دليل CISO لتطبيق إطار تقييم الأمن السيبراني (CAF) و IEC 62443

بالنسبة لمسؤول أمن المعلومات المعاصر (CISO)، يُعتبر إطار تقييم الأمن السيبراني (CAF) التابع للمركز الوطني للأمن السيبراني (NCSC) أكثر بكثير من مجرد توصية. إنه المعيار الحاسم لتأمين البنية التحتية الوطنية الحيوية للمملكة المتحدة وأي منظمة تقع تحت مظلة قانون الأمن السيبراني والمرونة (2025).

بينما تكون بيئات تكنولوجيا المعلومات خاضعة للتخطيط الجيد بما يتماشى مع CAF، إلا أن تطبيق CAF على التكنولوجيا التشغيلية (OT) ليس أمراً بسيطاً ويخلق احتكاكاً فريداً. غالباً ما تجعل وحدات التحكم التقليدية (PLCs) ومتطلبات التوفر في الوقت الفعلي والأنظمة "غير القابلة للإصلاح" من المستحيل تنفيذ ضوابط تكنولوجيا المعلومات القياسية.

في منشور اليوم حول أمان التكنولوجيا التشغيلية (OT)، نستكشف كيفية جسر هذه الفجوة عن طريق دمج نتائج CAF مع الصرامة التقنية لـ IEC 62443.

قبل أن نمضي قدماً، لا تنسى الاطلاع على المنشور السابق حول "التحكم في مركز عمليات الأمن التكنولوجي (OT SOC) في 2026: من التقارب إلى إدارة النتائج" هنا. أنا متأكد أنك ستجده مفيدًا.

التأكد من الواقع بين CAF وOT

CAF هو تفويض يركز على النتائج. وهذا يعني أنه يخبرك بما يجب تحقيقه (مثل "إدارة المخاطر لوظائفك الأساسية") ولكنه لا يوضح لك كيفية القيام بذلك على وحدات تحكم عمرها 20 عاماً. هنا يأتي دور IEC 62443 كالمحرك التقني والدليل وخطة العمل.

بتطبيق مبادئ CAF الأربعة عشر على سلسلة IEC 62443، تنتقل من السياسات الغامضة والمعقدة إلى الامتثال على مستوى الهندسة.

التوافق الاستراتيجي وخريطة الطريق

هدف CAF

الجزء ذو الصلة من IEC 62443

مجال التركيز لـ OT

هدف أ: إدارة مخاطر الأمان

62443-2-1 & 3-2

تقييم المخاطر، وتقسيم المناطق، وبرامج الأمان.

هدف ب: الحماية من الهجوم

62443-3-3 & 4-2

التحكم في الوصول (IAM)، الحد الأدنى من الامتيازات، وتقوية النظام.

هدف ج: اكتشاف الأحداث السيبرانية

62443-3-3 (SR 6)

المراقبة لـ "التدفقات غير العادية" والانتهاكات.

هدف د: تقليل التأثير

62443-2-4

استمرار الاعمال والاستجابة للحوادث لـ IACS.

التنقل في ثلاث "فخاخ الامتثال لـ OT"

الفخ الأول: فجوة رؤية الأصول (CAF A3)

لا يمكنك حماية ما لا يمكنك رؤيته. في OT، يمكن للـ "بينجات" البسيطة أن تتسبب في تعطيل الأجهزة القديمة.

متطلب CAF: قائمة كاملة ودقيقة بجميع الأصول التي تدعم الوظائف الأساسية.
حل IEC 62443: استخدم المراقبة السلبية (الجزء 3-3) لبناء خريطة الأصول دون إدخال حركة مرور. ركز على تحديد الأجهزة المستويات 0-2 (الاستشعار ووحدات التحكم) التي غالباً ما تكون غير مرئية لأجهزة المسح في تكنولوجيا المعلومات.

الفخ الثاني: مفارقة الإصلاح (CAF B1)

تفشل أوامر "الإصلاح خلال 30 يوماً" القياسية في OT حيث تكلف التوقف ملايين.

متطلب CAF: تتم إدارة الثغرات لمنع الاستغلال.
حل IEC 62443: اعتمد على الضوابط التعويضية. إذا كنت لا تستطيع إصلاح PLC، فاستخدم المناطق والممرات (الجزء 3-2) لعزله. تأكد من أن "الممر" (مسار الاتصال) يقتصر على المرور الضروري فقط، مما يحمي الأصل الضعيف بشكل فعال.

الفخ الثالث: الهوية المشتركة (CAF B2)

تستخدم العديد من أنظمة OT حسابات "مسؤول" عامة للعمل على مدار الساعة.

متطلب CAF: التحكم الصارم في الهوية والوصول.
حل IEC 62443: نفذ إدارة الوصول المميز (PAM) باستخدام "نظام قفز OT". حتى إذا كان الجهاز الميداني يستخدم تسجيل دخول مشتركًا، يجب أن يكون الشخص الذي يصل إليه مصادق عليه فريدًا عند البوابة (متوافق مع IEC 62443-3-3 SR 1.1).

خطة عمل CISO: من التقييم إلى الإنجاز الملموس

لتلبية احتياجات الامتثال التي يطرحها المنظم، يجب عليك توفير مؤشرات على الممارسة الجيدة (IGPs). لا يمكنك فقط الادعاء أنك آمن. بدلاً من ذلك، عليك إثبات ذلك بالتوثيق وتقديم دليل على الامتثال المستمر.

تحديد النطاق: حدد "الوظيفة الأساسية" الخاصة بك. في OT، هذا ليس "الشبكة"؛ إنه "القدرة على توفير المياه النظيفة" أو "الحفاظ على تشغيل التوربينات".
إجراء تحليل للفجوة: استخدم جدول CAF لتصنيف نفسك بشكل موضوعي (تم تحقيق / تحقق جزئي / لم يتحقق).
الترجمة إلى الهندسة: عندما تكون نتيجة CAF "غير محققة"، ابحث عن المعيار المقابل في IEC 62443 لصياغة المتطلبات التقنية لمهندسي المصنع لديك. انظر ما يمكن فعله لتحقيق الامتثال.
جمع الأدلة: احتفظ بالرسوم البيانية لشبكة مستوى Purdue الخاصة بك، ومجموعات قواعد جدار الحماية، وسجلات تمارين الاستجابة للحوادث. هذه هي "الأدلة على الحياة" لتقييمات CAF.
تحديد الأدوار والمسؤوليات
رسم رحلة الامتثال الخاصة بك: مع تحديد الأهداف والمعالم بشكل واضح مع خطط امتثال مؤقتة مدعومة بالمعرفة والخبرة

قائمة التحقق من الامتثال لـ OT-CAF

استخدم هذه القائمة للحصول على رؤية واسعة حول وضعك الحالي مقابل توقعات NCSC.

الحكم والمخاطر (الهدف أ)

[ ] رسم خريطة التبعية: هل قمت بتحديد التبعية من IT إلى OT (على سبيل المثال، هل يتوقف المصنع إذا تعطلت خدمة الدليل النشط القائم على IT؟ أو بسبب هجوم استقصائي على جوهرة التاج.)
[ ] المساءلة على مستوى مجلس الإدارة: هل يتعامل مجلس الإدارة مع مخاطر OT باعتبارها خطر السلامة/التشغيل، وليس مجرد "مشكلة IT"؟
[ ] سلسلة التوريد: هل يتطلب عقدك مع موردي OT (الشركات المصنعة الأصلية) الامتثال لـ IEC 62443-4-1 (التطوير الآمن)؟

الحماية (الهدف ب)

[ ] تقسيم الشبكة: هل يوجد منطقة منزوعة السلاح DMZ)( محصنة بين IT و OT؟ (بدون قواعد "أي-أي")
[ ] الوسائط القابلة للإزالة: هل يوجد محطة "Sheep Dip" أو سياسة صارمة لسواقات USB الخاصة بالموردين؟ هل لديك حل لفحص الوسائط قيد العمل؟
[ ] التكوين الآمن: هل تم تغيير كلمات المرور الافتراضية (مثل "admin/admin") على جميع الأجهزة الميدانية؟ هل لديك سياسة لكلمة المرور يتم فرضها؟
[ ] الدفاع في العمق: هل لديك وسائل لنشر أو قمت بالفعل بنشر حماية متكررة لـ OT؟

الاكتشاف والاستجابة (الهدف ج & د)

[ ] المراقبة الواعية لـ OT: هل لديك أداة تفهم البروتوكولات الصناعية (Modbus، DNP3، Profinet)؟
[ ] خطط الاستجابة: هل تتضمن كتب الحوادث "تجاوزات يدوية" تكون ضرورية عندما تفشل التحكمات الرقمية؟
[ ] تكامل النسخ الاحتياطي: هل يتم نسخ ملفات منطق PLC احتياطيًا بشكل غير متصل واختبارها للاستعادة؟ هل تم اختبار النسخ الاحتياطية الخاصة بك؟
[ ] تدريب ومحاكاة الاستجابة للحوادث: هل تم تدريب فرقك على إدارة الحوادث؟ هل يعرفون ما يجب القيام به، ومتى، ومن يقوم بذلك؟

من خلال فهم التوافق بين CAF و IEC 62443، ستتمكن من فهم طرق تقليل تعرض مؤسستك لمخاطر الإنترنت المادية وتعلم الأدلة القابلة للتدقيق اللازم لتثبت (بلا شك) نضج أمانك للمنظمين ومجلس الإدارة.

تعرف على المزيد حول تقييم المخاطر القائم على IEC 62443 الخاص بنا

بدأ رحلتك في أمان OT أو لديك سؤال؟ تواصل معنا.  