IEC 62443 es una serie internacional de normas sobre "Redes de comunicaciones industriales: seguridad de TI para redes y sistemas". El estándar se divide en diferentes secciones y describe los aspectos técnicos y relacionados con los procesos de la ciberseguridad industrial. Divide la industria en diferentes roles: el operador, los integradores (proveedores de servicios para la integración y el mantenimiento) y los fabricantes. Cada uno de los diferentes roles sigue un enfoque basado en el riesgo para prevenir y gestionar los riesgos de seguridad en sus actividades.
Historia
Como norma internacional, la IEC 62443 es el resultado del proceso de creación de normas IEC en el que todos los comités nacionales involucrados acuerdan una norma común. Varias organizaciones y comités enviaron aportes a los grupos de trabajo de IEC y ayudaron a dar forma a IEC 62443.
A partir de 2002, el Comité de Seguridad del Sistema de Control y Automatización Industrial (ISA99) de la Sociedad Internacional de Automatización desarrolló una serie de informes técnicos y estándares de varias partes sobre el tema de la seguridad del Sistema de Control y Automatización Industrial (IACS). Estos productos de trabajo se enviaron a la ISA para su aprobación y luego se publicaron bajo ANSI. Los documentos originalmente denominados estándares ANSI / ISA-99 o ISA99 y fueron renumerados para ser la serie ANSI / ISA-62443 en 2010. El contenido de esta serie fue presentado y utilizado por los grupos de trabajo de IEC.
De manera similar, las asociaciones de ingeniería alemanas VDI y VDE publicaron las pautas VDI / VDE 2182 en 2011. Las pautas describen cómo manejar la seguridad de la información en entornos de automatización industrial y también fueron enviadas y utilizadas por los grupos de trabajo de IEC.
Estructura
La serie de normas IEC 62443 Redes de comunicaciones industriales: seguridad de redes y sistemas consta de las siguientes partes:
- Parte 1-1: Terminología, conceptos y modelos (Especificación técnica, Edición 1.0, julio de 2009) [1]
- Parte 2-1: Establecimiento de un programa de seguridad del sistema de control y automatización industrial (Norma Internacional, Edición 1.0, noviembre de 2010) Esta sección de la norma está dirigida a los operadores de soluciones de automatización y define los requisitos sobre cómo se debe garantizar la seguridad durante la operación de las plantas. considerado (ver ISO / IEC 27001). [2]
- Parte 2-3: Gestión de parches en el entorno IACS (Informe técnico, Edición 1.0, junio de 2015) [3]
- Parte 2-4: Requisitos del programa de seguridad para proveedores de servicios de IACS (Informe técnico, Edición 1.1, agosto de 2017) Esta parte define los requisitos ("capacidades") para los integradores. Estos requisitos se dividen en 12 temas: aseguramiento, arquitectura, inalámbricos, sistemas de ingeniería de seguridad, administración de configuración, acceso remoto, administración y registro de eventos, administración de usuarios, protección contra malware, administración de parches, respaldo y recuperación, y personal de proyectos. [4]
- Parte 3-1: Tecnologías de seguridad para sistemas de control y automatización industrial (Informe técnico, Edición 1.0, julio de 2009) [5]
- Parte 3-2: Evaluación de riesgos de seguridad para el diseño de sistemas (Norma Internacional, Edición 1.0, junio de 2020) [6]
- Parte 3-3: Requisitos de seguridad del sistema y niveles de seguridad (Norma Internacional, Edición 1.0, agosto de 2013) En esta parte se describen los requisitos técnicos para los sistemas y los niveles de seguridad. [7]
- Parte 4-1: Requisitos del ciclo de vida del desarrollo de productos seguros (Norma Internacional, Edición 1.0, enero de 2018) La Sección 4-1 de IEC 62443 define cómo debe ser un proceso de desarrollo de productos seguro. Se divide en ocho áreas ("Prácticas"): gestión del desarrollo, definición de requisitos de seguridad, diseño de soluciones de seguridad, desarrollo seguro, pruebas de características de seguridad, manejo de vulnerabilidades de seguridad, creación y publicación de actualizaciones y documentación de características de seguridad. [8]
- Parte 4-2: Requisitos técnicos de seguridad para componentes IACS (Norma Internacional, Edición 1.0, febrero de 2019) Esta sección define los requisitos técnicos para productos o componentes. [9] Al igual que los requisitos para sistemas (Sección -3-3), los requisitos se dividen en 12 áreas temáticas y se refieren a ellas. Además de los requisitos técnicos, se definen restricciones de seguridad de componentes comunes (CCSC), que deben cumplir los componentes para cumplir con IEC 62443-4-2:
- CCSC 1 describe que los componentes deben tener en cuenta las características generales de seguridad del sistema en el que se utilizan.
- CCSC 2 especifica que los requisitos técnicos que el componente no puede cumplir por sí mismo pueden cumplirse compensando contramedidas a nivel del sistema (ver IEC 62443-3-3). Para ello, las contramedidas deben estar descritas en la documentación del componente.
- CCSC 3 requiere que se aplique el principio de "privilegios mínimos" en el componente.
- CCSC 4 requiere que el componente sea desarrollado y respaldado por procesos de desarrollo que cumplan con IEC 62443-4-1.
Nivel de madurez y seguridad
IEC 62443 describe diferentes niveles de madurez para procesos y requisitos técnicos. Los niveles de madurez de los procesos se basan en los niveles de madurez del marco CMMI.
Nivel de madurez
Basado en CMMI, IEC 62443 describe diferentes niveles de madurez para procesos a través de los llamados "niveles de madurez". Para cumplir con un cierto nivel de madurez, todos los requisitos relacionados con el proceso deben cumplirse siempre durante el desarrollo o la integración del producto, es decir, la selección de solo criterios individuales ("selección selectiva") no cumple con los estándares.
Los niveles de madurez se describen a continuación:
- Nivel de madurez 1: inicial: los proveedores de productos suelen llevar a cabo el desarrollo de productos ad hoc y, a menudo, no están documentados (o no están completamente documentados).
- Nivel de madurez 2: gestionado: el proveedor del producto puede gestionar el desarrollo de un producto de acuerdo con las directrices escritas. Se debe demostrar que el personal que lleva a cabo el proceso tiene la experiencia adecuada, está capacitado y / o sigue procedimientos escritos. Los procesos son repetibles.
- Nivel de madurez 3: definido (practicado): el proceso es repetible en toda la organización del proveedor. Se han practicado los procesos y hay evidencia de que así se ha hecho.
- Nivel de madurez 4 - Mejora: los proveedores de productos utilizan métricas de proceso adecuadas para monitorear la efectividad y el desempeño del proceso y demostrar una mejora continua en estas áreas.
Nivel de seguridad
Los requisitos técnicos para los sistemas (IEC 62443-3-3) y los productos (IEC 62443-4-2) se evalúan en la norma mediante los cuatro denominados niveles de seguridad (SL). Los diferentes niveles indican la resistencia contra diferentes clases de atacantes. La norma enfatiza que los niveles deben evaluarse según los requisitos técnicos (ver IEC 62443-1-1) y no son adecuados para la clasificación general de productos.
Los niveles son:
- Nivel de seguridad 0: No se requiere protección ni requisitos especiales.
- Nivel de seguridad 1: Protección contra uso indebido accidental o no intencional.
- Nivel de seguridad 2: Protección contra el mal uso intencional por medios simples con pocos recursos, habilidades generales y baja motivación.
- Nivel de seguridad 3: Protección contra el uso indebido intencional por medios sofisticados con recursos moderados, conocimiento específico de IACS y motivación moderada.
- Nivel de seguridad 4: Protección contra el uso indebido intencional utilizando medios sofisticados con amplios recursos, conocimientos específicos de IACS y alta motivación.
Conceptos
El estándar explica varios principios básicos que deben tenerse en cuenta para todos los roles en todas las actividades.
Defensa en profundidad
Defense in Depth es un concepto en el que varios niveles de seguridad (defensa) se distribuyen por todo el sistema. El objetivo es proporcionar redundancia en caso de que falle una medida de seguridad o se explote una vulnerabilidad.
Zonas y conductos
Las zonas dividen un sistema en zonas homogéneas agrupando los activos (lógicos o físicos) con requisitos de seguridad comunes. Los requisitos de seguridad están definidos por el nivel de seguridad (SL). El nivel requerido para una zona está determinado por el análisis de riesgo.
Las zonas tienen límites que separan los elementos dentro de la zona de los del exterior. La información se mueve dentro y entre zonas. Las zonas se pueden dividir en subzonas que definen diferentes niveles de seguridad (nivel de seguridad) y, por lo tanto, permiten una defensa en profundidad.
Los conductos agrupan los elementos que permiten la comunicación entre dos zonas. Proporcionan funciones de seguridad que permiten una comunicación segura y permiten la coexistencia de zonas con diferentes niveles de seguridad.
Esquemas de certificación
Los procesos, sistemas y productos utilizados en entornos de automatización industrial pueden certificarse de acuerdo con IEC 62443. Los esquemas acreditados, así como el esquema internacional IECEE CB cumplen totalmente con IEC 62443, mientras que el ISCI ISASecure patentado no lo es.
Esquemas de certificación acreditados
Varios Organismos de Certificación (CB) globales han establecido esquemas de certificación IEC 62443. Los esquemas se basan en los estándares y procedimientos referenciados que describen sus métodos de prueba, la política de auditoría de vigilancia, las políticas de documentación pública y otros aspectos específicos de su programa. Varios CB reconocidos ofrecen a nivel mundial programas de certificación de ciberseguridad para los estándares IEC 62443, incluidos Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD y UL .
Se ha establecido una infraestructura global para garantizar una evaluación coherente de la IEC 62443. Las organizaciones independientes de terceros denominadas Organismos de Certificación (CB) están acreditadas de acuerdo con ISO / IEC 17065 e ISO / IEC 17025. Los organismos de certificación están acreditados por organismos de acreditación nacionales (AB ) para realizar el trabajo de auditoría, evaluación y prueba. Los OA operan según los requisitos de ISO / IEC 17011, un estándar que contiene requisitos para la competencia, consistencia e imparcialidad de los organismos de acreditación al acreditar organismos de evaluación de la conformidad. Los AB son miembros del Foro Internacional de Acreditación (IAF) para trabajar en sistemas de gestión, productos, servicios y acreditación de personal o de la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de laboratorios. Un Acuerdo de Reconocimiento Multilateral (MLA) entre los OA garantizará el reconocimiento global de los EC acreditados.
Esquema IECEE CB
El Sistema de la CEI para los esquemas de evaluación de la conformidad de equipos y componentes electrotécnicos ( IECEE ) Certificación del esquema corporal ( CB Scheme ) es un acuerdo multilateral que facilita el acceso al mercado para los fabricantes de productos eléctricos y electrónicos. Según los procesos del CB Scheme, los productos y sistemas pueden certificarse de acuerdo con IEC 62443.
El origen del Esquema CB proviene de la CEE (antigua "Comisión Europea para Pruebas de Conformidad de Equipos Eléctricos") y se integró en la IEC en 1985. Actualmente, 54 Organismos Miembros están en IECEE, 88 NCB (Organismos Nacionales de Certificación), y 534 CB Test Laboratories (CBTL). En el campo de la certificación de productos, este procedimiento se utiliza para reducir la complejidad en el procedimiento de aprobación para los fabricantes de productos probados y certificados de acuerdo con estándares armonizados. Un producto que ha sido probado por un CBTL (laboratorio de pruebas certificado) de acuerdo con un estándar armonizado como el IEC 62443, puede utilizar el informe CB como base para una certificación y aprobación nacional posterior como GS, PSE, CCC, NOM, GOST / R, BSMI.
ISCI ISASecure
El International Security Compliance Institute (ISCI) creó un esquema de evaluación de conformidad para las normas nacionales ANSI / ISA 62443. Este esquema se puede utilizar para certificar sistemas, componentes y procesos de control de automatización industrial. El esquema ISASecure se basa en parte en la IEC 62443 y los procesos de desarrollo de ISCI incluyen políticas de mantenimiento para garantizar que las certificaciones ISASecure permanezcan alineadas con las normas IEC 62443 a medida que evolucionan.
El ISCI ofrece múltiples certificaciones bajo la marca ISASecure:
- Certificación SSA (System Security Assurance) de sistemas según IEC 62443-3-3
- Certificación CSA (Component Security Assurance) de componentes de automatización según IEC 62443-4-1 e IEC 62443-4-2
- Certificación SDLA (Secure Development Lifecycle Assurance) de organizaciones de desarrollo de sistemas de automatización de acuerdo con IEC 62443-4-1
- Certificación EDSA (Embedded Device Security Assurance) de componentes basada en IEC 62443-4-2. Esta certificación no cumple totalmente con IEC 62443-4-2. La IEC 62443-4-2 requiere que los componentes se desarrollen de acuerdo con un ciclo de vida de desarrollo compatible con IEC 62443-4-1, que EDSA no requiere.
Ver también
Referencias
- ^ IEC 62443-1-1, Redes de comunicaciones industriales - Seguridad de redes y sistemas - Parte 1-1: Terminología, conceptos y modelos
- ^ IEC 62443-2-1, Redes de comunicaciones industriales - Seguridad de redes y sistemas - Parte 2-1: Establecimiento de un programa de seguridad de sistemas de control y automatización industrial
- ^ IEC 62443-2-3, Seguridad para sistemas de control y automatización industrial - Parte 2-3: Gestión de parches en el entorno IACS
- ^ IEC 62443-2-4, Seguridad para sistemas de control y automatización industrial - Parte 2-4: Requisitos del programa de seguridad para proveedores de servicios IACS
- ^ IEC 62443-3-1, Redes de comunicaciones industriales - Seguridad de redes y sistemas - Parte 3-1: Tecnologías de seguridad para sistemas de control y automatización industrial
- ^ IEC 62443-3-2, Seguridad para sistemas de control y automatización industrial - Parte 3-2: Evaluación de riesgos de seguridad para el diseño de sistemas
- ^ IEC 62443-3-3, Redes de comunicaciones industriales - Seguridad de redes y sistemas - Parte 3-3: Requisitos de seguridad del sistema y niveles de seguridad
- ^ IEC 62443-4-1, Seguridad para sistemas de control y automatización industrial - Parte 4-1: Requisitos del ciclo de vida de desarrollo de productos seguros
- ^ IEC 62443-4-2, Seguridad para sistemas de control y automatización industrial - Parte 4-2: Requisitos técnicos de seguridad para componentes IACS