Definition und Zweck

IEC 62443 konzentriert sich auf die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen während ihres gesamten Lebenszyklus. Das Ziel dieser Standards ist es, einen systematischen und praktischen Ansatz zur Sicherung von IACS in verschiedenen Sektoren anzubieten und die Sicherheit und Zuverlässigkeit von Systemen zu gewährleisten, die integraler Bestandteil der industriellen Infrastruktur der Welt sind.

Gremium

Die Standards werden von der Internationalen Elektrotechnischen Kommission (IEC) in Zusammenarbeit mit der Internationalen Gesellschaft für Automatisierung (ISA) entwickelt und gepflegt.

Zuletzt aktualisiert

ISA/IEC 62443 wurde 2018 veröffentlicht.

Gilt für

IEC 62443 gilt für industrielle Automatisierungs- und Steuerungssysteme in einer Reihe von Branchen. Dazu gehören Fertigung, Öl und Gas, Energieversorger, Wasseraufbereitung und andere Sektoren, die Automatisierungs- und Steuerungssysteme einsetzen.

Kontrollen und Anforderungen

IEC 62443 besteht aus mehreren Teilen, wobei jeder Teil verschiedene Aspekte der IACS-Sicherheit behandelt. Einige bemerkenswerte Teile sind:

• IEC 62443-2-1: Legt Anforderungen zur Implementierung eines IACS-Sicherheitsmanagementsystems fest.
• IEC 62443-3-3: Systemanforderungen an die Sicherheit und Sicherheitsstufen.
• IEC 62443-4-1: Anforderungen an den sicheren Produktentwicklungszyklus.

Wichtige Anforderungen und Kontrollen decken Bereiche ab wie:

• Sicherheitsrichtlinien und -verfahren
• System-Patch-Management
• Sicherheitsrisikobewertungen
• Strategien für die Verteidigung in der Tiefe
• Notfallplanungen
• Sicherheitstraining und Sensibilisierung
• Sicheres Systemdesign und -architektur
• Zugriffskontrollmaßnahmen
• Sichere Codierungspraktiken für IACS-Software
• Regelmäßige Systemüberwachung und Protokollierung

Bitte konsultieren Sie die offizielle ISA/IEC 62443 Standarddokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Audittyp, Häufigkeit und Dauer

Abhängig vom Kontext können Audits von internen Teams oder externen Prüfern durchgeführt werden. Die Audits beinhalten typischerweise eine Kombination aus Dokumentationsüberprüfung, Interviews, Systemtests und Schwachstellenbewertungen. Während der Standard selbst keine feste Häufigkeit vorschreibt, schlagen Best Practices ein jährliches Audit oder eine Überprüfung vor, zusätzlich zu weiteren Überprüfungen nach wesentlichen Systemänderungen oder identifizierten Schwachstellen.

Die Dauer des Audits variiert je nach Größe und Komplexität des betreffenden IACS, dem Umfang des Audits und den spezifischen Teilen der IEC 62443-Norm, die angesprochen werden.