IEC 62443: norma bezpieczeństwa OT dla przemysłu

IEC 62443 to międzynarodowa norma bezpieczeństwa przemysłowych systemów automatyki i sterowania (IACS). Definiuje cztery poziomy Security Level i bezpośrednio odpowiada wymaganiom art. 21 NIS2.

Norma

Co to jest IEC 62443?

IEC 62443 to seria norm opracowana przez IEC TC 65 specjalnie dla Przemysłowych Systemów Automatyki i Sterowania (IACS). Obejmuje organizacyjne zarządzanie bezpieczeństwem, projektowanie systemów i wymagania dla komponentów.

W przeciwieństwie do ogólnych norm bezpieczeństwa IT (ISO 27001), IEC 62443 wprost uwzględnia specyfikę środowisk OT: długi cykl życia, wymogi czasu rzeczywistego, protokoły legacy i wymagania bezpieczeństwa funkcjonalnego.

Norma definiuje poziomy Security Level (SL 1–4) i metodologię docelowego poziomu bezpieczeństwa (SL-T), która pozwala organizacjom priorytetyzować inwestycje w bezpieczeństwo na podstawie ryzyka, to nie jest lista kontrolna dla wszystkich.

Części
IEC 62443-2-1
System zarządzania bezpieczeństwem (CSMS)
IEC 62443-2-3
Zarządzanie poprawkami dla IACS
IEC 62443-2-4
Bezpieczeństwo dla dostawców usług IACS
IEC 62443-3-2
Analiza ryzyka dla IACS
IEC 62443-3-3
Wymagania bezpieczeństwa systemu (SRs)
IEC 62443-4-2
Techniczne wymagania bezpieczeństwa dla komponentów
Security Levels

Cztery poziomy Security Level wyjaśnione

Security Levels opisują zdolność do odpierania ataków ze strony określonych aktorów zagrożeń. Dla większości środowisk OT objętych NIS2 SL 2 jest punktem wyjścia.

SL 1

Ochrona przed niezamierzonymi błędami

Podstawowe środki bezpieczeństwa zapobiegające błędom z nieuwagi. Zakłada atakującego bez motywacji ani szczególnych umiejętności. Stosowane gdy konsekwencje są ograniczone.

  • Uwierzytelnianie na stacjach roboczych HMI
  • Segmentacja sieci między IT a OT
  • Podstawowe logowanie zdarzeń logowania
SL 2

Ochrona przed celowymi atakami o średnim poziomie umiejętności

Środki skierowane przeciwko atakującemu znającemu systemy przemysłowe i działającemu z premedytacją. Wymagane dla większości środowisk OT objętych NIS2.

  • Kontrola dostępu oparta na rolach (RBAC)
  • Szyfrowana komunikacja tam gdzie technicznie możliwe
  • Zarządzanie poprawkami zgodnie z zaleceniami dostawców
  • Zdalny dostęp przez serwer pośredniczący z MFA
  • Procedura zarządzania zmianami dla systemów OT
SL 3

Ochrona przed zaawansowanymi atakami z wiedzą o OT

Atakujący posiada szczegółową wiedzę o docelowym systemie i wystarczające zasoby do ukierunkowanych ataków. Istotne dla infrastruktury krytycznej (energetyka, woda, transport) i instalacji SEVESO.

  • Uwierzytelnianie dwuskładnikowe dla całego dostępu OT
  • Segmentacja stref ze ściślejszą polityką kanałów
  • Pasywny monitoring OT (analiza ruchu sieciowego)
  • Ocena bezpieczeństwa łańcucha dostaw dla dostawców OEM
  • Roczny test penetracyjny obwodu OT
SL 4

Ochrona przed atakami sponsorowanymi przez państwo lub grupy zorganizowane

Atakujący dysponuje rozbudowanymi zasobami, zaawansowanymi narzędziami i długoterminową motywacją. Niewymagane dla zdecydowanej większości firm przemysłowych, ale istotne dla krajowej infrastruktury krytycznej.

  • Fizyczne oddzielenie systemów krytycznych dla bezpieczeństwa (izolacja powietrzna tam gdzie stosowane)
  • Kryptograficzna kontrola integralności komponentów oprogramowania
  • Specjalistyczny monitoring OT-SOC
  • Formalna ocena ryzyka IACS zgodnie z IEC 62443-3-2
Mapowanie NIS2

NIS2 art. 21: odsyłacz do IEC 62443

Każde wymaganie art. 21 NIS2 odpowiada jednej lub kilku częściom IEC 62443. Tabela pokazuje, gdzie IEC 62443 podaje wytyczne techniczne dotyczące wdrożenia.

ArtykułWymaganieIEC 62443Wdrożenie
Art. 21(2)(a)Analiza ryzyka i polityki bezpieczeństwa informacjiIEC 62443-2-1 / 3-2Polityka zarządzania bezpieczeństwem (CSMS) i metodologia oceny ryzyka IACS
Art. 21(2)(b)Obsługa incydentówIEC 62443-2-1Plan reagowania na incydenty, procedury komunikacji i plany odtwarzania dla OT
Art. 21(2)(c)Ciągłość działania i zarządzanie kryzysoweIEC 62443-2-1Polityka tworzenia kopii zapasowych i odtwarzania specyficzna dla konfiguracji OT i programów PLC
Art. 21(2)(d)Bezpieczeństwo łańcucha dostawIEC 62443-2-4Wymagania bezpieczeństwa dla dostawców usług IACS (dostawcy OEM, integratorzy systemów)
Art. 21(2)(e)Bezpieczeństwo przy nabywaniu i rozwojuIEC 62443-3-3 / 4-2Wymagania produktowe dla komponentów OT: uwierzytelnianie, możliwość aktualizacji, logowanie
Art. 21(2)(f)Zarządzanie podatnościami i ujawnianie informacjiIEC 62443-2-3Zarządzanie poprawkami dla systemów IACS i procedura zgłaszania podatności
Art. 21(2)(g)Podstawowe praktyki bezpieczeństwa sieci i systemówIEC 62443-3-3Wymagania bezpieczeństwa systemu (SRs): uwierzytelnianie, kontrola dostępu, segmentacja sieci
Art. 21(2)(h)Kryptografia i szyfrowanieIEC 62443-3-3 SR 4.3Szyfrowanie komunikacji i przechowywania danych tam gdzie technicznie możliwe w kontekście OT
Co robimy

Jak GCG stosuje IEC 62443

01

Analiza ryzyka IACS (62443-3-2)

Inwentaryzacja stref i kanałów, określenie docelowego poziomu bezpieczeństwa (SL-T) na strefę na podstawie wpływu × prawdopodobieństwa.

02

Analiza luk (62443-3-3)

Ocena aktualnego środowiska OT względem wymagań bezpieczeństwa systemów (SRs) z IEC 62443-3-3 dla docelowego SL.

03

Segmentacja i hardening

Wdrożenie stref, kanałów i środków kompensujących na podstawie wyników analizy luk.

04

Ocena dostawców (62443-2-4)

Ocena wymagań bezpieczeństwa dla dostawców OEM i integratorów systemów zgodnie z NIS2 art. 21 ust. 2 pkt d.

05

Raportowanie i pakiet dowodów

Pisemny raport z analizy luk, rejestr ryzyk, diagramy sieci i polityka bezpieczeństwa: pakiet dowodów, jakiego oczekuje organ nadzoru.

06

Okresowy przegląd

NIS2 wymaga ciągłego podejścia. Roczne lub dwuletnie ponowne oceny utrzymują aktualność pozycji IEC 62443.

Często zadawane pytania dotyczące IEC 62443

Zamów analizę luk IEC 62443

Określamy docelowy poziom bezpieczeństwa, identyfikujemy luki i dostarczamy priorytetowy plan naprawczy.