La serie internazionale di standard IEC 62443 descrive i requisiti di base per la prevenzione dei rischi legati alla sicurezza per i produttori di componenti, i system integrator e gli operatori.
Che cos’è lo standard IEC 62443?
L’obiettivo della serie di standard IEC 62443 è fornire indicazioni utili per il funzionamento sicuro dei sistemi di automazione (sistemi ICS): dalla progettazione ai processi di implementazione, fino alla fase di gestione.
A tal fine, la serie di standard descrive le regole per i produttori di componenti, i system integrator e gli operatori: i produttori di componenti devono garantire che i prodotti siano sicuri e i produttori di macchine ed impianti devono osservare la loro interazione sicura.
Infine, è responsabilità dell’operatore garantire procedure operative sicure.
Lo standard IEC 62443 integra quindi la norma ISO 27001, che comprende principalmente le direttive per la sicurezza IT. Insieme, i due standard forniscono un approccio olistico alla protezione delle aziende dalle minacce informatiche.
Da che cosa è costituita una soluzione sicura?
Non esiste una soluzione generale per l’applicazione dello standard.
Le norme devono piuttosto essere attuate secondo i desideri e le circostanze individuali.
Per spiegare e implementare meglio i requisiti relativi al progetto e i requisiti di sistema funzionali dello standard IEC 62443-2-4, per esempio Phoenix Contact ha sviluppato il progetto “Remote-Monitoring and -Control” (figura sotto).
Tra gli elementi della strategia di protezione multilivello (progetto Defense in Depth) vi sono la segmentazione in zone e condotti, il controllo del flusso di dati, la codifica continua delle comunicazioni, la stabilizzazione dei componenti, corsi di formazione sulla Security Awareness per i dipendenti e processi per la gestione delle patch e la gestione del rischio.
Questa soluzione è stata certificata secondo lo standard IEC 62443-3-3.
La guida essenziale alla norma ISA IEC 62443
La serie di standard di sicurezza informatica IEC 62443 sono gli standard più diffusi, ampiamente applicabili e completi al mondo per la protezione dei sistemi di automazione e controllo industriale (IACS o ICS). Creati dalla International Society of Automation (ISA) e poi accettati e co-sviluppati dalla Commissione elettrotecnica internazionale (IEC) europea, gli standard sono stati approvati dalle Nazioni Unite per il quadro normativo comune sulla sicurezza informatica nel 2019.
Nel settembre 2020, la nuova Parte 3-2 dello standard, che fornisce indicazioni su come eseguire valutazioni del rischio su un IACS in modo che le IEC 62443 è uno standard multiparte e molto ampio; le sezioni pertinenti per iniziare sono:
- 1-1, Terminologia, concetti e modelli
- 2-1, Requisiti del programma di sicurezza per i proprietari di asset IACS
- 3-2, valutazioni del rischio per la progettazione del sistema
- 3-3, requisiti di sicurezza e livelli di sicurezza
Questi sono delineati in rosso nel grafico seguente nella Figura 1
Implementare lo standard per proteggere un sito ICS significa implementare un programma di sicurezza, descritto in 62443-2-1. Per fare ciò, va effettuata una valutazione del rischio e vanno apportate eventuali modifiche alla progettazione della rete e della sicurezza, sulla base di 62443-3-2. Sulla base dei risultati della valutazione e della progettazione esistente, le difese informatiche di quel sito vanno classificate in uno dei cinque livelli, descritti nel documento 3-3. Il livello selezionato determina il grado di requisiti necessari per completare l’implementazione del programma di sicurezza, quindi proteggere il sito a quello che si ritiene sia un livello accettabile.
Maggiore è il livello di sicurezza, maggiore è la forza della protezione applicata.
I cinque livelli sono riepilogati nella Tabella 1: Livelli di sicurezza IEC/ISA 62443-3-3.
I livelli di sicurezza IEC 62443 sono tutti definiti in base al tipo di minaccia: l’avversario più capace da cui il sistema è progettato per difendersi. Questo aggressore nel caso peggiore è ulteriormente definito in termini di mezzi, risorse, competenze e motivazione. Anche se tutto ciò sembra fantastico, selezionare il livello di sicurezza appropriato crea confusione ed è purtroppo troppo facile selezionare il livello di sicurezza sbagliato come livello target per un sistema o sito di automazione.
Comments are closed