МЭК 62443

IEC 62443 — это серия стандартов, касающихся кибербезопасности операционных технологий в системах автоматизации и управления . Серия разделена на различные разделы и описывает как технические, так и технологические аспекты кибербезопасности систем автоматизации и управления. Эта серия также известна как ISA/IEC 62443 в знак признания того факта, что большая часть первоначальных разработок была выполнена комитетом ISA99 Международного общества автоматизации .

В нем темы кибербезопасности разделены по категориям/ролям заинтересованных сторон, включая:

• оператор,
• поставщики услуг (поставщики услуг для интеграции и обслуживания)
• производители компонентов/систем.

Каждая из различных ролей придерживается подхода, основанного на оценке рисков, для предотвращения и управления рисками безопасности в своей деятельности.

Семейство стандартов IEC 62443, являющееся международным стандартом, является результатом процесса создания стандартов Международной электротехнической комиссии (IEC), в ходе которого все участвующие национальные комитеты согласовали общий стандарт. Множество организаций и комитетов предоставили свои материалы рабочим группам IEC и помогли сформировать семейство стандартов IEC 62443.

Начиная с 2002 года Международное общество автоматизации (ISA), профессиональное общество инженеров по автоматизации, и организация по разработке стандартов (SDO), аккредитованная ANSI, учредили комитет по стандартам безопасности систем промышленной автоматизации и управления (ISA99). Комитет ISA99 разработал серию стандартов и технических отчетов, состоящую из нескольких частей, о кибербезопасности систем промышленной автоматизации и управления (IACS). Эти рабочие продукты были представлены ISA на утверждение, а затем опубликованы как стандарты Североамериканского ANSI . Документы по стандартам ISA, первоначально называвшиеся стандартами ANSI/ISA-99 или ISA99, в 2010 году были переименованы в серию ANSI/ISA-62443. Содержание этой серии было представлено и использовано рабочими группами IEC.

Параллельно с этим в 2011 году немецкие инженерные ассоциации VDI и VDE выпустили рекомендации VDI/VDE 2182. Рекомендации описывают, как обеспечить информационную безопасность в средах промышленной автоматизации, а также были представлены и использованы рабочими группами IEC.

В 2021 году IEC утвердила семейство стандартов IEC 62443 как «горизонтальные стандарты». Это означает, что когда отраслевые стандарты операционных технологий разрабатываются экспертами в данной области, стандарты IEC 62443 должны использоваться в качестве основы для требований, касающихся кибербезопасности в этих стандартах. Этот подход позволяет избежать распространения частичных и/или противоречивых требований по обеспечению кибербезопасности операционных технологий во всех отраслях промышленности, где одна и та же или аналогичная технология или продукты развернуты на рабочих площадках.

IEC 62443 Промышленные сети связи. Серия стандартов сетевой и системной безопасности состоит из четырех частей: ^[1]

1. Общие сведения: в этой части рассматриваются темы, общие для всей серии.
2. Политика и процедуры. В этой части основное внимание уделяется методам и процессам, связанным с безопасностью IACS.
3. Система: Эта часть посвящена требованиям на уровне системы.
4. Компоненты и требования. В этой части представлены подробные требования к продуктам IACS.

В следующей таблице перечислены части серии стандартов IEC 62443, опубликованные на сегодняшний день, с указанием их статуса и названия.

• Часть 2-1: Эта часть стандарта предназначена для операторов решений автоматизации и определяет требования к тому, как следует учитывать безопасность во время работы предприятий (см. ISO/IEC 27001). ^[3]
• Часть 2–4. Эта часть определяет требования («возможности») для интеграторов. Эти требования разделены на 12 тем: обеспечение безопасности, архитектура, беспроводная связь, инженерные системы безопасности, управление конфигурацией, удаленный доступ, управление событиями и их регистрация, управление пользователями, защита от вредоносных программ, управление исправлениями, резервное копирование и восстановление, а также укомплектование персоналом проекта. ^[9]
• Часть 4-1. Эта часть определяет, как должен выглядеть безопасный процесс разработки продукта. Он разделен на восемь областей («Практики»): управление разработкой, определение требований безопасности, проектирование решений безопасности, безопасная разработка, тестирование функций безопасности, обработка уязвимостей безопасности, создание и публикация обновлений и документирование функций безопасности. ^[5]
• Часть 4-2: Эта часть определяет технические требования к продуктам или компонентам. ^[8] Как и требования к системам (Раздел -3-3), требования разделены на 12 предметных областей и относятся к ним. В дополнение к техническим требованиям определены ограничения безопасности общих компонентов (CCSC), которым должны соответствовать компоненты, чтобы соответствовать стандарту IEC 62443-4-2:
  • CCSC 1 описывает, что компоненты должны учитывать общие характеристики безопасности системы, в которой они используются.
  • CCSC 2 определяет, что технические требования, которым компонент не может удовлетворить сам, могут быть выполнены путем компенсирующих контрмер на уровне системы (см. IEC 62443-3-3). Для этого меры противодействия должны быть описаны в документации компонента.
  • CCSC 3 требует, чтобы в компоненте применялся принцип «наименьших привилегий».
  • CCSC 4 требует, чтобы компонент разрабатывался и поддерживался в рамках процессов разработки, соответствующих стандарту IEC 62443-4-1.

МЭК 62443 описывает различные уровни зрелости процессов и технических требований. Уровни зрелости процессов основаны на уровнях зрелости из структуры интеграции модели зрелости возможностей (CMMI).

На основе CMMI стандарт IEC 62443 описывает различные уровни зрелости процессов через так называемые «уровни зрелости». Чтобы соответствовать определенному уровню зрелости, все требования, связанные с процессом, всегда должны соблюдаться во время разработки или интеграции продукта, т.е. выбор только отдельных критериев («выбор вишен») не соответствует стандартам.

Уровни зрелости описываются следующим образом:

• Уровень зрелости 1 – Начальный: поставщики продукции обычно осуществляют разработку продукта разово и часто недокументированно (или не полностью документировано).
• Уровень зрелости 2 – Управляемый: поставщик продукта может управлять разработкой продукта в соответствии с письменными инструкциями. Должно быть продемонстрировано, что персонал, выполняющий этот процесс, имеет соответствующий опыт, прошел обучение и/или следует письменным процедурам. Процессы повторяемы.
• Уровень зрелости 3 – Определенный (практикуемый): Процесс повторяется во всей организации поставщика. Эти процессы были отработаны на практике, и есть доказательства того, что это было сделано.
• Уровень зрелости 4 — Улучшение: поставщики продукции используют соответствующие показатели процесса для мониторинга эффективности и производительности процесса и демонстрации постоянного улучшения в этих областях.

Технические требования к системам (МЭК 62443-3-3) и продуктам (МЭК 62443-4-2) оцениваются в стандарте по четырем так называемым уровням безопасности (SL). Различные уровни указывают на сопротивление различным классам злоумышленников. В стандарте подчеркивается, что уровни следует оценивать согласно техническим требованиям (см. МЭК 62443-1-1) и не подходят для общей классификации продукции.

Уровни:

• Уровень безопасности 0: Никаких особых требований или защиты не требуется.
• Уровень безопасности 1: Защита от непреднамеренного или случайного неправильного использования.
• Уровень безопасности 2: Защита от преднамеренного неправильного использования простыми средствами с небольшими ресурсами, общими навыками и низкой мотивацией.
• Уровень безопасности 3: Защита от преднамеренного неправильного использования с помощью сложных средств при умеренных ресурсах, специальных знаниях IACS и умеренной мотивации.
• Уровень безопасности 4: Защита от преднамеренного неправильного использования с использованием сложных средств, обширных ресурсов, специальных знаний IACS и высокой мотивации.

Стандарт объясняет различные основные принципы, которые следует учитывать для всех ролей во всех видах деятельности.

Глубокая защита — это концепция, в которой по всей системе распределены несколько уровней безопасности (защиты). Цель состоит в том, чтобы обеспечить избыточность в случае сбоя мер безопасности или использования уязвимости.

Зоны делят систему на однородные зоны, группируя активы (логические или физические) с общими требованиями безопасности. Требования безопасности определяются уровнем безопасности (SL). Уровень, необходимый для зоны, определяется анализом рисков.

Зоны имеют границы, которые отделяют элементы внутри зоны от элементов снаружи. Информация перемещается внутри зон и между ними. Зоны можно разделить на подзоны, которые определяют разные уровни безопасности (уровень безопасности) и, таким образом, обеспечивают глубокую защиту.

Кабелепроводы группируют элементы, обеспечивающие связь между двумя зонами. Они предоставляют функции безопасности, которые обеспечивают безопасную связь и позволяют сосуществовать зонам с разными уровнями безопасности.

Процессы, системы и продукты, используемые в средах промышленной автоматизации, могут быть сертифицированы в соответствии с IEC 62443. Многие компании, занимающиеся испытаниями, инспекциями и сертификацией (TIC), предлагают сертификацию продуктов и процессов на основе IEC 62443. Путем аккредитации в соответствии с серией стандартов ISO/IEC 17000. стандарты, компании используют единый, согласованный набор сертификационных требований для сертификации IEC 62443, что повышает полезность получаемых сертификатов соответствия.

Схемы сертификации IEC 62443 были установлены несколькими глобальными компаниями по тестированию, инспекциям и сертификации (TIC). Схемы основаны на упомянутых стандартах и ​​определяют методы испытаний, политику надзорного аудита, политику публичной документации и другие конкретные аспекты своей программы. Программы сертификации кибербезопасности по стандартам IEC 62443 предлагаются во всем мире многими признанными органами по сертификации (CB), включая Bureau Veritas , Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD и UL .

Глобальная инфраструктура национальных органов по аккредитации (AB) обеспечивает последовательную оценку IEC 62443. Органы по аккредитации работают в соответствии с требованиями ISO/IEC 17011, стандарта, который содержит требования к компетентности, последовательности и беспристрастности органов по аккредитации при аккредитации оценки соответствия. тела. Органы по аккредитации являются членами IAF для работы в области систем управления, продуктов, услуг и аккредитации персонала или ILAC для аккредитации лабораторий. Многостороннее соглашение о признании (MLA) между органами по аккредитации обеспечит глобальное признание аккредитованных органов по сертификации.

Компании TIC аккредитованы AB для проведения проверок в соответствии с ISO/IEC 17020, испытательных лабораторий в соответствии с ISO/IEC 17025 и сертификации продукции, процессов и услуг в соответствии с ISO/IEC 17065.

Схема органа по сертификации системы IEC для схем оценки соответствия электротехнического оборудования и компонентов ( IECEE ) ( CB Scheme ) представляет собой многостороннее соглашение, которое облегчает доступ на рынок производителям электрической и электронной продукции. В рамках схемы CB процессы, продукты и системы могут быть сертифицированы в соответствии с IEC 62443.

Схема CB берет свое начало в CEE (бывшая Европейская «Комиссия по тестированию соответствия электрооборудования») и была интегрирована в IEC в 1985 году. В настоящее время в IECEE входят 54 органа-члена, 88 NCB (национальных органов по сертификации), и 534 испытательных лаборатории CB (CBTL). В сфере сертификации продукции данная процедура используется для упрощения процедуры одобрения производителей продукции, протестированной и сертифицированной по гармонизированным стандартам. Продукт, который был протестирован CBTL (сертифицированной испытательной лабораторией) в соответствии с гармонизированным стандартом, таким как IEC 62443, может использовать отчет CB в качестве основы для последующей национальной сертификации и одобрения, таких как GS, PSE, CCC, NOM, ГОСТ/Р, БГМИ.

Институт соответствия требованиям безопасности ISA (ISCI), дочерняя компания ISA, создал отраслевую консенсусную схему оценки соответствия, которая сертифицирует стандарты ISA/IEC 62443 и работает под брендом ISASecure. Эта схема используется для сертификации систем, компонентов и процессов автоматизации управления. В декабре 2022 года сертификаты ISASecure были расширены и теперь включают сертификацию компонентов промышленного Интернета вещей (ICSA). Органы по сертификации в схеме сертификации ISASecure независимо аккредитованы органами по аккредитации ISO 17011 в соответствии с требованиями технической готовности ISASecure и стандартами ISO 17025 и ISO 17065. Многосторонние соглашения о признании в рамках IAF гарантируют, что сертификаты ISASecure взаимно признаются всеми странами, подписавшими IAF.

ISCI предлагает несколько сертификатов под брендом ISASecure:

• Сертификация систем SSA (System Security Assurance) в соответствии с IEC 62443-3-3 и IEC 62443-4-1.
• Сертификация CSA (Component Security Assurance) компонентов автоматизации в соответствии с IEC 62443-4-1 и IEC 62443-4-2.
• Сертификация ICSA (IIOT Component Security Assurance) компонентов автоматизации IIOT в соответствии с IEC 62443-4-1 и IEC 62443-4-2 с четырьмя исключениями и семнадцатью расширениями стандарта IEC 62443-4-2 для учета уникальных характеристик компонентов IIOT.
• Сертификация SDLA (Secure Development Lifecycle Assurance) организаций-разработчиков систем автоматизации в соответствии со стандартом IEC 62443-4-1.
• Сертификация компонентов EDSA (Embedded Device Security Assurance) на основе IEC 62443-4-2. Эта сертификация была предложена в 2010 году и прекращена, когда стандарт IEC 62443-4-2 был официально одобрен и опубликован в 2018 году.
• В 2023 году ISASecure объявила о разработке новой сертификации для оценки и сертификации систем автоматизации и контроля, действующих на объектах владельцев активов. Он называется сертификацией обеспечения безопасности систем автоматизации и управления (ACSSA). Завершить его планируют в конце 2024 года.

• Стандарты кибербезопасности
• Функциональная безопасность
• Международная электротехническая комиссия

• веб-сайт МЭК
• веб-сайт IECEE