Săptămâna IV Sarcini planificate: Cercetarea cadrului de conformitate aplicabil infrastructurilor informatice critice
Activităţi desfăşurate, observaţii personale
Pe parcursul celei de a patra săptămâni, a fost analizat cadrul general de conformitate a securității informațiilor, adică standardele de securitate ce pot fi aplicate de organizații în privința protecției infrastructurilor critice. Astfel au fost analizate următoarele standarde: 1. ISO:27001 care este un cadru de guvernanță care specifică cerințele pentru gestionarea securității sistemelor informatice. Se bazează pe conceptul de gestionare a riscurilor și pe un ciclu continuu de evaluare a riscurilor, nu și reevaluarea tratamentului. Prin proiectarea unui cadru generic, suficient de flexibil pentru a fi aplicabil organizațiilor de orice dimensiune și fel. 2. ISO / IEC 15408 - bine stabilite în sectorul militar - au fost dezvoltate pentru a se asigura că procesul de specificare, dezvoltare și implementare a produselor de securitate se desfășoară într-un mod responsabil. 3. NIST 800-53 este un cadru de evaluare a riscurilor dezvoltat de NIST - o agenție federală, deci o parte a ramurii executive - care vizează entitățile guvernamentale federale și contractanții acestora. 4. NIST Internal or Interagency Report (IR) 7628 Guidelines for Smart Grid Cyber Security este un raport pe trei volume publicat de Institutul Național de Standarde și Tehnologie (NIST). Specifică un cadru pentru dezvoltarea strategiilor de securitate cibernetică pentru organizațiile de rețele inteligente. 5. NERC CIP 001-009 este o serie de nouă documente care se aplică tuturor actorilor din sector: coordonatori de fiabilitate, autorități de echilibrare, autorități de schimb, furnizori de servicii de transport, proprietari de transport, operatori de transport, proprietari de generatoare, operatori de generatoare, entități de deservire a sarcinii, fiabilitate regională organizații și NERC în sine. 6. Liniile directoare de securitate și resursele utilizatorilor pentru sistemele de automatizare și control industrial dezvoltate de ANSI (ANSI/ISA99) (o organizație privată), au fost ulterior transmise către IEC sub denumirea de IEC 62443. Aici sunt prezente măsurile de conformitate și considerate fundamentale, astfel încât securitatea sporită poate fi măsurată. 7. IEC 62351 - Managementul sistemelor de alimentare și schimbul de informații asociate - Securitatea datelor și comunicațiilor este un standard dedicat securității cibernetice a comunicațiilor de energie. În mod specific, se adresează protocoalelor de comunicații definite de Comitetul tehnic IEC 57. În urma cercetărilor s-a stabilit că deși standardele contribuie imens la securitatea infrastructurilor critice, există unele limitări de implementare a standardelor. Majoritatea standardelor prezintă metode și principii generale, nu specifice fiecărei infrastructuri critice în parte, ceea ce pune în dificultate aplicarea unor standarde de securitate pentru organizațiile ce dețin diverse infrastructuri informatice critice. Totodată, s-a stabilit că organismele de standardizare cele mai relevante pentru protecția infrastructurilor critice sunt Institutul Național de Standarde și Tehnologie (NIST) și North American Electric Reliability Corporation (NERC).