欧盟网络安全局:铁路网络风险管理最佳实践.docx
- 伤心的茶叶个人认证 |
- 2021-11-29 发布|
- 388.04 KB|
- 7页
欧盟网络安全局:铁路网络风险管理最佳实践
该报告的目的是为欧洲RUs和IMs提供关于如何评估和减轻网络风险的适用方法和实例。
当地时间11月25日,欧盟网络和信息安全局-ENISA发布了一份题为《Railway Cybersecurity – Good Practices in Cyber Risk Management 》的报告,详细介绍了铁路组织网络风险管理的最佳实践。ENISA说,欧洲铁路企业(RUs)和基础设施管理人员(IMs)需要以系统的方式应对网络风险,这是其风险管理过程的一部分。自2016年网络和信息安全(NIS)指令生效以来,这一需求变得更加迫切。该报告的目的是为欧洲RUs和IMs提供关于如何评估和减轻网络风险的适用方法和实例。
ENISA和欧盟铁路局于2021年3月组织了一场关于铁路网络安全的虚拟会议。会议持续了两天多时间,聚集了来自铁路组织、政策、行业、研究、标准化和认证的600多名专家。参与者投票的最热门话题之一是铁路网络风险管理,这也是ENISA进行最新研究的动机。提出的最佳实践正是基于铁路利益相关者的调研反馈。它们包括基于行业标准和良好实践的工具,如资产和服务列表、网络威胁场景和适用的网络安全措施。这些资源可作为铁路公司网络风险管理的基础。因此,它们旨在成为一个参考点,促进整个欧盟铁路利益相关者之间的合作,同时提高对相关威胁的认识。
报告指出,铁路信息技术(IT)和运营技术(OT)系统的现有风险管理方法各不相同。对于铁路IT系统的风险管理,引用最多的方法是国家一级的NIS指令、ISO 2700x系列标准和NIST网络安全框架的要求。
图1:风险管理的六个步骤
对于OT系统,引用的框架是ISA/IEC 62443, CLC/TS 50701,以及Shift2Rail项目X2Rail-3的建议,或CYRail项目的建议。
这些标准或方法通常以互补的方式