Verstaan ISO 27019

Inligtingsekuriteitbestuurkontroles vir energienutsproseskontroles

kollegas, werk, moderne, ateljee. produksie, bestuurders, span, werk, nuwe, projek. jonk, besigheid

coworkers,work,modern,studio.production,managers,team,working,new,project.young,business

Wat is ISO/IEC 27019:2017?

ISO/IEC 27019 is 'n stel riglyne vir inligtingsekuriteitbestuur van die prosesbeheerstelsels (PCS) wat in die energienutsektor gebruik word.

Die hoofdoel van die dokument is om die breedte van die ISO/IEC na die outomatiseringstegnologie en PCS-domein te vergroot. Dit is om 'n spesifieke en gestandaardiseerde Inligtingsekuriteitbestuurstelsel (ISMS) om die hardeware- en sagteware-tegnologiestelsels te beskerm wat verantwoordelik is vir die monitering en beheer van die opwekking, transmissie, berging en verspreiding van olie, gas, elektriese krag en hitte, onder andere energienutsdienste.

Inligtingskontroles vir die energienutsbedryf

Die wêreldwye energiebedryf was verantwoordelik vir van die mees rampspoedige rampe wat die mensdom beleef het.

Voorbeelde van vernietigende wanhantering van energiebronne sluit in:

Dit kom as geen verrassing dat daar 'n sterk kultuur van veiligheidskontroles in die energienutsbedryf is nie. Hierdie etos kom van die bewustheid van die langtermyn-effekte van sommige bedrywighede en programme wat verkeerd loop.

Die energienutsbedryf is een van die grootste begunstigdes van outomatisering. Die meeste van die stelsels wat gebruik word maak sterk staat op elektroniese PCS'e soos:

Industrial Internet of Things (IIoT)
Programmeerbare logiese beheerders (PLC)
Toesighoudende beheer en dataverkryging (SCDA)
Industriële beheerstelsels (ICS)

Saam met ander gepaardgaande prosedures en netwerke is hierdie verantwoordelik vir:

Real-time monitering van die produksie-aktiwiteite
leiding van die produksie-aktiwiteite
beheer van die produksie-aktiwiteite.

Kortom, mislukking of onderbrekings in die elektroniese prosesbeheerstelsels wat gebruik word, sal veroorsaak dat die hele stelsel ondergaan.

Byvoorbeeld, die mislukking van 'n monitor in 'n geotermiese kragsentrale sal lei tot oorverhitting, en op die ergste, 'n rampspoedige ontploffing.

Terwyl die ISO / IEC 27002 standaarde beskryf belangrike riglyne om die beskerming van inligtingsekuriteitsbates te beheer, die omvang daarvan duik nie diep genoeg in die beskerming van energienutsprosesse nie.

Dit is hoekom die ISO/IEC 27019:2017 bestaan.

Die geskiedenis van ISO 27019

ISO en IEC het die eerste keer ISO 27019 in 2013 gepubliseer as 'n Tegniese Verslag (TR), gemaak deur 'n DIN-standaard te versnel. In 2017 is 'n tweede uitgawe van die standaard gepubliseer, wat dit 'n volledige Internasionale Standaard maak in harmonie met die 2013-weergawe van ISO 27001 en ISO 27002. So, hoekom is ISO 27019 so belangrik?

ISMS.online is 'n
eenstopoplossing wat ons implementering radikaal bespoedig het.

Evan Harris

stigter en bedryfshoof, vurig

Bespreek jou demo

Met ISMS.online is uitdagings rondom weergawebeheer, beleidsgoedkeuring en beleiddeel iets van die verlede.

Dean Fields

IT Direkteur NHS Professionals

100% van ons gebruikers slaag die eerste keer sertifisering

Bespreek jou demo

Wat is die voordele van ISO 27019?

Sonder die energiebedryf sou ons nie die vlak van tegnologiese vooruitgang hê wat ons nou doen nie. Die kern van die sektor is die elektroniese prosesbeheerstelsels en -netwerke wat verantwoordelik is om die stelsel funksioneel te hou, waarsonder daar massiewe en selfs katastrofiese mislukkings sou wees. Neem byvoorbeeld die elektriese rooster. As gevolg van beperkte grootskaalse energieberging, hang die effektiewe verspreiding van elektriese energie vir huishoudelike en industriële verbruik af van die handhawing van 'n balans tussen die energie wat geproduseer word en die een wat verbruik word.

As die PCS'e wat gebruik word, sou misluk, sou daar geen manier wees om die energievloei intyds te beheer nie, en die gevolg sou onderbrekings en oorladings wees, wat lei tot onderbrekings in die verspreiding van krag. As die elektriese infrastruktuur van enige land sou ondergaan, sou byna elke ander sektor die voorbeeld volg weens hoe sterk afhanklik is van outomatiseringstegnologie, die meeste van hulle is.

Jy kry 'n duidelike idee van hoe belangrik ISO/IEC 27019 is wanneer jy die bedreigings, kwesbaarhede en impak van bedreigings op energienutsdienste in ag neem

Bedreigings wat energie-nutsdienste in die gesig staar

Sommige van die bedreigings wat die energiebronne in die gesig staar, sluit in natuurrampe en opsetlike sabotasies van sosiale ingenieurs, Advanced Persistent Threats (APT's), kuberkrakers, insiders, terroriste, buitelandse state en drukgroepe. Daar is ander meer alledaagse bedreigings soos dié van elektro-meganiese mislukkings, mededingers, ongelukke, wanware, ens.

Kwesbaarhede van die Energie-industrie

Daar is 'n paar onvermydelike kwesbaarhede inherent aan die prosesse en stelsels. 'n Voorbeeld van sulke swakhede is die prosesbeheerstelsels wat toeganklik is vanaf, gekoppel is aan of blootgestel is aan die internet en ander netwerke. Dit maak hulle kwesbaar vir 'n manier van kuberbedreigings, insluitend dié wat voortspruit uit sagtewarefoute en ontwerpfoute wat veroorsaak word deur swak ontwerp, bestuur of instandhouding. Hierdie kwesbaarhede is veral algemeen sedert die uitvoering van a sekuriteitspleister vir veiligheidskritieke stelsels uitdagend kan wees.

Die impak van bedreigings op energiebronne

Die gevolge van die mislukking van energie-nutsdienste word goed verstaan. Sommige van die ernstigste impakte sluit in:

Die gebrek aan, of kompromie van besigheids- en veilig-kritiese inligting wat op sy beurt onderbrekings in die toevoer van krag sal veroorsaak,
Voorsiening wat buite spesifikasie is; soos onder/oorspanning.
Die vrystelling van 'n katastrofiese of groot hoeveelheid energie- en omgewingsinsidente soos chemiese en olielekkasies.

Die strategiese belang van beide openbare en private organisasies in die energienutsbedryf het daartoe gelei dat hulle as deel van kritieke nasionale infrastruktuur geklassifiseer is. Dit is hoekom al die organisasies wat onder die bestek van ISO/IEC 27019 gedek word, alle moontlike maatreëls moet tref om die standaard te implementeer om hul prosesbeheerstelsels wat gebruik word, te beveilig.

Verhouding met ander standaarde

ISO het ISO/IEC 27019 ontwikkel om te verseker dat dit voldoen aan die taal van ISO/IEC 27001 en ISO 27002. Deur die standaard op hierdie manier te vestig, verseker jy dat jy kan implementeer ISO 27001 en ISO 27002 internasionaal as 'n aanvaarde leidingstelsel vir die beveiliging van die PCS'e wat in die energienutsbedryf gebruik word.

ISO 27019 en ISO 27002

ISO/IEC 27019 volg die struktuur van IEC 27002 noukeurig, met bykomende riglyne verskaf waar nodig. Tydens implementering moet 'n organisasie in die energienutsbedryf ISO/IEC 27019 saam met ISO/IEC 27002 gebruik aangesien eersgenoemde nie die inhoud van 27002 insluit nie.

ISO 27019 en ISO/IEC 27001

Wanneer ISO 27019 geïmplementeer word, moet organisasies ook na ISO/IEC 27001 verwys om die breër konteks vir jou ISMS in te vul. Jou stelsel moet nie net die prosesbeheer insluit nie, maar ook ander algemene kommersiële netwerke, stelsels wat gebruik word en prosesse van toepassing op die energienutsbedryf.

Ander ISO-standaarde

Jy moet ook ander standaarde oorweeg, soos ISO / IEC 27005 wanneer ISO 27019 geïmplementeer word om voorsiening te maak vir inligtingsrisikobestuurspraktyke wat deur die energienutsbedryf gebruik word.

Bereik jou eerste ISO 27001

Laai jou gratis gids vir vinnige en volhoubare sertifisering af

Sien ons eenvoudige, kragtige platform in aksie

Vind meer uit

Wie kan ISO 27019 implementeer?

Die volgende is die spesifieke areas waar die implementering van ISO/IEC 27019:2017-kontroles van kritieke belang is om die sekuriteit van kritieke energie-infrastruktuur te beskerm en te verseker:

Sentrale en verspreide tegnologie vir die bestuur, monitering en outomatisering van die bedryfsprosesse en die inligtingstelsels wat gebruik word soos parameterisering en programmering wat dit fasiliteer.
Outomatiseringskomponente en digitale beheerders soos programmeerbare logiese beheerder (PLC's), tesame met aktuatorelemente en digitale sensors.
Alle ander ondersteunende inligtingstelsels wat in prosesbeheer toegepas word, soos dié wat die visualisering van data aanvul en dié wat betrokke by die monitering, beheer, historikus log, data argivering, dokumentasie en verslagdoening doeleindes.
Die kommunikasietegnologieë wat in die domein van prosesbeheer toegepas word, soos telemetrie, netwerke, afstandbeheertegnologie en telebeheertoepassings.
Komponente van Advanced Metering Infrastructure (AMI) soos slim meters.
Die meettoestelle soos dié wat in emissiewaardes gebruik word.
Digitale beskerming en veiligheidstelsels soos veiligheids-PLC's, beskermingsrelais en noodbeheermeganismes.
Stelsels vir die bestuur van energie soos infrastruktuur vir elektriese laai, verspreide energiebronne (DER), industriële klante-installasies, residensiële geboue en selfs in private huishoudings.
Slimnetwerk-omgewing verspreide komponente soos in private huishoudings, energienetwerke, industriële klante-installasies en residensiële geboue.
Alle firmware, toepassings en sagteware geïnstalleer op die stelsels hierbo genoem, insluitend onderbrekingsbestuurstelsels (OMS), verspreidingsbestuurstelsel (DMS), ens.
Enige perseel wat die stelsels en toerusting hierbo genoem huisves.
Die afgeleë onderhoudstelsels vir die stelsels hierbo genoem.

Hoe om ISO 27019 te implementeer

Na die uitvoering van 'n sekuriteitsbeoordeling en om met sekuriteitsrisiko's vorendag te kom en doelwitte en besluite oor hoe om die geïdentifiseerde risiko te hanteer, moet die nodige beheer gekies en geïmplementeer word om te verseker dat die risiko's tot 'n aanvaarbare vlak verminder word.

Bo en behalwe die kontroles wat deur 'n omvattende ISMS aangebied word, bied ISO 27019 addisionele sektorspesifieke maatreëls en bystand om te help met die prosesbeheer wat deur die energienutsbedryf gebruik word, met betrekking tot die spesifieke vereistes van die spesifieke omgewings. Indien nodig, kan 'n organisasie verdere maatreëls tref om aan individuele vereistes te voldoen.

Die kontroles waaroor 'n organisasie sal besluit, hang af van:

Die organisasie se risikobestuursbenadering en hul risiko-aanvaarding
Ander relevante internasionale en nasionale wette, regulasies en wetlike verordeninge

Inligtingsekuriteit vir energie-nutsdienste

Benewens die maatreëls en sekuriteitsriglyne wat in ISO/IEC 27002:2013 aangebied word, het die prosesbeheerstelsels vir energieverskaffers en energienutsdienste bykomende vereistes. In vergelyking met ander konvensionele IKT-omgewings soos energiehandelstelsels en kantoorinligtingstegnologie, het die energienutsektor fundamentele verskille met betrekking tot die bedryf, ontwikkeling, instandhouding, herstel en bedryfsomgewing van PCS'e.

Aangesien sommige van die prosesbeheertegnologieë wat in ISO/IEC 27019:2017 beskryf word, integrale komponente van sekere kritieke infrastruktuur beskryf, is dit dus noodsaaklik om betroubare en veilige werking van sulke infrastruktuur te verseker.

Wanneer jy hul funksie en ontwerp in ag neem, moet jy die energienutsektor PCS'e as inligtingverwerkingstelsels beskou. Data oor die status van die fisiese prosesse word met behulp van sensors gemonitor. Hierdie data word dan verwerk en beheer uitsette gegenereer om die aksies te reguleer deur gebruik te maak van aktueerders. Alhoewel die proses outomaties is, kan bedryfspersoneel handmatig ingryp wanneer nodig.

Aangesien inligting- en inligtingverwerkingstelsels 'n noodsaaklike deel is van hoe die energienutsdienste funksioneer, moet organisasies die nodige beskermingsmaatreëls tref om hul inligting te beskerm soos ander organisatoriese eenhede.

Die prosesbeheeromgewings vir energienutsdienste gebruik toenemend hardeware- en sagtewarekomponente. 'n Voorbeeld hiervan is programmeerbare logika gebaseer op standaard IKT-tegnologie. Talle onderlinge verbindings vorm ook komplekse stelsels. Dit sal help as jy dit nuut oorweeg risiko's tydens 'n risikobepaling en die nodige maatreëls getref om dit reg te stel.

Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.

Peter Risdon

CISO, Viital

Bespreek jou demo

Sien jy nie waarna jy soek nie?
Ons kan dit maklik bou.

Kontak Ons

Hoe om met ISO 27019 te begin?

Om met 27019 te begin, moet organisasies in die energienutsbedryf 'n risikobeoordeling doen van hul stelsels wat gebruik word om hul bedreigings, kwesbaarhede en moontlike impak van risiko's te ken. Afhangende van die spesifieke hardeware- en sagteware-outomatiseringstegnologie wat deur die energienutsorganisasies gebruik word, moet hulle die toepaslike riglyne en kontroles kies om die sekuriteit van hul stelsels te verseker.

Die beskikbaarheid van inligtingsekuriteitsagteware en -hulpmiddels maak dit maklik vir organisasies om hul voldoening aan ISO 27019 te meet. Met die hulp van sulke hulpmiddels sal diegene wat betrokke is by die sekuriteitsbestuur of prosesbeheer wat deur die energienutsbedryf gebruik word, 'n duideliker prentjie hê van hoe hulle beleide en kontroles in vergelyking met die gestelde ISMS-vereistes. Om die gebiede te ken wat verbeter moet word, maak dit moontlik om die relevante kontroles toe te pas gebaseer op die ISO 27019-standaarde.

ISO 27019 sertifisering

Om ISO-sertifisering te behaal, moet 'n organisasie 'n spesifieke prosedure volg om te verseker dat al hulle risiko's aanspreek soos dit verband hou met die spesifieke besigheidsomgewings.

Die eerste stap om sertifisering te behaal, is om die kernbesigheidsproses te identifiseer en dit aan die betrokke lede van die organisasie te dokumenteer. Die dokumentasie moet die prosedures en die maatreëls aandui die verskillende inligtingstelsels te beskerm en outomatiseringstegnologie.

Die volgende stap is om die prosedures soos beskryf in die dokumentasie te implementeer, en om te verseker dat al die werknemers gekwalifiseerd is om die take wat van hulle vereis word, uit te voer. Daar moet 'n doeltreffende rapporteringstelsel wees om voorsiening te maak vir die toetsing, inspeksie, voorkomende aksies, regstellende stappe, statistiese tegnieke, bestuursoorsigvergaderings, monitering van doelwit, ens.

Die doeltreffendheid van hierdie prosesse behoort dan te wees gemonitor met behulp van meetbare data waar moontlik. Energie nutsorganisasies moet ook die nodige hersiening en stelseloudit.

Hierdie oudits verseker dat u al die kontroles en riglyne wat deur ISO 27019 voorgestel word, behoorlik implementeer. Stelseloudits moet:

Identifiseer en rapporteer die sterk- en swakpunte van die bestuurstelsel
Neem die nodige regstellende of voorkomende maatreëls

Die laaste stap vir organisasies in die energienutsbedryf wat ISO/IEC 27019-sertifisering wil verwerf, is om 'n onafhanklike ouditliggaam te kies wat met eksterne registrasie handel.

Die bestuurstelseldokumentasie moet dan vir hersiening ingedien word om voldoening aan die toepaslike standaarde te verseker.

ISO 27019 vereistes

Om te voldoen aan ISO/IEC 2019, energie nut organisasies moet hul sekuriteitsvereistes identifiseer gebaseer op hul outomatiseringstegnologie. Hierdie vereistes kom hoofsaaklik van:

'n organisasie se risiko-assessering resultate. Hulle moet die algemene besigheidsdoelwitte en strategieë van 'n organisasie in ag neem. Risikogebeurtenisse en bronne, tesame met die waarskynlikheid van voorkoms en die potensiële gevolge van die voorkoms van 'n gegewe risiko.
Ander vereistes sal voortspruit uit verordeninge en wetgewing, kontrakte en regulasies, en ander sosiokulturele voorwaardes wat 'n organisasie moet nakom. Enkele besondere voorbeelde sluit in die beveiliging van 'n toevoer van energie wat betroubaar, veilig en doeltreffend is, en ook die nakoming van 'n gedereguleerde energiemarkvereistes.
Die spesifieke besigheidsvereistes, beginsels en doelwitte wat op die verwerking van inligting soos ontwikkel deur die besigheid om sy bedrywighede te ondersteun.

Energie nutsorganisasies moet seker maak dat al die PCS se sekuriteitsvereistes behoorlik ontleed en gedek in hul inligtingsekuriteitsbeleide. Sommige van die oorwegings in plek sluit in: