目前,专家在确保 APCS 信息安全时所依赖的主要指导性(同时也是方法论性)文件是 FSTEC 命令第 31 号和有关保护信息基础设施关键部分(KSII)的文件。此外,我认为后者已经明显过时了。此外,还有部分翻译的 IEC 62443 系列标准。遗憾的是,这些文档不足以为确保过程控制系统中的信息安全奠定方法基础。
具体技术或组织安全措施的要求,而且创建了工业设施网络安全的完整范式。除了推荐的确保信息安全的方法、措施、方法和流程外,NIST SP800-82 标准还包含有关自动化系统的一般信息、设计原则、分类、差异和相似之处(例如,分布式控制系统 (DCS) 和监控和数据采集 (SCADA) 系统之间的差异和相似之处)等。不幸的是,我们没有这样的文件。
综上所述
综上所述,我们可以重点介绍与 APCS 信息(或网络)安全文化相关的几个主要的普遍性问题。
缺乏负责确保 APCS 信息安全的人员(并且没有确定负责部门的既定做法)。
缺乏共同的方法基础和组织 柬埔寨电报数据 及管理文件。
网络威胁和商业风险之间的联系缺乏透明度和不明确性。
俄罗斯缺乏关于 APCS 事件的官方公开统计数据。
在网络安全专家(包括客户和承包商)和监管机构的共同努力下,这些问题迟早能够得到解决(我希望如此)。这段时间里,何时会发生何事?未来将会揭晓。
本文作者是 DialogueScience 股份公司 APCS 网络安全部负责人 CISA、CISM。
“DIALOGNAUKA”公司的特别项目