Läs hur ISO/IEC 27001 och IEC 62443 hjälper tillverkare att utveckla säkra produkter och skydda utvecklingsmiljöer.
Skillnader mellan ISO/IEC 27001 och IEC 62443
ISO/IEC 27001 är en internationellt erkänd standard för informationssäkerhetsledningssystem (ISMS) som syftar till att skydda information oavsett om den bearbetas i IT-, OT- eller molnmiljöer. Standarden säkerställer att organisationer förstår, minskar och övervakar sina informationssäkerhetsrisker. En viktig aspekt är kravet på en säker utvecklingslivscykel (Secure Development Lifecycle, SDLC) för applikationer som tillhandahålls av organisationen. Detta täcker applikationer som utvecklas och drivs i IT- och molnmiljöer, men täcker inte produkter.
IEC 62443 å andra sidan är specifikt fokuserat på säkerheten för industriella automations- och styrsystem (OT). Det betonar skydd av OT-miljöer och säker produktutveckling. Särskilt delarna IEC 62443-4-1 och IEC 62443-4-2 behandlar säker utveckling av produkter som säljs till kunder, som industriella automationslösningar. För tillverkare av industriella produkter som också använder molntjänster gäller IEC 62443-4-1 när molnapplikationer faller inom ramen för en IEC 62443-certifiering.
Gemensamma drag och överlappningar mellan ISO/IEC 27001 och IEC 62443
ISO/IEC 27001 och IEC 62443 överlappar inom vissa områden, särskilt när det gäller applikationsutveckling.
ISO/IEC 27001 kräver en säker utvecklingslivscykel (SDLC) för alla applikationer som en organisation tillhandahåller (Kontroll 8.25). Detta inkluderar nödvändigtvis molnapplikationer, eftersom ISO/IEC 27001 täcker informationssäkerhet över alla domäner - oavsett om applikationen körs i IT-, OT- eller molnmiljöer. Dock täcker ISO/IEC 27001 inte utvecklingen av industriella produkter.
IEC 62443-4-1 ställer också krav på en säker utvecklingslivscykel, men den är fokuserad på säker utveckling av produkter som säljs. Detta är särskilt relevant för tillverkare av industriella produkter som också använder molntjänster. Om en molnapplikation faller inom ramen för en IEC 62443-certifiering bör utvecklingen av den applikationen följa IEC 62443-4-1.
Om dock produkten inte är en industriell produkt eller applikationen inte faller under en IEC 62443-certifiering är användning av ISO/IEC 27034 eller ett annat tillvägagångssätt som uppfyller kraven i ISO/IEC 27001 ofta tillräckligt. ISO/IEC 27034 är specifikt inriktat på säker applikationsutveckling och passar därför bättre inom ISO/IEC 27001-ramverket. Den liknande numreringen av standarderna speglar också denna anpassning.
IEC 62443-4-1 kräver en säker utvecklingsmiljö för produkter (SM-7) och föreskriver skydd av privata nycklar som används under produktutveckling (SM-8). Båda kraven kan uppfyllas genom att implementera ISO/IEC 27001, förutsatt att utvecklingsmiljön ingår i ISMS-omfattningen. På detta sätt kompletterar de två standarderna varandra väl, eftersom en säker utvecklingsmiljö och skydd av kryptografiska nycklar är centralt för både ISO/IEC 27001 och IEC 62443-4-1.
Dessa överlappningar visar att organisationer måste besluta, baserat på sina specifika behov och önskade certifieringsramverk, vilken standard som ska tillämpas för utveckling av applikationer och produkter.
Jämförelse av krav från ISO/IEC 27001 och IEC 62443-4-1
Följande tabell visar relevanta kontroller från ISO/IEC 27001 jämfört med kraven från IEC 62443-4-1 för utveckling av säkra applikationer eller produkter:
| ISO 27001 | IEC 62443-4-1 |
|---|---|
| 8.24 - Användning av kryptografi | SM-8: Kontroller för privata nycklar |
| 8.25 - Säker utvecklingslivscykel | SM-1: Utvecklingsprocess |
| 8.26 - Applikationssäkerhetskrav | Practice 2 - Specifikation av säkerhetskrav |
| 8.27 - Säker systemarkitektur och ingenjörsprinciper | Practice 3 - Säker genom design |
| 8.28 - Säker kodning | Practice 4 - Säker implementering |
| 8.29 - Säkerhetstestning vid utveckling och acceptans | Practice 5 - Säkerhetsverifiering och valideringstestning |
| 8.31 - Separation av utvecklings-, test- och produktionsmiljöer | SM-7: Utvecklingsmiljösäkerhet |
Slutsats
ISO/IEC 27001 och IEC 62443 ger tillverkare av industriella produkter och applikationsutvecklare en solid grund för att säkra IT- och OT-miljöer samt för att utveckla säkra produkter och applikationer.
ISO/IEC 27001 adresserar informationssäkerhet i IT-, OT- och molnmiljöer, medan IEC 62443-4-1 specifikt adresserar produktsäkerhet och säker utveckling av industriella produkter. Inom områden som utvecklingsmiljö och skydd av privata nycklar kompletterar de två standarderna varandra mycket väl. Organisationer kan dra nytta av att implementera ISO/IEC 27001, eftersom den också täcker krav som förekommer i IEC 62443-4-1.
Organisationer som utvecklar både industriella produkter och molnapplikationer bör vara medvetna om dessa överlappningar och kombinera standarderna strategiskt för att uppfylla både regulatoriska krav och säkerhetskrav.