侵權投訴
訂閱
糾錯
加入自媒體
當前位置: OFweek 安防網   >   其它   >  正文

ISA和IEC批準了工業(yè)網絡安全風險評估標準

2020-08-12 15:08
振工鏈
關注

評估網絡安全風險的可審核方法

ISA / IEC 62443系列標準包括十四個單獨的文件,每個尋址工業(yè)系統(tǒng)網絡安全的主題的具體方面。其中大多數是標準,共同提供了一套全面的規(guī)范性要求,這些要求適用于解決方案生命周期的各個階段,從規(guī)范和開發(fā)到實施到操作和支持。

為了對工業(yè)網絡安全程序的設計和運行做出明智的決策,首先必須進行全面的風險評估,以應對威脅,脆弱性和潛在后果。然后,資產所有者和運營商使用此練習的結果來確定在哪里最好地應用稀缺資源以獲得最佳結果。直到最近,關于如何進行這種評估的實踐指導還很少。有一些公司提供這項服務,但是資產所有者擁有如何自己進行評估的指導也很重要。幸運的是,基本方法類似于安全評估所使用的方法,該方法是安全工程師長期實踐的方法。這導致了諸如安全過程危害分析(PHA)等概念的出現。

62443系列標準

ISA和IEC批準了工業(yè)網絡安全風險評估標準

ISA99委員會最近完成了解決該主題的標準的工作。該標準現已以IEC 62443-3-2的形式提供,并且很快將以ISA-62443-3-2的價格出售,它定義了一組工程措施,這些措施可指導組織完成評估特定工業(yè)控制系統(tǒng)風險的過程。確定并應用安全對策,以將安全風險降低到可以容忍的水平。

目標受眾包括資產所有者,系統(tǒng)集成商,產品供應商,服務提供商和法規(guī)遵從性機構。該標準圍繞一個全面的工作流進行組織,該工作流包含以下每個步驟以及所需的輸入和預期結果。

1. 定義正在考慮的系統(tǒng)(SUC)。

2. 進行初步風險評估。

3. 將SUC分為區(qū)域和管道。

4. 確定初始風險是否可以承受。

5. 如果需要,請執(zhí)行更詳細的風險評估。

6. 記錄安全要求,假設和約束。

總共為該過程定義了30多個規(guī)范要求,每個要求都有適當的理由和補充指導。

ISA / IEC 62443-3-2是有效的網絡安全響應的重要且長期以來期望的組成部分,它反映了公認的實踐或若干學科。鼓勵對此領域有需要或對此主題感興趣的人從服務提供商,培訓組織和其他知情的渠道中了解,更多信息盡在振工鏈。

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權或其他問題,請聯系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯
    x
    *文字標題:
    *糾錯內容:
    聯系郵箱:
    *驗 證 碼:

    粵公網安備 44030502002758號