IEC 62443: Endüstriyel Sistemler İçin Bir Siber Güvenlik Kılavuzu (Bölüm 4)


Endüstriyel siber güvenlik için IEC 62443 standardında diziye tekrar hoş geldiniz. Bu üçüncü taksit, ikinci belge serisinin bir parçası olan belgeleri veya IEC 62443-3 serisindeki belgeleri araştıracaktır.

Bu belge dizisi, doğada önceki makalelerden çok daha operasyoneldir. Yani biraz daha teknik içerik bekleyenler, bu dizi ve bir sonraki makaledeki dizi sizin için olacak!

  • 62443-3-1 Endüstriyel otomasyon ve kontrol sistemleri için güvenlik teknolojileri
  • 62443-3-2 Güvenlik Risk Değerlendirmesi ve Sistem Tasarımı
  • 62443-3-3 Sistem güvenlik gereksinimleri ve güvenlik seviyeleri

Yukarıdaki tablodaki belgelerin başlıklarından da görebileceğiniz gibi, şimdi endüstriyel ortamları güvence altına almaya odaklanan IEC 62443 standardındayız. IEC 62443-1 serisinin bir parçası olan belgelerdeki önceki makalelerde olduğu gibi, size IEC62443-3series’deki belgelerin bir parçası olan bazı içerikler hakkında bilgi vereceğim. Bu şekilde, size en çok değer sağlayacak belgelere odaklanabilirsiniz, çünkü ulusal standartlar organınızdan belgeleri satın alma maliyeti önemsizdir.

IEC 62443-3-1 Endüstriyel otomasyon ve kontrol sistemleri için güvenlik teknolojileri normatif bir standart değil, teknik bir rapordur. Bu ne anlama gelir?

IEC dünyasında bir Teknik Rapor (TR) Ve bir Standart Farklı amaçlara hizmet edin:

1. Teknik Rapor (TR)

  • Doğa: Bilgilendirici, Olumsuz normatif.
  • Amaç: Bilgi, en iyi uygulamalar, açıklamalar veya arka plan bilgilerini paylaşır.
  • Gereksinimler: Yapmak Olumsuz Uygunluğu talep etmek için izlenmesi gereken zorunlu gereksinimler içerir.
  • Uygulanabilirlik: TR’ye karşı “sertifikalandırılamaz”. Standartları uygulamadan önce kavramları, teknolojileri veya bağlamı anlamanıza yardımcı olmak için oradadır.
  • Örnek: IEC 62443-3-1 güvenlik teknolojilerini açıklıyor-“X uygulamalısınız” demiyor, daha ziyade “bunlar yaygın güvenlik teknolojileri ve nasıl çalıştıkları”.

2. Standart (Uluslararası Standart, IS)

  • Doğa: Normatif – içerir -a ifadeler (zorunlu gereksinimler) ve bazen zorunlu ifadeler (önerilen uygulamalar).
  • Amaç: Bir şeyin tasarlanması, uygulanması veya doğrulanması için kesin kuralları, gereksinimleri veya kriterleri tanımlar.
  • Gereksinimler: IEC 62443-3-3’e uygunluk talep etmek istiyorsanız, tüm -a bu standarttaki ifadeler.
  • Uygulanabilirlik: Sertifikalar, sözleşmeler ve düzenleyici uyum için kullanılır.

Teknik bir raporun temel amacı, okuyuculara – özellikle endüstriyel otomasyon ve kontrol sistemlerinde (IACS) çalışanlara – bu tür sistemleri korumak için mevcut güvenlik teknolojilerine geniş bir genel bakış sunmaktır.

Bununla birlikte, IEC 62443-3-1’deki içerik, endüstriyel bir ortamı korurken kullanabileceğimiz teknolojiler hakkında bize çok fazla rehberlik sağlar.

  • Endüstriyel otomasyon ve kontrol sistemleri (IACS) için uygun siber güvenlik araçlarına ve karşı önlemlere kapsamlı bir bakış.
  • Çeşitli güvenlik teknolojileri kategorilerinin açıklamaları, her kategoride bulunan ürün türlerinin yanı sıra endüstriyel ortamlarda uygulandığında avantajları ve dezavantajları.
  • Bu teknolojileri otomatik IACS ayarlarında etkin bir şekilde uygulamak için ön rehberlik ve hususlar.
  • Amaçlanan kitle, kontrol sistemi ortamlarında belirli teknolojilerin uygulanabilirliğini anlamaya çalışan profesyonelleri içerir.

Bu belgeden çıkacaksınız:

  • Güvenlik teknolojileri kategorileri: Örneğin, saldırı algılama, şifreleme, ağ segmentasyonu, erişim kontrolleri – işlev ve faydalı olarak açıklanmıştır.
  • Kullanım-case analizi: Her teknolojinin IACS senaryolarında nasıl performans gösterdiğine dair bilgiler Artıları ve Eksileribirlikte çalışabilirlik, performans etkisi veya entegrasyon karmaşıklığı gibi.
  • Seçim için rehberlik: Rapor, kuralcı olmasa da, okuyucuların tartışılan ödünleşmelerine dayanarak hangi teknolojilerin çevreleri için uygun olabileceğini değerlendirmelerine yardımcı olur.

Belge, endüstriyel siber güvenlik konusunda yeni olan ve endüstriyel ortamları güvence altına almanın gerçekleri hakkında bazı rehberlik ve içgörü gerektirenler için özellikle faydalı olacaktır!

Siber güvenlik ihtiyaçlarımız için onlarca yıldır normal BT içinde risk değerlendirmeleri yapıyoruz. İşletme ile iletişim kurmamıza ve siber güvenlik yatırımlarına öncelik vermemize yardımcı olur.

IEC 62443-3-2 Güvenlik Risk Değerlendirmesi ve Sistem Tasarımı, Endüstriyel Otomasyon ve Kontrol Sistemlerini Yöneten Kuruluşlara (IACS) çeşitli avantajlar getirir:

1. Yapılandırılmış, tekrarlanabilir süreç

  • IACS ortamlarındaki güvenlik risklerini değerlendirmek için açık bir metodoloji sağlar.
  • Geçici karar almayı azaltır ve projeler ve siteler arasında tutarlılık sağlar.

2. Odaklı Güvenlik Yatırımları

  • Bölgeler ve Kalanlar Yaklaşımı, yüksek riskli alanlara öncelik vermenizi sağlar.
  • Düşük riskli varlıkların aşırı korunması veya kritik olanların korunması için kaynakların israfını önler.

3. Riske dayalı karar verme

  • Güvenlik önlemlerini doğrudan risk seviyelerine bağlayarak “kontrol listesi” güvenliğinden kaçınır.
  • Siber güvenliği iş ve operasyonel önceliklerle hizalar.

4. Paydaşlar arasında gelişmiş iletişim

  • Bir ortakVarlık sahipleri, sistem entegratörleri, tedarikçiler ve düzenleyiciler için MMON dili.
  • Tasarım ve tedarik sırasında yanlış anlamaları azaltır.

5. uyumluluk ve sertifikasyonu destekler

  • Daha geniş IEC 62443 çerçevesi ve uluslararası siber güvenlik beklentileri ile uyumludur.
  • Denetimler, ihaleler ve düzenleyici incelemelerde kanıt olarak hizmet edebilir.

6. Yaşam döngüsü güvenliği ile entegrasyon

  • Sistem tasarım sürecinin başlarında risk değerlendirmesini yerleştirerek tasarıma göre güvenlik yaklaşımına uyar.
  • Güvenliğin sonradan düşünülmesi değil, temel bir tasarım parametresi sağlar.

Risk değerlendirmelerine sıklıkla bakılır, ancak işletme ve paydaşlarla iletişimin faydaları göz ardı edilmemelidir! Aşağıdaki şekle riski ve endüstriyel ortamda riski değerlendirmek için tipik bir iş akışı görülebilir.

Bu belge doğrudan IEC 6243-3-2 belgesine beslenir, çünkü gereksinimler ve güvenlik seviyeleri risk değerlendirmeleri yapmak için temeldir.

Amacı, IEC 62443-3-2 kullanılarak daha önce belirlendiği gibi, belirli bir güvenlik seviyesine (SL) ulaşmak için bir endüstriyel otomasyon ve kontrol sisteminin (IACS) karşılanması gereken ayrıntılı teknik siber güvenlik gereksinimlerini tanımlamaktır.

Endüstriyel otomasyon ve kontrol sistemleri (IACS) için sistem düzeyinde güvenlik gereksinimlerini tanımlayan standart olan IEC 6244333 içeriğinin dökümü:

1. Temel gereksinimler

Belge, ayrıntılı sistem düzeyinde gereksinimleri düzenleyen temel gereksinimler olarak bilinen yedi temel kategoriyi tanımlamaktadır:

  1. Kimlik ve Kimlik Doğrulama Kontrolü (IAC)
  2. Kontrolü Kullan (UC)
  3. Sistem Bütünlüğü (SI)
  4. Veri Gizliliği (DC)
  5. Kısıtlı Veri Akışı (RDF)
  6. Olaylara Zamanında Yanıt (TRE)
  7. Kaynak Kullanılabilirliği (RA

2. Sistem Gereksinimleri (SRS) ve Gereksinim Geliştirmeleri

  • Her FR, sistem gereksinimlerine ayrılmıştır – özel, teknik -aGüvenlik işlevselliğine ulaşmak için tasarlanmış ifadeler.
  • Bazı SR’ler, daha yüksek güvenlik seviyeleri için ek, isteğe bağlı önlemler – gereksinim artışlarını içerir.

3. Güvenlik seviyeleri

IEC 6244333 tanımlar Güvenlik seviyeleri (SLC Sistemler için) bu, sistemin saldırgan yeteneğine dayalı esnekliğini gösterir:

  • SL 0: Belirli bir koruma gerekmez.
  • SL 1: Sıradan veya tesadüfi kötüye kullanıma karşı protesto.
  • SL 2–4: Kasıtlı tehditlere karşı giderek daha sağlam gereksinimler; SL 4, son derece sofistike ve iyi kaynaklı rakipler içindir.
    Bu, değerlendirilen risk ve tehdit profiline dayalı sistemlerin seçilmesini ve test edilmesini sağlar.

4 Güvenlik seviyelerini gereksinimlere bağlamak

  • SR’ler (ve RES) her SL’ye eşleştirilir: SL ne kadar yüksek olursa, o kadar katı veya ek önlemler gereklidir.
  • Sistemler karşılaştırılarak değerlendirilir:
    • SLT (Hedef SL): Risk Değerlendirmesinden Gerekli Güvenlik Düzeyi (IEC 6244332)
    • SLC (Yetenek SL): Sistemin elde edebileceği seviye
    • SLA (başarılan SL): Gerçekten uygulanan seviye

Bu haritalama, ek telafi önlemleri veya yeniden tasarımlarının gerekli olup olmadığını gösterir.

Tüm bunlar doğrudan görünebilir, ancak zaten mevcut bir endüstriyel ortamda güvenlik seviyelerini uygulamayı amaçlayan herhangi bir proje çok ciddiye alınmalıdır, çünkü zaten tamamen işleyen bir ortamı etkileyebilir.

Bunu yapmak, yeni ortamlar oluştururken veya çeşitli otomasyon sistemini yükseltirken daha yeni sürümlere ve donanıma çok daha kolay olacaktır.

IEC 62443-3 serisinin bir parçası olan belgeler, endüstriyel bir ortamda siber güvenlik için risk değerlendirmeleri ve güvenlik seviyeleri tasarlamamıza ve uygulamamıza yardımcı olan önemli operasyonel belgelerdir.

Serinin bir sonraki makalesi IEC 62443-4 serisindeki belgeye bakacak:

  • IEC 62443-4-1 Güvenli Ürün Geliştirme Yaşam Döngüsü Gereksinimleri
  • IEC 62443-4-2 IACS bileşenleri için teknik güvenlik gereksinimleri

Bu belgeler, esas olarak, PLC’ler veya SCADA sistemleri gibi endüstriyel ortamlar için gizmos üreten çeşitli satıcılara yöneliktir. Böyle bir varlık olmasanız bile, bu belgeler hakkında bilgi sahibi olmak, endüstriyel sistemleriniz için seçtiğiniz satıcıya verebileceğiniz gereksinimlerde size yardımcı olabilir!

Dostça yazdır, PDF ve E -posta



Source link