工业控制系统安全合规

admin 2022年7月6日08:32:39IoT评论5 views4226字阅读14分5秒阅读模式


01 工业控制系统安全合规重要性


    自2017年6月1日网络安全法实施已有3年,最近经常看到某某单位未落实网络防护义务被依法处罚的新闻。公安机关、网信办、工信部等单位对网络安全巡查已经常态化,网络安全合规的重要性日益凸显。网络安全合规对国家的“两化融合”、“中国制造2025”等国家发展战略和单位自身的网络安全性有重要意义。尤其网络安全法第五十九条规定网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。工业控制系统大多数都属于关键信息基础设施,一旦遭到破坏更容易产生严重后果。

工业控制系统安全合规

图1 违反网络安全法被处罚的新闻


02 什么是工业控制系统安全合规


    合规是在中华人民共和国境内建设、运营、维护和使用网络的单位或个人在网络和信息系统的建设、运营、维护、使用和销毁过程中需要符合国家及监管部门的网络安全相关规定。

a)监管部门网络安全法第八条规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。”。

b)相关规定是指法律、行政法规、部门规章和与之相关的配套政策和标准文件。

    比如:甲电力公司建设了一套电力监控系统用于日常业务,那么甲电力公司对该电力监控系统有落实网络安全防护的义务。该电力监控系统需要符合《中华人民共和国网络安全法》、《电力二次系统安全防护规定》等一系列法律法规及国家标准和行业标准的要求。

    下面我们通过表格形式介绍工业控制系统需要符合的相关法律法规及政策

表1 网络安全相关法律法规及政策文件

名称
类型
制定机关
《中华人民共和国网络安全法》 法律 全国人民代表大会常务委员会
《中华人民共和国密码法》 法律 全国人民代表大会常务委员会
《中华人民共和国反恐怖主义法》 法律 全国人民代表大会常务委员会
《中华人民共和国无线电管理条例》 行政法规 国务院&中央军委
《中华人民共和国计算机信息系统安全保护条例》 行政法规 国务院
《关键信息基础设施安全保护条例》 行政法规 网信办
网络安全等级保护条例》 行政法规 国务院
《信息安全等级保护管理办法》 部门规章 公安部&保密局&密码管理局&国务院信息化工作办公室
《通信网络安全防护管理办法》 部门规章 工信部
《电力二次系统安全防护规定》 部门规章 国家电力监管委员会
《公安机关信息安全等级保护检查工作规范(试行)》 政策规范 公安部
《关于加强工业控制系统信息安全管理的通知》 政策规范 工信部
《工业控制系统信息安全防护指南》 政策规范 工信部
《工业控制系统信息安全防护能力评估工作管理办法》 政策规范 工信部
《电力监控系统安全防护总体方案等安全防护方案和评估规范》 政策规范 国家电力监管委员会
《电力监控系统安全防护规定》 部门规章 国家发展改革委

    除表格介绍的法律法规外,各行业的工业控制系统还需要满足本行业相关监管要求和标准性文件的要求。

03 工业控制系统合规指南


    工业控制系统合规过程中需要满足大量法律法规要求,面临大量的国家标准和行业标准。实施过程中环环相扣,操作难度大,不但需要财力支撑还需要专业的人才进行长期的技术管理和实践。下面我们了解一下工业控制系统需要实施哪些合规性活动。
  1. 网络安全等级保护

    网络安全等级保护最早于1994年国务院颁布的 《中华人民共和国计算机信息系统安全保护条例》中提出,该条例规定规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。随后1999年9月13日国家质量技术监督局发布了公安部提出并组织制定的《计算机信息系统安全保护等级划分准则》。

    2003年中央办公厅、国务院办公厅发出《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27 号),明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。27号文的发布表明了网络安全等级保护成为了国家信息安全保障工作的基本制度,明确了“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。

    2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》,明确了信息安全等级保护的具体要求。《信息安全等级保护管理办法》规定:1、主体主体为信息系统运营、使用单位。信息系统主要指以下系统:(1)国家事务处理信息系统(党政机关办公系统);(2)金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础 设施的信息系统;(3)国防工业企业、科研等单位的信息系统;(4)公用通信、广播电视传输等基础信息网络中的计算机信息系统;(5)互联网网络管理中心、关键节点、重要网站以及重要应用系统;(6)其他领域的重要信息系统。2、实施依据实施依据为《信息系统安全等级保护实施指南》,《信息安全等级保护管理办法》规定:信息系统运营、使用单位依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。3、监管部门监管部门主要为公安机关,《信息安全等级保护管理办法》第十九条规定:信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导。此处的国家制定的专门部门包括国家保密工作部门和国家密码工作管理部门。4、主要内容信息系统的安全保护等级按照信息系统受到破坏后,对公民、法人和其他组织的合法权益,对社会秩序和公共利益,对国家安全造成损害的程度对分为五级,对于等级划分、保护措施、评测机构、监管方式均有完善的规定。

    2017年6月1日《中华人民共和国网络安全法》实施,其中第二十一条在法律层面上提出“网络安全等级保护制度”这一概念。其中涉及等级保护的有:

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

    关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

    2019年网络安全等级保护进入2.0时代。同时更新和发布了多个标准。目前等级保护相关标准有:

    计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)

    信息系统安全等级保护实施指南 (GB/T 25058-2019) (基础类标准)

    信息系统安全保护等级定级指南 (GB/T 22240-2020) (应用类定级标准)

    信息系统安全等级保护基本要求 (GB/T 22239-2019) (应用类建设标准)

    信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)

    信息系统等级保护安全设计技术要求 (GB/T 25070-2019) (应用类建设标准)

    信息系统安全等级保护测评要求 (GB/T 28448-2019)(应用类测评标准)

    信息系统安全等级保护测评过程指南 (GB/T 28449-2018)(应用类测评标准)

    信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)

    信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准)

    信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)(基础类标准)

    信息安全技术网络安全等级保护安全设计技术要求(GB/T 25070-2019)(应用类建设标准)

    信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)(应用类测评标准)


2. 工业控制系统信息安全防护

    为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,2016年10月17日工业和信息化部印发《工业控制系统信息安全防护指南》的通知,其中规定工业控制系统应用企业需要从十一个方面做好工控安全防护工作。

3. 电力二次系统安全防护

    2004年12月20日,国家电力监管委员会发布第5号令,即自2005年2月1日起施行《电力二次系统安全防护规定》。该规定的实施标志着电力二次系统需根据规定建立电力二次系统安全防护体系。电力二次系统的规划设计、项目审查、工程实施、系统改造、运行管理等环节都应当符合《电力二次系统安全防护规定》。

04 工业控制系统合规如何做


    系统合规是长期专业的工作;在法律法规方面,需要对国家法律法规、行业政策、国家标准及行业标准及行业特点有深入了解;在技术方面,需要对工业控制系统、各类设备、通讯协议系统结构等有充分的认识。

    所以,专业的事情交给专业的人做。安美勤紧跟国家政策、深耕行业,具备深厚的技术功底和丰富的实践经验,为诸多电力、能源、制造等等行业客户提供过专业安全服务。是网络安全等级保护、安全服务等系统合规的不二选择。


工业控制系统安全合规





原文始发于微信公众号(BeFun安全实验室):工业控制系统安全合规

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日08:32:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  工业控制系统安全合规 http://cn-sec.com/archives/1066126.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: