Серия стандартов безопасности IEC 62443

Серия международных стандартов IEC 62443 «Сети промышленной коммуникации. Безопасность сетей и систем» посвящена информационной безопасности в автоматизированных системах. Темы варьируются от анализа риска и требований к безопасной эксплуатации до защищенной разработки продукции (изначально предусмотренная безопасность). В результате, стандарты IEC 62443 определяют наилучшие рекомендации по эффективному внедрению систем безопасности на промышленных предприятиях и производственных объектах.
Они охватывают пять областей: основные требования промышленной безопасности, принципы зон и магистралей, уровни безопасности, жизненный цикл системы безопасности и анализ рисков.

Мы являемся экспертами в области безопасности. Для нас важно, чтобы наши продукты были не только безопасными, но и надежными. Вот почему мы поручили TÜV Süd тщательно изучить наши процессы разработки и протестировать их на основе стандарта IEC 62443-4-1, который определяет безопасную разработку продукта, «Процесс жизненного цикла разработки безопасности» (SDL-процесс). Этот подход рассматривает потенциальные функции безопасности даже в процессе разработки нового продукта. Он предназначен для обеспечения обнаружения всех рисков безопасности продукта путем моделирования угроз и, в идеале, их устранения в продукте в процессе разработки.

Результат данного аудита: Разработка Pilz отвечает требованиям стандарта и соответствует SDL-процессу. В результате мы можем с уверенностью сказать: Разработка Pilz не только безопасна, но и надёжна!
Согласно TÜV Süd, в компании Pilz очень серьезно относятся к разработке безопасных продуктов в соответствии со стандартом IEC 62443-4-1 и создают прочную основу для последующей сертификации продукции.

Основные требования к безопасности (базовые требования) включают в себя:

• Идентификация и аутентификация
• Контроль использования
• Целостность системы
• Конфиденциальность данных
• Потоки защищенных данных
• Своевременное реагирование на события
• Наличие ресурсов

В рамках каждого из этих базовых требований определяются дополнительные системные требования, которые используются в качестве основы для внедрения мер безопасности.

Уровни безопасности определяют уровень защиты, которого стремятся достичь промышленные и производственные предприятия, используя меры безопасности. Источником информации служит предварительная оценка рисков. Она определяет требующие защиты элементы и вероятность атаки на них. Уровень безопасности (SL) устанавливается соответственно. Уровень SL-2, представляющий собой защиту от «намеренного проникновения с использованием простых средств, незначительных ресурсов, общих знаний и низкой мотивации», в настоящее время должен рассматриваться как минимальный стандарт безопасности. Для поддержания такого минимального стандарта компании необходим определенный уровень зрелости системы безопасности. Даже самые лучшие межсетевые экраны будут бесполезны, если персонал продолжает записывать пароли на стикерах и оставлять их на своих мониторах или не устанавливает требуемые обновления. Чем больше внимания компания уделяет вопросу безопасности, тем выше общий уровень защиты. Поэтому концепция общей безопасности имеет важное значение. Сетевое устройство защиты SecurityBridge способствует повышению уровня безопасности в рамках общей концепции.

Общие сведения об уровнях безопасности:
Уровень безопасности 1: Защита от случайного или непреднамеренного проникновения
Уровень безопасности 2: Защита от намеренного проникновения с использованием простых средств.
Уровень безопасности 3: Защита от намеренного проникновения с использованием продвинутых средств
Уровень безопасности 4: Защита от намеренного проникновения с использованием продвинутых средств и значительных ресурсов

Процесс разработки системы безопасности — дополнительный элемент общего процесса разработки продукции. Одним из основных аспектов соответствующего требованиям процесса разработки (в соответствии со стандартом IEC 62443-4-1 «Требования к жизненному циклу разработки защищенной продукции») является проведение оценки рисков. В ходе оценки определяются угрозы и риски, которым продукция подвергается из «киберпространства», и меры по их минимизации.

Оценка рисков безопасности всегда выполняется в 6 этапов:

1. Определение элементов: Что я хочу защитить?
2. Анализ угроз: Каковы риски для элемента, который я хочу защитить?
3. Определение соответствующих целей защиты: Каких целей я хочу достичь?
4. Анализ и оценка рисков: Насколько велика вероятность возникновения риска?
5. Выбор и внедрение мер безопасности: Как я могу обеспечить защиту от возможных рисков?
6. Управление устойчивостью системы: Что мне делать после того, как система подверглась атаке? Как мне лучше закрепить представление о безопасности в компании?

Безопасность является «движущейся целью», то есть, уровень безопасности меняется на протяжении жизненного цикла изделия. Агрессоры разрабатывают все более сложные способы преодоления защитных систем, поэтому меры защиты от кибератак должны непрерывно совершенствоваться. Ответственность за это возлагается, главным образом, на операторов установок. Эффективная стратегия защиты может увеличить срок службы вашей установки. Производители оборудования и комплектующих должны немедленно информировать операторов о новых проблемах в области безопасности. Необходимо проводить обновление ПО вашего оборудования, чтобы клиенты смогли ликвидировать все слабые места. Если в процессе участвуют системные интеграторы, то они действуют как посредники между производителем оборудования и его оператором. Важно обеспечить тесное сотрудничество всех участников процесса на протяжении всего жизненного цикла изделия. Только таким образом можно добиться высокой степени защиты.