Sito internazionale | italiano

Security - Serie di norme IEC 62443

La serie di norme IEC 62443 “reti di comunicazione industriali - sicurezza IT per reti e sistemi” trattano la sicurezza IT nell’automazione. Gli argomenti spaziano dall’analisi dei rischi relativa ai requisiti per il funzionamento sicuro, passando per le Best Practice (migliori prassi) fino allo sviluppo sicuro di prodotti (Security by Design). In questo senso, la IEC 62443 offre il miglior supporto per l’orientamento dei gestori degli impianti e produttori di dispositivi per attuare in maniera efficace la Security.
Tale serie tratta 5 argomenti: I requisiti fondamentali legati alla Security, il principio delle zone e dei canali di comunicazione, (zones and conduits), il Security Level, il ciclo di vita in termini di Security e l’analisi dei rischi.

Security - Serie di norme IEC 62443

Panoramica delle principali Direttive:

Per produttori di componenti Per system intgrator Per gestori di macchine e impianti
62443-4-1 processo di sviluppo 62443-2-4 Policy e procedure 62443-2-4 Policy e procedure
62443-4-2 Funzioni legate alla Security per componenti 62443-3-2 Funzioni legate alla Security per sistemi di controllo e automazione 62443-2-1 Funzionamento e service
62443-3-3 Funzioni legate alla Security per l’intero sistema di controllo e automazione

62443-3-3 Funzioni legate alla Security per l’intero sistema di controllo e automazione

 

 

Requisiti fondamentali legati alla security

Requisiti legati alla Security

I requisiti fondamentali (Foundational requirements) legati alla Security includono:

  • Identificazione e autenticazione
  • Controllo di utilizzo
  • Integrità dl sistema
  • Riservatezza dei dati
  • Flusso dati limitato
  • Reazione tempestiva agli eventi
  • Disponibilità delle risorse

Per ciascun requisito fondamentale sono definiti altri requisiti di sistema in base ai quali possono essere implementate le misure di Security.

Security Level

Security Level

I Security Level definiscono il livello di sicurezza che deve essere raggiunto dal costruttore o dal gestore dell’impianto mediante le misure di sicurezza. In precedenza viene eseguita una valutazione del rischio, durante la quale viene definito l’oggetto da proteggere e viene determinata la probabilità di aggressione. In base a questi fattori viene scelto il Security Level (SL). SL.2 protezione da Manipolazione/minaccia volontaria con mezzi semplici, poche risorse, capacità normali e senza motivazione speciale, al giorno d’oggi deve essere considerato come standard minimo. Per mantenere tale standard l’azienda deve avere un certo grado di maturità in termini di Security. Il miglior firewall disponibile è inutile se i dipendenti annotano le password sui post-it appesi allo schermo o non eseguono gli aggiornamenti. Più un’azienda si occupa di Security e maggiore sarà il livello di protezione offerto. É importante avere un approccio totale alla Security. L’Applicazione Firewall SecurityBridge può contribuire a raggiungere un Security Level elevato in virtù di un approccio globale.

I Security Level in breve:
Security Level 1: protezione contro la violazione occasionale o casuale
Security Level 2: protezione contro la violazione intenzionale con mezzi semplici.
Security Level 3: Protezione contro la violazione intenzionale con mezzi sofisticati
Security Level 4: Protezione contro la violazione intenzionale con mezzi sofisticati e risorse ingenti

Security - Valutazione del rischio

Il processo di sviluppo della security è un’estensione del processo di sviluppo del prodotto generale. La valutazione del rischio è un aspetto fondamentale del processo di sviluppo della security in base alle norme (in virtù della IEC 62443-4-1 – Secure product development lifecycle requirements). vengono valutati i pericoli e i rischi del cyberspazio a cui è esposto un prodotto e le possibili misure da adottare per poterli ridurre al minimo.

La valutazione del rischio di security deve sempre essere composta dalle seguenti 6 fasi:

  1. Identificare gli asset: Cosa si desidera proteggere?
  2. Analizzare le minacce: Quali rischi esistono per il bene da proteggere?
  3. Definire obiettivi di protezione rilevanti: Quali obiettivi si desidera raggiungere?
  4. Analizzare e valutare i rischi: Qual è la probabilità che insorga un rischio?
  5. Scegliere e implementare le misure di protezione: Come posso realizzare la protezione dal possibile rischio?
  6. Gestione della resilienza: Cosa bisogna fare in caso di un’aggressione? Come posso radicare meglio la security nell’azienda?
Security - Valutazione del rischio

Security - Ciclo di vita

Security - Ciclo di vita

La security è un obiettivo in movimento, cioè cambia durante il ciclo di vita di un prodotto. Gli hacker sviluppano sempre nuovi metodi per violare le misure di sicurezza. Ed è quindi necessario migliorare costantemente le miosure contro le cyberminacce. La responsabilità è soprattutto degli utilizzatori degli impianti. Una strategia di security efficace può prolungare il ciclo di vita dei vostri impianti. I costruttori di macchine e componenti devono informare subito gli utilizzatori in merito a nuovi problemi di sicurezza. Devono rendere disponibili gli aggiornamenti per i loro dpositivi in modo che i loro clienti possano eliminare le vulnerabilità esistenti. I system integrator, eventualmente coinvolti nel processo, fungono da intermediari tra i costruttori e gli utilizzatori. Questo presuppone tuttavia una stretta collaborazione tra le parti per tutto il ciclo vitale dei prodotti. Solo così facendo si ottiene un miglioramento del livello di sicurezza.

Ulteriori informazioni su Security 4.0

Quartier generale

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Germania

Telefono: +49 711 3409-0
E-mail: pilz.gmbh@pilz.de

Supporto tecnico

Telefono: +49 711 3409 444
E-mail: support@pilz.com

America

  • Stati Uniti (gratuito): +1 877-PILZUSA (745-9872)
  • Canada: +1 888-315-PILZ (315-7459)
  • Messico: +52 55 5572 1300
  • Brasile: + 55 11 4942-7028

Europa

  • Finlandia: +358 10 3224030 / +45 74436332
  • Regno Unito: +44 1536 462203
  • Austria: +43 1 7986263-444
  • Danimarca: +45 74436332
  • Turchia: +90 216 5775552
  • Svezia: +46 300 13990 / +45 74436332
  • Irlanda: +353 21 4804983
  • Francia (gratuito): +33 3 88104000
  • Paesi Bassi: +31 347 320477
  • Germania: +49 711 3409 444
  • Svizzera: +41 62 88979 32
  • Russia: +7 495 6654993
  • Spagna: +34 938497433
  • Italia: +39 0362 1826711
  • Belgio: +32 9 321 75 70

Asia - Pacifico

  • Taiwan: +886 2 25700068
  • Cina: +86 400-088-3566
  • Corea del Sud: +82 31 778 3390
  • Nuova Zelanda: +64 9 6345350
  • Giappone: +81 45 471 2281
  • Australia: +61 3 9560 0621