IEC (Ủy ban Kỹ thuật Điện quốc tế) đã công bố tiêu chuẩn IEC 62443-2-1:2024 về vấn đề bảo mật cho các hệ thống điều khiển và tự động hóa công nghiệp. Tài liệu, Phần 2-1: Yêu cầu về Chương trình Bảo mật cho Chủ sở hữu Tài sản IACS, phác thảo các chính sách và thủ tục cần thiết cho các chương trình bảo mật mà chủ sở hữu tài sản phải triển khai để bảo vệ các hệ thống điều khiển và tự động hóa công nghiệp (IACS) trong quá trình vận hành. Tài liệu sử dụng định nghĩa và phạm vi rộng về những gì cấu thành nên IACS như được mô tả trong IEC TS 62443‑1‑1. Trong bối cảnh của tài liệu này, chủ sở hữu tài sản cũng bao gồm cả người vận hành IACS.
Tiêu chuẩn IEC 62443-2-1:2024 nêu rõ rằng chủ sở hữu tài sản cần có các chính sách và quy trình xung quanh các loại yêu cầu này. Trong trường hợp chủ sở hữu tài sản có các hệ thống cũ không có khả năng kỹ thuật gốc, các biện pháp bảo mật bù trừ có thể là một phần của các chính sách và quy trình được chỉ định trong tài liệu này.
Phiên bản mới nhất bao gồm những thay đổi kỹ thuật quan trọng liên quan đến phiên bản trước. Phiên bản này bao gồm cấu trúc yêu cầu được sửa đổi thành các thành phần SP (SPE); các yêu cầu được sửa đổi để loại bỏ sự trùng lặp của hệ thống quản lý bảo mật thông tin (ISMS); và xác định mô hình trưởng thành để đánh giá các yêu cầu.
Các yếu tố của IACS SP được mô tả trong tài liệu IEC 62443-2-1:2024 xác định các khả năng bảo mật bắt buộc áp dụng cho hoạt động bảo mật của IACS. Mặc dù chủ sở hữu tài sản chịu trách nhiệm cuối cùng cho hoạt động bảo mật của IACS, việc triển khai các khả năng bảo mật này thường bao gồm sự hỗ trợ từ các nhà cung cấp dịch vụ và nhà cung cấp sản phẩm của họ. Vì lý do này, tài liệu này hướng dẫn chủ sở hữu tài sản khi nêu các yêu cầu bảo mật cho các nhà cung cấp dịch vụ và nhà cung cấp sản phẩm của họ, tham chiếu đến các phần khác của loạt IEC 62443.
IEC 62443-2-1:2024 nêu chi tiết rằng mỗi tình huống sẽ khác nhau. “Trong một số tình huống, rủi ro có thể liên quan đến các yếu tố về sức khỏe, an toàn và môi trường (HSE) thay vì chỉ tác động kinh tế. Rủi ro có thể gây ra hậu quả không thể khắc phục được thay vì là sự thất bại tạm thời về tài chính. Do đó, một bộ các biện pháp bảo mật bắt buộc được xác định trước có thể quá hạn chế và có khả năng khá tốn kém để thực hiện hoặc không đủ để giải quyết rủi ro.”
Tiêu chuẩn cũng hỗ trợ nhu cầu giải quyết vấn đề an ninh mạng cho một IACS đang hoạt động bằng cách cung cấp các yêu cầu để thiết lập, triển khai, duy trì và liên tục cải thiện một IACS SP. Các yêu cầu này, khi được triển khai một cách tận tâm, cung cấp các khả năng bảo mật có mục đích là giảm rủi ro bảo mật của IACS xuống mức có thể chấp nhận được. Các yêu cầu này được viết để độc lập với việc triển khai, cho phép chủ sở hữu tài sản lựa chọn các phương pháp phù hợp nhất với nhu cầu của họ.
IEC 6 2443‑3‑2 mô tả phương pháp giải quyết rủi ro an ninh mạng trong thiết kế hệ thống IACS và hỗ trợ xác định rủi ro cũng như lựa chọn các yêu cầu bảo mật phù hợp và các khả năng liên quan cho IACS SP.
Hiệu quả của IACS SP thường được tăng cường thông qua việc phối hợp hoặc tích hợp với các quy trình của tổ chức và hệ thống quản lý bảo mật thông tin (ISMS) tổng thể. Ví dụ, bảo mật có thể được thêm vào các quy trình chuỗi cung ứng của tổ chức để yêu cầu bảo mật trong thiết kế các quy trình, hệ thống và kiểm soát. Người ta cũng mong đợi rằng IACS SP sẽ được mở rộng theo nhu cầu của IACS và tổ chức./.
Để biết thêm thông tin về các tiêu chuẩn, Quý doanh nghiệp có thể liên hệ trực tiếp với Trung tâm Thông tin – Truyền thông theo số điện thoại: (024)37564268 hoặc (024)37562608; Fax: (024)38361556;
Email: ismq@tcvn.gov.vn
