<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 縮略語
    4 縮略語
    5 安全控制概述
    5 安全控制概述
    6 安全控制基線及其設計
    6 安全控制基線及其設計
    7 安全控制選擇與規約
    7.1 選擇與規約概述 7.2 安全控制選擇 7.3 安全控制裁剪 7.4 安全控制補充 7.5 建立安全控制決策文檔
    附錄A(資料性附錄)工業控制系統面臨的安全風險
    A.1 工業控制系統與傳統信息系統對比 A.2 信息系統安全威脅與防護措施對工業控制系統的影響 A.3 工業控制系統面臨的威脅 A.4 工業控制系統脆弱性分析
    附錄B(資料性附錄)工業控制系統安全控制列表
    B.1 規劃(PL) B.2 安全評估與授權(CA) B.3 風險評估(RA) B.4 系統與服務獲取(SA) B.5 程序管理(PM) B.6 人員安全(PS) B.7 物理與環境安全(PE) B.8 應急計劃(CP) B.9 配置管理(CM) B.10 維護(MA) B.11 系統與信息完整性(SI) B.12 介質保護(MP) B.13 事件響應(IR) B.14 教育培訓(AT) B.15 標識與鑒別(IA) B.16 訪問控制(AC) B.17 審計與問責(AU) B.18 系統與通訊保護(SC)
    附錄C(規范性附錄)工業控制系統安全控制基線
    附錄C(規范性附錄)工業控制系統安全控制基線

    B.1 規劃(PL)

    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南 /

    B.1 規劃(PL)

    B.1.1 安全規劃策略和規程(PL-1)

    控制要求:
    組織應:
    a) 制定并發布安全規劃的策略,內容至少應包括:目的、范圍、角色、責任、管理層承諾、相關部門間的協調和合規性;
    b) 制定并發布安全規劃規程,以推動安全規劃的策略及與相關安全控制的實施;
    c) 按【賦值:組織定義的時間間隔】,對安全規劃的策略及規程進行評審和更新。
    補充指導:
    a) 通過該控制來產生一些能有效實現安全規劃族中安全控制和控制增強的策略與規程;
    b) 該策略和規程應與相關法律、法規、規章、制度、政策、標準和指南是一致的;
    c) 安全規劃策略可作為組織信息安全策略的一部分。
    d) 安全規劃規程可針對一般性的安全程序予以開發,當需要時,可針對特殊ICS予以開發。

    B.1.2 系統安全規劃(PL-2)

    控制:
    組織應:
    a) 開發與組織使命和業務功能相一致的ICS安全計劃,該計劃應包括:
    1) 顯式地定義了系統的授權邊界;
    2) 通過組織使命和業務過程,描述了ICS的運行環境;
    3) 提供了ICS的安全定級及定級理由;
    4) 描述了與其他ICS的關系或連接;
    5) 提供了該系統的安全需求概要;
    6) 描述了滿足安全需求的已有的或規劃的安全控制,以及剪裁和補充決策的理由;
    7) 在計劃實現前,是否得到評審和批準。
    b) 按【賦值:組織定義的時間間隔】,評審ICS安全計劃;
    c) 為了強調ICS和運行環境的變更,根據安全計劃實現期間或安全控制評估期間所標識的問題,對該計劃進行調整。
    補充指導:
    a) 關于“控制”實例化要求
    安全計劃內含一些有意義的信息,包括對安全控制中 “賦值”和 “選擇”陳述的參數規約,包括通過參考文獻有關參數的規約,以便能無歧義地實現安全控制,符合該安全計劃的意圖,并能使以后作出如下判斷:如果該計劃按預期實現,還存在哪些對組織運行和資產以及對個體、其它組織和國家的風險。
    b) 關于計劃實現基本要求
    安全計劃實現前,應得到授權官員或其代表的評審和批準,并作為組織風險管理戰略的一部分。
    c) 相關安全控制:AC-2、AC-6、AC-14、AC-17、AC-20、CA-2、CA-3、CA-7、CM-9、CP-2、IR-8、MA-4、MA-5、MP-2、MP-4、MP-5、PL-7、PM-1、PM-7、PM-8、PM-9、SA-5、SA-17。
    控制增強:
    a) 組織為ICS開發安全操作概念,至少包括:系統意圖、系統體系架構描述、安全授權安排、安全定級以及定級決策中所考慮的相關因素;
    b) 按【賦值:組織定義的時間間隔】,評審并調整安全操作概念;
    增強補充指導:
    1) 安全操作概念可以包含在ICS安全計劃中。
    c) 組織為ICS開發功能體系結構,該結構標識并維護所有外部接口,通過接口交換的信息以及與每一接口相關聯的保護機制;
    d) 應定義用戶角色,以及為每一角色所賦予的訪問權限;
    e) 唯一獨特的安全需求,例如,對暫時閑置的關鍵數據元素進行加密;
    f) 按可用相關法律、法規、方針、政策、法規、標準和指南,ICS的安全定級,以及任意特殊的保護要求;
    g) 信息恢復優先級或ICS服務的優先級。
    B.1.3 行為規則(PL-3)
    控制:
    組織應:
    a) 針對ICS的用法,建立并制定所有ICS用戶的行為規則,描述他們的責任和期望的行為;
    b) 在授權訪問ICS前,接受來自用戶簽署的有關他們已經閱讀的、理解的和同意遵守該行為規則方面的意見。
    補充指導:
    a) 組織應基于用戶的角色和責任,考慮一些不同的規則集,例如,適用于特權用戶的規則和適用于一般角色的規則之間的區分;
    b) 可使用電子簽名,作為認可的行為規則。
    c) 相關安全控制:AC-2、AC-6,AC-8、AC-9、AC-17、AC-18、AC-19、AC-20、AT-2、AT-3、CM-11、IA-2、IA-4、IA-5、MP-7、PS-6、PS-8、SA-5。
    控制增強:

    B.1.4 信息安全架構(PL-4)

    控制:
    組織應:
    a) 基于縱深防御的思想制訂工業控制系統的信息安全架構,描述信息安全保護的需求、方法及有關外部服務的安全假設或依賴關系;
    b) 按【賦值:組織定義的時間間隔】審核并更新信息安全架構;
    c) 考慮信息安全體系的變更對安全規劃、系統采購過程的影響。
    補充指導:
    a) 該控制專注于組織設計開發ICS需關注的行為;
    b) 信息安全結構包括架構描述、安全功能配置和分配、外部接口的安全相關信息、信息交換的接口以及與每個接口相關聯的保護機制等;
    c) 信息安全架構可以包括其他重要的安全相關信息,如:用戶角色和訪問權限分配、獨特的安全要求、信息處理類型、存儲和傳輸的系統、系統服務恢復優先級以及任何其他特定的保護需求。
    d) 相關安全控制:CM-2、CM-6、PL-2、PM-7、SA-5。
    控制增強:
    a) 應基于縱深防御的思想設計信息安全架構;

    B.1.5 安全活動規劃(PL-5)

    控制:
    a) 在可影響ICS的安全活動進行前,組織應規劃并協調,以便減少對組織運行、組織資產和個體的影響。
    補充指導:
    a) 與安全有關的活動,例如包括:安全評估、安全審計、硬件和軟件的維護以及持續性計劃的測試和演練;
    b) 組織事先所進行的規劃和協調,包括兩個方面:應急情況和非應急情況。
    c) 相關安全控制:PL-2。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类