同时考虑到自动化过程控制系统和
Posted: Mon Feb 17, 2025 7:08 am
还需要修改基本威胁模型和识别当前威胁的方法,所使用的技术的具体情况。 “换句话说,还有很多工作要做。我们的外国同事几十年来一直致力于此,他们的经验和开发的文件值得借鉴,”德米特里·亚鲁舍夫斯基说。
肯定需要的是更详细的文件和指南,详细描述如何满足监管机构的要求。 “保护自动化过程控制系统的课题要求项目实施者必须有广阔的视野,监管机构对组织保护的要求描述得越详细,实施起来就越容易”,帕维尔·科罗斯捷列夫充满信心。
此外, FSTEC第 31 号命令是一份高级文件,需要制定行业标准来考虑到特定行业的自动化过程控制系统的独特性。叶夫根尼·德鲁日宁表示,目前已经有许多行业特定标准,但这些标准并非专门针对行业,而是针对企业(如俄罗斯天然气工业股份公司或FGC UES)的特定需求而制定的:“通过创建包括系统制造商、运营商、集成商和信息安全专家在内的行业工作 阿曼电报数据 组,可以相对轻松地解决这个问题。”
企业反应
由于政府监管才刚刚起步,企业主并不急于实施严肃的信息安全项目来保护自动化过程控制系统,因为他们不明白这种投资能给他们带来什么好处。部分原因是评估信息安全事件造成的潜在财务损失对于风险管理来说仍然是新事物,并且不是信息安全服务的责任。因此,对自动化过程控制系统可能产生的影响的风险被严重低估了。例如,人们有一个典型的误解,认为这样的系统与外界隔绝,因此是安全的。如果不清楚风险,就很难证明有必要在工业设施中启动复杂且昂贵的信息安全项目。
因此,大多数企业都选择阻力最小、成本最低的路径——例如,通过实施组织和补偿措施来提高系统的安全性。这已经很好了。德米特里·达伦斯基表示,实践表明,这些措施可以显著提高系统安全水平。
毕竟很多企业都存在着严重的组织问题。例如,我们经常不清楚自动化过程控制系统的安全属于谁的职责范围,以及谁应该解决这些问题。有些部门会指责其他部门,最糟糕的情况是,根本没有人处理这个问题。因此,技术人员使用外部承包商根据他们对安全的理解构建的自动化控制系统,安全专家确保企业物理边界和企业网络中信息的安全。
肯定需要的是更详细的文件和指南,详细描述如何满足监管机构的要求。 “保护自动化过程控制系统的课题要求项目实施者必须有广阔的视野,监管机构对组织保护的要求描述得越详细,实施起来就越容易”,帕维尔·科罗斯捷列夫充满信心。
此外, FSTEC第 31 号命令是一份高级文件,需要制定行业标准来考虑到特定行业的自动化过程控制系统的独特性。叶夫根尼·德鲁日宁表示,目前已经有许多行业特定标准,但这些标准并非专门针对行业,而是针对企业(如俄罗斯天然气工业股份公司或FGC UES)的特定需求而制定的:“通过创建包括系统制造商、运营商、集成商和信息安全专家在内的行业工作 阿曼电报数据 组,可以相对轻松地解决这个问题。”
企业反应
由于政府监管才刚刚起步,企业主并不急于实施严肃的信息安全项目来保护自动化过程控制系统,因为他们不明白这种投资能给他们带来什么好处。部分原因是评估信息安全事件造成的潜在财务损失对于风险管理来说仍然是新事物,并且不是信息安全服务的责任。因此,对自动化过程控制系统可能产生的影响的风险被严重低估了。例如,人们有一个典型的误解,认为这样的系统与外界隔绝,因此是安全的。如果不清楚风险,就很难证明有必要在工业设施中启动复杂且昂贵的信息安全项目。
因此,大多数企业都选择阻力最小、成本最低的路径——例如,通过实施组织和补偿措施来提高系统的安全性。这已经很好了。德米特里·达伦斯基表示,实践表明,这些措施可以显著提高系统安全水平。
毕竟很多企业都存在着严重的组织问题。例如,我们经常不清楚自动化过程控制系统的安全属于谁的职责范围,以及谁应该解决这些问题。有些部门会指责其他部门,最糟糕的情况是,根本没有人处理这个问题。因此,技术人员使用外部承包商根据他们对安全的理解构建的自动化控制系统,安全专家确保企业物理边界和企业网络中信息的安全。