معرفی

مجموعه ای از استانداردهای سری 62443 توسط کمیته ISA99 و کمیته فنی IEC 65 Working Group 10 (TC65WG10) به منظور تدوین استحکام و قابلیت انعطاف‌پذیری در سیستم‌های کنترل اتوماسیون صنعتی (IACS)، توسعه یافته است. نسخه های ISA استانداردها و گزارش های این سری از نام "ISA-63443-xy" نامیده می شود، در حالی که نسخه های IEC به عنوان "IEC 62443-xy" ظاهر می شوند.

محدوده

مفهوم اتوماسیون الکترونیکی و سیستم های کنترل الکترونیکی امنیت الکترونیکی در بیشترین حد ممکن از جمله انواع پلنت‌ها، امکانات و سیستم ها در همه صنایع استفاده می شود. سیستم های تولید و کنترل شامل، اما نه محدود به:

سیستم های سخت افزاری و نرم افزاری مانند DCS، PLC، SCADA، حسگر الکترونیکی شبکه و سیستم های نظارت و تشخیص.

اتصالات داخلي، انساني، شبكه و يا دستگاهي كه براي ارائه كنترل، ايمني و عملكرد توليد در فرآيند مداوم، دسته اي، گسسته و ديگري استفاده مي شود.

هدف

هدف در استفاده از سری 62443 بهبود ایمنی، در دسترس بودن، یکپارچگی و محرمانه بودن اجزای یا سیستم های مورد استفاده برای اتوماسیون صنعتی و کنترل و ارائه معیارهای تهیه و اجرای سیستم های اتوماسیون صنعتی و کنترل صنعتی است. مطابقت با الزامات سری 62443 در نظر گرفته شده برای بهبود امنیت الکترونیکی و کمک به شناسایی و رفع آسیب پذیری‌ها، کاهش مخاطرات، اطمینان از محرمانگی اطلاعات و فرآیندهای تحت کنترل است. محتوای مجموعه به کسانی که مسئول طراحی، اجرای و یا مدیریت اتوماسیون صنعتی و سیستم های کنترل هستند، هدایت می شود. این اطلاعات همچنین برای کاربران، سیستم های سازگار، کارشناسان امنیتی و سیستم های تولید کننده و فروشندگان سیستم اعمال می شود.

رویکرد

سری 62443 بر اساس استانداردهای تاسیس شده برای امنیت سیستم های فناوری اطلاعات عمومی (به عنوان مثال، سری ISO / IEC 27000)، شناسایی و رسیدگی به تفاوت های مهم موجود در سیستم اتوماسیون صنعتی و سیستم های کنترل (IACS) می باشد. بسیاری از این تفاوت ها بر اساس واقعیت هایی است که امنیت شبکه های سایبری با IACS ممکن است پیامدهای سلامتی، ایمنی یا محیطی (HSE) داشته باشد و پاسخ باید با سایر اقدامات مدیریت ریسک موجود در ارتباط با این خطرات ادغام شود.

1. عناصر سری 62443

عناصر استاندارد 62443 در چهار گروه قرار می گیرند که مربوط به تمرکز اصلی و مخاطبان مورد نظر می باشد. پاراگراف های زیر هر عنصر و وضعیت فعلی آن را توصیف می کند.

1. عمومی - این گروه شامل عناصری است که موضوعاتی را که برای کل مجموعه ها رایج است را در بر می گیرد.

• استاندارد 62443-1-1مفاهیم و مدل های مورد استفاده در سرتاسر سری را معرفی می کند. مخاطب مورد نظر شامل افرادی است که مایل به آشنایی با مفاهیم اساسی هستند که پایه ای برای این سری هستند. اولین نسخه این استاندارد در سال 2007 منتشر شد و کمیته ISA99 در حال توسعه یک نسخه دوم به روز شده است.

• گزارش فنی فنی 62443-1-2شامل یک واژه نامه اصلی از اصطلاحات و اختصارات استفاده شده در سرتاسر سری است. این گزارش در قالب پیش نویس موجود است. انتشار نهایی پس از اتمام تمام عناصر دیگر رخ خواهد داد.

• استاندارد 62443-1-3مجموعه ای از معیارهای کمی را که مشتق از الزامات بنیادی، الزامات سیستم و مرتبط با آن است، شرح می دهد. این عنصر تنها در قالب پیش نویس موجود است.

• گزارش فنی 62443-1-4 شرح مفصلی از چرخه زندگی پایه ای برای امنیت IACS را فراهم می کند، همچنین موارد متعددی از موارد کاربردی که کاربرد های مختلف را نشان می دهد. کار بر روی این گزارش هنوز آغاز نشده است.

2. سیاست ها و رویه ها - عناصر در این گروه بر سیاست ها و رویه های مرتبط با امنیت IACS تمرکز دارند.

• استاندارد 62443-2-1 توصیف آنچه لازم است برای تعریف و پیاده سازی یک سیستم مدیریت ایمن سایبری IACS موثر است. مخاطبان مورد نظر شامل کاربران نهایی و صاحبان دارایی هایی هستند که مسئولیت طراحی و اجرای چنین برنامه هایی را دارند. اولین نسخه از این استاندارد در سال 2009 منتشر شد و کمیته ISA99 در حال توسعه یک نسخه دوم به روز شده است که بهتر خواهد شد با استاندارد ISO 27000 مجموعه ای از استانداردهای عمومی امنیت سایبری IT.

• استاندارد 62443-2-2راهنمایی های خاصی در مورد آنچه لازم است برای مدیریت یک سیستم مدیریت ایمن سایبری IACS موثر است. مخاطبان مورد نظر شامل کاربران نهایی و صاحبان دارایی هایی هستند که مسئولیت اجرای چنین برنامه ای را دارند. این استاندارد در قالب پیش نویس موجود است.

• گزارش فنی 62443-2-3شامل راهنمایی در مورد موضوع خاص مدیریت پچ برای IACS است. مخاطب مورد نظر شامل هر کسی است که مسئول طراحی و اجرای نظم مدیریت پچ است. این گزارش توسط هر دو ISA و IEC در سال 2015 تأیید و منتشر شد.

• استاندارد 62443-2-4الزامات مورد نیاز برای تامین کنندگان IACS را مشخص می کند. مخاطبان اصلی شامل تامین کنندگان راه حل های سیستم های کنترل است. این استاندارد توسط IEC TC65 WG10 توسعه یافته است و به طور رسمی توسط ISA به عنوان بخشی از سری ISA-62443 تصویب خواهد شد.

3. سیستم مورد نیاز - عناصر در گروه سوم نیازهای آدرس در سطح سیستم.

• گزارش فنی 62443-3-1کاربرد فن آوری های مختلف امنیتی را به محیط IACS توصیف می کند. مخاطب مورد نظر شامل هر کسی است که مایل است اطلاعات بیشتری در مورد کاربرد فناوری های خاص در یک محیط کنترل سیستم کسب کند. نسخه دوم در سال 2007 منتشر شد و کمیته ISA99 در حال حاضر در سومین نسخه کار می کند.

• استاندارد 62443-3-2در مورد ارزیابی ریسک امنیت و طراحی سیستم برای IACS است. این استاندارد در درجه اول به صاحبان دارایی یا کاربران نهایی هدایت می شود. این در قالب پیش نویس موجود است و انتظار می رود در سال 2017 منتشر شود.

• استاندارد 62443-3-3نیازهای امنیتی سیستم پایه و سطح اطمینان امنیتی را توصیف می کند. این استاندارد توسط هر دو ISA و IEC در سال 2013 منتشر شد.

4. الزامات اجزاء - گروه چهارم و نهایی شامل عناصری است که اطلاعات مربوط به نیازهای خاص و دقیق مرتبط با توسعه محصولات IACS را ارائه می دهد.

• استاندارد 62443-4-1 الزامات مشتق شده را که برای توسعه محصولات قابل استفاده است توصیف می کند. مخاطبان اصلی شامل تامین کنندگان راه حل های سیستم های کنترل است. این استاندارد در قالب پیش نویس موجود است و انتظار می رود در سال 2017 منتشر شود.

• استاندارد 62443-4-2شامل مجموعه ای از الزامات مشتق شده است که نقشه دقیق مورد نیاز سیستم را برای زیر سیستم ها و اجزای سیستم مورد نظر فراهم می کند. مخاطبان اصلی شامل تامین کنندگان راه حل های سیستم های کنترل است. این استاندارد در قالب پیش نویس موجود است و انتظار می رود در سال 2017 منتشر شود.