CISA, NIST: neun Kategorien für die Sicherheit von Kontrollsystemen

Von Trend Micro

Im Juli bereits hatte US-Präsident Joe Biden ein Memorandum zur Verbesserung der Cybersicherheit von kritischen Infrastrukturkontrollsystemen in den USA unterzeichnet. Dort wird eine freiwillige Initiative für die Zusammenarbeit zwischen der Bundesregierung und der Gemeinschaft der kritischen Infrastrukturen zur besseren Kontrolle der Cybersicherheit vorgeschlagen. Auch wird das Department of Homeland Security (DHS) angewiesen, innerhalb eines Jahres die Entwicklung vorläufiger bereichsübergreifender Leistungsziele für die Cybersicherheit von Kontrollsystemen und bereichsspezifischer Leistungsziele zu veranlassen. Die Cybersecurity and Infrastructure Security Agency (CISA) führte gemeinsam mit dem National Institute of Standards and Technology (NIST) einen primären übergreifenden Abgleich der verfügbaren Kontrollsystem-Ressourcen durch und empfahl Praktiken, die von der US-Regierung und dem privaten Sektor entwickelt wurden.

Der Überblick konzentrierte sich auf verschiedene Cybersicherheitsdokumente bezüglich Best Practices und Risikominimierung. Dazu gehören das „CISA Cyber EssentialsNISTIR 8183, Rev 1, “Cybersecurity Framework Version 1.1 Manufacturing Profile“ sowie CISA Pipeline Cyber Risk Mitigation.

Auf Basis der Überprüfung legten CISA und NIST neun Kategorien für die empfohlenen Cybersecurity Practices fest und nutzten die Kategorien als Grundlage für vorläufige Leistungsziele für die Cybersicherheit von Kontrollsystemen:

  • Risikomanagement und Cybersecurity Governance: zielt darauf ab, „Cybersicherheitskontrollsysteme anhand etablierter empfohlener Verfahren zu identifizieren und zu dokumentieren“.
  • Architektur und Design: dient dem Zweck, die Cybersicherheit und die Widerstandsfähigkeit in die Systemarchitektur zu integrieren im Einklang mit bewährten Verfahren.
  • Konfiguration und Change Management: umfasst Dokumentation und Kontrolle des Hardware- und Softwarebestands, der Systemeinstellungen, der Konfigurationen und des Netzwerkverkehrsflusses während des Lebenszyklus der Hardware und Software des Steuersystems.
  • Physische Sicherheit: beinhaltet die Beschränkung des physischen Zugriffs auf autorisierte Nutzer für Systeme, Einrichtungen, Equipment und weitere Infrastruktur-Assets.
  • System- und Datenintegrität, Verfügbarkeit und Vertraulichkeit: bezieht sich auf den Schutz des Kontrollsystems und dessen Daten vor Zerstörung, Kompromittierung oder Verlust.
  • Kontinuierliche Überwachung und Schwachstellenmanagement: zielt darauf ab, kontinuierliches Monitoring der Sicherheit der Kontrollsysteme aufzusetzen und durchzuführen.
  • Schulung und Awareness: beinhaltet die Schulung von Mitarbeitern auf Grundlagenwissen und Können, um die Sicherheitsrisiken für Kontrollsysteme festzustellen.
  • Incident Response and Recovery: bestimmt das Aufsetzen und Testen von Plänen für Response und Recovery von Kontrollsystemen mit klar definierten Rollen und Verantwortlichkeiten.
  • Supply Chain Risikomanagement: beschäftigt sich mit der Identifizierung von Risiken im Zusammenhang mit Hardware, Software und Managed Services von Kontrollsystemen.

Die CISA erklärte, dass die oben genannten Ziele in den neun Kategorien „grundlegende Aktivitäten für ein effektives Risikomanagement“ darstellen, die Best Practices im Bereich der Cybersicherheit auf hohem Niveau abbilden. Die Behörde erklärte auch, dass diese nicht alle Facetten eines effektiven Cybersicherheitsprogramms abdecken.

Da Cyber-Bedrohungen und -Risiken immer ausgefeilter und schwieriger zu entschärfen sind, ist es für Eigentümer kritischer Infrastrukturen wichtig, ihre Unternehmen zukunftssicher zu machen und betriebliche Risiken und Störungen zu minimieren. Darüber hinaus sollten Anwender und Eigentümer verschiedene praktische Gegenmaßnahmen kennen, die in der Planungs- und Designphase in Betracht gezogen werden müssen.

Interessierte können in unserem Whitepaper „Best Practices for Securing Smart Factories: Three Steps to Keep Operations Running“ mehr zu Sicherheitsfragen, Verteidigungsstrategien und Vorteile effizient gesicherter Smart Factories lesen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.