的決策，首先必須進行全面的風(fēng)險評估，以應(yīng)對威脅，脆弱性和潛在后果。然后，資產(chǎn)所有者和運營商使用此練習(xí)的結(jié)果來確定在哪里最好地應(yīng)用稀缺資源以獲得最佳結(jié)果。直到最近，關(guān)于如何進行這種評估的實踐指導(dǎo)還很少。有一些公司提供這項服務(wù)，但是資產(chǎn)所有者擁有如何自己進行評估的指導(dǎo)也很重要。幸運的是，基本方法類似于安全評估所使用的方法，該方法是安全工程師長期實踐的方法。這導(dǎo)致了諸如安全過程危害分析（PHA）等概念的出現(xiàn)。

62443系列標準

ISA99委員會最近完成了解決該主題的標準的工作。該標準現(xiàn)已以IEC 62443－3－2的形式提供，并且很快將以ISA－62443－3－2的價格出售，它定義了一組工程措施，這些措施可指導(dǎo)組織完成評估特定工業(yè)控制系統(tǒng)風(fēng)險的過程。確定并應(yīng)用安全對策，以將安全風(fēng)險降低到可以容忍的水平。

目標受眾包括資產(chǎn)所有者，系統(tǒng)集成商，產(chǎn)品供應(yīng)商，服務(wù)提供商和法規(guī)遵從性機構(gòu)。該標準圍繞一個全面的工作流進行組織，該工作流包含以下每個步驟以及所需的輸入和預(yù)期結(jié)果。

1． 定義正在考慮的系統(tǒng)（SUC）。

2． 進行初步風(fēng)險評估。

3． 將SUC分為區(qū)域和管道。

4． 確定初始風(fēng)險是否可以承受。

5． 如果需要，請執(zhí)行更詳細的風(fēng)險評估。

6． 記錄安全要求，假設(shè)和約束。

總共為該過程定義了30多個規(guī)范要求，每個要求都有適當(dāng)?shù)睦碛珊脱a充指導(dǎo)。

ISA ／ IEC 62443－3－2是有效的網(wǎng)絡(luò)安全響應(yīng)的重要且長期以來期望的組成部分，它反映了公認的實踐或若干學(xué)科。鼓勵對此領(lǐng)域有需要或?qū)Υ酥黝}感興趣的人從服務(wù)提供商，培訓(xùn)組織和其他知情的渠道中了解，更多信息盡在振工鏈。