Политика за сигурност на IoT/OT

Политика за сигурност на IoT/OT (P35) установява всеобхватен набор от задължителни изисквания за информационна сигурност за внедряването, експлоатацията, мониторинга и извеждането от експлоатация на системи за Интернет на нещата (IoT) и системи за оперативни технологии (OT) в цялата организация. Основната ѝ цел е да интегрира тези технологии в система за управление на киберсигурността на организацията, като осигури надеждна защита срещу компрометиране, неправомерна употреба или саботаж на производството. Обхватът на тази политика включва всички IoT и системи за оперативни технологии (OT), независимо дали са собственост на компанията, наети или предоставени от трети страни, използвани във всяка оперативна, административна или продукционна среда. Обхванатите IoT устройства включват сензори за околната среда, механизми за автентикация, интелигентно осветление, оборудване за наблюдение и носими устройства, докато OT системите варират от програмируеми логически контролери (PLC) и система за диспечерско управление и събиране на данни (SCADA)/разпределени системи за управление (DCS) платформи до панели за интерфейс човек-машина (HMI) и полеви контролери. Политиката описва изискванията за всички среди (локална, облак, Edge устройства), етапи от жизнения цикъл (замисъл, набавяне, внедряване, експлоатация, извеждане от експлоатация) и заинтересовани страни, включително вътрешни потребители, интегратори, доставчици от трети страни и изпълнители. Ключовите цели са насочени към защитата на тези инфраструктури от заплахи като отказ на услуга, неоторизиран достъп, рансъмуер и манипулиране на фърмуера. Политиката изисква прилагане на сигурност по замисъл и защита в дълбочина, като изисква всички внедрявания да са в съответствие с основни стандартни контроли като ISO/IEC 27001 и секторно релевантни насоки (IEC 62443, NIST SP 800-82). Сигурната интеграция с операции по сигурността, включително ескалация при реагиране при инциденти, класификация на бизнес-критични OT събития и документация на междуотделни процедури, е неразделен компонент. Изискванията за управление определят конфигурация за сигурност на устройствата (уникални удостоверителни данни, хардуерно обвързани сертификати, защитено зареждане), налагат строга мрежова сегментация между IT/OT и забраняват несигурни протоколи, освен ако не са защитени и не е извършено приемане на риска. Мониторингът и откриването на заплахи са непрекъснати, като дейностите на устройства и мрежи се анализират чрез пасивни инструменти за откриване, специализирани за ICS/SCADA, OT-специфични SIEM набори от правила, дълбочинна инспекция на пакети и практики за съхранение на логове. Прилагането на корекции и валидирането на подписан фърмуер са интегрални, а извеждането от експлоатация на устройства с изтекъл жизнен цикъл изисква отдалечено изтриване/изтриване на локалната конфигурация, отнемане на удостоверения за устройство и актуализации на регистъра на активите. Обработката на изключения и третирането на риска са ясно дефинирани за наследени системи, които не могат да изпълнят изискванията, като се изискват формална документация, контроли за смекчаване на риска, ограничени подмрежи и мониторинг. Политиката е тясно интегрирана със свързани политики, които уреждат управление на риска, регистър на активите, защита на крайните точки, политика за регистриране и мониторинг, политика за реагиране при инциденти и одит и съответствие. Прегледи се провеждат ежегодно или при значими промени в системи, доставчици или средата на заплахите, като се осигурява продължаващо съгласуване с регулаторни, договорни и оперативни изисквания. Механизмите за прилагане включват одитни прегледи, дисциплинарни процедури, санкции към доставчици и ескалация на правни действия при регулаторно нарушение или саботаж.