Site global | português

Série de normas IEC 62443 para security

A série de normas internacionais IEC 62443 “Redes de comunicação industrial – segurança de TI para redes e sistemas” trata da segurança de TI na automação. A abrangência do assunto cobre desde a análise de riscos, passando pelas demandas para a operação segura, até o desenvolvimento seguro dos produtos (Security by Design). Desse modo, atualmente a IEC 62443 é o melhor auxiliar para que os operadores de instalações e as fabricantes de máquinas implementem a security com eficiência.
Ela trata de cinco áreas: os requisitos fundamentais para a security, o princípio de zonas e canais de comunicação (zonas e conduítes), o nível da security, o ciclo de vida da security e a análise de riscos.

Série de normas IEC 62443 para security

Resumo das partes mais importantes da norma:

Para fabricantes de componentes Para integradores de sistema Para operadores
Processo de desenvolvimento 62443-4-1 Diretrizes e procedimentos 62443-2-4 Diretrizes e procedimentos 62443-2-4
Funções de security para os componentes 62443-4-2 Funções de security para os sistemas de automação e de controle 62443-3-2 Operação e serviço 62443-2-1
Funções de security para todo o sistema de automação e de comando 62443-3-3

Funções de security para todo o sistema de automação e de comando 62443-3-3

 

 

Requisitos fundamentais para a security

Requisitos para a security

Entre os requisitos fundamentais (foundational requirements) da security estão:

  • Identificação e autenticação
  • Controle de uso
  • Integridade do sistema
  • Confiabilidade dos dados
  • Fluxo limitado dos dados
  • Reação oportuna perante os acontecimentos
  • Disponibilidade dos recursos

Outros requisitos do sistema estão definidos para cada um desses requisitos fundamentais e é com base neles que é possível implementar as medidas de security.

Nível da security

Nível da security

O nível da security define o nível de segurança que as fabricantes ou os operadores de instalações desejam atingir com o auxílio das medidas de segurança. A avaliação de risco disponibiliza essas informações previamente. Enquanto isso, define-se o que deve ser protegido e enviado e qual é a probabilidade de o produto ser invadido. O nível de segurança (em inglês, Security Level, SL) é selecionado de acordo com isso. SL-2, a saber, a proteção contra “interferência/manipulação intencional com meios simples, poucos recursos, capacidades normais e sem uma motivação especial” deve, hoje, ser considerada o padrão mínimo. Para manter esse padrão mínimo, a empresa deve contar com um nível de security desenvolvido e consciente. Os melhores firewalls não servirão para nada se os funcionários da empresa continuarem anotando suas senhas em blocos de notas e colando-as na tela do PC ou se não executarem as atualizações. Quanto mais a empresa tratar do assunto security, maior será a proteção geral. O importante, portanto, é contar com um conceito de security integral. O aplicativo de firewall SecurityBridge pode contribuir para o alto nível de security ao fazer parte desse conceito geral.

Resumo do nível da security:
Nível de security 1: proteção contra uso indevido simples ou acidental.
Nível de security 2: proteção contra o uso indevido proposital com meios simples.
Nível de security 3: proteção contra o uso indevido proposital com meios avançados.
Nível de security 4: proteção contra o uso indevido proposital com meios avançados e amplos recursos.

Avaliação de risco da security

O processo de desenvolvimento da security é uma extensão do processo de desenvolvimento geral do produto. Um aspecto fundamental de um processo de desenvolvimento de security regulamentado (conforme a IEC 62443-4-1 – Secure product development lifecycle requirements) é a realização de uma avaliação de risco. Ela engloba os perigos e os riscos aos quais um produto está submetido no “ambiente cibernético” a fim de minimizá-los.

A avaliação de risco da security sempre deve ser realizada nas seis etapas a seguir:

  1. Identificar os ativos: o que quero proteger?
  2. Analisar as ameaças: quais são os riscos decorrentes do produto a ser protegido?
  3. Determinar objetivos de proteção relevantes: quais objetivos desejo alcançar?
  4. Analisar e avaliar os riscos: qual é a probabilidade de haver um risco?
  5. Escolher e implementar as medidas de proteção: como posso me proteger dos possíveis riscos?
  6. Gestão de resiliência: o que deve ser feito após um ataque? Como posso ancorar a security com mais força na empresa?
Avaliação de risco da security

Ciclo de vida da security

Ciclo de vida da security

A security é um alvo em movimento, ou seja, ela muda ao longo do ciclo de vida do produto. Os invasores desenvolvem métodos cada vez melhores para superar as medidas de defesa. Por isso, as ações contra ameaças cibernéticas devem ser aprimoradas continuamente. A princípio, a responsabilidade é dos operadores das instalações. Uma estratégia de security eficiente é capaz de aumentar a vida útil das suas instalações. Os construtores de máquinas e as fabricantes de componentes devem comunicar aos operadores imediatamente assim que surgem novos problemas de segurança. É preciso que disponibilizem atualizações para o software de seus equipamentos para que os clientes possam resolver as vulnerabilidades. Se os integradores de sistema também fizerem parte do processo, eles funcionarão como intermediários entre a fabricante e o(a) operador(a). O importante é que todos os envolvidos trabalhem em conjunto ao longo do ciclo de vida completo dos produtos, pois, somente assim, o resultado será uma proteção elevada.

Mais sobre a Security 4.0

Sede

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Alemanha

Telefone: +49 711 3409-0
Email: pilz.gmbh@pilz.de

Suporte Técnico

Telefone: +49 711 3409 444
Email: support@pilz.com

Américas

  • Estados Unidos (gratuito): +1 877-PILZUSA (745-9872)
  • Canadá: +1 888-315-PILZ (315-7459)
  • México: +52 55 5572 1300
  • Brasil: + 55 11 4942-7028

Europa

  • Finlândia: +358 10 3224030 / +45 74436332
  • Reino Unido: +44 1536 462203
  • Áustria: +43 1 7986263-444
  • Dinamarca: +45 74436332
  • Turquia: +90 216 5775552
  • Suécia: +46 300 13990 / +45 74436332
  • Irlanda: +353 21 4804983
  • França (gratuito): +33 3 88104000
  • Holanda: +31 347 320477
  • Alemanha: +49 711 3409 444
  • Suíça: +41 62 88979 32
  • Rússia: +7 495 6654993
  • Espanha: +34 938497433
  • Itália: +39 0362 1826711
  • Bélgica: +32 9 321 75 70

Ásia Pacífico

  • Taiwan: +886 2 25700068
  • China: +86 400-088-3566
  • Coreia do Sul: +82 31 778 3390
  • Nova Zelândia: +64 9 6345350
  • Japão: +81 45 471 2281
  • Austrália: +61 3 9560 0621