Endüstriyel Kontrol Sistemleri Güvenliği: ISA 62443-2-1:2009

Uluslararası Otomasyon Derneği (ISA) tarafından geliştirilen ISA-62443 standartlar serisi, Endüstriyel Otomasyon ve Kontrol Sistemlerinin (IACS) güvenliğini sağlamak için kapsamlı bir kılavuz setidir.

ISA 62443-2-1:2009, bu seride bir endüstriyel otomasyon ve kontrol sistemleri güvenlik sistemi kurmaya odaklanan özel bir standarttır. Bu sistemlerin birçoğu kritik altyapı sağladığından, operasyonları kesintiye uğratabilecek herhangi bir güvenlik olayına karşı onları korumak çok önemlidir. Bu blog, ISA 62443-2-1:2009'da belirtilen değerlendirmeleri ve IACS'nin bunlara neden öncelik vermesi gerektiğini detaylandırmaktadır.

UpGuard ile güvenlik değerlendirme anketlerinizi otomatikleştirin >

ISA-62443 Standartlar Serisi

ISA-62443 standartları, kuruluşların kritik sistemlerini önemli fiziksel ve dijital tehditlere karşı tam olarak korumalarını sağlayan IACS değerlendirmelerini detaylandırır. Bir IACS veya Endüstriyel Otomasyon ve Kontrol Sistemi, endüstriyel süreçleri işletmek ve otomatikleştirmek için kullanılan ağ bağlantılı sistemler topluluğunu ifade eder.

Örnekler arasında Programlanabilir Mantık Denetleyicileri (PLC'ler), Dağıtılmış Kontrol Sistemleri (DCS), Denetleyici Kontrol ve Veri Toplama (SCADA) Sistemleri, İnsan-Makine Arayüzleri (HMI'ler) ve Sensör Ağları ve Aktüatörler bulunur.

Daha önce ISA99 standartları olarak bilinen ISA-62443 standartları, çeşitli endüstrilerde güvenliği sağlamak için gereklidir. Standartlar, imalat, enerji, su arıtma vb. gibi çeşitli sektörlerde kritik olan endüstriyel kontrol sistemlerinin güvenliğini sağlamak için yapılandırılmış ve sistematik bir yaklaşım sağlar. Seri şunları içerir:

  • Genel Kavramlar ve Modeller (ISA-62443-1): Bu bölüm, IACS güvenliğinde kullanılan tanımları, kavramları ve modelleri özetleyerek seri için bir temel sağlar.
  • Endüstriyel Otomasyon ve Kontrol Sistemleri Güvenlik Sisteminin Kurulması (ISA-62443-2): Bu bölüm, risk değerlendirmesi, güvenlik açıklarının ele alınması ve koruyucu önlemler dahil olmak üzere bir IACS güvenlik programı oluşturmaya ve sürdürmeye odaklanmaktadır.
  • Sistem Güvenlik Gereksinimleri ve Güvenlik Düzeyleri (ISA 62443-3): Bu bölüm, IACS güvenliği için belirli gereksinimleri listeler, güvenlik düzeylerini tanımlar ve bu düzeylere ulaşmak için gereksinimleri ana hatlarıyla belirtir.
  • IACS Bileşenleri için Teknik Gereksinimler (ISA 62443-4): Bu bölüm, güvenli ürün geliştirme yaşam döngüleri ve sistem entegrasyonları için gereksinimler gibi IACS bileşenleri için teknik gereksinimleri açıklar.

ISA 62443-2-1:2009'un Temel Bileşenleri

ISA 62443 serisindeki ikinci standart, bir endüstriyel otomasyon ve kontrol sistemleri güvenlik sistemi kurmaya odaklanmıştır. Özellikle bu standart, bir IACS'yi yönetmek için gereken siber güvenlik unsurlarını ana hatlarıyla belirtir ve kullanıcılara her bir unsurun gereksinimlerini karşılamaları için rehberlik eder.

Bu standart, IACS'nin öncelik vermesi gereken dört ana alanı ana hatlarıyla belirtir ve her birinde tanımlamak ve değerlendirmek için belirli unsurlar bulunur.

  • Güvenlik ve Gizlilik Programları Değerlendirmesi
  • Altyapı Güvenliği Değerlendirmesi
  • Fiziksel ve Veri Merkezi Güvenlik Değerlendirmesi
  • Uygulama Güvenliği Değerlendirmesi

Güvenlik ve Gizlilik Programları Değerlendirmesi

Bilgi güvenliği ve gizliliği programı, şirket bilgileri ve sistemlerine yönelik tehditleri ve riskleri belirlemek ve ele almak için kapsamlı bir politikalar, yönergeler ve süreçler dizisidir. IACS için güvenlik ve gizlilik programı değerlendirmeleri çok önemlidir. ISA 62443-2-1:2009'un bu bölümü, bir kuruluşun yerleşik bir güvenlik programına sahip olup olmadığına odaklanır ve değilse, bir tane oluştururken göz önünde bulundurulması gereken temel alanları ana hatlarıyla belirtir.

Yerleşik bir güvenlik ve gizlilik programı, müşteri bilgilerinin güvende tutulmasını sağlamaya yardımcı olur. Bu standart, aşağıdakiler dahil olmak üzere temel alanları değerlendirir:

  • Güvenlik ve Gizlilik: Yerleşik güvenlik programları ve güvenlik kontrolleri
  • Personel Güvenliği: Erişim kontrolü, şifre protokolleri, gizlilik sözleşmeleri, çalışanlar için bilgi güvenliği ve mahremiyet eğitimleri vb.
  • Yasa ve Yönetmeliklere Uyum: İlgili yasal, düzenleyici ve sözleşmeye dayalı gereklilikleri belirleme, belgeleme ve muhafaza etme süreci

Altyapı Güvenliği Değerlendirmesi

Altyapı güvenliği değerlendirmesi, bir IACS'nin fiziksel ve dijital altyapısının kapsamlı bir değerlendirmesidir. Amacı, siber tehditler için risk altında olabilecek herhangi bir güvenlik açığını veya olası başarısızlık noktalarını belirlemektir.

IACS genellikle çeşitli endüstriyel süreçler için kritik olan sistemleri kullanır, bu nedenle her türlü ihlal veya arızanın yıkıcı sonuçları olabilir (operasyonel aksaklıklar, güvenlik tehlikeleri vb.). Bu nedenle, bu tür bir değerlendirme, güvenlik duruşunun ve mevcut güvenlik önlemlerinin yeterliliğinin anlaşılmasına yardımcı olur. ISA-62443-2-1:2009'un bu bölümündeki alanlar şunları içerir:

  • Ağ: Sistem yapılandırma yönetimi araçları, güvenlik duvarları, veri şifreleme, ayrılmış sistemler, sürekli izleme vb.
  • Sunucular: İşletim sistemi güncellemeleri ve yamaları, kötü amaçlı yazılımlara karşı koruma önlemleri vb. için süreçler.
  • İstemciler (İş İstasyonu, Dizüstü Bilgisayarlar vb.): İstemci sistemleri için standartlar, istemci cihazlarda kötü amaçlı yazılımlara karşı koruma, kişisel erişim kontrolü vb.
  • Altyapı Destek Anlaşmaları: Desteklenmeyen işletim sistemi sürümleri için destek anlaşmaları
  • Veri Yönetimi: Geliştirme, test ve üretim için ayrı ortamlar
  • Teknik Güvenlik Testi: Sızma testi, güvenlik açığı taraması, güvenlik testi vb.
  • Günlüğe kaydetme: Güvenlikle ilgili olay günlüğü
  • Varlık Yönetimi: Güncel envanterler, çalışan/yüklenici/üçüncü taraf varlıklarının takibi vb.

Fiziksel ve Veri Merkezi Güvenlik Değerlendirmesi

ISA-62443-2-1:2009'un bir sonraki alanı, fiziksel ve veri merkezi güvenliğine odaklanmaktadır. Bu değerlendirme, bir kuruluşun IACS'lerinin bileşenlerini ve verilerini depoladığı hassas ekipman ve veri merkezlerine yetkisiz erişimi önleyen fiziksel güvenlik önlemlerini değerlendirir.

Kapsamlı bir değerlendirme, fiziksel erişim kontrollerini, gözetim sistemlerini ve çevresel kontrolleri tanımlar. Bu değerlendirme, bilgisayar korsanlığı, kötü amaçlı yazılım ve dijital varlıklar için veri ihlalleri gibi siber tehditlere karşı güvenlik duruşunu değerlendirir. Bu ikili yaklaşım, IACS için sağlam fiziksel ve veri merkezi güvenliği ve sürekli operasyonlar sağlar. Bu bölümdeki alanlar şunları içerir:

  • Ofiste Güvenlik: Korumalar, hareket dedektörleri, CCTV, elektronik erişim kontrolü, çevre güvenliği, gözetimsiz ekipmanın otomatik kilitlenmesi vb. gibi fiziksel önlemler.
  • Veri Merkezi Güvenliği: Kontrollü erişim noktaları, kesinti protokolleri, risk değerlendirmeleri vb.

Uygulama Güvenliği Değerlendirmesi

Uygulamalar, bir IACS'deki endüstriyel süreçlerin kontrol edilmesinde, izlenmesinde ve yönetilmesinde hayati bir rol oynar. Bu uygulamalardaki herhangi bir güvenlik açığı, operasyonel aksaklıklar, veri ihlalleri ve güvenlik tehlikeleri gibi önemli risklere yol açabilir.

Bu uygulamaların kapsamlı bir güvenlik değerlendirmesinin yapılması, siber saldırganların yararlanabileceği kodlama kusurları, yetersiz şifreleme veya güvenli olmayan API'ler dahil olmak üzere güvenlik açıklarının belirlenmesine ve azaltılmasına yardımcı olabilir. Ayrıca, kimlik doğrulama ve yetkilendirme mekanizmaları gibi mevcut güvenlik protokollerinin etkinliğini değerlendirir ve endüstri standartlarına ve en iyi uygulamalara uygunluğu sağlar. Bu bölümdeki alanlar şunları içerir:

  • Güvenlik Açığı Raporlama ve Yönetimi: Güvenlik açıklarını bildirme, müşteri bildirimi vb. süreçler.
  • Kimlik Doğrulama ve Yetkilendirme: Kimlik doğrulama hizmetleri, parola gereksinimleri, SSO mekanizmaları vb.
  • Yazılım Geliştirme Yaşam Döngüsü: Uygulamalar için güvenlikle ilgili gereksinimler, işlenen bilgilerin bütünlüğü ve gizliliği, güvenli kodlama süreçleri vb.
  • 3. Taraf Bağımlılıkları: Dış kaynak sağlayıcılarının güvenlik incelemeleri

UpGuard, BreachSight ve VendorRisk, güçlü yerleşik güvenlik anketlerimizi kullanarak değerlendirme sürecinizi otomatikleştirir. Satıcılarınıza standart şablonlar veya özel anketler gönderin, anket son tarihlerini yapılandırın ve satıcıların talepleri verimli bir şekilde tamamlamasını sağlamak için düzenli hatırlatıcılar ayarlayın.

Riskler, satıcı yanıtlarında otomatik olarak tanımlanır, böylece düzeltme talebinde bulunabilir veya bunlardan feragat edebilirsiniz. Risk değerlendirme iş akışını kullanarak riskleri azaltma konusunda satıcılarla işbirliği yapın, denetlenebilir, yerleşik mesajlaşmayı kullanarak belirli satıcı yanıtları için satır içi yazışmalar yapın veya dahili notlar ekleyin.

Anket Kitaplığımız, aşağıdakiler de dahil olmak üzere siber güvenlik endüstrisindeki düzenlemelere ve en iyi uygulamalara atıfta bulunur:

  • SIG Lite Anketi
  • ISO 227001 Anketi
  • Yüksek Öğrenim Topluluğu Satıcı Değerlendirme Aracı (HECVAT) Anketi
  • Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) Anketi
  • NIST Siber Güvenlik Çerçevesi Anketi
  • COBIT 5 Güvenlik Standardı Anketi
  • Kaliforniya Tüketici Gizliliği Yasası (CCPA) Anketi
  • CIS Denetimleri 7.1 Güvenlik Standardı Anketi
  • PCI DSS Anketi
  • Apache Log4J - Kritik Güvenlik Açığı Anketi