ISO/IEC 27019 est un ensemble de principes directeurs pour la gestion de la sécurité de l'information des systèmes de contrôle de processus (PCS) utilisés dans le secteur des services publics de l'énergie.
L'objectif principal de ce document est d'élargir la portée de l'ISO/CEI aux domaines des technologies d'automatisation et des PCS. Il s’agit de fournir une offre spécifique et standardisée Système de gestion de la sécurité de l'information (SMSI) pour protéger les systèmes technologiques matériels et logiciels chargés de surveiller et de contrôler la production, le transport, le stockage et la distribution de pétrole, de gaz, d'énergie électrique et de chaleur, entre autres services publics énergétiques.
L’industrie énergétique mondiale est responsable de certaines des catastrophes les plus cataclysmiques que l’humanité ait connues.
Voici des exemples de mauvaise gestion destructrice des ressources énergétiques :
Il n’est pas surprenant qu’il existe une forte culture des contrôles de sécurité dans le secteur des services publics de l’énergie. Cette philosophie vient du conscience des effets à long terme de certaines opérations et programmes qui tournent mal.
Le secteur des services publics de l’énergie est l’un des plus grands bénéficiaires de l’automatisation. La plupart des systèmes utilisés s'appuient fortement sur des PCS électroniques tels que :
Avec d'autres procédures et réseaux associés, ceux-ci sont chargés de :
En bref, une panne ou des perturbations dans les systèmes électroniques de contrôle des processus utilisés entraîneront la panne de l’ensemble du système.
Par exemple, la panne d’un moniteur dans une centrale géothermique entraînera une surchauffe et, dans le pire des cas, une explosion désastreuse.
Tandis que le ISO / IEC 27002 Les normes décrivent des lignes directrices importantes pour contrôler la protection des actifs de sécurité de l'information, mais leur portée n'approfondit pas suffisamment la protection des processus des services publics d'énergie.
C'est pourquoi la norme ISO/IEC 27019:2017 existe.
L'ISO et la CEI ont publié pour la première fois l'ISO 27019 en 2013 sous la forme d'un rapport technique (TR), élaboré en accélérant l'adoption d'une norme DIN. En 2017, une deuxième édition de la norme a été publiée, ce qui en fait une Norme internationale complète en harmonie avec la version 2013 de ISO 27001 et ISO 27002. Alors, pourquoi la norme ISO 27019 est-elle si importante ?
ISMS.online est un
solution unique qui a radicalement accéléré notre mise en œuvre.
Avec ISMS.online, les défis liés au contrôle de version, à l'approbation et au partage de politiques appartiennent au passé.
Sans l’industrie énergétique, nous n’aurions pas le niveau de progrès technologique que nous connaissons actuellement. Au cœur du secteur se trouvent les systèmes et réseaux électroniques de contrôle des processus chargés de maintenir le système fonctionnel, sans lesquels il y aurait des pannes massives, voire catastrophiques. Prenons par exemple le réseau électrique. En raison du stockage limité de l’énergie à grande échelle, la distribution efficace de l’énergie électrique pour la consommation domestique et industrielle dépend du maintien d’un équilibre entre l’énergie produite et celle consommée.
Si les PCS utilisés tombaient en panne, il n’y aurait aucun moyen de contrôler le flux d’énergie en temps réel, ce qui entraînerait des pannes et des surcharges, entraînant des interruptions dans la distribution d’énergie. Si l’infrastructure électrique d’un pays devait tomber en panne, presque tous les autres secteurs suivraient le mouvement en raison de leur forte dépendance à la technologie d’automatisation, la plupart d’entre eux le sont.
Vous obtenez une idée claire de l'importance de la norme ISO/IEC 27019 lorsque vous prenez en compte les menaces, les vulnérabilités et les impacts des menaces sur les services publics d'énergie.
Menaces auxquelles sont confrontés les services publics d’énergie
Certaines des menaces qui pèsent sur les ressources énergétiques comprennent les catastrophes naturelles et les sabotages délibérés de la part d’ingénieurs sociaux, de menaces avancées persistantes (APT), de pirates informatiques, d’initiés, de terroristes, d’États étrangers et de groupes de pression. Il existe d’autres menaces plus banales telles que celles liées aux pannes électromécaniques, aux concurrents, aux accidents, aux logiciels malveillants, etc.
Vulnérabilités du secteur énergétique
Il existe certaines vulnérabilités inévitables inhérentes aux processus et aux systèmes. Un exemple de telles faiblesses concerne les systèmes de contrôle de processus qui sont accessibles, connectés ou exposés à Internet et à d’autres réseaux. Cela les rend vulnérables à diverses cybermenaces, y compris celles résultant de bogues logiciels et de défauts de conception causés par une mauvaise conception, gestion ou maintenance. Ces vulnérabilités sont particulièrement répandues depuis l'exécution d'une correctif de sécurité pour les systèmes critiques pour la sécurité pourrait être un défi.
L’impact des menaces sur les ressources énergétiques
Les conséquences de la faillite des services publics de l’énergie sont bien comprises. Certains des impacts les plus graves comprennent :
L’importance stratégique des organisations publiques et privées dans le secteur des services publics de l’énergie leur a valu d’être classées parmi les infrastructures nationales critiques. C'est pourquoi toutes les organisations couvertes par la norme ISO/IEC 27019 doivent prendre toutes les mesures possibles pour mettre en œuvre la norme afin de sécuriser les systèmes de contrôle de processus utilisés.
L'ISO a développé l'ISO/IEC 27019 pour garantir qu'elle adhère au langage de l'ISO/IEC 27001 et de l'ISO 27002. L'établissement de la norme de cette manière garantit que vous pouvez mettre en œuvre la norme ISO 27001 et ISO 27002 au niveau international en tant que système d'orientation accepté pour sécuriser les PCS utilisés dans le secteur des services publics de l'énergie.
L'ISO/CEI 27019 suit de près la structure de la CEI 27002, avec des lignes directrices supplémentaires fournies si nécessaire. Lors de la mise en œuvre, une organisation du secteur des services publics de l'énergie doit utiliser l'ISO/IEC 27019 conjointement avec l'ISO/IEC 27002, car la première n'intègre pas le contenu de la norme 27002.
Lors de la mise en œuvre de la norme ISO 27019, les organisations doivent également se référer à la norme ISO/IEC 27001 pour renseigner le contexte plus large de votre SMSI. Votre système doit inclure non seulement le contrôle des processus, mais également d'autres réseaux commerciaux généraux, les systèmes utilisés et les processus applicables au secteur des services publics de l'énergie.
Vous devriez également considérer d'autres normes, telles que ISO / IEC 27005 lors de la mise en œuvre de la norme ISO 27019 pour répondre aux pratiques de gestion des risques liés à l'information utilisées par le secteur des services publics de l'énergie.
Téléchargez votre guide gratuit pour une certification rapide et durable
Nous avons juste besoin de quelques détails pour pouvoir vous envoyer par e-mail votre guide pour atteindre la norme ISO 27001 du premier coup.
Téléchargez votre guide gratuit maintenant et si vous avez des questions, n'hésitez pas Réserver une démo or Contactez-Nous. Nous serons heureux de vous aider.
Voici les domaines spécifiques dans lesquels la mise en œuvre des contrôles ISO/IEC 27019:2017 est essentielle pour protéger et garantir la sécurité des infrastructures énergétiques critiques :
Après avoir mené une évaluation de la sécurité et identification des risques de sécurité et les objectifs et décisions sur la manière de gérer le risque identifié, le contrôle nécessaire doit être sélectionné et mis en œuvre pour garantir que les risques sont réduits à un niveau acceptable.
En plus des contrôles offerts par un SMSI complet, la norme ISO 27019 fournit des mesures et une assistance supplémentaires spécifiques au secteur pour faciliter le contrôle des processus utilisé par le secteur des services publics de l'énergie, concernant les exigences particulières des environnements spécifiques. Si nécessaire, une organisation pourrait prendre des mesures supplémentaires pour répondre à des exigences individuelles.
Les contrôles qu'une organisation décidera dépendent de :
Outre les mesures et les directives de sécurité présentées dans la norme ISO/IEC 27002:2013, les systèmes de contrôle de processus pour les fournisseurs d'énergie et les services publics d'énergie ont des exigences supplémentaires. Comparé à d'autres environnements TIC conventionnels tels que les systèmes d'échange d'énergie et les technologies de l'information de bureau, le secteur des services publics de l'énergie présente des différences fondamentales en ce qui concerne l'exploitation, le développement, la maintenance, la réparation et l'environnement d'exploitation des PCS.
Étant donné que certaines des technologies de contrôle de processus décrites dans la norme ISO/IEC 27019:2017 décrivent des composants intégraux de certaines infrastructures critiques, elles sont donc essentielles pour garantir un fonctionnement fiable et sécurisé de ces infrastructures.
Lorsque vous prenez en considération leur fonction et leur conception, vous devez considérer les PCS du secteur des services publics de l’énergie comme des systèmes de traitement de l’information. Les données sur l'état des processus physiques sont surveillées à l'aide de capteurs. Ces données sont ensuite traitées et des sorties de contrôle générées pour réguler les actions à l'aide d'actionneurs. Bien que le processus soit automatique, le personnel d'exploitation peut intervenir manuellement en cas de besoin.
Étant donné que l’information et les systèmes de traitement de l’information constituent un élément essentiel du fonctionnement des services publics de l’énergie, les organisations doivent prendre les mesures de protection nécessaires pour protéger leurs informations, comme les autres unités organisationnelles.
Les environnements de contrôle des processus des services publics d’énergie utilisent de plus en plus de composants matériels et logiciels. Un exemple en est la logique programmable basée sur la technologie TIC standard. De nombreuses interconnexions forment également des systèmes complexes. Il serait utile que vous considériez ces nouveaux risques lors d’une évaluation des risques et les mesures nécessaires prises pour y remédier.
Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.
Pour commencer avec 27019, les organisations du secteur des services publics de l'énergie doivent procéder à une évaluation des risques de leurs systèmes utilisés pour connaître leurs menaces, leurs vulnérabilités et les impacts possibles des risques. En fonction de la technologie d'automatisation matérielle et logicielle spécifique utilisée par les organismes de services publics de l'énergie, ils doivent sélectionner les directives et contrôles appropriés pour garantir la sécurité de leurs systèmes.
La disponibilité de logiciels et d'outils de sécurité de l'information permet aux organisations de comparer facilement leur conformité à la norme ISO 27019. Avec l'aide de ces outils, les personnes impliquées dans la gestion de la sécurité ou le contrôle des processus utilisés par le secteur des services publics d'énergie auront une idée plus claire de la façon dont leur politiques et contrôles par rapport aux exigences définies du SMSI. Connaître les domaines à améliorer permet d'appliquer les contrôles pertinents basés sur les normes ISO 27019.
Pour obtenir la certification ISO, une organisation doit suivre une procédure spécifique pour garantir qu'elle traite tous les risques liés à des environnements commerciaux particuliers.
La première étape pour obtenir la certification consiste à identifier le processus métier principal et à le documenter auprès des membres concernés de l'organisation. La documentation doit indiquer les procédures et les mesures prises pour protéger les différents systèmes d’information et la technologie d'automatisation.
L'étape suivante consiste à mettre en œuvre les procédures décrites dans la documentation et à s'assurer que tous les employés sont qualifiés pour effectuer les tâches qui leur sont demandées. Il devrait y avoir un système de reporting efficace pour prendre en charge les tests, les inspections, les actions préventives, mesures correctives, techniques statistiques, réunions de revue de direction, suivi des objectifs, etc.
L'efficacité de ces processus devrait alors être surveillé à l’aide de données mesurables lorsque c'est possible. Les organismes de services publics de l'énergie devraient également mener examen et audit du système nécessaires.
Ces audits garantissent que vous mettez correctement en œuvre tous les contrôles et directives suggérés par la norme ISO 27019. Les audits du système doivent :
La dernière étape pour les organisations du secteur des services publics de l'énergie souhaitant obtenir la certification ISO/IEC 27019 consiste à sélectionner un organisme d'audit indépendant chargé de l'enregistrement externe.
La documentation du système de gestion doit ensuite être soumise pour examen afin de garantir sa conformité aux normes applicables.
Pour se conformer à la norme ISO/IEC 2019, service public d'énergie les organisations doivent identifier leurs exigences en matière de sécurité basé sur leur technologie d'automatisation. Ces exigences proviennent principalement :
Les organisations de services publics d’énergie doivent s’assurer que toutes les exigences de sécurité des PCS sont correctement analysées et couverts par leurs politiques de sécurité de l’information. Certaines des considérations en place comprennent :
Réservez une séance pratique sur mesure en fonction de vos besoins et de vos objectifs.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup