Тут в одном проекте возник вопрос, а как частно надо проводить аудит индустриальных сетей на предмет безопасности? Пробежавшись по стандартам и лучшим практикам была составлен следующий (неполный) список:
- В NIST SP 800-82 “Guide to Industrial Control Systems (ICS) Security” требуется проводить инвентаризацию сети с целью идентификации всех активов с периодичностью не менее 1 раза в год
- В стандарте IEC 62443-2-1 (пришел на смену ISA SP 99) говорится о ежегодном тестировании планов обеспечения непрерывности
- Стандарт NERC CIP-005 Electronic Security Perimeter (пункт R4) требует не менее одного раза в год проводить поиск уязвимостей в критических активах. Аналогичное требование установлено в пункте R8 стандарта CIP-007 “Cyber Security – Systems Security Management”
- Пункт C.3.1.1 стандарта США по безопасности атомных электростанций RG 5.71 требует ежегодного аудита ИБ
- В Guidance for Addressing Cyber Security in the Chemical Industry требуется ежегодный пересмотр планов, например, обеспечения непрерывности, которые в свою очередь требуют аудита
- Национальный центр кибербезопасности Великобритании NCSC требует ежегодной инвентаризации сетевых соединений и проведения пентестов
- Ежегодный аудит требуется в «Control Systems Cyber Security Guidelines for the Natural Gas Pipeline Industry”
- Ежегодный аудит требуется в “Security Guidelines for the Petroleum Industry”
- Согласно ISO/TR 29001 «Petroleum, petrochemical and natural gas industries — Sector-specific quality management systems — Requirements for product and service supply organizations” внутренний аудит требуется не менее одного раза в год
- Согласно «Pipeline Security Guidelines” аудит и пересмотр ИБ должен проводиться один раз в год
- Согласно требованиям CPNI (Центр защиты критичной инфраструктуры Великобритании) “GOOD PRACTICE GUIDE. PROCESS CONTROL AND SCADA SECURITY” пересмотр планов по ИБ и аудит должны проводить ежегодно.
Вот такой перечень получился для разных отраслей, в которых применяются АСУ ТП. Где-то это требование (как в NERC CIP), где-то рекомендация. Но почти все сходятся во мнении, что аудит/оценка/пересмотр/инвентаризация/пентест должны быть ежегодными (не реже).
