Kaikista IACS-järjestelmän sisältämistä omaisuuseristä pidetään kirjaa haavoittuvuusarvioinnista, ja kirjaus sisältää ainakin seuraavat tiedot:

• arvioinnin päivämäärä
• arvioinnin tulokset
• arvioinnin tuloksena suunnitellut korjaavat toimet.

Organisaatiolla on dokumentaatio IACS-järjestelmistään ja IACS-järjestelmissä käytettävistä prosesseista. Dokumentaatio sisältää kuvaukset järjestelmistä, niiden toiminnoista, tallennetuista ja käsitellyistä tiedoista, järjestelmän omistajista, tukihenkilöstöstä ja prosessien omistajista.

Korkean riskin teollisuusautomaatiojärjestelmät on eristetty muista verkkoalueista tai muista tietoturvatasoista. Järjestelmä on myös suojattu estolaitteella, joka suojaa sitä muilta verkkovyöhykkeiltä, joilla on erilaiset tietoturvatasot ja riskit.

Organisaatio käyttää fyysisiä, HSE- ja tietoturvallisuusriskien arviointeja arvioidakseen yleistä IACS-ympäristöään. Fyysisten, HSE- ja tietoturvallisuusriskien arviointien tulokset yhdistetään IACS-järjestelmään ja kriittisiin omaisuuseriin kohdistuvan kokonaisriskin arvioimiseksi, joka olisi tunnistettava etukäteen.

Teollisuuden ohjausjärjestelmien tietoturvan hallintaa varten olisi laadittava liiketoiminnallinen perustelu. Perusteluissa olisi selitettävä, miksi teollisten ohjausjärjestelmien tietoturvan hallinta on tarpeen, ja tuotava esiin mahdolliset riskit, uhat ja riittämättömän suojauksen vaikutukset. Näihin kuuluvat toiminnalliset häiriöt, taloudelliset tappiot ja turvallisuusongelmat. Perustelussa olisi myös määriteltävä eri organisaatioiden roolit, vastuunjako ja tarvittaessa luettelo hallinnoitavasta omaisuudesta.

Peruste voi olla osa organisaation yleistä riskienhallintastrategiaa tai erillinen asiakirja, joka on räätälöity teollisuuden ohjausjärjestelmien hallintaa varten.

Teollisuuden automaatio- ja ohjausjärjestelmät on tarkastettava säännöllisesti ja dokumentoitava organisaation tarkastusmenettelyjen mukaisesti. Tarkastuksessa on tutkittava, onko IACS-alueella toteutettu turvallisuuspolitiikat ja -menettelyt ja täyttävätkö ne kyseiselle alueelle asetetut turvallisuustavoitteet

. Tarkastuksen laajuus on määriteltävä ennen tarkastuksen suorittamista, ja sen tiheys on määriteltävä järjestelmän kriittisyyden ja riskien arvioinnin perusteella. Auditoinnin laajuuden määrittää yleensä auditoitavan järjestelmän tai prosessin omistaja ottaen huomioon järjestelmän riskit ja kriittisyyden.

• mitä auditoidaan (järjestelmä, prosessi, toiminto jne.).
• auditoinnin rajaus.
• auditoinnin tavoitteet ja ajanjakso

Kaikille työntekijöille, joilla on pääsy IACS-järjestelmiin, on annettava IACS-järjestelmiin liittyvää tietoturvallisuuskoulutusta. Koulutuksessa työntekijöille on kerrottava IACS-järjestelmiin liittyvistä turvallisuustavoitteista ja -riskeistä sekä turvallisuustoimenpiteistä. Koulutuksessa olisi myös käsiteltävä työntekijöiden IACS-järjestelmiin liittyviä tehtäviä ja vastuita.

Organisaation on tiedotettava yhdennetyn hallinto- ja valvontajärjestelmän ympäristöön liittyvistä vakiintuneista kyberturvallisuusperiaatteista ja -menettelyistä koko henkilöstölle, ulkoisille kumppaneille ja muille sidosryhmille. Viestintä olisi räätälöitävä kyseiselle yleisölle, ja tarvittavat tiedot olisi annettava kaikkien asianomaisten sidosryhmien ja henkilöstön käyttöön.

Kriittisiä valvontatoimintoja sisältävään automaatio- ja ohjausjärjestelmään pääsyyn olisi käytettävä useita tunnistautumismenetelmiä (esim. fyysisen avainkortin hallussapito ja salasanan antaminen, avainkortin hallussapito ja vain käyttäjän tuntema käyttäjänimi, vain käyttäjän tuntema salasana ja sormenjälki) sen varmistamiseksi, että pääsy sallitaan vain valtuutetulle henkilöstölle.

Organisaation olisi säännöllisesti tarkistettava ja arvioitava IACS-laitteiden turvakonfiguraatiot IACS-tietojen eheyden ja luottamuksellisuuden säilyttämiseksi ja IACS-järjestelmien käytettävyyden suojaamiseksi. Samalla konfiguraation on pysyttävä tehtävään ja ympäristöön sopivana.

Riskinarviointi suoritetaan IACS-järjestelmien (ja niitä tukevien järjestelmien) luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvien riskien tunnistamiseksi ja arvioimiseksi.

Riskinarvioinnin on katettava kaikki IACS-varat (tarpeen mukaan), mukaan lukien verkot, laitteet, laitteistot, ohjelmistot ja tietovarat. Arvioinnin on oltava sellaisten henkilöiden suorittama, joilla on tarvittava pätevyys.

Siihen on sisällyttävä:

• haavoittuvuuksien ja uhkien tunnistaminen
• Riskitasojen (vaikutusten ja todennäköisyyden) arviointi.
• riskien priorisointi niiden tason mukaan
• Riskien toteutumisen seuraukset, mukaan lukien taloudelliset tappiot ja vaikutukset organisaatioon HSE.

Organisaation olisi varmistettava, että arviointeja tehdään teknologian elinkaaren jokaisessa vaiheessa, mukaan lukien kehittäminen, käyttöönotto, muutokset ja käytöstä poistaminen.

Organisaation on tunnistettava ja luokiteltava IACS-laitteet, myös verkkolaitteet, loogisiin valvontajärjestelmiin ottaen huomioon turvallisuusriskit ja kriittiset toiminnot. Laitteet voidaan luokitella esimerkiksi sen mukaan, miten ne toimivat yhdessä suorittaakseen tietyn teollisuus- tai valvontatoiminnon, sekä niiden kriittisyyden ja riskitason mukaan.

Teollisuuden automaatio- ja ohjausjärjestelmien (IACS) laitteiden käyttöoikeuksia on hallinnoitava loogisilla oikeuksilla ja fyysisillä tarkastuksilla.

Loogiset käyttöoikeudet voivat perustua todennus- ja valtuutusmenetelmiin, kuten salasanaan, digitaaliseen varmenteeseen tai monitekijätodennukseen ja käyttäjärooleihin. Järjestelmä edellyttää, että vain todennetuilla ja valtuutetuilla käyttäjillä on pääsy kyseisiin laitteisiin. Käyttöoikeudet olisi rajoitettava niihin, joiden on päästävä tiettyihin laitteisiin, vähimpien oikeuksien periaatteen mukaisesti.

Mahdollisia fyysisiä valvontatoimia ovat esimerkiksi suojatut tilat, lukot ja kameravalvonta.

Organisaatio yksilöi yhdennetyt hallinto- ja valvontajärjestelmät, dokumentoi ne ja kerää tarvittavat tiedot ymmärtääkseen niihin liittyvät tietoturvariskit.

• Järjestelmän nimi, kuvaus ja yksityiskohdat
• Laiteluettelo ja käyttötarkoitus
• verkkoarkkitehtuuri ja viestintä
• Järjestelmän käyttöoikeuksien valvonta ja roolit
• Turvallisuusvalvonta ja järjestelmän riippuvuudet

Kaikista teollisuuden automaatio- ja ohjausjärjestelmien osista on pidettävä yllä luetteloa turvatoiminnoista ja -valmiuksista riippumatta siitä, onko ne kehitetty itse vai hankittu hankintojen kautta. Luetteloa on ylläpidettävä ja päivitettävä tarpeen mukaan. Lisäksi on kuvattava selkeästi, mitä turvatoimintoja ja -valmiuksia uusilta komponenteilta vaaditaan ja miten ne saavutetaan.

Organisaation on kehitettävä ja pantava täytäntöön verkon segmentointistrategia, joka on räätälöity automaatio- ja ohjausjärjestelmäjärjestelmiin liittyvien riskitasojen mukaan. Strategia kattaa vähintään seuraavat seikat

• turvavyöhykkeiden määrittely
• Kriittisten teollisuusautomaatiojärjestelmien erottaminen toimisto- ja muista järjestelmistä.
• Kriittisten teollisuusautomaatiojärjestelmien segmentointi, esim. käyttämällä erillisiä kytkimiä ja VLANeja.
• sekä järjestelmien että verkkojen pääsynvalvonta

Kaikkien uusien IACS-komponenttien turvallisuus olisi testattava järjestelmällisesti ennen järjestelmän käyttöönottoa. Komponentit olisi testattava yksitellen ja kokonaisuutena.

Testauksessa voidaan ottaa huomioon seuraavat testit:

• turvallisuusarvioinnit
• tunkeutumistestaus
• koodin staattinen ja dynaaminen analyysi

Organisaatio on määritellyt ja ylläpitää menettelyjä teollisuuden automaatio- ja ohjausjärjestelmiin liittyvän dokumentaation hallintaa ja arkistointia varten. Näihin kuuluvat:

• nimeäminen ja versiointi
• varastointi ja pääsynvalvonta
• säännölliset tarkistukset ja päivitykset
• arkistointi ja tuhoaminen

Kaikki ei-tarpeellinen viestintä korkean riskin tai kriittisen IACS:n sisältäville turvavyöhykkeille ja turvavyöhykkeiltä estetään sulkulaitteilla.

Organisaation on määriteltävä menetelmät IACS-omaisuuksiin liittyvien tietoturvallisuusriskien arvioimiseksi ja analysoimiseksi. Menetelmässä olisi tunnistettava ja priorisoitava riskit turvallisuusuhkien, haavoittuvuuksien ja niihin liittyvien seurausten perusteella.

Teollisuuden automaatio- ja ohjausjärjestelmien kehittämistä, käyttöä, ylläpitoa ja muutosten hallintaa suorittavan henkilöstön on oltava erillään toisistaan, jotta voidaan varmistaa asianmukainen valvonta ja tasapaino.

Myös roolit ja tehtävät olisi suunniteltava siten, että yksittäinen henkilö ei voi hallita toimia, jotka muuttavat teollisuuden automaatio- ja ohjausjärjestelmien funktionaalisia operaatioita.

Haavoittuvuusarvioinnit olisi tehtävä uhkien ja haavoittuvuuksien tunnistamiseksi jokaisessa loogisessa IACS-järjestelmässä. Nämä haavoittuvuusarvioinnit olisi tehtävä säännöllisesti tai silloin, kun järjestelmässä tapahtuu merkittäviä muutoksia. Arviointien olisi katettava ainakin seuraavat asiat:

• käyttöjärjestelmä
• verkkolaitteet (reitittimet, palomuurit, kytkimet jne.).
• tietokannat
• verkkopalvelimet
• muut asiaankuuluvat laitteet ja ohjelmistot

Arviointien tulokset olisi dokumentoitava ja korjaavat toimenpiteet olisi toteutettava havaintojen poistamiseksi. On varmistettava, että toimenpiteitä seurataan.

Kaikkien IACS-ympäristössä olemassa olevalla vyöhykkeellä käyttöön otettavien uusien järjestelmien turvallisuusvaatimusten on oltava yhdenmukaisia kyseiselle vyöhykkeelle vahvistettujen turvallisuusperiaatteiden ja -menettelyjen kanssa. Samoin kaikkien ylläpitopäivitysten tai -muutosten on oltava kyseiselle vyöhykkeelle asetettujen turvallisuusvaatimusten mukaisia.

Kaikki teollisuuden automaatio- ja ohjausjärjestelmiin ehdotetut muutokset on arvioitava niiden mahdollisten terveys-, turvallisuus- ja ympäristöriskeihin kohdistuvien vaikutusten sekä tietoturvallisuuteen kohdistuvien mahdollisten vaikutusten kannalta. Ennalta määritellyt kriteerit olisi määriteltävä, ja muutokset on arvioitava niiden perusteella. Arvioinnin on suoritettava vähintään yhden henkilön toimesta, jolla on teknistä asiantuntemusta sekä teollisesta toiminnasta, että IACS-järjestelmästä.

Organisaation olisi tarkistettava olemassa olevat teollisuusautomaatio- ja ohjausjärjestelmiä (IACS) koskevat kyberturvallisuuskäytännöt ja -menettelyt varmistaakseen, että ne ovat linjassa laajempien organisaation riskienhallintapolitiikkojen kanssa tai että ne ulottuvat niistä asianmukaisesti eteenpäin. Tarkistuksen tulisi:

• Tunnistettava IACS-kohtaisten toimintatapojen ja yritystason riskienhallintakehysten (esim. turvallisuus, laatu, ympäristö, tietoturva) väliset päällekkäisyydet ja puutteet.
• varmistaa, että yhdennetyn hallinto- ja valvontajärjestelmän riskejä käsitellään johdonmukaisesti organisaation riskinsietokyvyn ja hallintokäytäntöjen kanssa.
• ehdottaa tarvittavia päivityksiä tai laajennuksia yhdennetyn hallinto- ja valvontajärjestelmän kyberturvallisuusmenettelyihin, jotta voidaan säilyttää yhdenmukaisuus yrityksen standardien kanssa ja ottaa samalla huomioon yhdennetyn hallinto- ja valvontajärjestelmän erityiset vaatimukset.