Endüstriyel siber güvenlik için IEC 62443 standardı serisine tekrar hoş geldiniz. Bu üçüncü bölümde, dördüncü belgenin veya IEC 62443-4 serisindeki belgelerin parçası olan belgeler incelenecektir.
Bu belge dizisi, endüstriyel altyapıdaki aygıtları üreten ve destekleyen satıcılara yöneliktir. IEC 62443-3 serisindeki belge dizileri gibi, bu belgeler de bize yazılım geliştirme ve otomasyon ve bunların gereksinimleri konusunda rehberlik sağlıyor.
|
Yukarıdaki tabloda yer alan dokümanların başlıklarından da görebileceğiniz gibi artık PLC’ler gibi endüstriyel bir altyapıdaki çeşitli bileşenlerin geliştirilmesine ve güvenliğinin sağlanmasına odaklanan IEC 62443 standardındayız.
IEC 62443-4 serisinin parçası olan belgelerle ilgili önceki makalelerde olduğu gibi, size IEC62443-4 serisindeki belgelerin parçası olan bazı içerikler hakkında bilgi vereceğim. Bu şekilde, belgeleri ulusal standartlar kurumunuzdan satın almanın maliyeti çok az olduğundan, size en fazla değeri sağlayacak belgelere odaklanabilirsiniz.
IEC 62443-4-1’in amacı (Endüstriyel otomasyon ve kontrol sistemleri için güvenlik – Bölüm 4-1: Güvenli ürün geliştirme yaşam döngüsü gereksinimleri), IACS ürünleri tedarikçilerinin ürünleri güvenli bir şekilde nasıl geliştirmesi, sürdürmesi ve kullanımdan kaldırması gerektiğini tanımlamaktır.
IEC 62443-4-1’in içeriği
- Kapsam
- Belgenin amacını tanımlar: tedarikçilerin güvenli IACS ürünlerini geliştirmek ve sürdürmek için takip etmesi gereken süreçlere ilişkin gereksinimler.
- Belirli ürün özelliklerine değil, yaşam döngüsü süreçlerine odaklandığını açıklıyor.
- Normatif referanslar
- Bu bölümde atıfta bulunulan diğer IEC 62443 standartlarını ve ilgili belgeleri listeler.
- Terimler ve tanımlar
- Anahtar terimlerin tanımlarını sağlar (örneğin, güvenli geliştirme yaşam döngüsü, tehdit modelleme, yama, güvenlik açığı).
- Kavramlar
- Bir kavramı tanıtır Güvenli Geliştirme Yaşam Döngüsü (SDL).
- Güvenliğin ürün yaşam döngüsünün her aşamasına nasıl entegre edildiğini açıklar.
- Genel gereksinimler
- Tedarikçiler için üst düzey yükümlülükler (örneğin, belgelenmiş süreçlere sahip olmak, tekrarlanabilirliği sağlamak, roller ve sorumluluklar).
- Proses gereksinimleri (standardın özü)
IEC 62443-4-1, tedarikçilerin uygulaması gereken 8 temel uygulama (süreç alanları) etrafında oluşturulmuştur:
- Güvenlik Yönetimi
– Güvenlik politikaları, roller ve sorumluluklar oluşturun.
– Yönetimin taahhüdünü ve sürekli iyileştirmeyi sağlayın. - Güvenlik Gereksinimlerinin Belirlenmesi
– Risk ve sistem bağlamına göre ürün güvenliği gereksinimlerini tanımlayın. - Tasarım Yoluyla Güvenli
– Tehdit modellemeyi, risk değerlendirmesini ve güvenlik mimarisi ilkelerini tasarımın erken safhalarına dahil edin. - Güvenli Uygulama
– Güvenli kodlama uygulamalarını, kod incelemelerini ve statik/dinamik analizleri uygulayın. - Doğrulama ve Doğrulama Testi
– Güvenliğe özel testler yapın (örn. sızma testi, bulanıklık testi, regresyon testi). - Güvenlikle İlgili Sorunların Yönetimi
– Güvenlik açıklarının raporlanması, izlenmesi ve çözülmesine yönelik süreçleri tanımlayın. - Güvenlik Güncelleme Yönetimi
– Ürün yaşam döngüsü boyunca yamaların ve güncellemelerin zamanında teslim edilmesini sağlayın. - Güvenlik Yönergeleri
– Kullanıcılara güvenli yapılandırma, dağıtım ve bakım konusunda rehberlik sağlayın.
IEC 62443-4-1 standardının uygulama örneklerini bize sağlayan bir ek bölümü de bulunmaktadır. IEC 62443-4-1 sertifikasına sahip olmak istiyorsanız önem kazanacaktır, daha sonra bir şirketin IEC 62443’ün hangi alanlarında sertifika alabileceğini açıklayan bölüme bakın.
IEC 62443-4-2’nin amacı (Endüstriyel otomasyon ve kontrol sistemleri için güvenlik – Bölüm 4-2: IACS bileşenleri için teknik güvenlik gereksinimleri), endüstriyel otomasyon ve kontrol sistemini (IACS) oluşturan ayrı bileşenler için teknik siber güvenlik gereksinimlerini tanımlamaktır.
IEC 62443-4-1 ise süreçler tedarikçilerin güvenli ürünler geliştirmek için kullandıkları IEC 62443-4-2, teknik özellikler ve yetenekler bu ürünlerin güvenlik beklentilerini karşılaması gerekir.
IEC 62443-4-2’nin İçeriği
- Kapsam
- Amacı tanımlar: belirtmek teknik güvenlik gereksinimleri IACS bileşenleri için.
- Sistem düzeyindeki gereksinimlere dayandığını açıklar IEC 62443-3-3 ve bunları şu noktada uygular: bileşen seviye.
- Normatif referanslar
- Referans verilen standartları listeler (örn. diğer IEC 62443 parçaları, ISO/IEC standartları).
- Terimler ve tanımlar
- Önemli kavramları tanımlar (örneğin, gömülü cihaz, ana cihaz, güvenlik düzeyi).
- Kavramlar
- Nasıl olduğunu tanıtır bileşen güvenlik gereksinimleri (CR’ler) sistem gereksinimlerinden türetilmiştir.
- İle ilişkiyi açıklıyor IEC 62443-3-3.
- Dörtlüyü tanıtıyor bileşen kategorileri:
- Gömülü cihazlar
- Ana cihazlar
- Ağ cihazları
- Yazılım uygulamaları
- Genel gereksinimler
- Standardın farklı bileşen türlerine nasıl uygulanacağını belirler.
- Gereksinimlerin yapısını tanımlar: Temel Gereksinim (FR) → Bileşen Gereksinimi (CR) → Gereksinim Geliştirmeleri (RE’ler).
IEC 62443-4-2, IACS bileşenleri için 7 temel gereksinim kategorisi altında yapılandırılmış bir teknik güvenlik gereksinimleri kataloğu sağlar. Bireysel bileşenlerin (PLC’ler, HMI’lar, sunucular, güvenlik duvarları, uygulamalar vb.) sistem çapındaki güvenlik hedeflerini destekleyebilmesini ve istenilen Güvenlik Düzeyine (SL1–SL4) ulaşabilmesini sağlar.
IEC 62443 sertifikasına sahip olabilirsiniz, ancak önemli bir nüans vardır: IEC 62443’ün kendisi sertifika vermez (bu bir uluslararası standartlar dizisidir), ancak sertifika programları onun etrafında oluşturulmuştur. Farklı kuruluşlar (ISA, TÜV, ISASecure ve diğer akredite sertifikasyon kuruluşları gibi) IEC 62443 serisindeki gereklilikleri temel alan sertifikalar sunmaktadır.
IEC 62443 sertifikası bireysel bir profesyonel veya bir kuruluş/ürün olmanıza bağlı olarak birkaç farklı anlama gelebilir. IEC 62443 standardı, endüstriyel otomasyon ve kontrol sistemi (IACS) siber güvenliğini kapsar ve sertifikasyon seçenekleri üç ana kategoriye ayrılır:
1. Bireysel Sertifikalar (Kişisel Yeterlilik)
IEC 62443 hakkındaki bilgilerini göstermek isteyen profesyoneller için çeşitli eğitim ve sertifika programları mevcuttur:
- ISA/IEC 62443 Siber Güvenlik Sertifika Programı (ISA/ aracılığıyla)ISASecure / ISA Eğitimi)
- Farklı modüller için Tamamlama Sertifikaları:
- Temel Bilgiler Uzmanı
- Risk Değerlendirme Uzmanı
- Tasarım Uzmanı
- Bakım Uzmanı
- Bunlar istiflenebilir; birkaçını tamamlamak ISA/IEC 62443 Siber Güvenlik Uzmanı unvanına yol açabilir.
- Tarafından teslim edildi Uluslararası Otomasyon Derneği (ISA) ve eğitim ortakları.
- Farklı modüller için Tamamlama Sertifikaları:
- Küresel Eğitim Sağlayıcıları (EksidaTÜV RenanyaSGS-TÜV Saar, vb.)
- “Sertifikalı IEC 62443 Professional” veya benzer kimlik bilgilerini sunun.
- Tipik olarak kurs çalışmasını, sınavı ve bazen pratik alıştırmaları içerir
2. Organizasyonel / Süreç Sertifikasyonu
Şirketler süreçlerini veya hizmetlerini IEC 62443 gerekliliklerine göre belgelendirebilir.
Örnekler:
- ISASecure SDLA (Güvenli Geliştirme Yaşam Döngüsü Güvencesi): Satıcının ürün geliştirme sürecinin IEC 62443-4-1’e uygun olduğunu onaylar.
- ISASecure SSA (Sistem Güvenliği Güvencesi): IEC 62443-3-3’e uygun otomasyon sistemleri için.
- ISASecure CSA (Bileşen Güvenlik Güvencesi): Gömülü cihazlar/bileşenler için, IEC 62443-4-2 ile uyumlu.
Bu sertifikalar akredite belgelendirme kuruluşları (örneğin TÜV, exida, Bureau Veritas, UL, DNV, SGS) tarafından verilmektedir.
3. Ürün Sertifikasyonu
Endüstriyel kontrol ürünleri satıcıları kendi sertifikalı cihazlar, uygulamalar veya sistemler IEC 62443 gerekliliklerine uygunluk için.
- Güvenlik işlevleri, güvenli iletişim, kullanıcı yönetimi, sağlamlık testi gibi hususları kapsar.
- Sertifikasyon programları ISASecure ve TÜV/UL eşdeğerlerini içerir.
Sertifikalı olmanın hem bireyler hem de kuruluşlar için birçok faydası vardır. Birey açısından bu, bir kuruluşa endüstriyel güvenlik ihtiyaçları konusunda yardımcı olacak bilgiye sahip olduğunuzu gösterir. Kuruluş açısından bu, endüstriyel altyapının ve kuruluş tarafından yapılmış olabilecek endüstriyel bileşenlerin güvenliğinin sağlanması için çaba sarf edildiğini gösterir.
Düzenleyicilerin giderek artan düzenlemeleri ve odaklanması ve İnternet’in daha kötü alanlarından endüstriyel sistemlere artan ilgi nedeniyle, altyapınızı güvence altına almaya çalıştığınızı göstermek, bir olay durumunda düzenleyicileri yatıştırmak için uzun bir yol kat edecektir.
Diğer Endüstriyel Sertifikalar
Endüstriyel siber güvenlik alanında kariyerinize fayda sağlayabilecek, IEC 62443’e değil, endüstriyel güvenliğin daha operasyonel yönlerine odaklanan başka sertifikalar da vardır. Bunlar:
GIAC ICS/OT Güvenlik Sertifikaları
- GICSP (Küresel Endüstriyel Siber Güvenlik Uzmanı)
- Muhtemelen ICS/OT için en iyi bilinen GIAC sertifikası.
- Satıcıdan bağımsız, BT, OT ve mühendislik kavramlarını kapsar.
- Varlık sahipleri ve satıcılar tarafından yaygın olarak tanınan önemli sektör uzmanlarıyla ortaklaşa geliştirildi.
- IEC 62443 ilkeleriyle (risk, bölgeler/kanallar, güvenli tasarım, işlemler) güçlü bir şekilde uyum sağlar.
- GRID (GIAC Müdahale ve Endüstriyel Savunma)
- ICS/OT ortamlarında olay müdahalesine, algılamaya ve aktif savunmaya odaklanmıştır.
- Savunma operasyonlarına odaklanıyorsanız GICSP’den sonraki iyi adım.
- GCIP (GIAC Kritik Altyapı Koruması)
- Daha uzmanlaşmış — Kuzey Amerika elektrik hizmetlerine yönelik NERC CIP standartlarıyla uyumludur.
- Güç/enerji sektöründe çalışıyorsanız değerlidir.
CompTIA’nın 2026’da gelecek olan bir OT sertifikası var, ancak sınavın içeriği hakkında henüz pek bir şey bilinmiyor, ancak daha fazla bilgi yayınlandıkça buna dikkat etmenizde fayda olabilir!
Bu serinin veya makalelerin size endüstriyel siber güvenlik için IEC 62443 standardını oluşturan birçok belge hakkında fikir verdiğini umuyorum. Bu serideki genel amacım, her bir belgenin içeriği hakkında size yeterli bilgiyi vermek ve böylece kendi durumunuzda en anlamlı olan belgelere odaklanabilmenizi sağlamaktı.
