Międzynarodowa seria norm IEC 62443 „Bezpieczeństwo w systemach sterowania i automatyki przemysłowej” dotyczy bezpieczeństwa IT w automatyce przemysłowej. Jej zakres tematyczny obejmuje zagadnienia od analizy ryzyka, poprzez wymagania dotyczące bezpiecznej eksploatacji, aż po bezpieczne tworzenie produktów („bezpieczeństwo przez projektowanie”). Oferuje obecnie najlepsze praktyki dla operatorów instalacji i producentów urządzeń w zakresie skutecznego wdrażania zabezpieczeń.
Obejmuje pięć obszarów: podstawowe wymagania dotyczące bezpieczeństwa przemysłowego, zasadę działania stref i przewodów, poziomy bezpieczeństwa, cykl życia bezpieczeństwa i analizę ryzyka.
Seria norm IEC 62443
Przegląd kluczowych części normy:
Dla producentów komponentów | Dla integratorów systemów | Dla operatorów |
---|---|---|
62443-4-1 proces rozwoju | 62443-2-4 wytyczne i procedury | 62443-2-4 wytyczne i procedury |
62443-4-2 funkcje bezpieczeństwa komponentów | 62443-3-2 funkcje bezpieczeństwa systemów automatyki i sterowania | 62443-2-1 obsługa i serwis |
62443-3-3 funkcje bezpieczeństwa kompletnego systemu automatyki i sterowania |
Tworzenie produktów jest teraz znacznie bezpieczniejsze, spełniając standardy bezpieczeństwa przemysłowego
Jesteśmy ekspertami w dziedzinie bezpieczeństwa. Zależy nam, aby nasze produkty były nie tylko bezpieczne, ale także odpowiednio chronione. Dlatego zleciliśmy firmie TÜV Süd zbadanie naszych procesów wytwarzania produktów i przetestowanie ich w oparciu o normę IEC 62443-4-1 – „Bezpieczny proces planowania cyklu życia” (proces SDL). W ramach tego podejścia analizuje się potencjalne zabezpieczenia, nawet w trakcie projektowania nowego produktu. Ma to na celu zapewnienie wykrycia wszystkich zagrożeń dla bezpieczeństwa produktu poprzez ich modelowanie i – w najlepszym przypadku – eliminację już na etapie projektowania.
Wynik audytu: Proces wytwarzania produktów firmy Pilz spełnia wymagania normy i jest zgodny z procesem SDL, co oznacza, że jest nie tylko bezpieczny, ale również odpowiednio chroniony! W związku z tym możemy z całą pewnością stwierdzić, że: proces wytwarzania produktów w firmie Pilz jest nie tylko bezpieczny, ale również odpowiednio chroniony!
Według TÜV Süd, procesy wytwarzania są traktowane w firmie Pilz z należytą starannością i umożliwiają bezproblemową późniejszą certyfikację produktów.
Podstawowe wymogi dotyczące bezpieczeństwa przemysłowego
Podstawowe wymogi bezpieczeństwa obejmują następujące obszary:
- Identyfikacja i uwierzytelnianie
- Użycie kontroli
- Integralność systemu
- Poufność danych
- Ograniczony przepływ danych
- Terminowa reakcja na zdarzenia
- Dostępność zasobów
Dla każdego z tych podstawowych wymogów określono dalsze wymagania systemowe, które mogą być wykorzystane jako podstawa do wdrożenia środków bezpieczeństwa.
Poziom bezpieczeństwa
Poziomy zabezpieczeń określają poziom bezpieczeństwa, który operatorzy instalacji lub producenci chcą osiągnąć, stosując środki ochrony. Informacje dostarczane są w formie wstępnej oceny ryzyka. W ten sposób określa się zasoby, które należy chronić przez atakami oraz prawdopodobieństwo ataku na dany element. Poziom bezpieczeństwa (SL) jest odpowiednio dobierany. Poziom SL-2, czyli ochrona przed „celowym naruszeniem przy użyciu prostych środków, niewielkich zasobów, przy ogólnych umiejętnościach i niskiej motywacji” powinien być dziś postrzegany jako standard minimalny. Aby go zapewnić, firma potrzebuje określonego poziomu zaawansowania zabezpieczeń. Najlepsza zapora sieciowa jest bezużyteczna, jeśli pracownicy firmy nadal zapisują swoje hasła na kartkach i przyklejają je na ekranach komputerów lub nie wykonują aktualizacji systemów. Im bardziej firma angażuje się w bezpieczeństwo, tym wyższy jest jej poziom ochrony. Dlatego też ważne jest posiadanie ogólnej koncepcji dotyczącej bezpieczeństwa. SecurityBridge może przyczynić się do uzyskania wysokiego poziomu bezpieczeństwa w ramach ogólnej koncepcji bezpieczeństwa.
Poziomy bezpieczeństwa w skrócie:
Poziom bezpieczeństwa 1: Ochrona przed przypadkowym naruszeniem bezpieczeństwa
Poziom bezpieczeństwa 2: Ochrona przed umyślnym naruszeniem przy użyciu prostych środków.
Poziom bezpieczeństwa 3: Ochrona przed umyślnym naruszeniem przy użyciu zaawansowanych środków.
Poziom bezpieczeństwa 4: Ochrona przed umyślnym naruszeniem przy użyciu zaawansowanych środków z wykorzystaniem rozszerzonych zasobów
Ocena ryzyka w ramach bezpieczeństwa przemysłowego
Proces rozwoju zabezpieczeń jest dodatkowym elementem ogólnego procesu rozwoju produktu. Jednym z podstawowych aspektów tego procesu zgodnego z IEC 62443-4-1 jest przeprowadzenie oceny ryzyka. Ujawnia ona zagrożenia i ryzyko, na jakie narażony jest dany produkt z „przestrzeni cybernetycznej” oraz środki, jakie należy podjąć, aby je zminimalizować.
Ocenę ryzyka w zakresie bezpieczeństwa należy zawsze przeprowadzać w poniższych 6 krokach:
- Identyfikacja aktywów: Co chcę chronić?
- Analiza zagrożeń: Jakie ryzyko wiąże się z aktywami, które chcę chronić?
- Określenie odpowiednich celów ochrony: Jakie cele chcę osiągnąć?
- Analiza i ocena ryzyka: Jak bardzo prawdopodobne jest wystąpienie ryzyka?
- Wybór i zastosowanie środków ochronnych: Jak mogę chronić się przed ewentualnymi zagrożeniami?
- Zarządzanie odpornością: Co zrobić po ataku? Jak mogę silniej zakorzenić ideę bezpieczeństwa w sposobie funkcjonowania firmy?
Cykl życia bezpieczeństwa przemysłowego
Bezpieczeństwo to „ruchomy cel”, co oznacza, że potrzeby zmieniają się w trakcie cyklu życia projektu. Sprawcy ataków opracowują coraz lepsze metody obchodzenia zabezpieczeń, co wymusza konieczność stałego udoskonalania środków obronnych przed zagrożeniami cybernetycznymi. Odpowiedzialność za bezpieczeństwo ponoszą przede wszystkim operatorzy instalacji. Skuteczna strategia bezpieczeństwa może znacząco wydłużyć okres użytkowania instalacji. Producenci maszyn i podzespołów powinni niezwłocznie informować operatorów o nowych problemach związanych z bezpieczeństwem. Należy zapewnić aktualizacje oprogramowania, aby umożliwić klientom likwidację wszelkich słabych punktów. Jeśli w proces zaangażowani są integratorzy systemów, pełnią oni rolę pośrednika pomiędzy producentem a operatorem. Ważne jest, aby wszystkie zaangażowane strony pozostawały w ścisłej współpracy przez cały cykl życia produktu. Tylko to zapewni wysoki stopień ochrony.
Więcej o bezpieczeństwie 4.0
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Niemcy
Telefon: +49 711 3409-0
E-mail: pilz.gmbh@pilz.de
Telefon: +49 711 3409 444
E-mail: support@pilz.com
Ameryka Północna i Południowa
- Meksyk: +52 55 5572 1300
- Brazylia: + 55 11 4942-7032
- Kanada: +1 888-315-PILZ (315-7459)
- Stany Zjednoczone (połączenie bezpłatne): +1 877-PILZUSA (745-9872)
Europa
- Holandia: +31 347 320477
- Rosja: +7 495 6654993
- Belgia: +32 9 321 75 70
- Niemcy: +49 711 3409 444
- Wielka Brytania: +44 1536 460866
- Szwecja: +46 300 13990 / +45 74436332
- Włochy: +39 0362 1826711
- Irlandia: +353 21 4804983
- Francja (połączenie bezpłatne): +33 3 88104000
- Turcja: +90 216 5775552
- Portugalia: +351 229 407 594
- Szwajcaria: +41 62 889 79 32
- Finlandia: +358 10 3224030 / +45 74436332
- Austria: +43 1 7986263-444
- Dania: +45 74436332
- Hiszpania: +34 938497433
Region Azji i Pacyfiku
- Tajlandia: +66 210 54613
- Tajwan: +886 2 25700068
- Nowa Zelandia: +64 9 6345350
- Chiny: +86 400-088-3566
- Australia (połączenie bezpłatne): +61 3 9560 0621 / 1300 723 334
- Korea Południowa: +82 31 778 3390
- Singapur: +65 6829 2920
- Japonia: +81 45 471 2281