L'obiettivo della norma IEC 62443 è la tutela dell'End User. Lo standard suggerisce come centrare lo scopo attraverso specifici piani, procedure e controllo degli artefatti.
Scopri la consulenza per il ciclo di vita della sicurezza
L’implementazione del ciclo di vita per la progettazione e fabbricazione di sistemi conformi agli standard di Industrial Cyber Security si basa sulla rispondenza tecnica del sistema, macchina o impianto, ai requisiti della norma IEC 62443, ed apre la strada anche a successivi processi di certificazione di Cyber Security OT.
Le attività raccomandate dagli standard IEC 62443 si concentrano sull’architettura, le policy e i test prima dell’installazione delle soluzioni di automazione.
La nostra consulenza per lo sviluppo del ciclo di vita della sicurezza OT prevede una serie di attività modulari che agevolano integratori e costruttori nel soddsifare la conformità agli standard IEC 62443:
- Security Plan per gli Integratori di Sistema. Il piano di sicurezza si riferisce ai documenti del sistema di gestione sviluppati dall’integratore per altri scopi. Il nostro intervento è di supporto nello sviluppo del piano di sicurezza informatica per implementare i requisiti IEC 62443-2-4, considerando l’ambito contrattuale specifico dell’integratore. La consulenza prevede inoltre lo sviluppo delle Policy di sicurezza da implementare sul progetto, legate ad esempio alla protezione dell’end point, all’accesso remoto, al backup e alla gestione delle patch.
- Supporto all’Architettura di Sistema. La definizione dell’architettura di sicurezza prende in considerazione il diagramma Zone & Conduit suggerito dagli standard. Vi supportiamo per organizzaee la rete e il flusso di dati consentito dalle specifiche di sicurezza, come prova della conformità alla norma IEC 62443 per un determinato SL-T.
- Analisi dei Requisiti di Cyber Security. I requisiti indicati dal cliente finale a volte possono risultare generici o con richieste particolari che esulano dallo standard IEC 62443. Per questo vi aiutimo con l’analisi di dettaglio dei requisiti, il supporto alla loro applicazione e l’identificazioni delle richieste che potrebbero risultare non applicabili su prodotti standard.
- Procedure di Test. I requisiti di sicurezza devono essere testati al termine della messa in servizio rispetto alle specifiche di Cyber Security per confermare all’utilizzatore finale, quando contrattualmente previsto, che il progetto implementa tali requisiti. La procedura che prepariamo per l’integratore copre la revisione della configurazione del dispositivo, i test di vulnerabilità, la verifica del backup, la gestione delle patch e tutte le funzionalità di sicurezza implementate attraverso le specifiche. Le modalità per il collaudo sono allegate alla procedura, se svolte in autonomia dall’integratore o, se richiesto, svolte dai nostri specialisti.
- Procedure Operative. Dopo lo sviluppo del progetto e la consegna, l’utilizzatore ha bisogno di procedure di sicurezza per far funzionare correttamente il sistema e mantenere nel tempo il corretto livello di sicurezza. Ciò comporta procedure descrittive su come eseguire il backup e il ripristino, la gestione degli account, la gestione delle patch, il monitoraggio e tutte le altre attività correlate all’ambito della fornitura. Per soddisfare tali esigenze, supportiamo l’integratore e il costruttore nello sviluppo delle procedure operative in conformità con la norma IEC 62443-2-4.
- Security Plan per i Costruttori di Macchine e Impianti. I produttori di macchine e di grandi impianti sono a tutti gli effetti fornitori ai sensi della norma IEC 62443 per i sistemi che compongono le macchine configurate su progetti specifici. Più sviluppato è il Security Plan, più la macchina è robusta in termini di sicurezza informatica e più agevolato è il lavoro anche per l’integratore di sistema. Per questo, il produttore può a sua volta implementare processi conformi alla Cyber Security OT con il nostro supporto, compresa la possibilità di certificare il processo in base agli standard ISA/IEC.
- Supporto per la Conformità degli Artefatti. Quando viene implementato nello sviluppo del prodotto, lo standard IEC 62443-4-1 richiede gli artefatti per ogni prodotto specifico sviluppato. Ciò comprende il Threat Modeling e la valutazione del rischio, le specifiche di sicurezza informatica, le procedure di test, la documentazione di progettazione, lo sviluppo e l’implementazione di patch; attività e documentazione che produciamo interamente sia per l’integratore che per il costruttore.
Le attivitià per l’ICS Lifecycle, se aggregate, costituiscono una consulenza completa; su richiesta, possono essere concordate separatamente.
FAQ
In termini IEC 62443/ISA 99, si definisce sistema OT un “sistema di controllo”, ossia un componente hardware o software destinato a essere integrato in un impianto di automazione e controllo industriale finale. Sono esempi di sistemi OT i PLC, HMI, i sistemi SCADA, i sistemi strumentati di sicurezza.
I riferimenti normativi all’interno dello standard IEC 62443 che si rivolgono ai fabbricanti di dispositivi OT sono contenuti nelle parti IEC 62443-4-1 e IEC 62443-4-2, relativamente ai requisiti di progettazione in conformità con la norma per sistemi, sottosistemi o componenti hardware o software.
Come definito all’interno della IEC 62443-4-1, il fabbricante è tenuto a implementare determinate pratiche di cyber security durante lo sviluppo del prodotto:
- Specifiche di Cyber Security (Specification of Security Guidelines)
- In fase di progettazione (Security by design)
- In fase di implementazione (Secure Implementation)
- In fase di collaudo (Security V&V Testing)
- Linee guida generali sul prodotto (Security Guidelines)
Servizi correlati
Suggerimenti
IEC 62443 Best Practices di riferimento per la Cybersecurity OT
Anche se molte aziende sono ancora scettiche nei confronti della prevenzione del rischio informatico, possiamo […]
Leggi l'articolo
Cos’è la certificazione ISASecure®
ISASecure® è uno schema di valutazione della conformità di terzi basato sulla serie di standard […]
Leggi l'articolo
Vantaggi della certificazione ISASecure®
La certificazione rilasciata da un organismo accreditato ISASecure® è il più alto riconoscimento a livello […]
Leggi l'articoloPerché sceglierci
- Abbiamo maturato esperienza nell'ambito della Cyber Security OT dal 2014
- Testiamo le soluzioni di Cyber Security OT nel nostro laboratorio interno
- I nostri tecnici sono certificati IEC 62443/ISA 99 (Fundamentals Specialist e Cyber Security Risk Assessment Specialist)
- Siamo specializzati nel campo dell'automazione e delle reti OT
- Collaboriamo con i principali fornitori di tecnologie per suggerire sempre la soluzione OT più indicata
- La nostra divisione interna BYHON è Ente Accreditato ISASecure® per la certificazione di Cyber Security OT
- Siamo Digital Transition Partner di Siemens Italia
Dicono di noi
-
"Their flexible and innovative approach to Cyber Security Risk Assessment had been the key for the success of our conformity project according to IEC 62443 standards."
Zach System
-
"We highly recommend H-ON Consulting service for their expert industrial knowledge concerning machines, process, digital data."
DAB PUMPS
-
"We recommend H-ON Consulting because they are a firm that shares inspiring values, such as continuous professional growth and innovation seeking."
Körber Tissue
-
"The biggest benefit our company received working with H-ON Consulting was a combination of on-going flexibility and most of all speed of delivery."
Sirio Sistemi Elettronici
-
"The collaboration was a very successful experience for both companies."
Cybertech
