标准小组创建了更新关键IT、OT基础设施的报告草案

使基础设施保持最新，同时又不损害其功能或破坏银行的能力，这对于几乎每个依赖信息技术(IT)或操作技术(OT)来实现其主要业务或任务的组织来说都是一个挑战。

这个问题可能很快就会改变。

美国国家标准与技术研究院(NIST)发布了一份帮助组织解决这一棘手问题的指导草案。本技术文件旨在帮助组织执行一步一步的分析，以确定系统的那些关键部分，如果系统要成功地支持组织的使命，这些关键部分就不能失败或遭受损害。

该文件，NIST跨部门报告(NISTIR) 8179，临界分析过程模型，建立在先前的NIST指南，如特别出版物(SP) 800-53 Rev. 4, SP 800-160和SP 800-161，强调了识别系统关键点的重要性，但没有提供这样做的方法。

NIST网络安全专家Jon Boyens说:“这份报告草案向人们展示了如何执行适合他们组织的临界性分析。”他与同事Celia Paulsen共同撰写了这份报告。“每个机构都有自己的情况。我们正在为政府开发这个功能，但我们希望它对私营部门友好且有用。”

这份报告草案的影响将超出联邦机构，因为所有与政府有业务往来的私人承包商。

圣迭戈红马公司高级项目经理约翰·彼得森说:“我认为这样的指导将有助于确保供应链的安全。”“很多系统都是集成的，所以如果有一个部分在某种程度上受到了损害，就可能影响整个系统。”

现实世界中有限资源的问题可能会加剧这些风险，根据预算优先级的不同，联邦政府的资源可能会有很大差异。当一个组织不能总是负担得起购买最新和最好的工具，但有时必须使用遗留技术时，该如何维护系统呢?

“遗留问题在整个行业都是臭名昭著的，”匹兹堡软件工程研究所(Software engineering Institute)网络安全工程技术经理卡罗尔·伍迪(Carol Woody)说。“所有组织都在努力降低技术成本。这很难做到，因为他们必须做出的选择可能并不总能预见到十年后的问题。NIST的作者所做的是说，要广泛思考。问问你自己为什么要买某样东西，以及它需要多长时间才能有更大的功能- - - - - -计划它的使用寿命和相应的预算。”

保尔森说，虽然像这样的基本思想已经在许多行业中使用，但它们并不总是被应用到信息安全中。

“我们研究了许多流程，并意识到人们倾向于根据他们最了解的东西来看待风险- - - - - -他们自己的目标和经历，”她说。“现有的程序并不总是强调考虑不同- - - - - -经常相互竞争- - - - - -优先级或单个组件如何影响组织的各个部分。由于资源有限，不可能解决所有问题，但我们的报告将帮助您更清楚地了解整个情况。它将帮助你与组织的不同部门、外部利益相关者和供应链合作伙伴沟通什么是重要的。”

临界性分析不仅对确定高价值资产至关重要。它还改变了传统风险评估对可能性的关注:从对手可能做什么，到他们有能力做什么。这种方法还消除了关于“投资回报”的争论，有利于具有弹性的工程系统。

博延斯说，报告提供的这种指导是必要的，因为供应链的性质- - - - - -无数的制造商，他们各自的产品最终组合成一个系统，然后成为一个机构更大的基础设施的一部分。

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com．

在线额外

请看下面ISSSource的相关报道。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。