上周,我描述了现实生活中的SCADA漏洞。我的意图是协助IT安全人员对话与他们的安全预算执行管理。这一周,我将通过识别漏洞缓解步骤继续。
我知道你已经知道了这些步骤。但有时它与管理层讨论非常有用,当你的内部IT安全团队,由第三方的,公正的安全性“专家”的报价建议。所以这里去。
CIP 002-1关键网络资产识别
创建关键SCADA IT资产,包括硬件,软件和服务的中心名单。该列表应包括物理和逻辑SCADA网络图和紧急联系人列表。这些信息应定期更新,并集中提供给所有的人需要知道的基础。列表可以部署在房子的格式一样简单电子数据表或在文档软件包,或者外包给一个文档存储提供商。
CIP 003-1安全管理控制和CIP 007-1系统安全管理
同样创造上述资产的文档,创建一组必须是由一个执行委员会的人签署过高水平的政策。没有迹象-off;没有牙齿。该文件可以是非常短暂和点的形式,与创建行动项目落实政策的一个目标。然后写了一组IT安全程序,从访问和验证控制,也许开始与第三方访问企业网络,然后扩展到IT安全操作,然后给最终用户。由于访问和验证控制包括技术和人员流程,既包括作为政策执行预算的一部分。在我看来,对于中小规模的组织,应在电子表格,其中包括用于记录重要事件的形式创建的策略和程序文件。的过程应建立对IT安全报告其进展情况向执行委员会和执行委员会,以更新安全策略,根据不断变化的业务优先级。瞧,你已经创建了IT安全治理的对话。
CIP 004-1人事及训练
确保您有需要强制执行合规政策和程序所有适用的群体。然后,包括一致性测试,培训和安全意识作为实现的一部分。
CIP 005-1电子安全防线(S)
这里是你的机会,在IT,包括安全操作过程的所有你想要做的事情,但可能没有做的时间或周期(翻译预算):正在进行定期自我发起的内部或外部脆弱性评估;结构化的实施补丁/修改,包括和过程:在实施之前测试更新,测试,以确保所有预期更新已成功实施;实现健壮的日志保留/恢复过程;与当前的贴剂/修订级别脆弱性评估的相关性;在房子或防火墙规则来检查不一致的第三方评价;硬化SCADA网络架构的审查;执行,并准备在持续调整误报出来了网络和主机的IDS;正在进行的事件日志的审查;与防火墙规则/ IDS规则/脆弱性评估/防病毒或防垃圾邮件过滤器的事件日志定期或正在进行的相关性。
关键网络资产的CIP 006-1物理安全
同样,这里是你的机会来逐项进行IT物理安全程序的预算要求;位于现场安全接线盒;落实接线盒或远程站点物理安全警报(参加和无人值守)领域,并在在SCADA操作周长门;游客伴奏或挑战的政策。
CIP 008-1事故报告和响应计划和CIP 009-1恢复计划的关键网络资产
下面是同时建立IT与其它部门的安全工作关系到轻推到生存的IT安全治理过程的机会。要求执行预算;IT安全事件的识别,报告和应急预案;创建或测试过时DRP和BCP。
我们无法承受这一切!或者,我们可以?
我认为你可以,即使在有限的预算。
关键是要对易于实施的重点写的文档。保持原始文件简短,在一个格式,易于更新,并保持更新。一旦你已经证明了最初的政策,过程,和其他文档能够成功地满足目标而言,那么你可以看看预算,扩大范围。我已经看到这种做法的工作顺利很多次。
至于技术实施的预算,我已经看到了创建具有较小的年度预算的多年计划取得圆满成功。只要你可以达到每年的目标,你获得连年预算的过程中提高的机会证明成功。没有成功,事事顺利。
有一个安全的一周。罗恩Lepofsky CISSP,CISMwww.ere-security.ca