<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 縮略語
    4 縮略語
    5 安全控制概述
    5 安全控制概述
    6 安全控制基線及其設計
    6 安全控制基線及其設計
    7 安全控制選擇與規約
    7.1 選擇與規約概述 7.2 安全控制選擇 7.3 安全控制裁剪 7.4 安全控制補充 7.5 建立安全控制決策文檔
    附錄A(資料性附錄)工業控制系統面臨的安全風險
    A.1 工業控制系統與傳統信息系統對比 A.2 信息系統安全威脅與防護措施對工業控制系統的影響 A.3 工業控制系統面臨的威脅 A.4 工業控制系統脆弱性分析
    附錄B(資料性附錄)工業控制系統安全控制列表
    B.1 規劃(PL) B.2 安全評估與授權(CA) B.3 風險評估(RA) B.4 系統與服務獲取(SA) B.5 程序管理(PM) B.6 人員安全(PS) B.7 物理與環境安全(PE) B.8 應急計劃(CP) B.9 配置管理(CM) B.10 維護(MA) B.11 系統與信息完整性(SI) B.12 介質保護(MP) B.13 事件響應(IR) B.14 教育培訓(AT) B.15 標識與鑒別(IA) B.16 訪問控制(AC) B.17 審計與問責(AU) B.18 系統與通訊保護(SC)
    附錄C(規范性附錄)工業控制系統安全控制基線
    附錄C(規范性附錄)工業控制系統安全控制基線

    B.13 事件響應(IR)

    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南 /

    B.13 事件響應(IR)

    B.13.1 事件響應策略和規程(IR-1)

    控制:
    組織應:
    a) 制定并發布正式的的事件響應策略,其中應包含目的、范圍、角色、責任、管理承諾、各部門間的協調以及合規性;
    b) 制定并發布正式的事件響應規程,以推動事件響應方針策略及與相關安全控制的實施;
    c) 按【賦值:組織定義的時間間隔】,對事件響應策略和規程進行評審和調整。
    補充指導:
    a) 有效實現該族中的安全控制和控制增強,編制所需要的策略和規程。
    b) 該策略和規程應與應用的法律、法規、政策、規章、制度、標準和指南是一致的。
    c) 事件響應策略可作為組織信息安全策略的一部分。
    d) 事件響應規程可針對一般性的安全程序予以開發;也可針對特殊ICS予以開發。
    e) 在開發配置管理策略中,組織的風險管理戰略是一個重要的因素。

    B.13.2 事件響應培訓(IR-2)

    控制:
    組織應:
    a) 制定事件響應培訓計劃,并按【賦值:組織定義的時間間隔】對ICS用戶進行符合其角色和責任的事件響應培訓;
    b) 按【賦值:組織定義的時間間隔】或在ICS發生變更時向ICS用戶提供符合其角色和責任的事件響應培訓。
    補充指導:
    a) 事件響應培訓包括用戶培訓-標識和報告來自內外源的嫌疑活動。
    b) 相關安全控制:AT-3、CP-4、IR-8。
    控制增強:
    a) 組織把模擬事件和事件響應結合起來進行培訓,以便支持人員在危機情況下的有效響應;

    B.13.3 事件響應測試與演練(IR-3)

    控制:
    組織應:
    a) 按【賦值:組織定義的時間間隔】以【【賦值:組織定義的測試和演練方法】測試ICS的響應能力,以判斷事件響應的有效性,并記錄測試結果。
    b) 評審事件響應測試和演練的結果;如有不合格項應啟動糾正措施。
    補充指導:
    a) 事件響應培訓包括用戶培訓-標識和報告來自內外源的嫌疑活動。
    b) 相關安全控制:CP-4、IR-8。
    控制增強:
    a) 組織使用自動化機制,更全面、更有效地測試或演練事件響應能力。
    增強補充指導:

    B.13.4 事件處理(IR-4)

    控制:
    組織應:
    a) 具有應對安全事件的事件處理能力,包括準備、檢測和分析、控制、消除和恢復。
    b) 協調事件處理活動與應急規劃活動。
    c) 將當前事件處理活動的經驗,納入事件響應規程、培訓及測試/演練,并相應地實施變更。
    補充指導:
    a) 與事件有關的信息可以從一些不同的源中獲取,包括但不限于:審計監視,網絡監視,物理訪問監視和用戶報告。
    b) 相關安全控制:CP-2、CP-4、IR-2、IR-3。
    控制增強:
    a) 組織使用自動化機制,例如在線的事件管理系統,支持事件處理過程;
    b) 組織關注ICS的動態重新配置,作為事件響應能力的一部分。
    增強補充指導:
    1) 動態重新配置,例如:路由規則的改變,訪問控制列表的改變,入侵檢測系統參數的改變,以及防火墻和網關過濾規則的改變。
    c) 組織標識事件類別(例如:有目標的有意攻擊,無目標的有意攻擊,由于設計或實現中的錯誤和忽略),并定義響應中所采取的合適動作,確保使命/業務運行的繼續;
    d) 組織建立事件信息和單個事件響應的聯系,以實現組織范圍內有關事件認的知和響應之觀點;

    B.13.5 事件監控(IR-5)

    控制:
    a) 組織應跟蹤和記錄ICS安全事件,并建立相應的文檔。
    補充指導:
    a) 與事件有關的信息可以從不同的源中獲得,包括但不限于:審計監視、網絡監視、物理訪問監視和用戶或管理人員的報告。
    b) 應當引起重視或進行重點監控的事件包括:網絡流量突然增大、磁盤空間溢出或空閑磁盤空間明顯減少、異常高的CPU使用率、新用戶賬號創建、試圖或實際使用超級管理員級的賬號、 賬戶鎖定、用戶不工作時,賬號仍在使用、清除日志文件、以不常用的大量事件塞滿日志文件、防病毒或IDS警報、不可用的防病毒軟件和其它安全控制措施、不期望的補丁變更、非法外聯、請求系統信息、配置設置的非期望更改、非期望的系統關閉或重啟等。
    c) 相關安全控制:AU-6、IR-6、IR-7、SC-5。
    控制增強:

    B.13.6 事件報告(IR-6)

    控制:
    組織應:
    a) 在規定時間內,向組織的事件響應部門報告可疑的安全事件。
    b) 向相關主管部門報告安全事件信息。
    補充指導:
    a) 通過該控制來強調組織內特定的事件報告需求以及正式的事件報告需求;
    b) 報告的安全事件類型,報告的內容和時間,以及指定的報告機構,應與可用的國家法律、法規、制度、標準和指南是一致的。
    c) 相關安全控制:IR-4、IR-5。
    控制增強:
    a) 應使用自動化機制,支持安全事件的報告;

    B.13.7 事件響應支持(IR-7)

    控制:
    a) 組織應提供事件響應支持資源,集成組織事件響應能力,即為ICS用戶提供設備和支持,以便處理和報告安全事件。
    補充指導:
    a) 在組織中,事件響應支持資源的實現可能涉及一個支持小組。
    b) 相關安全控制:AT-2、IR-4。
    控制增強:
    a) 組織使用自動化機制,增加與事件響應有關信息和支持的可用性;

    B.13.8 事件響應計劃(IR-8)

    控制:
    組織應:
    a) 制定事件響應計劃,該計劃應包括:實施路線圖;事件響應的結構和組織;滿足組織的有關使命、規模、結構和功能的特殊要求;定義可報告事件;定義必要的資源和管理支持,以維護和增強事件響應能力;
    b) 評審和批準事件響應計劃,并向組織內事件響應人員發布;
    c) 按【賦值:組織定義的時間間隔】評審該事件響應計劃;
    d) 針對系統/組織的變更或事件響應計劃在實施、執行或測試中遇到的問題,更新計劃;
    e) 將事件響應計劃的變更通報組織內相關部門和人員;
    f) 使事件響應計劃處于受控狀態。
    補充指導:
    a) 組織應有一個正式的、集中的、協調一致的途徑來響應事件;
    b) 組織有關事件響應的使命、戰略和目標,幫助確定其事件響應能力的結構。
    c) 相關安全控制:AT-2、IR-4、SA-9。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类