Türkiye tr
Hotline
Kişi
Türkiye | türkçe

IEC 62443 emniyet standardı serileri

Endüstriyel Güvenlik için normatif ve yasal gereksinimler

Masa üzerinde paragraf sembolü taşıyan bir dizüstü bilgisayar.

“Endüstriyel iletişim ağları - Ağ ve sistem güvenliği” başlıklı IEC 62443 uluslararası standart serisi, otomasyonda IT güvenliğine nasıl ulaşılacağını ele alır. Konu yelpazesi risk analizinden, güvenli çalışma gereksinimlerine ve ürünlerin güvenli bir şekilde geliştirilmesine (tasarımla güvenlik) kadar uzanır. Sonuç olarak IEC 62443, Endüstriyel Güvenliği etkin bir şekilde uygulama konusunda tesis operatörleri, makine üreticileri ve cihaz üreticileri için en iyi oryantasyon kılavuzunu sunmaktadır.

IEC 62443, beş alanla ilgilenir: Temel Endüstriyel Güvenlik gereksinimleri, bölgelerin ve kanalların prensibi, güvenlik seviyeleri, güvenlik yaşam döngüsü ve risk analizi.

IEC 62443 standardının önemli bölümlerine genel bir bakış:

Bileşen üreticileri için

Sistem entegratörleri için

Operatörler için
IEC 62443-4-1 Geliştirme süreci IEC 62443-2-4 Direktifler ve prosedürler IEC 62443-2-4 Direktifler ve prosedürler
IEC 62443-4-2 Bileşenler için güvenlik fonksiyonları IEC 62443-3-2 Otomasyon ve kontrol sistemleri için güvenlik fonksiyonları IEC 62443-2-1 Çalışma ve servis
  IEC 62443-3-3 Tüm otomasyon ve kontrol sistemi için güvenlik fonksiyonları  

Bunun merkezinde, özel güvenlik önlemlerinin tanımlanması için temel oluşturabilecek Güvenlik Risk Değerlendirmesi prosedürü yer alır. Ayrıca kurumsal ve teknik önlemler arasındaki etkileşim de vurgulanır. En kötü senaryoda, teknik önlemler insan davranışları nedeniyle kolayca zarar görebileceği için teknik çözümler tek başına yanlış bir güvenlik hissine yol açar. Örneğin, bir parola, sadece aynı zamanda değiştirilmesi, paylaşılmaması ve cihaza görünür bir şekilde eklenmemesi halinde koruma sağlar.

Endüstriyel otomasyon sistemleri, OT güvenlik gereksinimlerini karşılamak için derinlemesine bir savunma yaklaşımı gerektirir. Pilz, makine üreticilerini ve operatörleri kurumsal ve teknik gereksinimlerin, özellikle IEC 62443 gereksinimlerinin uygulanması konusunda desteklemek için uzman bilgi birikimini kullanır.

Endüstriyel Güvenlik konseptinin yanı sıra standartlarla ve yasal gereksinimlerle uyumluluk, bir şirketin siber güvenliğini makine seviyesinde bile önemli ölçüde artırır. 

Güvenlik ile ilgili diğer standartlar

ISO/IEC TS 63074:2023

“Makine emniyeti eğitimi - Emniyetle ilgili kontrol sistemlerinin fonksiyonel emniyeti ile ilgili güvenlik konuları”

Bu standardın temel odağı, Emniyet ile Güvenliğin kesiştiği noktadır. Bu nedenle, Makine Regülasyonu gereksinimlerinin özüne değinmektedir. Güvenlik tehditlerini ve güvenlik açıklarını tanımlarken IEC 62443 serisini kullanır. Emniyet kontrolöründe güvenlik tehditleri (yetkisiz erişim, kötü amaçlı yazılım veya siber saldırılar gibi) tarafından suistimal edilebilecek güvenlik açıklarını dikkate alır. Amacı, emniyet fonksiyonlarını koruyarak fonksiyonların koruyucu etkilerini gerçek anlamda uygulamalarını sağlamaktır. Emniyet için özellikle “derinlemesine savunma” ilkesi önerilir.

Belge, kullanım senaryolarını tanımlar ve onlara uygun tehdit modellerini uygular. Bu, Güvenlik tehditlerinin Emniyeti nasıl etkileyebileceğini anlamanıza yardımcı olur. Bir siber saldırının diğer etkileri açıkça değerlendirilmez.

Otomatik yönlendirmeli araç sistemleri bulunan bir üretim alanı

ISO 27001 - Bilgi Güvenliği Yönetim Sistemleri (ISMS)

NIS 2 bilgi güvenliği sistemlerinin yönetimi ile ilgilenir. Dünya çapında bilgi güvenliği için fiili standart olarak kabul edildiği ve sertifikalandırılabildiği için ISO/IEC 27001'e özellikle dikkat edilmektedir. Bilgi Güvenliği Yönetim Sistemi için gereksinimleri belirler.

İster dijital ister analog (el yazısı, sözlü, görsel) olsun, ister bir kağıt parçasına yazılmış ya da ister bulutta saklanmış olsun tüm bilgilerin korunması gerektiği için, IT güvenliğinden değil bilgi güvenliğinden bahsediyoruz. Günümüzde pek çok bilgi IT kullanılarak işlendiği için IT güvenliği de buna uygun şekilde önemli bir rol oynar.

Aslında bir kurumun tüm alanlarında bilgi güvenliği risklerinin en aza indirilmesini amaçlar. Bu nedenle bu durum, makineler ve OT ağları gibi üretim araçlarını da etkiler.

Bir kuruluş dış gereksinimler (ör. yasal gereksinimler veya müşteriyle sözleşmeye dayalı anlaşmalar) nedeniyle ISO/IEC 27001'e uygun bir ISMS'ye ihtiyaç duyarsa veya kendi inisiyatifiyle bir ISMS uygulamak isterse (ör. kendini korumak veya kamuoyu algısı için bir kalite standardı kullanmak üzere), endüstriyel siber güvenlik konusunu göz ardı edemez.

Bu da bizi, şu anda Endüstriyel Güvenlik alanında bilgi güvenliği konusunu değerlendirmek için en iyi çerçeveyi sunan IEC 62443 standardına getirir.

Güvenlik yasaları ve regülasyonları

Büyük ekonomik zarar potansiyeline sahip siber saldırı tehdidi hızla artmakta ve şirketlerin, endüstri tesislerinin, makinelerin ve makine bileşenlerinin karşılaması gereken minimum standartları içeren yasal çerçevelerin dünya çapında uygulanmasına yol açmaktadır. Siber güvenlik, özellikle kritik altyapılar için yeni bir gereksinim ve mutlak bir zorunluluktur.

Riskleri azaltmak için Avrupalı kanun makamları yeni kurallar belirlemiştir.

Makine Regülasyonu

Makine Regülasyonu 2023/1230 Haziran 2023'te kabul edilmiştir ve 42 aylık bir geçiş döneminden sonra tüm AB ülkelerinde bağlayıcı olacaktır. Makine Regülasyonu, makine veya makine tertibatı imalatçılarını, yani üreticileri (OEM = Orijinal Ekipman Üreticisi) ve sistem entegratörlerini ilgilendirmektedir. Gelecekte, makine üreticilerinin, makinelerin güvenlik hususları dahil olmak üzere Makine Regülasyonuna uygun olduğunu onaylaması gerekecektir. Bu hususlar arasında, yolsuzluğa karşı koruma ve üçüncü tarafların tehlikeli bir durum yaratmaya yönelik kötü amaçlı girişimlerine karşı önlemler yer alır. Makine Regülasyonu ile uyumluluk, Uygunluk Beyanında resmi olarak onaylanır. Makineye görünür bir işaret olarak CE işareti uygulanır. Yeni Makine Regülasyonu gerekliliklerini karşılamayan makinelerin artık AB'de satılmasına izin verilmeyecektir.

Pilz, makine üreticilerine uzun yıllardır uygunluk sürecinde ve emniyet konsepti, risk analizi ve risk değerlendirmesinden uygunluk beyanına kadar neredeyse her alanda destek vermektedir. Gelecekte güvenlik hususlarını da ele alacağız.

Tanıtım belgesi kapağı

Güvenlik tanıtım belgesi

Mevcut AB mevzuatının nasıl uygulanacağına ilişkin Pilz kılavuzu, makine üreticileri ve operatörleri için tasarlanmıştır. Gereksinimlere genel bir bakışın yanı sıra uyum yükümlülüğünün nasıl ele alınacağı hakkında bilgi sağlar.

Hemen indirin!
Birbirine geçmiş dört dişli

Makine Regülasyonu Hakkında Bilgi

Burada Makine Regülasyonu hakkında daha fazla bilgi edinebilir ve tanıtım belgesi ve web semineri gibi ücretsiz kaynaklardan yararlanabilirsiniz.

Hemen daha fazla bilgi edinin!

Ağ ve Bilgi Güvenliği (NIS 2) 2022/2555 İçin İkinci AB Direktifi

Yeni Ağ ve Bilgi Sistemleri AB Direktifi (NIS 2), AB sınırlarındaki “temel ve önemli” kuruluşlar için siber saldırılara karşı tek tip koruma seviyesini düzenlemektedir. Makine Regülasyonunun aksine, makinelere yönelik değil, şirketlere yönelik siber güvenlik gereksinimlerini açıklamaktadır. Direktif, bir şirketin ekonomi için ne kadar önemli olduğuna (kritiklik) bağlı olarak farklı alanlar için farklı gereksinimler içermektedir. Örneğin, enerji tedariki veya demiryolu taşımacılığı sektörlerindeki şirketlerin kritiklik seviyesi yüksektir. NIS 2'nin geçerli olduğu sektörler arasında, daha az kritik sektörler de dahil olmak üzere, 50'den fazla çalışanı veya 10 milyon Euro'dan fazla yıllık cirosu olan tesis ve makine üreticileri yer alır.

Şirketler, ağ ve bilgi sistemlerinin güvenliğine yönelik riskleri yönetmek için teknik, operasyonel ve kurumsal önlemler almalıdır. Buna, diğer hususların yanı sıra, yöneticilerin ve çalışanların eğitimi de dahildir. Sadece klasik ofis çapında IT değil, aynı zamanda OT alanı ve dolayısıyla Endüstriyel Güvenlik de dikkate alınmalıdır.

Siber Dayanıklılık Yasası (2024/2847)

Siber Dayanıklılık Yasası (CRA), dijital elemanları olan ürünlerin güvenlik özelliklerini iyileştirmeyi amaçlamaktadır. Bu nedenle, üreticileri ve pazara ürün sürenleri ilgilendirmektedir. Buna makine üreticileri de dahildir. CRA, tüm ürün yaşam döngüsüne zorunlu güvenlik gereksinimleri dahil etmektedir. Üründe bir güvenlik açığının ortaya çıkması halinde, üreticinin tüm yaşam döngüsü boyunca operatörün yama yönetimi süreci için en az 5 yıl süreyle yazılım güncellemeleri sağlama yükümlülüğünü de içeren bir bakım görevi gerektirir. Ürünlerin CE işareti, yürürlüğe girdiği için CRA ile uyumluluğu gerektirir. Böylece CRA, NIS 2 Direktifini ve Makine Regülasyonunu ürünlerin güvenlik özellikleriyle tamamlar.

Pilz'den bütünsel Endüstriyel Güvenlik portföyünüz - Adım adım makine güvenliğini sağlama:

Top
Genel Merkez

Pilz Emniyet Otomasyon Ürünleri ve Hizmetleri Tic. Ltd. Şti.
Kayışdağı Mahallesi Dudullu Yolu Caddesi Mecnun Sokak Duru Plaza No:7
Ataşehir, İstanbul
Türkiye

Telefon: +90 216 577 55 50
E-posta: [email protected]

Satış Destek

Kayışdağı Mahallesi Dudullu Yolu Caddesi Mecnun Sokak Duru Plaza No:7
Ataşehir, İstanbul
Turkiye

Telefon: +90 216 577 55 50
E-posta: [email protected]

Teknik Destek

Telefon: +90 216 577 55 52
E-posta: [email protected]

  1. Pilz
    2. /
  2. Destek
    3. /
  3. Kanunlar ve standartlar
    4. /
  4. IEC 62443 emniyet standardı serileri
İletişim formunu açın
Telefon:+90 216 577 55 52
E-posta: [email protected]
Cookie settings

Sizin için ne yapabiliriz?

Onay vermediğim sürece toplanan kişisel verilerin yalnızca siparişleri işleme koymak ve sorularımla ilgilenmek için kullanılacağını anlıyorum. Veri koruma hakkında daha fazla bilgiyi ve veri koruma görevlimizin iletişim bilgilerini aşağıda bulabilirsiniz: Pilz veri koruma
Onay herhangi bir zamanda geri çekilebilir (E-Posta yeterli olacaktır).
* Zorunlu alan