Beruflich Dokumente
Kultur Dokumente
Sistemas de Control
(ICS) Seguridad
Sistemas de control de supervisión y adquisición de datos (SCADA), sistemas de
control distribuido (DCS) y otras configuraciones de sistemas de control, como
controladores lógicos programables(SOCIEDAD ANÓNIMA)
Kei
th
Stouffer
Victori
a
Pillitter
i
Suzann
e
Lightm
an
Marsha
ll
Abrams
Adán Hahn
Esta publicación está disponible de forma gratuita en:
http://dx.doi.org/10.6028/NIST.SP.800-82r2
V
ictoria
Pillitteri
Suzanne
Hombre
ligero La
seguridad
informática
División
Tecnologías de la información Laboratorio
Marshall Abrams
El MITRE Sociedad
Adán Hahn
Estado de washington Universidad
Mayo 2015
Departamento de Comercio
Penny Pritzker, Secretario
Esta publicación ha sido desarrollada por NIST para cumplir con sus responsabilidades legales
conforme a la Ley Federal de Modernización de la Seguridad de la Información (FISMA) de 2014,
44 USC § 3541 et seq. , Derecho Público (PL) 113-283. El NIST es responsable de desarrollar
estándares y pautas de seguridad de la información, incluidos los requisitos mínimos para los
sistemas de información federales, pero dichos estándares y pautas no se aplicarán a los sistemas de
seguridad nacional sin la aprobación expresa de los funcionarios federales apropiados que ejercen la
autoridad política sobre dichos sistemas. Esta guía es consistente con los requisitos de la Circular A-
130 de la Oficina de Administración y Presupuesto (OMB), Sección 8b (3), Sistemas de
Información de la Agencia de Aseguramiento , según se analiza en la Circular A-130, Apéndice IV:
Análisis de Secciones Clave .
La información complementaria se proporciona en la Circular A-130, Apéndice III, Seguridad de
los recursos federales de información automatizada .
No debe tomarse nada en esta publicación para contradecir las normas y directrices obligatorias y
vinculantes para las agencias federales por el Secretario de Comercio bajo la autoridad legal.
Tampoco se deben interpretar estas pautas como alterar o reemplazar a las autoridades existentes del
Secretario de Comercio, Director de la OMB o cualquier otro funcionario federal. Esta publicación
puede ser utilizada por organizaciones no gubernamentales de forma voluntaria y no está sujeta a
derechos de autor en los Estados Unidos. La atribución, sin embargo, sería apreciada por el NIST.
Resumen
Este documento proporciona una guía sobre cómo proteger los Sistemas de control industrial
(ICS), incluidos los Sistemas de control de supervisión y Adquisición de datos (SCADA),
los Sistemas de control distribuido (DCS) y otras configuraciones de sistemas de control
como los Controladores lógicos programables (PLC), mientras abordan sus Requisitos
únicos de rendimiento, fiabilidad y seguridad. El documento proporciona una descripción
general de ICS y las topologías típicas de los sistemas, identifica las amenazas y
vulnerabilidades típicas de estos sistemas y proporciona las medidas de seguridad
recomendadas para mitigar los riesgos asociados.
Palabras clave
Los autores originales, Keith Stouffer, Joe Falco y Karen Scarfone de NIST, desean
agradecer a sus colegas que revisaron los borradores de la versión original del
documento y contribuyeron a su contenido técnico.Los autores desean especialmente
reconocer a Tim Grance, Ron Ross, Stu Katzke y Freemon Johnson de NIST por su
asistencia aguda y perspicaz a lo largo del desarrollo del documento. Los autores
también reconocen con gratitud y aprecian las numerosas contribuciones de los sectores
público y privado cuyos comentarios reflexivos y constructivos mejoraron la calidad y la
utilidad de la publicación. Los autores agradecen especialmente a los miembros de
ISA99. Los autores también desean agradecer al Centro Nacional de Protección de
Infraestructura Nacional (CPNI) del Reino Unido por permitir que partes de la Guía de
Buenas Prácticas sobre Implementación de Cortafuegos para SCADA y la Red de
Control de Procesos se utilicen en el documento, así como a ISA por permitir partes de
las Normas ISA-62443 que se utilizarán en el documento.
Ejecutivo Resumen 1
1. Introducción 1-1
1.1 Propósito y Alcance 1-1
1.2 Audiencia 1-1
1.3 Documento Estructura 1-2
2. Descripción de Industrial Controlar Sistemas 2-1
2.1 Evolución de la industria Controlar Sistemas 2-1
2.2 Sectores Industriales ICS y Su Interdependencias 2-2
2.2.1 Fabricación Industrias 2-2
2.2.2 Distribución Industrias 2-2
2.2.3 Las diferencias entre la fabricación y Distribución ICS 2-2
2.2.4 ICS y crítico Infraestructura Interdependencias 2-2
2.3 Operación ICS y Componentes 2-3
2.3.1 Sistema de ICS Diseño Consideraciones 2-4
2.3.2 SCADA Sistemas 2-5
2.3.3 Repartido Controlar Sistemas 2-10
2.3.4 Controlador lógico programable Basado Topologias 2-12
2.4 Comparando ICS y IT Sistemas Seguridad 2-14
2.5 Otros tipos de Controlar Sistemas 2-17
3. Gestión de Riesgos ICS y Evaluación 3-1
3.1 Gestión de riesgos 3-1
3.2 Introducción al Riesgo administración Proceso 3-2
3.3 Consideraciones especiales para hacer un ICS Evaluación de riesgos
3-4
3.3.1 Seguridad dentro de un ICS Seguridad de la información Riesgo Evaluación
3-4
3.3.2 Impactos físicos potenciales de una ICS Incidente 3-5
3.3.3 Impacto de la interrupción física de un ICS Proceso 3-5
3.3.4 Incorporando aspectos no digitales de ICS en Impacto Evaluaciones
3-6
3.3.5 Incorporando el impacto de La seguridad Sistemas 3-7
3.3.6 Considerando la propagación del impacto a Conectado Sistemas 3-
7
4. Desarrollo del programa de seguridad de ICS y Despliegue
4-1
4.1 Caso de negocio para Seguridad 4-2
4.1.1 Beneficios 4-2
4.1.2 Potencial Consecuencias 4-3
4.1.3 Recursos para la construcción Caso de negocio 4-4
4.1.4 Presentando el caso de negocio a Liderazgo 4-4
4.2 Construir y entrenar a Multifuncional Equipo 4-5
4.3 Definir Carta y Alcance 4-5
4.4 Definir políticas de seguridad específicas de ICS y Procedimientos 4-6
4.5 Implementar un riesgo de seguridad ICS administración Marco de referencia
4-6
4.5.1 Categorizar sistemas ICS y Redes Bienes 4-7
4.5.2 Seleccione ICS Seguridad Controles 4-7
4.5.3 Realizar Evaluación de riesgos 4-8
4.5.4 Implementar el Seguridad Controles 4-8
Lista de Figuras
Lista de mesas
Ejecutivo Resumen
Este documento proporciona una guía para establecer sistemas de control industrial seguros
(ICS). Estos ICS, que incluyen sistemas de control de supervisión y adquisición de datos
(SCADA), sistemas de control distribuido (DCS) y otras configuraciones de sistemas de
control tales como Controladores lógicos programables (PLC) se encuentran a menudo en
los sectores de control industrial. Los ICS se utilizan normalmente en industrias tales como
electricidad, agua y aguas residuales, petróleo y gas natural, transporte, productos químicos,
farmacéuticos, pulpa y papel, alimentos y bebidas, y manufactura discreta (por ejemplo,
bienes automotrices, aeroespacial y bienes duraderos). Sistemas SCADA se utilizan
generalmente para controlar activos dispersos mediante la adquisición de datos centralizada
y el control de supervisión. Los DCS se usan generalmente para controlar los sistemas de
producción dentro de un área local, como una fábrica que usa control supervisor y
regulatorio. Los PLC se utilizan generalmente para el control discreto para aplicaciones
específicas y generalmente proporcionan control regulatorio. Estos sistemas de control son
vitales para el funcionamiento de las infraestructuras críticas de los EE. UU. Que a menudo
son sistemas altamente interconectados y mutuamente dependientes. Es importante tener en
cuenta que aproximadamente el 90 por ciento de las infraestructuras críticas de la nación
son de propiedad y operación privada. Las agencias federales también operan muchos de los
ICS mencionados anteriormente; otros ejemplos incluyen control de tráfico aéreo y manejo
de materiales (por ejemplo, manejo de correo del Servicio Postal). Este documento
proporciona una descripción general de estos ICS y las topologías típicas de los sistemas,
identifica las amenazas y vulnerabilidades típicas de estos sistemas y proporciona medidas
de seguridad recomendadas para mitigar los riesgos asociados. .
Inicialmente, ICS tenía poca semejanza con los sistemas tradicionales de tecnología de la
información (TI) en la medida en que los ICS eran sistemas aislados que ejecutaban
protocolos de control de propiedad utilizando hardware y software especializados. Muchos
componentes de ICS estaban en áreas con seguridad física y los componentes no estaban
conectados a redes o sistemas de TI. Los dispositivos de Protocolo de Internet (IP) de gran
disponibilidad y bajo costo ahora están reemplazando las soluciones propietarias, lo que
aumenta la posibilidad de vulnerabilidades e incidentes de ciberseguridad. A medida que
ICS está adoptando soluciones de TI para promover la conectividad de los sistemas
empresariales corporativos y las capacidades de acceso remoto, y se están diseñando e
implementando utilizando computadoras, sistemas operativos (OS) y protocolos de red
estándar de la industria, están empezando a parecerse a los sistemas de TI. Esta integración
admite nuevas capacidades de TI , pero proporciona un aislamiento significativamente
menor para ICS del mundo exterior que los sistemas anteriores, lo que crea una mayor
necesidad de proteger estos sistemas. El uso creciente de redes inalámbricas pone a las
implementaciones de ICS en mayor riesgo por adversarios que se encuentran en una
proximidad física relativamente cercana pero que no tienen acceso físico directo al equipo.
Si bien las soluciones de seguridad se han diseñado para tratar estos problemas de seguridad
en los sistemas de TI típicos, se deben tomar precauciones especiales al introducir estas
mismas soluciones en los entornos de ICS. En algunos casos, se necesitan nuevas soluciones
de seguridad que se adapten al ICS ambiente.
Aunque algunas características son similares, los ICS también tienen características que
difieren de los sistemas tradicionales de procesamiento de información. Muchas de estas
diferencias se derivan del hecho de que la lógica ejecutada en ICS tiene un efecto directo en
el mundo físico. Algunas de estas características incluyen un riesgo significativo para la
salud y la seguridad de las vidas humanas y daños graves al medio ambiente, así como
problemas financieros graves, como pérdidas de producción, impacto negativo en la
economía de una nación y compromiso de información confidencial. Los ICS tienen
requisitos únicos de rendimiento y confiabilidad y, con frecuencia, utilizan sistemas
operativos y aplicaciones que pueden considerarse poco convencionales para el personal de
TI típico. Además, los objetivos de seguridad y eficiencia a veces entran en conflicto con la
seguridad en el diseño y operación de los sistemas de control.
Los programas de seguridad cibernética de ICS siempre deben formar parte de programas
de seguridad y confiabilidad de ICS más amplios en los sitios industriales y en los
programas de seguridad cibernética de las empresas, ya que la seguridad cibernética es
esencial para el funcionamiento seguro y confiable de los procesos industriales modernos.
Las amenazas a los sistemas de control pueden provenir de numerosas fuentes, incluidos
gobiernos hostiles, grupos terroristas, empleados descontentos, intrusos maliciosos,
complejidades, accidentes y desastres naturales, así como acciones malintencionadas o
accidentales por parte de personas con información privilegiada. Los objetivos de
seguridad de ICS generalmente siguen la prioridad de disponibilidad e integridad, seguidos
de la confidencialidad.
Los posibles incidentes que un ICS puede enfrentar incluyen los siguientes:
Flujo de información bloqueado o retrasado a través de las redes de ICS, que podría
interrumpir el ICS operación.
Cambios no autorizados a las instrucciones, comandos o umbrales de alarma, que
podrían dañar, deshabilitar o apagar equipos, crear impactos ambientales y / o poner
en peligro a personas. vida.
Información inexacta enviada a los operadores del sistema, ya sea para disfrazar
cambios no autorizados o para hacer que los operadores inicien acciones inapropiadas,
que podrían tener varios efectos negativos.efectos
Se modificó el software de ICS o los ajustes de configuración, o el software de ICS
se infectó con malware, lo que podría tener varios aspectos negativos. efectos
Interferencia con el funcionamiento de los sistemas de protección de equipos, que
podrían poner en peligro costosos y difíciles de reemplazar. equipo.
:
Restricción del acceso lógico a la red de ICS y la actividad de la red. Esto
puede incluir el uso de pasarelas unidireccionales, una arquitectura de red de zona
desmilitarizada (DMZ) con firewalls para evitar que el tráfico de red pase
directamente entre las redes corporativas e ICS, y tener mecanismos y credenciales
de autenticación separados para los usuarios de las redes corporativas e ICS. El ICS
también debe usar una topología de red que tenga múltiples capas, con las
comunicaciones más importantes que se producen de la manera más segura y
confiable. capa.
Restricción del acceso físico a la red y dispositivos de ICS. El acceso físico no
autorizado a los componentes podría causar una interrupción grave de la
funcionalidad del ICS. Se debe usar una combinación de controles de acceso
físico, como cerraduras, lectores de tarjetas y / o guardias
Proteger los componentes individuales de ICS de la explotación. Esto incluye
implementar parches de seguridad de la manera más rápida posible, después de
probarlos en condiciones de campo; deshabilitar todos los puertos y servicios no
utilizados y garantizar que permanezcan deshabilitados; restringir los privilegios de
usuario de ICS a solo aquellos que son necesarios para el rol de cada persona;
seguimiento y seguimiento de pistas de auditoría; y el uso de controles de seguridad
como el software antivirus y el software de comprobación de la integridad de los
archivos donde sea técnicamente posible prevenir, disuadir, detectar y mitigar malware
Restricción de la modificación no autorizada de datos. Esto incluye datos que
están en tránsito (al menos a través de los límites de la red) y en descanso.
Detección de incidentes y eventos de seguridad. La detección de eventos de
seguridad, que aún no se han convertido en incidentes, puede ayudar a los defensores a
romper la cadena de ataque antes de que los atacantes alcancen sus objetivos. Esto
incluye la capacidad de detectar componentes ICS fallidos, servicios no disponibles y
agotados Los recursos que son importantes para proporcionar un funcionamiento
adecuado y seguro de la ICS.
Mantener la funcionalidad en condiciones adversas. Esto implica diseñar el ICS
para que cada componente crítico tenga una contraparte redundante. Además, si un
componente falla, debería fallar de una manera que no genere tráfico innecesario en el
ICS u otras redes, o que no cause otro problema en otro lugar, como un evento en
cascada. El ICS también debe permitir una degradación elegante, como pasar de
"operación normal" con automatización completa a "operación de emergencia" con
operadores más involucrados y menos automatización a "operación manual" sin
automatización.
En un ICS típico, esto significa una estrategia de defensa en profundidad que incluye:
Si bien muchos controles en el Apéndice F de NIST SP 800-53 son aplicables a ICS tal
como están escritos, muchos controles requieren una interpretación y / o aumento
específicos de ICS al agregar uno o más de los siguientes al control:
La Sección 2 proporciona una descripción general de ICS que incluye una comparación
entre ICS y TI sistemas
La sección 3 proporciona una discusión de la gestión de riesgos de ICS y evaluación.
La Sección 4 proporciona una descripción general del desarrollo y la
implementación de un programa de seguridad de ICS Para mitigar el riesgo de las
vulnerabilidades identificadas en el Apéndice. DO.
La Sección 5 proporciona recomendaciones para integrar la seguridad en las
arquitecturas de red que normalmente se encuentran en ICS, con énfasis en la
segregación de la red. practicas
La Sección 6 proporciona un resumen de los controles de gestión, operativos y
técnicos identificados en la Publicación especial 800-53 de NIST, Controles de
seguridad y privacidad para sistemas y organizaciones de información federales , y
proporciona una guía inicial sobre cómo se aplican estos controles de seguridad a ICS.
La guía también contiene varios apéndices con material de apoyo, como sigue:
Sistema de control industrial (ICS) es un término general que abarca varios tipos de
sistemas de control, incluidos los sistemas de control de supervisión y adquisición de datos
(SCADA), sistemas de control distribuido (DCS) y otras configuraciones de sistemas de
control tales como Controladores lógicos programables (PLC) a menudo. Se encuentra en
los sectores industriales e infraestructuras críticas. Un ICS consiste en combinaciones de
componentes de control (p. Ej., Eléctrico, mecánico, hidráulico, neumático) que actúan
conjuntamente para lograr un objetivo industrial (p. Ej., Fabricación, transporte de materia o
energía). La parte del sistema que se ocupa principalmente de producir la salida se
denomina proceso. La parte de control del sistema incluye el Especificación de la salida o
rendimiento deseado. El control puede ser completamente automatizado o puede incluir un
humano en el bucle. Los sistemas se pueden configurar para operar en modo de bucle
abierto, de bucle cerrado y manual. En los sistemas de control de bucle abierto, la salida se
controla mediante los ajustes establecidos. En los sistemas de control de circuito cerrado, la
salida tiene un efecto en la entrada de tal manera que mantiene el objetivo deseado. En
modo manual el sistema está completamente controlado por humanos. La parte del sistema
que se ocupa principalmente de mantener la conformidad con las especificaciones se conoce
como el controlador (o control). Un ICS típico puede contener numerosos bucles de control,
interfaces hombre-máquina (HMI) y herramientas de diagnóstico y mantenimiento remotas
creadas utilizando una serie de protocolos de red. Los procesos industriales de control de
ICS se utilizan normalmente en electricidad, agua y aguas residuales,Petróleo y gas natural,
productos químicos, transporte, productos farmacéuticos, pulpa y papel, alimentos y
bebidas, y fabricación discreta (por ejemplo, automotriz, aeroespacial y bienes duraderos).
Los ICS son críticos para el funcionamiento de las infraestructuras críticas de los EE. UU.
Que a menudo son sistemas altamente interconectados y mutuamente dependientes. Es
importante tener en cuenta que aproximadamente el 85 por ciento de las infraestructuras
críticas de la nación son de propiedad y operación privada 1 . Las agencias federales también
operan muchos de los procesos industriales mencionados anteriormente, así como el control
del tráfico aéreo. Esta sección proporciona una descripción general de los sistemas SCADA,
DCS y PLC, incluidas las topologías y componentes típicos. Se presentan varios diagramas
para representar la topología de la red, las conexiones, los componentes y los protocolos que
generalmente se encuentran en cada sistema para facilitar la comprensión de estos sistemas.
Estos ejemplos solo intentan identificar conceptos de topología nocional. Las
implementaciones reales de ICS pueden ser híbridos que desdibujan la línea entre los
sistemas DCS y SCADA. Tenga en cuenta que los diagramas en esta sección no se centran
en la protección de ICS. La arquitectura de seguridad y los controles de seguridad se tratan
en la Sección 5 y la Sección 6 de este documento, respectivamente.
La ingeniería de ICS continúa evolucionando para proporcionar nuevas capacidades a la vez que
mantiene los ciclos de vida largos típicos de estos sistemas. La introducción de las capacidades
de TI en los sistemas físicos presenta un comportamiento emergente que tiene implicaciones de
seguridad. Los modelos y análisis de ingeniería están evolucionando para abordar estas
propiedades emergentes, incluidas las interdependencias de seguridad, protección, privacidad e
impacto ambiental.
1
http://www.dhs.gov/critical-infrastructure-sector-partnerships (última actualización, abril de 2014)
2.2 Sectores Industriales ICS Y Sus Interdependencias
Las industrias de fabricación basadas en procesos suelen utilizar dos procesos principales [1] :
Tanto las industrias basadas en procesos como las industrias discretas utilizan los mismos
tipos de sistemas de control, sensores y redes. Algunas instalaciones son un híbrido de
fabricación discreta y basada en procesos.
Los ICS se utilizan para controlar los activos geográficamente dispersos, a menudo
dispersos en miles de kilómetros cuadrados, incluidos los sistemas de distribución como
la distribución de agua y los sistemas de recolección de aguas residuales, sistemas de
riego agrícola, oleoductos y gasoductos naturales, redes eléctricas y sistemas de transporte
ferroviario.
Si bien los sistemas de control utilizados en las industrias de fabricación y distribución son
muy similares en operación, son diferentes en algunos aspectos. Las industrias
manufactureras generalmente están ubicadas dentro de una fábrica confinada o un área
centrada en la planta, en comparación con las industrias de distribución geográficamente
dispersas. Las comunicaciones en las industrias manufactureras generalmente se realizan
utilizando tecnologías de red de área local (LAN) que suelen ser más confiables y de alta
velocidad en comparación con las redes de área extensa (WAN) de comunicación a larga
distancia y las tecnologías inalámbricas / RF (radiofrecuencia) utilizadas por la distribución.
industrias Los ICS utilizados en las industrias de distribución están diseñados para manejar
los desafíos de la comunicación a larga distancia, como los retrasos y la pérdida de datos
causados por los diversos medios de comunicación utilizados. Los controles de seguridad
pueden diferir entre la red. tipos
Los sistemas SCADA y DCS a menudo están conectados en red. Este es el caso de los
centros de control de energía eléctrica y las instalaciones de generación de energía
eléctrica. Aunque la operación de la instalación de generación de energía eléctrica está
controlada por un DCS, el DCS debe comunicarse con el sistema SCADA para coordinar
la producción de salida con las demandas de transmisión y distribución.
A menudo se piensa que la energía eléctrica es una de las fuentes más frecuentes de
interrupciones de las infraestructuras críticas interdependientes. Como ejemplo, una falla en
cascada puede ser iniciada por una interrupción de la red de comunicaciones de microondas
utilizada para un sistema SCADA de transmisión de energía eléctrica. La falta de
capacidades de monitoreo y control podría hacer que una gran unidad generadora se
desconecte, un evento que podría llevar a una pérdida de energía en una subestación de
transmisión. Esta pérdida podría causar un desequilibrio importante, provocando una falla
en cascada en la red eléctrica. Esto podría ocasionar apagones en grandes áreas que podrían
afectar la producción de petróleo y gas natural, operaciones de refinería, sistemas de
tratamiento de agua, sistemas de recolección de aguas residuales y sistemas de transporte
por tuberías que dependen de la red para la energía eléctrica.
2.3 Operación ICS y Componentes
La operación básica de un ICS se muestra en la Figura 2-1 [2] . Algunos procesos críticos
también pueden incluir sistemas de seguridad. Los componentes clave incluyen lo
siguiente:
Los operadores e ingenieros utilizan interfaces humanas para monitorear y configurar los
puntos de ajuste, los algoritmos de control y para ajustar y establecer parámetros en el
controlador. La interfaz humana también muestra información de estado del proceso e
información histórica. Las utilidades de diagnóstico y mantenimiento se utilizan para
prevenir, identificar y recuperarse de operaciones anormales o fallas.
A veces, estos bucles de control están anidados y / o en cascada, por lo que el punto de
ajuste para un bucle se basa en la variable de proceso determinada por otro bucle. Los
bucles de nivel de supervisión y los bucles de nivel inferior funcionan de manera continua
durante un proceso con tiempos de ciclo que van del orden de milisegundos a minutos.
Figura 2-1. Operación ICS
Para apoyar las discusiones posteriores, esta sección define los componentes clave de ICS
que se utilizan en el control y la red. Algunos de estos componentes pueden describirse
genéricamente para su uso en sistemas SCADA, DCS y PLC, mientras que otros son
únicos para uno. El Glosario de términos en el Apéndice B contiene una lista más
detallada de los componentes de control y redes. Además, la Figura 2-5 y la Figura 2-6
muestran ejemplos de implementación de SCADA; La Figura 2-7 muestra un ejemplo de
implementación de DCS y la Figura 2-8 muestra un ejemplo de implementación de PLC
que incorpora estos componentes.
Si bien la Sección 2.3 introdujo los componentes básicos de un ICS, el diseño de un ICS,
incluido el uso de topologías basadas en SCADA, DCS o PLC, depende de muchos
factores. Esta sección identifica los factores clave que impulsan las decisiones de diseño
con respecto a las propiedades de control, comunicación, confiabilidad y redundancia del
ICS. Debido a que estos factores influyen en gran medida en el diseño del ICS, también
ayudarán a determinar las necesidades de seguridad del sistema.
Requisitos de tiempo de control. Los procesos de ICS tienen una amplia gama de
requisitos relacionados con el tiempo, que incluyen muy alta velocidad, consistencia,
regularidad y sincronización. Los seres humanos pueden no ser capaces de cumplir de
manera confiable y consistente estos requisitos; controladores automáticos pueden ser
necesarios. Algunos sistemas pueden requerir que el cálculo se realice lo más cerca
posible del sensor y los actuadores para reducir la latencia de la comunicación y
realizar las acciones de control necesarias en tiempo.
Distribución geográfica. Los sistemas tienen diferentes grados de distribución, desde
un sistema pequeño (por ejemplo, un proceso controlado por PLC local) hasta sistemas
grandes y distribuidos (por ejemplo, oleoductos, redes eléctricas). Por lo general, una
mayor distribución implica la necesidad de un área amplia (por ejemplo, líneas
arrendadas, conmutación de circuitos y conmutación de paquetes) y dispositivos
móviles. comunicación.
Jerarquía. El control de supervisión se utiliza para proporcionar una ubicación
central que puede agregar datos de varias ubicaciones para respaldar las decisiones de
control basadas en el estado actual del sistema. A menudo, se utiliza un control
jerárquico / centralizado para proporcionar a los operadores humanos una visión
integral de todo el sistema.
Control de Complejidad. A menudo, las funciones de control se pueden realizar
mediante controladores simples y algoritmos preestablecidos. Sin embargo, los
sistemas más complejos (por ejemplo, el control del tráfico aéreo) requieren que los
operadores humanos se aseguren de que todas las acciones de control sean
apropiadas para cumplir con los objetivos más grandes del sistema.
Disponibilidad. Los requisitos de disponibilidad (es decir, confiabilidad) del
sistema también son un factor importante en el diseño. Los sistemas con fuertes
requisitos de disponibilidad / tiempo de actividad pueden requerir más redundancia o
implementaciones alternativas en todas las comunicaciones y controlar.
Impacto de las fallas. El fallo de una función de control podría incurrir en impactos
sustancialmente diferentes en los dominios. Los sistemas con mayor impacto a menudo
requieren la capacidad de continuar las operaciones a través de controles redundantes,
o la capacidad de operar en un estado degradado. El diseño debe abordar estos
requisitos.
La seguridad. El área de requisitos de seguridad del sistema también es un factor
importante en el diseño. Los sistemas deben ser capaces de detectar condiciones
inseguras y desencadenar acciones para reducir las condiciones inseguras a
condiciones seguras. En La mayoría de las operaciones críticas para la seguridad, la
supervisión humana y el control de un proceso potencialmente peligroso son una parte
esencial de la seguridad. sistema.
Los sistemas SCADA se utilizan para controlar activos dispersos donde la adquisición de
datos centralizada es tan importante como el control [3] [4]. Estos sistemas se utilizan en
sistemas de distribución como la distribución de agua y los sistemas de recolección de
aguas residuales, oleoductos y gasoductos naturales, sistemas de transmisión y distribución
de servicios eléctricos, y sistemas ferroviarios y otros sistemas de transporte público. Los
sistemas SCADA integran sistemas de adquisición de datos con sistemas de transmisión de
datos y software HMI para proporcionar un sistema de monitoreo y control centralizado
para numerosas entradas y salidas de procesos. Los sistemas SCADA están diseñados para
recopilar información de campo, transferirla a una instalación central de computadoras y
mostrar la información al operador de manera gráfica o textual, lo que le permite
monitorear o controlar un sistema completo desde una ubicación central casi en tiempo real.
Basado en la sofisticación y configuración del sistema individual, el control de cualquier
sistema individual, operación o tarea puede ser automático,o puede ser ejecutado por
comandos del operador.
Las cuatro topologías básicas de la Figura 2-3 pueden aumentarse aún más utilizando
dispositivos dedicados para gestionar los intercambios de comunicación, así como el
intercambio de mensajes y el almacenamiento en búfer. Los grandes sistemas SCADA que
contienen cientos de RTUs a menudo emplean un servidor de control secundario para
aliviar la carga del servidor primario. Este tipo de topología se muestra en la Figura 2-4.
DCS se utiliza para controlar los sistemas de producción dentro de la misma ubicación
geográfica para industrias tales como refinerías de petróleo, tratamiento de agua y aguas
residuales, plantas de generación de energía eléctrica, plantas de fabricación de productos
químicos, producción automotriz e instalaciones de procesamiento farmacéutico. Estos
sistemas suelen ser sistemas de control de procesos o de control de partes discretas.
DCS se integra como una arquitectura de control que contiene un nivel de control de
supervisión que supervisa múltiples subsistemas integrados que son responsables de
controlar los detalles de un proceso localizado. Un DCS utiliza un circuito de control de
supervisión centralizado para mediar en un grupo de controladores localizados que
comparten las tareas generales de llevar a cabo un proceso de producción completo [6]. El
control de productos y procesos generalmente se logra al implementar retroalimentación o
ciclos de control de avance hacia adelante, por lo que las condiciones clave del producto y /
o proceso se mantienen automáticamente alrededor de un punto de ajuste deseado. Para
lograr el producto deseado y / o la tolerancia del proceso en torno a un punto de ajuste
específico, se emplean en el campo controladores de proceso específicos, o PLC más
capaces, y se ajustan para proporcionar la tolerancia deseada, así como la tasa de
autocorrección durante los trastornos del proceso. Al modularizar el sistema de producción,
un DCS reduce el impacto de un solo fallo en el sistema en general. En muchos sistemas
modernos, el DCS está interconectado con la red corporativa para brindar a las operaciones
comerciales una visión de la producción.
En la Figura 2-7 se muestra una implementación de ejemplo que muestra los componentes y
la configuración general de un DCS. Este DCS abarca una instalación completa desde los
procesos de producción de nivel inferior hasta la capa corporativa o empresarial. En este
ejemplo, un controlador supervisor (servidor de control) se comunica con sus subordinados
a través de una red de control. El supervisor envía puntos de referencia y solicita datos de
los controladores de campo distribuidos. Los controladores distribuidos controlan sus
actuadores de proceso en función de los comandos del servidor de control y la
retroalimentación del sensor del proceso sensores
Los PLC se utilizan en los sistemas SCADA y DCS como componentes de control de un
sistema jerárquico general para proporcionar la gestión local de los procesos a través del
control de retroalimentación como se describe en las secciones anteriores. En el caso de
los sistemas SCADA, pueden proporcionar la misma funcionalidad de las RTU. Cuando
se utilizan en DCS, los PLC se implementan como controladores locales dentro de un
esquema de control de supervisión.
Además del uso de PLC en SCADA y DCS, los PLC también se implementan como el
controlador principal en configuraciones de sistemas de control más pequeños para
proporcionar control operacional de procesos discretos como líneas de ensamblaje de
automóviles y controles de sopladores de hollín de centrales eléctricas. Estas topologías
difieren de SCADA y DCS en que por lo general, carecen de un servidor de control central
y de HMI y, por lo tanto, proporcionan principalmente el control de bucle cerrado sin la
participación directa del ser humano. Los PLC tienen una memoria programable por el
usuario para almacenar instrucciones con el fin de implementar funciones específicas como
control de E / S, lógica, temporización, conteo, control proporcional-derivado-modo (PID)
de tres modos, comunicación, aritmética y datos y archivos. tratamiento.
ICS controla el mundo físico y los sistemas de TI gestionan los datos. Los ICS tienen
muchas características que difieren de los sistemas de TI tradicionales, incluidos los
diferentes riesgos y prioridades. Algunos de estos incluyen un riesgo significativo para la
salud y la seguridad de las vidas humanas, daños graves al medio ambiente y problemas
financieros, como pérdidas de producción, y un impacto negativo en la economía de una
nación. Los ICS tienen diferentes requisitos de rendimiento y confiabilidad, y también usan
sistemas operativos y aplicaciones que pueden considerarse no convencionales en un
entorno de red de TI típico. Las protecciones de seguridad deben implementarse de manera
que se mantenga la integridad del sistema durante las operaciones normales, así como
durante los tiempos de ciberataque [17].
Inicialmente, ICS tenía poca semejanza con los sistemas de TI, ya que los ICS eran
sistemas aislados que ejecutaban protocolos de control de propiedad utilizando hardware y
software especializados. Los dispositivos Ethernet y de protocolo de Internet (IP) de gran
disponibilidad y bajo costo ahora están reemplazando las tecnologías propietarias más
antiguas, lo que aumenta la posibilidad de vulnerabilidades e incidentes de ciberseguridad.
A medida que ICS está adoptando soluciones de TI para promover la conectividad
corporativa y las capacidades de acceso remoto, y se están diseñando e implementando
utilizando computadoras, sistemas operativos (OS) y protocolos de red estándar de la
industria, están empezando a parecerse a los sistemas de TI. Esta integración admite nuevas
capacidades de TI, pero proporciona un aislamiento significativamente menor para ICS del
mundo exterior que los sistemas anteriores, lo que crea una mayor necesidad de proteger
estos sistemas.
Si bien las soluciones de seguridad se han diseñado para tratar estos problemas de
seguridad en los sistemas de TI típicos, se deben tomar precauciones especiales al
introducir estas mismas soluciones en los entornos de ICS. En algunos casos, se necesitan
nuevas soluciones de seguridad que se adapten al entorno de ICS.
Los entornos en los que ICS y los sistemas de TI operan están cambiando constantemente.
Los entornos de operación incluyen, pero no se limitan a: el espacio de amenaza;
vulnerabilidades misiones / funciones de negocios; misión / procesos de negocio;
arquitecturas empresariales y de seguridad de la información; tecnologías de la
información; personal; instalaciones; relaciones de la cadena de suministro; gobierno
organizacional / cultura; procesos de adquisición / adquisición; políticas / procedimientos
organizacionales; supuestos organizacionales, restricciones, tolerancia al riesgo y
prioridades / compensaciones).
En resumen, las diferencias operativas y de riesgo entre los sistemas de ICS y de TI crean
la necesidad de una mayor sofisticación en la aplicación de la ciberseguridad y las
estrategias operativas. Un equipo multifuncional de ingenieros de control, operadores de
sistemas de control y profesionales de seguridad de TI debe trabajar estrechamente para
comprender las posibles implicaciones de la instalación, operación y mantenimiento de las
soluciones de seguridad junto con la operación del sistema de control. Los profesionales
de TI que trabajan con ICS deben comprender los impactos de confiabilidad de las
tecnologías de seguridad de la información antes de la implementación. Es posible que
algunos de los sistemas operativos y aplicaciones que se ejecutan en ICS no funcionen
correctamente con soluciones de ciberseguridad de TI comerciales (COTS) debido a las
arquitecturas de entorno de ICS especializadas.
2.5 Otros tipos de control Sistemas
Aunque esta guía proporciona una guía para asegurar el ICS, otros tipos de sistemas de
control comparten características similares y muchas de las recomendaciones de esta guía
son aplicables y podrían utilizarse como referencia para proteger dichos sistemas contra
amenazas de ciberseguridad. Por ejemplo, aunque muchos sistemas de construcción,
transporte, médicos, seguridad y logística utilizan diferentes protocolos, puertos y
servicios, y están configurados y operan en modos diferentes a los ICS, comparten
características similares a los ICS tradicionales [18]. Ejemplos de algunos de estos
sistemas y protocolos incluyen:
2
http://www.bacnet.org/
3
http://en.wikipedia.org/wiki/LonWorks
This section focuses primarily on ICS considerations at the information system level,
however, it is important to note that the risk management activities, information, and
artifacts at each tier impact and inform the other tiers . Section 6 extends the concepts
presented here to the control family level and provides ICS-specific recommendations to
augment security control families. Throughout the following discussion of risk
management, ICS considerations will be highlighted and the impact that these
considerations have on the risk management process will be discussed.
For more information on multi-tiered risk management and the risk management process,
refer to NIST Special Publication 800-39, Managing Information Security Risk:
Organization, Mission and Information System View [20]. NIST Special Publication 800-37
Revision 1, Guide for Applying the Risk Management Framework to Federal Information
Systems: A Security Life Cycle Approach [21] , provides guidelines for applying the Risk
Management Framework to federal information systems to include conducting the activities
of security categorization, 4 security control selection and implementation, security control
assessment, information system authorization, 5 and security control monitoring. NIST
Special Publication 800-30, Guide for Conducting Risk Assessments , provides a step-by-
step process for organizations on: (i) how to prepare for risk assessments; (ii) how to
conduct risk assessments; (iii) how to communicate risk assessment results to key
organizational personnel; and (iv) how to maintain the risk assessments over time [79] .
4
FIPS 199 provides security categorization guidance for non-national security systems [15]. CNSS Instruction
1253 provides similar guidance for national security systems.
5
Security authorization is the official management decision given by a senior organizational official to authorize
operation of an information system and to explicitly accept the risk to organizational operations and assets,
individuals, other organizations, and the Nation based on the implementation of an agreed-upon set of security
controls.
As shown in Figure 3-1, the risk management process has four components: framing ,
assessing , responding and monitoring . These activities are interdependent and often occur
simultaneously within an organization. For example, the results of the monitoring
component will feed into the framing component. As the environment in which
organizations operate is always changing, risk management must be a continuous process
where all components have on-going activities. It is important to remember that these
components apply to the management of any risk whether information security, physical
security, safety or financial.
La evaluación del riesgo requiere que las organizaciones identifiquen sus amenazas y
vulnerabilidades, el daño que tales amenazas y vulnerabilidades pueden causar a la
organización y la probabilidad de que ocurran eventos adversos derivados de esas
amenazas y vulnerabilidades.
6
MIL-STD-882E, Práctica estándar - Seguridad del sistema , Departamento de Defensa (DoD), 11 de mayo de
2012, https://acc.dau.mil/CommunityBrowser.aspx?id=683694
7
http://www.dhs.gov/about-national-cybersecurity-communications-integration-center
8
https://ics-cert.us-cert.gov/
La naturaleza de ICS significa que cuando una organización realiza una evaluación de
riesgos, puede haber consideraciones adicionales que no existen al realizar una evaluación
de riesgos de un sistema de TI tradicional. Debido a que el impacto de un incidente
cibernético en un ICS puede incluir efectos físicos y digitales, las evaluaciones de riesgo
deben incorporar esos efectos potenciales. Esta sección proporcionará un examen más
profundo de lo siguiente:
The culture of safety and safety assessments is well established within the majority of the
ICS user community. Information security risk assessments should be seen as
complementary to such assessments though the assessments may use different approaches
and cover different areas. Safety assessments are concerned primarily with the physical
world. Information security risk assessments primarily look at the digital world. However,
in an ICS environment, the physical and the digital are intertwined and significant overlap
may occur.
It is important that organizations consider all aspects of risk management for safety (eg,
risk framing, risk tolerances), as well as the safety assessment results, when carrying out
risk assessments for information security. The personnel responsible for the information
security risk assessment must be able
9
Para obtener información adicional sobre cómo aceptar, evitar, mitigar, compartir o transferir riesgos, consulte la
publicación especial NIST 800-39 [20].
para identificar y comunicar los riesgos identificados que podrían tener implicaciones de
seguridad. A la inversa, el personal encargado de las evaluaciones de seguridad debe estar
familiarizado con los posibles impactos físicos y su probabilidad desarrollada por la
evaluación de riesgos de seguridad de la información. proceso.
3.3.2 Impactos físicos potenciales de un ICS Incidente
Además del impacto en el entorno físico, la evaluación de riesgos también debe evaluar los
efectos potenciales del proceso físico realizado por el ICS en consideración, así como otros
sistemas. Un incidente que afecte el ICS e interrumpa el proceso dependiente puede causar
impactos en cascada en otros procesos relacionados del ICS y la dependencia del público
en general de los productos y servicios resultantes. El impacto en los procesos de ICS
relacionados podría incluir tanto sistemas como procesos dentro de la organización (por
ejemplo, un proceso de fabricación que depende del proceso controlado por el sistema en
consideración) o sistemas y procesos externos a la organización (por ejemplo, una empresa
de servicios públicos que vende energía generada a un planta cercana).
La evaluación del impacto de un incidente también debe incorporar cómo el impacto del
ICS podría propagarse a un ICS o sistema físico conectado. Un ICS puede estar
interconectado con otros sistemas, de modo que las fallas en un sistema o proceso pueden
fácilmente conectarse a otros sistemas dentro o fuera de la organización. La propagación
del impacto podría ocurrir debido a dependencias tanto físicas como lógicas. Una
comunicación adecuada de los resultados de las evaluaciones de riesgo a los operadores de
sistemas y procesos conectados o interdependientes es una forma de mitigar dichos
impactos.
El daño lógico a un ICS interconectado podría ocurrir si el incidente cibernético se
propagó a los sistemas de control conectados. Un ejemplo podría ser si un virus o gusano
se propagó a un ICS conectado y luego impactó ese sistema. El daño físico también
podría propagarse a otros ICS interconectados. Si un incidente afecta el entorno físico de
un ICS, también puede afectar otros dominios físicos relacionados. Por ejemplo, el
impacto podría resultar en un peligro físico que degrada los entornos físicos cercanos.
Además, el impacto también podría degradar las dependencias compartidas comunes
(por ejemplo, la fuente de alimentación), o resultar en una escasez de material necesario
para una etapa posterior en un proceso industrial.
La Sección 2 aborda las diferencias operacionales críticas entre los sistemas de ICS y de TI,
y la Sección 3 aborda la administración de riesgos. Esta sección combina estas dos
preocupaciones al abordar cómo las organizaciones deben desarrollar e implementar un
programa de seguridad de ICS. Los planes y programas de seguridad de ICS deben ser
coherentes e integrados con la experiencia, los programas y las prácticas de seguridad de TI
existentes, pero deben tener en cuenta los requisitos y características específicos de las
tecnologías y los entornos de ICS. Las organizaciones deben revisar y actualizar sus planes
y programas de seguridad de ICS con regularidad para reflejar los cambios en las
tecnologías, operaciones, estándares y regulaciones, así como las necesidades de seguridad
de las instalaciones específicas.
The commitment to a security program begins at the top. Senior management must
demonstrate a clear commitment to information security. Information security is a
business responsibility shared by all members of the enterprise and especially by leading
members of the business, process, and management teams. Information security programs
with adequate funding and visible, top-level support from organization leaders are more
likely to achieve compliance, function more smoothly, and have greater success than
programs that lack that support.
Whenever a new system is being designed and installed, it is imperative to take the time to
address security throughout the lifecycle, from architecture to procurement to installation
to maintenance to decommissioning. There are serious risks in deploying systems to
production based on the assumption that they will be secured later. If there is insufficient
time and resources to secure the system properly before deployment, it is unlikely that
there will be sufficient time and resources later to address security.
Designing and implementing a new system is quite rare. It is much more common to
improve, expand, or update an existing system. Everything in this section, indeed in this
document, applies to managing the risk of existing ICS. Building an ICS Security Program
and applying it to existing systems is much more complex and challenging.
4.1.1 Beneficios
La importancia de los sistemas seguros debe enfatizarse aún más a medida que aumenta la
dependencia empresarial de la interconectividad. Los ataques de denegación de servicio
(DoS) y el malware (por ejemplo, gusanos, virus) se han vuelto muy comunes y ya han
afectado a ICS. Los ataques cibernéticos pueden tener impactos físicos significativos y
consecuentes. La gestión de riesgos se aborda en la Sección 3. Las principales categorías
de impactos son las siguientes:
Los recursos internos en los esfuerzos relacionados con la gestión de riesgos (por ejemplo,
seguridad de la información, salud, seguridad y riesgo ambiental, seguridad física,
continuidad del negocio) pueden proporcionar una asistencia tremenda en función de su
experiencia con incidentes relacionados en la organización. Esta información es útil desde el
punto de vista de priorizar amenazas y estimar el impacto en el negocio. Estos recursos
también pueden proporcionar una idea de qué gerentes se enfocan en lidiar con qué riesgos
y, por lo tanto, qué gerentes pueden ser los más apropiados o receptivos para servir como
campeones. Los recursos internos en la ingeniería y las operaciones de los sistemas de
control pueden proporcionar información sobre los detalles de cómo se implementan los
sistemas de control dentro de la organización, como los siguientes:
La Sección 3 describe un enfoque de tres niveles que aborda el riesgo en: (i) nivel de
organización ; (ii) nivel de misión / proceso de negocio ; y (iii) nivel de sistema de
información . El proceso de gestión de riesgos se lleva a cabo sin interrupciones en los tres
niveles, con el objetivo general de mejorar continuamente las actividades relacionadas con
los riesgos de la organización y la comunicación efectiva entre niveles e inter-niveles entre
todas las partes interesadas que tienen un interés compartido en la misión / éxito empresarial
de la organización.
Es fundamental para el éxito del programa de seguridad de ICS que la administración a nivel
de la organización se comprometa y participe en el programa de seguridad de ICS. La
gestión de nivel de organización de nivel 1 que abarca las operaciones de TI e ICS tiene la
perspectiva y la autoridad para comprender y asumir la responsabilidad de los riesgos.
10 Se puede encontrar
más información sobre la Ley Sarbanes-Oxley y una copia de la
ley misma en http://www.sec.gov/about/laws.shtml .
It is essential for a cross-functional information security team to share their varied domain
knowledge and experience to evaluate and mitigate risk in the ICS. At a minimum, the
information security team should consist of a member of the organization's IT staff, a
control engineer, a control system operator, security subject matter experts, and a member of
the enterprise risk management staff. Security knowledge and skills should include network
architecture and design, security processes and practices, and secure infrastructure design
and operation. Contemporary thinking that both safety and security are emergent properties
of connected systems with digital control suggests including a safety expert. For continuity
and completeness, the information security team should also include the control system
vendor and/or system integrator.
The information security team should report directly to the information security manager
at the mission/business process or organization tier, who in turn reports to the
mission/business process manager (eg, facility superintendent) or enterprise information
security manager (eg, the company's CIO/CSO), respectively. Ultimate authority and
responsibility rests in the Tier 1 risk executive function that provides a comprehensive,
organization-wide approach to risk management. The risk executive function works with
the top management to accept a level of residual risk and accountability for the
information security of the ICS. Management level accountability will help ensure an
ongoing commitment to information security efforts.
While the control engineers will play a large role in securing the ICS, they will not be able
to do so without collaboration and support from both the IT department and management.
IT often has years of security experience, much of which is applicable to ICS. As the
cultures of control engineering and IT are often significantly different, their integration will
be essential for the development of a collaborative security design and operation.
The information security manager should establish policy that defines the guiding charter of
the information security organization and the roles, responsibilities, and accountabilities of
system owners, mission/business process managers, and users. The information security
manager should decide upon and document the objective of the security program, the
business organizations affected, all the computer systems and networks involved, the
budget and resources required, and the division of responsibilities.
The scope can also address business, training, audit, legal, and regulatory
requirements, as well as timetables and responsibilities. The guiding charter of the
information security organization is a constituent of the information security
architecture which is part of the enterprise architecture, as discussed in Section 3.
Es posible que ya haya un programa de seguridad de la información implementado o en
desarrollo para los sistemas de negocios de TI de la organización. El administrador de
seguridad de la información de ICS debe identificar qué prácticas existentes se deben
aprovechar y qué prácticas son específicas del sistema de control. A la larga, será más fácil
obtener resultados positivos si el equipo puede compartir recursos con otros miembros de la
organización que tienen objetivos similares.
Las políticas y los procedimientos están en la raíz de cada programa de seguridad exitoso.
Siempre que sea posible, las políticas y procedimientos de seguridad específicos de ICS
deben integrarse con las políticas y procedimientos operativos / de gestión existentes. Las
políticas y los procedimientos ayudan a garantizar que la protección de la seguridad sea
coherente y actual para proteger contra las amenazas en evolución. El Apéndice C cita la
falta de política de seguridad como una vulnerabilidad importante. El Apéndice G—, la
superposición de ICS, contiene muchas recomendaciones de políticas de seguridad de la
información de ICS. Después de que se haya realizado un análisis de riesgos de seguridad
de la información, el gerente de seguridad de la información debe examinar las políticas de
seguridad existentes para ver si abordan adecuadamente los riesgos para el ICS. Si es
necesario, se deben revisar las políticas existentes o crear nuevas políticas.
Desde un punto de vista abstracto, la gestión de los riesgos de ICS es otro riesgo agregado a
la lista de riesgos que enfrenta una organización (por ejemplo, finanzas, seguridad, TI,
medio ambiente). En cada caso, los gerentes responsables de la misión o el proceso de
negocios establecen y conducen un programa de administración de riesgos en coordinación
con la función ejecutiva de riesgos de la alta gerencia. Publicación especial 800-39 de NIST,
Gestión de riesgos de seguridad de la información: organización, misión y vista del sistema
de información [20] , es la base de tal programa de gestión de riesgos. Al igual que las otras
áreas de misión / procesos de negocios, el personal relacionado con ICS aplica su
conocimiento especializado en materia de temas para establecer y llevar a cabo la gestión de
riesgos de seguridad de ICS y para comunicarse con la administración de la empresa para
respaldar la administración de riesgos efectiva en toda la empresa. La publicación especial
NIST 800-37, Guía para aplicar el marco de gestión de riesgos a los sistemas de
información federales [21], presenta el marco de gestión de riesgos que aborda el proceso
de implementación del marco. Las siguientes secciones resumen este proceso y aplican el
RMF a un entorno ICS.
El proceso de RMF incluye un conjunto de tareas bien definidas relacionadas con el riesgo
que deben ser realizadas por individuos o grupos seleccionados dentro de roles
organizacionales bien definidos (por ejemplo, función ejecutiva de riesgos, funcionario
autorizador, representante autorizado oficial designado, información principal) oficial
principal de seguridad de la información, arquitecto de empresas, arquitecto de seguridad
de la información, propietario / administrador de la información, propietario del sistema de
información, proveedor de control común, oficial de seguridad del sistema de información
y asesor de control de seguridad). Muchos roles de administración de riesgos tienen roles
de contraparte definidos en los procesos rutinarios del ciclo de vida del desarrollo del
sistema. Las tareas de RMF se ejecutan al mismo tiempo o como parte de los procesos del
ciclo de vida del desarrollo del sistema, teniendo en cuenta las dependencias apropiadas.
Debido a que cada organización tiene un conjunto limitado de recursos, las organizaciones
deben evaluar los impactos en las operaciones de la organización (es decir, misión,
funciones, imagen y reputación), los activos de la organización, los individuos, otras
organizaciones y la Nación (por ejemplo, usando FIPS 199 [15 ] o un enfoque más
granular). Como se discutió en la Sección 3, las organizaciones pueden experimentar las
consecuencias / el impacto de los eventos adversos a nivel del sistema de ICS individual (p.
ej., no realizar lo que se requiere), a nivel de proceso de misión / negocio (p. ej., no cumplir
plenamente los objetivos de misión / negocio) y a nivel organizativo nivel (por ejemplo, no
cumplir con los requisitos legales o reglamentarios, dañar la reputación o las relaciones o
socavar la viabilidad a largo plazo). Un evento adverso puede tener múltiples consecuencias
y diferentes tipos de impacto, a diferentes niveles y en diferentes marcos de tiempo. NIST
SP 800-53 [22] y la superposición de ICS en el Apéndice G: incorporan controles de
seguridad de línea de base que se derivan de esta determinación de impacto.
La organización puede realizar una evaluación de riesgos detallada para los sistemas de
mayor impacto y evaluaciones para los sistemas de menor impacto según se considere
prudente y según lo permitan los recursos. La evaluación de riesgos ayudará a identificar
cualquier debilidad que contribuya a los riesgos de seguridad de la información y los
enfoques de mitigación para reducir los riesgos. Las evaluaciones de riesgo se realizan
varias veces durante el ciclo de vida de un sistema. El enfoque y el nivel de detalle varían
según la madurez del sistema.
Las organizaciones deben analizar la evaluación detallada de riesgos y los impactos en las
operaciones de la organización (es decir, misión, funciones, imagen y reputación), los
activos de la organización, los individuos, otras organizaciones y la Nación, y priorizar la
selección de controles de mitigación. Las organizaciones deben enfocarse en mitigar el
riesgo con el mayor impacto potencial. La implementación del control de seguridad es
consistente con la arquitectura empresarial de la organización y la arquitectura de
seguridad de la información.
Los controles para mitigar un riesgo específico pueden variar entre los tipos de sistemas. Por
ejemplo, los controles de autenticación de usuarios pueden ser diferentes para ICS que para
los sistemas de nómina corporativos y los sistemas de comercio electrónico. El
administrador de seguridad de la información de ICS debe documentar y comunicar los
controles seleccionados, junto con los procedimientos para usar los controles. Se pueden
identificar algunos riesgos que pueden mitigarse con soluciones de "solución rápida":
prácticas de bajo costo y alto valor que pueden reducir significativamente el riesgo.
Ejemplos de estas soluciones son restringir el acceso a Internet y eliminar el acceso al
correo electrónico en las estaciones de control del operador o consolas. Las organizaciones
deben identificar, evaluar e implementar soluciones de solución rápida adecuadas tan pronto
como sea posible. como sea posible para reducir los riesgos de seguridad y lograr rápidos
beneficios. El Departamento de Energía (DOE) tiene un documento de “21 pasos para
mejorar la seguridad cibernética de las redes SCADA” [33] que se podría usar como punto
de partida para delinear acciones específicas para aumentar la seguridad de los sistemas
SCADA y otros ICS.