خط مشی و سیاست‌های حاکمیتی امنیت سایبری OT- ICS

 خط مشی و قوانین حاکمیتی امنیت سایبری OT / ICS "The OT Security Dozen - OT Security Dozen - مجموعه ای 12 قسمتی از یک برنامه امنیت سایبری OT / ICS" است که بخش اساسی این خط مشی مربوط به قواعد امنیت OT/ICS / سیستم های مدیریت (OT CSMS) یا قواعد یک محیط عملیات صنعتی است. پس از انجام ارزیابی امنیت سایبری OT/ICS / محیط شبکه صنعتی، یک لیست اولویت بندی شده از نقشه راه عملی یا یک چارچوب پایه برای ایجاد و اجرای یک برنامه و استراتژی امنیت سایبری OT/IC قابل تعریف است. مروری بر بخی از استانداردهای امنیت سایبری و برنامه آنها در زیر اشاره شده اند:

مقررات محیط صنعتی 

قبل از شروع یک خط مشی، الزامات خاصی وجود دارد و یکی از آنها در ابتدا داشتن یک برنامه امنیت سایبری OT/ICS است. یک فرآیند قابل تکرار و قابل اندازه گیری برای بهبود برنامه امنیت سایبری OT/ICS ایجاد کنید. کارهایی که باید انجام دهید عبارتند از:

1. رهبری و تعیین محدوده: شناسایی ذینفعان و مدیران اجرایی کلیدی برای به دست آوردن حمایت‌های سازمانی از جمله حمایت مالی برنامه و همچنین تعریف یک محدوده روشن.

2. شفاف سازی مالکیت پروژه، ایجاد تیم و شناسایی نیازمندی‌ها و ریسک‌ها: شخصی را که مسئولیت مالکیت برنامه را بر عهده بگیرد، منصوب کنید، سپس یک تیم بسازید. به طور ایده آل این تیم می‌تواند ترکیبی از تیم امنیت سایبری و منابع انسانی تیم  OT SME و تیم های IT و OT/ICS باشد. شناسایی ریسک‌های تجاری، ریسک‌های معماری و آسیب‌پذیری، الزامات نظارتی و در عین حال در نظر گرفتن موارد بالقوه کشف‌شده و یافته‌های ارزیابی‌های قبلی بخش ارزیابی ریسک و نیازمندی را تامین می‌کند.

3. سیاست ها و رویه ها را ایجاد، اجرا و نگهداری کنید: شیوه‌های چابک را برای ایجاد، انتشار و اجرای سیاست ها دنبال و تکرار کنید. از حفظ و به‌روزرسانی خط‌مشی‌ها از طریق یک چرخه فرآیند تکرارپذیر پیوسته و مکرر اطمینان حاصل کنید.

به گفته گارتنر؛ «تا سال 2023، 75 درصد از سازمان‌ها برای رسیدگی به نیازهای مشترک IT، OT، اینترنت اشیا (IOT) و امنیت فیزیکی، ساختار ریسک و حاکمیت امنیتی را بازسازی خواهند کرد.

سیاست OT/ICS - به عنوان یک لایه در مدل دفاع در عمق

در یک مدل کلی یا مفهومی یکپارچه دفاع چندلایه OT/ICS، که در آن چندین لایه کنترل/دفاع به هم گره خورده اند تا به هدف ایمن سازی برسند؛ در این مدل «سیاست» یک لایه دفاعی است. برنامه‌های جامع امنیت سایبری فناوری اطلاعات شامل چندین نوع سند هستند، همانطور که در شکل زیر نشان داده شده است، برخی از سازمان‌ها پیش‌نویس، انتشار، اجرا و نگهداری انواع اسناد را دنبال می‌کنند و برخی سازمان‌ها عناصر خاص موضوعی (مانند خط‌مشی و کنترل‌ها و یا خط‌مشی‌ها و رویه‌ها و یا خط‌مشی یا راهنما را با هم) در بخش‌های مختلف این نوع اسناد ادغام می‌کنند. IETF RFC 2119 مرجعی است که اغلب مورد استفاده قرار میگیرد. 

توجه:  هدف این مقاله، صرفا در سطح خط‌مشی است.
خط‌مشی‌ها، اهداف و مقاصد تجاری سطح بالا را پوشش می‌دهند و  این موارد را برای همه پرسنل از جمله کارکنان و فروشندگان مشخص می‌نمایند. این سیاست ها از طریق استانداردها، دستورالعمل ها و اسناد فرایندها بیشتر توضیح داده شده و پشتیبانی می شوند و عدم انجام وظایف محوله معمولاً منجر به اقدامات انضباطی می شود. خط مشی امنیت سایبری OT/ICS در قلب ایجاد و اجرای «استراتژی و برنامه امنیت سایبری OT/ICS» است و ارتباط نزدیکی با سیستم های مدیریت امنیت سایبری OT (CSMS) دارد.
 

منابع و ساختار سیاست OT/ICS

برای ایجاد خط‌مشی، منابع مختلفی برای ارجاع، استفاده یا مصرف وجود دارد، به عنوان مثال، سیاست‌های امنیت سایبری سازمانی یا فناوری اطلاعات را در نظر بگیرید، آنچه را که بین IT و OT مشترک است انتخاب کنید، برای گنجاندن OT/ICS در سیاست‌های مشترک، سیاست های مستقل را اصلاح کنید و با کمک مدیریت تیم های IT و OT برای تعریف محدوده و اهداف واضح گرد هم آورده و تعریف خط مشی مشترک را آغاز نمایید. نکاتی در خصوص ساختار خط مشی عبارتند از:

• در حین نوشتن خط مشی، مختصر، واضح، مشخص بنویسید و باید اهداف ساختار SMART را برآورده کند، یعنی خصوصی سازی شده، قابل اندازه گیری، قابل دستیابی، واقع بینانه و مبتنی بر زمان باشد.
• خط‌مشی همچنین باید 5W (چه کسی، چه چیزی، کجا، چه زمانی، چرا) و اصول راهنما را پوشش دهد، در حالی که به وضوح نقش‌ها و مسئولیت‌ها، اقدامات لازم برای رعایت قواعد، همراه با راهنمایی کافی را مشخص می‌کند.

در زیر نمونه ای از ساختار یک خط مشی امنیت سایبری ارائه شده است:

اکثر ارگان‌های بخش صنعتی به عنوان مثال در زیرساخت های حیاتی، از راهنمایی های استانداردهای صنعت استفاده می‌کنند. 

سیاست‌های حاکمیتی و بازنگری مدیریتی

کنترل‌های انطباق برای اطمینان از انطباق سازمان با سیاست‌ها و مقررات خارجی برای دقت و قابلیت اطمینان فرآیندهای تجاری و در نهایت اندازه گیری سطح عملکرد سازمانی ایجاد می‌شوند. سازمان ها باید به طور فعال برای تضمین و ترویج فرهنگ انطباق با کنترل ها و اهداف برای موثر ماندن سیاست ها برنامه‌ریزی و فعالیت نمایند. بنابراین، رهبری سازمانی باید بودجه و منابع کافی را برای انجام موارد زیر فراهم کند:

• آموزش و آگاهی رسانید؛ برنامه های آموزشی کافی و مکرر (اجباری) با نمونه های واقعی را به پرسنل سازمان ارائه دهید.
• اهداف عملکردی قابل اندازه‌گیری تنظیم کنید؛ برای رعایت مقررات و خط‌مشی با پرسنل در ارتباط باشید. پیامدها را به وضوح شناسایی و مشخص کنید و درگاه‌هایی محرمانه و ناشناس را برای گزارش تخلف ارائه دهید.
• یک برنامه ممیزی را اجرا کنید؛  اجرای یک برنامه انطباق سنجی/ممیزی جامع برای ارزیابی سطح تطابق با معیارها و حوادث و گزارش نتایج به مدیریت ارشد را برنامه ریزی کنید.

خط‌مشی‌ها باید به‌طور دوره‌ای (حداقل سالانه یا در صورت تغییر عمده در محیط تجاری/فنی) در زمان تغییر بازبینی و به روز شوند تا برای سازمان مرتبط و مفید باشند.

توصیه های کاربردی

1. به یاد داشته باشید که از اصول SMART و 5W برای بازبینی خط مشی ها به صورت سالانه یا بر اساس تغییرات عمده کسب و کار/تکنولوژی استفاده کنید.
2. از همسویی سیاست ها با نیازهای تجاری از جمله الزامات نظارتی صنعت و دولت و انتشار مناسب به همه طرف ها / ذینفعان با آموزش و آگاهی رسانی لازم اطمینان حاصل کنید.

چرخه کامل تعریف خط مشی در تصویر زیر ارائه شده است.