IoT/OT turbepoliitika

IoT/OT turbepoliitika (P35) kehtestab tervikliku kogumi kohustuslikke infoturbenõudeid asjade interneti (IoT) ja operatiivtehnoloogia (OT) süsteemide juurutamiseks, käitamiseks, seireks ja kasutusest kõrvaldamiseks kogu organisatsioonis. Selle peamine eesmärk on integreerida need tehnoloogiad organisatsiooni küberturbe juhtimissüsteemiga, tagades tugeva kaitse kompromiteerimise, väärkasutuse või tootmissabotaaži vastu. Selle poliitika kohaldamisala hõlmab kõiki IoT ja OT süsteeme, olenemata sellest, kas need on ettevõtte omandis, renditud või hangitud kolmandatelt osapooltelt, ning mida kasutatakse mis tahes operatiiv-, haldus- või tootmiskeskkonnas. Hõlmatud IoT seadmete hulka kuuluvad keskkonnaandurid, juurdepääsukontrolli mehhanismid, nutivalgustus, jälgimisseadmed ja kantavad seadmed, samas kui OT süsteemid ulatuvad programmeeritavatest loogikakontrolleritest (PLC-d) ja SCADA/DCS platvormidest kuni inimese-masina liidese (HMI) paneelide ja välikontrolleriteni. Poliitika kirjeldab nõudeid kõigis keskkondades (kohapealne, pilv, serv), elutsükli etappides (kavandamine, hange, juurutamine, käitamine, kasutusest kõrvaldamine) ning sidusrühmades, sh sisekasutajad, süsteemiintegraatorid, kolmanda osapoole tarnijad ja töövõtjad. Peamised eesmärgid keskenduvad nende taristute kaitsmisele ohtude eest, nagu teenusetõkestus, volitamata juurdepääs, lunavara ja püsivara manipuleerimine. Poliitika kohustab rakendama lõimitud turvalisust ja süvakaitse metoodikaid, nõudes, et kõik juurutused vastaksid põhilistele standardkontrollidele, nagu ISO/IEC 27001, ning valdkonnaspetsiifilistele suunistele (IEC 62443, NIST SP 800-82). Turvaline integratsioon turbeoperatsioonidega, sh intsidentidele reageerimise eskaleerimine, ärikriitiliste OT sündmuste klassifitseerimine ning valdkondadeüleste protseduuride dokumenteerimine, on lahutamatu osa. Juhtimisnõuded määratlevad seadmete turvakonfiguratsioonid (unikaalsed autentimisandmed, riistvaraga seotud sertifikaadid, turvaline alglaadimine), jõustavad range võrgu segmenteerimise ja isoleerimise IT/OT vahel ning keelavad ebaturvalised protokollid, välja arvatud juhul, kui need on turvatud ja riski aktsepteerimine on tehtud. Seire ja ohtude tuvastamine on pidev, kus seadme- ja võrgutegevust kontrollitakse tööstusvõrgu tuvastusvahendite, SIEM-i reeglistike, sügavpaketikontrolli ja logide säilitamise praktikate abil. Turvapaigad ja allkirjastatud püsivara valideerimine on lahutamatu osa ning kasutusea lõpus olevate seadmete kasutusest kõrvaldamine nõuab andmete pühkimist, seadme autentimisandmete kehtetuks tunnistamist ja varade registri ajakohastamist. Erandite käsitlemine ja riski käsitlemine on selgelt määratletud pärandsüsteemide jaoks, mis ei suuda nõudeid täita, nõudes ametlikku dokumentatsiooni, riskide maandamise kontrollimeetmeid, piiratud alamvõrke ja seiret. Poliitika on tihedalt integreeritud seotud poliitikatega, mis reguleerivad riskijuhtimist, varade registrit, lõppseadmete kaitset, logimis- ja seirepoliitikat, intsidentidele reageerimist ning auditit ja nõuetele vastavust. Läbivaatamised viiakse läbi iga-aastase kordusvalideerimise raames või oluliste süsteemi-, tarnija- või ohumaastiku muutuste korral, tagades jätkuva ühtlustatuse regulatiivsete, lepinguliste ja operatiivsete nõuetega. Jõustamismehhanismid hõlmavad auditi ülevaatusi, distsiplinaarmenetlusi, tarnija sanktsioone ja õiguslike meetmete eskaleerimist regulatiivse rikkumise või sabotaaži korral.