ISO/IEC 27019 on joukko ohjaavia periaatteita energialaitossektorilla käytettävien prosessinohjausjärjestelmien (PCS) tietoturvan hallintaan.
Asiakirjan päätavoitteena on laajentaa ISO/IEC:tä automaatioteknologiaan ja PCS-alueeseen. Tämä on tarjota erityinen ja standardoitu Tietoturvan hallintajärjestelmä (ISMS) suojella laitteisto- ja ohjelmistoteknologiajärjestelmiä, jotka vastaavat öljyn, kaasun, sähkön ja lämmön tuotannon, siirron, varastoinnin ja jakelun valvonnasta ja ohjaamisesta muiden energialaitosten ohella.
Maailmanlaajuinen energiateollisuus on ollut vastuussa joistakin kataklysmistisimmistä katastrofeista, joita ihmiskunta on kokenut.
Esimerkkejä energiavarojen tuhoisasta väärinkäytöstä ovat:
Ei ole yllätys, että energialaitosteollisuudessa on vahva turvallisuuskontrollikulttuuri. Tämä eetos on peräisin tietoisuus pitkän aikavälin vaikutuksista jotkin toiminnot ja ohjelmat menevät pieleen.
Energiateollisuus on yksi suurimmista automaation hyötyjistä. Suurin osa käytetyistä järjestelmistä on vahvasti riippuvainen elektronisista PCS:istä, kuten:
Yhdessä muiden asiaan liittyvien menettelyjen ja verkostojen kanssa nämä vastaavat:
Lyhyesti sanottuna käytettävien elektronisten prosessinohjausjärjestelmien vika tai häiriö aiheuttaa koko järjestelmän kaatumisen.
Esimerkiksi geotermisen voimalaitoksen monitorin vikaantuminen johtaa ylikuumenemiseen ja pahimmillaan tuhoisaan räjähdykseen.
Kun taas ISO / IEC 27002 Standardit kuvaavat tärkeitä ohjeita tietoturvaomaisuuden suojan ohjaamiseksi, sen soveltamisala ei sukelta tarpeeksi syvälle energialaitosprosessien suojaamiseen.
Tästä syystä ISO/IEC 27019:2017 on olemassa.
ISO ja IEC julkaisivat ensimmäisen kerran ISO 27019:n vuonna 2013 teknisenä raportina (TR), joka tehtiin DIN-standardin nopealla seurannalla. Vuonna 2017 standardista julkaistiin toinen painos, mikä teki siitä täydellisen kansainvälisen standardin, joka on sopusoinnussa vuoden 2013 version kanssa. ISO 27001 ja ISO 27002. Joten miksi ISO 27019 on niin tärkeä?
ISMS.online on a
yhden luukun ratkaisu, joka nopeuttaa toteutumistamme radikaalisti.
ISMS.onlinen avulla versionhallintaan, käytäntöjen hyväksymiseen ja käytäntöjen jakamiseen liittyvät haasteet ovat menneisyyttä.
Ilman energiateollisuutta meillä ei olisi nykyistä teknologista edistystä. Alan ytimessä ovat elektroniset prosessinohjausjärjestelmät ja järjestelmän toimivuudesta vastaavat verkot, joita ilman syntyisi massiivisia ja jopa katastrofaalisia vikoja. Otetaan esimerkiksi sähköverkko. Rajoitetun suuren mittakaavan energian varastoinnin vuoksi sähköenergian tehokas jakautuminen kotitalous- ja teollisuuskäyttöön riippuu tuotetun ja kulutetun energian tasapainosta.
Jos käytetyt PCS:t pettäisivät, energiavirtaa ei pystyttäisi säätelemään reaaliajassa, ja seurauksena olisi katkoksia ja ylikuormituksia, jotka johtaisivat katkoksiin virranjakelussa. Jos minkä tahansa maan sähköinfrastruktuuri romahtaa, lähes kaikki muut sektorit seuraisivat esimerkkiä, koska useimmat niistä ovat riippuvaisia automaatiotekniikasta.
Saat selkeän käsityksen ISO/IEC 27019:n tärkeydestä, kun otat huomioon uhat, haavoittuvuudet ja uhkien vaikutukset energiayhtiöihin.
Energiayhtiöitä uhkaavat uhat
Joitakin energiavaroihin kohdistuvia uhkia ovat luonnonkatastrofit ja tahalliset sabotaasit yhteiskuntainsinöörien, Advanced Persistent Threats (APT), hakkereiden, sisäpiiriläisten, terroristien, ulkomaiden ja painostusryhmien taholta. On muitakin arkipäiväisempiä uhkia, kuten sähkömekaaniset viat, kilpailijat, onnettomuudet, haittaohjelmat jne.
Energiateollisuuden haavoittuvuudet
Prosesseissa ja järjestelmissä on joitain väistämättömiä haavoittuvuuksia. Esimerkki tällaisista heikkouksista on prosessinohjausjärjestelmät, joihin pääsee käsiksi Internetistä ja muista verkoista, jotka ovat yhteydessä niihin tai jotka ovat alttiina niille. Tämä tekee niistä haavoittuvia tietynlaisille kyberuhkille, mukaan lukien ne, jotka johtuvat ohjelmistovirheistä ja suunnitteluvirheistä, jotka johtuvat huonosta suunnittelusta, hallinnasta tai ylläpidosta. Nämä haavoittuvuudet ovat erityisen yleisiä, koska suoritetaan a tietoturvakorjaus turvallisuuskriittisiin järjestelmiin voisi olla haastavaa.
Uhkien vaikutus energiavaroihin
Energialaitosten epäonnistumisen seuraukset tunnetaan hyvin. Joitakin vakavimpia vaikutuksia ovat:
Sekä julkisten että yksityisten organisaatioiden strateginen merkitys energialaitosteollisuudessa on johtanut siihen, että ne on luokiteltu osaksi kriittisiä kansallisia infrastruktuureja. Tästä syystä kaikkien ISO/IEC 27019 -standardin piiriin kuuluvien organisaatioiden tulee ryhtyä kaikkiin mahdollisiin toimenpiteisiin standardin täytäntöönpanemiseksi käyttääkseen prosessinohjausjärjestelmiään.
ISO on kehittänyt ISO/IEC 27019:n varmistaakseen, että se noudattaa ISO/IEC 27001:n ja ISO 27002:n kieltä. Standardin luominen tällä tavalla varmistaa, että voit ottaa käyttöön ISO 27001 ja ISO 27002 kansainvälisesti hyväksyttynä ohjausjärjestelmänä energialaitosteollisuudessa käytettävien PCS:ien turvaamiseksi.
ISO/IEC 27019 noudattaa tiiviisti standardin IEC 27002 rakennetta, ja tarvittaessa annetaan lisäohjeita. Käyttöönoton aikana energialaitosalan organisaation on käytettävä ISO/IEC 27019:ää yhdessä ISO/IEC 27002:n kanssa, koska edellinen ei sisällä standardin 27002 sisältöä.
ISO 27019:n käyttöönotossa organisaatioiden tulee myös viitata ISO/IEC 27001 -standardiin täyttääkseen ISMS:n laajemman kontekstin. Järjestelmäsi tulee sisältää prosessiohjauksen lisäksi myös muut yleiset kaupalliset verkot, käytetyt järjestelmät ja prosessit, joita voidaan soveltaa energiateollisuuteen.
Sinun tulee myös harkita muita standardeja, kuten ISO / IEC 27005 otettaessa käyttöön ISO 27019 -standardia energialaitosteollisuuden käyttämien tietoriskien hallintakäytäntöjen huomioon ottamiseksi.
Lataa ilmainen opas nopeaan ja kestävään sertifiointiin
Tarvitsemme vain muutamia yksityiskohtia, jotta voimme lähettää sinulle sähköpostitse oppaasi ISO 27001 -standardin saavuttamiseksi ensimmäistä kertaa
Lataa ilmainen opas nyt ja jos sinulla on kysyttävää Varaa esittely or Ota yhteyttä . Autamme mielellämme.
Seuraavat ovat erityisalueita, joilla ISO/IEC 27019:2017 -valvonnan käyttöönotto on ratkaisevan tärkeää kriittisen energiainfrastruktuurin suojelemiseksi ja turvallisuuden takaamiseksi:
Suorituksen jälkeen a turvallisuusarviointi ja turvallisuusriskien selvittäminen tavoitteet ja päätökset siitä, miten tunnistettua riskiä käsitellään, on valittava ja toteutettava tarvittava valvonta sen varmistamiseksi, että riskit pienennetään hyväksyttävälle tasolle.
Kattavan ISMS:n tarjoamien ohjausten lisäksi ISO 27019 tarjoaa lisätoimialakohtaisia toimenpiteitä ja apua energialaitosteollisuuden käyttämän prosessin ohjauksen avuksi ottaen huomioon ympäristön erityisvaatimukset. Tarvittaessa organisaatio voi ryhtyä lisätoimenpiteisiin yksittäisten vaatimusten täyttämiseksi.
Valvonta, joista organisaatio päättää, riippuu:
Standardissa ISO/IEC 27002:2013 esitettyjen toimenpiteiden ja turvallisuusohjeiden lisäksi energiantoimittajien ja energialaitosten prosessinohjausjärjestelmillä on lisävaatimuksia. Verrattuna muihin perinteisiin ICT-ympäristöihin, kuten energiakaupan järjestelmiin ja toimistotietotekniikkaan, energialaitossektorilla on perustavanlaatuisia eroja PCS:n toiminnassa, kehittämisessä, ylläpidossa, korjauksessa ja toimintaympäristössä.
Koska jotkin standardissa ISO/IEC 27019:2017 kuvatuista prosessinohjaustekniikoista kuvaavat joidenkin kriittisten infrastruktuurien olennaisia osia, ne ovat siksi välttämättömiä tällaisten infrastruktuurien luotettavan ja turvallisen toiminnan varmistamiseksi.
Kun ottaa huomioon niiden toiminnan ja suunnittelun, energialaitossektorin PCS:t kannattaa pitää tiedonkäsittelyjärjestelminä. Tietoa fyysisten prosessien tilasta seurataan antureiden avulla. Nämä tiedot käsitellään sitten ja ohjauslähdöt luodaan säädettäviä toimintoja varten toimilaitteiden avulla. Vaikka prosessi on automaattinen, käyttöhenkilöstö voi tarvittaessa puuttua asiaan manuaalisesti.
Koska tieto- ja tietojenkäsittelyjärjestelmät ovat olennainen osa energiayhtiöiden toimintaa, organisaatioiden on muiden organisaatioyksiköiden tavoin ryhdyttävä tarvittaviin suojatoimenpiteisiin tietonsa turvaamiseksi.
Energialaitosten prosessinohjausympäristöt käyttävät yhä enemmän laitteisto- ja ohjelmistokomponentteja. Esimerkki tästä on ohjelmoitava logiikka, joka perustuu standardiin ICT-tekniikkaan. Lukuisat yhteydet muodostavat myös monimutkaisia järjestelmiä. Auttaisi jos harkitsisit näitä uusia riskejä arvioinnin aikana ja tarvittavat toimenpiteet sen korjaamiseksi.
Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
27019:n käytön aloittamiseksi energialaitosten organisaatioiden tulee tehdä riskiarviointi järjestelmistään, joita käytetään, jotta he tietävät uhat, haavoittuvuudet ja riskien mahdolliset vaikutukset. Energiayhtiöorganisaatioiden käyttämän laitteiston ja ohjelmiston automaatiotekniikan mukaan niiden tulisi valita asianmukaiset ohjeet ja hallintalaitteet järjestelmiensä turvallisuuden varmistamiseksi.
Tietoturvaohjelmistojen ja -työkalujen saatavuus helpottaa organisaatioiden ISO 27019 -standardin noudattamisen vertailua. Tällaisten työkalujen avulla energialaitosteollisuuden käyttämän tietoturvan hallinnan tai prosessinhallinnan parissa työskentelevät saavat selkeämmän kuvan siitä, miten heidän käytännöt ja säätimet verrattuna asetettuihin ISMS-vaatimuksiin. Kehittämisen tarpeessa olevien alueiden tunteminen mahdollistaa asiaankuuluvien ISO 27019 -standardien mukaisten kontrollien soveltamisen.
ISO-sertifioinnin saamiseksi organisaation tulee noudattaa erityistä menettelyä varmistaakseen, että kaikki riskit liittyvät tiettyyn liiketoimintaympäristöön.
Ensimmäinen askel sertifioinnin saamiseksi on tunnistaa ydinliiketoimintaprosessi ja dokumentoida se asianomaisille organisaation jäsenille. Asiakirjoissa tulee mainita menettelyt ja toimenpiteet, joihin on ryhdytty suojata erilaisia tietojärjestelmiä ja automaatiotekniikkaa.
Seuraava askel on toteuttaa dokumentaatiossa kuvatut menettelyt ja varmistaa, että kaikki työntekijät ovat päteviä suorittamaan heiltä vaadittavat tehtävät. Testausten, tarkastusten ja ennaltaehkäisevien toimien huomioon ottamiseksi tulisi olla tehokas raportointijärjestelmä, korjaavat toimenpiteet, tilastotekniikat, johdon arviointikokoukset, tavoitteiden seuranta jne.
Näiden prosessien tehokkuuden pitäisi silloin olla seurataan mitattavissa olevien tietojen avulla missä mahdollista. Energialaitosten organisaatioiden tulisi myös suorittaa tarvittava tarkistus ja järjestelmätarkastus.
Nämä auditoinnit varmistavat, että käytät kaikkia ISO 27019 -standardin ehdottamia valvontatoimia ja ohjeita oikein. Järjestelmätarkastuksissa tulisi:
Viimeinen vaihe energialaitosalan organisaatioille, jotka haluavat saada ISO/IEC 27019 -sertifikaatin, on valita riippumaton auditointielin, joka käsittelee ulkoista rekisteröintiä.
Hallintojärjestelmän asiakirjat on tämän jälkeen toimitettava tarkistettavaksi sen varmistamiseksi, että ne ovat sovellettavien standardien mukaisia.
Täyttää ISO/IEC 2019, energialaitos organisaatioiden tulee tunnistaa turvallisuusvaatimukset perustuu heidän automaatioteknologiaansa. Nämä vaatimukset ovat peräisin pääasiassa:
Energiayhtiöorganisaatioiden tulee varmistaa, että kaikki PCS:n turvallisuusvaatimukset on analysoitu kunnolla ja niiden tietoturvapolitiikassa. Joitakin käytössä olevia huomioita ovat mm.
Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa