در حال حاضر اکثر سازمان‌ها با سطوح یکپارچگی ایمنی (SIL) آشنا شده‌اند، با این حال، با توجه به اینکه اخیرا چندین استاندارد امنیت سایبری در سری IEC 62443 منتشر شده است، دانش امنیت صنعتی دچار پیچیدگی بیشتری می‌شود. این سری از استانداردها دو سطح جدید دیگر را معرفی می‌کند که سازمان‌ها باید به سرعت به آنها توجه کنند، که عبارتند از:

• سطح بلوغ
• سطح امنیتی

سطوح جدید ممکن است شبیه به SIL به نظر برسند، اما بایستی در محیط عملیاتی قابلیت اجرا داشته باشند.

این استاندارد سه نوع سطح امنیتی را تعریف می‌کند:

1. سطوح امنیتی هدف (SL-T)
2. سطوح امنیتی قابلیت (SL-C)
3. سطوح امنیتی دست یافته (SL-A)

IEC 62443-3-2  مستلزم آن است که سیستم خود را به مناطق امنیتی مختلف تقسیم کنید. سپس با استفاده از فرآیند ارزیابی ریسک امنیتی، سطوح امنیتی خاص را به مناطق و مجراهای مختلف در صنعت، اختصاص دهید. البته بهتر است سطوح امنیتی مناطق و مجراها بر اساس پیامدهای احتمالی در صورت دستیابی به هدف حمله در آن منطقه اختصاص داده شود.

با افزایش سطح امنیتی، افزایش یکپارچگی امنیتی امری بدیهی است. از نظر مفهومی می‌توان این سطح را به عنوان تلاشی برای دستیابی به درجه‌ای از یکپارچگی افزایش یافته برای هر مرحله از تغییر در سطح امنیتی سازمان، در نظر گرفت.

قابلیت سطح امنیتی

اگرچه قابلیت سطح امنیتی برای مناطق و مجراهای سازمان اعمال می شود، اما اجزا و سیستم‌هایی که در داخل سازمان وجود دارند نیز می‌توانند قابلیت سطح امنیتی خاص خود را داشته باشند و در صورت ارائه اطلاعات کافی می‌توانند در تعیین سطح امنیتی کلی منطقه بسیار مفید باشند.

به عنوان مثال یک بخش یا سیستم با تعریف سطح امنیت 3 ، به این معنی است که بخش مذکور، قابلیت انجام عملکردهای امنیتی IEC 62443-3-3 (برای سیستم ها) و IEC 62443-4-2 (برای اجزاء) را دارد.

همچنین باید توجه داشته باشید که سطح امنیتی برای یک دستگاه به کاربر این امکان را می‌دهد که حداقل قابلیت‌های دستگاه را درک کند.

با توجه به موارد ذکر شده فوق، قابلیت‌های امنیتی را می توان به هفت الزام اساسی به شرح زیر طبقه‌بندی کرد:

هر نیاز اساسی شامل بسیاری از قابلیت‌های امنیتی دقیق است. به عنوان مثال، سازمانی که گواهینامه سطح امنیتی 1 را دریافت کرده است، باید تمام قابلیت های سطح امنیتی 1 را در هر هفت مورد از این حوزه ها داشته باشد. با این حال، از نظر عملی، یک سازمان ممکن است سطوح امنیتی مختلفی را در هر یک از لایه‌های خود برآورده کند. بنابراین، درک توانایی سازمان‌ها برای پاسخ به نیازهای اساسی امنیتی هر بخش بسیار مهم است.

سطح بلوغ و نحوه ارتباط آن با سطح امنیتی

ممکن است در این مرحله از خود بپرسید که سطح بلوغ کجا مناسب است و چگونه با سطح امنیت ارتباط دارد؟ سطوح بلوغ برای فرآیندها اعمال می شود و میزان بلوغ یک سازمان در اجرای یک فرآیند مشخص را مستند می‌کند. تقریباً می توان آنها را به شرح زیر توصیف کرد:

• سطح بلوغ 1 – فرآیند Ad-hoc(فرآیند Ad-hoc به یک روش یا رویکرد غیرساختاری اشاره دارد که بدون راهنمایی و استاندارد خاصی صورت می‌گیرد).
• سطح بلوغ 2 – فرآیند مستند شده، اما لزوماً قابل تکرار نیست.
• سطح بلوغ 3 – فرآیند مستندی که قابل تکرار است ولی به طور مداوم دنبال نمی‌شود.
• سطح بلوغ 4 – فرآیند مستندی که قابل تکرار است و به طور مداوم دنبال می شود، اندازه‌گیری می‌شود و به طور پیوسته بهبود می‌یابد.

اما انجام این موضوع سوالاتی را به وجود می‌آورد، مانند:

• رابطه بین سطح بلوغ و سطح امنیت چیست؟
• آیا می توان با وجود فرآیند سطح بلوغ 1 در سازمان ، یک سیستم سطح امنیت 4 ایجاد کرد؟
• آیا می‌توان یک سیستم سطح امنیت 4 را با استفاده از فرآیند سطح بلوغ 1 حفظ کرد؟

پاسخ به این سوالات تا حدودی چالش برانگیز است.

طبق استانداردهای فعلی  IEC 62443، هیچ رابطه‌ای بین سطح عملکرد و سطح امنیت وجود ندارد. بنابراین، می‌توان با استفاده از فرآیند سطح بلوغ 1، یک سیستم سطح امنیتی 4 را توسعه داد یا حفظ کرد. با این حال، منطقی به نظر می‌رسد که سطح امنیتی به دست آمده، ممکن است به دلیل عدم وجود یک فرآیند تکرارپذیر، اندازه‌گیری نشود.

بنابراین، توصیه می‌شود که صاحبان دارایی در سازمان‌ها به طور مداوم بهبود مستمر را تمرین کرده و به سطوح بلوغ متناسب با SL-T های تعریف شده دست یابند. علاوه بر این، کاربران نهایی تحت مدیریت زنجیره تامین خود قرار بگیرند و برای انجام این مهم، آنها باید اصرار داشته باشند که یک تامین کننده محصول، دارای فرآیندهای کاری با سطح بلوغ متناسب یا فراتر از سطوح امنیتی باشد.

سطوح بلوغ امنیت را بسیار مهم در نظر بگیرید

نکته مهم در این مقاله این است که، هنگام تجزیه و تحلیل و تلاش برای اطمینان از استقرار یک سطح امنیتی خاص با این انتظار که برای سیستم شما مفید و قابل اجرا باشد، عدم در نظر گرفتن سطوح بلوغ تهدید بزرگی تلقی می‌گردد. این سطوح باید در تعیین قابلیت سطح امنیتی و در انتخاب اجزای مورد استفاده در سیستم لحاظ شوند. استفاده از محصولات تایید شده سازمان‌های نظارتی مانند سازمان امنیت فضای تولید و تبادل اطلاعات(افتا)، شاک و… ، در صورت موجود بودن، یکی از راه‌های اطمینان از در نظر گرفته شدن سطح بلوغ امنیت سایبری در سازمان است.