IoT/OT saugumo politika

IoT / OT saugumo politika (P35) nustato išsamų privalomų informacijos saugumo reikalavimų rinkinį daiktų interneto (IoT) ir operacinių technologijų (OT) sistemų diegimui, eksploatavimui, stebėsenai ir išėmimui iš eksploatacijos visoje organizacijoje. Pagrindinis tikslas – integruoti šias technologijas į organizacijos kibernetinio saugumo valdymo sistemą, užtikrinant tvirtą apsaugą nuo kompromitavimo, netinkamo naudojimo ar gamybos sabotažo. Šios politikos taikymo sritis apima visas IoT ir OT sistemas, nepriklausomai nuo to, ar jos priklauso įmonei, yra nuomojamos, ar gaunamos iš trečiųjų šalių, ir naudojamos bet kurioje operacinėje, administracinėje ar gamybos aplinkoje. Apimami IoT įrenginiai: aplinkos jutikliai, prieigos kontrolės mechanizmai, išmanusis apšvietimas, stebėjimo įranga ir dėvimi įrenginiai, o OT sistemos apima nuo programuojamų loginių valdiklių (PLC) ir dispečerinio valdymo ir duomenų surinkimo sistemos (SCADA) / paskirstytosios valdymo sistemos platformų iki žmogaus‑mašinos sąsajos (HMI) skydelių ir lauko valdiklių. Politika apibrėžia reikalavimus visoms aplinkoms (vietinėms, debesijai, kraštiniams įrenginiams), gyvavimo ciklo etapams (projektavimas, pirkimai, diegimas, eksploatavimas, išėmimas iš eksploatacijos) ir suinteresuotosioms šalims, įskaitant vidinius naudotojus, integratorius, trečiųjų šalių tiekėjus ir rangovus. Pagrindiniai tikslai – apsaugoti šią infrastruktūrą nuo grėsmių, tokių kaip paslaugos trikdymas, nesankcionuota prieiga, išpirkos reikalaujanti programinė įranga ir mikroprograminės įrangos klastojimas. Politika įpareigoja taikyti saugumą projektuojant ir gynybos gylumo principu metodikas, reikalaujant, kad visi diegimai atitiktų pagrindines standartines kontrolės priemones, tokias kaip ISO/IEC 27001, ir sektoriui aktualias gaires (IEC 62443, NIST SP 800-82). Saugus integravimas su saugumo operacijomis, įskaitant reagavimo į incidentus eskalavimą, kritinių verslo OT įvykių klasifikavimą ir tarpfunkcinių procedūrų dokumentavimą, yra neatsiejama dalis. Valdysenos reikalavimai nustato įrenginio saugumo konfigūraciją (unikalūs prisijungimo duomenys, su aparatine įranga susieti sertifikatai, saugus įkrovimas), įtvirtina griežtą tinklo segmentavimą ir izoliavimą tarp IT/OT ir draudžia nesaugius protokolus, nebent jie būtų apsaugoti ir taikomas rizikos priėmimas. Stebėsena ir grėsmių aptikimas yra nuolatiniai: įrenginių ir tinklo veikla tikrinama naudojant pasyvias ICS / SCADA sistemoms pritaikytas aptikimo priemones, OT skirtus SIEM taisyklių rinkinius, giluminę paketų inspekciją ir žurnalų saugojimo praktikas. Sistemų pataisų diegimas ir pasirašytos programinės aparatinės įrangos validavimas yra integruoti, o eksploatavimo pabaigą pasiekusių įrenginių išėmimas iš eksploatacijos reikalauja nuotolinio duomenų ištrynimo, įrenginio kredencialų atšaukimo ir turto inventoriaus atnaujinimų. Išimčių tvarkymas ir rizikos tvarkymas yra aiškiai apibrėžti senosioms sistemoms, kurios negali atitikti reikalavimų: būtina formali dokumentacija, riziką mažinančios apsaugos priemonės, ribotos prieigos potinkliai ir stebėsena. Politika glaudžiai integruota su susijusiomis politikomis, reglamentuojančiomis rizikos valdymą, turto inventorių, galinių įrenginių apsaugą, žurnalinimo ir stebėsenos politiką, reagavimą į incidentus ir auditą bei atitiktį. Peržiūros atliekamos kasmet arba įvykus reikšmingiems sistemų, tiekėjų ar grėsmių aplinkos pokyčiams, užtikrinant nuolatinį suderinimą su reglamentavimo, sutartiniais ir operaciniais reikalavimais. Vykdymo užtikrinimo mechanizmai apima audito peržiūras, drausmines procedūras, tiekėjų sankcijas ir teisinių veiksmų eskalavimą reglamentavimo pažeidimo ar sabotažo atvejais.