La norma IEC 62443 suggerisce che la sicurezza di un componente va di pari passo a specifici piani, procedure e controllo degli artefatti.
Scopri la consulenza per il ciclo di vita della sicurezza
L’implementazione del ciclo di vita per la progettazione e fabbricazione di componenti conformi agli standard di Industrial Cyber Security si basa sulla rispondenza tecnica del prodotto ai requisiti della norma IEC 62443, ed apre la strada anche a successivi processi di certificazione di Cyber Security OT.
Le attività raccomandate dagli standard IEC 62443 si concentrano sullo sviluppo del Threat Modeling, sulla stesura delle specifiche di prodotto, sulle procedure di test, l’implementazione del Security Plan, la revisione e l’auditing degli artefatti e del prodotto complessivo.
La nostra consulenza per lo sviluppo del ciclo di vita della sicurezza OT prevede una serie di attività modulari che agevolano i costruttori di componenti nel soddsifare la conformità agli standard IEC 62443:
- Sviluppo del Threat Modeling. La norma IEC 62443-4-1 richiede di eseguire l’identificazione delle minacce per indagare come le misure di sicurezza potrebbero essere sconfitte dagli attaccanti. Eseguimo il Threat Modeling con gli strumenti più indicati per il tipo di prodotto specifico (applicazioni software, componenti embedded, IoT o dispositivi di rete) con l’obiettivo di analizzare la robustezza delle misure di sicurezza.
- Specifiche di Prodotto. La capacità di sicurezza derivante dal Threat Modeling e dai requisiti contrattuali deve confluire all’interno di una specifica tecnica di sicurezza, in cui, per facilitare il costruttore, includiamo ciascun requisito di sicurezza da implementare fin dalla progettazione iniziale.
- Procedure di Test. Per convalidare i requisiti di sicurezza informatica, il prodotto deve essere testato come richiesto dalla norma IEC 62443-4-1; conduciamo le prove di tipo includendo le modalità di prova del prodotto in una procedura accompagnata dal test report che rilasciamo al costruttore.
- Security Plan per i Costruttori di Componenti. I produttori di componenti sono per eccellenza i fornitori ai sensi della norma IEC 62443. Per questo, col nostro supporto, il costruttore di componenti OT può implementare i processi di sicurezza informatica descritti nel ciclo di vita della norma IEC 62443-4-1, con la possibilità di certificare il processo in base agli standard ISA/IEC.
- Supporto per la Conformità degli Artefatti. Quando viene implementato nello sviluppo del prodotto, lo standard IEC 62443-4-1 richiede evidenza degli artefatti sviluppati per ogni prodotto. Ciò comprende il Threat Modling e la valutazione del rischio, le specifiche di sicurezza informatica, le procedure di test, la documentazione di progettazione, lo sviluppo e l’implementazione di patch; attività e documentazione che produciamo interamente per il costruttore.
- Revisione del Prodotto. Per soddisfare la conformità agli standard, è di aiuto eseguire una verifica di alto livello che evidenzi che vi siano i presupposti per la certificazione di Cyber Security del componente. La nostra consulenza prevede la revisione del livello di sicurezza ad alto livello di un prodotto specifico come richiesto dai requisiti IEC 62443-4-2, con l’obiettivo di confermare al fabbricante del prodotto se opportuno avviare un programma di certificazione oppure approfondire con una verifica più dettagliata.
- Audit della Security. Per avviare un programma di certificazione secondo ISASecure®, è importante verificare ad alto livello che i processi richiesti dalla norma IEC 62443-4-1 siano stati affrontati e implementati dal costruttore all’interno del proprio sistema di gestione, unitamente alla dimostrazione che il programma di sicurezza sia attivo all’interno della sua organizzazione. La nostra consulenza consiste nella verifica della presenza di tutti i processi richiesti dalle 8 pratiche standard stabilite da IEC 62443 e, di conseguenza, dell’idoneità ad avviare un processo di certificazione. In caso di criticità, il nostro compito è proporre soluzioni correttive e preparatorie al processo di certificazione del prodotto secondo gli standard ISA/IEC.
Le attivitià per l’ICS Lifecycle, se aggregate, costituiscono una consulenza completa; su richiesta, possono essere concordate separatamente.
FAQ
In termini IEC 62443/ISA 99, si definisce sistema OT un “sistema di controllo”, ossia un componente hardware o software destinato a essere integrato in un impianto di automazione e controllo industriale finale. Sono esempi di sistemi OT i PLC, HMI, i sistemi SCADA, i sistemi strumentati di sicurezza.
I riferimenti normativi all’interno dello standard IEC 62443 che si rivolgono ai fabbricanti di dispositivi OT sono contenuti nelle parti IEC 62443-4-1 e IEC 62443-4-2, relativamente ai requisiti di progettazione in conformità con la norma per sistemi, sottosistemi o componenti hardware o software.
Come definito all’interno della IEC 62443-4-1, il fabbricante è tenuto a implementare determinate pratiche di cyber security durante lo sviluppo del prodotto:
- Specifiche di Cyber Security (Specification of Security Guidelines)
- In fase di progettazione (Security by design)
- In fase di implementazione (Secure Implementation)
- In fase di collaudo (Security V&V Testing)
- Linee guida generali sul prodotto (Security Guidelines)
Servizi correlati
Suggerimenti
IEC 62443 Best Practices di riferimento per la Cybersecurity OT
Anche se molte aziende sono ancora scettiche nei confronti della prevenzione del rischio informatico, possiamo […]
Leggi l'articolo
Cos’è la certificazione ISASecure®
ISASecure® è uno schema di valutazione della conformità di terzi basato sulla serie di standard […]
Leggi l'articolo
Vantaggi della certificazione ISASecure®
La certificazione rilasciata da un organismo accreditato ISASecure® è il più alto riconoscimento a livello […]
Leggi l'articoloPerché sceglierci
- Abbiamo maturato esperienza nell'ambito della Cyber Security OT dal 2014
- Testiamo le soluzioni di Cyber Security OT nel nostro laboratorio interno
- I nostri tecnici sono certificati IEC 62443/ISA 99 (Fundamentals Specialist e Cyber Security Risk Assessment Specialist)
- Siamo specializzati nel campo dell'automazione e delle reti OT
- Collaboriamo con i principali fornitori di tecnologie per suggerire sempre la soluzione OT più indicata
- La nostra divisione interna BYHON è Ente Accreditato ISASecure® per la certificazione di Cyber Security OT
- Siamo Digital Transition Partner di Siemens Italia
Dicono di noi
-
"Their flexible and innovative approach to Cyber Security Risk Assessment had been the key for the success of our conformity project according to IEC 62443 standards."
Zach System
-
"The biggest benefit our company received working with H-ON Consulting was a combination of on-going flexibility and most of all speed of delivery."
Sirio Sistemi Elettronici
-
"We recommend H-ON Consulting because they are a firm that shares inspiring values, such as continuous professional growth and innovation seeking."
Körber Tissue
-
"The collaboration was a very successful experience for both companies."
Cybertech
-
"We highly recommend H-ON Consulting service for their expert industrial knowledge concerning machines, process, digital data."
DAB PUMPS
