Norma ISA/IEC 62443

ISA/IEC 62443 to rodzina standardów, wytycznych oraz dobrych praktyk służących zabezpieczeniu systemów sterowania i automatyki przemysłowej (ang. Industrial Automation and Control Systems, IACS). Ich twórcami są Międzynarodowe Towarzystwo Automatyzacji (ang. International Society of Automation, ISA) oraz Międzynarodowa Komisja Elektrotechniczna (ang. International Electrotechnical Commission, IEC). W ramach niniejszego artykułu zawarto krótkie wprowadzenie do tematyki standardów i wytycznych ISA/IEC 62443, uwzględniając perspektywę polskich przedsiębiorstw przemysłu 4.0.   

Co znajdziesz w tym artykule:

  1. Rodzina standardów ISA/IEC 62443 – prowadzę przedsiębiorstwo przemysłowe, która norma jest dla mnie? 
  1. Czego dotyczy IEC 62443-2-1 – skrótowy opis normy  
  1. Po co mi IEC 62443-2-1 – jakie korzyści płyną z wdrożenia normy 

Rodzina standardów ISA/IEC 62443

Rodzina standardów ISA/IEC 62443 rozwijana jest zarówno z myślą o operatorach infrastruktury przemysłowej jak i producentach sprzętu oraz oprogramowania wykorzystywanych w Przemyśle 4.0. Tym ważniejsze jest aby w grupie 14 standardów ISA/IEC 62443 o różnym zakresie tematycznym, formie i poziomie szczegółowości skupić się na tych dokumentach, które odpowiadają na potrzeby konkretnego przedsiębiorstwa lub organizacji. Wyróżnić można 4 grupy dokumentów: 

  1. Ogólne: zawierają informacje wprowadzające, słownictwo, pojęcia i case studies. 
  1. Zasady i procedury: przedstawiają konkretne wymagania dotyczące organizacyjnego poziomu budowy i wdrażania IACS. 
  1. System: skupiają się na kwestii oceny bezpieczeństwa wdrożonych procedur i technologii. 
  1. Komponent: dotyczą cyklu życia produktów i wymagań technicznych dotyczących poszczególnych komponentów używanych w IACS. 

Grafika 1. Rodzina norm ISA/IEC 62443 

Źródło: ISA Global Cybersecurity Alliance, Quick Start Guide: An Overview of ISA/IEC 62443 Standards, www.isa.org/ISAGCA. 

W ramach całości rodziny opisywanych standardów operator instalacji przemysłowej, w nomenklaturze norm określany mianem właściciela aktywów (ang. asset owner), otrzymuje wsparcie i wiedzę w zakresie sześciu kolejnych kroków: 

  1. Ustanawiania i utrzymywania CSMS  (ang. cyber security management system, CSMS), który uwzględnia wymagania specyficzne dla systemów sterowania i automatyki przemysłowej; 
  1. Logicznej kategoryzacji zasobów na „strefy” (ang. zones) i „kanały” (ang. conduits) i przeprowadzania szacowania ryzyka w oparciu o istniejące zasoby; 
  1. Rozpisywania wymagań względem IACS zgodnie z odpowiednią specyfikacją wymogów cyberbezpieczeństwa; 
  1. Zakupu produktów i usług spełniających wyżej wspomniane wymagania; 
  1. Obsługi i utrzymania IACS; 
  1. Oceny skuteczności wprowadzonego systemu zarządzania cyberbezpieczeństwa IACS. 

Z perspektywy przedsiębiorstwa przemysłowego kluczową normą jest IEC 62443-2-1 opisująca proces tworzenia oraz wdrażania systemu zarządzania cyberbezpieczeństwa dla systemów sterowania i automatyki przemysłowej. W dalszej części opracowania przybliżono tę właśnie normę.  

Czego dotyczy IEC 62443-2-1

Norma ISA/IEC 62443-2-1 prezentuje proces ustanawiania systemu zarządzania cyberbezpieczeństwa IACS. Odbiorcą tej normy są tzw. właściciele aktywów, odpowiedzialni za zaprojektowanie i wdrożenie procesu, np. CISO, CIO czy dyrektor ds. bezpieczeństwa w organizacji. Budując CSMS, należy w pierwszym kroku zrozumieć czym zarządza właściciel aktywów. Norma doprecyzowuje w związku z tym pojęcie systemów sterowania i automatyki przemysłowej. IACS to zbiór personelu, sprzętu, oprogramowania i procedur będących częścią procesu przemysłowego i mogących wpływać na jego bezpieczną (ang. safe and secure) i niezawodną pracę. 

Norma przyjmuje podobną strukturę jak bardziej ogólne standardy bezpieczeństwa np. z rodziny 27000, dzięki czemu manager zaznajomiony z procesem praktycznego wykorzystywania np. ISO/IEC 27001 w łatwy sposób może wdrożyć się w pracę z IEC 62443-2-1. Norma opisuje trzy kategorie kroków jakie należy podjąć w procesie ustanawiania CSMS: (1) Analiza ryzyka (2) Odpowiedź na zmapowane ryzyka, (3) Monitorowanie oraz ulepszanie CSMS. W szczegółowych aneksach (Aneks A oraz B) umieszczono dokładne wymagania dotyczące procesów, technologii oraz zaangażowanego personelu w ramach realizacji CSMS. Znaleźć tam można m.in. wytyczne dotyczące polityki bezpieczeństwa informacji,  kontroli dostępu, systemów wykrywania włamań (ang. Intrusion Detection Systems, IDS), stosowania kryptografii, bezpieczeństwa fizycznego, ale też np. relacji z dostawcami czy zarządzania incydentami bezpieczeństwa. Warto w tym miejscu wskazać, że cała rodzina norm ISA/IEC 62443, w tym omawiany standard, opiera się na siedmiu wymaganiach podstawowych (ang. foundational requirments), które odnoszą się zarówno do ludzi, procesów jak i technologii zaangażowanych w zabezpieczenie IACS. Są nimi: 

  1. Identyfikacja i uwierzytelnianie, 
  1. Kontrola użytkowania,  
  1. Integralność systemu,  
  1. Poufność danych,  
  1. Ograniczony przepływ danych,  
  1. Dostosowana czasowo reakcja na zdarzenia,  
  1. Ciągła dostępność zasobów.  

Po co mi IEC 62443-2-1 

Managerowie firm przemysłowych, którzy wdrożyli już w swojej organizacji inne normy, np. ISO 9001 czy ISO/IEC 27001, mogą słusznie zapytać – po co mi ISA/IEC 62443? Odpowiedzią są przede wszystkim kluczowe różnice jakie występują pomiędzy zarządzaniem bezpieczeństwa samego IT a budową systemu bezpieczeństwa IACS, funkcjonującego na styku IT/OT. Musi on uwzględniać m.in.: możliwość występowania fizycznego zagrożenie dla pracowników, szkód dla środowiska lub zdrowia publicznego w wypadku awarii, możliwe ataki uszkadzające fizyczne komponenty sprzętu lub wpływające na integralność produktów na linii produkcyjnej, potrzebę znacznie wyższej dostępności chronionego systemu (zazwyczaj 24/7/365), dłuższe okresy między konserwacjami a także znacznie dłuższą żywotność komponentów systemu. Jedną z odpowiedzi ISA/IEC 62443 na te specyficzne wyzwania bezpieczeństwa IACS, jest oparcie procesów w firmie na identyfikacji i odpowiednim połączeniu trzech kategorii elementów:  

  1. Relewantnych systemów (ang. systems under consideration, SuCs),  
  1. Poziomów bezpieczeństwa (ang. security levels, SLs)  
  1. Przytaczanych już „stref” oraz „kanałów”  

W pierwszym kroku właściciel aktywów wskazuje relewantny system i określa jego poziomy bezpieczeństwa (docelowe, osiągnięte i dotyczące zdolności). Zgodnie ze standardem ma do dyspozycji cztery poziomy bezpieczeństwa określające odporność na odmienne poziomy zagrożeń: 

SL 1: Ochrona przed przypadkowym naruszeniem bezpieczeństwa; 

SL 2: Ochrona przed umyślnym naruszeniem bezpieczeństwa przy użyciu prostych środków z wykorzystaniem podstawowych zasobów, standardowymi umiejętnościami i niską motywacją; 

SL 3: Ochrona przed umyślnym naruszeniem bezpieczeństwa przy użyciu wyrafinowanych środków z wykorzystaniem ograniczonych zasobów, umiejętnościami dedykowanymi IACS i umiarkowaną motywacją; 

SL 4: Ochrona przed umyślnym naruszeniem bezpieczeństwa przy użyciu wyrafinowanych środków z rozbudowanymi zasobami, umiejętnościami dedykowanymi IACS i wysoką motywacją. 

Właściciele aktywów mogą przypisywać opisane poziomy w odmienny sposób do poszczególnych elementów badanego systemu.  Wynikać powinno to z faktu podzielenia systemu na oddzielne „strefy” i „przewody”. Te pierwsze definiowane są jako grupy zasobów logicznych lub fizycznych, które mają wspólne wymagania bezpieczeństwa oparte na czynnikach takich jak krytyczność i konsekwencje. Drugie z kolei to grupy zasobów przeznaczone wyłącznie do komunikacji, w ramach których spełniane są te same wymagania bezpieczeństwa. W oparciu o tak opisaną taksonomię pracownicy odpowiedzialni za cyberbezpieczeństwo są w stanie stworzyć macierze zasobów z ich pożądanymi poziomami ryzyka. 

Jeśli chcesz dowiedzieć się więcej, śledź nasze konta w mediach społecznościowych, aby uzyskać dalsze aktualizacje, gdy pojawi się nowa publikacja lub zapisz się do naszego newslettera.

demo scadvance

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Dziękujemy

Odezwiemy się w ciągu 1 dnia roboczego

style>