政策解讀 | 《信息安全技術工業控制系統信息安全防護能力成熟度模型》
2022年11月1日,GB/T 41400-2022《信息安全技術工業控制系統信息安全防護能力成熟度模型》(以下簡稱“工業控制系統信息安全防護能力成熟度模型”)即將正式實施,本文將詳細闡述如何對工業企業進行安全防護能力評估,根據新形勢下工控安全防護重點,如何進行工業企業工控安全建設。
一、標準編制背景
全國信息安全標準化技術委員會為有效貫徹落實《國務院關于深化“工業互聯網+先進制造業”發展工業互聯網的制定意見》有關要求,推進和強化落實工業企業《工業控制系統信息安全防護指南》要求,于2017年下達了國標計劃號為20173585-T-469的信息安全國家標準制定項目,又名為《信息安全技術工業控制系統信息安全防護能力評價方法》,參與單位包括中國電子技術標準化研究院、工業和信息化部電子一所以及國家信息技術安全研究中心等單位。為支撐工業控制系統信息安全行業主管部門工作需要,結合工業企業工控系統安全防護實際需求,后又修改名稱為《信息安全技術工業控制系統信息安全防護能力成熟度模型》,該成熟度模型于2021年5月9日,經全國信息安全標準技術委員會(以下簡稱“信安標委”)81家委員單位投票,全部贊成標準,最終形成信安標委報批稿;2022年4月15日,由國家標準委員會正式發布GB/T 41400-2022《信息安全技術 工業控制系統信息安全防護能力成熟度模型》,標準將于2022年11月1日正式實施,整個標準研制過程發展歷程,見圖1所示:
圖1 標準研制過程
二、相關術語和定義
表1.成熟度模型術語和定義
“3個術語”的關系描述:GP給出了每一個級別的工業控制系統信息安全防護PA和BP應達到的程度,給出了劃分工業控制系統信息安全防護PA和BP等級的原則和方法論,形成PA的等級要求。組織在每個PA的能力成熟度劃分為5級,對每個等級下組織應具備的能力要求,從4個能力要素提出具體的BP。
三、標準對象范圍
標準以工業企業作為實施對象,給出了工業控制系統信息安全防護能力成熟度模型,規定了核心保護對象安全和通用安全的成熟度等級要求,提出了能力成熟度等級核驗方法。該標準文件適用于工業控制系統設計、建設、運維等相關方進行工業控制系統信息安全防護能力建設以及對組織工業控制系統信息安全防護能力成熟度等級進行核驗。
四、標準總體框架
圖2 工業控制系統信息安全防護能力成熟度模型架構
工業控制系統信息安全防護能力成熟度模型的架構由以下三個維度構成:
- 能力要素維度:組織工業控制系統信息安全防護能力要素包括機構建設、制度流程、技術工具和人員能力;
- 能力成熟度等級維度:組織工業控制系統信息安全防護能力成熟度等級劃分為五級,具體包括:1級是基礎建設級,2級是規范防護級,3級是集成管控級,4級是綜合協同級,5級是智能優化級。
- 能力建設過程維度:組織工業控制系統信息安全防護能力建設過程包括核心保護對象安全和通用安全:
(1)核心保護對象安全包括:工業設備安全、工業主機安全、工業網絡邊界安全、工業控制軟件安全、工業數據安全,5個過程類;
(2)通用安全包括:安全規劃與架構、人員管理與培訓、物理與環境安全、監測預警與應急響應、供應鏈安全保障,5個過程類。
4.1 能力要素維度
能力要素是指通過對組織工業控制系統信息安全防護過程應具備安全能力的量化,進而核驗每項安全過程的實現能力。組織工業控制系統信息安全防護能力要素包含“2個層面、4項內容”:
4.2 能力成熟度等級維度
組織工業控制系統信息安全防護能力成熟度等級共分為5級(見圖3),自低向高分別是基礎建設級、規范防護級、集成管控級、綜合協同級、智能優化級。
圖3 工業控制系統信息安全防護能力成熟度等級(5級)架構圖
成熟度模型的5個等級形成了一個“階梯式”的進化框架,等級1是起點,任何準備按照成熟度模型體系進化的工業企業都自然處于這個起點上,并通過他向等級2邁進。除等級1外,每一級都設定有一組目標,如果達到了這組目標,則表明達到了這個成熟度級別,則可以向更高的級別邁進。為了更加深入的了解成熟度模型,接下來針對每個等級的目標要求解讀如下:
1級-基礎建設:在這一等級上,組織的工業控制系統信息安全防護PA可被標識,初步建立了工業控制系統信息安全管理制度,但主要是基于組織的特定業務場景和知識經驗水平,未形成規范化、流程化的工作方法;
2級-規范防護:在這一等級上,組織的工業控制系統信息安全防護PA管理符合標準的規定,相關BP的執行是規范化的,并可對實際情況進行過程驗證,與等級1“基礎建設”主要區別在于BP執行過程被規范地計劃和管理;
3級-集成管控:在這一等級上,組織對工業控制系統設備、主機、系統、網絡、數據等方面進行集中統一管理,并形成體系化制度。與等級2“規范防護”的主要區別在于使用集成化工具來策劃和管理工業控制系統信息安全;
4級-綜合協同:在這一等級上,組織統籌考慮不同產線、廠區、工廠及產業鏈上下游相關單位的信息安全風險需求,建立多級協調的安全防護體系。與等級3“集成管控”的主要區別在于執行過程的綜合決策和協同防護;
5級-智能優化:在這個等級上,組織將已有安全防護設備、系統、制度體系進行深度融合,形成具有自決策、自進化能力的安全防護體系。與等級4“綜合協同”的主要區別在于執行過程的智能化和演進。
4.3 能力建設過程維度
工控安全防護PA體系分為核心保護對象安全和通用安全兩大部分,共包含40個PA。其中核心保護對象包括5個過程類,共計20個過程域(PA),188個基本實踐(BP);通用安全包括5個過程類,共計20個過程域(PA),177個基本實踐(BP),共計365個基本實踐(BP)。工業控制系統安全防護PA體系架構圖如4所示,各個能力等級中基礎實踐BP要求如圖5所示:
圖4工業控制系統安全防護20*PA體系架構圖
圖5 各個能力等級基礎實踐BP要求
級別1:基礎建設,共45個實踐BP。
級別2:規范防護,共167(45+122)個實踐BP;在級別1基礎上,增加了122個實踐BP。
級別3:集成管控,共259(167+92)個實踐BP;在級別2基礎上,增加了92個實踐BP。
級別4:綜合協同,共320(259+61)個實踐BP;在級別3基礎上,增加了61個實踐BP。
級別5:智能優化,共365(320+45)個實踐BP;在級別4基礎上,增加了45個實踐BP。
備注:
(1)PA編碼規則
工業控制系統信息安全防護PA編碼規則如下:
a) 每個PA 有對應的編號,分別采用遞增的數值 01,02,…,表示;
b) 每個PA 由若干BP 組成,BP用BP.XX.XX 進行編號,第一組編碼表示所在PA 的序號,第二組編碼表示具體BP 的序號,具體BP 的序號采用遞增的數值 01,02,…,表示;
c) 對于每個PA的每個級別,組織需同時實現該級別和所有低于該級別的BP,才能達到該級別的能力水平。
(2)關系描述
能力成熟度等級、PA、BP、GP、能力要素的關系如下:
a) 組織在每個PA的能力成熟度劃分為5級,對每個等級下組織應具備的能力要求,從4個能力要素提出具體的BP;
b) 并非每個PA的能力成熟度等級都包含完整的4個能力要素;
c) 對于每個PA,高等級的能力要求應不低于所有低等級能力要求,可依據GB/T 32919—2016提供的方法對某一等級能力要求進行裁剪;
d) 通用實踐使用GP進行編號,第一位數字表示等級,第二位數字表示GP的序號;GP給出了每一個級別的工業控制系統信息安全防護PA和BP應達到的程度,給出了劃分工業控制系統信息安全防護PA和BP等級的原則和方法論,形成PA的等級要求。如GP2.1表示等級2(規范防護級)的第一個GP。
注:針對某一具體PA,如5級的能力要求中未涉及某一能力要素的內容,則默認應實現在4級的能力要求中該能力要素的內容,以此類推。
4.4 能力程度等級核驗流程
工業控制系統信息安全防護能力成熟度等級核驗流程主要包括:組建核驗團隊、制定核驗計劃、開展現場核驗、形成核驗結論,共四個部分(見圖6),其中實線框為自對標自診斷,虛線框為第三方核驗的新增內容,工業組織可依據核驗結論開展工業控制系統信息安全防護改進等工作。
圖6 能力成熟度等級核驗流程
工業控制系統信息安全防護能力成熟度等級核驗方法采用“總體達標,單項合格”的思想開展,具體內容如下:
a)為保證效果核驗結果的公正和客觀,采用基于證據的方式,須有證據支持每條細則的核驗結果,證據包括:負責人談話記錄、制度文件、設備運行記錄、現場核查結果和測試結果等;
b)工業控制系統信息安全防護能力提升通過漸進的方式實現,即組織在達到低能力成熟度要求基礎上,開展高能力成熟度等級的核驗;
c)工業控制系統信息安全防護能力成熟度模型中各BP的權重相同,總體通過率需高于80%,單項通過率需高于40%。即,若假設某工業控制系統信息安全防護能力成熟度等級中,第1至10個過程類中組織適用的BP數量為N1,N2,…,N10,各過程類中組織符合的BP數量為M1,M2,…,M10,則當以下2個條件同時滿足時,組織工業控制系統信息安全防護能力達到相應的成熟度等級:
1)(M1+M2+…+M10)/(N1+N2+…+N10)>0.8;
2) Mi/Ni>0.4(0
五、能力成熟度模型推薦使用步驟
首先,使用模型時,組織根據對工業控制系統信息安全防護能力成熟度等級的定義,并結合業務實際情況,選擇擬達到的工業控制系統信息安全防護能力成熟度等級;
其次,在確定擬達到的能力成熟度等級后,組織根據工業控制系統核心保護對象所覆蓋的業務場景,選取適用的工業控制系統信息安全防護過程域(如:組織A不存在遠程訪問的情況,則遠程訪問安全的過程域從核驗范圍中刪除) ;
最后,組織基于對能力成熟度模型內容的理解,識別工業控制系統信息安全防護能力現狀并分析與核驗等級之間的差異,在此基礎上制定工業控制系統信息安全防護能力提升計劃。而伴隨著組織業務的發展變化,組織可定期復核、明確適合的能力成熟度等級,逐步提升工業控制系統信息安全防護能力。
能力成熟度模型推薦采用“5步法”的閉環流程下圖(圖7):
圖7 能力成熟度模型推薦使用步驟
六、預期實施成效
該標準將《工業控制系統信息安全防護指南》的11項防護要求細化為包括10個過程類40過程域(PA)365個基本實踐(BP),給出了工業控制系統信息安全防護能力成熟度模型,規定了核心保護對象安全和通用安全的成熟度等級要求,提出了能力成熟度等級核驗方法。標準圍繞落實指南等相關政策文件要求,根據新形勢下工控安全防護重點,從工控安全防護設計、建設、運維全生命周期提出工控安全防護要求;該標準的落地實施與應用,將有助于指導工業企業逐步提升自身工控安全防護能力建設,同時該標準的推廣實行,可有效支撐工控安全行業主管部門,全面了解當前我國工業企業工控安全防護能力水平,為工控安全管理工作提供標準化、可視化支撐。
