IoT/OT saugumo politika – SVV

„IoT / OT saugumo politika“ (dokumentas P35S) parengta tam, kad SVV organizacijoms suteiktų išsamią, praktišką sistemą daiktų interneto (IoT) ir operacinių technologijų (OT) įrenginių apsaugai. Atsižvelgiant į sparčiai augantį išmaniųjų įrenginių, tokių kaip jutikliai, kameros, HVAC valdikliai ir gamybos įranga, naudojimą, ši politika nustato griežtas, vykdytinas taisykles saugiam diegimui, nuolatinei stebėsenai, tiekėjų valdymui ir atitikties reglamentavimo reikalavimams užtikrinimui. Tai aiškiai SVV politika, ką rodo ir dokumento numeris (P35S), ir valdysenos struktūra, paremta ne IT specialistų vaidmenimis, pirmiausia generaliniu direktoriumi (GD) ir paskirtais darbuotojais ar padalinių vadovais, o ne saugumo pareigūnais ar vyriausiuoju informacijos saugumo pareigūnu (CISO). Sukurta paprastumui ir tiesioginiam pritaikomumui, politika leidžia užtikrinti tvirtą IoT/OT aplinkų kontrolę, nedarant prielaidos, kad organizacija turi dideles saugumo komandas ar specializuotus IT išteklius. Apibendrintų vaidmenų įtraukimas užtikrina, kad atitiktis ir rizikos valdymas būtų įgyvendinami įprastam personalui biuro, sandėlio ar gamybos aplinkoje. Politikos taikymo sritis apima visą IoT ir OT įrenginių planavimą, diegimą, konfigūravimą, naudojimą, palaikymą ar šalinimą, įskaitant vidinį personalą, išorinius tiekėjus ir rangovus. Kontrolės priemonės taikomos visose įmonės vietose ir debesijos paskyrose / debesijos platformose, kurios sąveikauja su prijungtomis sistemomis. Pagrindiniai valdysenos reikalavimai apima detalaus turto inventoriaus palaikymą, tinklo segmentavimo (pvz., dedikuotų virtualiųjų vietinių tinklų (VLAN) IoT/OT) vykdymą ir stipraus autentifikavimo bei slaptažodžių valdymo reikalavimą. Politika taip pat reikalauja reguliarių programinės aparatinės įrangos atnaujinimų, aiškių sutartinių reikalavimų nuostatų su tiekėjais, kad būtų užtikrintas saugus įdiegimas, ir audituojamumo trečiųjų šalių darbams. Kiekvienas IoT ar OT įrenginys sekamas pagal įrenginio tipą, modelį, vietą, naudotojo priskyrimą ir programinės aparatinės įrangos versiją; kas ketvirtį atliekamas pakartotinis vertinimas, kad būtų identifikuotas pasenęs ar pažeidžiamas turtas. Prieiga griežtai ribojama autorizuotam personalui, o visi numatytieji ar kietai užkoduoti slaptažodžiai turi būti pakeisti prieš aktyvavimą. Įrenginiai, naudojantys nesankcionuotas debesijos paslaugas, turi būti apsaugoti kelių veiksnių autentifikavimu (MFA) ir oficialiomis įmonės paskyromis. Be to, fiziniai įrenginiai viešose ar bendrose zonose turi turėti manipuliacijai atsparias plombas ar kitas apsaugos nuo klastojimo priemones. Reagavimo į incidentus skyrius tiesiogiai nurodo suderinimą su P30S (reagavimo į incidentus politika), reikalaujant nedelsiant veikti ir taikyti eskalavimo procesus, jei įrenginiai yra kompromituoti ar veikia netinkamai. Rizikos ir atitikties procedūros apima GD atliekamą metinį rizikos vertinimą, išimčių tvarkymą su kompensacinėmis kontrolės priemonėmis ir rizikų registro palaikymą. Bet kokie pažeidimai sukelia aiškias pasekmes, įskaitant prieigos sustabdymą, sutarties nutraukimą ir galimus teisinius veiksmus. Reguliarios peržiūros ir politikos atnaujinimų komunikacija užtikrina reagavimą į naujas grėsmes ar technologijas, o integruotos pranešimų procedūros palaiko pranešimų apie pažeidimus teikimo mechanizmą ir anoniminius pranešimus. Atitiktis pagrindiniams standartams yra detaliai susieta, įskaitant ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, ES GDPR, NIS2 ir DORA. Kartu ši politika leidžia SVV pateikti audito įrodymus apie suderinimą su tarptautine gerąja praktika, mažinti reglamentavimo rizikas ir reikšmingai sumažinti verslo veiklos sutrikimų ar duomenų saugumo pažeidimo tikimybę, susijusią su prijungtų įrenginių aplinkomis.