Giới thiệu
Tiêu chuẩn này nhằm giúp các tổ chức trong “ngành năng lượng” (không bao gồm năng lượng hạt nhân) diễn giải và áp dụng ISO/IEC 27002 để đảm bảo an toàn cho các hệ thống điều khiển quy trình điện tử của họ - Công nghệ Vận hành thay vì Công nghệ Thông tin.
Phạm vi và mục đích
Quản lý bảo mật thông tin về cơ bản đưa ra những thách thức quản lý rủi ro giống nhau trong mọi bối cảnh, nhưng tính chất thời gian thực của các hệ thống kiểm soát quy trình và mức độ nghiêm trọng về an toàn và môi trường khiến một số thách thức trở nên đặc biệt nghiêm trọng đối với các tổ chức trong ngành năng lượng. Do đó, tiêu chuẩn này cung cấp hướng dẫn bổ sung, cụ thể hơn về quản lý bảo mật thông tin so với lời khuyên chung của ISO/IEC 27002:2013, phù hợp với bối cảnh cụ thể của các hệ thống kiểm soát quy trình được ngành công nghiệp năng lượng sử dụng để kiểm soát và giám sát quá trình sản xuất hoặc phát điện, truyền tải, lưu trữ và phân phối điện, khí đốt, dầu và nhiệt, và để kiểm soát các quy trình hỗ trợ liên quan. Điêu nay bao gôm:
Công nghệ điều khiển, giám sát và tự động hóa quy trình trung tâm và phân tán, và các hệ thống vận hành như thiết bị lập trình và tham số hóa;
Bộ điều khiển kỹ thuật số và các thành phần tự động hóa như thiết bị điều khiển và trường hoặc Bộ điều khiển logic khả trình, bao gồm cảm biến kỹ thuật số và bộ truyền động;
Các hệ thống hỗ trợ khác, v.d. trực quan hóa dữ liệu bổ sung và các mục đích kiểm soát, giám sát, lưu trữ, ghi nhật ký, báo cáo và tài liệu;
Công nghệ truyền thông được sử dụng trong kiểm soát quy trình, ví dụ: mạng, đo từ xa, ứng dụng điều khiển từ xa và công nghệ điều khiển từ xa;
Các thành phần Cơ sở hạ tầng đo sáng nâng cao, ví dụ: công tơ thông minh;
Thiết bị đo lường e.g. đối với khí thải;
Hệ thống an toàn và bảo vệ kỹ thuật số, ví dụ: rơ le bảo vệ, PLC an toàn, cơ cấu điều chỉnh sự cố;
Hệ thống quản lý năng lượng e.g. Tài nguyên năng lượng phân tán và cơ sở hạ tầng sạc điện trong nhà và các tình huống công nghiệp;
Các thành phần phân tán của môi trường lưới điện thông minh, ví dụ: trong lưới năng lượng, gia đình và công nghiệp;
Phần mềm liên quan, ví dụ: Hệ thống Quản lý Phân phối và Hệ thống Quản lý Mất điện;
Cơ sở chứa các hệ thống trên cộng với bảo trì từ xa.
Lưu ý: phạm vi của ISO/IEC 27019 loại trừ rõ ràng việc kiểm soát quá trình trong các cơ sở hạt nhân. Thay vào đó, hãy xem IEC 62645 “Nhà máy điện hạt nhân - Hệ thống đo lường và điều khiển - Yêu cầu đối với các chương trình bảo mật cho các hệ thống dựa trên máy tính”.
Cấu trúc và nội dung
Lưu ý: ISO/IEC 27019 phải được đọc cùng với ISO/IEC 27002 vì nó không kết hợp nội dung của '27002. Các tiêu chuẩn ISO27k khác cũng được khuyến nghị để điền vào ngữ cảnh rộng hơn, ví dụ: ISO/IEC 27001 cho Hệ thống quản lý bảo mật thông tin tổng thể bao gồm kiểm soát quy trình/OT cũng như các hệ thống, mạng và quy trình thương mại nói chung, cùng với ISO/IEC 27005 liên quan đến quản lý rủi ro thông tin.
Tình trạng tiêu chuẩn
Ấn bản đầu tiên được xuất bản dưới dạng Báo cáo kỹ thuật vào năm 2013 bằng cách theo dõi nhanh tiêu chuẩn DIN SPEC 27009:2012-04 của Đức dựa trên ISO/IEC 27002:2005.
Phiên bản thứ hai được xuất bản vào năm 2017 trở thành Tiêu chuẩn quốc tế đầy đủ hài hòa với phiên bản 2013 của ISO/IEC 27001 và 27002, cùng với các tiêu chuẩn IEC TC 57, tiêu chuẩn IEC TC 65 (IEC 62443-2-1) và tiêu chuẩn IEC SC45A (IEC 62645) ).
Một phần đính chính để thay thế từ “nên” đi lạc bằng từ “sẽ” trong phụ lục ấn bản thứ hai đã được xuất bản và nhận được sự hoan nghênh của giới phê bình vào năm 2019. Hoan hô! Ngăn chặn khủng hoảng!
Cập nhật trạng thái Tháng 4 Tiêu chuẩn hiện đang được sửa đổi nhỏ để phù hợp với ISO/IEC 27002:2022. Phiên bản thứ ba đang ở giai đoạn Dự thảo của Ủy ban, dự kiến xuất bản vào năm 2025.
Nhận xét idas
Ngành năng lượng toàn cầu có một nền văn hóa an toàn mạnh mẽ vì các tác động vật lý tàn khốc do các vụ nổ, tràn dầu và hóa chất, rò rỉ phóng xạ, v.v. là rất rõ ràng (Bhopal, Three Mile Island, Chernobyl, Exxon Valdiz, Deepwater Horizon, Fukoshima ... cần chúng ta nói nhiều hơn?). Ngành công nghiệp này cũng nhận thức rõ ràng về các nghĩa vụ môi trường của mình cả về hoạt động của chính mình, các ngành công nghiệp chính ở thượng nguồn (ví dụ: khai thác mỏ) và các tác động ở hạ nguồn của một số sản phẩm của ngành. Hơn nữa, ngành có một nền văn hóa mạnh mẽ về bảo mật vật lý và thông tin do những rủi ro đáng kể phát sinh từ:
Các mối đe dọa như thảm họa thiên nhiên và các cuộc tấn công có chủ ý (phá hoại) từ tin tặc, các Mối đe dọa dai dẳng nâng cao, kỹ sư xã hội, khủng bố, nội gián, các nhóm gây áp lực và các quốc gia nước ngoài, cũng như các mối đe dọa thông thường hơn từ tai nạn, đối thủ cạnh tranh, lỗi cơ điện, phần mềm độc hại, v.v.;
Các lỗ hổng vốn có trong các hệ thống và quy trình của họ. Các hệ thống kiểm soát quy trình (theo một cách nào đó) được kết nối, tiếp xúc hoặc có thể truy cập từ Internet và các mạng khác dễ bị tổn thương trước đầy đủ các mối đe dọa mạng, bao gồm cả những mối đe dọa do lỗi thiết kế và lỗi trong phần mềm, đặc biệt nếu chúng không tốt được thiết kế, quản lý và bảo trì (ví dụ: vá bảo mật là một thách thức đối với các hệ thống quan trọng về an toàn); Và
Các tác động, đặc biệt là hạn chế về tính khả dụng và/hoặc tính toàn vẹn của thông tin kinh doanh hoặc thông tin quan trọng về an toàn dẫn đến gián đoạn nguồn cung cấp (cắt điện), nguồn cung cấp nằm ngoài thông số kỹ thuật (ví dụ: nguồn cung cấp quá/thiếu điện áp), sự cố an toàn (ví dụ: sự cố rò rỉ thảm khốc của lượng lớn năng lượng) và các sự cố môi trường (ví dụ: rò rỉ dầu/khí đốt/hóa chất). Các tổ chức ngành năng lượng, cả công cộng và tư nhân, thường được phân loại là một phần của cơ sở hạ tầng quốc gia quan trọng do ý nghĩa chiến lược rõ ràng của chúng.
Với mức độ tự động hóa cực cao, ngành năng lượng phụ thuộc rất nhiều vào OT, chủ yếu là các hệ thống điều khiển quy trình điện tử như Bộ điều khiển logic khả trình, Internet kết nối vạn vật trong công nghiệp, Hệ thống điều khiển công nghiệp và Thu thập dữ liệu và điều khiển giám sát, cộng với các mạng và quy trình liên quan, để theo dõi, chỉ đạo và kiểm soát các hoạt động sản xuất của nó trong thời gian thực. Hầu hết các hoạt động liên quan đến an toàn, ví dụ, trong một nhà máy hiện đại phụ thuộc rất nhiều vào hệ thống máy tính được nối mạng với giám sát điện tử và van, công tắc và bộ truyền động vận hành bằng điện, trong khi các điều khiển vận hành thủ công thường bị giới hạn ở các chức năng ghi đè khẩn cấp hoặc sao lưu cụ thể. Nhiều hệ thống được giám sát và kiểm soát được đặt ở những vị trí căng thẳng về thể chất, chịu nhiệt độ cực cao, áp suất, ăn mòn và/hoặc rung động, và một số được phân phối từ xa, đôi khi rất xa, khiến việc truy cập, giám sát và kiểm soát truy cập vật lý trở nên khá tốn kém.
Nói tóm lại, ngành công nghiệp không thể hoạt động bình thường và an toàn nếu không có hệ thống và mạng điều khiển quy trình điện tử, trong khi các sự cố nghiêm trọng, lan rộng hoặc kéo dài gây ra hậu quả nghiêm trọng cho quốc gia nếu không phải là quốc tế.
Có những lo ngại kéo dài về phạm vi của tiêu chuẩn này và trùng lặp với các nhóm tiêu chuẩn khác (không phải ISO27k). Tiêu chuẩn ban đầu của nhà tài trợ DIN SPEC 27009 (2012) không dành riêng cho ngành năng lượng mà đề cập đến 'kiểm soát quá trình' (SCADA/ICS) trong bối cảnh rộng hơn. Các tiêu chuẩn và quy định liên quan khác bao gồm: IEC 62443, IEC 62351 và ISA99. Đây là một lĩnh vực phức tạp và năng động với thỏa thuận quốc tế hạn chế (mà cá nhân tôi cho rằng hàm ý cần có một tiêu chuẩn thực hành tốt mạnh mẽ!). Một số cơ quan quốc gia, có lẽ chịu áp lực từ các mối quan hệ trong ngành năng lượng của họ, đã phản đối bất kỳ quy định bổ sung nào có thể xuất phát từ việc công bố tiêu chuẩn an ninh phạm vi rộng. Theo quan điểm của tôi, lợi ích cá nhân của họ đang kìm hãm tất cả mọi người ... nhưng có lẽ tôi đã hiểu sai vị trí của họ.
