همگرایی فزاینده IT و OT سازمانها را وادار کرده است که به بازتعریف نحوه همراستاسازی استانداردهای امنیت سایبری بپردازند. از یک سو، ISO/IEC 27001 چارچوب مدیریتی برای استقرار و بهبود ISMS ارائه میدهد؛ از سوی دیگر، IEC 62443 عمق فنی لازم برای امنیت سامانههای کنترل صنعتی را فراهم میکند؛ و در سطح راهبردی، NIST CSF یک مدل Outcome-Based و قابلفهم برای هیئتمدیره ارائه میدهد. چالش اصلی، یکپارچهسازی این سه منطق در قالب یک مدل سازمانی منسجم است. در این میان، ISO/IEC TS 27103 میتواند نقش پل معماری را ایفا کند.
پیش از ادامه، لازم است شفاف شود که این تحلیل بدون دسترسی به متن کامل TS 27103 نوشته شده است. مبنای مقاله، عنوان رسمی، هدف اعلامشده، منطق شناختهشده Technical Specificationها و تجربه معماری در همراستاسازی استانداردهاست. بهطور معمول، TSها الزام جدید یا کنترل قابلگواهی معرفی نمیکنند، بلکه هدفشان ارائه راهنمای ساختاری، مدل نگاشت و انسجامبخشی به استانداردهای موجود است. بنابراین استدلال این مقاله بر پایه منطق معماری استانداردها شکل گرفته، نه تفسیر بندبهبند متن رسمی.
مسئله اصلی: سیلوهای استاندارد
در بسیاری از سازمانها، ISO/IEC 27001 بر حاکمیت ریسک و مدیریت امنیت IT تمرکز دارد، در حالی که IEC 62443 در حوزه OT اجرا میشود. این دو اغلب بهصورت موازی و جداگانه پیادهسازی میشوند. نتیجه، دو مدل ریسک، دو ساختار گزارشدهی و دو زبان کنترلی متفاوت است. در همین حال، NIST CSF در سطح مدیریتی برای گزارشدهی و ساخت پروفایل امنیتی استفاده میشود، اما چون کنترلمحور نیست، بهتنهایی انسجام فنی ایجاد نمیکند.
در چنین فضایی، TS 27103 میتواند نقش لایه میانی معماری را بازی کند؛ یعنی قبل از نگاشت به CSF، ساختار داخلی سازمان را یکپارچه کند.
CSF: چارچوب نتیجهمحور
NIST CSF بر پنج کارکرد اصلی تأکید دارد: Identify، Protect، Detect، Respond، Recover. این چارچوب نمیگوید چه کنترلهایی باید اجرا شود، بلکه میگوید چه نتایجی باید حاصل شود. بنابراین سازمان برای پیادهسازی آن نیازمند استانداردهای اجرایی است.
در اینجا TS 27103 کمک میکند که ISO 27001 و IEC 62443 بهعنوان لایههای اجرایی، در یک مدل سازمانی هماهنگ شوند، تا بتوان آنها را به CSF نگاشت کرد بدون ایجاد دوگانگی IT/OT.
معماری لایهای پیشنهادی
یک مدل منطقی میتواند چنین باشد:
لایه راهبردی: NIST CSF
لایه حاکمیتی و مدیریت ریسک: ISO/IEC 27001 و ISO/IEC 27005
لایه راهنمای کنترلها: ISO/IEC 27002
لایه عمق فنی OT: IEC 62443
لایه همراستاسازی معماری: ISO/IEC TS 27103
در این ساختار، TS 27103 تضمین میکند که استانداردهای اجرایی در سیلو اجرا نشوند و پیش از اتصال به CSF، در یک مدل یکپارچه سازمانی قرار گیرند.
مزیت در سطح هیئتمدیره
یکی از مهمترین آثار این همراستاسازی، ارائه یک پروفایل CSF واحد برای کل سازمان است. بدون TS 27103، سازمان ممکن است دو CSF Profile مجزا داشته باشد: یکی برای IT و یکی برای OT. این وضعیت منجر به شکاف حاکمیتی و ابهام در گزارشدهی میشود.
اما اگر TS 27103 بهعنوان چارچوب معماری استفاده شود، میتوان یک مدل ریسک واحد، یک بیانیه Risk Appetite مشترک و یک ساختار گزارشدهی یکپارچه ایجاد کرد. در نتیجه، هیئتمدیره تصویر جامعی از ریسک سایبری سازمان خواهد داشت.
جلوگیری از تعارضهای ممیزی
در سطح کنترلها نیز این همراستاسازی اهمیت دارد. برای مثال، Access Control در ISO 27001 و IEC 62443 هر دو وجود دارد، اما در OT ممکن است MFA عملی نباشد. در یک مدل معماری یکپارچه، میتوان کنترلهای جبرانی مانند Zone Segmentation یا Jump Server را بهطور رسمی در ISMS شناسایی کرد و از تعارض ممیزی جلوگیری نمود.
انسجام در پایش و پاسخ
در حوزه Monitoring نیز TS 27103 میتواند یکپارچگی بین SOC سازمانی و ابزارهای پایش صنعتی را تسهیل کند. در نتیجه، فرآیندهای Detect و Respond در CSF نهتنها برای IT، بلکه برای OT نیز در یک ساختار مشترک قرار میگیرند.
نتیجهگیری
ISO/IEC TS 27103 جایگزین CSF یا ISO 27001 نیست. کنترل جدیدی نیز اضافه نمیکند. اما ارزش آن در ایجاد انسجام معماری است. این TS میتواند زبان مشترکی میان استانداردهای مدیریتی و فنی ایجاد کند و شرایطی فراهم آورد که اتصال آنها به چارچوبهای Outcome-Based مانند NIST CSF بهصورت ساختاری و منسجم انجام شود.
