ХИМИЧЕСКИЙ кибербезопасности: Work In Progress
Химическая отрасль определена как одна из важнейших секторов в стратегии страны на Национальной Безопаности. При угрозе кибербезопасности инцидентов растет, упреждающее управление и снижение риска необходимо уменьшить потенциальные последствия для химической отрасли от нападения. Общесекторальные кибербезопасности была разработана стратегия и доставлены в Белый дом в 2002 году и впоследствии упоминается в феврале 2003 релиз Национальной стратегии по обеспечению безопасности киберпространства. Химическая отрасль программы кибербезопасности (например, "Программа") была создана для осуществления этой стратегии.
Программа использует три стратегии разработали инициативы сектора: (1) Химическая промышленность обмена данными (CIDX; <a target="_blank" href="http://www.cidx.org" rel="nofollow"> www.cidx.org </ A>), который играет ведущую роль в разработке практики, стандартов и улучшение технологических решений по кибербезопасности CIDX инициативы; (2) Химическая отрасль по обмену информацией
В 2004 году участниками Программы играл активную роль в химических пропагандистской безопасности. "Мы были на переднем крае переговоры с DHS, вносит значительный в дорог для обеспечения приоритетов химического сектора в соответствие с федеральным целей", говорит Кристин Адамс, Dow Chemical (Мидленд, ИМ, <A HREF = "http:/ / www.dow.com "целевых =" _blank "относительной =" NOFOLLOW "> www.dow.com </ A>) сотрудник и директор программы. Например, Айдахо Национальной инженерной и экологической лаборатории (INEEL) обратился в химическом секторе, желающей в DHS-финансируемой программы, направленной на производство и безопасности системы управления. Член CIDX кибербезопасности инициатива в настоящее время выступающая в качестве представителя в отрасли по безопасности систем управления и испытательный центр (CSSTC) консультативного совета.
Участники программы также следующие химические законодательства по вопросам безопасности, а также законодательства в целях улучшения DHS потенциала для защиты важнейших объектов инфраструктуры кибер. Химическая отрасль компаний, занимающихся с законодательством программы поддержки, которые помогут обеспечить физические и электронные средства химической нации объекты защищены от угрозы терроризма, прерывание бизнеса и ненадлежащего использования. Сто восьмой Конгресс не смог завершить действие на разумное законодательство в любом районе. Химическая законодательства по вопросам безопасности, а также DHS кибербезопасности Закон об усилении, как ожидается, будет вновь представлен следующий срок.
Многие компании, в химической промышленности показали свою приверженность безопасности путем принятия ответственного код безопасности, который касается сайта, транспорта и кибербезопасности вопросов. Все Американский совет химической промышленности (АКК) и синтетические органические ассоциация производителей химической продукции (SOCMA) компании несут ответственность за полное осуществление всех аспектов ответственного подхода, в том числе кибербезопасности требования, в пределах обозначенных о сертификации своей организации. Для компаний, АКК, заканчивается 30 июня 2005. Различные руководящие документы осуществления доступны по адресу <a href="http://www.rctoolkit.com" <target="_blank" rel="nofollow"> http://www.rctoolkit.com / A>.
"Мы признаем, что ИТ и управления производством инфраструктуры в многомиллиардные компании доллара химических существенно отличаются от тех, в месте небольших компаний", отмечает Адамс. "В свете этого, мы активизируем наши усилия по разработке руководства для химических компаний, доходы от продаж до $ 100 млн", продолжает она. В качестве первого шага, CIDX кибербезопасности Инициатива создания группы ИТ и управления производством представителей компаний SOCMA которые будут оказывать помощь в разработке руководящих указаний и методов ведения "кибер" оценки уязвимости, которые будут построены в текущем перечень уязвимость, которая предоставляет своим SOCMA компаний для оценки физической безопасности.
CIDX уделяет особое внимание предоставлению ресурсов этого сектора компании могут использовать, чтобы поднять уровень кибербезопасности в своих организациях, и для отрасли в целом. "Наши результаты 2004 были опубликованы на веб-сайте CIDX (<a target="_blank" href="http://www.cidx.org" rel="nofollow"> www.cidx.org </ A>) в декабре "Доу говорит Каролин Vander стены, руководитель CIDX кибербезопасности инициативы. К ним относятся общего директивного документа по кибербезопасности, который расширяет Руководство по решению проблем кибербезопасности в секторе химической Версия 1.0 (выпущена в 2003 году) для согласования с ISO / IEC 17799, BS7799 информационной безопасности систем управления и два ISA SP-99 технических докладов; кибербезопасности Методология оценки уязвимости процесса Версия 2,0; кибербезопасности Архитектура эталонной модели, которая обеспечивает рамки для поддержки работы по выявлению и определению приоритетности практики и стандартов для оценки компании и общесекторальные кибербезопасности уязвимостей и рисков, документ Самооценка руководством, на котором обсуждаются инструменты и методологий для компаний, которые планируют провести оценку их собственных программ кибербезопасности в отношении таких стандартов, как ISO 17799 и недавние публикации ISA, а также доклад об оценке кибербезопасности самооценки инструментов и методов, в том числе резюме содержание докладов и их влияния на химической промышленности и подробные инструкции по применению SP-99 технических докладов для компаний сектора ..
"Мы знаем ряд компаний, которые провели оценку уязвимости кибербезопасности, в нарушение требований АКК ответственного Код безопасности в июне 2005 года, но никто не представило конкретных результатов CIDX", отмечает Vander стены. "Некоторые компании взяли на себя обязательство экспериментального расширенной рекомендации, которые мы будем публиковать в этом году (Руководство по решению проблем кибербезопасности в химическом секторе версия 2.0). Мы надеемся, что ряд тематических исследований из этих пилотов в 2005 году", продолжает она.
В целях удовлетворения потребностей производства систем управления, CIDX активно сотрудничает с 2 межотраслевые инициативы: Национальный институт стандартов и технологии США (NIST) АСУ Требования безопасности форума (PCSRF) применяет строгие и международно признанных Common Criteria подход для определения требований к безопасности производства систем управления. Неотъемлемой частью этой работы является защита профиль - набор требований к безопасности и задач для промышленных систем управления, которая была выпущена в конце прошлого года. "Off готовых систем управления, поставляемой производителем управления производством может быть проверена, чтобы установить соответствие системы защиты профиль", говорит Б. Адамс.
CIDX оказывает также со-руководителей 2 приборостроения, систем и автоматики общества (ISA) SP99 рабочие группы для оказания помощи в развитии производства и контроля, систем безопасности. В 2004 году CIDX участие в разработке 2 ISA технических докладов под названием "Технологии безопасности для производства и системы управления" и "Интеграция электронной безопасности в производство и системы управления охраны окружающей среды." Назвали ISA SP-99 докладов, они предназначены для обеспечения предварительной рекомендации по обеспечению безопасности позволяет компаниям повысить безопасность своих сред управления производством.
Для других секторов или другим организациям, имеющим общие потребности, CIDX также расширяет свое сотрудничество продавца программы. "Например, для решения технических проблем в производстве и космических систем управления, групп, таких как ISA, Microsoft User Group Производство, INEEL и NIST все полезным форумом для межсекторального диалога по проблемам и требованиям", объясняет Vander стены. CIDX планирует начать группа в составе химической отрасли ИТ и производство систем управления экспертов и поставщиков решений, которые будут выносить рекомендации относительно наиболее эффективных способов повышения безопасности продуктов и решений, используемых в настоящее время, а также улучшить безопасность тех, кто в процессе развития.
Хотя CIDX не отслеживает индивидуального прогресса компании в области внедрения новых программ или разработка новых видов практики, он будет служить механизмом для обеспечения обратной связи руководства CIDX (для будущих усовершенствований документов) в 2005 году.