2022年11月1日,GB/T 41400-2022 《信息安全技术 工业控制系统信息安全防护能力成熟度模型》(以下简称“工业控制系统信息安全防护能力成熟度模型”)即将正式实施,本文将详细阐述如何对工业企业进行安全防护能力评估,根据新形势下工控安全防护重点,如何进行工业企业工控安全建设。

一、标准编制背景

全国信息安全标准化技术委员会为有效贯彻落实《国务院关于深化“工业互联网+先进制造业”发展工业互联网的制定意见》有关要求,推进和强化落实工业企业《工业控制系统信息安全防护指南》要求,于2017年下达了国标计划号为20173585-T-469的信息安全国家标准制定项目,又名为《信息安全技术工业控制系统信息安全防护能力评价方法》,参与单位包括中国电子技术标准化研究院、工业和信息化部电子一所以及国家信息技术安全研究中心等单位。为支撑工业控制系统信息安全行业主管部门工作需要,结合工业企业工控系统安全防护实际需求,后又修改名称为《信息安全技术工业控制系统信息安全防护能力成熟度模型》,该成熟度模型于2021年5月9日,经全国信息安全标准技术委员会(以下简称“信安标委”)81家委员单位投票,全部赞成标准,最终形成信安标委报批稿;2022年4月15日,由国家标准委员会正式发布GB/T 41400-2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》,标准将于2022年11月1日正式实施,整个标准研制过程发展历程,见图1所示:

图1 标准研制过程

二、相关术语和定义

表1.成熟度模型术语和定义

“3个术语”的关系描述:GP给出了每一个级别的工业控制系统信息安全防护PA和BP应达到的程度,给出了划分工业控制系统信息安全防护PA和BP等级的原则和方法论,形成PA的等级要求。组织在每个PA的能力成熟度划分为5级,对每个等级下组织应具备的能力要求,从4个能力要素提出具体的BP。

三、标准对象范围

标准以工业企业作为实施对象,给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。该标准文件适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设以及对组织工业控制系统信息安全防护能力成熟度等级进行核验。

四、标准总体框架

图2 工业控制系统信息安全防护能力成熟度模型架构

工业控制系统信息安全防护能力成熟度模型的架构由以下三个维度构成:

  • 能力要素维度:组织工业控制系统信息安全防护能力要素包括机构建设、制度流程、技术工具和人员能力;

  • 能力成熟度等级维度:组织工业控制系统信息安全防护能力成熟度等级划分为五级,具体包括:1级是基础建设级,2级是规范防护级,3级是集成管控级,4级是综合协同级,5级是智能优化级。

  • 能力建设过程维度:组织工业控制系统信息安全防护能力建设过程包括核心保护对象安全和通用安全:

(1)核心保护对象安全包括:工业设备安全、工业主机安全、工业网络边界安全、工业控制软件安全、工业数据安全,5个过程类;

(2)通用安全包括:安全规划与架构、人员管理与培训、物理与环境安全、监测预警与应急响应、供应链安全保障,5个过程类。

4.1 能力要素维度

能力要素是指通过对组织工业控制系统信息安全防护过程应具备安全能力的量化,进而核验每项安全过程的实现能力。组织工业控制系统信息安全防护能力要素包含“2个层面、4项内容”:

4.2 能力成熟度等级维度

组织工业控制系统信息安全防护能力成熟度等级共分为5级(见图3),自低向高分别是基础建设级、规范防护级、集成管控级、综合协同级、智能优化级。

图3 工业控制系统信息安全防护能力成熟度等级(5级)架构图

成熟度模型的5个等级形成了一个“阶梯式”的进化框架,等级1是起点,任何准备按照成熟度模型体系进化的工业企业都自然处于这个起点上,并通过他向等级2迈进。除等级1外,每一级都设定有一组目标,如果达到了这组目标,则表明达到了这个成熟度级别,则可以向更高的级别迈进。为了更加深入的了解成熟度模型,接下来针对每个等级的目标要求解读如下:

1级-基础建设:在这一等级上,组织的工业控制系统信息安全防护PA可被标识,初步建立了工业控制系统信息安全管理制度,但主要是基于组织的特定业务场景和知识经验水平,未形成规范化、流程化的工作方法;

2级-规范防护:在这一等级上,组织的工业控制系统信息安全防护PA管理符合标准的规定,相关BP的执行是规范化的,并可对实际情况进行过程验证,与等级1“基础建设”主要区别在于BP执行过程被规范地计划和管理;

3级-集成管控:在这一等级上,组织对工业控制系统设备、主机、系统、网络、数据等方面进行集中统一管理,并形成体系化制度。与等级2“规范防护”的主要区别在于使用集成化工具来策划和管理工业控制系统信息安全;

4级-综合协同:在这一等级上,组织统筹考虑不同产线、厂区、工厂及产业链上下游相关单位的信息安全风险需求,建立多级协调的安全防护体系。与等级3“集成管控”的主要区别在于执行过程的综合决策和协同防护;

5级-智能优化:在这个等级上,组织将已有安全防护设备、系统、制度体系进行深度融合,形成具有自决策、自进化能力的安全防护体系。与等级4“综合协同”的主要区别在于执行过程的智能化和演进。

4.3 能力建设过程维度

工控安全防护PA体系分为核心保护对象安全和通用安全两大部分,共包含40个PA。其中核心保护对象包括5个过程类,共计20个过程域(PA),188个基本实践(BP);通用安全包括5个过程类,共计20个过程域(PA),177个基本实践(BP),共计365个基本实践(BP)。工业控制系统安全防护PA体系架构图如4所示,各个能力等级中基础实践BP要求如图5所示:

图4工业控制系统安全防护20*PA体系架构图

图5 各个能力等级基础实践BP要求

级别1:基础建设,共45个实践BP。

级别2:规范防护,共167(45+122)个实践BP;在级别1基础上,增加了122个实践BP。

级别3:集成管控,共259(167+92)个实践BP;在级别2基础上,增加了92个实践BP。

级别4:综合协同,共320(259+61)个实践BP;在级别3基础上,增加了61个实践BP。

级别5:智能优化,共365(320+45)个实践BP;在级别4基础上,增加了45个实践BP。

备注:

(1)PA编码规则

工业控制系统信息安全防护PA编码规则如下:

a) 每个PA 有对应的编号,分别采用递增的数值 01,02,…,表示;

b) 每个PA 由若干BP 组成,BP用BP.XX.XX 进行编号,第一组编码表示所在PA 的序号,第二组编码表示具体BP 的序号,具体BP 的序号采用递增的数值 01,02,…,表示;

c) 对于每个PA的每个级别,组织需同时实现该级别和所有低于该级别的BP,才能达到该级别的能力水平。

(2)关系描述

能力成熟度等级、PA、BP、GP、能力要素的关系如下:

a) 组织在每个PA的能力成熟度划分为5级,对每个等级下组织应具备的能力要求,从4个能力要素提出具体的BP;

b) 并非每个PA的能力成熟度等级都包含完整的4个能力要素;

c) 对于每个PA,高等级的能力要求应不低于所有低等级能力要求,可依据GB/T 32919—2016提供的方法对某一等级能力要求进行裁剪;

d) 通用实践使用GP进行编号,第一位数字表示等级,第二位数字表示GP的序号;GP给出了每一个级别的工业控制系统信息安全防护PA和BP应达到的程度,给出了划分工业控制系统信息安全防护PA和BP等级的原则和方法论,形成PA的等级要求。如GP2.1表示等级2(规范防护级)的第一个GP。

注:针对某一具体PA,如5级的能力要求中未涉及某一能力要素的内容,则默认应实现在4级的能力要求中该能力要素的内容,以此类推。

4.4 能力程度等级核验流程

工业控制系统信息安全防护能力成熟度等级核验流程主要包括:组建核验团队、制定核验计划、开展现场核验、形成核验结论,共四个部分(见图6),其中实线框为自对标自诊断,虚线框为第三方核验的新增内容,工业组织可依据核验结论开展工业控制系统信息安全防护改进等工作。

图6 能力成熟度等级核验流程

工业控制系统信息安全防护能力成熟度等级核验方法采用“总体达标,单项合格”的思想开展,具体内容如下:

a)为保证效果核验结果的公正和客观,采用基于证据的方式,须有证据支持每条细则的核验结果,证据包括:负责人谈话记录、制度文件、设备运行记录、现场核查结果和测试结果等;

b)工业控制系统信息安全防护能力提升通过渐进的方式实现,即组织在达到低能力成熟度要求基础上,开展高能力成熟度等级的核验;

c)工业控制系统信息安全防护能力成熟度模型中各BP的权重相同,总体通过率需高于80%,单项通过率需高于40%。即,若假设某工业控制系统信息安全防护能力成熟度等级中,第1至10个过程类中组织适用的BP数量为N1,N2,…,N10,各过程类中组织符合的BP数量为M1,M2,…,M10,则当以下2个条件同时满足时,组织工业控制系统信息安全防护能力达到相应的成熟度等级:

1)(M1+M2+…+M10)/(N1+N2+…+N10)>0.8;

2) Mi/Ni>0.4(0

五、能力成熟度模型推荐使用步骤

首先,使用模型时,组织根据对工业控制系统信息安全防护能力成熟度等级的定义,并结合业务实际情况,选择拟达到的工业控制系统信息安全防护能力成熟度等级;

其次,在确定拟达到的能力成熟度等级后,组织根据工业控制系统核心保护对象所覆盖的业务场景,选取适用的工业控制系统信息安全防护过程域(如:组织A不存在远程访问的情况,则远程访问安全的过程域从核验范围中删除) ;

最后,组织基于对能力成熟度模型内容的理解,识别工业控制系统信息安全防护能力现状并分析与核验等级之间的差异,在此基础上制定工业控制系统信息安全防护能力提升计划。而伴随着组织业务的发展变化,组织可定期复核、明确适合的能力成熟度等级,逐步提升工业控制系统信息安全防护能力。

能力成熟度模型推荐采用“5步法”的闭环流程下图(图7):

图7 能力成熟度模型推荐使用步骤

六、预期实施成效

该标准将《工业控制系统信息安全防护指南》的11项防护要求细化为包括10个过程类40过程域(PA)365个基本实践(BP),给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。标准围绕落实指南等相关政策文件要求,根据新形势下工控安全防护重点,从工控安全防护设计、建设、运维全生命周期提出工控安全防护要求;该标准的落地实施与应用,将有助于指导工业企业逐步提升自身工控安全防护能力建设,同时该标准的推广实行,可有效支撑工控安全行业主管部门,全面了解当前我国工业企业工控安全防护能力水平,为工控安全管理工作提供标准化、可视化支撑。(苗松琳

声明:本文来自威努特工控安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。