Forstå ISO 27019

Informasjonssikkerhetsstyringskontroller for prosesskontroller for energiverktøy

Bestill en demonstrasjon

medarbeidere,arbeid,moderne,studio.produksjon,ledere,team,arbeidende,nytt,prosjekt.ung,bedrift

Hva er ISO/IEC 27019:2017?

ISO/IEC 27019 er et sett med veiledende prinsipper for informasjonssikkerhetsstyring av prosesskontrollsystemene (PCS) som brukes i energiforsyningssektoren.

Hovedmålet med dokumentet er å øke bredden av ISO/IEC til automatiseringsteknologi og PCS-domenet. Dette er for å gi en spesifikk og standardisert Informasjonssikkerhetsstyringssystem (ISMS) å beskytte maskinvare- og programvareteknologisystemene som er ansvarlige for å overvåke og kontrollere generering, overføring, lagring og distribusjon av olje, gass, elektrisk kraft og varme, blant andre energiverktøy.

Informasjonskontroller for energiforsyningsindustrien

Den globale energiindustrien har vært ansvarlig for noen av de mest katastrofale katastrofene menneskeheten har opplevd.

Eksempler på destruktiv feilhåndtering av energiressurser inkluderer:

Det kommer ikke som noen overraskelse at det er en sterk kultur for sikkerhetskontroller i energiforsyningsindustrien. Denne etosen kommer fra bevissthet om langsiktige effekter av enkelte operasjoner og programmer som går galt.

Energiforsyningsindustrien er en av de største fordelene med automatisering. De fleste av systemene som brukes er sterkt avhengige av elektroniske PCS-er som:

  • Industrial Internet of Things (IIoT)
  • Programmerbare logiske kontroller (PLC)
  • Tilsynskontroll og datainnsamling (SCDA)
  • Industrielle kontrollsystemer (ICS)

Disse er sammen med andre tilhørende prosedyrer og nettverk ansvarlige for:

Kort sagt, svikt eller forstyrrelser i de elektroniske prosesskontrollsystemene som brukes vil føre til at hele systemet går ned.

For eksempel vil svikt i en monitor i et geotermisk kraftverk føre til overoppheting, og i verste fall en katastrofal eksplosjon.

Mens ISO / IEC 27002 standarder beskriver viktige retningslinjer for å kontrollere beskyttelsen av informasjonssikkerhetsressurser, dens omfang dykker ikke dypt nok inn i beskyttelsen av energiverktøysprosesser.

Dette er grunnen til at ISO/IEC 27019:2017 eksisterer.

Historien til ISO 27019

ISO og IEC publiserte først ISO 27019 i 2013 som en teknisk rapport (TR), laget ved å spore en DIN-standard. I 2017 ble en andre utgave av standarden publisert, noe som gjorde den til en fullstendig internasjonal standard i harmoni med 2013-versjonen av ISO 27001 og ISO 27002. Så hvorfor er ISO 27019 så viktig?

ISMS.online er en
one-stop-løsning som radikalt fremskyndet implementeringen vår.

Evan Harris
Grunnlegger og COO, Peppy

Bestill demoen din

Med ISMS.online er utfordringer rundt versjonskontroll, policygodkjenning og policydeling en saga blott.
Dean Fields
IT-direktør NHS-fagfolk
100 % av brukerne våre består sertifiseringen første gang
Bestill demoen din

Hva er fordelene med ISO 27019?

Uten energiindustrien ville vi ikke hatt det teknologiske fremskritt som vi gjør nå. I hjertet av sektoren er de elektroniske prosesskontrollsystemene og nettverkene som er ansvarlige for å holde systemet funksjonelt, uten hvilke det ville vært massive og til og med katastrofale feil. Ta for eksempel det elektriske nettet. På grunn av begrenset energilagring i stor skala, er effektiv distribusjon av elektrisk energi til husholdnings- og industriforbruk avhengig av å holde en balanse mellom energien som produseres og den som forbrukes.

Hvis PCS-ene som ble brukt skulle svikte, ville det ikke vært mulig å kontrollere energiflyten i sanntid, og resultatet ville være utfall og overbelastning, noe som resulterer i avbrudd i strømfordelingen. Hvis den elektriske infrastrukturen i et hvilket som helst land skulle gå ned, ville nesten alle andre sektorer følge etter på grunn av hvor sterkt avhengige av automasjonsteknologi, de fleste av dem er.

Du får en klar ide om hvor viktig ISO/IEC 27019 er når du tar hensyn til truslene, sårbarhetene og virkningene av trusler på energiselskaper

Trusler mot energiverktøy

Noen av truslene energiressursene står overfor inkluderer naturkatastrofer og bevisste sabotasjer fra sosiale ingeniører, Advanced Persistent Threats (APTs), hackere, innsidere, terrorister, fremmede stater og pressgrupper. Det er andre mer verdslige trusler som de fra elektromekaniske feil, konkurrenter, ulykker, skadelig programvare, etc.

Sårbarheter i energiindustrien

Det er noen uunngåelige sårbarheter som ligger i prosessene og systemene. Et eksempel på slike svakheter er prosesskontrollsystemene som er tilgjengelige fra, koblet til eller eksponert for internett og andre nettverk. Dette gjør dem sårbare for en måte av cybertrusler, inkludert de som skyldes programvarefeil og designfeil forårsaket av dårlig design, administrasjon eller vedlikehold. Disse sårbarhetene er spesielt utbredt siden du utfører en sikkerhetsoppdatering for sikkerhetskritiske systemer kan være utfordrende.

Virkningen av trusler på energiressurser

Konsekvensene av svikt i energiverk er godt forstått. Noen av de mest alvorlige konsekvensene inkluderer:

  • Mangelen på eller kompromittering av forretnings- og sikker-kritisk informasjon som igjen vil forårsake avbrudd i strømforsyningen,
  • Tilførsel som ikke er spesifisert; for eksempel under/overspenning.
  • Utslipp av en katastrofal eller enorme mengde energi- og miljøhendelser som kjemikalier og oljelekkasjer.

Den strategiske betydningen av både offentlige og private organisasjoner i energiforsyningsbransjen har ført til at de er klassifisert som en del av kritisk nasjonal infrastruktur. Dette er grunnen til at alle organisasjoner som omfattes av ISO/IEC 27019 bør ta alle mulige tiltak for å implementere standarden for å sikre deres prosesskontrollsystemer som brukes.

Forholdet til andre standarder

ISO utviklet ISO/IEC 27019 for å sikre at den overholder språket i ISO/IEC 27001 og ISO 27002. Etablering av standarden på denne måten sikrer at du kan implementere ISO 27001 og ISO 27002 internasjonalt som et akseptert veiledningssystem for å sikre PCSene som brukes i energiforsyningsindustrien.

ISO 27019 og ISO 27002

ISO/IEC 27019 følger strukturen til IEC 27002 tett, med ytterligere veiledning der det er nødvendig. Under implementeringen må en organisasjon i energiforsyningsbransjen bruke ISO/IEC 27019 sammen med ISO/IEC 27002 siden førstnevnte ikke inneholder innholdet i 27002.

ISO 27019 og ISO/IEC 27001

Når du implementerer ISO 27019, bør organisasjoner også referere til ISO/IEC 27001 for å fylle ut den bredere konteksten for ditt ISMS. Systemet ditt bør inkludere ikke bare prosesskontrollen, men også andre generelle kommersielle nettverk, systemer som brukes og prosesser som gjelder for energiforsyningsindustrien.

Andre ISO-standarder

Du bør også vurdere andre standarder, som f.eks ISO / IEC 27005 ved implementering av ISO 27019 for å imøtekomme informasjonsrisikostyringspraksis som brukes av energiforsyningsindustrien.

Oppnå din første ISO 27001

Last ned din gratis guide til rask og bærekraftig sertifisering



Se vår enkle, kraftige plattform i aksjon
Finn ut mer

Hvem kan implementere ISO 27019?

Følgende er de spesifikke områdene der implementeringen av ISO/IEC 27019:2017 kontroller er avgjørende for å beskytte og sikre sikkerheten til kritisk energiinfrastruktur:

  1. Sentral og distribuert teknologi for styring, overvåking og automatisering av driftsprosessene og informasjonssystemene som brukes som parametrisering og programmering som letter dem.
  2. Automatiseringskomponenter og digitale kontrollere som Programmerbar Logic Controller (PLS), sammen med aktuatorelementer og digitale sensorer.
  3. Alle andre støttende informasjonssystemer som brukes i prosesskontroll som de som supplerer visualisering av data og de som involvert i overvåking, kontroll, historikerlogging, dataarkivering, dokumentasjon og rapportering..
  4. Kommunikasjonsteknologiene som brukes innen prosesskontroll som telemetri, nettverk, fjernkontrollteknologi og telekontrollapplikasjoner.
  5. Komponenter av Advanced Metering Infrastructure (AMI) som smarte målere.
  6. Måleutstyr som de som brukes i utslippsverdier.
  7. Digitale beskyttelses- og sikkerhetssystemer som sikkerhets-PLSer, beskyttelsesreleer og nødregulatormekanismer.
  8. Systemer for styring av energi som infrastruktur for elektrisk lading, distribuerte energiressurser (DER), industrielle kundeinstallasjoner, boligbygg og til og med i private husholdninger.
  9. Smart grid miljø distribuerte komponenter som i private husholdninger, energinett, industrielle kundeinstallasjoner og boligbygg.
  10. All fastvare, applikasjoner og programvare installert på systemene nevnt ovenfor, inkludert strømbruddsstyringssystemer (OMS), distribusjonsstyringssystem (DMS), etc.
  11. Alle lokaler som huser systemene og utstyret nevnt ovenfor.
  12. Fjernvedlikeholdssystemene for systemene nevnt ovenfor.

Hvordan implementere ISO 27019

Etter å ha gjennomført en sikkerhetsvurdering og komme med sikkerhetsrisikoer og mål og beslutninger om hvordan man skal håndtere den identifiserte risikoen, bør nødvendig kontroll velges og implementeres for å sikre at risikoene reduseres til et akseptabelt nivå.

I tillegg til kontrollene som tilbys av et omfattende ISMS, gir ISO 27019 ytterligere sektorspesifikke tiltak og assistanse for å hjelpe til med prosesskontrollen som brukes av energiforsyningsindustrien, angående de spesielle kravene til de spesifikke miljøene. Om nødvendig kan en organisasjon iverksette ytterligere tiltak for å oppfylle individuelle krav.

Kontrollene som en organisasjon vil bestemme seg for avhenger av:

  • Organisasjonens risikostyringstilnærming og deres risikoaksept
  • Andre relevante internasjonale og nasjonale lover, forskrifter og juridiske forordninger

Informasjonssikkerhet for energiselskaper

I tillegg til tiltakene og sikkerhetsretningslinjene som er presentert i ISO/IEC 27002:2013, har prosesskontrollsystemene for energileverandører og energiverk tilleggskrav. Sammenlignet med andre konvensjonelle IKT-miljøer som energihandelssystemer og kontorinformasjonsteknologi, har energiforsyningssektoren grunnleggende forskjeller når det gjelder drift, utvikling, vedlikehold, reparasjon og driftsmiljø for PCS.

Siden noen av prosesskontrollteknologiene beskrevet i ISO/IEC 27019:2017 beskriver integrerte komponenter i noen kritiske infrastrukturer, er de derfor avgjørende for å sikre pålitelig og sikker drift av slike infrastrukturer.

Når du tar i betraktning deres funksjon og design, bør du betrakte PCS-er for energiforsyningssektoren som informasjonsbehandlingssystemer. Data om status for de fysiske prosessene overvåkes ved hjelp av sensorer. Disse dataene blir deretter behandlet og kontrollutganger generert for å regulere handlingene ved hjelp av aktuatorer. Selv om prosessen er automatisk, kan driftspersonell manuelt gripe inn ved behov.

Siden informasjons- og informasjonsbehandlingssystemer er en vesentlig del av hvordan energiselskapene opererer, må organisasjoner iverksette nødvendige beskyttelsestiltak for å ivareta sin informasjon som andre organisatoriske enheter.

Prosesskontrollmiljøene for energiverktøy bruker i økende grad maskinvare- og programvarekomponenter. Et eksempel på dette er programmerbar logikk basert på standard IKT-teknologi. Tallrike sammenkoblinger danner også komplekse systemer. Det ville hjelpe om du vurderte disse nye risiko under en risikovurdering og nødvendige tiltak for å rette opp det.

Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.

Peter Risdon
CISO, Viital

Bestill demoen din

Ser du ikke det du leter etter?
Vi kan bygge det enkelt.
Kontakt

Hvordan komme i gang med ISO 27019?

For å komme i gang med 27019, bør organisasjoner i energiforsyningsbransjen gjennomføre en risikovurdering av systemene deres som brukes for å kjenne deres trusler, sårbarheter og mulige konsekvenser av risiko. Avhengig av den spesifikke maskinvare- og programvareautomatiseringsteknologien som brukes av energiselskapene, bør de velge de riktige retningslinjene og kontrollene for å sikre sikkerheten til systemene deres.

Tilgjengeligheten av programvare og verktøy for informasjonssikkerhet gjør det enkelt for organisasjoner å måle etterlevelsen av ISO 27019. Ved hjelp av slike verktøy vil de som er involvert i sikkerhetsstyring eller prosesskontroll som brukes av energiforsyningsindustrien få et klarere bilde av hvordan deres retningslinjer og kontroller sammenlignet med de fastsatte ISMS-kravene. Å kjenne til områdene som trenger forbedring gjør det mulig å bruke de relevante kontrollene basert på ISO 27019-standardene.

ISO 27019-sertifisering

For å oppnå ISO-sertifisering, bør en organisasjon følge en spesifikk prosedyre for å sikre at alle de tar opp risikoer når de er relatert til de bestemte forretningsmiljøene.

Det første trinnet for å oppnå sertifisering er å identifisere kjernevirksomhetsprosessen, dokumentere den til relevante medlemmer av organisasjonen. Dokumentasjonen skal angi prosedyrer og tiltak som er iverksatt beskytte de ulike informasjonssystemene og automatiseringsteknologi.

Neste steg er å implementere prosedyrene som beskrevet i dokumentasjonen, og sikre at alle ansatte er kvalifisert til å utføre oppgavene som kreves av dem. Det bør være et effektivt rapporteringssystem for å ivareta testing, inspeksjon, forebyggende tiltak, korrigerende tiltak, statistiske teknikker, ledergjennomgangsmøter, overvåking av mål, etc.

Effektiviteten til disse prosessene bør da være overvåkes ved hjelp av målbare data Hvor mulig. Energiselskaper bør også gjennomføre nødvendig gjennomgang og systemrevisjon.

Disse revisjonene sikrer at du implementerer alle kontrollene og retningslinjene som er foreslått av ISO 27019 på riktig måte. Systemrevisjoner bør:

  • Identifisere og rapportere styrker og svakheter ved styringssystemet
  • Ta nødvendige korrigerende eller forebyggende tiltak

Det siste trinnet for organisasjoner i energiforsyningsindustrien som ønsker å oppnå ISO/IEC 27019-sertifisering er å velge et uavhengig revisjonsorgan som driver med ekstern registrering.

Ledelsessystemets dokumentasjon bør deretter sendes inn for gjennomgang for å sikre samsvar med gjeldende standarder.

ISO 27019 krav

For å overholde ISO/IEC 2019, energiverk organisasjoner må identifisere sine sikkerhetskrav basert på deres automatiseringsteknologi. Disse kravene er hovedsakelig fra:

  1. En organisasjons risikovurdering resultater. De bør ta hensyn til en organisasjons generelle forretningsmål og strategier. Risikohendelser og kilder, sammen med sannsynligheten for forekomst og de potensielle konsekvensene av forekomsten av en gitt risiko.
  2. Andre krav vil følge av vedtekter og lover, kontrakter og forskrifter og andre sosiokulturelle forhold en organisasjon er pålagt å oppfylle. Noen spesielle eksempler inkluderer å sikre en energiforsyning som er pålitelig, sikker og effektiv, og også oppfyllelsen av et deregulert energimarkedskrav.
  3. De spesifikke forretningskravene, prinsippene og målene som er satt til behandling av informasjon som utviklet av virksomheten for å støtte driften.

Energiselskaper bør sørge for at alle PCSs sikkerhetskrav er ordentlig analysert og dekket i deres retningslinjer for informasjonssikkerhet. Noen av hensynene på plass inkluderer:

  • Begrensningen av energiflyten
  • Faren for fysisk skade
  • Effektene på informasjonspersonvernet
  • Økonomiske konsekvenser

Bestill demoen din

Se hvor enkelt
det er med
ISMS.online

Bestill en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din

Se vår enkle, kraftige plattform i aksjon
Bestill demoen din

Utforsk andre standarder innenfor ISO 27k-familien

  • 1ISO 27000-familien
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27018

ISO 27038 »

100 % av brukerne våre oppnår ISO 27001-sertifisering første gang

Start reisen din i dag
Se hvordan vi kan hjelpe deg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer