Россия | русский

Серия стандартов безопасности IEC 62443

Серия международных стандартов IEC 62443 «Сети промышленной коммуникации. Безопасность сетей и систем” посвящена информационной безопасности в автоматизированных системах. Темы варьируются от анализа риска и требований к безопасной эксплуатации до защищенной разработки продукции (изначально предусмотренная безопасность). В результате, на данный момент стандарт IEC 62443 предлагает наилучшие рекомендации по эффективному внедрению систем безопасности на промышленных предприятиях и производственных объектах.
В стандарте рассматриваются пять областей: Основные требования к безопасности, принципы зон и каналов коммуникации, уровни безопасности, жизненный цикл системы безопасности и анализ рисков.

Серия стандартов безопасности IEC 62443

Общая информация о ключевых разделах стандарта:

Для производителей компонентов Для системных интеграторов Для компаний, эксплуатирующих предприятия
62443-4-1 Процесс разработки 62443-2-4 Руководящие указания и процедуры 62443-2-4 Руководящие указания и процедуры
62443-4-2 Функции безопасности компонентов 62443-3-2 Функции безопасности систем автоматизации и управления 62443-2-1 Эксплуатация и обслуживание
62443-3-3 Функции безопасности комплексных систем автоматизации и управления

62443-3-3 Функции безопасности комплексных систем автоматизации и управления

 

 

Основные требования к безопасности

Требования к безопасности

Основные требования к безопасности (базовые требования) включают в себя:

  • Идентификация и подтверждение подлинности
  • Отслеживание использования
  • Целостность системы
  • Конфиденциальность данных
  • Потоки защищенных данных
  • Своевременное реагирование на события
  • Наличие ресурсов

В отношении каждого из этих основных требований определяются дальнейшие системные требования, использующиеся в качестве основы для внедрения мер безопасности.

Уровень безопасности

Уровень безопасности

Уровни безопасности определяют уровень защиты, которого стремятся достичь промышленные и производственные предприятия, используя меры безопасности. Источником информации служит предварительная оценка рисков. Она определяет требующие защиты элементы и вероятность атаки на эти элементы. Уровень безопасности (SL) устанавливается соответственно. SL-2, представляющий собой защиту от «намеренного проникновения с использованием простых средств, незначительных ресурсов, общих знаний и низкой мотивации», в настоящее время должен восприниматься как минимальный стандарт безопасности. Для поддержания такого минимального стандарта компании необходим определенный уровень сформированности системы безопасности. Даже самые лучшие средства сетевой защиты будут бесполезны, если персонал продолжает записывать пароли на стикерах и оставлять их прикрепленными к своим мониторам, или не устанавливает требуемые обновления. Чем больше внимания компания уделяет вопросу безопасности, тем выше общий уровень защиты. Поэтому, концепция общей безопасности имеет важное значение. Сетевое устройство защиты SecurityBridge способствует повышению уровня безопасности в рамках общей концепции.

Общие сведения об уровнях безопасности:
Уровень безопасности 1: Защита от случайного или непреднамеренного проникновения
Уровень безопасности 2: Защита от намеренного проникновения с использованием простых средств.
Уровень безопасности 3: Защита от намеренного проникновения с использованием продвинутых средств
Уровень безопасности 4: Защита от намеренного проникновения с использованием продвинутых средств и значительных ресурсов

Оценка рисков для безопасности

Процесс разработки системы безопасности является расширенным элементом общего процесса разработки продукции. Одним из основных аспектов соответствующего требованиям процесса разработки (в соответствии со стандартом IEC 62443-4-1 «Требования к жизненному циклу разработки защищенной продукции») является проведение оценки рисков. В ходе оценки определяются опасности и риски, которым продукция подвергается из «кибер-пространства», и меры по их минимизации.

Оценка рисков для безопасности всегда выполняется в 6 этапов:

  1. Определение элементов: Что я хочу защитить?
  2. Анализ угроз: Каковы риски для элемента, который я хочу защитить?
  3. Определение соответствующих целей защиты: Каких целей я хочу достичь?
  4. Анализ и оценка рисков: Насколько велика вероятность возникновения риска?
  5. Выбор и внедрение мер безопасности: Как я могу обеспечить защиту от возможных рисков?
  6. Управление устойчивостью системы: Что мне делать после того, как система подверглась атаке? Как укрепить безопасность компании?
Оценка рисков для безопасности

Жизненный цикл системы безопасности

Жизненный цикл системы безопасности

Безопасность является «движущейся целью», то есть, уровень безопасности меняется на протяжении жизненного цикла проекта. Агрессоры разрабатывают все более сложные методы преодоления защитных систем, поэтому меры защиты от кибер-атак должны непрерывно совершенствоваться. Ответственность за это, в основном, возлагается на компании, эксплуатирующие предприятия. Эффективная стратегия защиты может увеличить срок службы вашего предприятия. Производители оборудования и комплектующих должны немедленно информировать предприятия о новых проблемах в области безопасности. Необходимо проводить обновление ПО вашего оборудования, чтобы позволить заказчикам ликвидировать любые слабые места. Если в процесс вовлечены компании-системные интеграторы, то они действуют как посредники между производителем оборудования и предприятием. Важно обеспечить тесное сотрудничество всех участников процесса на протяжении всего жизненного цикла продукции. Только таким образом можно добиться высокой степени защиты.

Подробнее о безопасности 4.0

Основные местонахождения

ООО "Пильц Рус" - центральный офис
Ленинский пр., д. 160, литера А, офис 702
196247 Санкт-Петербург
Россия

Телефон: +7 812 6777219
Эл. почта: pilz@pilzrussia.ru

Приобрести компоненты и услуги

Телефон: +7 812 6777219
Эл. почта: pilz@pilzrussia.ru

Техническая поддержка

Телефон: +7 495 665 4993
Эл. почта: pilz@pilzrussia.ru