إذا كنت تؤمن بيئة صناعية، فمن المحتمل أنك سمعت هذا السؤال في غرفتي اجتماعات مختلفتين: "هل نحن ملتزمون بمعيار 800-82؟" و "أين نحن في الامتثال 62443؟". تعتبر العديد من الشركات هذه المسارات كمسارات متوازية، مما يؤدي إلى إنشاء تدفقات عمل مختلفة تكرر الجهود، وتربك الموظفين، وتستهلك الانتباه والميزانية. لا يجب أن يكون الأمر كذلك.

الإصدار 3 من NIST SP 800-82 هو الدليل الفيدرالي الأمريكي الأكيد لأمن تكنولوجيا التشغيل والذي يذكر بشكل صريح ISA-62443-2-1 كمعيار ملائم لبرنامج الأمن السيبراني لأنظمة الأتمتة والتحكم الصناعية (IACS). تم تصميم الإطارين ليكونوا تكميليين وليس تنافسيين. يمكن للمعيار 800-82 تعزيز بنية إدارة المخاطر الخاصة بك وطبقة التحكم في حين يوفر المعيار IEC 62443 برنامج الأمن التشغيلي الخاص بك، ومنهجية تصميم النظام، وكبح المخاطر باستخدام التقييم التقني. معًا، يشكلان أفضل وضع أمني قابل للدفاع والمراجعة يمكنك بناؤه.

يوفر منشور اليوم موجهًا لتخطيط التنفيذ وتوجيهه على مستوى الممارس لجعلهم يعملون كجزء من برنامج موحد يتوافق مع احتياجاتك الفريدة في الأمن والامتثال.

قبل المضي قدمًا، لا تنس مراجعة منشورنا السابق حول حادثة الأمن السيبراني لأديداس هنا.

NIST SP 800-82 Rev. 3: دليل الحقل

صدر في شهر سبتمبر 2023، يمثل الإصدار 3 تعديلًا جوهريًا لنسخة 2015. تشمل التغييرات الرئيسية تغطية موسعة لـ IIoT وأمن تكنولوجيا التشغيل المتصلة بالسحابة، ومواءمة أكثر صرامة مع NIST CSF و SP 800-53 Rev. 5، وتوجيه أمني لسلسلة التوريد، وتأكيد قوي على المراقبة المستمرة المصممة بشكل خاص للقيود الخاصة بتكنولوجيا التشغيل. وهي منظمة حول:

• تصنيف أنظمة تكنولوجيا التشغيل (كأمثلة على مستويات التأثير: منخفض، متوسط، عالي) بناءً على السرية، والسلامة، والتوفر

• غطاءات التحكم التي تتكيف مع ضوابط SP 800-53 Rev. 5 لتتلاءم مع حقائق تكنولوجيا التشغيل، مع الاعتراف بأنك لا تستطيع تصحيح معالج عامل أو إعادة تشغيل نظام الأمان في منتصف المناوبة

• إدارة المخاطر باستخدام نهج من ثلاث مستويات: مستوى المنظمة، مستوى عملية المهمة/الأعمال، ومستوى نظم تكنولوجيا المعلومات/التشغيل لتقديم إطار تحكم متدرج

• إرشادات البنية بما في ذلك الدفاع المتعدد الطبقات، وتقسيم الشبكة الذي يتماشى تمامًا مع نموذج بوردو، وتصميم مناطق منزوع السلاح DMZ

إنها في الأساس وثيقة إرشادية تخبرك بما تحتاج لتحقيقه. بينما من ناحية أخرى، يخبرك المعيار IEC 62443 بكيفية هيكلة برنامجك للوصول إلى الهدف.

IEC 62443: بنية البرنامج

تعتبر سلسلة IEC 62443 (المحافظة عليها بشكل مشترك مع ISA كمعيار ANSI/ISA-62443) هي المعيار العالمي لأمن أنظمة التحكيم الأوتوماتيكي. وهي منظمة إلى أربع مجموعات:

المفاهيم الأساسية للإطار هي مستويات الأمان (SL) ونموذج المناطق والمسارات.

تتراوح مستويات الأمان من SL 1 إلى SL 4:

• SL 1: الحماية ضد الاستخدام غير المقصود أو العرضي

• SL 2: الحماية ضد هجوم مقصود باستخدام وسائل بسيطة وذات دافع منخفض

• SL 3: الحماية ضد هجوم مقصود باستخدام وسائل متطورة، موارد معتدلة، معرفة خاصة بالتشغيل الآلي

• SL 4: الحماية ضد الخصوم على مستوى الدولة أو الممولين جيدًا مع معرفة خاصة بالتشغيل الآلي.

المناطق تجمع الأصول ذات المتطلبات الأمنية والتأثيرية المتشابهة، بينما تمثل المسارات المسارات الاتصالية المنضبطة بين المناطق. هذا النموذج هو العمود الفقري لتصميمات الأمان في سلسلة 62443 ويقدم سيطرة أكثر دقة على تدابير الأمان لديك.

تحديث مهم: IEC 62443-2-1:2024 (صدر في أغسطس 2024) أعاد تنظيم متطلبات مالك الأصول إلى عناصر برنامج الأمان (SPEs) وأدخل نموذج النضج. كما أنه يتناول الأنظمة القديمة بشكل صريح بينما يعترف بأن أعمار أنظمة IACS قد تتجاوز عشرين عامًا وأن الضوابط التعويضية، وليس فقط القدرات التقنية الأصلية، هي مقبولة عند عدم تمكن الأنظمة الأساسية من دعم متطلبات الأمان الحديثة.

رسم الخرائط البنائية: كيف يدعم IEC 62443 الامتثال لـ 800-82

العلاقة ليست على مستوى واحد لواحدة. بل هي بنيوية. فكر في 800-82 على أنه تعريف لمتطلبات الامتثال و IEC 62443 على أنه توفير البرنامج والآلات التقنية لتلبية هذه المتطلبات.

800-82 القسم 4: إدارة مخاطر تكنولوجيا التشغيل → IEC 62443-3-2 + 62443-2-1

NIST SP 800-82 Rev. 3 قسم 4 يعين إدارة المخاطر باستخدام نهج متدرج. IEC 62443-3-2 هو المعادل المفعَّل: يقوم بتحديد العملية لتقييم المخاطر الأمنية وتصميم النظام، مما ينتج عنه نموذج منطقة ومسار ووثائق مستويات الأمان المستهدفة (TSLs) كنتائج يتم تغليفها في مواصفات متطلبات الأمن السيبراني (CRS).

كيفية التنفيذ الفعلي لهذا:

• استخدم تحديد المخاطر لـ 800-82 (تحديد أنظمة تكنولوجيا التشغيل، تصنيف حسب التأثير) كنقطة انطلاق لك. هذا يعطيك السياق التجاري والمهني.

• استخدم 62443-3-2 لإجراء تقييم المخاطر على مستوى النظام. اعمل مع مهندسي سلامة العمليات لديك - وثائق HAZOP هي منجم ذهب لفهم شدة العواقب. قم بمحاذاة المخاطر الخاصة بالعمليات مع سيناريوهات تهديد الشبكة السيبرانية (فقدان التحكم، إنكار الخدمة لوظيفة أمان، حقن أوامر غير مصرح بها).

• عين مستويات أمان مستهدفة لكل منطقة بناءً على السيناريوهات ونتائج التحليل. يجب أن تستهدف منطقة نظام الأمان التشغيلي لحماية عملية ذات مخاطر عالية SL 2 أو SL 3. ومن المحتمل أن تكون المؤرخ الشركي في SL 1 مع وجود صمام تشفير بيانات من اتجاه واحد كمسار.

• وثق كل شيء في CRS. هذا يصبح الوثيقة الرئيسية للتدقيق 800-82 التزام القسم 4.

خطأ شائع: معاملة نموذج المنطقة والمسار كممارسة لرسم مخطط شبكة. هذا ليس صحيحًا. إنه تمرين لتصنيف المخاطر الذي يقود اختيار التحكم. ابدأ بتحليل العواقب، ثم ارسم المناطق.

800-82 القسم 5: الضوابط الأمنية الموصى بها: IEC 62443-3-3 + 62443-4-2

800-82 القسم 5 يشير إلى عائلات التحكم في SP 800-53 Rev. 5 ويوفر عوامل تداخل خاصة بتكنولوجيا التشغيل. يوفر IEC 62443-3-3 110 متطلبات أساسية (FRs) منظمة في سبع فئات — التحكم في الوصول (IAC)، التحكم في الاستخدام (UC)، التكامل النظامي (SI)، سرية البيانات (DC)، تدفق البيانات المحظور (RDF)، الاستجابة المناسبة للأحداث (TRE)، وسرعة الاستجابة (RA) — كل منها يرتبط بمتطلبات مستوى أمني محددة.

تعتبر المطابقة بين هذه الاثنين واحدة من أكثر الأدوات فائدة لممارس أمن تكنولوجيا التشغيل. على سبيل المثال:

التحكم في الوصول (عائلة AC 800-82/800-53). متطلبات IAC/UC في IEC 62443-3-3:

• يتطلب 800-82 الحد الأدنى من الامتيازات للوصول واستخدام مصادقة متعددة العوامل للوصول عن بُعد. يتطلب 62443-3-3 في SL 2 تحديد الهوية والمصادقة للمستخدمين البشريين، وفي SL 3 يتطلب مصادقة متعددة العوامل لجميع الحسابات - مما يوفر لك عتبة تقنية قابلة للاختبار.

• عندما يجادل بائع تكنولوجيا التشغيل الخاص بك بأن "MFA لا يمكن القيام به" على HMI القديم، يسمح 62443-2-1:2024 بوضوح بضوابط تعويضية. وثق التحكم التعويضي، المخاطر المتبقية المقبولة، والإجراءات التعويضية (مضيف القفزة المنفصل باستخدام MFA، تسجيل الجلسات، نوافذ الوصول المرتبط بالوقت). هذا هو دليلك على القدرة على التدقيق.

تكامل النظام (عائلة SI 800-82): متطلبات SI في IEC 62443-3-3:

• يتطلب 800-82 حماية من البرمجيات الخبيثة، التحقق من سلامة البرامج، والتنبيهات الأمنية. تشمل متطلبات SI في 62443-3-3 في SL 2 الحماية من البرمجيات الخبيثة، منع التعديل غير المصرح به، والإبلاغ عن انتهاكات السلامة.

• التنفيذ: حماية النقاط النهائية القائمة على وضع القائمة البيضاء (وليس برنامج مكافحة الفيروسات التقليدي) على واجهات HMI ومحطات العمل الهندسية؛ ضوابط الوسائط القرائية فقط؛ التحقق من البرامج الثابتة عند دعمها من قبل الشركة المصنعة للمتحكم.

التدقيق والمساءلة (عائلة AU 800-82) ومتطلبات TRE في IEC 62443-3-3:

• يتطلب كلا الإطارين تسجيل الدخول، والسجلات المالية، والقدرة على اكتشاف الأحداث الأمنية. في تكنولوجيا التشغيل، يعني هذا توزيع مراقبة الشبكة السلبية التي تفهم بروتوكولات ICS مثل Modbus، DNP3، EtherNet/IP، PROFINET، و IEC 61850 دون إدخال حركة مرور فعالة يمكن أن تعيق الحلقات التحكمية الحتمية. في حالة أدوات المراقبة التي تستفتي الأجهزة داخل منطقة التحكم.

800-82 القسم 6: بنية الشبكة والدفاع في العمق: نموذج المنطقة والمسار في IEC 62443

يوافق NIST 800-82 Rev. 3 على بنية الدفاع في العمق استنادًا إلى نموذج بوردو مع التكيفات الحديثة للاتصال بالسحابة وIIoT. نموذج المنطقة والمسار في IEC 62443 هو إطار التنفيذ.

الآن دعونا نحول هذا إلى بنية ملموسة:

• المستوى 0-1 (الأجهزة الميدانية مثل المجسات، المحركات، وحدات التحكم المنطقية القابلة للبرمجة): لا توجد بروتوكولات IP قابلة للتوجيه إذا كان يمكن تجنبها. تطبيق أدلة تصلب المورد، تغيير جميع بيانات الاعتماد الافتراضية، تعطيل المنافذ وخدمات الاتصال غير المستخدمة. لا يمكن عادةً تصحيح هذه الأجهزة في دورة طبيعية؛ عليك حساب هذا في سجل المخاطر والتدابير التعويضية.

• المستوى 2 (التحكم/HMI): تقسيم دقيق بخط المعالجة أو الخلية حيثما أمكن. تطبيق قوائم السماح للتطبيقات. يجب ألا يكون لمحطات العمل الهندسية وصول إلى الإنترنت أبدًا. ضوابط الوسائط القابلة للإزالة ضرورية. قد يتذكر الكثير منا هجوم ستوكسنت 2010 الذي انتشر عبر USB.

• المستوى 3 (عمليات الموقع/MES): تصفية الحركة الشمالية الجنوبية بقوة. يجب أن تدفع مؤرخي البيانات إلى الأعلى من خلال تنفيذ من اتجاه واحد حيثما أمكن؛ عدم السماح بسحب البيانات من المستوى 4 إلى المستوى 3. هذا هو قرار تصميم مسار، وليس مجرد قاعدة جدار ناري.

• DMZ (الحدود بين تكنولوجيا المعلومات/تكنولوجيا التشغيل): يجب أن يمر المرور العابر بين تكنولوجيا المعلومات وتكنولوجيا التشغيل عبر DMZ. يقيم هنا مضيفو القفز للوصول عن بُعد، وسيرفرات تواجد التصحيح، وسيرفرات تحديث مكافحة الفيروسات، وخدمات تجميع البيانات. لا تسمح أبدًا بالاتصالات المباشرة بين تكنولوجيا المعلومات في المستوى 4 وأنظمة التحكم في المستوى 2.

• المستوى 4/5 (تكنولوجيا المعلومات المؤسسية، السحابة): يوجد نظام معلومات الأمن المتكامل (SIEM)، وأداة تنظيم التنبيه والاستجابة الأمنية الجوية (SOAR)، ومزود الهوية، وبرك البيانات هنا. يجب أن تكون هويات تكنولوجيا التشغيل مواطنين من الدرجة الأولى في بنية الهوية الخاصة بك وليس أمرًا ثانويًا مدارًا من قبل حساب مسؤول محلي مشترك.

إدارة مخاطر سلسلة التوريد 800-82: IEC 62443-2-4

800-82 Rev. 3 يولي اهتمامًا كبيرًا لأمن سلسلة التوريد - وهو ترقية كبيرة من Rev. 2. يعتبر IEC 62443-2-4 (متطلبات برنامج الأمان لمقدمي خدمات IACS) الآداة المقابلة. استخدمها لـ:

• تحديد متطلبات الأمان التعاقدية لمنظمي النظام ومقدمي خدمات IACS ومقدمي خدماتOEM

• المطالبة بأدلة الامتثال لـ 62443-2-4 في عقود الموردين

• المطالبة باستخدام الموردون لمضيفي القفز المتخصص بدلاً من الاتصالات المباشرة لنظام التحكم

• المطالبة بتسجيل الجلسات لجميع الوصول البعيد لطرف ثالث - هذا هو خط الإنقاذ الخاص بك في التحقيق في الحوادث عندما تصبح اتصال المورد متغير توقع تهديد

الحقيقة غير المريحة حول وصول المورد: الغالبية العظمى من حوادث الأمن لتكنولوجيا التشغيل تتضمن اتصال طرف ثالث مثل VPN مباشر إلى وحدة التحكم برمجة المنطق، مودم خلوي غير آمن تم تركيبه من قبل بائع تبريد، جهاز كمبيوتر محمول لمتكامل النظام بأوراق اعتماد منتهية الصلاحية. يقدم 62443-2-4 الأسنان التعاقدية والبرنامجية لمعالجة هذا.

الاستجابة للحوادث والتعافي وفقًا لـ 800-82: IEC 62443-2-3 + 62443-2-4

يختص قسم 4.5 من 800-82 باستجابة الحوادث في تكنولوجيا التشغيل مع اعتبارات خاصة بتكنولوجيا التشغيل: أولوية السلامة، الحفاظ على استمرارية العملية الفيزيائية، والواقع الذي قد تحتاج فيه إلى الاستمرار في تشغيل نظام مُخترق جزئيًا لأن الخيار البديل - الإيقاف - يعتبر أسوأ من حيث السلامة من حدث الشبكة السيبرانية المحتوى.

عناصر الإطار التشغيلي لإدارة الحوادث في IEC 62443-2-3 (إدارة التصحيح في بيئة IACS) توفر إطار العمل وفقًا للعناصر التشغيلية في 62443-2-4.

التنفيذ العملي:

• خطة الاستجابة للحوادث في تكنولوجيا التشغيل ليست خطة الاستجابة للحوادث لتكنولوجيا المعلومات مع "OT" مُدرج في الأعلى. اكتب كتب لمختلف الأصول: اختراق وحدة التحكم المنطقية القابلة للبرمجة، فيروسات الفدية التاريخية، برامج خبيثة على واجهات HMI، وصول غير مصرح به لمحطة العمل الهندسية.

• حدد مسار التصعيد الذي يشمل مهندسي سلامة العمليات، وليس فقط أمن تكنولوجيا المعلومات. لا يمكن لفريق أمن تكنولوجيا التشغيل وحده إيقاف عملية جارية - هذا قرار مشترك مع قيادة العمليات والهندسة السلامة.

• أجر التمرينات التدريبية مع موظفي الطابق المصنع، وليس فقط موظفي تكنولوجيا المعلومات. فنيو الصيانة لديك هم المستجيبون الأوائل في حادث حقيقي.

• وثق إجراءات التراجع اليدوي. إذا تم عزل شبكة تكنولوجيا التشغيل الخاصة بك بسبب حادث، فهل يمكن للمشغلين تشغيل العملية يدويًا؟ وإذا لم يكن كذلك، فهذا نقص في الصمود يجب معالجته قبل أن يفرض الحادث السؤال.

 تتابع التنفيذ: من أين تبدأ؟

تحاول معظم المنظمات أن تنجز كل شيء في وقت واحد ولا تحقق شيئًا بشكل كامل. إليك تسلسل يعكس كيف تتراكم تقليل المخاطر فعليًا:

المرحلة 1: معرفة ما لديك (الشهور 1-3)

قم بإجراء اكتشاف السلبي للأصول عبر شبكة تكنولوجيا التشغيل الخاصة بك. لا تقوم بنشر أدوات الفحص النشطة في بيئة تكنولوجيا التشغيل غير المكررة أولاً. أدوات مثل Claroty، Dragos، Nozomi Networks، و Microsoft Defender لتقنيات التشغيل مصممة لاكتشاف السلبي لتكنولوجيا التشغيل. المخرج: جرد الأصول موصوف حسب المنطقة، الأهمية الحيوية، والدعم (مدعوم مقابل منتهي الصلاحية مقابل غير مدعوم). هذا يعتبر إدخالًا لكل من 800-82 قسم 4 (جرد النظام) و 62443-3-2 (إدخال في تصميم الزون وتقييم الخطر).

المرحلة 2:  تقسيم وحماية ما يهم أكثر (الشهور 2-6)

بناءً على تقييم المخاطر الخاص بك ونموذج المنطقة/المسارات، نفذ تقسيم الشبكة الخاصة بك. ابدأ بالحدود بين تكنولوجيا المعلومات وتكنولوجيا التشغيل - إذا لم يكن لديك منطقة DMZ، أو قم بتقوية الموجودة لديك إن وجد. اقضي على الشبكات التحكمية المسطحة. طبق ضوابط المسار بين المناطق الأعلى عرضة للهجمات لتحقيق أكبر تخفيض في سطح الهجوم بأسرع وقت.

المرحلة 3: النظافة والإدارة الهوية والوصول (الشهور 3-6)

تخلص من الحسابات المشتركة، خاصة على واجهات HMI ومحطات العمل الهندسية. قم بتنفيذ إدارة الوصول القائمة على الأدوار. انشر حل وصول آمن عن بعد (مضيف القفز + مصادقة متعددة العوامل + تسجيل الجلسات) وقم بإيقاف الوصول المباشر لإجهزة OT من خلال VPN. قم بإلزام الموردين باستخدامه. تنفيذ إدارة الوصول المميز لأوراق اعتماد الهندسة.

المرحلة 4: الرؤية والكشف (الشهور 5-9)

نشر مراقبة سلبية لوعي تكنولوجيا التشغيل. قم بتهيئة سلوك البروتوكول الصناعي بشكل طبيعي وإطلاق تنبيهات حول الانحرافات مثل الرموز الوظيفية غير المتوقعة، الأجهزة الجديدة التي تظهر على الشبكة، حركة مرور غير عادية للمستوى 3/4. أرسل الأحداث إلى نظام SIEM الخاص بك. قم بإنشاء قواعد كشف خاصة بتكنولوجيا التشغيل؛ لن يعرف محللو أمان تكنولوجيا المعلومات أن الكتابة إلى عنوان سجل غير متوقع في Modbus غير عادي دون أن تتلقى توجيه.

المرحلة 5: نضج البرنامج (مستمر)

إدارة التصحيح وفقًا لـ 62443-2-3 (قائمة على المخاطر، اختبار في بيئة التدريج، منسقة مع الجدول الزمني للتشغيل)، مراقبة مستمرة، تأهب الاستجابة لحوادث وتطبيق متطلبات ناقل الموردين، وتحديثات التقييم السنوي للمخاطر باستخدام 62443-3-2 كأسلوب منهجي.

إثبات الامتثال: المكدس الأدلة التدقيق

عندما يطلب منك المراقب، العميل، أو التدقيق الداخلي أن تثبت الالتزام بـ 800-82، إليك ما تقدمه - وأي وثيقة من 62443 تولدها:

أين تفشل المنظمات غالبًا

في أكثر من عقد من ممارسات أمن تكنولوجيا التشغيل، تظهر نفس أشكال الفشل بشكل متكرر. كن واعيًا عن عمد لهذه الأشياء:

تطبيق جداول زمنية لأمن تكنولوجيا المعلومات على إدارة التصحيح لتكنولوجيا التشغيل. التصحيح الحرج على واجهة HMI المستندة إلى ويندوز لا يتم تطبيقه في 30 يومًا إذا لم يكن البائع قد تحقق من صحة التصحيح، لديك جدول إنتاج 24/7، ونافذة الصيانة المجدولة التالية هي ستة أشهر. يعالج 62443-2-3 هذا بوضوح من خلال نهج إدارة التصحيح القائمة على المخاطر - تقييم قابلية التنفيذ وتأثير الثغرة غير المصححة، تنفيذ الضوابط التعويضية (عزل الشبكة، المراقبة، القيود المؤقتة على الوصول)، وتوثيق المخاطر المقبولة حتى يمكن تطبيق التصحيح بأمان.

التجزئة على الورق فقط. مخطط منطقة ومسار لا يطابق التكوين الفعلي للشبكة هو أسوأ من لا مخطط على الإطلاق - إنه يخلق طمأنينة زائفة. قم بالتحقق من صحة تجزئتك من خلال مراجعات الشبكة الدورية وتحليل حركة المرور السلبية. ستخبرك أداة المراقبة الخاصة بك ما إذا كان المؤرخ يتحدث فقط إلى المستوى 3، أو ما إذا كان هناك شخص ما قد فتح اتصالاً مباشراً بمحطة العمل الهندسية في الشهر الماضي.

تجاهل الطبقة البشرية. يتضمن IEC 62443-2-1:2024 عناصر برنامج الأمان الخاصة بالتوعية بالأمن، التدريب، والأدوار التنظيمية. يغطي القسم 4 من 800-82 أيضًا التوعية بالأمن. فنيو الصيانة لديك الذين يقومون بتوصيل محركات USB غير المصرح بها، المشغلون الذين يمنحون الوصول عن بُعد إلى البائعين دون تسجيله، فريق الهندسة الخاص بك الذي يستخدم نفس كلمة المرور عبر جميع وحدات التحكم المنطقية القابلة للبرمجة - هذه ليست إخفاقات تكنولوجية. إنهم إخفاقات في البرنامج. الوعي الأمني وفرض الإجراءات هي ضوابط، ليست مجرد مستحضرات للخميرة.

معالجة الأنظمة القديمة كاستثناءات امتثال ليتم تجاهلها. الأنظمة القديمة IACS يتم تناولها صراحة في 62443-2-1:2024 - إنها تتطلب ضوابط تعويضية، ومخاطر متبقية موثقة، وخطة طريق. وحدة تحكم منطقية قابلة للبرمجة قديمة تعمل على نظام تشغيل غير مدعوم بدون ضوابط تعويضية هي اكتشاف مفتوح. وحدة تحكم منطقية قديمة مع عزلة الشبكة، تصفية البروتوكول عند المسار، مراقبة سلبية على مدار الساعة طيلة أيام الأسبوع، واستبدال مخطط في الميزانية الرأس مالية هي مخاطر مدارة. التوثيق هو الفرق.

حالة استراتيجية: لماذا تفوز البرامج ثنائية الأطر

القطاعات الخاضعة للتنظيم مثل الطاقة (NERC CIP adjacency)، قاعدة الدفاع الصناعي (CMMC)، الكيميائية (متطلبات منشأة المواد الكيميائية CISA)، المياه (قانون البنية التحتية للمياه الأمريكية) تشير بشكل متزايد إلى كلا من NIST SP 800-82 و IEC 62443 في الإرشادات التنظيمية ومتطلبات الأمن للعملاء. بناء برنامجك على كلا الإطارين في وقت واحد ليس بتكاليف امتثال بل هو تأمين ضد التغيرات التنظيمية المستقبلية، وميزة تنافسية في تقييمات أمن العملاء، وبنية أمان تقنية أفضل مما يقدمه كل إطار بمفرده.

الصيغة العملية هي: استخدام IEC 62443 لبنية البرنامج والحوكمة، استخدام NIST 800-82 لاختيار التحكم والغطاء، واستخدام وظيفة NIST CSF 2.0 لإيجاد رؤية المسؤول التنفيذي والمساءلة عبر البرنامج بالكامل.

المنظمات التي بنيت على هذا الأساس المتكامل تتفوق باستمرار في نتائج التدقيق الفردية والقياسات الفعلية للاستجابة للحوادث لأن برنامج الأمان الخاص بهم يعكس كيفية عمل النظم الصناعية في الواقع، وليس كيف تعمل الأنظمة IT مع البنية التشغيلية المعلوماتية المتراكمة.

اتصل بنا للتعلم المزيد حول الامتثال لـ IEC 62443 و NIST SP 800-82 من خلال نهج موحد.

الموارد الرئيسية

• NIST SP 800-82 Rev. 3، دليل لأمن تكنولوجيا التشغيل (OT) — سبتمبر 2023

• دليل البدء السريع لـ ISA/IEC 62443 — ISA

• كتالوج الثغرات المستغلة المعروفة من CISA — لتحديد الأولويات وفقًا لإرشادات NIST SP 800-40 Rev. 4

• تنفيذ استراتيجي لـ ISA/IEC 62443-3-2 

• قائمة التحقق من التنفيذ الاستراتيجي لـ NIST SP 800-82 Rev. 3