7.3 安全控制裁剪

7.3 安全控制裁剪

7.3.1　裁剪過程

在從附錄C中選擇基線安全控制的初始集后，組織開始基線安全控制的裁剪過程。裁剪過程包括以下3個活動：
a) 依據所選擇的基線安全控制，應用界定范圍的指導，獲得初步可用的控制集；
b) 需要時選擇補償安全控制，以調整初步可用的控制集，獲得更可實現的控制集；

7.3.2　界定范圍的指導

界定范圍的指導，就所選安全控制基線中每個安全控制的適用性和實現，為組織提供了特定的條款和條件。
應用界定范圍的指導，是基于工業控制系統所支持的業務功能和系統運行環境，從初始安全控制基線中刪除一些不必要或不適用的安全控制，有助于確保組織僅選擇那些可為工業控制系統提供合適程度保護所需要的控制。下面給出一些界定范圍的考量，它們可潛在地影響如何應用所選的安全控制基線以及如何實現安全控制。
a) 與控制和應用范圍有關的考量
工業控制系統概念是個多層次抽象概念，既包括多個系統組成的復雜系統，又包括單個板卡組成的簡單系統。越來越復雜的工業控制系統需要仔細分析在風險管理不同等級（組織級、業務流程級和系統級）中的安全控制的分配和應用。初始安全控制基線中的控制適用于工業控制系統層面，但未必適用于系統組件層面。基線中的一些控制，對工業控制系統范圍內的每個系統部件，給出了并非必要的一些控制。一些安全控制僅適用于工業控制系統部件，提供或支持由該控制所強調的安全能力，并緩解潛在的風險。例如，通常把審計控制作為工業控制系統的一個部件，以提供審計能力，并不適用于組織內每個用戶層的工作站；或當工業控制系統的部件是單一用戶的、 無網絡連接或是物理隔離網絡的一部分時，這些特征可為不把所選擇的控制應用到那些部件中提供合適的理由。組織應評估工業控制系統部件清單，以確定安全控制是否適用于各種不同的部件，而后就如何應用控制做出明確的決策，以滿足組織的安全需求。
b) 與安全目的有關的考量
基線中的一些控制僅獨特地支持保密性、完整性或可用性的安全目的，對此可把它們降級為低基線中對應的控制（或如果在低基線中沒有給出定義的話，予以刪除或修改）。該降級、修改或刪除的動作當且僅當以下情況成立才進行：
1) 安全控制所完成的安全目的可以由組織風險評估所支持；
2) 不會對工業控制系統相關安全保護水平造成不利影響。
例如，一個工業控制系統被評估為中等影響，其可用性和完整性為中等影響，其保密性為低等影響，那些僅與保密性相關的安全控制在不影響安全性目標的前提下可以降低到低級別的基線要求。以下安全控制可作為降級的候選控制：
1) 與保密性相關的安全控制包括：AC-18，MA-3c)，MP-3，MP-4，MP-5，MP-5d)，MP-6，PE-4，PE-5，SC-4，SC-9，SC-9a)等；
2) 與完整性相關的安全控制包括：CM-5，CM-5a)，CP-8a)，SC-8，SC-8a)，SI-7，SI-7a)，SI-7d)，SI-8等；
3) 與可用性相關的安全控制包括：CP-2a)，CP-2b)，CP-2c)，CP-2d)，CP-2e)，CP-2f)，CP-3a)，CP-4a)，CP-4b)，CP-6，CP-6a)，CP-6b)，CP-6c)，CP-7，CP-7a)，CP-7b)，CP-7c)，CP-8，CP-8b)，CP-8c)，CP-8d)，CP-8e)，CP-8f)，CP-9a)，CP-9b)，CP-9c)，CP-9d)，MA-6，PE-9，PE-10，PE-11， PE-12，PE-13，PE-14，PE-16等。
c) 與技術有關的考量
安全控制涉及了一些特定的技術（如：無線、加密、PKI等），這樣的控制僅當在工業控制系統內使用時或需要時，它們才是適用的。一些控制可通過自動化機制予以支持，如果這樣的機制不存在，或市場上或政府采購產品目錄中現在沒有或還不能應用時，并不要求開發這樣的機制。例如，為了維護最新的、完備的、精確的、現時可用的工業控制系統基線配置，可能使用一些自動化機制。如果自動化機制不是現時可用的、合算的或技術上不是可行的，就需要使用一些補償的安全控制，通過非自動化機制或規程予以實現的，以便滿足所規約的安全控制的需求（參見補償安全控制相關章節）。
d) 與物理基礎設施有關的考量
基線中的一些控制涉及了組織物理基礎設施（例如，物理控制，諸如上鎖和門禁；有關溫度，濕度，照明，防火以及電力等），僅適用于那些存放設施的地方，直接為工業控制系統（包括諸如場站等信息技術資產）提供保護和支持，或直接與工業控制系統有關。
e) 與策略和規章有關的考量
基線中的一些控制強調了某些法律、法規、方針、政策、標準等要求，僅當這些控制的應用環境與相關法律、法規、方針、政策、標準一致時才需要。
f) 與運行環境有關的考量
基線中的一些安全控制依賴于運行環境，僅當在環境中使用該工業控制系統時才適用。例如，一些物理安全控制不適用于那些基于空間的系統，一些溫度和濕度的控制不適用于室內設施之外的遠程傳感器。
g) 與共用控制相關的考量

7.3.3　安全控制補償

補償安全控制是由組織選擇使用的、用于替代所選安全控制基線中一些特定的安全控制，為工業控制系統所處理、存儲或傳輸的信息提供等價的或可比的保護。
當組織無法有效地實現初始安全控制基線中具體的安全控制時，或者當組織工業控制系統和運行環境存在特殊性時，或者當初始安全控制基線中具體的安全控制不能高效地實現風險減少或緩解時，也就是基線中的控制不是一種合算的措施或對策時，組織可以選取補償安全控制。并為每個補償安全控制在工業控制系統安全計劃中詳細描述選取的原因，以及補償安全控制如何提供等價保護的說明。
通常，在應用界定范圍的考量后，組織就可能發現有必要選擇并使用補償安全控制。組織應如此使用補償安全控制：
首先，要從附錄B中來選擇補償控制，其中如果沒有合適可用的補償控制，組織才可采用其他源中合適的補償控制；
其次，組織為補償控制如何為工業控制系統提供等價的安全能力以及為什么不能使用該基線安全控制，給出支持理由；

7.3.4　安全控制參數賦值

安全控制基線中的部分安全控制和控制增強包含嵌入參數（例如：賦值和選擇陳述），例如，審計失效響應（AU-5）：
審計失效響應（AU-5）
控制：
工業控制系統：
a) 對于審計處理失效的事件，向【賦值：組織定義的人員】報警；
b) 采取【賦值：組織定義的動作，例如：停止系統的運行，重寫原有的審計記錄，停止生成新的審計記錄等】。
安全控制參數為組織定義控制和控制增強的一定部分提供了靈活性，以便支持特定組織的需求。
在應用界定范圍考量后，組織應評審帶有賦值和選擇陳述的安全控制和控制增強，并為所標識的參數確定組織定義的值。參數值可根據相關法律、法規、規章、制度、政策或標準予以規定。
一旦組織為安全控制和控制增強定義了參數值，那么這些定義的賦值和選擇就成為安全控制和控制增強的有機部分。
通常，組織應在選擇補償控制前，規約安全控制參數值，因為安全控制參數的規約完成了安全控制的定義，可能會影響補償控制的需求。
對于以上章節所述裁剪過程的實施，應當注意以下事項：
a) 在實施初始安全控制基線的裁剪過程前，應與組織相關領導協商裁剪活動，并得到批準。
b) 組織不能隨意為運行方便而移出安全控制。安全控制的裁剪決策應基于業務需要，是可論證的，并是伴同明確的、基于風險的評估決定。
c) 裁剪決策，包括決策理由，以及裁剪出的安全控制及其理由，均要記錄在組織工業控制系統安全計劃中，并作為安全計劃批準過程的一部分，得到負責領導的審批。