IEC 62443

Erik Orrsjö

Det finns flera standarder och ramverk som har relevans för industriella informations- och styrsystem (ICS). En av dessa är ISA/IEC 62443. Syftet med 62443 är att förbättra ICS och ICS-komponenternas tillgänglighet, integritet och konfidentialitet, samt att ge kriterier som kan användas vid anskaffning och implementering av säkra system. Standarden vänder sig såväl till systemägare som till produkt- och tjänsteleverantörer.

Totalt består 62443 serien av fyra övergripande delar. Var och en av dessa innefattar standarder av relevans för såväl system- och anläggningsägare som produkt- och tjänsteleverantörer. De övergripande delarna är:

  • General: Behandlar ämnen gemensamma för hela serien, såsom begrepp och mått.
  • Policies and procedures: Fokuserar på policyer och procedurer kopplade till ICS-säkerhet, såsom ”patch management”.
  • System: Behandlar krav på systemnivå, såsom systemdesign och analys av säkerhetsrisker.
  • Component: Behandlar krav för produktutveckling och komponenter för ICS.

De olika delarna är strukturerade enligt samma logik. Dels finns vissa grundläggande krav för säkerhet, dels en tanke rörandes segmentering som innebär att olika delar av ett och samma system kan tilldelas olika säkerhetsnivåer och därmed olika strikta krav.

De grundläggande kraven är förenklat det följande:

  • Identifiering och autentisering: Att identifiera och autentisera alla användare innan de ges tillträde till kontrollsystemet
  • Användningskontroll: Att tilldela alla användare rättigheter som styr vilka åtgärder de kan utföra på systemet samt att övervaka användningen.
  • Systemintegritet: Att säkerställa systemets integritet genom att förhindra otillåten manipulation.
  • Konfidentialitet: Att säkerställa informationens konfidentialitet genom att förhindra att den avslöjas otillåtet.
  • Begränsat dataflöde: Att begränsa ett onödigt flöde av data genom att segmentera systemet via zoner och kanaler.
  • Incidenthantering: Att svara på säkerhetsöverträdelser genom att varsla rätt instans, rapportera evidens och att vidta korrigerande åtgärder.
  • Tillgänglighet till resurser: Att säkerställa tillgängligheten av systemets viktiga tjänster, alltså att säkerställa systemets motståndskraft.

Användning

Det är i nuläget inte fastställt hur utbredd användningen av 62443 är i Sverige, även om man kan se att det blir mer vanligt. En intervjustudie som har genomförts visar att standarden överlag uppges fungera som en målbild då alla delar av serien inte ännu är publicerade. På grund av detta används inte alla delar av varje enskild användare. Utan snarare väljs de delar ut fungerar som är relevanta och applicerbara. Vilka delar som används beror på om man är systemägare, produkt- eller tjänsteleverantör, samt på vad man själv eller ens leverantörer klarar av.