WisePlant – A WiseGroup Company
Iniciar sesión

Noticias que Importan

Entradas recientes

Próximos Eventos

WisePlant Group LLC

WiseCourses Academy

Hable con Expertos

Noticias OTConnect

OTC – Novedades

#consecuencias #consequences #downstream #energy #expectativas #iec62443 #mineria #otc #plugx #threats #wbs #zcm
Normas ISA/IEC-62443: una piedra angular de la ciberseguridad industrial 1

Normas ISA/IEC-62443: una piedra angular de la ciberseguridad industrial

julio 29, 2020 (updated febrero 14, 2022) Published by

La seguridad cibernética se considera con demasiada frecuencia un problema puramente de tecnología de la información (TI).

Esto puede ser parcialmente cierto en determinados sectores de servicios, como las finanzas o los seguros; sin embargo, los sistemas industriales dependen de la tecnología operativa (TO), que debe tenerse en cuenta para los riesgos cibernéticos.

Este es el propósito principal de la serie de Normas IEC 62443, preparada por el Comité Técnico (TC) 65 de IEC : Medición, control y automatización de procesos industriales, en colaboración con miembros del Comité 99 de la Sociedad Internacional de Automatización ( ISA99 ).

Asegurar los sistemas de control y automatización industrial de manera integral

La serie IEC 62443 se desarrolló para proteger las redes de comunicaciones industriales y los sistemas de control y automatización industrial (IACS) mediante un enfoque sistemático.

Actualmente incluye nueve Normas, Informes Técnicos (TR) y Especificaciones Técnicas (TS) con cuatro partes aún en desarrollo. Los IACS se encuentran en una gama cada vez mayor de dominios e industrias, muchas, como el suministro y la distribución de energía y energía, el transporte, la fabricación, etc., son fundamentales para la infraestructura crítica. Los IACS también incluyen sistemas de Adquisición de Datos y Control de Supervisión (SCADA) que son comúnmente utilizados por organizaciones que operan en industrias de infraestructura crítica, tales como generación, transmisión y distribución de electricidad, gas, redes de distribución de agua. Por lo tanto, garantizar la mitigación de riesgos y la resiliencia es esencial.

Prevención de accesos ilegales o inapropiados

En las publicaciones IEC 62443 «el término ‘seguridad’ se considera que significa la prevención de la penetración ilegal o no deseada, la interferencia intencional o no intencional con el funcionamiento adecuado y previsto, o el acceso inadecuado a información confidencial en IACS».

La seguridad «incluye computadoras, redes, sistemas operativos, aplicaciones y otros componentes programables configurables del sistema».

Las normas IEC 62443 cubren todos los aspectos de la seguridad cibernética en todas las etapas y son la piedra angular de un enfoque seguro por diseño.

Como tal, es necesaria una descripción general amplia de las publicaciones de IEC 62443, ya que son relevantes para todas las redes de comunicación industrial y los usuarios de IACS, incluidos los propietarios de activos, integradores de sistemas, fabricantes de equipos, proveedores, operadores de instalaciones, profesionales de mantenimiento y todas las organizaciones privadas y gubernamentales involucradas. con, o afectado por, la seguridad cibernética del sistema de control «( IEC / TS 62443-1-1 Redes de comunicaciones industriales – Seguridad de redes y sistemas – Parte 1-1: Terminología, conceptos y modelos).

La serie de normas IEC 62443 está organizada en cuatro partes que abarcan lo siguiente:

  • General (IEC 62443-1. * – una parte de cuatro publicada)
  • Políticas y procedimientos (IEC 62443-2. ​​* – publicadas tres partes de cuatro)
  • Sistema (IEC 62443-3. * – publicadas las tres partes)
  • Componentes (IEC 62443-4. * – ambas partes publicadas).

Enfoque distintivo y de amplio alcance

Muchas empresas e industrias que utilizan TI han tenido sistemas de gestión de seguridad cibernética (CSMS) bien establecidos, tal como se define en las normas ISO / IEC 27001 e ISO / IEC 27002 para la seguridad de la información, desarrolladas por el Comité Técnico Conjunto de Tecnología de la Información ( ISO / IEC JTC 1 ), establecido por IEC e ISO.

Por su parte, la serie IEC 62443 incluye seguridad tanto para TI como para TO. Esta integración IT-OT cubre múltiples aspectos y proporciona un marco flexible para abordar y mitigar las vulnerabilidades de seguridad actuales y futuras en IACS.

La parte general IEC 62443, IEC / TS 62443-1-1 : 2009 «define la terminología, conceptos y modelos para la seguridad IACS. Establece la base para el resto de normas de la serie IEC 62443». Enumera los siguientes siete requisitos fundamentales:

  • control de identificación y autenticación (IAC),
  • control de uso (UC),
  • integridad del sistema (SI),
  • confidencialidad de los datos (DC),
  • flujo de datos restringido (RDF),
  • respuesta oportuna a eventos (TRE), y
  • disponibilidad de recursos (RA).

En políticas y procedimientos, IEC 62443-2-1: 2010 «define los elementos necesarios para establecer un CSMS para IACS y proporciona orientación sobre cómo desarrollar esos elementos. Los elementos CSMS descritos en esta norma son principalmente políticas, procedimientos, prácticas y personal -relacionado, describiendo lo que debe o debe incluirse en el CSMS final para la organización «.

IEC TR 62443-2-3: 2015 , se ocupa de la gestión de parches en el entorno IACS y «describe los requisitos para los propietarios de activos y proveedores de productos IACS que han establecido y ahora mantienen un programa de gestión de parches IACS».

Este Informe Técnico recomienda un formato definido para la distribución de información sobre parches de seguridad de los propietarios de activos a los proveedores de productos IACS. También proporciona una definición de algunas de las actividades asociadas con el desarrollo de la información del parche por parte de los proveedores de productos de IACS y la implementación e instalación de los parches por parte de los propietarios de los activos.

El formato de intercambio y las actividades se definen para su uso en parches relacionados con la seguridad; sin embargo, también puede ser aplicable a parches o actualizaciones no relacionados con la seguridad. (…) No distingue entre los proveedores de productos que suministran los componentes de infraestructura o las aplicaciones IACS; proporciona una guía para todos los parches aplicables (…) »

IEC 62443-2-4: 2017 , especifica los requisitos para las capacidades de seguridad para los proveedores de servicios IACS que pueden ofrecer al propietario del activo durante las actividades de integración y mantenimiento de una solución de automatización.

La parte del sistema, IEC TR 62443-3-1: 2009 , Redes de comunicaciones industriales – Seguridad de redes y sistemas – Tecnologías de seguridad para IACS, «proporciona una evaluación actual de varias herramientas de seguridad cibernética, contramedidas de mitigación y tecnologías que pueden aplicarse efectivamente a los IACS modernos de base electrónica que regulan y supervisan numerosas industrias e infraestructuras críticas.

Describe varias categorías de tecnologías de seguridad cibernética centradas en el sistema de control, los tipos de productos disponibles en esas categorías, los pros y los contras de usar esos productos en los entornos IACS automatizados, en relación con las amenazas esperadas y las vulnerabilidades cibernéticas conocidas y, lo que es más importante , las recomendaciones preliminares y la guía para el uso de estos productos de tecnología de seguridad cibernética y / o contramedidas.

IEC 62443-3-2: 2020 , Seguridad para IACS se centra en la evaluación de riesgos de seguridad para el diseño de sistemas. Entre otras cosas, establece requisitos para:

• definir un sistema en consideración (SUC) para un IACS

• dividir el SUC en zonas y conductos

• evaluar el riesgo para cada zona y conducto

• establecer el nivel de seguridad objetivo (SL-T) para cada zona y conducto

• documentar los requisitos de seguridad.

En lo que respecta a los componentes, IEC 62443-4-1: 2018 se centra en los requisitos del ciclo de vida del desarrollo de productos seguros. «Especifica los requisitos del proceso para el desarrollo seguro de productos utilizados en los sistemas de control y automatización industrial (…).
Define los requisitos del ciclo de vida del desarrollo seguro relacionados con la seguridad cibernética para los productos destinados a su uso en el entorno IACS y proporciona orientación sobre cómo cumplir con los requisitos descritos para cada elemento. La descripción del ciclo de vida incluye la definición de los requisitos de seguridad, el diseño seguro, la implementación segura (incluidas las directrices de codificación), la verificación y validación, la gestión de defectos, la gestión de parches y el final de la vida útil del producto.
Estos requisitos se pueden aplicar a procesos nuevos o existentes para desarrollar, mantener y retirar hardware, software o firmware «.

Estos requisitos solo se aplican al desarrollador y mantenedor del producto, y no se aplican al integrador o al usuario del producto.

En cuanto a IEC 62443-4-2: 2019 , Requisitos técnicos de seguridad para componentes IACS , proporciona requisitos detallados de componentes del sistema de control técnico asociados con los siete requisitos fundamentales enumerados [arriba] en IEC TS 62443-1-1, incluida la definición de los requisitos para niveles de seguridad de la capacidad del sistema de control y sus componentes.

IEC 62443 se establece para ser adoptado en más sistemas y sectores

Garantizar la seguridad cibernética es una preocupación creciente para las industrias en las que los ataques cibernéticos pueden dirigirse tanto a sistemas de TI como de OT. Por esta razón, muchos confían cada vez más en la serie IEC 62443 para la protección cibernética, la mitigación de riesgos y la resiliencia, además de otros estándares.

En el sector de la energía, las redes y sistemas de servicios públicos dependen de las normas IEC 62443, entre otras, para reducir los riesgos cibernéticos. Esto se aplica también a las centrales nucleares y a una gama de sistemas de almacenamiento de energía . Las instalaciones hidroeléctricas también se basan en IEC 62443.

En los sistemas de transporte, las redes ferroviarias , el transporte marítimo y la aviación dependen también de IEC 62443 para prevenir o mitigar los riesgos cibernéticos.

Asimismo, las normas IEC 62443 son esenciales para la automatización industrial , particularmente con la rápida introducción de dispositivos industriales de Internet de las cosas.

Las empresas internacionales de ingeniería y las sociedades de clasificación mencionan su cumplimiento de las normas IEC 62443 como evidencia de la calidad de los productos y servicios que brindan.

Por lo tanto, la adopción más amplia de las normas IEC 62443 está preparada para avanzar rápidamente.

Fuente: Link

Eduardo Kando - avatar
About the author: Eduardo Kando Verified Member WiseGroup Manager

Get Involved & Participate!

The moment is now!
The experience meets opportunity!
Register

Comments

Sin comentarios aún