четверг, 14 декабря 2017 г.

PHA/HAZOP и Кибербезопасность

Отличная статья про подход "Security process hazard analysis (SPR) review" об использовании готовых результатов HAZOP исследований (Hazard and Operability Study – анализ опасности и работоспособности) для выявления подверженности элементов системы управления технологическими процессами и системы аварийной защиты кибератакам и принятия либо решения о принятии риска либо решения о назначении уровня [кибер]безопасности SL (формирующего требования к механизмам кибербезопасности) либо решения о внесении изменений в систему аварийной защиты. Показано на примерах аварий.


В статье не раскрывается как элементы системы управления и системы аварийной защиты определяются "Hackable", либо опущено, либо по принципу если система "интеллектуальная" то "Hackable". Подход перестраховочный. Однако для точного определения подойдет подход анализа защищенности и тестов на проникновение. Однако качество его результатов зависит от компетенции исполнителей. И есть вероятность не обнаружить проблему. Поэтому возможно "перестраховаться" неплохой вариант.

Рекомендую прочить внимательно и до конца.
https://www.isa.org/intech/20160401/







Комментариев нет :

Отправить комментарий