Globalt websted | dansk

Serien af Security-standarder IEC 62443

Den internationale serie af standarder IEC 62443 "Industrielle kommunikationsnetværk – Netværks- og systemsikkerhed" beskæftiger sig med IT-sikkerhed inden for automatisering. Emnespektret går fra risikoanalyse over krav til sikker drift til sikker udvikling af produkter (Security by Design). Dermed er IEC 62443 i øjeblikket den bedste orienteringshjælp for driftsansvarlige for anlæg og modulproducenter, der ønsker at implementere Industrial Security effektivt.
Den ser på fem områder: De grundlæggende krav til Industrial Security, princippet med zoner og kommunikationskanaler (zones and conduits), Security Level, Security for livscyklussen samt risikoanalyse.

Serien af Security-standarder IEC 62443

Oversigt over de vigtigste dele af standarderne:

Til komponentproducenter Til systemintegratorer Til driftsansvarlige
62443-4-1 Udviklingsproces 62443-2-4 Retningslinjer og fremgangsmåder 62443-2-4 Retningslinjer og fremgangsmåder
62443-4-2 Security-funktioner for komponenterne 62443-3-2 Security-funktioner for automatiserings- og styringssystemer 62443-2-1 Drift og service
62443-3-3 Security-funktioner for det komplette automatiserings- og styringssystem

62443-3-3 Security-funktioner for det komplette automatiserings- og styringssystem

 

 

Grundlæggende krav til Industrial Security

Industrial Security

Med til de grundlæggende krav (Foundational requirements) til Security hører:

  • Identifikation og autentificering
  • Anvendelseskontrol
  • Systemintegritet
  • Dataenes fortrolighed
  • Begrænset dataflow
  • Rettidig reaktion på hændelser
  • Adgang til ressourcerne

For hvert af disse grundlæggende krav er der defineret flere systemkrav, der kan bruges som grundlag for implementering af Security-foranstaltninger.

Security Level

Security Level

Security Level definerer det sikkerhedsniveau, som den driftsansvarlige for anlægget eller producenten ønsker at nå ved hjælp af sikkerhedsforanstaltninger. Dette findes ved at foretage en forudgående risikovurdering. I risikovurderingen defineres det, hvad der skal beskyttes, og det opklares, hvor stor sandsynligheden er for, at dette materiale angribes. Ud fra dette vælges Security Level (SL). SL-2, dvs. beskyttelse mod "forsætlig påvirkning/manipulation med enkle midler, få ressourcer, normale evner og uden særlig motivation" bør i dag betragtes som minimumsstandard. For at holde denne minimumsstandard skal virksomheden have et vist Security-niveau. Selv den bedste firewall er nytteløs, hvis medarbejderne i en virksomhed stadig klæber post-its med adgangskoder på pc-skærmen og ikke installerer opdateringer. Jo mere virksomheden beskæftiger sig med emnet Security, desto bedre bliver beskyttelsen totalt set. Derfor er det vigtigt at have et komplet Security-koncept. F.eks. kan Application Firewallen SecurityBridge bidrage til et højt Security Level som del af et komplet koncept.

Oversigt over de forskellige Security Levels:
Security Level 1: Beskyttelse mod simpelt eller tilfældigt misbrug
Security Level 2: Beskyttelse mod forsætligt misbrug med enkle midler.
Security Level 3: Beskyttelse mod forsætligt misbrug med avancerede midler
Security Level 4: Beskyttelse mod forsætligt misbrug med avancerede midler og omfattende ressourcer

Risikovurdering af Industrial Security

Security-udviklingsprocessen er en udvidelse af den generelle produktudviklingsproces. Et grundlæggende aspekt i en Security-udviklingsproces i overensstemmelse med standarden (iht. IEC 62443-4-1 – Krav til sikker produktudviklingslivscyklus) er at foretage en risikovurdering. Den afslører, hvilke farer og risici et produkt er udsat for fra "cyberspace", og hvilke foranstaltninger der skal træffes for at minimere dem.

Risikovurderingen af Security bør altid gennemføres i de følgende 6 trin:

  1. Identifikation af assets: Hvad ønsker jeg at beskytte?
  2. Analyse af trusler: Hvilke risici findes der med det materiale, der skal beskyttes?
  3. Fastlæggelse af relevante beskyttelsesmål: Hvilke mål ønsker jeg at nå?
  4. Analyse og vurdering af risici: Hvor stor er sandsynligheden for, at der opstår en risiko?
  5. Valg og implementering af beskyttelsesforanstaltninger: Hvordan kan jeg beskytte mod en mulig risiko?
  6. Administration af modstandsdygtighed: Hvad skal der gøres efter et angreb? Hvordan kan jeg give Security en stærkere forankring i virksomheden?
Security – risikovurdering

Industrial Security – livscyklus

Industrial Security – livscyklus

Security er et "moving target", dvs. at Security ændrer sig gennem et produkts livscyklus. Angribere udvikler hele tiden bedre metoder til at overvinde forsvarsforanstaltninger. Derfor skal foranstaltningerne mod cybertrusler forbedres kontinuerligt. Ansvaret for dette ligger først og fremmest hos de driftsansvarlige for anlæggene. En effektiv Security-strategi kan øge deres anlægs levetid. Maskinbyggere og komponentproducenter bør straks informere de driftsansvarlige om nye sikkerhedsproblemer. De skal stille opdateringer til rådighed til softwaren i deres moduler, så deres kunder kan afhjælpe svage punkter. Hvis systemintegratorer også er en del af processen, fungerer de som formidlere mellem producenter og driftsansvarlige. Det er vigtigt, at alle involverede samarbejder tæt gennem produkternes komplette livscyklus. Kun på denne måde kan der opnås en høj grad af beskyttelse.

Mere om Security 4.0

Hovedkontor

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Tyskland

Telefon: +49 711 3409-0
E-mail: pilz.gmbh@pilz.de

Teknisk support

Telefon: +49 711 3409 222
E-mail: support@pilz.com

Amerika

  • Canada: +1 888-315-PILZ (315-7459)
  • Brasilien: + 55 11 96405-8165
  • Mexico: +52 55 5572 1300
  • USA (afgiftsfrit): +1 877-PILZUSA (745-9872)

Europa

  • Rusland: +7 495 6654993
  • Holland: +31 347 320477
  • Irland: +353 21 4804983
  • Schweiz: +41 62 88979 32
  • Østrig: +43 1 7986263-444
  • Danmark: +45 74436332
  • Italien: +39 0362 1826711
  • Finland: +358 10 3224030 / +45 74436332
  • Tyskland: +49 711 3409 444
  • Belgien: +32 9 321 75 70
  • Tyrkiet: +90 216 5775552
  • Frankrig (afgiftsfrit): +33 3 88104000
  • Spanien: +34 938497433
  • Sverige: +46 300 13990 / +45 74436332
  • Storbritannien: +44 1536 462203

Asien-Stillehavs-regionen

  • New Zealand: +64 9 6345350
  • Taiwan: +886 2 25700068
  • Australien: +61 3 9560 0621
  • Kina: +86 400-088-3566
  • Japan: +81 45 471 2281
  • Sydkorea: +82 31 778 3390