IEC 62443 - IEC 62443

IEC 62443 это международная серия стандартов «Промышленные сети связи - IT-безопасность сетей и систем». Стандарт разделен на несколько разделов и описывает как технические, так и связанные с процессорами аспекты промышленной кибербезопасности. Он делит отрасль на разные роли: оператор, интеграторы (поставщики услуг для интеграции и обслуживания) и производители. Каждая из различных ролей придерживается подхода, основанного на оценке рисков, для предотвращения и управления рисками безопасности в своей деятельности.

История

Стандарты кибербезопасности IEC-62443 - это многоотраслевые стандарты, в которых перечислены методы и методы защиты кибербезопасности. Эти документы являются результатом процесса создания стандартов МЭК, когда предложения ANSI / ISA-62443 и другие материалы передаются в страновые комитеты, где проводится анализ и представляются комментарии относительно изменений. Комментарии рассматриваются различными комитетами IEC 62443, где обсуждаются комментарии и вносятся изменения по согласованию.

Структура

Серия стандартов IEC 62443 Промышленные коммуникационные сети - Безопасность сетей и систем состоит из следующих частей:

  • Часть 1-1: Терминология, концепции и модели (Технические характеристики, издание 1.0, июль 2009 г.)[1]
  • Часть 2-1: Создание программы обеспечения безопасности систем промышленной автоматизации и управления (Международный стандарт, издание 1.0, ноябрь 2010 г.) Этот раздел стандарта предназначен для операторов решений по автоматизации и определяет требования к тому, как должна быть обеспечена безопасность во время эксплуатации установок. рассматривается (см. ISO / IEC 27001).[2]
  • Часть 2-3: Управление исправлениями в среде IACS (Технический отчет, издание 1.0, июнь 2015 г.)[3]
  • Часть 2-4: Требования программы безопасности для поставщиков услуг IACS (Технический отчет, издание 1.1, август 2017 г.) В этой части определяются требования («возможности») для интеграторов. Эти требования разделены на 12 тем: обеспечение, архитектура, беспроводная связь, инженерные системы безопасности, управление конфигурацией, удаленный доступ, управление событиями и ведение журнала, управление пользователями, защита от вредоносных программ, управление исправлениями, резервное копирование и восстановление, а также укомплектование персоналом проекта.[4]
  • Часть 3: Безопасность для измерения и контроля промышленных процессов - Сетевая и системная безопасность (общедоступная спецификация, редакция 1.0, август 2008 г.)[5]
  • Часть 3-1: Технологии безопасности для систем промышленной автоматизации и управления (Технический отчет, редакция 1.0, июль 2009 г.)[6]
  • Часть 3-3: Требования к безопасности системы и уровни безопасности (Международный стандарт, редакция 1.0, август 2013 г.) В этой части описаны технические требования к системам и уровням безопасности.[7]
  • Часть 4-1: Требования к жизненному циклу разработки безопасного продукта (Международный стандарт, редакция 1.0, январь 2018 г.) Раздел -4-1 стандарта IEC 62443 определяет, как должен выглядеть безопасный процесс разработки продукта. Он разделен на восемь областей («Практики»): управление разработкой, определение требований безопасности, проектирование решений безопасности, безопасная разработка, тестирование функций безопасности, обработка уязвимостей безопасности, создание и публикация обновлений и документации функций безопасности.[8]
  • Часть 4-2: Технические требования к безопасности для компонентов IACS (Международный стандарт, издание 1.0, февраль 2019 г.) В этом разделе определены технические требования к продуктам или компонентам.[9] Как и требования к системам (Раздел -3-3), требования разделены на 12 предметных областей и относятся к ним. В дополнение к техническим требованиям определены общие ограничения безопасности компонентов (CCSC), которым должны соответствовать компоненты, чтобы они соответствовали IEC 62443-4-2:
    • CCSC 1 описывает, что компоненты должны учитывать общие характеристики безопасности системы, в которой они используются.
    • CCSC 2 определяет, что технические требования, которым компонент не может удовлетворить сам, могут быть выполнены путем компенсации контрмер на системном уровне (см. IEC 62443-3-3). Для этого меры противодействия должны быть описаны в документации компонента.
    • CCSC 3 требует, чтобы в компоненте применялся принцип «наименьших привилегий».
    • CCSC 4 требует, чтобы компонент был разработан и поддерживался процессами разработки, соответствующими IEC 62443-4-1.

Уровень зрелости и безопасности

МЭК 62443 описывает разные уровни зрелости процессов и технических требований. Уровни зрелости процессов основаны на уровнях зрелости из структуры CMMI.

Уровень зрелости

Основанный на CMMI, МЭК 62443 описывает различные уровни зрелости процессов посредством так называемых «уровней зрелости». Чтобы соответствовать определенному уровню зрелости, все требования, связанные с процессами, должны всегда выполняться во время разработки или интеграции продукта, т.е. выбор только индивидуальных критериев («выбор вишни») не соответствует стандартам.

Уровни зрелости описываются следующим образом:

  • Уровень зрелости 1 - начальный: поставщики продуктов обычно занимаются разработкой продукта специально и часто без документации (или не полностью задокументированы).
  • Уровень зрелости 2 - управляемый: поставщик продукта может управлять разработкой продукта в соответствии с письменными инструкциями. Необходимо продемонстрировать, что персонал, выполняющий процесс, имеет соответствующий опыт, обучен и / или соблюдает письменные процедуры. Процессы повторяемы.
  • Уровень зрелости 3 - Определено (практикуется): процесс повторяется во всей организации поставщика. Процессы отработаны, и есть свидетельства того, что это было сделано.
  • Уровень зрелости 4 - Улучшение: поставщики продукции используют соответствующие метрики процесса, чтобы отслеживать эффективность и производительность процесса и демонстрировать постоянное улучшение в этих областях.

Уровень безопасности

Технические требования к системам (IEC 62443-3-3) и продуктам (IEC 62443-4-2) оцениваются в стандарте с помощью четырех так называемых уровней безопасности (SL). Различные уровни указывают на сопротивление против разных классов злоумышленников. Стандарт подчеркивает, что уровни следует оценивать в соответствии с техническим требованием (см. IEC 62443-1-1) и не подходят для общей классификации продуктов.

Уровни бывают:

  • Уровень безопасности 0: Никаких специальных требований или защиты не требуется.
  • Уровень безопасности 1: Защита от непреднамеренного или случайного неправильного использования.
  • Уровень безопасности 2: Защита от преднамеренного неправильного использования простыми средствами с небольшими ресурсами, общими навыками и низкой мотивацией.
  • Уровень безопасности 3: Защита от преднамеренного неправомерного использования изощренными средствами с умеренными ресурсами, специфическими знаниями IACS и умеренной мотивацией.
  • Уровень безопасности 4: Защита от преднамеренного неправомерного использования с использованием сложных средств с обширными ресурсами, специфическими знаниями IACS и высокой мотивацией.

Концепции

Стандарт объясняет различные основные принципы, которые следует учитывать для всех ролей во всех действиях.

Глубокая оборона

Глубокая защита - это концепция, в которой несколько уровней безопасности (защиты) распределены по всей системе. Цель состоит в том, чтобы обеспечить избыточность в случае сбоя меры безопасности или использования уязвимости.

Зоны и трубопроводы

Зоны делят систему на однородные зоны, группируя (логические или физические) активы с общими требованиями безопасности. Требования безопасности определяются уровнем безопасности (SL). Требуемый уровень для зоны определяется анализом рисков.

Зоны имеют границы, которые отделяют элементы внутри зоны от внешних. Информация перемещается внутри и между зонами. Зоны можно разделить на подзоны, которые определяют разные уровни безопасности (Security Level) и, таким образом, обеспечивают эшелонированную защиту.

Трубопроводы группируют элементы, обеспечивающие связь между двумя зонами. Они обеспечивают функции безопасности, которые обеспечивают безопасную связь и позволяют сосуществовать зонам с разными уровнями безопасности.

Программы сертификации IEC 62443

Схемы сертификации IEC 62443 также были созданы несколькими глобальными органами по сертификации. Схемы основаны на упомянутых стандартах и ​​процедурах, в которых описаны их методы тестирования, политика надзорного аудита, политика в отношении общедоступной документации и другие конкретные аспекты их программы. Программы сертификации кибербезопасности для стандартов IEC 62443 предлагаются во всем мире несколькими признанными CB, включая exida, CertX, SGS-TÜV Saar, TÜV Nord, TÜV Rheinland, TÜV SÜD и UL.Глобальная аккредитация и признаниеГлобальная инфраструктура была создана для обеспечения последовательной оценки в соответствии с этими стандартами. Беспристрастные сторонние организации, называемые органами по сертификации (CB), аккредитованы для работы в соответствии с ISO / IEC 17065 и ISO / IEC 17025. Органы по сертификации аккредитованы для проведения аудита, оценки и тестирования Органом по аккредитации (AB). Часто в каждой стране есть один национальный AB. Эти AB действуют в соответствии с требованиями ISO / IEC 17011, стандарта, который содержит требования к компетентности, последовательности и беспристрастности органов по аккредитации при аккредитации органов по оценке соответствия. Органы по аккредитации являются членами Международного форума по аккредитации (IAF) для работы в области систем менеджмента, продуктов, услуг и аккредитации персонала или Международного сотрудничества по аккредитации лабораторий (ILAC) для аккредитации лабораторий. Соглашение о многостороннем признании (MLA) между AB обеспечит глобальное признание аккредитованных CB.

Стандарты кибербезопасности IEC-62443 - это многоотраслевые стандарты, в которых перечислены методы и методы защиты кибербезопасности. Эти документы являются результатом процесса создания стандартов МЭК, когда предложения ANSI / ISA-62443 и другие материалы передаются в страновые комитеты, где проводится анализ и представляются комментарии относительно изменений. Комментарии рассматриваются различными комитетами IEC 62443, где обсуждаются комментарии и вносятся изменения по согласованию. Многие члены комитетов IEC являются теми же людьми из комитетов ISA S99. На сегодняшний день использованы фундаментальные концепции оригинальных документов ANSI / ISA 62443.

Схема IEC CB

Схема IEC CB - это многостороннее соглашение, которое облегчает доступ на рынок производителей электротехнической и электронной продукции.

Схема CB возникла из CEE (бывшая Европейская «Комиссия по проверке соответствия электрического оборудования») и была интегрирована в IEC в 1985 году. В настоящее время в IECEE входят 54 органа-члена, 88 NCB (национальные органы по сертификации), и 534 испытательных лаборатории CB (CBTL). В области сертификации продукции эта процедура используется для упрощения процедуры утверждения производителей продукции, испытанной и сертифицированной в соответствии с гармонизированными стандартами.

Продукт, который был протестирован CBTL (сертифицированной испытательной лабораторией) в соответствии с гармонизированным стандартом, таким как IEC 62443, может использовать отчет CB в качестве основы для последующей национальной сертификации и утверждения, например GS, PSE, CCC, NOM, ГОСТ / Р, БСМИ.

Международный институт соответствия требованиям безопасности ISASecure

Международный институт соответствия требованиям безопасности (ISCI) создал первую схему оценки соответствия (широко известную как схема сертификации) для стандартов ANSI / ISA 62443. Эта программа сертифицирует коммерческие готовые системы автоматизации (COTS), системы управления и устройства IOT, обеспечивая безопасность цепочки поставок систем управления. Процессы разработки ISCI включают в себя политики обслуживания, чтобы гарантировать, что сертификаты ISASecure остаются в соответствии со стандартами IEC 62443 по мере их развития. В то время как стандарты ANSI / ISA 62443 предназначены для горизонтального удовлетворения требований технической кибербезопасности в различных отраслях, в рабочие группы ISASecure вошли профильные эксперты из традиционных перерабатывающих отраслей, поставщиков систем управления зданиями и владельцев активов.

Под брендом ISASecure доступны две сертификаты продукта COTS: CSA (Component Security Assurance), сертифицирующий продукты автоматизации в соответствии со стандартами кибербезопасности IEC 62443-4-1 / IEC 62443-4-2, и SSA (System Security Assurance), сертифицирующий системы по IEC. 62443-3-3 стандартный. Третья сертификация, SDLA (Secure Development Lifecycle Assurance), доступна от ISCI, которая сертифицирует организации, занимающиеся разработкой систем автоматизации, на соответствие стандарту кибербезопасности IEC 62443-4-1.

Смотрите также

Рекомендации

  1. ^ IEC62443-1-1, Промышленные сети связи. Безопасность сетей и систем. Часть 1-1: Терминология, концепции и модели. Стр. 1-10 (PDF 263KB) на webstore.iec.ch
  2. ^ IEC62443-2-1, Промышленные сети связи. Безопасность сетей и систем. Часть 2-1: Создание программы обеспечения безопасности систем промышленной автоматизации и управления.
  3. ^ IEC62443-2-3, Безопасность для систем промышленной автоматизации и управления - Часть 2-3: Управление исправлениями в среде IACS
  4. ^ IEC62443-2-4, Безопасность для систем промышленной автоматизации и управления - Часть 2-4: Требования программы безопасности для поставщиков услуг IACS
  5. ^ IEC62443-3, Безопасность для измерения и контроля промышленных процессов - Безопасность сети и систем
  6. ^ IEC62443-3-1, Промышленные сети связи. Безопасность сетей и систем. Часть 3-1. Технологии безопасности для систем промышленной автоматизации и управления.
  7. ^ IEC62443-3-3 Промышленные сети связи. Безопасность сетей и систем. Часть 3-3: Требования к безопасности системы и уровни безопасности.
  8. ^ IEC62443-3-3 IEC62443-41 Безопасность для систем промышленной автоматизации и управления - Часть 4-1: Требования жизненного цикла безопасной разработки продукта
  9. ^ IEC 62443-4-2: 2019 Безопасность для систем промышленной автоматизации и управления - Часть 4-2: Технические требования к безопасности для компонентов IACS

внешняя ссылка