IoT/OT biztonsági szabályzat

Az IoT/OT biztonsági szabályzat (P35) átfogó, kötelező információbiztonsági követelményrendszert határoz meg az Internet of Things (IoT) és az operatív technológiai (OT) rendszerek telepítésére, üzemeltetésére, monitorozására és üzemen kívül helyezésére vonatkozóan a szervezet egészében. Elsődleges célja, hogy ezeket a technológiákat integrálja a szervezet kiberbiztonsági irányítási rendszerébe, biztosítva a kompromittálás, a visszaélés vagy az operatív szabotázs elleni erős védelmet. A szabályzat alkalmazási területe kiterjed valamennyi IoT- és OT-rendszerre, függetlenül attól, hogy vállalati tulajdonúak, béreltek vagy harmadik féltől származnak, és bármely operatív, adminisztratív vagy éles környezetben használják őket. A lefedett IoT-eszközök közé tartoznak a környezeti érzékelők, a hozzáférés-ellenőrzési mechanizmusok, az intelligens világítás, a megfigyelő berendezések és a viselhető eszközök, míg az OT-rendszerek a programozható logikai vezérlők (PLC-k), a felügyeleti-irányító és adatgyűjtő rendszerek (SCADA) / elosztott vezérlőrendszerek (DCS) platformok, az ember-gép interfész (HMI) panelek és a mezőszintű vezérlők körét fedik le. A szabályzat követelményeket ír elő minden környezetre (helyszíni, felhő, peremhálózati eszközök), életciklus-szakaszra (tervezés, beszerzés, telepítés, üzemeltetés, üzemen kívül helyezés) és érdekelt félre, beleértve a belső felhasználókat, a rendszerintegrátorokat, a harmadik fél beszállítókat és a vállalkozókat. A fő célkitűzések ezen infrastruktúrák védelmére irányulnak olyan fenyegetésekkel szemben, mint a szolgáltatásmegtagadás, a jogosulatlan hozzáférés, a zsarolóvírusok és a firmware manipulációja. A szabályzat előírja a beépített biztonság és a mélységi védelem módszertanainak alkalmazását, megkövetelve, hogy minden telepítés megfeleljen az alapvető standard kontrolloknak, például az ISO/IEC 27001-nek és az ágazat szempontjából releváns iránymutatásoknak (IEC 62443, NIST SP 800-82). A biztonsági műveletekkel való biztonságos integráció – beleértve az incidensreagálás eszkalációját, az üzletmenet-kritikus OT-események osztályozását és a szervezeti egységek közötti eljárások dokumentálását – a szabályzat szerves része. Az irányítási követelmények meghatározzák az eszközbiztonsági konfigurációt (egyedi hitelesítő adatok, hardverhez kötött tanúsítványok, biztonságos rendszerindítás), szigorú hálózati szegmentálást és elkülönítést érvényesítenek az IT/OT között, és tiltják a nem biztonságos protokollokat, kivéve, ha azok biztonságos átviteli alagúttal védettek és kockázatelfogadás keretében elfogadottak. A monitorozás és fenyegetésészlelés folyamatos, az eszköz- és hálózati tevékenységek vizsgálata ipari hálózati detektáló eszközökkel, SIEM-szabálykészletekkel, mélycsomag-vizsgálattal és naplómegőrzési gyakorlatokkal történik. A biztonsági javítások és az aláírt firmware ellenőrzése alapvető, és az életciklus-végi eszközök üzemen kívül helyezése megköveteli a távoli törlést vagy eszköztörlést vagy újratelepítést, az eszköz-hitelesítő adatok visszavonását és az eszközleltár frissítését. A kivételkezelés és a kockázatkezelés egyértelműen meghatározott az olyan örökölt rendszerekre, amelyek nem képesek teljesíteni a követelményeket; ez formális dokumentációt, kockázatcsökkentő kontrollokat, korlátozott alhálózatokat és monitorozást igényel. A szabályzat szorosan integrált a kapcsolódó szabályzatokkal, amelyek a kockázatkezelési keretrendszert, az eszközleltárt, a végpontvédelmet, a naplózási és monitorozási szabályzatot, az incidensreagálást, valamint az audit és megfelelés területeit szabályozzák. A felülvizsgálatok évente vagy jelentős rendszer-, beszállító- vagy fenyegetési környezetváltozás esetén történnek, biztosítva a folyamatos összhangot a szabályozási, szerződéses és operatív követelményekkel. Az érvényesítési mechanizmusok közé tartoznak az auditfelülvizsgálatok, a fegyelmi eljárások, a beszállítói szankciók és a jogi lépések eszkalációja szabályozási megsértés vagy szabotázs esetén.