Site global | português

Série de normas IEC 62443 para Security

A série de normas internacionais IEC 62443 “Redes de comunicação industrial – segurança de TI para redes e sistemas” trata da segurança de TI na automação. A abrangência do assunto cobre desde a análise de riscos, passando pelas demandas para a operação segura, até o desenvolvimento seguro dos produtos (Security by Design). Desse modo, atualmente a IEC 62443 é o melhor auxiliar para que os operadores de instalações e as fabricantes de máquinas implementem a Security industrial com eficiência.
Ela trata de cinco áreas: os requisitos fundamentais para Security industrial, o princípio de zonas e canais de comunicação (zonas e conduítes), o nível de Security, o ciclo de vida de Security e a análise de riscos.

Série de normas IEC 62443 para Security

Resumo das partes mais importantes da norma:

Para fabricantes de componentes Para integradores de sistema Para operadores
Processo de desenvolvimento 62443-4-1 Diretrizes e procedimentos 62443-2-4 Diretrizes e procedimentos 62443-2-4
Funções de Security para os componentes 62443-4-2 Funções de Security para os sistemas de automação e de controle 62443-3-2 Operação e serviço 62443-2-1
Funções de Security para todo o sistema de automação e de comando 62443-3-3

Funções de Security para todo o sistema de automação e de comando 62443-3-3

 

 

Exigências básicas em Security industrial

Security industrial

Entre os requisitos fundamentais (foundational requirements) de Security estão:

  • Identificação e autenticação
  • Controle de uso
  • Integridade do sistema
  • Confiabilidade dos dados
  • Fluxo limitado de dados
  • Reação oportuna perante os acontecimentos
  • Disponibilidade dos recursos

Outros requisitos do sistema estão definidos para cada um desses requisitos fundamentais e é com base neles que é possível implementar as medidas de Security.

Nível de Security

Nível de Security

O nível de Security define o nível de segurança que as fabricantes ou os operadores de instalações desejam atingir com o auxílio das medidas de segurança. A avaliação de risco disponibiliza essas informações previamente. Enquanto isso, define-se o que deve ser protegido e enviado e qual é a probabilidade de o produto ser invadido. O nível de segurança (em inglês, Security Level, SL) é selecionado de acordo com isso. O SL-2, a saber, a proteção contra “interferência/manipulação intencional com meios simples, poucos recursos, capacidades normais e sem uma motivação especial” deve ser considerado o padrão mínimo atualmente. Para manter esse padrão mínimo, a empresa deve contar com um determinado grau de maturidade em Security. O melhor firewall não servirá para nada se os funcionários da empresa continuarem anotando suas senhas em Post-its e colando-os na tela do PC ou se não executarem as atualizações. Quanto mais a empresa tratar do assunto Security, maior será a proteção geral. O importante, portanto, é contar com um conceito de Security integral. O aplicativo de firewall SecurityBridge pode contribuir para o alto nível de Security ao fazer parte desse conceito geral.

Resumo do nível de Security:
Nível de Security 1: proteção contra uso indevido simples ou acidental.
Nível de Security 2: proteção contra o uso indevido intencional com meios simples.
Nível de Security 3: proteção contra o uso indevido intencional com meios avançados.
Nível de Security 4: proteção contra o uso indevido intencional com meios avançados e amplos recursos

Avaliação de risco de segurança de Security industrial

O processo de desenvolvimento de Security é uma extensão do processo de desenvolvimento geral do produto. Um aspecto fundamental de um processo de desenvolvimento de Security regulamentado (conforme a IEC 62443-4-1 – Secure product development lifecycle requirements) é a realização de uma avaliação de risco. Ela revela os perigos e os riscos aos quais um produto está exposto no “ambiente cibernético” e que medidas devem ser tomadas para minimizá-los.

A avaliação de risco de Security sempre deve ser realizada nas seis etapas a seguir:

  1. Identificação de ativos: o que quero proteger?
  2. Análise das ameaças: quais os riscos existentes ao produto a ser protegido?
  3. Determinação dos objetivos de proteção relevantes: que objetivos desejo alcançar?
  4. Análise e avaliação de riscos: qual a probabilidade de haver risco?
  5. Escolha e implementação de medidas de proteção: como posso me proteger dos possíveis riscos?
  6. Gestão de resiliência: o que deve ser feito após um ataque? Como posso ancorar a Security com mais força na empresa?
Avaliação de risco de Security

Ciclo de vida de segurança de Security industrial

Ciclo de vida de segurança de Security industrial

A Security é um alvo em movimento, ou seja, ela muda ao longo do ciclo de vida do produto. Os invasores desenvolvem métodos cada vez melhores para superar as medidas de defesa. Por isso, as ações contra ameaças cibernéticas devem ser aprimoradas continuamente. A princípio, a responsabilidade é dos operadores das instalações. Uma estratégia de Security eficiente é capaz de aumentar a vida útil das suas instalações. Os construtores de máquinas e as fabricantes de componentes devem comunicar aos operadores imediatamente tão logo surjam novos problemas de segurança. É preciso que disponibilizem atualizações para o software de seus equipamentos para que os clientes possam resolver as vulnerabilidades. Se os integradores de sistema também fizerem parte do processo, eles funcionarão como intermediários entre o fabricante e o operador. O importante é que todos os envolvidos trabalhem em conjunto ao longo do ciclo de vida completo dos produtos. Somente assim o resultado será uma proteção elevada.

Mais sobre a Security 4.0

Sede

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Alemanha

Telefone: +49 711 3409-0
Email: pilz.gmbh@pilz.de

Suporte Técnico

Telefone: +49 711 3409 222
Email: support@pilz.com

Américas

  • Estados Unidos (gratuito): +1 877-PILZUSA (745-9872)
  • México: +52 55 5572 1300
  • Canadá: +1 888-315-PILZ (315-7459)
  • Brasil: + 55 11 96405-8165

Europa

  • Espanha: +34 938497433
  • Suíça: +41 62 88979 32
  • Rússia: +7 495 6654993
  • Finlândia: +358 10 3224030 / +45 74436332
  • Alemanha: +49 711 3409 444
  • Reino Unido: +44 1536 462203
  • Holanda: +31 347 320477
  • Dinamarca: +45 74436332
  • Bélgica: +32 9 321 75 70
  • Irlanda: +353 21 4804983
  • Itália: +39 0362 1826711
  • Áustria: +43 1 7986263-444
  • França (gratuito): +33 3 88104000
  • Turquia: +90 216 5775552
  • Suécia: +46 300 13990 / +45 74436332

Ásia Pacífico

  • Nova Zelândia: +64 9 6345350
  • Austrália: +61 3 9560 0621
  • Taiwan: +886 2 25700068
  • China: +86 400-088-3566
  • Japão: +81 45 471 2281
  • Coreia do Sul: +82 31 778 3390