Upptäck IEC 62443-serien för industriell cybersäkerhet, inklusive nyckelkoncept, struktur och certifiering för säkra automationssystem.
Struktur för IEC 62443
Följande bild visar strukturen och layouten för IEC 62443-standarden för säkerheten i industriella kommunikationsnätverk.
Standarden är uppdelad i sex huvudkategorier:
- Allmänt
- Policys & procedurer
- System
- Komponent
- Profiler
- Utvärdering
Varje kategori innehåller flera underpunkter som täcker olika aspekter av nätverks- och systemsäkerhet.
Serien täcker därför ett brett spektrum av ämnen, från terminologi och riskbedömning till tekniska säkerhetskrav, och tillhandahåller ett omfattande ramverk för att säkra industriell automation och styrsystem (IACS).
Status för de enskilda delarna av IEC 62443
Elementen markerade i rött i bilden utgör grunden för den nuvarande standarden. De täcker väsentliga områden, från grundläggande begrepp och terminologi till specifika tekniska krav och utvärderingsmetoder. Dessa publicerade standarder ger företag och organisationer konkret vägledning och krav för implementering och underhåll av säkra industriella automation och styrsystem.
Elementen markerade i orange i bilden representerar framtida utvidgningar och anpassningar av standarden. De visar hur IEC 62443 utvecklas vidare för att ta hänsyn till ny teknik, hot och bästa praxis inom området industriell automation och styrsystem (IACS).
Befintliga publicerade standarder
IEC 62443 omfattar redan ett antal etablerade och publicerade standarder som tillhandahåller ett robust ramverk för säkerheten i industriella kommunikationsnätverk.
| Norm | Titel | Beskrivning |
|---|---|---|
| IEC TS 62443-1-1 (Edition 1, 2009) | Industriella kommunikationsnätverk - Nätverks- och systemsäkerhet - Del 1-1: Terminologi, begrepp och modeller | Definierar terminologi, begrepp och modeller för säkerhet i industriella automation och styrsystem (IACS). |
| IEC TS 62443-1-5 (Edition 1, 2023)** | Säkerhet för industriell automation och styrsystem - Del 1-5: Schema för IEC 62443 säkerhetsprofiler | IEC 62443-1-5 etablerar ett schema för att skapa cybersäkerhetsprofiler inom IEC 62443-serien. Dessa profiler definierar specifika cybersäkerhetskrav skräddarsydda för särskilda industrier eller applikationsområden. De förenklar användningen av standardiserad terminologi och säkerställer konsekvent tolkning av cybersäkerhetsåtgärder över olika industrier. |
| **IEC 62443-2-1 (Edition 2, 2024)** | Säkerhet för industriell automation och styrsystem - Del 2-1: Säkerhetsprogramkrav för IACS tillgångsägare | Definierar de element som är nödvändiga för att etablera ett informationssäkerhetshanteringssystem (ISMS) för IACS. Denna andra utgåva ersätter den första utgåvan från 2010 och inkluderar tekniska revisioner som omstrukturering av krav, undvikande av dubblering av ett ISMS och definition av en mognadsmodell för att bedöma kraven. |
| IEC TR 62443-2-3 (Edition 1, 2015) | Säkerhet för industriell automation och styrsystem - Del 2-3: Patch-hantering i IACS-miljön | Beskriver krav för patch-hanteringsprogrammet för tillgångsägare och IACS produktleverantörer. |
| IEC 62443-2-4 (Edition 2, 2023)** | Säkerhet för industriell automation och styrsystem - Del 2-4: Säkerhetsprogramkrav för IACS tjänsteleverantörer | Specificerar omfattande krav för de säkerhetsrelaterade processer som IACS tjänsteleverantörer kan erbjuda tillgångsägare under integration och underhåll av en automationslösning. |
| IEC TR 62443-3-1 (Edition 1, 2009) | Industriella kommunikationsnätverk - Nätverks- och systemsäkerhet - Del 3-1: Säkerhetsteknologier för industriell automation och styrsystem | Tillhandahåller en aktuell bedömning av olika cybersäkerhetsverktyg och teknologier för industriell automation och styrsystem. |
| IEC 62443-3-2 (Edition 1, 2020) | Säkerhet för industriell automation och styrsystem - Del 3-2: Säkerhetsriskbedömning för systemdesign | Etablerar krav för att definiera ett System Under Consideration (SUC), bedöma risker och sätta målsäkerhetsnivåer för zoner och ledningar. |
| IEC 62443-3-3 (Edition 1, 2013) | Industriella kommunikationsnätverk - Nätverks- och systemsäkerhet - Del 3-3: Systemsäkerhetskrav och säkerhetsnivåer | Tillhandahåller detaljerade tekniska krav för systemsäkerhet som är kopplade till de sju grundläggande kraven. |
| IEC 62443-4-1 (Edition 1, 2018) | Säkerhet för industriell automation och styrsystem - Del 4-1: Krav för säker produktutvecklingslivscykel | Definierar processkrav för säker utveckling av produkter som används i industriell automation och styrsystem. |
Mer information om denna standard finns i vår artikel "Cybersäkerhet från början - IEC 62443-4-1 förklarat". | | IEC 62443-4-2 (Edition 1, 2019) | Säkerhet för industriell automation och styrsystem - Del 4-2: Tekniska säkerhetskrav för IACS komponenter | Tillhandahåller detaljerade tekniska säkerhetskrav för IACS komponenter som är kopplade till de sju grundläggande kraven. | | IEC TS 62443-6-1 (Edition 1, 2024)** | Säkerhet för industriell automation och styrsystem - Del 6-1: Säkerhetsutvärderingsmetodik för IEC 62443-2-4 | Specificerar utvärderingsmetodiken för att stödja repeterbara och reproducerbara bedömningsresultat mot kraven i IEC 62443-2-4. |
Standarder under utveckling eller revision
IEC 62443 är under kontinuerlig utveckling och förbättring för att hänga med de ständigt föränderliga kraven för industriell cybersäkerhet. Nedan tittar vi på delar av standarden som för närvarande pågår eller planeras.
| Norm | Titel | Beskrivning |
|---|---|---|
| IEC 62443-2-2 (ny) | IACS Security Program Ratings | IEC 62443-2-2 introducerar Security Program Rating (SPR) för att göra säkerhetsstatus för industriell automation och styrsystem (IACS) mätbar och harmonisera kraven från de olika delarna av standarden. Målet är att tillhandahålla en enhetlig struktur och kategorisering av säkerhetskrav. Detta uppnås genom att introducera nio säkerhetsmål som ersätter de tidigare grundläggande kraven. På lång sikt är avsikten att alla delar av IEC 62443 ska struktureras kring dessa mål för att möjliggöra en konsekvent mognadsbedömning. |
| IEC 62443-5-x (ny) | Profiler för IEC 62443 | IEC 62443-5-x hänvisar till specifika underavsnitt av IEC 62443-5-x serien som integrerar cybersäkerhetsprofilerna definierade i IEC 62443-1-5. Dessa underavsnitt beskriver detaljerade cybersäkerhetskrav relevanta för specifika industrier eller applikationsområden. De tillhandahåller ett strukturerat tillvägagångssätt för att implementera cybersäkerhetsåtgärder baserat på de standardiserade profilerna enligt IEC 62443-1-5. |
| IEC TS 62443-6-2 (ny) | Säkerhetsutvärderingsmetodik för IEC 62443 - Del 4-2: Tekniska säkerhetskrav för IACS komponenter | Denna tekniska specifikation fokuserar på utvärderingsmetodiken för de tekniska säkerhetskraven för IACS komponenter enligt Del 4-2. |
Nyckelkoncept för IEC 62443
IEC 62443 bygger på en uppsättning grundläggande koncept som utgör ryggraden för att säkra industriell automation och styrsystem (IACS). Dessa koncept löper genom alla delar av standarden och tillhandahåller ett holistiskt tillvägagångssätt för att adressera cybersäkerhetsutmaningar i industriella miljöer. De inkluderar aspekter som riskhantering, defense in depth, zoner och ledningar, samt livscykeltillvägagångssätt för säkerhet.
Genom att förstå och tillämpa dessa kärnkoncept kan organisationer utveckla en robust säkerhetsarkitektur som effektivt adresserar både nuvarande och framtida hot. I detta avsnitt undersöker vi dessa väsentliga koncept mer detaljerat och förklarar deras betydelse för den praktiska implementeringen av IEC 62443.
Uppdelning i roller
I industriell automation och styrning enligt IEC 62443 är olika roller centrala för säker och effektiv drift av system. Dessa roller inkluderar tillgångsägaren, underhållsleverantören, integrationstjänsteleverantören och produktleverantören, vars ansvar kan definieras tydligt. Var och en av dessa roller bidrar till att säkerställa att system inte bara uppfyller nuvarande tekniska krav utan också är framtidssäkra och motståndskraftiga mot störningar.
Tillgångsägare
Tillgångsägaren ansvarar för att driva IACS-miljön. De är ansvariga för effektiv och säker drift av systemet enligt definierade policys och procedurer. Denna roll inkluderar också hantering av systemlivscykeln och övervakning av underhålls- och integrationsaktiviteter för att säkerställa kontinuerlig drift.
Underhållstjänsteleverantör
Denna leverantör ansvarar för det pågående underhållet av IACS. Detta inkluderar regelbundna inspektioner, uppdateringar och reparationer som krävs för att upprätthålla systemets integritet och prestanda. Underhållsleverantören måste följa de specifika policyerna och procedurerna för systemunderhåll.
Integrationstjänsteleverantör
Integrationstjänsteleverantören designar och implementerar nya system eller uppgraderingar för befintliga system inom IACS-miljön. De ansvarar för driftsättning och validering av dessa system och måste säkerställa att de uppfyller alla driftskrav och standarder.
Produktleverantör
Produktleverantören utvecklar och stödjer komponenterna som utgör styrsystemen, inklusive mjukvaruapplikationer, inbyggda enheter, nätverksenheter och värdsystem. De måste säkerställa att deras produkter kan integreras effektivt i IACS-miljön och stödjas under hela deras livscykel.
Täckning av hela livscykeln
IEC 62443 tar hänsyn till hela livscykeln för ett industriellt automationssystem (IACS), från utveckling genom integration till drift.
Roller och ansvar enligt IEC 62443
Detta omfattande tillvägagångssätt säkerställer att cybersäkerhetsaspekter beaktas i alla faser av IACS livscykeln, från produktutveckling och systemintegration till långsiktig drift och underhåll.
Defense in depth
Konceptet defense in depth spelar en nyckelroll i IEC 62443-serien genom att främja omfattande skydd av industriella styrsystem mot olika hot. Detta tillvägagångssätt erkänner att det ofta inte är tillräckligt att uppnå säkerhetsmål med en enda skyddsåtgärd. Istället rekommenderar standarden att implementera flera överlappande säkerhetsåtgärder samtidigt. Det kräver därför etablering av säkerhetsmekanismer på olika nivåer av nätverksarkitekturen, inklusive fysisk säkerhet, nätverkssäkerhet, värdsäkerhet och applikationssäkerhet, för att adressera specifika sårbarheter och tillhandahålla ytterligare skydd om ett yttre lager bryts.
Till exempel kan intrångsdetekteringssystem användas för att upptäcka ett brandväggsbrott och utlösa ytterligare skyddsåtgärder. Om vissa säkerhetskrav inte kan uppfyllas av en komponent på egen hand, kräver IEC 62443 att lämpliga kompenserande åtgärder dokumenteras för komponenten. Detta säkerställer att säkerhetskrav uppfylls när komponenten integreras i ett större system.
Mognadsnivåer och säkerhetsnivåer
IEC 62443 definierar två viktiga koncept för bedömning av industriell automation och styrsystem (IACS): mognadsnivåer och säkerhetsnivåer.
Mognadsnivåer bedömer kvaliteten på processer hos produkttillverkare och sträcker sig från ML 1 till ML 4:
| Nivå | Namn | Definition |
| ML 1 | Initial | Tillverkaren utför typiskt produktutveckling ad hoc och ofta utan tillräcklig dokumentation. Detta kan påverka projektkontinuitet och processrepeterbarhet. |
| ML 2 | Hanterad | Tillverkaren kan kontrollera produktutveckling enligt dokumenterade policys och visa att personal är kvalificerad att utföra processen. Dock saknas erfarenheten att implementera alla skriftliga policys i produktutveckling. |
| ML 3 | Definierad / Praktiserad | Tillverkarens processer är påvisbart konsekventa och reproducerbara inom organisationen. Processerna har framgångsrikt genomförts och verifierbara bevis finns tillgängliga. |
| ML 4 | Kontinuerlig förbättring | Tillverkare använder lämpliga mått (KPI:er) för att övervaka effektivitet och prestanda och för att visa kontinuerlig förbättring. |
Säkerhetsnivåer (SL) bedömer motstånd mot hot och sträcker sig från SL 0 till SL 4:
| Nivå | Definition |
| SL 0 | Säkerhetsnivå 0 är implicit inställd och betyder att inga säkerhetskrav eller skydd är nödvändiga. |
| SL 1 | Skydd mot tillfällig eller oavsiktlig kränkning |
| SL 2 | Skydd mot en avsiktlig kränkning med enkla medel och låg ansträngning, allmänna färdigheter och låg motivation. |
| SL 3 | Skydd mot en avsiktlig kränkning med sofistikerade medel och måttlig ansträngning, IACS-specifika färdigheter och måttlig motivation |
| SL 4 | Skydd mot en avsiktlig kränkning med mycket avancerade medel och betydande ansträngning, IACS-specifika färdigheter och hög motivation |
IEC 62443 certifieringar
IEC 62443 certifieringar tillhandahåller ett strukturerat tillvägagångssätt för att säkerställa cybersäkerhet i industriella automationssystem (IACS). De täcker olika områden som organisatoriska processer, system och komponenter. Certifiering hjälper företag att förbättra cybersäkerhet, minimera risker och stärka sitt rykte.
Det finns olika certifieringsscheman, inklusive scheman ackrediterade test- och certifieringsorgan som TÜV:erna, ISASecure och IECEE CB-Scheme. Varje schema har specifika fokusområden och krav. Certifieringsprocessen inkluderar typiskt dokumentgranskningar och platsrevisioner, följt av regelbunden övervakning.
För detaljerad information om de olika certifieringsalternativen och deras betydelse, se vår djupgående artikel IEC 62443 certifieringar.
IEC 62443 utbildning
För att hjälpa företag implementera standarden finns det specialiserade IEC 62443 utbildningar. Dessa tillhandahåller den kunskap som behövs för att implementera standarden och säkra industriella styrsystem. Från grundläggande till avancerade ämnen täcker utbildningen olika aspekter. Mer detaljer om tillgängliga utbildningserbjudanden och deras innehåll finns i vår detaljerade artikel "Översikt över IEC 62443 utbildningar".
Vanliga frågor om IEC 62443
Vad är skillnaden mellan IEC 62443-4-2 och IEC 62443-4-1?
IEC 62443-4-1 och IEC 62443-4-2 kompletterar varandra men fokuserar på olika aspekter av cybersäkerhet i industriell automation och styrsystem (IACS).
IEC 62443-4-1 fokuserar på den säkra utvecklingsprocessen och hela produktlivscykeln. Den definierar krav för processer, metoder och tekniker för säker utveckling av IACS produkter. Detta inkluderar aspekter som säkerhetshantering, specifikation av säkerhetskrav, säker design och implementering, verifiering och validering, defekthantering, patch-hantering och produktens slutliv.
Däremot specificerar IEC 62443-4-2 tekniska säkerhetskrav för IACS komponenter. Den delar in dessa i fyra kategorier: inbyggda enheter, nätverkskomponenter, värdsystem och mjukvaruapplikationer. Standarden definierar gemensamma komponentsäkerhetsbegränsningar som gäller alla konforma produkter. Ett av dessa krav (CCSC 4) kräver uttryckligen en utvecklingsprocess som överensstämmer med IEC 62443-4-1.
Således kompletterar de två standarderna varandra: IEC 62443-4-1 styr processen för säker utveckling, medan IEC 62443-4-2 definierar de konkreta tekniska säkerhetsfunktioner en produkt måste ha.
Vad är skillnaden mellan ISASecure och IEC 62443?
ISASecure och IEC 62443 är nära relaterade men distinkta: IEC 62443 är en internationell serie av standarder som definierar krav och processer för IT-säkerhet i industriell automation. ISASecure, å andra sidan, är ett konkret certifieringsprogram utvecklat av ISA Security Compliance Institute (ISCI). Det baseras på kraven i IEC 62443 men går utöver dem inom vissa områden.
ISASecure definierar specifika testprocedurer och kriterier genom vilka certifieringsorgan kan bedöma produkters och systems överensstämmelse med IEC 62443 standarderna. ISASecure är därför jämförbart med testprogrammen för enskilda certifierare som TÜV:erna.
Ska det vara ISA 62443 eller IEC 62443?
Frågan om korrekt beteckning - ISA 62443 eller IEC 62443 - reflekterar det internationella samarbetet och utvecklingshistorien för denna serie av standarder.
International Society of Automation (ISA) från USA spelade en central roll i utvecklingen av dessa standarder. Den arbetar nära med International Electrotechnical Commission (IEC), som ansvarar för internationell standardisering inom elektroteknik och elektronik.
Beteckningen ISA/IEC 62443 är särskilt vanlig i det angloamerikanska området och betonar bidraget från båda organisationerna. Den motsvarar fullt den tyska notationen DIN EN IEC 62443-4-1 VDE 0802-4-1, där DIN står för German Institute for Standardization, EN för European Standard och VDE för Association for Electrical, Electronic & Information Technologies.
Internationellt har dock den korta formen IEC 62443 etablerats. Denna beteckning används i de flesta länder och i global industri eftersom IEC fungerar som den övergripande internationella standardiseringsorganisationen. Att använda IEC 62443 säkerställer en enhetlig referens och erkännande av standarderna världen över, oavsett nationella eller regionala särdrag.
Vad är förhållandet mellan ISO 27001 och IEC 62443?
ISO 27001 och IEC 62443 kompletterar varandra angående informationssäkerhet men har olika fokus och tillämpningsområden.
ISO 27001 är en standard för ett informationssäkerhetshanteringssystem (ISMS) och fokuserar primärt på de operationella aspekterna av informationssäkerhet i organisationer av alla slag.
IEC 62443, däremot, är specifikt riktad mot cybersäkerhet i industriell automation och styrsystem (IACS) och täcker olika roller i livscykeln för dessa system.
IEC 62443-2-1 (Edition 2) utvidgar principerna från ISO 27001 för det specifika sammanhanget att driva automationslösningar.
Tillverkare och systemintegratörer kan använda ISO 27001 kompletterande med standarder som IEC 62443-4-1 (för säker produktutveckling) och IEC 62443-2-4 (för systemintegration) för att säkra sina utvecklingsmiljöer och säkerställa omfattande informationssäkerhetshantering.
Vad är förhållandet mellan IEC 62443-3-3 och IEC 62443-4-2? Vilken behöver jag?
IEC 62443-3-3 och IEC 62443-4-2 är nära kopplade men adresserar olika nivåer av cybersäkerhet i industriell automation och styrsystem.
IEC 62443-3-3 definierar säkerhetskrav på systemnivå och specificerar vilka säkerhetsfunktioner ett IACS som helhet måste uppfylla. Den tillhandahåller ett övergripande ramverk för systemsäkerhet.
IEC 62443-4-2, å andra sidan, specificerar dessa krav på komponentnivå. Den fastställer detaljerade säkerhetskrav för olika typer av IACS komponenter som inbyggda enheter, nätverkskomponenter, värdsystem och mjukvaruapplikationer.
Vilken standard du behöver beror på ditt specifika användningsfall. Om du designar eller utvärderar ett helt IACS kan IEC 62443-3-3 vara mer relevant. Om du utvecklar eller väljer enskilda komponenter tillhandahåller IEC 62443-4-2 de mer detaljerade specifikationerna.
I många fall är det vettigt att överväga båda standarderna, eftersom de kompletterar varandra och möjliggör en omfattande säkerhetsbedömning. I praktiken är distinktionen ofta flytande eftersom IEC 62443-4-2 konkretiserar kraven från IEC 62443-3-3 på komponentnivå, vilket möjliggör en mer detaljerad implementering av systemkrav.
Stöd för implementering av IEC 62443
IEC 62443 är den centrala internationella standarden för cybersäkerhet i industriell automation. Den ställer omfattande krav på organisationer, processer och tekniska system och har därför blivit en bindande grund för många företag, särskilt i sammanhanget av ökande reglering.
Secuvi stödjer företag i att implementera dessa krav på ett praktiskt och målinriktat sätt - både som en del av interna förbättringar och som förberedelse för möjlig certifiering. Vårt team förstår utmaningarna förknippade med att introducera IEC 62443 och hjälper till att hitta lämpliga lösningar för organisation, utveckling och teknik.
Om du undrar hur du konkret implementerar IEC 62443 i ditt företag kan vi hjälpa dig med erfarenhet, teknisk expertis och pragmatiska råd.
Mer om detta på: secuvi.com