Polska | polski

Seria norm bezpieczeństwa IEC 62443

Międzynarodowa seria norm IEC 62443 „ Bezpieczeństwo w systemach sterowania i automatyki przemysłowej” dotyczy bezpiecznego procesu tworzenia produktów wykorzystywanych w systemach sterowania i automatyki przemysłowej. Zakres tematyczny normy rozciąga się od analizy ryzyka, poprzez wymagania dotyczące bezpiecznej eksploatacji aż po bezpieczny rozwój produktów (security by design). W rezultacie norma ta oferuje obecnie najlepsze praktyki dla operatorów instalacji i producentów urządzeń w zakresie skutecznego wdrażania zabezpieczeń.
Uwzględnia ona pięć obszarów: podstawowe wymagania dotyczące bezpieczeństwa przemysłowego, zasadę działania stref i przewodów, poziomy bezpieczeństwa, cykl życia bezpieczeństwa i analizę ryzyka.

Seria norm bezpieczeństwa IEC 62443

Przegląd kluczowych części normy:

Dla producentów części Dla integratorów systemów Dla operatorów
62443-4-1 proces rozwoju 62443-2-4 wytyczne i procedury 62443-2-4 wytyczne i procedury
62443-4-2 funkcje bezpieczeństwa komponentów 62443-3-2 funkcje bezpieczeństwa systemów automatyki i sterowania 62443-2-1 obsługa i serwis
62443-3-3 funkcje bezpieczeństwa kompletnego systemu automatyki i sterowania

62443-3-3 funkcje bezpieczeństwa kompletnego systemu automatyki i sterowania

 

 

Podstawowe wymogi bezpieczeństwa przemysłowego

Bezpieczeństwo przemysłowe

Podstawowe wymogi bezpieczeństwa obejmują następujące obszary:

  • Identyfikacja i uwierzytelnianie
  • Śledzenie wykorzystania
  • Integralność systemu
  • Poufność danych
  • Ograniczony przepływ danych
  • Terminowa reakcja na zdarzenia
  • Dostępność zasobów

Dla każdego z tych podstawowych wymogów określono dalsze wymagania systemowe, które mogą być wykorzystane jako podstawa do wdrożenia środków bezpieczeństwa.

Poziom bezpieczeństwa

Poziom bezpieczeństwa

Poziomy zabezpieczeń określają poziom bezpieczeństwa, który operatorzy instalacji lub producenci chcą osiągnąć, stosując środki bezpieczeństwa. Informacje dostarczane są w formie wstępnej oceny ryzyka. W ten sposób określa się zasoby, które należy chronić przez atakami oraz prawdopodobieństwo ataku na dany element. Poziom bezpieczeństwa (SL) jest odpowiednio dobierany. Poziom SL-2, czyli ochrona przed „celowym naruszeniem przy użyciu prostych środków, niewielkich zasobów, przy ogólnych umiejętnościach i niskiej motywacji” powinien być dziś postrzegany jako standard minimalny. Aby go zachować, firma potrzebuje określonego poziomu zaawansowania zabezpieczeń. Najlepsza zapora sieciowa jest bezużyteczna, jeśli pracownicy firmy nadal zapisują swoje hasła na karteczkach i przyklejają je na ekranach komputerów lub nie wykonują aktualizacji. Im bardziej firma angażuje się w bezpieczeństwo, tym wyższy jest jej poziom ochrony. Dlatego też ważna jest ogólna koncepcja bezpieczeństwa. SecurityBridge może przyczynić się do osiągnięcia wysokiego poziomu bezpieczeństwa w ramach ogólnej koncepcji bezpieczeństwa.

Poziomy bezpieczeństwa w skrócie:
Poziom bezpieczeństwa 1: Ochrona przed przypadkowym naruszeniem bezpieczeństwa
Poziom bezpieczeństwa 2: Ochrona przed umyślnym naruszeniem przy użyciu prostych środków.
Poziom bezpieczeństwa 3: Ochrona przed umyślnym naruszeniem przy użyciu zaawansowanych środków.
Poziom bezpieczeństwa 4: Ochrona przed umyślnym naruszeniem przy użyciu zaawansowanych środków z wykorzystaniem rozszerzonych zasobów

Ocena ryzyka w ramach bezpieczeństwa przemysłowego

Proces rozwoju zabezpieczeń jest rozszerzeniem ogólnego procesu rozwoju produktu. Jednym z podstawowych aspektów procesu rozwoju zgodnego z IEC 62443-4-1 jest przeprowadzenie oceny ryzyka. Ujawnia ona zagrożenia i ryzyko, na jakie narażony jest dany produkt z „przestrzeni cybernetycznej” oraz środki, jakie należy podjąć, aby je zminimalizować.

Ocenę ryzyka w zakresie bezpieczeństwa należy zawsze przeprowadzać w poniższych 6 krokach:

  1. Identyfikacja aktywów: Co chcę chronić?
  2. Analiza zagrożeń: Jakie ryzyko wiąże się z aktywami, które chcę chronić?
  3. Określenie odpowiednich celów ochrony: Jakie cele chcę osiągnąć?
  4. Analiza i ocena ryzyka: Jak bardzo prawdopodobne jest wystąpienie ryzyka?
  5. Wybranie i zastosowanie środków ochronnych: Jak mogę chronić się przed ewentualnymi zagrożeniami?
  6. Zarządzanie odpornością: Co zrobić po ataku? Jak mogę silniej zakorzenić ideę bezpieczeństwa w sposobie funkcjonowania firmy?
Ocena ryzyka w zakresie bezpieczeństwa

Cykl życia bezpieczeństwa przemysłowego

Cykl życia bezpieczeństwa przemysłowego

Bezpieczeństwo to „ruchomy cel”, co oznacza, że potrzeby zmieniają się w trakcie cyklu życia projektu. Sprawcy ataków opracowują coraz lepsze metody obchodzenia zabezpieczeń, co wymusza stałe udoskonalanie środków obronnych przed zagrożeniami cybernetycznymi. Odpowiedzialność za to ponoszą przede wszystkim operatorzy instalacji. Skuteczna strategia bezpieczeństwa może wydłużyć okres użytkowania instalacji. Producenci maszyn i podzespołów powinni niezwłocznie informować operatorów o nowych problemach z bezpieczeństwem. Należy zapewnić aktualizacje oprogramowania, aby umożliwić klientom usunięcie wszelkich słabych punktów. Jeśli w proces zaangażowani są integratorzy systemów, pełnią oni rolę pośrednika pomiędzy producentem a operatorem. Ważne jest, aby wszystkie zaangażowane strony pozostawały w ścisłej współpracy przez cały cykl życia produktu. Tylko to zapewni wysoki stopień ochrony.

Więcej o bezpieczeństwie 4.0

Kontakt

Pilz Polska Sp. z o.o.
ul. Ruchliwa 15
02-182 Warszawa
Polska

Telefon: +48 22 884 71 00
E-mail: info@pilz.pl

Zamówienia

Telefon: +48 22 573 28 66
E-mail: order@pilz.pl

Wsparcie techniczne

Telefon: +48 22 573 28 88
E-mail: technical.support@pilz.pl