لوگوی ویکی دانا – دانشنامه آزاد ویکی‌دانا

استاندارد IEC 62443

IEC 62443
📅 26 خرداد 1405 📄 1,437 کلمه 🔗 منبع اصلی
امنیت سایبری استانداردهای بین‌المللی اتوماسیون صنعتی

چکیده

استاندارد IEC 62443 مجموعه‌ای بین‌المللی برای امنیت سایبری در سیستم‌های اتوماسیون و کنترل صنعتی است. این استاندارد با تقسیم‌بندی نقش‌ها و رویکرد مبتنی بر ریسک، الزامات فنی و فرآیندی را برای به حداقل رساندن تهدیدات سایبری تعریف می‌کند.

مقدمه

استاندارد IEC 62443 مجموعه‌ای از استانداردهای بین‌المللی است که امنیت سایبری فناوری‌های عملیاتی در سیستم‌های اتوماسیون و کنترل را هدف قرار داده است. این استاندارد به بخش‌های مختلفی تقسیم شده و جنبه‌های فنی و فرآیندی امنیت در این سیستم‌ها را شرح می‌دهد.

مباحث امنیتی در این استاندارد بر اساس دسته‌بندی ذی‌نفعان و نقش‌ها تفکیک شده‌اند که شامل موارد زیر است:

  • اپراتورها
  • ارائه‌دهندگان خدمات (خدمات یکپارچه‌سازی و نگهداری)
  • تولیدکنندگان قطعات و سیستم‌ها

هر یک از این نقش‌ها، برای پیشگیری و مدیریت ریسک‌های امنیتی در فعالیت‌های خود، از رویکردی مبتنی بر ریسک پیروی می‌کنند.

تاریخچه

به عنوان یک استاندارد بین‌المللی، خانواده استانداردهای IEC 62443 حاصل فرآیند تدوین کمیسیون الکتروتکنیک بین‌المللی (IEC) است؛ فرآیندی که در آن تمامی کمیته‌های ملی مشارکت‌کننده بر یک استاندارد مشترک توافق می‌کنند. سازمان‌ها و کمیته‌های متعددی، ورودی‌های خود را به گروه‌های کاری IEC ارائه دادند و به شکل‌گیری این خانواده استاندارد کمک کردند.

از سال ۲۰۰۲، انجمن بین‌المللی اتوماسیون (ISA) - که یک جامعه مهندسی حرفه‌ای و سازمان توسعه استانداردهای معتبر ANSI است - کمیته استانداردهای امنیت سیستم‌های اتوماسیون و کنترل صنعتی (ISA99) را تأسیس کرد. این کمیته، مجموعه‌ای چندبخشی از استانداردها و گزارش‌های فنی درباره امنیت سایبری سیستم‌های اتوماسیون و کنترل صنعتی (IACS) تدوین کرد. این محصولات در ابتدا به عنوان استانداردهای آمریکای شمالی ANSI منتشر شدند و بعدها در سال ۲۰۱۰، شماره‌گذاری آن‌ها به سری ANSI/ISA-62443 تغییر یافت. محتوای این سری، به گروه‌های کاری IEC ارائه و توسط آن‌ها مورد استفاده قرار گرفت.

همزمان، انجمن‌های مهندسی آلمانی VDI و VDE در سال ۲۰۱۱ دستورالعمل‌های VDI/VDE 2182 را منتشر کردند. این دستورالعمل‌ها نحوه برخورد با امنیت اطلاعات در محیط‌های اتوماسیون صنعتی را شرح می‌دادند و در نهایت به گروه‌های کاری IEC ارائه شدند.

در سال ۲۰۲۱، IEC خانواده استانداردهای IEC 62443 را به عنوان «استانداردهای افقی» تأیید کرد. این بدان معناست که هنگام توسعه استانداردهای خاص هر صنعت برای فناوری‌های عملیاتی، استاندارد IEC 62443 باید به عنوان پایه الزامات امنیتی مورد استفاده قرار گیرد. این رویکرد از پراکندگی و تداخل الزامات امنیتی در صنایع مختلف که از فناوری‌ها یا محصولات مشابهی استفاده می‌کنند، جلوگیری می‌کند.

ساختار

سری استانداردهای IEC 62443 با عنوان «شبکه‌های ارتباطی صنعتی - امنیت شبکه و سیستم» به چهار بخش اصلی تقسیم می‌شود:

  1. کلیات: مباحث مشترک و عمومی کل سری را پوشش می‌دهد.
  2. سیاست‌ها و رویه‌ها: بر روش‌ها و فرآیندهای مرتبط با امنیت IACS تمرکز دارد.
  3. سیستم: الزامات را در سطح سیستم بیان می‌کند.
  4. قطعات و الزامات: الزامات دقیق و جزئی برای محصولات IACS را ارائه می‌دهد.

بخش‌های منتشر شده این استاندارد به شرح زیر هستند:

  • بخش ۲-۱: این بخش اپراتورهای راهکارهای اتوماسیون را هدف قرار داده و الزامات نحوه در نظر گرفتن امنیت در طول بهره‌برداری از نیروگاه‌ها را تعریف می‌کند (به ISO/IEC 27001 مراجعه کنید).
  • بخش ۲-۴: الزامات (یا قابلیت‌های) لازم برای یکپارچه‌سازها را تعریف می‌کند. این الزامات به ۱۲ موضوع تقسیم می‌شوند: اطمینان، معماری، ارتباط بی‌سیم، مهندسی امنیت سیستم‌ها، مدیریت پیکربندی، دسترسی از راه دور، مدیریت رویداد و ثبت وقایع، مدیریت کاربران، محافظت از بدافزار، مدیریت وصله‌ها، پشتیبان‌گیری و بازیابی، و نیروی انسانی پروژه.
  • بخش ۴-۱: این بخش مشخص می‌کند که فرآیند توسعه محصول امن باید چگونه باشد. این فرآیند به هشت حوزه تقسیم می‌شود: مدیریت توسعه، تعریف الزامات امنیتی، طراحی راهکارهای امنیتی، توسعه امن، تست ویژگی‌های امنیتی، مدیریت آسیب‌پذیری‌ها، ایجاد و انتشار به‌روزرسانی‌ها، و مستندسازی ویژگی‌های امنیتی.
  • بخش ۴-۲: الزامات فنی برای محصولات و اجزا را تعریف می‌کند. این الزامات نیز مانند الزامات سیستم‌ها به ۱۲ حوزه تقسیم می‌شوند. علاوه بر الزامات فنی، محدودیت‌های امنیتی مشترک اجزا (CCSC) نیز تعریف شده‌اند که برای انطباق با این بخش باید رعایت شوند:
    • CCSC 1: اجزا باید ویژگی‌های امنیتی عمومی سیستمی که در آن استفاده می‌شوند را در نظر بگیرند.
    • CCSC 2: الزامات فنی که خود قطعه نمی‌تواند برآورده کند، باید با اقدامات جبرانی در سطح سیستم تأمین شوند (طبق IEC 62443-3-3) و در مستندات قطعه ذکر گردند.
    • CCSC 3: اصل «حداقل دسترسی» (Least Privilege) باید در قطعه اعمال شود.
    • CCSC 4: قطعه باید طی فرآیندهای توسعه منطبق با IEC 62443-4-1 توسعه یافته و پشتیبانی شود.

سطح بلوغ و سطح امنیت

استاندارد IEC 62443 سطوح مختلفی از بلوغ را برای فرآیندها و الزامات فنی توصیف می‌کند. سطوح بلوغ فرآیندی بر اساس چارچوب یکپارچه مدل بلوغ قابلیت (CMMI) تعریف شده‌اند.

سطح بلوغ

بر اساس CMMI، این استاندارد سطوح بلوغ فرآیندی را به شرح زیر دسته‌بندی می‌کند. برای تحقق هر سطح، تمامی الزامات مرتبط باید در طول توسعه یا یکپارچه‌سازی محصول به طور کامل اجرا شوند؛ انتخاب فقط برخی معیارها (Cherry picking) فاقد اعتبار است.

  • سطح ۱ - اولیه: توسعه محصول معمولاً به صورت موردی، بدون مستندسازی یا با مستندسازی ناقص انجام می‌شود.
  • سطح ۲ - مدیریت شده: توسعه محصول طبق دستورالعمل‌های مکتوب مدیریت می‌شود. پرسنل اجراکننده فرآیند باید تخصص لازم داشته و دستورالعمل‌ها را دنبال کنند. فرآیندها قابل تکرار هستند.
  • سطح ۳ - تعریف شده (تطبیق شده): فرآیند در سراسر سازمان تامین‌کننده قابل تکرار است و شواهدی از اجرای عملی آن وجود دارد.
  • سطح ۴ - بهبودیافته: تامین‌کننده از معیارهای مناسب برای پایش اثربخشی فرآیند استفاده کرده و بهبود مستمر آن را نشان می‌دهد.

سطح امنیت

الزامات فنی برای سیستم‌ها و محصولات در این استاندارد با چهار سطح امنیت (SL) ارزیابی می‌شوند. این سطوح مقاومت در برابر طبقات مختلف مهاجمان را نشان می‌دهند. استاندارد تأکید دارد که این سطوح باید به ازای هر الزام فنی ارزیابی شوند و برای طبقه‌بندی کلی محصولات مناسب نیستند.

  • سطح ۰: نیازی به حفاظت یا الزام خاصی وجود ندارد.
  • سطح ۱: حفاظت در برابر استفاده اشتباه غیرعمدی یا تصادفی.
  • سطح ۲: حفاظت در برابر سوءاستفاده عمدی با ابزارهای ساده، منابع کم، مهارت‌های عمومی و انگیزه پایین.
  • سطح ۳: حفاظت در برابر سوءاستفاده عمدی با ابزارهای پیشرفته، منابع متوسط، دانش تخصصی IACS و انگیزه متوسط.
  • سطح ۴: حفاظت در برابر سوءاستفاده عمدی با ابزارهای پیچیده، منابع گسترده، دانش تخصصی IACS و انگیزه بالا.

مفاهیم کلیدی

این استاندارد اصول پایه‌ای را توضیح می‌دهد که باید توسط تمام نقش‌ها در همه فعالیت‌ها رعایت شوند.

دفاع در عمق

دفاع در عمق مفهومی است که در آن چندین لایه امنیتی در سراسر سیستم توزیع می‌شود. هدف آن ایجاد افزونگی است تا در صورت از کار افتادن یک لایه امنیتی یا سوءاستفاده از یک آسیب‌پذیری، لایه‌های دیگر حفاظت کنند.

مناطق و مجاری

مناطق (Zones) با گروه‌بندی دارایی‌ها (منطقی یا فیزیکی) که الزامات امنیتی مشترکی دارند، سیستم را به بخش‌های همگون تقسیم می‌کنند. این الزامات با سطح امنیت (SL) تعیین می‌شوند که خود حاصل تحلیل ریسک است.

مناطق دارای مرزهایی هستند که عناصر داخلی را از خارج جدا می‌کنند. اطلاعات درون و بین مناطق جابه‌جا می‌شود. هر منطقه می‌تواند به زیرمناطقی با سطوح امنیتی متفاوت تقسیم شود که همین امر، پیاده‌سازی دفاع در عمق را ممکن می‌سازد.

مجاری (Conduits) عناصری را گروه‌بندی می‌کنند که امکان ارتباط بین دو منطقه را فراهم می‌آورند. آن‌ها عملکردهای امنیتی برای ارتباط امن ارائه داده و همزیستی مناطق با سطوح امنیتی مختلف را میسر می‌سازند.

گواهینامه‌های استاندارد

فرآیندها، سیستم‌ها و محصولات مورد استفاده در محیط‌های اتوماسیون صنعتی می‌توانند بر اساس IEC 62443 گواهینامه دریافت کنند. بسیاری از شرکت‌های آزمایش، بازرسی و گواهینامه (TIC) خدمات خود را بر این استاندارد ارائه می‌دهند. با اخذ اعتبار بر اساس سری استانداردهای ISO/IEC 17000، این شرکت‌ها مجموعه یکسانی از الزامات را برای صدور گواهینامه اعمال می‌کنند که ارزش و اعتبار گواهینامه‌های انطباق را بالا می‌برد.

طرح‌های گواهینامه معتبر

چندین شرکت جهانی TIC، طرح‌های گواهینامه‌ای IEC 62443 را تأسیس کرده‌اند. این طرح‌ها بر اساس استانداردهای مرجع بوده و روش‌های آزمون، سیاست‌های حسابرسی و مستندسازی را تعیین می‌کنند. نهادهای گواهینامه شناخته‌شده‌ای مانند Bureau Veritas، TÜV Rheinland، TÜV SÜD و UL این خدمات را در سطح جهانی ارائه می‌دهند.

زیرساخت جهانی نهادهای اعتباربخشی ملی (AB) ارزیابی یکسانی را تضمین می‌کند. این نهادها مطابق الزامات ISO/IEC 17011 عمل کرده و توافق‌نامه‌های شناسایی متقابل (MLA) باعث می‌شود گواهینامه‌های صادر شده در سطح بین‌المللی به رسمیت شناخته شوند.

طرح CB متعلق به IECEE

طرح نهاد گواهینامه IECEE یک توافق‌نامه چندجانبه است که دسترسی سازندگان محصولات الکتریکی و الکترونیکی به بازار را تسهیل می‌کند. تحت این طرح، فرآیندها، محصولات و سیستم‌ها می‌توانند بر اساس IEC 62443 گواهینامه شوند. محصولی که توسط آزمایشگاه معتبر (CBTL) مطابق این استاندارد آزمون شود، می‌تواند از گزارش خود به عنوان پایه‌ای برای اخذ تأییدیه‌های ملی مانند GS، CCC یا PSE استفاده کند.

طرح ISASecure

مؤسسه انطباق امنیت ISA (ISCI) طرح ارزیابی انطباقی را ایجاد کرده که تحت برند ISASecure فعالیت می‌کند. این طرح برای گواهینامه سیستم‌ها، اجزا و فرآیندها استفاده می‌شود و در دسامبر ۲۰۲۲ به گواهینامه اجزای IIOT نیز گسترش یافت. نهادهای گواهینامه در این طرح به طور مستقل اعتباربخشی می‌شوند تا تضمین شود گواهینامه‌ها در سراسر جهان به رسمیت شناخته می‌شوند.

ISCI گواهینامه‌های متعددی ارائه می‌دهد:

  • SSA: گواهینامه اطمینان امنیت سیستم بر اساس بخش‌های ۳-۳ و ۴-۱.
  • CSA: گواهینامه اطمینان امنیت اجزای اتوماسیون بر اساس بخش‌های ۴-۱ و ۴-۲.
  • ICSA: گواهینامه اطمینان امنیت اجزای IIOT با ۱۷ الحاقیه ویژه برای ویژگی‌های منحصربه‌فرد این اجزا.
  • SDLA: گواهینامه اطمینان چرخه توسعه امن برای سازمان‌های توسعه‌دهنده بر اساس بخش ۴-۱.
  • EDSA: گواهینامه اطمینان امنیت دستگاه‌های تعبیه‌شده که با انتشار رسمی بخش ۴-۲ در سال ۲۰۱۸ جای خود را به CSA داد.
در سال ۲۰۲۳، ISASecure از توسعه گواهینامه جدیدی به نام ACSSA برای ارزیابی و گواهینامه سیستم‌های در حال بهره‌برداری در سایت مالکان دارایی خبر داد که قرار است در پایان سال ۲۰۲۴ تکمیل شود.

جمع‌بندی

استاندارد IEC 62443 چارچوبی جامع و چندلایه برای تأمین امنیت سایبری سیستم‌های کنترل و اتوماسیون صنعتی ارائه می‌دهد. این استاندارد با تعریف سطوح بلوغ و امنیت، و همچنین مفاهیمی چون دفاع در عمق، به سازمان‌ها کمک می‌کند تا تهدیدات را بر اساس ریسک مدیریت کنند. دریافت گواهینامه‌های معتبر این استاندارد، اعتبار محصولات و فرآیندها را در بازار جهانی تضمین می‌کند.

کلمات کلیدی

امنیت سایبری صنعتی استاندارد IEC 62443 اتوماسیون و کنترل سیستم‌های کنترل صنعتی دفاع در عمق
🔀 مقاله تصادفی 🏠 صفحه اصلی