Global ru
Hotline
Контактные данные
Global | русский

Серия стандартов информационной безопасности IEC 62443

Нормативно-правовые требования по информационной безопасности в промышленности

Ноутбук с символом абзаца на столе.

Серия международных стандартов IEC 62443 «Сети промышленной коммуникации. Безопасность сетей и систем» демонстрирует, как добиться IT-безопасности при автоматизации. Темы варьируются от анализа риска и требований к безопасной эксплуатации до защищенной разработки продукции (изначально предусмотренная безопасность). В результате стандарт IEC 62443 в настоящее время предлагает наилучшие рекомендации для операторов установок, машиностроителей и производителей устройств, когда речь идет об эффективной реализации информационной безопасности в промышленности.

IEC 62443 охватывает пять областей: основные требования информационной безопасности, принцип зон и магистралей, уровни безопасности, жизненный цикл системы безопасности и анализ рисков.

Общая информация о ключевых разделах стандарта IEC 62443:

Для производителей комплектующих

Для системных интеграторов

Для операторов
IEC 62443-4-1 Процесс разработки IEC 62443-2-4 Директивы и процедуры IEC 62443-2-4 Директивы и процедуры
IEC 62443-4-2 Функции информационной безопасности для компонентов IEC 62443-3-2 Функции информационной безопасности для систем автоматизации и управления IEC 62443-2-1 Эксплуатация и обслуживание
  IEC 62443-3-3 Функции информационной безопасности для всей системы автоматизации и управления  

Центральное место в этом занимает процедура оценки рисков информационной безопасности, которая может служить основой для определения индивидуальных мер безопасности. Также особо подчеркивается роль взаимодействия между организационными и техническими мерами. В худшем случае технические решения сами по себе приводят к ложному чувству безопасности, поскольку технические меры могут быть легко сведены на нет поведением человека. Например, пароль обеспечивает защиту только в том случае, если он периодически изменяется, не передается третьим лицам и не прикреплен к устройству видимым образом.

Чтобы соответствовать требованиям безопасности ОТ, системам промышленной автоматизации требуется глубокоэшелонированный подход к защите. Компания Pilz использует свои экспертные знания для оказания поддержки производителям и операторам машин в реализации организационных и технических требований, особенно требований стандарта IEC 62443.

Концепция информационной безопасности и соответствие стандартам и юридическим требованиям значительно повышают кибербезопасность компании, даже на уровне машин. 

Другие стандарты, имеющие отношение к информационной безопасности

ISO/IEC TS 63074:2023

«Безопасность машинного оборудования. Аспекты защиты данных, относящиеся к функциональной безопасности систем управления, связанных с безопасностью»

Основное внимание в этом стандарте уделяется взаимосвязи между безопасностью машин и защитой данных. По сути он затрагивает основу требований Регламента по машинному оборудованию. При выявлении угроз информационной безопасности и уязвимостей используется серия стандартов IEC 62443. Она учитывает уязвимости контроллера безопасности, которые могут быть использованы для создания угроз безопасности (таких как несанкционированный доступ, вредоносное ПО или кибератаки). Цель состоит в том, чтобы защитить функции безопасности машин, чтобы они могли действительно реализовать свой защитный эффект. В целях безопасности машин особенно рекомендуется использовать принцип «глубокоэшелонированной защиты».

В документе определяются варианты использования и применяются к ним соответствующие модели угроз. Это поможет вам понять, как угрозы информационной безопасности могут повлиять на безопасность машин. Другие последствия кибератаки явно не рассматриваются.

Производственный цех с системой автоматизированных самоходных транспортных средств

ISO 27001 — Системы управления информационной безопасностью (ISMS)

NIS 2 занимается управлением системами информационной безопасности. Особое внимание уделяется стандарту ISO/IEC 27001, поскольку он признан во всем мире как фактический стандарт информационной безопасности и подлежит сертификации. В нем определены требования к системе управления информационной безопасностью.

Мы говорим об информационной безопасности, а не об IT-безопасности, поскольку любая информация должна быть защищена, независимо от того, является ли она цифровой или аналоговой (рукописной, устной, визуальной), записанной на листе бумаги или хранящейся в облаке. Поскольку в наши дни большой объем информации обрабатывается с использованием информационных технологий, IT-безопасность играет соответственно важную роль.

По сути, речь идет о минимизации рисков информационной безопасности во всех областях внутри организации. Таким образом, это также влияет на средства производства, такие как машинное оборудование и сети ОТ.

Если организация требует наличия ISMS в соответствии с ISO/IEC 27001 из-за внешних требований (например, требований законодательства или договорных соглашений с заказчиком) или хочет внедрить ее по собственной инициативе (например, для собственной защиты или в целях использования стандарта качества для общественного восприятия), она не может игнорировать тему промышленной кибербезопасности.

Это возвращает нас к стандарту IEC 62443, который в настоящее время предлагает наилучшую основу для рассмотрения вопроса информационной безопасности в области промышленности.

Законы и нормативные требования информационной безопасности

Стремительно растущая угроза кибератак, способная нанести огромный экономический ущерб, приводит к введению во всем мире правовых рамок, устанавливающих минимальные стандарты, которым должны соответствовать компании, промышленные установки, машинное оборудование и компоненты машин. Кибербезопасность — это новое требование и абсолютная необходимость, особенно для критически важных инфраструктур.

Чтобы снизить риски, европейские законодатели ввели новые правила.

Регламент по машинному оборудованию

Регламент по машинному оборудованию 2023/1230 был принят в июне 2023 года и станет обязательным во всех государствах ЕС после переходного периода продолжительностью 42 месяца. Регламент по машинному оборудованию касается производителей машин или узлов машин, т. е. производителей (OEM = производитель оригинального оборудования) и системных интеграторов. В будущем производители машин должны будут подтвердить, что оборудование соответствует Регламенту по машинному оборудованию, включая аспекты защиты. К ним относятся защита от неправомерного использования и меры по противодействию злонамеренным попыткам третьих лиц создать опасную ситуацию. Соответствие Регламенту по машинному оборудованию официально подтверждается Декларацией о соответствии. Маркировка CE нанесена на машину в качестве видимого знака. Оборудование, не соответствующее требованиям нового Регламента по машинному оборудованию, больше не будет допущено к продаже в ЕС.

Компания Pilz уже много лет оказывает поддержку производителям машин в процессе подтверждения соответствия практически во всех областях: от концепции безопасности до анализа и оценки рисков, вплоть до декларации о соответствии. В будущем мы также рассмотрим аспекты защиты.

Обложка технического документа

Технический документ по информационной безопасности

Руководство Pilz по соблюдению действующего законодательства ЕС предназначено для производителей и операторов машин и содержит обзор требований, а также информацию о том, как обеспечивать их соблюдение.

Скачать прямо сейчас!
Включаются четыре передачи

Знание Регламента по машинному оборудованию

Здесь вы можете узнать больше о Регламенте по машинному оборудованию и воспользоваться бесплатными ресурсами, такими как технический документ и вебинар.

Узнать больше сейчас!

Вторая директива ЕС о сетевой и информационной безопасности (NIS 2) 2022/2555

Новая Директива ЕС по сетям и информационным системам (NIS 2) регулирует единый уровень защиты от кибератак для «существенных и важных» организаций в пределах ЕС. В отличие от Регламента по машинному оборудованию, он описывает требования к кибербезопасности для компаний, а не для машин. Директива содержит различные требования для разных сфер в зависимости от значимости (критичности) компании для экономики. Например, компании в секторах энергоснабжения или железнодорожного транспорта имеют высокую критичность. К другим компаниям, затронутым NIS 2, относятся производители установок и оборудования с численностью сотрудников более 50 человек или годовым оборотом более 10 миллионов евро, в том числе из менее критичных секторов.

Компании должны принимать технические, эксплуатационные и организационные меры для управления рисками безопасности сетей и информационных систем. Это включает, помимо прочего, обучение руководителей и сотрудников. Важно учитывать не только классические офисные информационные технологии, но и область ОТ и, следовательно, информационную безопасность в промышленности.

Закон о киберустойчивости (2024/2847)

Закон о киберустойчивости (CRA) направлен на улучшение свойств безопасности продуктов с цифровыми элементами. Поэтому это касается производителей и тех, кто размещает продукцию на рынке. Сюда также включаются производители машин. CRA вводит обязательные требования безопасности на протяжении всего жизненного цикла продукта. Он требует соблюдения обязательств на протяжении всего жизненного цикла, что также включает в себя обязательство производителя предоставлять обновления программного обеспечения для процесса управления исправлениями оператора в течение как минимум 5 лет в случае обнаружения уязвимости безопасности в продукте. Маркировка CE на продукции требует соответствия CRA с момента ее вступления в силу. Таким образом, CRA дополняет Директиву NIS 2 и Регламент по машинному оборудованию свойствами информационной безопасности продукции.

Ваш комплексный портфель решений для информационной безопасности от Pilz – надежное оборудование, шаг за шагом:

Top
Штаб-квартира

Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Германия

Телефон: +49 711 3409-0
Эл. почта: info@pilz.de

Техническая поддержка

Телефон: +49 711 3409 444
Эл. почта: support@pilz.com

Страны Южной и Северной Америки

  • США (бесплатно): +1 877-PILZUSA (745-9872)
  • Мексика: +52 55 5572 1300
  • Бразилия: + 55 11 4942-7032
  • Канада: +1 888-315-PILZ (315-7459)

Европа

  • Бельгия: +32 9 321 75 70
  • Германия: +49 711 3409 444
  • Италия: +39 0362 1826711
  • Швейцария: +41 62 889 79 32
  • Испания: +34 938497433
  • Дания: +45 74436332
  • Франция (бесплатно): +33 3 88104000
  • Швеция: +46 300 13990 / +45 74436332
  • Австрия: +43 1 7986263-444
  • Финляндия: +358 10 3224030 / +45 74436332
  • Великобритания: +44 1536 460866
  • Нидерланды: +31 347 320477
  • Россия: +7 495 6654993
  • Ирландия: +353 21 4804983
  • Турция: +90 216 577 55 52
  • Португалия: +351 229 407 594

Азиатско-тихоокеанский регион

  • Новая Зеландия: +64 9 6345350
  • Япония: +81 45 471 2281
  • Таиланд: +66 210 54613
  • Тайвань: +886 70 1015 0068 (當地網路電話)
  • Южная Корея: +82 31 778 3390
  • Сингапур: +65 6829 2920
  • Китай: +86 400-088-3566
  • Австралия (бесплатно): +61 3 9560 0621 / 1300 723 334
  1. Pilz
    2. /
  2. Поддержка
    3. /
  3. Законы и стандарты
    4. /
  4. Серия стандартов информационной безопасности
Откройте форму контакта
Телефон:+49 711 3409 444
«Почта»: support@pilz.com
Cookie settings

«Что мы можем сделать для вас?»

Я понимаю, что пока я не дам свое согласие, любые собираемые личные данные будут использоваться только для обработки заказов и моих запросов. Дополнительную информацию о защите данных и контактную информацию нашего сотрудника, ответственного за защиту данных, можно найти здесь: Защита данных в компании Pilz
Согласие может быть отозвано в любое время (достаточно электронного письма)
* Поле, обязательное для заполнения