Co to jest IEC/ISA 62443-3-3:2013? Cyberbezpieczeństwo i zgodność z przepisami

Międzynarodowe Towarzystwo Automatyki (ISA) i Międzynarodowa Komisja Elektrotechniczna (IEC) rozpoczęły tworzenie serii norm 62443 w 2002 roku. Seria, która obejmuje IEC/ISA 62443-3-3, była początkowo określana jako seria ISA99 i zawierała normy bezpieczeństwa systemów automatyki przemysłowej i sterowania (IACS) stworzone zgodnie z wytycznymi American National Standards Institute (ANSI)

Norma IEC/ISA 62443-3-3: 2013 definiuje wymagania systemowe (SR) i rozszerzenia wymagań (RE) niezbędne do spełnienia podstawowych wymagań (FR) i zasad wymienionych w części 1:1 serii norm 62443.

Czytaj dalej, aby dowiedzieć się więcej o normie IEC 62443-3-3 i o tym, jak Twoja organizacja może zintegrować różne standardy bezpieczeństwa, aby zachować zgodność z FR serii 62443.

Dowiedz się, jak UpGuard pomaga organizacjom bronić się przed cyberzagrożeniami>

Wymagania bezpieczeństwa systemu ISA/IEC i zasady bezpieczeństwa

Normy ISA/IEC 62443 wymagają od organizacji wdrożenia kilku zasad cyberbezpieczeństwa w celu zapewnienia zgodności z FR tej serii. Te zasady cyberbezpieczeństwa obejmują:

  • Najmniejsze uprawnienia: praktyka ograniczania praw dostępu, dostępu do konta i mocy obliczeniowej użytkownika na podstawie jego roli i dostępu potrzebnego do wykonywania obowiązków zdefiniowanych przez rolę
  • Ochrona w głąb: Ta zasada pozwala organizacjom opóźniać lub zapobiegać wpływowi cyberataków na infrastrukturę krytyczną poprzez dzielenie systemów na "strefy", które komunikują się ze sobą za pośrednictwem "kanałów"
  • Analiza ryzyka: proces identyfikacji i oceny potencjalnych zagrożeń i ryzyka, które mogą negatywnie wpłynąć na system lub organizację, poprzez wykorzystanie metodologii, praktyk i środków zaradczych oceny ryzyka
  • Kompensacyjne środki bezpieczeństwa: Komponenty IACS często nie spełniają wymagań poziomów bezpieczeństwa ISA, a kompensacyjne środki bezpieczeństwa IACS są niezbędne do ułatwienia rozwiązań i zwiększenia możliwości bezpieczeństwa
  • Strefy i kanały: Seria 62443 zaleca architekturę systemu, która odwołuje się do ISA95 i wykorzystuje kilka stref i kanałów

Najważniejsze publikacje z serii 62443

Seria 62443 dzieli się na cztery części: moduły dotyczące tematów ogólnych, zasad i procedur, systemów oraz komponentów i wymagań.

  • IEC 62443-1-1 (Koncepcje i moduły): Część 1:1 z 62443 przedstawia koncepcje procesów przemysłowych (w tym FR) stosowane w całej serii i modułach wchodzących w skład serii.
  • IEC 62443-2-1 (Wymagania programu bezpieczeństwa dla właścicieli aktywów IACS): ISA-62443-2-1 pomaga dostawcom produktów i operatorom rozwiązań automatyzacji oraz określa procedury bezpieczeństwa, których właściciele powinni przestrzegać podczas obsługi systemu zarządzania bezpieczeństwem sieci IACS.
  • IEC 62443-2-4 (Wymagania dla dostawców usług IACS): Część 2:4 zawiera 12 sekcji, które definiują wymagania dla integratorów IACS.
  • IEC 62443-3-2 (Ocena ryzyka bezpieczeństwa i projektowanie systemu): Część 3:2 ustanawia docelowe poziomy bezpieczeństwa (SL-T) dla zalecanych stref i kanałów oraz dokumentuje wymagania bezpieczeństwa dotyczące projektowania systemu.
  • IEC 62443-4-1 (Wymagania dotyczące bezpiecznego cyklu rozwoju produktu): Część 4:1 jest podzielona na osiem bezpiecznych praktyk cyklu życia rozwoju i zawiera wymagania dotyczące testowania funkcji bezpieczeństwa, zarządzania poprawkami, zarządzania lukami w zabezpieczeniach itp.
  • ISA/IEC 62443-4-2 (Wymagania techniczne dotyczące zabezpieczeń komponentów IACS): Część 4:2 zawiera wymagania techniczne dotyczące komponentów systemu i urządzeń wbudowanych oraz definiuje typowe ograniczenia zabezpieczeń komponentów (CCSC).

ISA/IEC 62443-3-3

Część 3:3 serii norm ISA/IEC 62443 określa SR, które organizacje muszą wdrożyć, aby osiągnąć FR wymienione w części 1:1. Każdy FR ma zastosowanie na pięciu poziomach zabezpieczeń (SL), których użytkownicy mogą przestrzegać w zależności od wyników analizy ryzyka i protokołów zarządzania lukami w zabezpieczeniach.

Pięć SL dla każdego FR to:

  • Poziom 0: Nie są wymagane żadne specjalne zabezpieczenia
  • Poziom 1: Ochrona potrzebna w przypadku przypadkowych lub przypadkowych zdarzeń
  • Poziom 2: Ochrona wymagana dla celowych lub złośliwych użytkowników korzystających z ograniczonych zasobów, umiejętności niskiego poziomu i niskiej motywacji
  • Poziom 3: Ochrona wymagana dla celowych lub złośliwych użytkowników korzystających z umiarkowanych zasobów, ukierunkowanych umiejętności i umiarkowanej motywacji
  • Poziom 4: Ochrona wymagana dla celowych lub złośliwych użytkowników korzystających z zaawansowanych zasobów, wyrafinowanych umiejętności i wysokiej motywacji

Te pięć SL pozwala organizacjom dostosować zabezpieczenia do ich konkretnych potrzeb, wymagań i postrzeganej złożoności potencjalnych zagrożeń.

Wizualna reprezentacja pięciu poziomów zabezpieczeń (SL) serii 62443.

Wymagania podstawowe i wymagania systemowe 62443-3-3

Filtry FR serii 62443 zawierają międzynarodowe standardy zapewniające bezpieczeństwo informacji i chroniące technologię operacyjną. 62443-3-3 pomaga użytkownikom zachować zgodność z następującymi siedmioma FR:

  • FR 1: Identyfikacja, kontrola uwierzytelniania i kontrola dostępu (AC)
  • FR 2: Użyj kontroli (UC)
  • FR 3: Integralność systemu (SI)
  • FR 4: Poufność danych (DC)
  • FR 5: Ograniczony przepływ danych (RDF)
  • FR 6: Szybkie reagowanie na zdarzenia (TRE)
  • FR 7: Dostępność zasobów (RA)

Wymagania systemowe FR 1

Pierwsze podstawowe wymaganie serii 62443 koncentruje się na identyfikacji, kontroli uwierzytelniania i kontroli dostępu (AC). Poniżej przedstawiono wymagania systemowe niezbędne do zapewnienia zgodności z FR zgodnie z częścią 3:3.

  • 1.1 Identyfikacja i uwierzytelnianie użytkownika: Wszyscy użytkownicy sieci ludzkiej powinni być jednoznacznie zidentyfikowani i uwierzytelnieni
  • 1.2 Proces oprogramowania oraz identyfikacja i uwierzytelnianie urządzenia: Wszystkie urządzenia powinny być identyfikowane i uwierzytelniane przez bezpieczne interfejsy systemowe
  • 1.3: Zarządzanie kontami: System powinien być w stanie obsłużyć maksymalną przepustowość użytkownika i wygodnie zarządzać wszystkimi kontami użytkowników
  • 1.4: Zarządzanie identyfikatorami: System musi obsługiwać wszystkie identyfikatory użytkowników, grup, ról i interfejsów
  • 1.5: Zarządzanie tokenem uwierzytelniającym: Użytkownicy muszą mieć wdrożone procedury i system zarządzania tokenem uwierzytelniającym, aby zapewnić, że hasła są unikatowe
  • 1.6: Zarządzanie dostępem bezprzewodowym: System musi być w stanie zidentyfikować i uwierzytelnić wszystkich użytkowników sieci bezprzewodowej
  • 1.7: Siła uwierzytelniania opartego na hasłach: System musi być w stanie wyegzekwować minimalne wymagania dotyczące haseł
  • 1.8: Certyfikaty infrastruktury klucza publicznego (PKI): Certyfikaty powinny weryfikować posiadaczy kluczy i zapewniać, że są one legalne
  • 1.9: Siła uwierzytelniania kluczem publicznym: System musi być w stanie wymusić minimalne wymagania dotyczące infrastruktury kluczy publicznych
  • 1.10: Informacja zwrotna od wystawcy uwierzytelnienia: System nie powinien wyświetlać znaków hasła wpisanego przez użytkownika
  • 1.11: Nieudane próby logowania: IACS powinien zezwalać tylko na określoną liczbę nieudanych prób logowania i ustawiać czasy blokady w przypadku niepowodzenia uwierzytelniania
  • 1.12: Powiadomienie o użyciu systemu: System powinien wyświetlać komunikaty o użyciu, które ostrzegają przed nieautoryzowanym użyciem i zabraniają nagrywania użytkowania
  • 1.13: Dostęp za pośrednictwem niezaufanych sieci: Zgodne z IACS powinny mieć możliwość kontrolowania dostępu z niezaufanych sieci

Wymagania systemowe FR 2

Drugi FR z serii 62443 dotyczy kontroli użytkowania (UC). Oto wymagania systemowe wymienione w ISA 62443-3-3:

  • 2.1: Wymuszanie autoryzacji: System powinien być w stanie wymusić autoryzację na wszystkich użytkownikach, rolach i parametrach
  • 2.2: Kontrola korzystania z sieci bezprzewodowej: Sieci bezprzewodowe systemu powinny monitorować i egzekwować ograniczenia dotyczące zdarzeń dostępu zdalnego przy użyciu branżowych praktyk bezpieczeństwa
  • 2.3. Sterowanie za pomocą urządzeń przenośnych i mobilnych: Kontrolerzy muszą zaprojektować system IACS w taki sposób, aby umożliwiał monitorowanie i kontrolowanie korzystania z urządzeń przenośnych i mobilnych
  • 2.4: Kod mobilny: Każdy kod pobrany spoza systemu powinien zostać zweryfikowany, aby zapobiec manipulacjom i złośliwym działaniom
  • 2.5: Blokada sesji: IACS nie powinien używać blokad sesji do zarządzania funkcjami krytycznymi
  • 2.6: Zakończenie sesji zdalnej: System powinien być w stanie zakończyć sesje zdalne po braku aktywności lub po zainicjowaniu takiej akcji przez użytkownika
  • 2.7: Kontrola sesji równoczesnych: Sesje równoczesne powinny być zarządzane i kontrolowane w oparciu o standardy autoryzacji użytkowników
  • 2.8: Zdarzenia możliwe do inspekcji: Systemy sterowania powinny być w stanie rejestrować zdarzenia podlegające audytowi w dzienniku systemowym
  • 2.9: Przeprowadź inspekcję pojemności pamięci masowej: Pojemność pamięci masowej systemu powinna być wystarczająco duża, aby przechowywać wymagane dzienniki audytu
  • 2.10: Reagowanie na niepowodzenia przetwarzania audytu: System powinien ostrzegać operatorów i kontynuować dostęp do podstawowych funkcji w przypadku niepowodzeń przetwarzania audytu
  • 2.11: Znaczniki czasu: Wszystkie rekordy inspekcji powinny wykorzystywać znaczniki czasu

Wymagania systemowe FR 3

Trzeci FR 62443-3-3 dotyczy kontroli integralności systemu. Oto wymagania systemowe dla FR 3:

  • 3.1: Integralność komunikacji: Informacje przesyłane do i z systemu powinny być chronione za pomocą rozwiązań wewnętrznych i zewnętrznych
  • 3.2: Ochrona przed złośliwym kodem: IACS powinien wykorzystywać rozwiązania antywirusowe w celu ochrony przed złośliwym kodem
  • 3.3: Weryfikacja funkcjonalności zabezpieczeń: Podczas faz testów i procedur konserwacyjnych IACS powinien weryfikować wszystkie funkcje zabezpieczeń i zgłaszać wszystkie odchylenia
  • 3.4: Integralność oprogramowania i informacji: Rozwiązanie SIEM powinno wykrywać, rejestrować, raportować i chronić informacje w spoczynku
  • 3.5: Walidacja danych wejściowych: System IACS powinien walidować wszystkie dane wejściowe, które mają bezpośredni wpływ na system sterowania i wszystkie dane wejściowe procesu
  • 3.6: Deterministyczne wyjście: Wyjścia muszą powrócić do wstępnie zdefiniowanego stanu, gdy IACS nie może osiągnąć normalnego działania
  • 3.7: Postępowanie z błędami: IACS powinien szybko reagować i szybko usuwać błędy
  • 3.8: Integralność sesji: System musi mieć możliwość odrzucania nieprawidłowych identyfikatorów sesji i instalowania protokołów opartych na sesjach
  • 3.9: Ochrona informacji audytowych: Informacje audytowe powinny być szyfrowane w celu ochrony podczas transmisji i spoczynku

Wymagania systemowe FR 4

Podstawowy wymóg 4 zapewnia, że systemy regulowane przestrzegają najlepszych praktyk w zakresie poufności danych. Oto wymagania systemowe dla FR 4:

  • 4.1: Poufność informacji: Informacje poufne powinny być chronione zarówno w spoczynku, jak i podczas przesyłania
  • 4.2: Trwałość informacji: System powinien być w stanie odzyskać informacje i dane z przeszłości w kolejnych sesjach
  • 4.3: Wykorzystanie kryptografii: Wszystkie algorytmy kryptograficzne używane przez system powinny być zgodne z najlepszymi praktykami branżowymi (w tym algorytmami używanymi do tworzenia kopii zapasowych)

Wymagania systemowe FR 5

FR 5 ogranicza sposób, w jaki przepływ danych może odbywać się w organizacji IACS. Oto wymagania systemowe dla FR 5:

  • 5.1: Segmentacja sieci: Personel powinien w miarę możliwości izolować segmenty sieci i wdrażać oceny ryzyka w celu zmniejszenia ryzyka incydentu cybernetycznego
  • 5.2: Ochrona granic strefy: Protokoły dostępu do sieci powinny być wymuszane w celu zainstalowania zabezpieczeń na granicach strefy
  • 5.3: Ogólne ograniczenia w komunikacji między osobami: IACS powinien mieć możliwość zapobiegania wysyłaniu wiadomości w przypadku złośliwego ataku
  • 5.4: Partycjonowanie aplikacji: Aplikacje powinny być partycjonowane na podstawie krytyczności i w sposób, który implementuje akceptowany w branży model podziału na strefy

Wymagania systemowe FR 6

Szóste podstawowe wymaganie serii 62443 gwarantuje, że operatorzy IACS instalują standardy szybkiego reagowania na zdarzenia w trakcie procesu rozwoju. Oto SR dla FR 6:

  • 6.1: Dostępność dziennika audytu: System powinien udzielać tylko autoryzowanym użytkownikom dostępu tylko do odczytu do dzienników inspekcji i nie może modyfikować dzienników
  • 6.2: Ciągłe monitorowanie: Personel powinien zainstalować protokoły ciągłego monitorowania, aby zapewnić ciągłą świadomość i wspierać decyzje dotyczące ryzyka

Wymagania systemowe FR 7

Ostatnim podstawowym wymaganiem serii 62443 są protokoły do zarządzania dostępnością zasobów. Oto SR wymienione w IEC 62443-3-3 dla FR 7:

  • 7.1: Ochrona przed atakami DoS: IACS powinien działać w określonym trybie awaryjnym, gdy dojdzie do ataku typu "odmowa usługi"
  • 7.2: Zarządzanie zasobami: Standardy systemowe powinny zarządzać alokacją zasobów i zapobiegać ich wyczerpaniu
  • 7.3: Kopia zapasowa systemu sterowania: Aktualne kopie zapasowe powinny być zawsze dostępne, aby umożliwić pełne odzyskanie systemu w przypadku awarii systemu
  • 7.4. Odzyskiwanie i odtwarzanie systemu sterowania: Przepływy pracy systemu powinny zapewniać, że system może szybko i skutecznie powrócić do bezpiecznego stanu
  • 7.5: Zasilanie awaryjne: Przełączenie systemu IACS z zasilania standardowego na awaryjne nie powinno mieć wpływu na stany zabezpieczeń i tryby awaryjne
  • 7.6: Ustawienia konfiguracji sieci i zabezpieczeń: IACS powinien być zgodny z najlepszymi praktykami branżowymi w zakresie bezpieczeństwa sieci
  • 7.7: Najmniejsza funkcjonalność: Niepotrzebne funkcje powinny być ograniczane i zarządzane w celu ochrony zasobów podczas incydentów związanych z bezpieczeństwem
  • 7.8: Inwentaryzacja elementów systemu sterowania: IACS powinien utrzymywać i zarządzać zaktualizowanym spisem wszystkich elementów systemu sterowania

Jak zachować zgodność ze standardami bezpieczeństwa ISA

Każda organizacja zainteresowana przestrzeganiem standardów bezpieczeństwa ISA z serii 62443 musi podzielić się odpowiedzialnością między działami. Seria 62443 wymaga od kluczowych interesariuszy cyberbezpieczeństwa współpracy i zapewnienia, że wszystkie komponenty ich IACS chronią przed zagrożeniami cybernetycznymi i lukami w zabezpieczeniach.

Ludzie, standardy, wskaźniki cyberbezpieczeństwa i kultura organizacji będą odgrywać kluczową rolę w przestrzeganiu podstawowych i systemowych wymagań zawartych w całej serii 62443. Serial wykorzystuje również podstawowe filary NIST Cybersecurity Framework (NIST CSF), z którymi specjaliści IT i cyberbezpieczeństwa są zazwyczaj lepiej zaznajomieni.

Główne zasady NIST CSF obejmują:

  • Odkrywanie: Personel powinien regularnie monitorować i oceniać wszystkie komponenty systemu, aby przewidywać, identyfikować i zapobiegać zagrożeniom systemowym i złośliwym działaniom
  • Segment: W miarę możliwości systemy powinny być podzielone na segmenty, aby złagodzić wpływ, jaki cyberataki i incydenty związane z bezpieczeństwem mogą mieć na system
  • Wykrywanie: Personel powinien instalować procedury i protokoły w celu ciągłego wykrywania nowych luk w zabezpieczeniach i zagrożeń w całym systemie
  • Reagowanie: Organizacje powinny korzystać z planów reagowania na incydenty i ciągłości działania, aby przyspieszyć zarządzanie incydentami i naprawę systemu

Rozwiązania UpGuard w zakresie cyberbezpieczeństwa mogą pomóc organizacjom spełnić wiele wymagań systemowych ISA 62443-3-3. Jednocześnie UpGuard BreachSight i Vendor Risk mogą pomóc użytkownikom w krytycznych koncepcjach cyberbezpieczeństwa, w tym zarządzaniu powierzchnią ataku, zarządzaniu ryzykiem dostawców, reagowaniu na incydenty, bezpieczeństwie sieci itp.

Pełne funkcje BreachSight i Vendor Risk obejmują:

  • Wykrywanie wycieków danych: Chroń reputację swojej marki, własność intelektualną i dane klientów dzięki szybkiemu wykrywaniu wycieków danych
  • Ciągłe monitorowanie: otrzymuj aktualizacje w czasie rzeczywistym i zarządzaj narażeniem na całej powierzchni ataku, w tym domenami, adresami IP, aplikacjami, punktami końcowymi, wtyczkami i zaporami
  • Zmniejszanie obszaru podatnego na ataki: Zmniejsz obszar podatny na ataki, wykrywając możliwe do wykorzystania luki w zabezpieczeniach i domeny zagrożone typosquattingiem
  • Współdzielony profil zabezpieczeń: Utwórz profil udostępniony przez funkcję UpGuard, aby wyeliminować kłopoty z odpowiadaniem na kwestionariusze zabezpieczeń
  • Przepływy pracy i zwolnienia: Usprawnij przepływy pracy korygowania, szybko zrezygnuj z ryzyka i reaguj na zapytania dotyczące zabezpieczeń
  • Raportowanie i szczegółowe informacje: uzyskuj dostęp do raportów dostosowanych do potrzeb różnych interesariuszy i wyświetlaj informacje o zewnętrznej powierzchni ataku
  • Kwestionariusze bezpieczeństwa dostawców: Zautomatyzuj kwestionariusze bezpieczeństwa, aby uzyskać głębszy wgląd w relacje z dostawcami i stan zabezpieczeń innych firm
  • Oceny bezpieczeństwa: Oceń stan zabezpieczeń poszczególnych dostawców, korzystając z naszych opartych na danych, obiektywnych i dynamicznych ocen zabezpieczeń
  • Oceny ryzyka: Usprawnij przepływy pracy oceny ryzyka, zbieraj dowody i szybko żądaj środków zaradczych

Powiązane artykuły