ptZH-CNenfrdeitjarues

リスク

リスク分析は、サイバーセキュリティの脅威を理解し、ニーズを管理するための主な方法です。 論理的な環境に加えて物理的なものも分析されるので、このアクティビティは通常特定のインストールに焦点を当てて実行されます。

当面のリスク分析により、どのようにいつ保護措置をとるべきかを勧告するインダストリアルサイバーセキュリティ計画(PSCI)を策定することが可能です。

リスク分析は、稼働中のプラント(ブラウンフィールド)または設計段階(グリーンフィールド)で実行できます。
リスクと脅威が時期尚早に特定されると、コントロールはより低いコストと最大の効率で吸収されます。

自動化ネットワークのリスク分析は、以下のステップに従います。

静的リスク分析

リスク分析のこの段階では、自動化ネットワークのネットワーク図、運用環境(データセンター)、および物理的および論理的セキュリティ監査の質問表は、ANSI / ISA-99、ISA-IEC 62443のベストプラクティスと一致しています。 、NIST 800-82およびISO 27001 / 27002。
お客様の施設を訪問することで、コンサルタントは既存の物理的および論理的なセキュリティ管理策またはネットワーク内の対策を特定し、管理策が導入され使用されている状況と適切性を可能な限り評価できます。

包括的な評価のためには、自動化ネットワークのためのANSI / ISA-99.02.01、ISA-IEC 62443、およびNIST SP800-82(管理、運用、および技術管理)規格およびISO / IEC規格によって提案される管理のカテゴリ顧客データセンターの物理的検査のための27001 / 27002(管理、運用および技術管理)。

評価は、上記の基準のリスク知識ベースを構成する統制のリストを含むフォームに記入することによって実行されます。 これらの統制は、以下のリスクカテゴリに分類されます。

コントロールの問題

リモートアクセス
電子監査とモニタリング
アップデート/パッチ
システムのバックアップ、復元、および回復
電気および電子回路
音声およびデータネットワーク通信
アカウントとパスワード
事業継続性
物理的および論理的アクセス制御
暗号化
ドキュメンテーション
マルウェア
サービスパフォーマンスの監視
システムとアプリケーションのパラメータ
情報セキュリティ方針
インフラストラクチャセキュリティ
電気設備
物理的セキュリティ管理
フォールトトレランス
トレーニングと意識
リソースの適切な使用

動的リスク分析

このステップでは、TAPモード(非侵入型)での自動化ネットワークの自動データ収集はアプリケーションレベルで行われます。

動的分析の開始時に、各クライアント自動化ネットワークのアーキテクチャーが分析され、インターネットトラフィックや脅威、さらには企業ネットワークとの境界などの他の境界、制御システム(自動化、データセンターおよびプロセスネットワーク、および第三者へのリンク、外部のVPN接続、または規制機関。

自動化環境でのデータ収集は、影響を与えたりトポロジーを変更したりすることなく、トラフィックミラーリングの概念に従います。 トラフィックミラーリングでは、TAPモードの1つのインターフェイスだけが実際のトラフィック(Port Mirror / SPAN Port)に接続され、環境に影響を与えることなく分析されます。

ミラーリングポイントを定義することは、テストを成功させるための鍵です。 より多くのセグメントがミラーリングされると、アプリケーションと脅威の可視性に関するより優れたトラフィックサンプルが収集され、リスクを特定できるようになります。

データ収集構成に必要なミラーリングポイントとこのデータを収集する時間は、パケットをキャプチャする機器の構成に必要なネットワークアドレス指定と同様に、プロジェクトの開始会議で定義されます。 このフェーズの始めに定義されるようにTAPポイントの設定のための機器およびリソースを提供することはクライアント次第です。


リスク分析レポートの生成

静的分析によって収集されたデータは、定性的な確率と影響の尺度とともに、定性的な基準に従って処理されます。 それぞれの脅威/脆弱性セットについて、現地チームへのインタビューで収集された情報から、発生の可能性と影響(結果に応じて)を割り当てます。

補足的に、動的分析から得られたデータは検証を実行し、リスクの静的分析から得られた情報の証拠を生成します。

静的および動的分析情報の結合の結果は、リスク分析レポートにまとめられてクライアントに配信されます。 レポートはポルトガル語で配信されます.

著作権©2007 - 2018 - ITセーフ情報セキュリティ - すべての権利予約。