Ramy podnoszenia cyberbezpieczeństwa infrastruktury krytycznej (ang. Framework for Improving Critical Infrastructure Cybersecurity) przygotowane przez Narodowy Instytut Standardów i Technologii (ang. National Institute of Standards and Technology, NIST) na tle krajobrazu standardów oraz regulacji sektora IT oraz OT, są wyjątkowym dokumentem. Po pierwsze, nie stanowią one standardowego poradnika zawierającego niezbędną do podjęcia listę działań, której celem miałoby być uzyskania określonego poziomu cyberbezpieczeństwa. Zamiast tego, ramy są narzędziem, które ma pomóc firmie w zrozumieniu jej potrzeb cyberbezpieczeństwa, zapewniając wspólny język do opisu, zarządzania i komunikowania ryzyka cyberbezpieczeństwa wewnętrznie i zewnętrznie. Robią to odwołując się w tym procesie do rozpoznawalnych standardów i norm, m.in. ISO/IEC 27001, ISA/IEC 62443 czy COBIT 5, ale nie naśladując ich. Po drugie, ramy stanowią owoc współpracy publiczno-prywatnej. Konsultacje i rewizja założeń, prowadzona pomiędzy administracją publiczną, przedsiębiorcami i środowiskiem akademickim, doprowadziła do wydania już drugiej wersji dokumentu (2014, 2018). Po trzecie, ramy NIST są dokumentem skupionym na potrzebach rynkowych przedsiębiorstw. Koncentrują się przy tym na wykorzystaniu zachęt biznesowych do odpowiedniego zaplanowania działań dotyczących cyberbezpieczeństwa. W ramach NIST to biznes określa rolę działań ITsec, nie odwrotnie.
Celem ram NIST jest obniżenie poziomu ryzyka firmy przemysłowej, poprzez dopasowanie procesu zarządzania ryzykiem cyberbezpieczeństwa do celów biznesowych przedsiębiorstwa. Mimo, że dokument w tytule odnosi się bezpośrednio do infrastruktury krytycznej, został on zaprojektowany tak, aby wspierać poprawę procesów w szeroko rozumianym przemyśle. Może stanowić zarówno narzędzie poprawy istniejącego systemu cyberbezpieczeństwa obejmującego systemy sterowania przemysłowego, jak i podstawę do jego gruntownej przebudowy, nawet od zera. Jednocześnie celem ram nie jest wyeliminowanie ryzyka, które stanowi naturalny element prowadzenia każdej działalności gospodarczej. Zgodnie z zastosowaną logiką ryzyko związane z cyberbezpieczeństwem nie jest pod tym kątem inne od ryzyka finansowego czy ryzyka związanego z utrzymaniem dobrej reputacji firmy. Określenie tolerancji ryzyka stanowi pierwszy krok na drodze do odpowiedniej priorytetyzacji działań i inwestycji w ITsec.
Ramy NIST, zbierając istniejące na rynku standardy, normy oraz dobre praktyki, tworzą jednolitą ramę pojęciową (taksonomię) oraz grupę rozpoznawalnych mechanizmów, które mają pomóc firmie w:
Ramy NIST mogą być postrzegane jako skrzynka z narzędziami (ang. toolbox) pozwalająca przeprowadzić budowę, przegląd oraz naprawę systemu zarządzania ryzykiem cyberbezpieczeństwa w firmie przemysłowej. Najważniejszym z narzędzi jest „rdzeń metodyki” (ang. Framework Core), uzupełniany przez poziomy wdrożenia (ang. Implementation Tiers) oraz profile (ang. Framework Profile).
Rdzeń metodyki
Stanowi listę określonych działań w zakresie cyberbezpieczeństwa i ich oczekiwanych wyników. Są one zestawione z istniejącymi standardami branżowymi, wytycznymi i dobrymi praktyki (tzw. informative references), tak aby umożliwić ich odniesienie do wykorzystywanych już dokumentów lub procedur. Rdzeń zawiera trzy poziomy narzędzi:
Tabela 1. NIST Framework for Improving Critical Infrastructure Cybersecurity
Poziomy wdrożenia
Poziomy opisują rosnący lub malejący stopień rygoru i skomplikowania procesów zarządzania ryzykiem cyberbezpieczeństwa. Nie wszystkie firmy muszą i powinny wdrażać najwyższe poziomy obecne w ramach. Przejście na wyższe poziomy jest uzasadnione, gdy analiza kosztów i korzyści wskazuje na opłacalną redukcję ryzyka cyberbezpieczeństwa. Poziomy pomagają tym samym określić, w jakim stopniu zarządzanie ryzykiem jest oparte na potrzebach biznesowych przedsiębiorstwa i jest zintegrowane z ogólnymi praktykami zarządzania ryzykiem w organizacji. Ramy wyróżniają cztery możliwe poziomy: (1) Częściowe wdrożenie, (2) wdrożenie świadome (ang. risk informed), (3) wdrożenie zaawansowane/powtarzalne (ang. repeatable), (4) wdrożenie adaptacyjne (ang. adaptive).
Profile
Profile są narzędziami koncepcyjnymi, które pozwalają firmie na przełożenie „rdzenia” (tj. funkcje, kategorie, podkategorie) na swoją specyfikę i przez to na stworzenie swojego unikalnego profilu zarządzania cyberbezpieczeństwem i dostosowanie działań w zakresie cyberbezpieczeństwa oraz celów do potrzeb biznesowych, tolerancji ryzyka i zasobów jakie posiada organizacja. Profil umożliwia organizacjom ustalenie planu działania (ang. road map) na rzecz zmniejszenia ryzyka cyberbezpieczeństwa. Profil może być używany zarówno do opisywania aktualnego stanu, jak i pożądanego stanu docelowego. Większe przedsiębiorstwa ze względu na różnorodną strukturę mogą zdecydować o wyborze i tworzeniu wielu profili dostosowanych np. do poszczególnych działów lub oddziałów, uwzględniając ich indywidualne potrzeby.
Należy to podkreślić po raz kolejny: ramy NIST nie są listą zadań do wykonania. Są zamiast tego narzędziem do zarządzania ryzykiem cyberbezpieczeństwa. Są zestawem pojęć i mechanizmów, które mają pomóc firmie w zrozumieniu i dopasowaniu jej poziomu ryzyka cyberbezpieczeństwa do miejsca na rynku – zarówno w kontekście sektora jaki reprezentuje, miejsca w łańcuchu dostaw, jak i specyfiki jej procesu produkcyjnego. Z tej perspektywy, organizacje mogą wykorzystywać ramy do stworzenia nowego programu cyberbezpieczeństwa lub ulepszenia istniejącego. Wskazuje się wówczas na siedem podstawowych kroków:
Zgodnie z grafiką podkreślającą cykliczność opisywanego procesu, ramy NIST promuje logikę iteracyjnej, powtarzalnej implementacji tych działań.
Na zakończenie warto dodać, że omówione w tym artykule ramy to tylko jeden z wielu dokumentów tworzonych przez NIST, z których mogą korzystać przedsiębiorcy w celu zwiększania swojego cyberbezpieczeństwa. Kolejnym przykładem praktycznego i pomocnego zbioru wiedzy jest np. Przewodnik po bezpieczeństwie systemów sterowania przemysłowego SP 800-82 (ang. Guide to Industrial Control Systems Security).Ten dokument prezentuje konkretne narzędzia wspierające cyberbezpieczeństwo, jak np. intrusion detection system (IDS), inventory tools, których funkcjonalności są integralną składową SCADvance XP.
—
Jeśli chcesz dowiedzieć się więcej, obserwuj nasze konta w mediach społecznościowych, aby uzyskać dalsze aktualizacje, gdy pojawi się nowa publikacja lub zapisz się do naszego newslettera.
—
Tags: cybersecurity; cybersecurity for industry, cybersecurity for automation, cyberbezpieczeństwo, cyberbezpieczeństwo dla automatyki, cyberbezpieczeństwo dla przemysłu, SCADA, SCADvance, SCADvance XP, cyberbezpieczeństwo OT, cyberbezpieczeństwo infrastruktury, OT security, critical infrastructure protection, cyberbezpieczeństwo dla infrastruktury krytycznej, nist, nistframework
Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.