Polska | polski

Seria norm IEC 62443

Międzynarodowa seria norm IEC 62443 „ Bezpieczeństwo w systemach sterowania i automatyki przemysłowej” dotyczy bezpiecznego procesu tworzenia produktów wykorzystywanych w systemach sterowania i automatyki przemysłowej. Zakres tematyczny normy rozciąga się od analizy ryzyka, poprzez wymagania dotyczące bezpiecznej eksploatacji aż po bezpieczny rozwój produktów (security by design). W rezultacie norma ta oferuje obecnie najlepsze praktyki dla operatorów instalacji i producentów urządzeń w zakresie skutecznego wdrażania zabezpieczeń.
Rozpatruje pięć obszarów: Podstawowe wymagania dotyczące bezpieczeństwa, zasada działania stref i przewodów, poziomy bezpieczeństwa, cykl życia bezpieczeństwa i analiza ryzyka.

Seria norm IEC 62443

Przegląd kluczowych części normy:

Dla producentów części Dla integratorów systemów Dla operatorów
62443-4-1 proces rozwoju 62443-2-4 wytyczne i procedury 62443-2-4 wytyczne i procedury
62443-4-2 funkcje bezpieczeństwa komponentów 62443-3-2 funkcje bezpieczeństwa dla systemów automatyki i sterowania 62443-2-1 obsługa i serwis
62443-3-3 funkcje bezpieczeństwa dla kompletnego systemu automatyki i sterowania

62443-3-3 funkcje bezpieczeństwa dla kompletnego systemu automatyki i sterowania

 

 

Podstawowe wymogi bezpieczeństwa

Wymogi bezpieczeństwa

Podstawowe wymogi bezpieczeństwa obejmują następujące obszary:

  • Identyfikacja i uwierzytelnienie
  • Śledzenie wykorzystania
  • Integralność systemu
  • Poufność danych
  • Ograniczony przepływ danych
  • Terminowa reakcja na zdarzenia
  • Dostępność zasobów

Dla każdego z tych podstawowych wymogów określono dalsze wymagania systemowe, które mogą być wykorzystane jako podstawa do wdrożenia środków bezpieczeństwa.

Poziom bezpieczeństwa

Poziom bezpieczeństwa

Poziomy zabezpieczeń określają poziom bezpieczeństwa, który operatorzy instalacji lub producenci chcą osiągnąć, stosując środki bezpieczeństwa. Informacje dostarczane są w formie wstępnej oceny ryzyka. W ten sposób określa się zasoby, które należy chronić przez atakami oraz prawdopodobieństwo ataku na dany element. Poziom bezpieczeństwa (SL) jest odpowiednio dobierany. Poziom SL-2, czyli ochrona przed „celowym naruszeniem przy użyciu prostych środków, niewielkich zasobów, przy ogólnych umiejętnościach i niskiej motywacji” powinien być dziś postrzegany jako standard minimalny. Aby go zachować, firma potrzebuje określonego poziomu zaawansowania zabezpieczeń. Najlepsza zapora sieciowa jest bezużyteczna, jeśli pracownicy firmy nadal zapisują swoje hasła na karteczkach i przyklejają je na ekranach komputerów lub nie wykonują aktualizacji. Im bardziej firma angażuje się w bezpieczeństwo, tym wyższy jest jej poziom ochrony. Dlatego też ważna jest ogólna koncepcja bezpieczeństwa. SecurityBridge może przyczynić się do osiągnięcia wysokiego poziomu bezpieczeństwa w ramach ogólnej koncepcji bezpieczeństwa.

Poziomy bezpieczeństwa w skrócie:
Poziom bezpieczeństwa 1: Ochrona przed przypadkowym naruszeniem bezpieczeństwa
Poziom bezpieczeństwa 2: Ochrona przed umyślnym naruszeniem przy użyciu prostych środków.
Poziom bezpieczeństwa 3: Ochrona przed umyślnym naruszeniem przy użyciu zaawansowanych środków.
Poziom bezpieczeństwa 4: Ochrona przed umyślnym naruszeniem przy użyciu zaawansowanych środków z wykorzystaniem rozszerzonych zasobów

Ocena ryzyka w zakresie bezpieczeństwa

Proces rozwoju zabezpieczeń jest rozszerzeniem ogólnego procesu rozwoju produktu. Jednym z podstawowych aspektów procesu rozwoju zgodnego z IEC 62443-4-1 jest przeprowadzenie oceny ryzyka. Ujawnia ona zagrożenia i ryzyko, na jakie narażony jest dany produkt z „przestrzeni cybernetycznej” oraz środki, jakie należy podjąć, aby je zminimalizować.

Ocenę ryzyka w zakresie bezpieczeństwa należy zawsze przeprowadzać w poniższych 6 krokach:

  1. Identyfikacja aktywów: Co chcę chronić?
  2. Analiza zagrożeń: Jakie ryzyko wiąże się z aktywami, które chcę chronić?
  3. Określenie odpowiednich celów ochrony: Jakie cele chcę osiągnąć?
  4. Analiza i ocena ryzyka: Jak bardzo prawdopodobne jest wystąpienie ryzyka?
  5. Wybranie i zastosowanie środków ochronnych: Jak mogę chronić się przed ewentualnymi zagrożeniami?
  6. Zarządzanie odpornością: Co zrobić po ataku? Jak zwiększyć bezpieczeństwo w firmie?
Ocena ryzyka w zakresie bezpieczeństwa

Cykl życia bezpieczeństwa

Cykl życia bezpieczeństwa

Bezpieczeństwo to „ruchomy cel”. To znaczy, że bezpieczeństwo zmienia się w trakcie cyklu życia projektu. Atakujący opracowują coraz lepsze metody obchodzenia zabezpieczeń, co wymusza stałe udoskonalanie środków obronnych przed zagrożeniami cybernetycznymi. Odpowiedzialność za to ponoszą przede wszystkim operatorzy instalacji. Skuteczna strategia bezpieczeństwa może wydłużyć okres użytkowania instalacji. Producenci maszyn i podzespołów powinni niezwłocznie informować operatorów o nowych problemach z bezpieczeństwem. Należy zapewnić aktualizacje oprogramowania sprzętu, aby umożliwić klientom usunięcie wszelkich słabych punktów. Jeśli w proces zaangażowani są integratorzy systemów, pełnią oni rolę pośrednika pomiędzy producentem a operatorem. Ważne jest, aby wszystkie zaangażowane strony pozostawały w ścisłej współpracy przez cały cykl życia produktu. Tylko to zapewni wysoki stopień ochrony.

Więcej o bezpieczeństwie 4.0

Kontakt

Pilz Polska Sp. z o.o.
ul. Ruchliwa 15
02-182 Warszawa
Polska

Telefon: +48 22 884 71 00
E-mail: info@pilz.pl

Zamówienia

Telefon: +48 22 573 28 66
E-mail: order@pilz.pl

Wsparcie techniczne

Telefon: +48 22 573 28 88
E-mail: technical.support@pilz.pl