IoT/OT drošības politika

IoT/OT drošības politika (P35) nosaka visaptverošu obligāto informācijas drošības prasību kopumu Lietu interneta (IoT) sistēmu un operacionālo tehnoloģiju (OT) sistēmu izvietošanai, ekspluatācijai, uzraudzībai un ekspluatācijas izbeigšanai visā organizācijā. Tās galvenais mērķis ir integrēt šīs tehnoloģijas organizācijas kiberdrošības pārvaldības sistēmā, nodrošinot stabilu aizsardzību pret kompromitēšanu, ļaunprātīgu izmantošanu vai operatīvo sabotāžu. Šīs politikas darbības joma aptver visas IoT un OT sistēmas — neatkarīgi no tā, vai tās ir uzņēmuma īpašumā, nomātas vai iegūtas no trešajām pusēm —, kas tiek izmantotas jebkurā operatīvajā, administratīvajā vai ražošanas vidē. Aptvertās IoT ierīces ietver vides sensorus, piekļuves kontroles mehānismus, viedo apgaismojumu, novērošanas aprīkojumu un valkājamās ierīces, savukārt OT sistēmas ietver programmējamos loģiskos kontrolierus (PLC), uzraudzības kontroles un datu iegūšanas sistēmas (SCADA) / izkliedētās vadības sistēmas (DCS) platformas, cilvēka un mašīnas saskarnes (HMI) paneļus un lauka kontrolierus. Politika nosaka prasības visām vidēm (uz vietas, mākonī, tīkla malas ierīcēs), dzīves cikla posmiem (projektēšana, iepirkums, izvietošana, ekspluatācija, ekspluatācijas izbeigšana) un ieinteresētajām pusēm, tostarp iekšējiem lietotājiem, integratoriem, trešo pušu piegādātājiem un līgumslēdzējiem. Galvenie mērķi ir aizsargāt šo infrastruktūru pret draudiem, piemēram, atteikuma pakalpojuma uzbrukumiem, nesankcionētu piekļuvi, izspiedējvīrusiem un aparātprogrammatūras iejaukšanos. Politika nosaka integrētās drošības un aizsardzības dziļumā metodoloģiju ieviešanu, pieprasot, lai visas izvietošanas atbilstu pamatkontrolēm, piemēram, ISO/IEC 27001, un nozares vadlīnijām (IEC 62443, NIST SP 800-82). Droša integrācija ar drošības operācijām, tostarp eskalācija reaģēšanā uz incidentiem, biznesam kritisku OT notikumu klasifikācija un starpstruktūrvienību procedūru dokumentēšana, ir neatņemama sastāvdaļa. Pārvaldības prasības nosaka ierīces drošības konfigurāciju (unikāli akreditācijas dati, aparatūrai piesaistīti sertifikāti, droša sāknēšana), ievieš stingru tīkla segmentēšanu starp IT/OT un aizliedz nedrošus protokolus, ja vien tie nav nodrošināti un nav veikta riska pieņemšana. Uzraudzība un draudu atklāšana ir nepārtraukta, un ierīču un tīkla aktivitātes tiek pārbaudītas, izmantojot pasīvos ICS/SCADA izprotošos detekcijas rīkus, SIEM noteikumu kopas, dziļo pakešu pārbaudi un žurnālu glabāšanas praksi. Sistēmu ielāpošana un parakstītas programmaparatūras validācija ir neatņemama, un dzīves cikla beigās esošu ierīču ekspluatācijas izbeigšana prasa attālinātu datu dzēšanu, ierīces akreditācijas datu atsaukšanu un aktīvu uzskaites atjaunināšanu. Izņēmumu apstrāde un riska apstrāde ir skaidri definēta mantotajām sistēmām, kas nespēj izpildīt prasības, pieprasot formālu dokumentēšanu, risku mazinošus drošības pasākumus, ierobežotus apakštīklus un uzraudzību. Politika ir cieši integrēta ar saistītajām politikām, kas regulē risku pārvaldību, aktīvu uzskaiti, galapunktu aizsardzību, žurnālfiksēšanas un uzraudzības politiku, reaģēšanu uz incidentiem un auditu un atbilstību. Pārskatīšana tiek veikta ik gadu vai pēc būtiskām izmaiņām sistēmās, piegādātājos vai draudu vidē, nodrošinot pastāvīgu saskaņotību ar regulatīvajām, līgumiskajām un operatīvajām prasībām. Izpildes mehānismi ietver audita pārskatus, disciplinārās procedūras, piegādātāju sankcijas un juridisko darbību eskalāciju regulatīva pārkāpuma vai sabotāžas gadījumā.