14.04.2015

C какой периодичностью проводить аудит индустриальных сетей?

Тут в одном проекте возник вопрос, а как частно надо проводить аудит индустриальных сетей на предмет безопасности? Пробежавшись по стандартам и лучшим практикам была составлен следующий (неполный) список:

  • В NIST SP 800-82 “Guide to Industrial Control Systems (ICS) Security” требуется проводить инвентаризацию сети с целью идентификации всех активов с периодичностью не менее 1 раза в год
  • В стандарте IEC 62443-2-1 (пришел на смену ISA SP 99) говорится о ежегодном тестировании планов обеспечения непрерывности
  • Стандарт NERC CIP-005 Electronic Security Perimeter (пункт R4) требует не менее одного раза в год проводить поиск уязвимостей в критических активах. Аналогичное требование установлено в пункте R8 стандарта CIP-007 “Cyber Security – Systems Security Management”
  • Пункт C.3.1.1 стандарта США по безопасности атомных электростанций RG 5.71 требует ежегодного аудита ИБ
  • В Guidance for Addressing Cyber Security in the Chemical Industry требуется ежегодный пересмотр планов, например, обеспечения непрерывности, которые в свою очередь требуют аудита
  • Национальный центр кибербезопасности Великобритании NCSC требует ежегодной инвентаризации сетевых соединений и проведения пентестов
  • Ежегодный аудит требуется в "Control Systems Cyber Security Guidelines for the Natural Gas Pipeline Industry”
  • Ежегодный аудит требуется в “Security Guidelines for the Petroleum Industry”
  • Согласно ISO/TR 29001 "Petroleum, petrochemical and natural gas industries — Sector-specific quality management systems — Requirements for product and service supply organizations” внутренний аудит требуется не менее одного раза в год
  • Согласно "Pipeline Security Guidelines” аудит и пересмотр ИБ должен проводиться один раз в год
  • Согласно требованиям CPNI (Центр защиты критичной инфраструктуры Великобритании) “GOOD PRACTICE GUIDE. PROCESS CONTROL AND SCADA SECURITY” пересмотр планов по ИБ и аудит должны проводить ежегодно.


Вот такой перечень получился для разных отраслей, в которых применяются АСУ ТП. Где-то это требование (как в NERC CIP), где-то рекомендация. Но почти все сходятся во мнении, что аудит/оценка/пересмотр/инвентаризация/пентест должны быть ежегодными (не реже).