Sono stato contattato per eseguire una valutazione dei rischi per la sicurezza che si riferisce specificamente ai sistemi ICS e SCADA. Ho eseguito molte valutazioni del rischio di sicurezza IT, tuttavia, sono nuovo nel valutare specificamente questi tipi di ambienti. Ho familiarità con i dispositivi simili a ICS e credo di avere una comprensione superficiale della funzionalità e alcune delle loro sfide intrinseche.
La mia domanda è per coloro che fanno questo ogni giorno, lavorano in un tale ambiente o hanno valutato prima un ambiente ICS.
Esistono strumenti specifici utili in questo tipo di valutazione che non sono ovvi? Ho fatto qualche ricerca e ho letto gli standard NIST per la valutazione di ICS. Ho anche trovato lo strumento CSS del DHS (che sembra più uno strumento di autovalutazione, ma potrebbe avere alcune funzioni utili come lo strumento di diagrammi).
Inoltre, esiste uno standard specifico che viene generalmente seguito per questo tipo di coinvolgimento?
Prima che qualcuno salga sulla loro soapbox del responsabile della sicurezza, questa entità è ben consapevole che questo è il mio primo coinvolgimento in ICS e che ho valutato ambienti IT unici per molti anni. Ho anche un strong sostegno alla schiena da parte del mio team che ha grande esperienza in questo tipo di fidanzamento. Sono sicuro che avranno anche molte idee per me, volevo solo metterlo lì fuori per un commento pubblico.
Grazie!
Reader's Digest:
Quali strumenti specifici esistono per la valutazione Scada / ICS?
Quali standard specifici sono generalmente accettabili per una valutazione del rischio Scada / ICS?