МЭК 62443

IEC 62443 — это серия стандартов, которые касаются безопасности эксплуатационных технологий в системах автоматизации и управления . Серия разделена на различные разделы и описывает как технические, так и связанные с процессами аспекты безопасности систем автоматизации и управления.

В 2002 году Международное общество автоматизации (ISA), профессиональное общество инженеров по автоматизации и аккредитованная ANSI организация по разработке стандартов (SDO), создали комитет по стандартам (ISA99). Этот комитет разработал многочастную серию стандартов и технических отчетов, посвященных кибербезопасности систем автоматизации и управления. Первоначально эти стандарты были опубликованы как стандарты ANSI/ISA-99 или ISA99 .

Около 2010 года ISA99 укрепила свои отношения с Международной электротехнической комиссией (МЭК), что привело к переименованию стандартов в ANSI/ISA-62443 . Доступный контент был представлен и использован рабочими группами МЭК. С тех пор серия обычно называется IEC 62443.

Тем временем немецкие инженерные ассоциации VDI и VDE в 2011 году выпустили руководящие принципы VDI/VDE 2182. В руководящих принципах описывается, как обеспечить информационную безопасность в средах промышленной автоматизации, а также они были представлены и использованы рабочими группами МЭК.

Серия стандартов IEC 62443 поддерживается Рабочей группой 10 (IEC TC65 WG10) Технического комитета 65 Международной электротехнической комиссии (МЭК) . Рабочая группа МЭК и комитет ISA99 продолжают сотрудничать, создавая совместное руководство и проектные группы для разработки стандартов серии МЭК 62443. Их сотрудничество интегрирует процессы и процедуры Директив ISA и МЭК, обеспечивая согласованность в процессе разработки.

Полученные стандарты публикуются ISA как ANSI/ISA 62443 в Соединенных Штатах и ​​IEC как IEC 62443 на международном уровне. Для любой части серии техническое содержание изданий ISA и IEC идентично, если обе организации приняли это содержание.

Отношения между IEC и ISA в разработке серии IEC 62443 характеризуются взаимодополняющими ролями. IEC выступает в качестве глобального органа по стандартизации, ответственного за публикацию и поддержку серии IEC 62443, в то время как ISA вносит значительный технический опыт, отраслевое понимание и основополагающие проекты через свой комитет ISA99.

ISA в первую очередь ориентируется на рынок США и публикует стандарты под обозначением ANSI/ISA 62443. IEC, с другой стороны, обеспечивает глобальное принятие и гармонизацию стандартов под названием IEC 62443.

Хотя обе организации сотрудничают по большинству стандартов, они сохраняют независимость в разработке и публикации стандартов по отдельности, когда консенсус не может быть достигнут. Например, IEC разработала и опубликовала IEC 62443-6-1 ^[1] независимо, без участия ISA.

IEC одобрила семейство стандартов IEC 62443 как «горизонтальные стандарты». Это означает, что когда отраслевые стандарты для операционных технологий разрабатываются экспертами в данной области, стандарты IEC 62443 должны использоваться в качестве основы для требований, касающихся безопасности в этих стандартах. Такой подход позволяет избежать распространения частичных и/или противоречивых требований для решения вопросов безопасности систем автоматизации и управления в различных секторах промышленности, где на рабочих площадках используются одни и те же или похожие технологии или продукты.

Серия стандартов IEC 62443 «Промышленные сети связи. Безопасность сетей и систем» состоит из нескольких частей, которые подразделяются на шесть областей:

1. Общие сведения: В разделах этой категории описываются основные термины, концепции и модели.
2. Политики и процедуры: в первую очередь описывают систему управления промышленной ИТ-безопасностью.
3. Система: Здесь описаны различные спецификации функций безопасности систем управления и автоматизации.
4. Компоненты и требования: Здесь описаны требования к процессам разработки продуктов для компонентов решения по автоматизации.
5. Профили: В этом разделе определяются отраслевые требования к кибербезопасности и предлагается структурированный подход к реализации мер на основе профилей кибербезопасности, описанных в IEC 62443-1-5.
6. Оценка: В этом разделе описываются методики оценки, которые гарантируют, что результаты оценки являются последовательными и воспроизводимыми с учетом требований отдельных частей.

В следующей таблице перечислены части стандартов серии IEC 62443, опубликованные на сегодняшний день, с указанием их статуса и названия.

Стандарты серии стандартов IEC 62443 постоянно развиваются. Согласно рекомендациям IEC, все опубликованные стандарты будут периодически пересматриваться и либо подтверждаться как актуальные, либо обновляться (что приведет к новому изданию), либо отзываться. Кроме того, несколько частей серии находятся в стадии разработки, ^[12] включая новые издания:

• IEC 62443-1-6: Применение серии 62443 к промышленному Интернету вещей
• IEC 62443-2-2: Защита безопасности IACS
• IEC 62443-6-2: Методология оценки для IEC 62443-4-2

В основе серии стандартов IEC 62443 лежит несколько концепций.

Стандарты в этой серии рассматривают последствия для нескольких основных ролей, включая:

• Владелец Актива,
• Поставщик продукции и
• Поставщики услуг (интеграция и обслуживание)

Различные роли используют подход, основанный на оценке рисков, для предотвращения и управления рисками безопасности в своей деятельности.

Стандарты описывают различные уровни зрелости процессов через так называемые «уровни зрелости». Для достижения определенного уровня зрелости все требования, связанные с процессами, должны всегда практиковаться во время разработки или интеграции продукта, т. е. выбор только отдельных критериев («cherry picking») не соответствует стандарту.

Уровни зрелости описываются следующим образом:

• Уровень зрелости 1 — Начальный: Поставщики продукции обычно осуществляют разработку продукта по мере необходимости и часто недокументированно (или документировано не полностью).
• Уровень зрелости 2 - Управляемый: Поставщик продукта способен управлять разработкой продукта в соответствии с письменными инструкциями. Необходимо продемонстрировать, что персонал, который выполняет процесс, имеет соответствующий опыт, обучен и/или следует письменным процедурам. Процессы являются повторяемыми.
• Уровень зрелости 3 — Определен (практикуется): Процесс повторяется во всей организации поставщика. Процессы были отработаны, и есть доказательства того, что это было сделано.
• Уровень зрелости 4 — Улучшение: Поставщики продукции используют соответствующие показатели процесса для мониторинга эффективности и производительности процесса и демонстрируют постоянное улучшение в этих областях.

Технические требования к системам (IEC 62443-3-3) и продуктам (IEC 62443-4-2) оцениваются в стандарте четырьмя так называемыми уровнями безопасности (SL). Различные уровни указывают на устойчивость к различным классам злоумышленников. Стандарт подчеркивает, что уровни должны оцениваться по техническим требованиям (см. IEC 62443-1-1) и не подходят для общей классификации продуктов.

Уровни следующие:

• Уровень безопасности 0: никаких специальных требований или защиты не требуется.
• Уровень безопасности 1: Защита от непреднамеренного или случайного неправомерного использования.
• Уровень безопасности 2: Защита от преднамеренного неправомерного использования простыми средствами с ограниченными ресурсами, общими навыками и низкой мотивацией.
• Уровень безопасности 3: Защита от преднамеренного неправомерного использования с использованием сложных средств при наличии умеренных ресурсов, специальных знаний в области автоматизации и умеренной мотивации.
• Уровень безопасности 4: Защита от преднамеренного неправомерного использования с использованием сложных средств с обширными ресурсами, знаниями в области автоматизации и высокой мотивацией.

Применение этой концепции предполагает группировку систем и компонентов системы автоматизации и управления в набор зон и каналов.

Зоны делят систему на однородные зоны, группируя (логические или физические) активы с общими требованиями безопасности. Требования безопасности определяются уровнем безопасности (SL). Уровень, требуемый для зоны, определяется анализом риска. Зоны имеют границы, которые отделяют элементы внутри зоны от тех, которые находятся снаружи. Информация перемещается внутри зон и между ними. Зоны можно разделить на подзоны, которые определяют различные уровни безопасности (уровень безопасности) и, таким образом, обеспечивают глубокую защиту.

Conduits группируют элементы, которые позволяют осуществлять связь между двумя зонами. Они обеспечивают функции безопасности, которые обеспечивают безопасную связь и позволяют сосуществование зон с различными уровнями безопасности.

Процессы, системы и продукты, используемые в средах автоматизации и управления, могут быть сертифицированы на соответствие стандарту IEC 62443. Многие компании, занимающиеся испытаниями, инспекциями и сертификацией (TIC), предлагают сертификацию продуктов и процессов на основе IEC 62443. Аккредитуясь в соответствии с серией стандартов ISO/IEC 17000, компании используют единый, последовательный набор требований к сертификации по IEC 62443, что повышает полезность получаемых сертификатов соответствия.

Схемы сертификации IEC 62443 были разработаны несколькими глобальными компаниями по тестированию, инспекции и сертификации (TIC). Схемы основаны на ссылочных стандартах и ​​определяют методы испытаний, политику аудита надзора, политику публичной документации и другие конкретные аспекты их программы. Программы сертификации безопасности для стандартов IEC 62443 предлагаются во всем мире многими признанными органами по сертификации (CB), включая Bureau Veritas , Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD и UL .

Глобальная инфраструктура национальных органов по аккредитации (AB) обеспечивает последовательную оценку IEC 62443. AB работают в соответствии с требованиями ISO/IEC 17011, стандарта, который содержит требования к компетентности, последовательности и беспристрастности органов по аккредитации при аккредитации органов по оценке соответствия. AB являются членами IAF для работы в области систем менеджмента , продуктов, услуг и аккредитации персонала или ILAC для аккредитации лабораторий. Многостороннее соглашение о признании (MLA) между AB обеспечит глобальное признание аккредитованных CB.

Компании TIC аккредитованы AB для проведения инспекций в соответствии со стандартом ISO/IEC 17020, испытательных лабораторий в соответствии со стандартом ISO/IEC 17025 и сертификации продукции, процессов и услуг в соответствии со стандартом ISO/IEC 17065.

Система IEC для схем оценки соответствия для электротехнического оборудования и компонентов ( IECEE ) Схема органа по сертификации ( Схема CB ) является многосторонним соглашением, которое облегчает доступ на рынок для производителей электрических и электронных изделий. В рамках схемы CB процессы, продукты и системы могут быть сертифицированы в соответствии с IEC 62443.

Схема CB берет свое начало в CEE (бывшая Европейская «Комиссия по проверке соответствия электрооборудования») и была интегрирована в IEC в 1985 году. В настоящее время в IECEE входят 54 органа-члена, 88 NCB (национальных органов по сертификации) и 534 испытательных лаборатории CB (CBTL). В области сертификации продукции эта процедура используется для упрощения процедуры утверждения для производителей продукции, испытанной и сертифицированной в соответствии с гармонизированными стандартами. Изделие, испытанное CBTL (сертифицированной испытательной лабораторией) в соответствии с гармонизированным стандартом, таким как IEC 62443, может использовать отчет CB в качестве основы для последующей национальной сертификации и утверждения, такой как GS, PSE, CCC, NOM, ГОСТ/Р, BSMI.

Институт соответствия требованиям безопасности ISA (ISCI), дочерняя компания ISA, полностью принадлежащая ISA, создала отраслевую схему оценки соответствия на основе консенсуса, которая сертифицирует по стандартам IEC 62443 и работает под брендом ISASecure. Эта схема используется для сертификации систем управления автоматизацией, компонентов и процессов. Сертификации ISASecure были расширены за счет включения сертификации компонентов промышленного Интернета вещей (ICSA) в декабре 2022 года. Органы по сертификации в схеме сертификации ISASecure независимо аккредитованы органами по аккредитации ISO 17011 в соответствии с требованиями технической готовности ISASecure и стандартами ISO 17025 и ISO 17065. Многосторонние соглашения о признании в рамках IAF гарантируют, что сертификации ISASecure взаимно признаются всеми подписавшими IAF во всем мире.

ISCI предлагает несколько сертификаций под брендом ISASecure:

• Сертификация SSA (System Security Assurance) систем в соответствии с IEC 62443-3-3 и IEC 62443-4-1
• Сертификация CSA (Component Security Assurance) компонентов автоматизации в соответствии с IEC 62443-4-1 и IEC 62443-4-2
• Сертификация ICSA (IIOT Component Security Assurance) компонентов автоматизации IIOT в соответствии со стандартами IEC 62443-4-1 и IEC 62443-4-2 с четырьмя исключениями и семнадцатью расширениями к стандарту IEC 62443-4-2 для учета уникальных характеристик компонентов IIOT
• Сертификация организаций по разработке систем автоматизации SDLA (Secure Development Lifecycle Assurance) в соответствии с IEC 62443-4-1
• Сертификация EDSA (Embedded Device Security Assurance) компонентов на основе IEC 62443-4-2. Эта сертификация была предложена в 2010 году и была прекращена, когда стандарт IEC 62443-4-2 был официально утвержден и опубликован в 2018 году.
• В 2023 году ISASecure объявила о разработке новой сертификации для оценки и сертификации систем автоматизации и управления, работающих на объектах владельцев активов. Она называется сертификация Automation and Control System Security Assurance (ACSSA). Ее завершение запланировано на конец 2024 года.

• Стандарты кибербезопасности
• Функциональная безопасность
• Международная электротехническая комиссия
• Система управления кибербезопасностью

• веб-сайт МЭК
• веб-сайт IECEE