2020年5月,美国国土安全部发布了《化工行业网络安全框架实施指南》,为美国化工行业建立关键基础设施的网络安全框架提供了一个具有可执行性的方案。网安知讯翻译了这一指南,以供行业借鉴和参考,文末提供中文版下载。

美国国土安全部(DHS)下属的网络安全与基础设施安全局(CISA)作为行业主管机构,与化工行业协调委员会(SCC)和政府协调委员会(GCC)共同制定《化工行业网络安全框架实施指南》。(下简称化工网络安全框架)

化工网络安全框架》的编制依据

美国国土安全部2020版《化工行业网络安全框架实施指南》以美国国家标准与技术研究院 (NIST) 于 2014 年发布的网络安全框架1.1版本为基础。

国国家标准与技术研究所(NIST)网络安全框架提供了一个计算机安全指导政策框架,用于指导美国的私营部门组织如何评估和提高其预防、检测和应对网络攻击的能力。可用于帮助确定减少网络安全风险的行动并确定其优先级,这是一种协调策略、业务和技术方法以管理该风险的工具。不同类型的实体,包括部门协调结构、协会和组织,可以因不同的目的使用此框架。

2018年,NIST发布了改善关键基础设施网络安全框架1.1版。此次更新鼓励网络安全评估和漏洞披露流程的成熟度,概述了身份管理和访问控制的扩大范围,并提供供应链风险管理指导,以帮助减轻与工业控制系统和连接设备相关的风险。

NIST的这一框架不仅为美国政府所用,包括英国,日本,以色列等国家和组织都参考了这一架构。

《化工网络安全框架》概述

框架由三部分组成:框架核心、信息引用(情报来源)和框架纲要。

框架5大核心:

o识别:提升组织的理解,以管理系统、人员、资产、数据和能力的网络安全风险;

o保护:制定和实施适当的保障措施,以确保提供关键服务;

o发现:制定并实施适当的活动,以识别网络安全事件的发生;

o响应:制定和实施适当的活动,对检测到的网络安全事件采取行动;

o恢复:制定并实施适当的活动,以维持恢复计划,并恢复因网络安全事件而受损的能力或服务。

框架实施的7个步骤:

《化工网络安全框架》的优点

这一框架建立在NIST成熟的理论基础上,总结了化工行业在网络安全方面的经验,结合了化工行业在网络安全特别是关键基础设施安全方面的最佳实践,具有很强指导性和实操性。

该框架为解决网络安全问题提供了一种灵活的方法。适用于依赖技术的组织,包括信息技术(IT)、工业控制系统(ICS)、网络物理系统(CPS)或物联网(IoT)等连接设备。补充但不取代组织的风险管理过程、网络安全计划或相关框架实施;每个组织都必须决定如何单独实施该框架。该框架可以帮助组织解决网络安全问题,因为该框架会影响客户、员工和其他方的隐私。还可以帮助供应商对任务关键设备展开实际工作(例如,软件更新、固件更换、设备维护、翻新和更换)。此外,该框架的结果可作为劳动力开发和演进的目标。

具体而言,实施该框架为化工行业组织提供了一种机制:

•评估并具体描述其当前和有针对性的网络安全态势;

•确定其当前计划和流程中的差距;

•利用持续和可重复的过程,确定改进机会并确定其优先顺序;

•评估实现目标网络安全态势的进展情况;

•证明本组织符合国家公认的最佳实践;

•强调可能超过框架建议做法的任何现行做法;

•以公认的通用语言向内部和外部利益相关者(包括客户、监管机构、投资者和决策者)传达其网络安全态势。

关注《网安知讯》公众号,后台回复关键字”化工框架“获取《化工网络安全框架》中文版

声明:本文来自网安知讯,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。