فن آوران گیتی افروز
ارزیابی انطباق امنیت سایبری صنعتیآموزش، ممیزی و انطباقپایدار

از IT تا کف کارخانه — یک ارزیابی ۱۲ هفته‌ای منطبق با IEC 62443 برای محیط‌های OT/ICS شما

تیم ممیزی ما با تجربه عملی در پالایشگاه، پتروشیمی و نیروگاه، استاندارد IEC 62443 را به نقشه راه قابل اجرا ترجمه می‌کند — از Asset Inventory و Zone & Conduit تا تعیین SL-T و achieved SL.

منطبق با IEC 62443-2-1، 3-2، 3-3، 4-1، 4-2تیم ممیز با تجربه DCS و SCADAتحویل گزارش رسمی + نقشه راه WBS
درخواست جلسه ارزیابی اولیه با ممیز ارشدمشاهده چارچوب ارزیابی
آموزش، ممیزی و انطباق
IEC 62443
Asset
Asset Inventory و کشف پسیو
  • OT Asset Discovery پسیو
  • Zone & Conduit Mapping
  • Vulnerability Assessment
  • تعیین Target Security Leve
Zone
Zone & Conduit Modeling
  • Vulnerability Assessment
  • تعیین Target Security Leve
  • Gap Analysis و achieved SL
  • Remediation Roadmap با WBS
SL
SL-T و achieved SL
  • Gap Analysis و achieved SL
  • Remediation Roadmap با WBS
  • Policy Mapping و CSMS
  • Vendor و Component Audit
Vulnerability
Vulnerability Assessment
  • Policy Mapping و CSMS
  • Vendor و Component Audit
  • آموزش تیم بهره‌برداری
  • پنجره Re-Assessment
+۱۵٬۰۰۰
دارایی OT/ICS ممیزی‌شده در پروژه‌های پیشین
8 فاز
روش‌شناسی ساختاریافته
10+
Deliverable مستند
3+
بازخورد مستقیم مشتری
Our Methodology

چارچوب ارزیابی ما چگونه با IEC 62443 منطبق است

ارزیابی بر اساس مدل Purdue و الزامات سری استاندارد IEC 62443 طراحی شده است. هر فاز از ارزیابی به یک یا چند بخش از استاندارد نگاشت می‌شود تا گزارش نهایی شما قابل ارجاع، قابل ممیزی و قابل دفاع در برابر بازرسان حاکمیتی باشد.

01

Asset Inventory و کشف پسیو

کشف PLC، RTU، HMI و Engineering Stationها بدون اختلال در فرآیند تولید — با ابزارهای پسیو OT-aware

02

Zone & Conduit Modeling

مدل‌سازی Zoneها بر اساس مدل Purdue و تعریف Conduit بین Zoneها با Data Flow مستند

03

SL-T و achieved SL

تعیین سطح امنیت هدف برای هر Zone و اندازه‌گیری سطح امنیت فعلی با ۷ FR استاندارد

04

Vulnerability Assessment

ارزیابی آسیب‌پذیری منطبق با CVSS for ICS و اولویت‌بندی بر اساس exposure در Zone حساس

چارچوب‌ها و استانداردهای مرجع
IEC 62443-2-1CSMSIEC 62443-3-2Risk AssessmentIEC 62443-3-3System RequirementsIEC 62443-4-1Secure DevelopmentIEC 62443-4-2Component ReqsPurdue ModelISA-95
Deliverables

۱۰ مؤلفه ارزیابی ما در یک نگاه

هر deliverable در پایان engagement به‌صورت مستند، executive-ready و قابل ارائه به هیأت مدیره به شما تحویل داده می‌شود.

OT Asset Discovery پسیو

فاز ۱

کشف کامل دارایی‌های OT/ICS بدون ارسال یک بسته فعال به شبکه فرآیندی.

Asset Inventory دقیق در کمتر از ۲ هفته

Zone & Conduit Mapping

فاز ۲

مدل‌سازی Zoneهای امنیتی و Conduitهای بین آن‌ها بر اساس مدل Purdue.

پایه‌ای مستحکم برای اعمال کنترل‌های امنیتی

Vulnerability Assessment

فاز ۳

ارزیابی آسیب‌پذیری OT-aware با ابزارهای متناسب با محیط کنترل.

تمرکز روی آسیب‌پذیری‌هایی که واقعاً اهمیت دارند

تعیین Target Security Level (SL-T)

فاز ۴

تعیین سطح امنیت هدف برای هر Zone بر اساس Risk Assessment رسمی.

تعریف روشن «چقدر امن، کافی است؟»

Gap Analysis و achieved SL

فاز ۵

اندازه‌گیری سطح امنیت فعلی و محاسبه فاصله تا SL-T.

تصویر روشن از وضعیت فعلی و کارهای پیش رو

Remediation Roadmap با WBS

فاز ۶

نقشه راه اجرایی Remediation با Work Breakdown Structure قابل بودجه‌بندی.

ارزیابی شما به برنامه اجرایی واقعی تبدیل می‌شود

Policy Mapping و CSMS

فاز ۷

نگاشت خط‌مشی‌های موجود به الزامات IEC 62443-2-1 (CSMS).

چارچوب مدیریتی منسجم به‌جای سندهای پراکنده

Vendor و Component Audit

فاز ۸

ممیزی انطباق تأمین‌کنندگان با IEC 62443-4-1 و 4-2.

ورود تجهیزات امن از همان مرحله خرید

آموزش تیم بهره‌برداری

فاز ۹

برنامه آموزش OT Security متناسب با تیم Operations و Maintenance.

تیم بهره‌برداری به خط دفاعی فعال تبدیل می‌شود

پنجره Re-Assessment

فاز ۱۰

ارزیابی مجدد ۶ ماهه برای سنجش پیشرفت Remediation.

اطمینان از اجرایی شدن نقشه راه
Engagement Journey

از تماس اول تا تحویل گزارش، در ۱۲ هفته

۰۱

Kick-off و Scoping

هفته ۱

جلسه با مدیر OT و IT، تعیین دامنه ارزیابی، انتخاب واحدهای پایلوت و امضای NDA.

سند Scope and Engagement Plan
۰۲

Asset Discovery و Inventory

هفته ۲ تا ۳

نصب حسگرهای پسیو، کشف دارایی‌های OT و تولید Asset Inventory اولیه.

Asset Inventory کامل + Topology Diagram
۰۳

Zone & Conduit Modeling

هفته ۴ تا ۵

مدل‌سازی Zoneها و Conduitها بر اساس مدل Purdue و Data Flow واقعی.

Zone & Conduit Diagram و Data Flow
۰۴

Risk Assessment (3-2)

هفته ۶ تا ۷

ارزیابی ریسک رسمی برای هر Zone و Consequence Analysis.

Risk Register منطبق با IEC 62443-3-2
۰۵

Vulnerability Assessment

هفته ۷ تا ۸

ارزیابی آسیب‌پذیری OT-aware و اولویت‌بندی بر اساس exposure.

گزارش Vulnerability با اولویت‌بندی
۰۶

SL-T و Gap Analysis (3-3)

هفته ۹ تا ۱۰

تعیین SL-T، اندازه‌گیری achieved SL و تولید ماتریس Gap.

SL Matrix و Gap Analysis Report
۰۷

Vendor Audit و Policy Mapping

هفته ۱۰ تا ۱۱

ممیزی تأمین‌کنندگان (4-1/4-2) و نگاشت خط‌مشی‌ها با CSMS (2-1).

Vendor Scorecard و Policy Gap Report
۰۸

Roadmap، آموزش و تحویل

هفته ۱۲

تدوین Remediation Roadmap با WBS، آموزش تیم بهره‌برداری و تحویل گزارش نهایی.

گزارش نهایی + WBS + تأییدیه آموزش
Side by Side

ممیزی IT-Centric، ارزیابی خارجی، ارزیابی IEC 62443 GITA

معیار
راهکار سنتی
راهکار متداول
GITA
دامنه ارزیابی
فقط شبکه IT و سرورها
OT اما با ابزار IT-centric
OT/ICS با ابزار و تیم تخصصی صنعتی
ابزار کشف دارایی
Active scan (خطر اختلال)
Claroty / Dragos (مشمول تحریم)
ابزار پسیو OT-aware، بدون مشکل تحریم
تیم ممیز
ممیز IT بدون تجربه کف کارخانه
ممیز خارجی، نیازمند مترجم
تیم بومی با تجربه DCS، SCADA و IEC 61850
نگاشت با IEC 62443
ندارد
کامل اما عمومی
کامل و متناسب با محیط ایرانی
زبان گزارش و آموزش
انگلیسی
انگلیسی + مترجم
فارسی صنعتی + اصطلاحات بومی
پشتیبانی پس از ارزیابی
ندارد
از راه دور و محدود
Re-Assessment ۶ ماهه + پشتیبانی حضوری
تحویل WBS قابل بودجه‌بندی
گزارش کلی
WBS کامل با ساعت، هزینه و اولویت
Client Outcomes

تجربه تیم‌های صنعتی از ارزیابی ما

«تیم ارزیابی برای اولین بار با اپراتورهای ما به زبان خودشان صحبت کرد. تفاوت بین Asset مدیریتی و Functional Asset را با مثال واقعی DCS توضیح دادند و در نهایت Asset Inventory دقیقی تحویل دادند که قبلاً هیچ ممیزی موفق به تولیدش نشده بود.»
مدیر اتوماسیون — پالایشگاه با ۲۰۰۰ نقطه کنترل
«نقشه راه Remediation که در پایان ارزیابی تحویل دادند، مستقیم وارد بودجه سال بعد ما شد. WBS با ساعت و هزینه برآوردشده، چیزی بود که برای متقاعد کردن هیئت مدیره به آن نیاز داشتیم.»
مدیر IT/OT — پتروشیمی با ۴ واحد فرآیندی
«بزرگ‌ترین ارزش این ارزیابی، Re-Assessment ۶ ماهه بود. وقتی تیم برگشت و دید که ۶۰٪ از Quick Winها را اجرا کرده‌ایم، نقشه راه را به‌روز کردند و انگیزه تیم برای اجرای بقیه دو برابر شد.»
Security Officer — شرکت توزیع برق منطقه‌ای
پالایشگاه نفت
ارزیابی DCS، SIS و Field Devices در واحدهای Distillation و Conversion — با تمرکز بر Safety Instrumented System و انطباق با IEC 61511.
پتروشیمی
ممیزی شبکه فرآیندی، Interlockها و سامانه‌های آنالایزر — با نگاشت Zone برای واحدهای الفین، PE و PP.
نیروگاه برق
ارزیابی DCS، Turbine Controller و سامانه‌های Excitation — منطبق با الزامات NERC-CIP و IEC 62443 برای محیط تولید برق.
پست فوق‌توزیع شرکت برق
ممیزی IEDها، RTUها و پروتکل‌های IEC 61850 و DNP3 — با تمرکز روی Substation Automation و امنیت ارتباطات GOOSE/SV.
تصفیه‌خانه آب
ارزیابی SCADA توزیع، PLC ایستگاه‌های پمپاژ و سامانه تله‌متری — با توجه به Geographic Distribution و ارتباطات رادیویی.
کارخانه تولیدی (Discrete Manufacturing)
ممیزی MES، PLC خطوط مونتاژ و ربات‌های صنعتی — با نگاشت Zone بین Enterprise IT و Shop Floor OT.
اپراتور خط لوله
ارزیابی SCADA توزیع‌شده، Pipeline Leak Detection و سامانه Custody Transfer — با تمرکز بر امنیت ارتباطات WAN صنعتی.
پایانه نفتی
ممیزی سامانه‌های Tank Gauging، Loading و Custody Metering — منطبق با الزامات ایمنی و امنیت پایانه‌های صادراتی.
Common Questions

سؤال‌های متداول

01آیا کشف دارایی شما به فرآیند تولید آسیب می‌زند؟

خیر، تمام کشف دارایی به‌صورت پسیو انجام می‌شود. ما از پورت SPAN یا Network TAP استفاده می‌کنیم و هیچ بسته‌ای به شبکه کنترل تزریق نمی‌کنیم. این روش در محیط‌های Mission-Critical مانند DCS پالایشگاهی و SCADA نیروگاهی بارها به‌کار رفته و هرگز اختلالی ایجاد نکرده است.

02تفاوت ارزیابی شما با Claroty یا Dragos چیست؟

Claroty و Dragos محصولات قدرتمندی هستند، اما به‌دلیل تحریم‌ها، خرید، به‌روزرسانی و پشتیبانی آن‌ها در ایران دشوار است. ما با ابزار بومی GITA OT Scanner و چارچوب ارزیابی متناسب با محیط ایران، خروجی مشابه را با پشتیبانی حضوری و فارسی ارائه می‌دهیم.

03آیا ارزیابی شما برای دریافت گواهی رسمی IEC 62443 قابل استفاده است؟

ارزیابی ما یک Gap Assessment رسمی است که شما را برای صدور گواهی توسط نهادهای ثالث (مانند TÜV یا exida) آماده می‌کند. خروجی ما کاملاً منطبق با ساختار مورد انتظار این نهادها است و در صورت تمایل، در فرآیند صدور گواهی نیز شما را همراهی می‌کنیم.

04Target Security Level چگونه تعیین می‌شود؟

SL-T بر اساس IEC 62443-3-2 از طریق ارزیابی ریسک و Consequence Analysis تعیین می‌شود — نه با حدس فنی. برای هر Zone، Consequence یک حادثه امنیتی (مالی، ایمنی، محیط زیستی، اعتباری) برآورد می‌شود و SL-T متناسب با آن بین ۰ تا ۴ تعیین می‌گردد.

05Patching محدودیت زیادی دارد. این موضوع چگونه در نقشه راه دیده می‌شود؟

ما واقعیت محدودیت پنجره نگهداری در صنعت را درک می‌کنیم. در نقشه راه، Compensating Controls (مانند Segmentation، Industrial IDS و Whitelisting) به‌عنوان جایگزین Patching معرفی می‌شوند تا ریسک تا زمان پنجره نگهداری بعدی کاهش یابد.

06آیا تأمین‌کنندگان خارجی ما با IEC 62443-4-2 منطبق هستند؟

بسیاری از تأمین‌کنندگان بزرگ (Siemens، ABB، Rockwell، Schneider) برای خطوط محصول جدید خود گواهی 4-2 دارند، اما تجهیزات Legacy معمولاً ندارند. ما در فاز Vendor Audit، انطباق دقیق هر مدل تجهیز نصب‌شده در سایت شما را بررسی می‌کنیم و در Vendor Scorecard ارائه می‌دهیم.

07آموزش تیم بهره‌برداری چه ویژگی خاصی دارد؟

آموزش‌ها نقش‌محور و به زبان صنعتی فارسی است. برای اپراتور، مثال‌ها از HMI و Alarm Management است. برای مهندس نگهداری، از Engineering Station و Backup Procedure. برای مدیر شیفت، Tabletop Exercise با سناریوی واقعی مانند Triton طراحی می‌شود.

08اگر بعد از ارزیابی نخواهیم با شما کار کنیم، گزارش متعلق به ماست؟

بله، تمام مالکیت فکری گزارش، Asset Inventory، Zone Diagram و Roadmap متعلق به شماست. ما هیچ Lock-in تحمیل نمی‌کنیم و اگر تصمیم بگیرید Remediation را با تیم داخلی یا پیمانکار دیگر انجام دهید، گزارش ما به همان اندازه ارزشمند باقی می‌ماند.

09ارزیابی شما چقدر دسترسی به سامانه‌های ما نیاز دارد؟

حداقل دسترسی Read-Only به Engineering Station و امکان نصب حسگر پسیو روی پورت SPAN. ما هیچ نرم‌افزاری روی PLC، DCS یا HMI نصب نمی‌کنیم و هیچ تغییری در پیکربندی سامانه کنترل اعمال نمی‌گردد. کل فعالیت‌ها مستندسازی و در پایان روزانه به مدیر OT گزارش می‌شود.

10هزینه ارزیابی برای یک پالایشگاه متوسط چقدر است؟

هزینه دقیق بستگی به تعداد Zoneها، تعداد دارایی‌های OT و گستردگی جغرافیایی دارد، اما برای یک پالایشگاه متوسط با حدود ۵۰۰ تا ۸۰۰ نقطه کنترل، بازه قیمتی مشخصی داریم که در جلسه اولیه اعلام می‌کنیم. Re-Assessment ۶ ماهه در همین بسته گنجانده شده است.

جلسه ارزیابی اولیه با ممیز ارشد رزرو کنید

۴۵ دقیقه با ممیز ارشد ما صحبت کنید. محیط OT خود را تشریح کنید و یک Scope and Engagement Plan اولیه رایگان دریافت کنید — بدون پرزنتیشن فروش، بدون تعهد.

رزرو جلسه Discovery دریافت SoW نمونه
تلفن
+۹۸ ۲۱ ۱۲۳۴ ۵۶۷۸
ایمیل
ot-assessment@gitiafrooz.com
ساعات
شنبه تا چهارشنبه — ۸ تا ۱۷
اولین جلسه رایگان، بدون پرزنتیشن فروش