Deux normes, un plan intégré de cybersécurité industrielle

Sommaire

^{Author’s note: This is an excerpt of a new whitepaper available for download. It offers guidance for organizations familiar with ISO/IEC 27001 that are interested in protecting the OT infrastructure of their operating facilities based on the ISA/IEC 62443 series. The paper describes the relationship between the ISA/IEC 62443 series and ISO/IEC 27001/2 and how both standards may be used effectively within one organization to protect both IT and OT. 62443 does not require the use of an underlying information security management system (ISMS). However it requires that, if the organization has an established ISMS, the security program in the OT environment should be coordinated with it. The whitepaper, and this article, are assuming an existing ISMS based on ISO/IEC 27001/2. Other information security standards similar in scope to 27001 might be used effectively together with ISA/IEC 62443.}

De nombreuses organisations (en particulier les très grandes) ont établi des politiques et procédures régissant la sécurité des technologies de l'information (TI) dans leurs environnements de bureau.Beaucoup d'entre eux sont basés sur ISO / IEC 27001/27002.Certains ont tenté de lutter contre leur infrastructure de technologie opérationnelle (OT) dans le même système de gestion et ont exploité beaucoup de points communs informatiques / OT.Bien qu'il soit idéal de toujours sélectionner des contrôles et des implémentations communs pour l'informatique et l'OT, les organisations ont eu des défis à le faire, tels que le verrouillage d'écran d'opérateur OT créant des conditions dangereuses, les produits antivirus qui sont incompatibles avec l'équipement OT, les pratiques de correction qui perturbent la productionhoraires et trafic réseau à partir des sauvegardes de routine bloquant les messages de contrôle de la sécurité.La série de normes ISA / IEC 62443 aborde explicitement des questions comme celles-ci;Cela aide une organisation à maintenir la conformité avec ISO / IEC 27001 à travers des approches communes partoutable, tout en mettant en évidence les différences dans l'approche par rapport à l'OT si nécessaire.

Arrière plan

Portée de l'ISO / IEC 27001/2: L'ISO / IEC 27001 standard fournit des exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité de l'information sous-jacent et une liste de contrôles couramment acceptés à utiliser comme référence pour établir des exigences de sécurité(ISO / IEC 27000, le glossaire et l'introduction à la série 27000, définit le terme de contrôle comme «mesure qui modifie le risque»).De plus, ISO / IEC 27002 fournit des conseils détaillés supplémentaires pour les organisations mettant en œuvre ces contrôles de sécurité de l'information.Il est conçu pour les organisations à utiliser comme référence pour sélectionner des contrôles dans le processus d'implémentation d'un ISMS conforme ISO / IEC 27001.TI et OT: «It» est le terme commun pour l'ensemble du spectre des technologies pour le traitement de l'information, y compris les logiciels, le matériel, les technologies de communication et les services connexes.La «technologie opérationnelle» ou «OT» est le matériel et les logiciels qui détectent ou provoquent un changement physique, grâce à la surveillance directe et / ou au contrôle des équipements, des actifs, des processus et des événements directs.De plus en plus, les produits et systèmes informatiques sont utilisés dans les infrastructures OT, et récemment, l'avènement de l'Internet des objets (IoT) et de l'Internet industriel des objets a encore brouillé la distinction informatique / OT.Cependant, la principale différence est que les environnements OT en général doivent se conformer à une stricte intégrité, à la disponibilité et aux contraintes de performance en raison du fait que le fonctionnement en dehors des contraintes peut affecter la santé, la sécurité ou l'environnement.Portée de la série ISA / IEC 62443: La portée de la série de normes ISA / IEC 62443 est la sécurité des systèmes d'automatisation et de contrôle industriels (IACSS) utilisés dans les infrastructures OT.Cela comprend les systèmes de contrôle utilisés dans les usines et installations de fabrication et de traitement, des opérations dispersées géographiquement telles que les services publics (I.e., électricité, gaz et eau), pipelines et production de pétrole et installations de distribution.La série ISA / IEC 62443 a également été acceptée en dehors de sa portée d'origine, par exemple dans l'automatisation des bâtiments, les systèmes médicaux et les industries et les applications telles que les réseaux de transport qui utilisent des actifs automatisés ou contrôlés à distance ou surveillés.La figure 1 est un aperçu de la portée de certains documents de base de la série ISA / IEC 62443.La partie 62443-2-1 est destiné aux organisations responsables des installations IACS, qui comprend les propriétaires et les opérateurs (appelés «propriétaires d'actifs» dans la série).Il fournit des exigences pour les programmes de sécurité IACS du propriétaire d'actifs.Remarque: Le document actuel fait référence à la version la plus récente de la partie 62443-2-1, qui n'est pas finalement approuvée en tant que norme internationale et peut être soumise à des changements.On ne s'attend pas à ce que ces changements auront un impact sur les recommandations de ce document.De plus, la série ISA / IEC 62443 fournit des exigences de conformité pour toutes les entités soutenant les propriétaires d'actifs dans la mise en œuvre des mesures de sécurité technique et procédurale pour la protection des installations d'exploitation contre les cybermenaces.La partie 62443-2-4 fournit des exigences de sécurité pour les fournisseurs de services d'intégration et de maintenance soutenant les propriétaires d'actifs dans le développement et le fonctionnement des solutions techniques spécifiques à l'OT.Les pièces 62443-3-3 et 62443-4-2 définissent les exigences pour les capacités de sécurité des systèmes et des composants, respectivement.La partie 62443-4-1 comprend les exigences du cycle de vie pour les fournisseurs de produits pour le développement et le soutien des produits avec des capacités de sécurité adéquates.De plus, la série ISA / IEC 62443 comprend des documents de guidage pour des problèmes spécifiques tels que la gestion des patchs et le partitionnement du système basé sur les risques dans les zones et les conduisés.

Une approche en deux parties de la cybersécurité OT

ISO / IEC 27001/2 et la série ISA / IEC 62443 abordent deux parties complémentaires d'une approche globale de la cybersécurité (figure 2).Les normes ISO / IEC 27001/2 sont largement utilisées depuis de nombreuses années comme base pour organiser la sécurité de l'information des organisations.Les processus et la structure de gestion globale des organisations responsables des environnements OT peuvent être intégrées à un ISMS basé sur ces normes, comme vous le sera décrit ici.La série ISA / IEC 62443 répond aux besoins spécifiques des infrastructures OT et complète les ISM.L'infrastructure OT des installations d'exploitation peut être intégrée dans l'infrastructure informatique de l'organisation responsable ou organisée de manière autonome.Dans les deux situations, ISO / IEC 27001/2 et la série ISA / IEC 62443 peuvent être utilisées pour aborder des parties complémentaires d'une approche globale de cybersécurité pour les environnements OT.

ISO / IEC 27001/2 traite de la création d'un système de gestion de la sécurité de l'information pour l'infrastructure informatique d'une organisation.ISO / IEC 27001/2 spécifie les exigences génériques qui sont destinées à s'appliquer à toutes les organisations, quel que soit le type, la taille ou la nature.Les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un ISMS sont décrites dans les clauses 4 à 10 de l'ISO / IEC 27001.L'exclusion de l'une des exigences spécifiées dans ces clauses n'est pas acceptable lorsqu'une organisation revendique la conformité à cette norme.De plus, ISO / IEC 27001/2 comprend un ensemble de contrôles portant sur des sujets de sécurité dont il faut prendre en considération dans une stratégie de sécurité complète.Dans une approche basée sur les risques, une organisation peut finalement sélectionner les contrôles de la liste fournis par ISO / IEC 27001/2 ou dans d'autres ensembles de contrôle, ou concevoir de nouveaux contrôles pour répondre aux besoins spécifiques, le cas échéant,.La distinction entre les exigences des ISMS et les contrôles de sécurité de l'information trouvés dans ISO / IEC 27001/2 est illustré par quelques exemples illustrés à la figure 3.

La série ISA / IEC 62443 répond aux besoins spécifiques requis pour la cybersécurité dans les environnements OT.Les infrastructures OT des installations d'exploitation doivent répondre aux exigences spécifiques de l'intégrité, de la performance et de la disponibilité pour assurer la continuité opérationnelle.La perte de continuité opérationnelle peut, par exemple, se manifester comme une explosion, une panne de courant ou une formule ou une dose incorrecte d'un médicament vital.De nombreuses installations d'exploitation mettent en œuvre des systèmes de sécurité dédiés pour prévenir les conditions opérationnelles qui auraient des conséquences sur la santé, la sécurité et l'environnement.Les exigences de sécurité dans ISA / IEC 62443 sont conçues afin qu'elles n'empêchent pas ou ne perturbent pas le fonctionnement sûr.De plus, les fonctions de sécurité dédiées nécessitent des protections uniques et sont donc soumises à des exigences de sécurité uniques dans la norme.À titre d'exemples, les défis mentionnés ci-dessus, sont souvent confrontés lors de l'extension des implémentations de contrôle de la sécurité informatique existantes à l'OT, sont traitées par 62443.La série ISA / IEC 62443 comprend les exigences traitant de divers sujets de sécurité à gérer dans un programme de sécurité complet, de la même manière que l'ISO / IEC 27001/2 comprend une liste de contrôles concernant ces aspects de sécurité.Les exigences ISA / IEC 62443 répondent aux besoins spécifiques dans l'environnement OT et complétent la liste des contrôles de l'ISO / IEC 27001/2 en ajoutant des détails critiques pertinents à cet environnement.ISO / IEC 27001/2 et ISA / IEC 62443 doivent être combinés pour protéger l'infrastructure OT des installations d'exploitation.La discussion ci-dessus montre comment ISA / IEC 62443 augmente ISO / IEC 27001/2 en incorporant des spécificités uniques à l'environnement OT.Cependant, ISA / IEC 62443 n'inclut pas tous les éléments nécessaires pour sécuriser l'OT.En particulier, ISO / IEC 27001/2 fournit des exigences et des contrôles / guidages des ISM qui y sont entièrement communs et OT et ne sont pas trouvés dans ISA / IEC 62443.Par conséquent, une méthode pour appliquer les deux normes à l'infrastructure OT est recommandée.Le livre blanc complet décrit une telle méthode.

Protection complète

ISO / IEC 27001/2 et la série ISA / IEC 62443 se complètent pour la mise en œuvre d'une stratégie complète et basée sur les risques et de défense en profondeur pour la protection des installations d'exploitation, y compris la contribution de toutes les entités:

Pour mettre en œuvre l'approche, une cartographie de l'ensemble des contrôles ISO / IEC 27001/2 connexes aux éléments du programme de sécurité des propriétaires d'actifs IAC spécifiés dans 62443-2-1 est requis.Une organisation peut utiliser l'approche qui s'appuie sur la structure du 62443-2-1 dans les programmes de sécurité, ou toute autre approche qu'ils trouvent pratique pour fusionner les contrôles ISO / IEC 27001/2 avec des exigences 62443-2-1.Une cartographie de référence pourrait être développée à cette fin en tant que ressource couramment utilisée, et la Global Cybersecurity Alliance (ISAGCA) d'ISA envisage de développer une telle référence.Les organisations pourraient utiliser une telle cartographie comme point de départ pour le développement de leurs programmes de sécurité OT et l'ajuster à leurs besoins spécifiques si nécessaire.Cet article est apparu à l'origine dans le numéro de décembre 2021 du magazine Intech.