La norma IEC 62443 è lo standard internazionale di riferimento per la Industrial Cyber Security di componenti e sistemi sviluppati in conformità ai requisiti ISA/IEC.

Gli standard fissati dalla IEC 62443

Le parti più rilevanti dello standard di Industrial Cyber Security, per lo sviluppo di prodotti sicuri durante l’intero ciclo di vita, e anche per ottenere la certificazione ISASecure®, sono:

• Parte 1-1: Introduce i concetti e i modelli utilizzati in tutto lo schema. Il destinatario è chiunque desideri acquisire familiarità con i concetti fondamentali che costituiscono la base di questi standard.
• Parte 2-1: La definizione di un programma di sicurezza per i sistemi di controllo descrive ciò che è necessario per definire e implementare un efficace sistema di gestione della sicurezza informatica. I destinatari sono gli end user che hanno la responsabilità della progettazione e dell’attuazione di tale programma.
• Parte 3-2: Affronta il Cyber Security Risk Assessment e la progettazione del sistema. Il risultato di questi processi è una valutazione del rischio su livelli di sicurezza, documentati nella specifica dei requisiti di cyber security. Questo standard è rivolto principalmente a end user e system integrator
• Parte 3-3: Descrive i requisiti per un IACS in base al suo livello di sicurezza. Si rivolge ai fabbricanti di componenti e sistemi, system integrator e end user.
• Parte 4-1: Descrive i requisiti del ciclo di vita dello sviluppo della sicurezza (Cyber Security Lifecycle) del fabbricante, al quale la parte 4-1 si rivolge.
• Parte 4-2: Descrive i requisiti per i componenti IACS in base al loro livello di sicurezza. I componenti IACS includono embedded devices, host devices, network devices e applicazioni software. Questa parte si rivolge ai costruttori di componenti IACS.

Scarica l’infografica

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

Ruoli principali descritti dalla IEC 62443

Come citato, lo standard IEC 62443 identifica 3 diversi stakeholder coinvolti nella sicurezza del prodotto:

• End user (che la norma definisce Asset Owner) è l’organizzazione responsabile e responsabile dell’IACS. Il proprietario dell’asset è anche l’operatore dell’IACS e dell’EUC (Equipment Under Control).
• System integrator (che la norma definisce Integration Service Provider) è l’organizzazione che fornisce attività di integrazione per una soluzione di automazione, tra cui progettazione, installazione, configurazione, test, messa in servizio e consegna al proprietario dell’asset. Il fornitore di servizi di integrazione può anche facilitare e assistere nell’attività di valutazione del rischio.
• Costruttore (che la norma definisce Product Supplier) è l’organizzazione che produce e supporta un prodotto hardware e/o software. I prodotti possono includere sistemi IACS e componenti IACS come embedded device, host device, network device e applicazioni software.

Maggiori informazioni:

• Cos’è la Certificazione ISASecure®

• Vantaggi della Certificazione ISASecure®

L’immagine sotto mostra la relazione tra i 3 ruoli e come questi interagiscono tra loro.

La norma definisce un quarto ruolo, il Maintenance Service Provider, che è l’individuo o l’organizzazione che fornisce attività di supporto per una soluzione di automazione, ma che non partecipa attivamente al processo di certificazione ISASecure®.