PECB ISA/IEC 62443 – Bezpečnost IACS

Co je ISA/IEC 62443?

Řada norem ISA/IEC 62443 představuje jedinou celosvětově konsensuální ucelenou sadu norem zaměřenou na zabezpečení průmyslových automatizačních a řídicích systémů (IACS). Toto portfolio norem a technických zpráv, jejichž autory jsou společně Mezinárodní společnost pro automatizaci (ISA) a Mezinárodní elektrotechnická komise (IEC), zavádí jednotný slovník, model rizik a kontrolní rámec pro průmyslovou kybernetickou bezpečnost v různých odvětvích, včetně výroby, energetiky, automatizace budov, zdravotnických prostředků a dopravy.

Norma ISA/IEC 62443 se zabývá celým životním cyklem bezpečnosti průmyslových systémů, od počátečního posouzení rizik a bezpečného návrhu přes integraci a provoz až po průběžnou údržbu a zlepšování. Tato řada uznává, že odolnost IACS je sociálně-technická záležitost zahrnující technologii, kompetence personálu a organizační procesy.

Řada ISA/IEC 62443 poskytuje víceúrovňový kontrolní rámec pro zabezpečení systému IACS. Její struktura zahrnuje čtyři hlavní kategorie, avšak s jasně definovanými dílčími částmi a toky požadavků:

  • Část 1 stanoví společný lexikon, základní požadavky a referenční modely (zóny, kanály, úrovně zabezpečení), které jsou základem celé řady norem.
    • Část 1-1 představuje koncepty a modely používané v celé sérii.
  • Část 2 definuje, jak musí vlastníci aktiv a poskytovatelé služeb řídit, implementovat a udržovat programy průmyslové kybernetické bezpečnosti.
    • Část 2-1 definuje, jak musí vlastníci aktiv zavést a implementovat účinný program řízení kybernetické bezpečnosti IACS, který tvoří základ pro všechny ostatní normy.
    • Část 2-3 obsahuje pokyny k procesům správy záplat pro snížení zranitelností v systému IACS.
    • Část 2-4 předepisuje požadavky na poskytovatele integračních a údržbových služeb podporujících životní cyklus IACS.

Část 2 je zásadní pro zavedení řízení, politik a procesů neustálého zlepšování, které řídí navazující technické požadavky a požadavky na zadávání veřejných zakázek.

  • Část 3 převádí programovou politiku do návrhu a technických kontrol na úrovni systému.
    • Část 3-2 vede vlastníky aktiv a systémové integrátory k rozdělení SuC do zón a kanálů, vyhodnocení rizik a zaznamenání cílových úrovní zabezpečení (SL-T) a opatření do specifikace požadavků na kybernetickou bezpečnost.
    • Část 3-3 definuje bezpečnostní požadavky na systém spojené s každou úrovní zabezpečení, aby bylo zřejmé, čeho musí IACS dosáhnout.

Část 3 je klíčová pro zajištění architektury a integrace automatizačních řešení „secure by design“.

  • Část 4 specifikuje postupy vývoje dodavatelů i technické požadavky na úrovni komponent.
    • Část 4-1 vyžaduje, aby dodavatelé výrobků zavedli a udržovali bezpečný životní cyklus vývoje (SDL) pro řídicí systémy a součásti.
    • Část 4-2 definuje technické bezpečnostní schopnosti, které musí poskytovat jednotlivé komponenty (řídicí jednotky, vestavěná zařízení, softwarové moduly).

Část 4 vytváří základ pro zadávání veřejných zakázek a certifikaci dodavatelů součástí, který je v souladu s potřebami na úrovni systému.

Proč je zabezpečení systému IACS důležité?

Průmyslové automatizační řídicí systémy (IACS) a sítě provozních technologií (OT) mají pro moderní průmysl zásadní význam, protože ovlivňují nejen provoz v závodě, ale i celkovou výkonnost podniku. Kromě zvýšení efektivity výroby zvyšují flexibilitu, škálovatelnost a konkurenceschopnost a zároveň zajišťují, aby byl podnik připraven na budoucí výzvy. Na tyto systémy spoléhají i kritická průmyslová odvětví, jako jsou chemické závody a výroba energie, aby se zabránilo narušení provozu a potenciálním nebezpečím.

Tím, že se zabývá celým životním cyklem zabezpečení, od posouzení rizik a bezpečného návrhu až po integraci, provoz a průběžnou údržbu, zajišťuje norma ISA/IEC 62443 odolnost systémů IACS nejen z technického, ale i organizačního a sociálního hlediska.

Jaké jsou výhody certifikace PECB ISA/IEC 62443?

  • Aplikovat rámec ISA/IEC 62443 pochopením jeho struktury, termínů a základních pojmů v reálném průmyslovém prostředí.
  • Provádět hodnocení rizik IACS segmentací systémů, stanovením cílových úrovní zabezpečení (SL-T) a dokumentací požadavků.
  • Navrhování a implementace bezpečných systémů integrací kontrolních mechanismů „secure by design“ podle požadavků na systém a komponenty.
  • Udržování a zlepšování zabezpečení systému IACS správou oprav, aktualizací a postupů životního cyklu.
  • Posuzování dodavatelů a poskytovatelů služeb na základě hodnocení výrobků a služeb podle požadavků 62443.
  • Přizpůsobení zabezpečení IT kontextu OT použitím kontrolních mechanismů při zachování bezpečnosti a dostupnosti.
  • Komunikace mezi zúčastněnými stranami pomocí sdíleného jazyka standardů s vlastníky, integrátory a dodavateli.
  • Ověřte své odborné znalosti prokázáním nezávislé, celosvětově uznávané kompetence v oblasti průmyslové kybernetické bezpečnosti.

Jak se vzdělávání IACS začít?

Pokud chcete získat uznávané odborné znalosti v oblasti kybernetické bezpečnosti průmyslové automatizace a řídicích systémů, odborníci společnosti KRUCEK vám pomohou zvýšit vaše odborné znalosti a zjednodušit certifikační proces, abyste mohli získat požadovaný certifikát.

Související aplikace

Vyberte úroveň kurzu

1

Lead Implementer

Více informací o zabezpečení IACS získáte na školení PECB ISA/IEC 62443 Lead Implementer.

Více