Nutzung der ISA/IEC 62443-Standards zur Verbesserung der Sicherheitslage
Team Shieldworkz
27. Januar 2025
Die IEC 62443 ist eine Reihe internationaler Standards, die eine Reihe von Richtlinien darstellen, um das Anwendung eines robusten Niveaus der Cybersicherheit für industrielle Automatisierungs- und Kontrollsysteme (IACS) zu gewährleisten. Die IEC 62443 Standards bieten ein spezifisches Rahmenwerk, um alle Arten von Vermögenswerten und Netzwerken, die von OT-Betrieben verwaltet werden, zu sichern. Sie bieten spezifische Empfehlungen in Bereichen wie die Verantwortlichkeiten von Vermögensbesitzern, wie eine OT-Risiko- und Lückenanalyse durchgeführt werden kann, und Schritte zur kontinuierlichen Verbesserung der Sicherheitslage eines Unternehmens.
Allerdings, trotz der umfassenden Standards, stellen Unternehmen oft fest, dass sie teilweise konform sind oder Verwirrung darüber herrscht, wo die Reise zur IEC 62443-Konformität beginnen soll.
Häufige Bereiche der Verwirrung sind:
Wie kann eine auf IEC 62443 basierende Risiko- und Lückenanalyse durchgeführt werden?
Wie kann man die OEMs bezüglich ihrer Compliance-Richtlinien einbeziehen?
Wie können die Ziele mit bestehenden Praktiken zur Informationssicherheitsprüfung in Einklang gebracht werden?
Wie wird ein Fahrplan zur IEC 62443-Konformität zusammengestellt?
Wie können Altsysteme unter die IEC 62443 gebracht werden?
Was ist mit entfernten Standorten?
Welches Sicherheitsniveau ist angemessen für mein Unternehmen?
Wie kann das Reifegradniveau meiner Sicherheitspraktiken genau bestimmt werden?
Wie wird eine RACI-Matrix abgeleitet?
Wie kann man mit IEC 62443 beginnen?
Ein auf IEC 62443-3-2 basierendes OT-Sicherheitsrisikobewertungsverfahren ist ein guter Ausgangspunkt. Durch ein solches Verfahren erhalten Unternehmen einen vollständigen Überblick über den aktuellen Zustand ihrer Infrastruktur, einschließlich:
Vorhandene Schwachstellen und Sicherheitslücken
Lücken in der Sicherheitsrichtlinienberatung und -durchsetzung
Bewusstseinsgrad der Mitarbeiter im Umgang mit OT-Sicherheit
Risiken, die mit jeder Operation verbunden sind
Restliche Risiken, die möglicherweise bestehen bleiben, nachdem alle Risiken angesprochen wurden
Lieferkettenrisiken im Zusammenhang mit dem gesamten Betriebsfußabdruck
Vorhandene und angestrebte Sicherheits- und Reifegrade
Verbesserungsmöglichkeiten
Um das Verfahren relevanter zu gestalten, sollte die Risiko- und Lückenbewertung auch diese Richtlinien abdecken:
Identifizieren Sie das Potenzial für ein Cyber-Ereignis und dessen Folgen für das Geschäft
Führen Sie eine Ursachenanalyse durch, warum Lücken vorhanden sind, und befassen Sie sich mit den zentralen Herausforderungen
Binden Sie einen Anbieter für Risiko- und Lückenbewertung mit kompetenten Ressourcen ein, die auf OT ausgerichtet sind
Es wird empfohlen, mit einem Anbieter für Risikoanalysen zusammenzuarbeiten, da ein Dritter möglicherweise eine ausgewogenere und unvoreingenommene Sichtweise bieten kann
Priorisieren Sie alle Empfehlungen und Aktionspunkte
Der Anbieter sollte einen Zwischenbericht anbieten, falls es Probleme gibt, die sofort angegangen werden müssen
Außerdem sollten dem Unternehmen Ressourcen zur Verfügung gestellt werden, um ihre Wissensniveaus zu verbessern
Die nächsten Schritte
Um die fortlaufende Einhaltung der IEC 62443 sicherzustellen, muss das Unternehmen:
Personen identifizieren, die die laufenden Einhaltungsmaßnahmen leiten
Compliance-Maßnahmen institutionalisiert, das Risikobewusstsein der Mitarbeiter erhöht und Bereiche wie Patch-Disziplin, Risiko- und Bedrohungsüberwachung sowie Versorgungsketten-Sicherheit untersucht
Dokumentationen über alle Einhaltungsmaßnahmen aufrechterhalten
Wissen im gesamten Unternehmen kanalisieren und sicherstellen, dass es keinen Verlust bewährter Verfahren gibt
Schulungen regelmäßig durchführen, um das Wissen der Mitarbeiter und anderer Interessengruppen zu testen und zu verbessern
Im Falle von Ereignissen oder Problemen, die in der Vergangenheit identifiziert und behoben wurden, sollten Mechanismen implementiert werden, um eine Wiederholung zu verhindern
Die Empfehlungen der IEC 62443 weiter ausführen, um die Einhaltung zu erleichtern und einen schrittweisen Ansatz zu verfolgen
Zeittabellen für die Einhaltung in jeder Phase festlegen
Obwohl sich das auf dem Papier schwierig anhören mag, können wir die IEC 62443 sicherlich als Nordstern für Anleitung und Empfehlungen nutzen. Die IEC 62443-2-1 kann beispielsweise eine gute Informationsquelle sein. Die IEC 62443-2-1 kann verwendet werden, um die Anforderungen an ein ICS-Sicherheitsmanagementsystem zu identifizieren und die Anforderungen an Richtlinien, Prozesse, Praktiken und Personal abzuleiten, um ein umfassendes System für das Management der Cybersicherheit für die ICS-Systeme und die gesamte OT-Infrastruktur umfassend zu implementieren.
Hier ist ein Überblick über die Gesamtnormen der IEC 62443, um Ihnen zu helfen, die Konzepte zu verstehen, die einen tiefen Zusammenhang mit einem Compliance-Ansatz haben
ISA/IEC 62443-1-1: Bietet Informationen zu Modellen und Konzepten, die mit OT-Sicherheit verbunden sind.
ISA/IEC 62443-1-2: Ist einfach ein Glossar mit Begriffen, Definitionen und Abkürzungen:
ISA/IEC 62443-1-3: Behandelt System-Sicherheits-Einhaltungsmetriken einschließlich der Kriterien zur Einhaltung
ISA/IEC 62443-1-4: Präsentiert Erklärungen zum Sicherheitslebenszyklus mit Anwendungsfällen und Beschreibungen
ISA/IEC 62443-2-1: Umreißt die Anforderungen an ein ICS-Sicherheitsmanagementsystem einschließlich der Komponenten (die nicht auf Richtlinien, Prozesse, Praktiken und Personal beschränkt sind), die für Automatisierungs- und Kontrollsysteme (ICS) erforderlich sind, und zur Implementierung eines Cyber-Sicherheits-Managementsystems (CSMS).
ISA/IEC 62443-2-2: Bietet Implementierungsanleitungen zur Bewertung des Schutzlevels, das derzeit von einem operativen ICS im Vergleich zu den Gesamtanforderungen, die in der ISA/IEC 62443-Familie von Normen gegeben sind, angeboten wird.
ISA/IEC 62443-2-3: Patch-Management in der ICS-Umgebung: Beinhaltet einen Ansatz, der die Verbreitung von Informationen über Sicherheits-Patches abdeckt, die mit verschiedenen Anlagenbesitzern verbunden sind, die mit Anbietern von IASC-Produkten verbunden sind.
ISA/IEC 62443-2-4: Geht auf die Anforderungen im Zusammenhang mit ICS-Lösungsanbietern ein, einschließlich einer Liste von Anforderungen, die während der Integration und Wartung gefordert werden müssen.
ISA/IEC 62443-3-1: Sicherheitstechnologien für ICS. Spricht über die Verwendung verschiedener Werkzeuge und Technologien zum Schutz einer ICS-Umgebung
ISA/IEC 62443-3-2: Einer der wichtigsten Teile, dieser beschäftigt sich mit Sicherheitsrisikobewertung, Systempartitionierung und Sicherheitslevels mit Empfehlungen zur Minimierung von Risiken auf ein akzeptables Niveau durch Identifizierung und Anwendung von Sicherheitsmaßnahmen.
ISA/IEC 62443-3-3: Behandelt System-Sicherheitsanforderungen und Sicherheitslevels und bietet Informationen zu den Sicherheitslevels der ICS-Komponenten, die mit Maßnahmen zur Cyber-Resilienz verbunden sind.
ISA/IEC 62443-4-1 und ISA/IEC 62443-4-2: Anforderungen an den Lebenszyklus der Produktsicherheit bei der Entwicklung befassen sich mit Entwicklern und Anbietern. Es geht auf die Prozessanforderungen zum Erzeugen und Pflegen sicherer Produkte in einem ICS ein, während es in den sicheren Lebenszyklus für den Betrieb sicherer Produkte eintaucht.
IEC 62443 Sicherheitslevels
Bis jetzt wurden vier Sicherheitslevels definiert, die SL1, SL2, SL3, SL4 umfassen. Diese listen im Wesentlichen das Niveau und die erforderlichen Gegenmaßnahmen auf, um Bedrohungen und Risiken anzugehen. Jedes Sicherheitslevel ist in eine Reihe von taktischen Anforderungen unterteilt, die eingehalten werden müssen, um für das spezifische Level zu qualifizieren. SL4 ist das höchste erreichbare Sicherheitslevel, das auf kritische Infrastrukturbetreiber zutrifft.
Wir sind der Meinung, dass diese Levels in naher Zukunft überarbeitet werden, um mehr Compliance-Möglichkeiten zu schaffen.
