Серия стандартов безопасности IEC 62443

Серия международных стандартов IEC 62443 «Сети промышленной коммуникации. Безопасность сетей и систем» посвящена информационной безопасности в автоматизированных системах. Темы варьируются от анализа риска и требований к безопасной эксплуатации до защищенной разработки продукции (изначально предусмотренная безопасность). В результате, стандарты IEC 62443 определяют наилучшие рекомендации по эффективному внедрению систем безопасности на промышленных предприятиях и производственных объектах.
Они охватывают пять областей: основные требования промышленной безопасности, принципы зон и магистралей, уровни безопасности, жизненный цикл системы безопасности и анализ рисков.

Серия стандартов безопасности IEC 62443

Общая информация о ключевых разделах стандарта:

Для производителей компонентов Для системных интеграторов Для операторов
62443-4-1 Процесс разработки 62443-2-4 Руководящие указания и процедуры 62443-2-4 Руководящие указания и процедуры
62443-4-2 Функции безопасности компонентов 62443-3-2 Функции безопасности систем автоматизации и управления 62443-2-1 Эксплуатация и обслуживание

62443-3-3 Функции безопасности комплексных систем автоматизации и управления

 

 

Основные требования промышленной безопасности

Промышленная безопасность

Основные требования к безопасности (базовые требования) включают в себя:

  • Идентификация и аутентификация
  • Контроль использования
  • Целостность системы
  • Конфиденциальность данных
  • Потоки защищенных данных
  • Своевременное реагирование на события
  • Наличие ресурсов

В рамках каждого из этих базовых требований определяются дополнительные системные требования, которые используются в качестве основы для внедрения мер безопасности.

Уровень безопасности

Уровень безопасности

Уровни безопасности определяют уровень защиты, которого стремятся достичь промышленные и производственные предприятия, используя меры безопасности. Источником информации служит предварительная оценка рисков. Она определяет требующие защиты элементы и вероятность атаки на них. Уровень безопасности (SL) устанавливается соответственно. Уровень SL-2, представляющий собой защиту от «намеренного проникновения с использованием простых средств, незначительных ресурсов, общих знаний и низкой мотивации», в настоящее время должен рассматриваться как минимальный стандарт безопасности. Для поддержания такого минимального стандарта компании необходим определенный уровень зрелости системы безопасности. Даже самые лучшие межсетевые экраны будут бесполезны, если персонал продолжает записывать пароли на стикерах и оставлять их на своих мониторах или не устанавливает требуемые обновления. Чем больше внимания компания уделяет вопросу безопасности, тем выше общий уровень защиты. Поэтому концепция общей безопасности имеет важное значение. Межсетевой экран SecurityBridge способствует повышению уровня безопасности в рамках общей концепции.

Общие сведения об уровнях безопасности:
Уровень безопасности 1: Защита от случайного или непреднамеренного проникновения
Уровень безопасности 2: Защита от намеренного проникновения с использованием простых средств.
Уровень безопасности 3: Защита от намеренного проникновения с использованием продвинутых средств
Уровень безопасности 4: Защита от намеренного проникновения с использованием продвинутых средств и значительных ресурсов

Оценка рисков промышленной безопасности

Процесс разработки системы безопасности — дополнительный элемент общего процесса разработки продукции. Одним из основных аспектов соответствующего требованиям процесса разработки (в соответствии со стандартом IEC 62443-4-1 «Требования к жизненному циклу разработки защищенной продукции») является проведение оценки рисков. В ходе оценки определяются угрозы и риски, которым продукция подвергается из «киберпространства», и меры по их минимизации.

Оценка рисков безопасности всегда выполняется в 6 этапов:

  1. Определение элементов: Что я хочу защитить?
  2. Анализ угроз: Каковы риски для элемента, который я хочу защитить?
  3. Определение соответствующих целей защиты: Каких целей я хочу достичь?
  4. Анализ и оценка рисков: Насколько велика вероятность возникновения риска?
  5. Выбор и внедрение мер безопасности: Как я могу обеспечить защиту от возможных рисков?
  6. Управление устойчивостью системы: Что мне делать после того, как система подверглась атаке? Как мне лучше закрепить представление о безопасности в компании?
Оценка рисков безопасности

Жизненный цикл промышленной безопасности

Жизненный цикл промышленной безопасности

Безопасность является «движущейся целью», то есть, уровень безопасности меняется на протяжении жизненного цикла изделия. Агрессоры разрабатывают все более сложные способы преодоления защитных систем, поэтому меры защиты от кибератак должны непрерывно совершенствоваться. Ответственность за это возлагается, главным образом, на операторов установок. Эффективная стратегия защиты может увеличить срок службы вашей установки. Производители оборудования и комплектующих должны немедленно информировать операторов о новых проблемах в области безопасности. Необходимо проводить обновление ПО вашего оборудования, чтобы клиенты смогли ликвидировать все слабые места. Если в процессе участвуют системные интеграторы, то они действуют как посредники между производителем оборудования и его оператором. Важно обеспечить тесное сотрудничество всех участников процесса на протяжении всего жизненного цикла изделия. Только таким образом можно добиться высокой степени защиты.

Подробнее об информационной безопасности 4.0

Основные местонахождения

ООО "Пильц Рус" - центральный офис
Ленинский пр., д. 160, литера А, офис 702
196247 Санкт-Петербург
Россия

Телефон: +7 812 6777219
Эл. почта: pilz@pilzrussia.ru

Приобрести компоненты и услуги

Телефон: +7 812 6777219
Эл. почта: pilz@pilzrussia.ru

Техническая поддержка

Телефон: +7 495 665 4993
Эл. почта: pilz@pilzrussia.ru