ISO 27019:n ymmärtäminen

Tietoturvan hallinnan hallintalaitteet energialaitosten prosessiohjauksille

Varaa demo

työkaverit,työ,moderni,studio.tuotanto,johtajat,tiimi,työ,uusi,projekti.nuori,yritys

Mikä on ISO/IEC 27019:2017?

ISO/IEC 27019 on joukko ohjaavia periaatteita energialaitossektorilla käytettävien prosessinohjausjärjestelmien (PCS) tietoturvan hallintaan.

Asiakirjan päätavoitteena on laajentaa ISO/IEC:tä automaatioteknologiaan ja PCS-alueeseen. Tämä on tarjota erityinen ja standardoitu Tietoturvan hallintajärjestelmä (ISMS) suojella laitteisto- ja ohjelmistoteknologiajärjestelmiä, jotka vastaavat öljyn, kaasun, sähkön ja lämmön tuotannon, siirron, varastoinnin ja jakelun valvonnasta ja ohjaamisesta muiden energialaitosten ohella.

Tietojen valvonta energialaitosteollisuudelle

Maailmanlaajuinen energiateollisuus on ollut vastuussa joistakin kataklysmistisimmistä katastrofeista, joita ihmiskunta on kokenut.

Esimerkkejä energiavarojen tuhoisasta väärinkäytöstä ovat:

Ei ole yllätys, että energialaitosteollisuudessa on vahva turvallisuuskontrollikulttuuri. Tämä eetos on peräisin tietoisuus pitkän aikavälin vaikutuksista jotkin toiminnot ja ohjelmat menevät pieleen.

Energiateollisuus on yksi suurimmista automaation hyötyjistä. Suurin osa käytetyistä järjestelmistä on vahvasti riippuvainen elektronisista PCS:istä, kuten:

  • Teollinen esineiden internet (IIoT)
  • Ohjelmoitavat logiikkaohjaimet (PLC)
  • Valvontavalvonta ja tiedonhankinta (SCDA)
  • Teolliset ohjausjärjestelmät (ICS)

Yhdessä muiden asiaan liittyvien menettelyjen ja verkostojen kanssa nämä vastaavat:

Lyhyesti sanottuna käytettävien elektronisten prosessinohjausjärjestelmien vika tai häiriö aiheuttaa koko järjestelmän kaatumisen.

Esimerkiksi geotermisen voimalaitoksen monitorin vikaantuminen johtaa ylikuumenemiseen ja pahimmillaan tuhoisaan räjähdykseen.

Kun taas ISO / IEC 27002 Standardit kuvaavat tärkeitä ohjeita tietoturvaomaisuuden suojan ohjaamiseksi, sen soveltamisala ei sukelta tarpeeksi syvälle energialaitosprosessien suojaamiseen.

Tästä syystä ISO/IEC 27019:2017 on olemassa.

ISO 27019:n historia

ISO ja IEC julkaisivat ensimmäisen kerran ISO 27019:n vuonna 2013 teknisenä raportina (TR), joka tehtiin DIN-standardin nopealla seurannalla. Vuonna 2017 standardista julkaistiin toinen painos, mikä teki siitä täydellisen kansainvälisen standardin, joka on sopusoinnussa vuoden 2013 version kanssa. ISO 27001 ja ISO 27002. Joten miksi ISO 27019 on niin tärkeä?

ISMS.online on a
yhden luukun ratkaisu, joka nopeuttaa toteutumistamme radikaalisti.

Evan Harris
Perustaja & COO, Peppy

Varaa esittelysi

ISMS.onlinen avulla versionhallintaan, käytäntöjen hyväksymiseen ja käytäntöjen jakamiseen liittyvät haasteet ovat menneisyyttä.
Dean Fields
IT-johtaja NHS:n ammattilaiset
100 % käyttäjistämme läpäisee sertifioinnin ensimmäistä kertaa
Varaa esittelysi

Mitkä ovat ISO 27019: n edut?

Ilman energiateollisuutta meillä ei olisi nykyistä teknologista edistystä. Alan ytimessä ovat elektroniset prosessinohjausjärjestelmät ja järjestelmän toimivuudesta vastaavat verkot, joita ilman syntyisi massiivisia ja jopa katastrofaalisia vikoja. Otetaan esimerkiksi sähköverkko. Rajoitetun suuren mittakaavan energian varastoinnin vuoksi sähköenergian tehokas jakautuminen kotitalous- ja teollisuuskäyttöön riippuu tuotetun ja kulutetun energian tasapainosta.

Jos käytetyt PCS:t pettäisivät, energiavirtaa ei pystyttäisi säätelemään reaaliajassa, ja seurauksena olisi katkoksia ja ylikuormituksia, jotka johtaisivat katkoksiin virranjakelussa. Jos minkä tahansa maan sähköinfrastruktuuri romahtaa, lähes kaikki muut sektorit seuraisivat esimerkkiä, koska useimmat niistä ovat riippuvaisia ​​automaatiotekniikasta.

Saat selkeän käsityksen ISO/IEC 27019:n tärkeydestä, kun otat huomioon uhat, haavoittuvuudet ja uhkien vaikutukset energiayhtiöihin.

Energiayhtiöitä uhkaavat uhat

Joitakin energiavaroihin kohdistuvia uhkia ovat luonnonkatastrofit ja tahalliset sabotaasit yhteiskuntainsinöörien, Advanced Persistent Threats (APT), hakkereiden, sisäpiiriläisten, terroristien, ulkomaiden ja painostusryhmien taholta. On muitakin arkipäiväisempiä uhkia, kuten sähkömekaaniset viat, kilpailijat, onnettomuudet, haittaohjelmat jne.

Energiateollisuuden haavoittuvuudet

Prosesseissa ja järjestelmissä on joitain väistämättömiä haavoittuvuuksia. Esimerkki tällaisista heikkouksista on prosessinohjausjärjestelmät, joihin pääsee käsiksi Internetistä ja muista verkoista, jotka ovat yhteydessä niihin tai jotka ovat alttiina niille. Tämä tekee niistä haavoittuvia tietynlaisille kyberuhkille, mukaan lukien ne, jotka johtuvat ohjelmistovirheistä ja suunnitteluvirheistä, jotka johtuvat huonosta suunnittelusta, hallinnasta tai ylläpidosta. Nämä haavoittuvuudet ovat erityisen yleisiä, koska suoritetaan a tietoturvakorjaus turvallisuuskriittisiin järjestelmiin voisi olla haastavaa.

Uhkien vaikutus energiavaroihin

Energialaitosten epäonnistumisen seuraukset tunnetaan hyvin. Joitakin vakavimpia vaikutuksia ovat:

  • Liiketoimintaa koskevien ja turvallisuuden kannalta kriittisten tietojen puute tai vaarantaminen, mikä puolestaan ​​aiheuttaisi katkoksia sähköntoimituksissa,
  • Toimitus, joka on määrittelyn ulkopuolella; kuten ali-/ylijännite.
  • Katastrofaalisen tai suuren määrän energia- ja ympäristöonnettomuuksien, kuten kemikaalien ja öljyvuotojen, vapautuminen.

Sekä julkisten että yksityisten organisaatioiden strateginen merkitys energialaitosteollisuudessa on johtanut siihen, että ne on luokiteltu osaksi kriittisiä kansallisia infrastruktuureja. Tästä syystä kaikkien ISO/IEC 27019 -standardin piiriin kuuluvien organisaatioiden tulee ryhtyä kaikkiin mahdollisiin toimenpiteisiin standardin täytäntöönpanemiseksi käyttääkseen prosessinohjausjärjestelmiään.

Suhde muihin standardeihin

ISO on kehittänyt ISO/IEC 27019:n varmistaakseen, että se noudattaa ISO/IEC 27001:n ja ISO 27002:n kieltä. Standardin luominen tällä tavalla varmistaa, että voit ottaa käyttöön ISO 27001 ja ISO 27002 kansainvälisesti hyväksyttynä ohjausjärjestelmänä energialaitosteollisuudessa käytettävien PCS:ien turvaamiseksi.

ISO 27019 ja ISO 27002

ISO/IEC 27019 noudattaa tiiviisti standardin IEC 27002 rakennetta, ja tarvittaessa annetaan lisäohjeita. Käyttöönoton aikana energialaitosalan organisaation on käytettävä ISO/IEC 27019:ää yhdessä ISO/IEC 27002:n kanssa, koska edellinen ei sisällä standardin 27002 sisältöä.

ISO 27019 ja ISO/IEC 27001

ISO 27019:n käyttöönotossa organisaatioiden tulee myös viitata ISO/IEC 27001 -standardiin täyttääkseen ISMS:n laajemman kontekstin. Järjestelmäsi tulee sisältää prosessiohjauksen lisäksi myös muut yleiset kaupalliset verkot, käytetyt järjestelmät ja prosessit, joita voidaan soveltaa energiateollisuuteen.

Muut ISO-standardit

Sinun tulee myös harkita muita standardeja, kuten ISO / IEC 27005 otettaessa käyttöön ISO 27019 -standardia energialaitosteollisuuden käyttämien tietoriskien hallintakäytäntöjen huomioon ottamiseksi.

Saavuta ensimmäinen ISO 27001 -standardisi

Lataa ilmainen opas nopeaan ja kestävään sertifiointiin



Katso yksinkertainen, tehokas alustamme toiminnassa
Lue lisää

Kuka voi ottaa käyttöön ISO 27019:n?

Seuraavat ovat erityisalueita, joilla ISO/IEC 27019:2017 -valvonnan käyttöönotto on ratkaisevan tärkeää kriittisen energiainfrastruktuurin suojelemiseksi ja turvallisuuden takaamiseksi:

  1. Keskus- ja hajautettu teknologia toimintaprosessien hallintaan, valvontaan ja automatisointiin sekä käytettäviin tietojärjestelmiin, kuten parametrointiin ja niitä mahdollistaviin ohjelmointiin.
  2. Automaatiokomponentit ja digitaaliset ohjaimet, kuten ohjelmoitava logiikkaohjain (PLC) sekä toimilaiteelementit ja digitaaliset anturit.
  3. Kaikki muut prosessiohjauksessa käytettävät tukitietojärjestelmät, kuten datan visualisointia täydentävät ja ne osallistuu seurantaan, valvontaan, historioitsijoiden kirjaamiseen, tietojen arkistointiin, dokumentointiin ja raportointiin.
  4. Prosessinohjauksen alalla käytettävät viestintätekniikat, kuten telemetria, verkot, kauko-ohjaustekniikka ja kauko-ohjaussovellukset.
  5. Advanced Metering Infrastructure (AMI) -komponentit, kuten älykkäät mittarit.
  6. Mittauslaitteet, kuten päästöarvoissa käytetyt.
  7. Digitaaliset suoja- ja turvajärjestelmät, kuten turvalogiikkapiirit, suojareleet ja hätäsäätömekanismit.
  8. Energianhallintajärjestelmät, kuten sähkölatausinfrastruktuuri, hajautetut energiavarat (DER), teollisuusasiakkaiden asennukset, asuinrakennukset ja jopa yksityiset kotitaloudet.
  9. Älyverkkoympäristön hajautetut komponentit kuten kotitalouksissa, energiaverkoissa, teollisuusasiakkaiden laitoksissa ja asuinrakennuksissa.
  10. Kaikki yllä mainittuihin järjestelmiin asennetut laiteohjelmistot, sovellukset ja ohjelmistot, mukaan lukien käyttökatkoksen hallintajärjestelmät (OMS), jakelunhallintajärjestelmät (DMS) jne.
  11. Kaikki tilat, joissa yllä mainitut järjestelmät ja laitteet sijaitsevat.
  12. Yllä mainittujen järjestelmien etähuoltojärjestelmät.

Kuinka ottaa ISO 27019 käyttöön

Suorituksen jälkeen a turvallisuusarviointi ja turvallisuusriskien selvittäminen tavoitteet ja päätökset siitä, miten tunnistettua riskiä käsitellään, on valittava ja toteutettava tarvittava valvonta sen varmistamiseksi, että riskit pienennetään hyväksyttävälle tasolle.

Kattavan ISMS:n tarjoamien ohjausten lisäksi ISO 27019 tarjoaa lisätoimialakohtaisia ​​toimenpiteitä ja apua energialaitosteollisuuden käyttämän prosessin ohjauksen avuksi ottaen huomioon ympäristön erityisvaatimukset. Tarvittaessa organisaatio voi ryhtyä lisätoimenpiteisiin yksittäisten vaatimusten täyttämiseksi.

Valvonta, joista organisaatio päättää, riippuu:

  • Organisaation riskienhallintatapa ja niiden riskien hyväksyminen
  • Muut asiaankuuluvat kansainväliset ja kansalliset lait, määräykset ja oikeudelliset määräykset

Energialaitosten tietoturva

Standardissa ISO/IEC 27002:2013 esitettyjen toimenpiteiden ja turvallisuusohjeiden lisäksi energiantoimittajien ja energialaitosten prosessinohjausjärjestelmillä on lisävaatimuksia. Verrattuna muihin perinteisiin ICT-ympäristöihin, kuten energiakaupan järjestelmiin ja toimistotietotekniikkaan, energialaitossektorilla on perustavanlaatuisia eroja PCS:n toiminnassa, kehittämisessä, ylläpidossa, korjauksessa ja toimintaympäristössä.

Koska jotkin standardissa ISO/IEC 27019:2017 kuvatuista prosessinohjaustekniikoista kuvaavat joidenkin kriittisten infrastruktuurien olennaisia ​​osia, ne ovat siksi välttämättömiä tällaisten infrastruktuurien luotettavan ja turvallisen toiminnan varmistamiseksi.

Kun ottaa huomioon niiden toiminnan ja suunnittelun, energialaitossektorin PCS:t kannattaa pitää tiedonkäsittelyjärjestelminä. Tietoa fyysisten prosessien tilasta seurataan antureiden avulla. Nämä tiedot käsitellään sitten ja ohjauslähdöt luodaan säädettäviä toimintoja varten toimilaitteiden avulla. Vaikka prosessi on automaattinen, käyttöhenkilöstö voi tarvittaessa puuttua asiaan manuaalisesti.

Koska tieto- ja tietojenkäsittelyjärjestelmät ovat olennainen osa energiayhtiöiden toimintaa, organisaatioiden on muiden organisaatioyksiköiden tavoin ryhdyttävä tarvittaviin suojatoimenpiteisiin tietonsa turvaamiseksi.

Energialaitosten prosessinohjausympäristöt käyttävät yhä enemmän laitteisto- ja ohjelmistokomponentteja. Esimerkki tästä on ohjelmoitava logiikka, joka perustuu standardiin ICT-tekniikkaan. Lukuisat yhteydet muodostavat myös monimutkaisia ​​järjestelmiä. Auttaisi jos harkitsisit näitä uusia riskejä arvioinnin aikana ja tarvittavat toimenpiteet sen korjaamiseksi.

Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.

Peter Risdon
CISO, Viital

Varaa esittelysi

Etkö näe etsimääsi?
Voimme rakentaa sen helposti.
Ota yhteyttä

Kuinka pääset alkuun ISO 27019:n kanssa?

27019:n käytön aloittamiseksi energialaitosten organisaatioiden tulee tehdä riskiarviointi järjestelmistään, joita käytetään, jotta he tietävät uhat, haavoittuvuudet ja riskien mahdolliset vaikutukset. Energiayhtiöorganisaatioiden käyttämän laitteiston ja ohjelmiston automaatiotekniikan mukaan niiden tulisi valita asianmukaiset ohjeet ja hallintalaitteet järjestelmiensä turvallisuuden varmistamiseksi.

Tietoturvaohjelmistojen ja -työkalujen saatavuus helpottaa organisaatioiden ISO 27019 -standardin noudattamisen vertailua. Tällaisten työkalujen avulla energialaitosteollisuuden käyttämän tietoturvan hallinnan tai prosessinhallinnan parissa työskentelevät saavat selkeämmän kuvan siitä, miten heidän käytännöt ja säätimet verrattuna asetettuihin ISMS-vaatimuksiin. Kehittämisen tarpeessa olevien alueiden tunteminen mahdollistaa asiaankuuluvien ISO 27019 -standardien mukaisten kontrollien soveltamisen.

ISO 27019 -sertifikaatti

ISO-sertifioinnin saamiseksi organisaation tulee noudattaa erityistä menettelyä varmistaakseen, että kaikki riskit liittyvät tiettyyn liiketoimintaympäristöön.

Ensimmäinen askel sertifioinnin saamiseksi on tunnistaa ydinliiketoimintaprosessi ja dokumentoida se asianomaisille organisaation jäsenille. Asiakirjoissa tulee mainita menettelyt ja toimenpiteet, joihin on ryhdytty suojata erilaisia ​​tietojärjestelmiä ja automaatiotekniikkaa.

Seuraava askel on toteuttaa dokumentaatiossa kuvatut menettelyt ja varmistaa, että kaikki työntekijät ovat päteviä suorittamaan heiltä vaadittavat tehtävät. Testausten, tarkastusten ja ennaltaehkäisevien toimien huomioon ottamiseksi tulisi olla tehokas raportointijärjestelmä, korjaavat toimenpiteet, tilastotekniikat, johdon arviointikokoukset, tavoitteiden seuranta jne.

Näiden prosessien tehokkuuden pitäisi silloin olla seurataan mitattavissa olevien tietojen avulla missä mahdollista. Energialaitosten organisaatioiden tulisi myös suorittaa tarvittava tarkistus ja järjestelmätarkastus.

Nämä auditoinnit varmistavat, että käytät kaikkia ISO 27019 -standardin ehdottamia valvontatoimia ja ohjeita oikein. Järjestelmätarkastuksissa tulisi:

  • Tunnista ja raportoi johtamisjärjestelmän vahvuudet ja heikkoudet
  • Toteuta tarvittavat korjaavat tai ehkäisevät toimenpiteet

Viimeinen vaihe energialaitosalan organisaatioille, jotka haluavat saada ISO/IEC 27019 -sertifikaatin, on valita riippumaton auditointielin, joka käsittelee ulkoista rekisteröintiä.

Hallintojärjestelmän asiakirjat on tämän jälkeen toimitettava tarkistettavaksi sen varmistamiseksi, että ne ovat sovellettavien standardien mukaisia.

ISO 27019 vaatimukset

Täyttää ISO/IEC 2019, energialaitos organisaatioiden tulee tunnistaa turvallisuusvaatimukset perustuu heidän automaatioteknologiaansa. Nämä vaatimukset ovat peräisin pääasiassa:

  1. Organisaation riskinarviointi tuloksia. Niiden tulee ottaa huomioon organisaation yleiset liiketoimintatavoitteet ja strategiat. Riskitapahtumat ja -lähteet sekä tietyn riskin esiintymisen todennäköisyys ja mahdolliset seuraukset.
  2. Muut vaatimukset johtuvat ohjesäännöistä ja lainsäädännöstä, sopimuksista ja määräyksistä sekä muista sosiokulttuurisista ehdoista, jotka organisaation on täytettävä. Joitakin erityisiä esimerkkejä ovat luotettavan, varman ja tehokkaan energiansaannin turvaaminen sekä vapautettujen energiamarkkinoiden vaatimusten täyttäminen.
  3. Liiketoiminnalle asetetut erityiset vaatimukset, periaatteet ja tavoitteet tietojen käsittely sellaisena kuin yritys on kehittänyt toimintansa tukemiseksi.

Energiayhtiöorganisaatioiden tulee varmistaa, että kaikki PCS:n turvallisuusvaatimukset on analysoitu kunnolla ja niiden tietoturvapolitiikassa. Joitakin käytössä olevia huomioita ovat mm.

  • Energiavirran rajoitus
  • Fyysisen loukkaantumisen vaara
  • Vaikutukset tietojen yksityisyyteen
  • Taloudelliset vaikutukset

Varaa esittelysi

Katso kuinka yksinkertaista
se on
ISMS.online

Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.

Varaa esittelysi

Katso yksinkertainen, tehokas alustamme toiminnassa
Varaa esittelysi

Tutustu muihin ISO 27k -perheen standardeihin

  • 1ISO 27000 -perhe
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27018

ISO 27038 »

100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa

Aloita matka tänään
Katso, kuinka voimme auttaa sinua

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja