ISA/IEC-62443

ISA/IEC-62443 ist eine Reihe von Normen, technischen Berichten und zugehörigen Informationen, die Verfahren zur Implementierung elektronisch sicherer industrieller Automatisierungs- und Steuerungssysteme (IACS) festlegen. Dieser Leitfaden gilt für Anwender (d.h. Anlagenbetreiber), Systemintegratoren, Sicherheitsexperten und Hersteller von Steuerungssystemen, die für die Herstellung, Entwicklung, Implementierung oder Verwaltung von IACS-Systemen verantwortlich sind

Abbildung 1. IEC 62443 Definition (ISA99, 2019)
Anmerkung: Siehe auch: http://en.wikipedia.org/wiki/Cyber_security_standards (acc.: 10th Nov 2022)

Diese Norm hat vier unterschiedliche Teile:

Teil 1 (Generelles)

Teil 1 befasst sich mit allgemeinen Aspekten und Sicherheitsstandards. Er definiert eine alltägliche Basis in Form von Terminologie, Konzepten und Modellen für elektronische Sicherheit in industriellen Automatisierungs- und Prozessleitsystemen. Die folgenden Aspekte werden behandelt:

  • Terminologie
  • Konzepte
  • Modelle
  • Metriken zur Einhaltung der Vorschriften
  • Sicherheitsstufen (SL):
    • SL 1 - Schutz vor zufälliger Verletzung
    • SL 2 - Schutz vor vorsätzlicher Verletzung mit einfachen Mitteln
    • SL 3 - Schutz vor vorsätzlichen Verstößen mit ausgefeilten Mitteln
    • SL 4 - Schutz vor vorsätzlicher Verletzung unter Verwendung ausgefeilter Mittel mit erweiterten Ressourcen

Teil 2 (Richtlinien und Verfahren)

Teil 2 befasst sich mit der Umsetzung von Richtlinien und Verfahren vor Ort und muss vom Eigentümer der Anlage berücksichtigt werden (siehe Dokumente 2-1, 2-2 und 2-3). Er unterstützt die Entwicklung eines Programms für die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen. Darüber hinaus bietet dieser Teil umfassende Unterstützung in Bezug auf Prozessaktivitäten und kritische Elemente bei der Entwicklung eines Cybersicherheitsmanagementsystems. Diese Norm deckt die folgenden Aspekte ab:

  • Organisation
  • Schulung/Bewusstsein
  • Kontinuitätsplan
  • Vorgaben, Verfahren
  • Sicherheit des Personals
  • Physische Sicherheit
  • Netzwerksegmentierung
  • Kontoverwaltung
  • Authentifizierung
  • Autorisierung
  • Risikomanagement und Implementierung
  • Lösungsentwicklung und -wartung
  • Planung und Reaktion auf Vorfälle

Teil 3 (System)

Teil 3 befasst sich mit dem Gesamt- und Netzwerksystem und muss vom Integrator berücksichtigt werden (siehe Dokumente 3-2 und 3-3). Er befasst sich mit der Umsetzung eines Sicherheitsprogramms in der praktischen Anwendung während der Konzeptions- und Einführungsphase. Dieses Sicherheitsprogramm beinhaltet auch die Definition und Verwendung von Parametern für eine wertvolle Messung des Programms.

Diese Norm deckt die folgenden Aspekte ab:

  • Systemarchitektur, Netzwerksegmentierung
  • Zonen und Conduits
  • SL für Systeme
    • FR 1 - Kontrolle der Identifizierung und Authentifizierung
    • FR 2 - Nutzungskontrolle
    • FR 3 - Systemintegrität
    • FR 4 - Datenvertraulichkeit
    • FR 5 - Eingeschränkter Datenfluss
    • FR 6 - Rechtzeitige Reaktion auf Ereignisse
    • FR 7 - Verfügbarkeit von Ressourcen

Teil 4 (Komponente)

Teil 4 spezifiziert die Kriterien für industrielle Automatisierungs- und Prozessleitsysteme, wenn sich diese Systeme unter Sicherheitsaspekten von anderen IT-Systemen unterscheiden. Dieser Teil behandelt die Anforderungen an Komponenten wie WinCC OA. Die ETM professional control GmbH besitzt ein 4-1 Zertifikat für den Entwicklungsprozess und ein 4-2 Zertifikat für WinCC OA. Das Mapping zwischen dem 4-2 Zertifikat und den entsprechenden Kapiteln innerhalb dieser Sicherheitsrichtlinie ist im Kapitel Mapping tIEC 62443-4-2 zu finden.

Diese Norm deckt die folgenden Aspekte ab:

  • Produktentwicklungsprozess
  • PLCs
  • HMI-Geräte
  • PC-Stationen
  • Firewalls
  • Gateways
  • Vermittlungsstellen
  • Funktionen
  • Anwendungen
  • Daten
Tipp: Weitere Details zur Norm ISA/IEC-62443 und WinCC OA finden Sie in der Security Guideline. Die hier angeführten Informationen wurden auch diesem Dokument entnommen.