Kaikista IACS-järjestelmän sisältämistä omaisuuseristä pidetään kirjaa haavoittuvuusarvioinnista, ja kirjaus sisältää ainakin seuraavat tiedot:

• arvioinnin päivämäärä
• arvioinnin tulokset
• arvioinnin tuloksena suunnitellut korjaavat toimet.

Organisaatiolla on dokumentaatio IACS-järjestelmistään ja IACS-järjestelmissä käytettävistä prosesseista. Dokumentaatio sisältää kuvaukset järjestelmistä, niiden toiminnoista, tallennetuista ja käsitellyistä tiedoista, järjestelmän omistajista, tukihenkilöstöstä ja prosessien omistajista.

Korkean riskin teollisuusautomaatiojärjestelmät on eristetty muista verkkoalueista tai muista tietoturvatasoista. Järjestelmä on myös suojattu estolaitteella, joka suojaa sitä muilta verkkovyöhykkeiltä, joilla on erilaiset tietoturvatasot ja riskit.

Organisaatio käyttää fyysisiä, HSE- ja tietoturvallisuusriskien arviointeja arvioidakseen yleistä IACS-ympäristöään. Fyysisten, HSE- ja tietoturvallisuusriskien arviointien tulokset yhdistetään IACS-järjestelmään ja kriittisiin omaisuuseriin kohdistuvan kokonaisriskin arvioimiseksi, joka olisi tunnistettava etukäteen.

Teollisuuden ohjausjärjestelmien tietoturvan hallintaa varten olisi laadittava liiketoiminnallinen perustelu. Perusteluissa olisi selitettävä, miksi teollisten ohjausjärjestelmien tietoturvan hallinta on tarpeen, ja tuotava esiin mahdolliset riskit, uhat ja riittämättömän suojauksen vaikutukset. Näihin kuuluvat toiminnalliset häiriöt, taloudelliset tappiot ja turvallisuusongelmat. Perustelussa olisi myös määriteltävä eri organisaatioiden roolit, vastuunjako ja tarvittaessa luettelo hallinnoitavasta omaisuudesta.

Peruste voi olla osa organisaation yleistä riskienhallintastrategiaa tai erillinen asiakirja, joka on räätälöity teollisuuden ohjausjärjestelmien hallintaa varten.

The IACS must be audited regularly and documented in accord with the organization's audit procedures. The audit must examine whether the security policies and procedures are implemented in the IACS area and whether they meet the security objectives set for that area.

The scope of the audit should be defined before the audit is conducted and the frequency should be determined by the system criticality and risk assessments. The scope of the audit is usually determined by the owner of the system or process being audited, taking into account the system's risks and criticality.

• what is being audited (system, process, activity, etc.)
• the boundaries of the audit (what is included, what is excluded)
• audit objectives and period

Kaikille työntekijöille, joilla on pääsy IACS-järjestelmiin, on annettava IACS-järjestelmiin liittyvää tietoturvallisuuskoulutusta. Koulutuksessa työntekijöille on kerrottava IACS-järjestelmiin liittyvistä turvallisuustavoitteista ja -riskeistä sekä turvallisuustoimenpiteistä. Koulutuksessa olisi myös käsiteltävä työntekijöiden IACS-järjestelmiin liittyviä tehtäviä ja vastuita.

Organisaation on tiedotettava yhdennetyn hallinto- ja valvontajärjestelmän ympäristöön liittyvistä vakiintuneista kyberturvallisuusperiaatteista ja -menettelyistä koko henkilöstölle, ulkoisille kumppaneille ja muille sidosryhmille. Viestintä olisi räätälöitävä kyseiselle yleisölle, ja tarvittavat tiedot olisi annettava kaikkien asianomaisten sidosryhmien ja henkilöstön käyttöön.

Kriittisiä valvontatoimintoja sisältävään automaatio- ja ohjausjärjestelmään pääsyyn olisi käytettävä useita tunnistautumismenetelmiä (esim. fyysisen avainkortin hallussapito ja salasanan antaminen, avainkortin hallussapito ja vain käyttäjän tuntema käyttäjänimi, vain käyttäjän tuntema salasana ja sormenjälki) sen varmistamiseksi, että pääsy sallitaan vain valtuutetulle henkilöstölle.

Organisaation olisi säännöllisesti tarkistettava ja arvioitava IACS-laitteiden turvakonfiguraatiot IACS-tietojen eheyden ja luottamuksellisuuden säilyttämiseksi ja IACS-järjestelmien käytettävyyden suojaamiseksi. Samalla konfiguraation on pysyttävä tehtävään ja ympäristöön sopivana.

A risk assessment is carried out to identify and evaluate the risks to the confidentiality, integrity, and availability of IACS systems (including their supporting systems).

The risk assessment must cover all IACS assets (as appropriate) including networks, devices, hardware, software, and data assets. It must be carried out by individuals with the necessary competence.

It must include:

• Identifying vulnerabilities and threats
• Estimating risk levels (impact and likelihood)
• Prioritising risks according to their level
• Consequences of the risks materializing including financial losses and impacts to the organization HSE

The organization should ensure that assessments are carried out at every stage of the technology lifecycle, including development, implementation, modifications, and retirement.

Organisaation on tunnistettava ja luokiteltava IACS-laitteet, myös verkkolaitteet, loogisiin valvontajärjestelmiin ottaen huomioon turvallisuusriskit ja kriittiset toiminnot. Laitteet voidaan luokitella esimerkiksi sen mukaan, miten ne toimivat yhdessä suorittaakseen tietyn teollisuus- tai valvontatoiminnon, sekä niiden kriittisyyden ja riskitason mukaan.

Teollisuuden automaatio- ja ohjausjärjestelmien (IACS) laitteiden käyttöoikeuksia on hallinnoitava loogisilla oikeuksilla ja fyysisillä tarkastuksilla.

Loogiset käyttöoikeudet voivat perustua todennus- ja valtuutusmenetelmiin, kuten salasanaan, digitaaliseen varmenteeseen tai monitekijätodennukseen ja käyttäjärooleihin. Järjestelmä edellyttää, että vain todennetuilla ja valtuutetuilla käyttäjillä on pääsy kyseisiin laitteisiin. Käyttöoikeudet olisi rajoitettava niihin, joiden on päästävä tiettyihin laitteisiin, vähimpien oikeuksien periaatteen mukaisesti.

Mahdollisia fyysisiä valvontatoimia ovat esimerkiksi suojatut tilat, lukot ja kameravalvonta.

Organisaatio yksilöi yhdennetyt hallinto- ja valvontajärjestelmät, dokumentoi ne ja kerää tarvittavat tiedot ymmärtääkseen niihin liittyvät tietoturvariskit.

• Järjestelmän nimi, kuvaus ja yksityiskohdat
• Laiteluettelo ja käyttötarkoitus
• verkkoarkkitehtuuri ja viestintä
• Järjestelmän käyttöoikeuksien valvonta ja roolit
• Turvallisuusvalvonta ja järjestelmän riippuvuudet

Kaikista teollisuuden automaatio- ja ohjausjärjestelmien osista on pidettävä yllä luetteloa turvatoiminnoista ja -valmiuksista riippumatta siitä, onko ne kehitetty itse vai hankittu hankintojen kautta. Luetteloa on ylläpidettävä ja päivitettävä tarpeen mukaan. Lisäksi on kuvattava selkeästi, mitä turvatoimintoja ja -valmiuksia uusilta komponenteilta vaaditaan ja miten ne saavutetaan.

Organisaation on kehitettävä ja pantava täytäntöön verkon segmentointistrategia, joka on räätälöity automaatio- ja ohjausjärjestelmäjärjestelmiin liittyvien riskitasojen mukaan. Strategia kattaa vähintään seuraavat seikat

• turvavyöhykkeiden määrittely
• Kriittisten teollisuusautomaatiojärjestelmien erottaminen toimisto- ja muista järjestelmistä.
• Kriittisten teollisuusautomaatiojärjestelmien segmentointi, esim. käyttämällä erillisiä kytkimiä ja VLANeja.
• sekä järjestelmien että verkkojen pääsynvalvonta

Kaikkien uusien IACS-komponenttien turvallisuus olisi testattava järjestelmällisesti ennen järjestelmän käyttöönottoa. Komponentit olisi testattava yksitellen ja kokonaisuutena.

Testauksessa voidaan ottaa huomioon seuraavat testit:

• turvallisuusarvioinnit
• tunkeutumistestaus
• koodin staattinen ja dynaaminen analyysi

Organisaatio on määritellyt ja ylläpitää menettelyjä teollisuuden automaatio- ja ohjausjärjestelmiin liittyvän dokumentaation hallintaa ja arkistointia varten. Näihin kuuluvat:

• nimeäminen ja versiointi
• varastointi ja pääsynvalvonta
• säännölliset tarkistukset ja päivitykset
• arkistointi ja tuhoaminen

Kaikki ei-tarpeellinen viestintä korkean riskin tai kriittisen IACS:n sisältäville turvavyöhykkeille ja turvavyöhykkeiltä estetään sulkulaitteilla.

Organisaation on määriteltävä menetelmät IACS-omaisuuksiin liittyvien tietoturvallisuusriskien arvioimiseksi ja analysoimiseksi. Menetelmässä olisi tunnistettava ja priorisoitava riskit turvallisuusuhkien, haavoittuvuuksien ja niihin liittyvien seurausten perusteella.

Teollisuuden automaatio- ja ohjausjärjestelmien kehittämistä, käyttöä, ylläpitoa ja muutosten hallintaa suorittavan henkilöstön on oltava erillään toisistaan, jotta voidaan varmistaa asianmukainen valvonta ja tasapaino.

Myös roolit ja tehtävät olisi suunniteltava siten, että yksittäinen henkilö ei voi hallita toimia, jotka muuttavat teollisuuden automaatio- ja ohjausjärjestelmien funktionaalisia operaatioita.

Haavoittuvuusarvioinnit olisi tehtävä uhkien ja haavoittuvuuksien tunnistamiseksi jokaisessa loogisessa IACS-järjestelmässä. Nämä haavoittuvuusarvioinnit olisi tehtävä säännöllisesti tai silloin, kun järjestelmässä tapahtuu merkittäviä muutoksia. Arviointien olisi katettava ainakin seuraavat asiat:

• käyttöjärjestelmä
• verkkolaitteet (reitittimet, palomuurit, kytkimet jne.).
• tietokannat
• verkkopalvelimet
• muut asiaankuuluvat laitteet ja ohjelmistot

Arviointien tulokset olisi dokumentoitava ja korjaavat toimenpiteet olisi toteutettava havaintojen poistamiseksi. On varmistettava, että toimenpiteitä seurataan.

Kaikkien IACS-ympäristössä olemassa olevalla vyöhykkeellä käyttöön otettavien uusien järjestelmien turvallisuusvaatimusten on oltava yhdenmukaisia kyseiselle vyöhykkeelle vahvistettujen turvallisuusperiaatteiden ja -menettelyjen kanssa. Samoin kaikkien ylläpitopäivitysten tai -muutosten on oltava kyseiselle vyöhykkeelle asetettujen turvallisuusvaatimusten mukaisia.

Kaikki teollisuuden automaatio- ja ohjausjärjestelmiin ehdotetut muutokset on arvioitava niiden mahdollisten terveys-, turvallisuus- ja ympäristöriskeihin kohdistuvien vaikutusten sekä tietoturvallisuuteen kohdistuvien mahdollisten vaikutusten kannalta. Ennalta määritellyt kriteerit olisi määriteltävä, ja muutokset on arvioitava niiden perusteella. Arvioinnin on suoritettava vähintään yhden henkilön toimesta, jolla on teknistä asiantuntemusta sekä teollisesta toiminnasta, että IACS-järjestelmästä.

The organization should review existing cybersecurity policies and procedures specific to Industrial Automation and Control Systems (IACS) to ensure they are aligned with, or appropriately extend from, the broader organizational risk management policies. The review should:

• Identify overlaps and gaps between IACS-specific policies and corporate-level risk management frameworks (e.g., safety, quality, environmental, IT security).
• Ensure that IACS risks are addressed consistently with organizational risk tolerance and governance practices.
• Propose necessary updates or extensions to IACS cybersecurity procedures to maintain alignment with corporate standards while addressing unique IACS-specific requirements.