Consulenza IEC 62443
Per realizzare i vostri progetti di cybersecurity OT, inizia dal Risk Assessment sui sistemi di automazione
Richiedi un’analisi di dettaglio del rischio cyber col metodo IEC 62443.
La protezione delle infrastrutture critiche e delle risorse chiave è essenziale per la sicurezza e la produttività, per questo il servizio di OT Security Assessment si sviluppa dai pilastri della norma IEC 62443, da cui apprendere il metodo sistematico per la gestione del rischio cyber sugli impianti industriali.
Il servizio di OT Security Assessment che vi proponiamo prevede un percorso di analisi modulare che si sviluppa in due fasi:
- High Level Risk Assessment. Sviluppo della valutazione del rischio di alto livello IEC 62443 secondo il processo descritto nello standard IEC 62443-3-2, inclusa la logica aziendale.
- Low Level Risk Assessment. Sviluppo dettagliato della valutazione del rischio secondo il processo descritto nella norma IEC 62443-3-2, dopo una valutazione del rischio di alto livello. Il dettaglio viene eseguito in base al risultato di alto livello solo sugli asset più critici. L’analisi di dettaglio approfondisce quali minacce affliggono il sistema.
L’analisi si concentra su più fattori, quali le vulnerabilità già note, la loro complessità, quali contromisure e procedure sono state adottate in precedenza, e se vi siano pratiche operative già in essere per la corretta gestione del fattore umano, spesso principale veicolo di attacco cyber.
Con queste informazioni a disposizione, vi guideremo nella corretta redazione delle specifiche di cyber security per la protezione degli asset più critici installati nell’impianto finale.
Contattaci per realizzare i vostri progetti di Cyber Security OT con l’aiuto della consulenza.
Applica l'OT Security Lifecycle in conformità agli standard IEC 62443
Scopri tutte le opzioni di consulenza per implementare il ciclo di vita della cybersicurezza.
L’implementazione del ciclo di vita per la progettazione e fabbricazione di sistemi conformi agli standard di Industrial Cyber Security si basa sulla rispondenza tecnica del sistema, macchina o impianto, ai requisiti della norma IEC 62443, ed apre la strada alle regole per la certificazione di Cyber Security OT.
Le attività raccomandate dagli standard IEC 62443 si concentrano sull’architettura, le policy e i test prima dell’installazione delle soluzioni di automazione.
Le attivitià per il Lifecycle, se aggregate, costituiscono una consulenza completa; su richiesta, possono essere concordate separatamente:
- Security Plan per gli Integratori di Sistema. Il piano di sicurezza si riferisce ai documenti del sistema di gestione sviluppati dall’integratore per altri scopi. Il nostro intervento è di supporto nello sviluppo del piano di sicurezza informatica per implementare i requisiti IEC 62443-2-4, considerando l’ambito contrattuale specifico dell’integratore. La consulenza prevede lo sviluppo delle Policy di sicurezza che potrete implementare sul vostro progetto, legate ad esempio alla protezione degli end-point, all’accesso remoto, al backup oppure alla gestione delle patch.
- Supporto all’Architettura di Sistema. La definizione dell’architettura di sicurezza prende in considerazione il diagramma Zone & Conduit suggerito dagli standard. Vi supportiamo per organizzaee la rete e il flusso di dati consentito dalle specifiche di sicurezza, in conformità alla norma IEC 62443.
- Analisi dei Requisiti di Cyber Security. I requisiti indicati dal cliente finale a volte possono risultare generici o esulare dallo standard IEC 62443. Siamo il vostro supporto per decifrare le richieste apparentemente non applicabili a prodotti standard.
- Procedure di Test. I requisiti di sicurezza devono essere testati al termine della messa in servizio rispetto alle specifiche di Cyber Security per confermare all’utilizzatore finale, quando contrattualmente previsto, che il progetto implementa tali requisiti. La procedura che prepariamo per voi comprede la revisione della configurazione del dispositivo, i test di vulnerabilità, la verifica del backup, la gestione delle patch e tutte le funzionalità di sicurezza, e le modalità di collaudo.
- Procedure Operative. Dopo lo sviluppo del progetto e la consegna, avrete necessità di procedure di sicurezza per far funzionare correttamente il sistema e mantenere nel tempo il corretto livello di cybersecurity. Ciò comporta procedure descrittive su, per esempio, come eseguire il backup e il ripristino, la gestione degli account, la gestione delle patch, il monitoraggio e tutte le altre attività correlate all’ambito della fornitura. Per soddisfare le esigenze, vi supportiamo nello sviluppo delle procedure operative in conformità con la norma IEC 62443-2-4.
- Security Plan per i Costruttori di Macchine e Impianti. I produttori di macchine e di grandi impianti sono a tutti gli effetti fornitori ai sensi della norma IEC 62443 per i sistemi che compongono le macchine configurate su progetti specifici. Più sviluppato è il Security Plan, più la macchina è robusta in termini di sicurezza informatica e più agevole è il lavoro dell’integratore di sistema. Il produttore può a sua volta implementare processi conformi alla Cyber Security OT con il nostro supporto, compresa la possibilità di certificare il processo in base agli standard ISA99/IEC 62443.
- Supporto per la Conformità degli Artefatti. Quando viene implementato nello sviluppo del prodotto, lo standard IEC 62443-4-1 richiede gli artefatti per ogni prodotto. Ciò comprende il Threat Modeling e la valutazione del rischio, le specifiche di sicurezza informatica, le procedure di test, la documentazione di progettazione, lo sviluppo e l’implementazione di patch; attività e documentazione che produciamo interamente sia per l’integratore che per il costruttore.
Contattaci per realizzare i vostri progetti di Cyber Security OT con l’aiuto della consulenza.
Certificazione IEC 62443
La certificazione della conformità agli standard IEC 62443 è l'apice a cui mirare per comprovare la sicurezza di un sistema, una macchina o un impianto destinato a grandi End User
Scopri tutte le opzioni di Certificazione rilasciate dall’Ente Accreditato ISASecure®.
La nostra divisione interna BYHON è l’unico ente di certificazione italiano accreditato ANSI e ISASecure® per il rilascio della certificazione secondo gli schermi IEC 62443.
Implementiamo gli schemi per la verifica della conformità definiti da ISASecure®, con numero di licenza ISCI-CL0005, comprensivi della verifica del processo, Security Development Lifecycle Assurance Certification (SDLA).
Lo schema di processo SDLA è distintivo della certificazione ISASecure® e propedeutico per la valutazione della rispondenza tecnica del prodotto – componente o sistema -, secondo i modelli Component Security Assurance Certification (CSA) e System Security Assurance Certification (SSA).
Opzioni di certificazione accreditate ISASecure® per gli integratori e i costruttori di macchine e impianti:
- Certificazione SDLA (Security Development Lifecycle Assurance). Verifica di terza parte rispetto ai requisiti ISASecure® che la norma IEC 62443-4-1, focalizzata sul Sercurity Plan, sia implementata dal richiedente la certificazione.
- Certificazione SSA (System Security Assurance). Verifica di terza parte rispetto ai requisiti ISASecure® che la norma IEC 62443-3-3 sia implementata in una soluzione di prodotto standard, di cui verificare l’applicazione del diagramma SL-T (Zone & Conduit). Il servizio include anche la verifica della conformità degli artefatti al ciclo di vita IEC 62443-4-1. Anche il ciclo di vita deve essere certificato congiuntamente alla richiesta di Certificazione SSA.
Lo scopo del servizio di certificazione ISASecure® è di eseguire una certificazione indipendente che evidenzi la conformità di un sistema ai requisiti dello standard IEC 62443 per un determinato livello di sicurezza (SL-C). Lo schema di certificazione è applicato nella maniera più completa e come più alto riconoscimento della conformità, in quanto certificato rilasciato da laboratorio accreditato ISASecure®.
Modalità di certificazione aggiuntive ispirate agli schemi di certificazione di Industrial Cyber Security secondo IEC 62443:
- Certificazione IEC 62443. Verifica di terza parte rispetto ai requisiti della norma IEC 62443-3-3 per una soluzione standard, di cui verificare l’applicazione del livello di sicurezza atteso (SL-T) dal documento Zone & Conduit.
- Ispezione e Dichiarazione di Conformità. Valutazione di terza parte di una soluzione di automazione (un sistema, un macchinario, un impianto) configurata per una commessa specifica in conformità ai requisiti della norma IEC 62443, e considerando i requisiti SL-T applicabili. Il servizio comprende la revisione della documentazione di progetto e un sopralluogo presso il sito di installazione per testare l’impianto prima della consegna all’utilizzatore finale. Il risultato è un rapporto di collaudo con dichiarazione di conformità.
Lo scopo del servizio di certificazione IEC 62443 e del servizio di ispezione è di eseguire una certificazione indipendente che evidenzi in modo valido e comprovato la conformità di un sistema o macchina ai requisiti dello standard IEC 62443 per un determinato livello di sicurezza (SL-C), a garanzia dei parametri di sicurezza, integrità, disponibilità e riservatezza.
Contattaci per scegliere lo schema di certifcazione più efficace per i vostri progetti di Cyber Security.
Training su IEC 62443
Scopri i vantaggi di una formazione on-the-job per la Cyber Security OT
La norma IEC 62443 suggerisce che una delle maggiori vulnerabilità risiede nel fattore umano. In questo scenario, si rende necessaria una corretta formazione del personale coinvolto nella Cyber Security.
Non si sa mai quanto un sistema di sicurezza sia efficace fino a che non lo si mette alla prova. L’automazione è in forte crescita e l’integrazione tra le tecnologie IT e le tecnologie OT aumenta ogni giorno con un’enorme quantità di dati che passa dall’OT (Operations Technology) all’IT (Information Technology), e viceversa.
Siamo sicuri che la sicurezza degli impianti industriali non possa più essere garantita senza una adeguata protezione informatica. Ciò significa che PLC, HMI, SCADA e tutti i dispositivi di automazione e controllo devono essere protetti dai potenziali attacchi.
L’obiettivo del training di Cyber Security OT è farvi acquisire le competenze chiave per la progettazione di macchine e sistemi secondo i requisiti della norma IEC 62443.
I programmi di formazione sono mirati per il personale coinvolto nel processo di fabbricazione e integrazione al fine di comprendere i requisiti di conformità dei sistemi e delle soluzioni di automazione.
Richiedi e organizza le giornate di formazione online oppure in presenza in base alle esigenze e alla numerosità dei partecipanti.
Il programma di formazione si sviluppa on-the-job, ossia accompagna concettualmente e operativamente le figure aziendali nell’intera fase di progettazione del dispositivo in conformità con i requisiti IEC 62443.
Le sessioni di formazione sono erogate da specialisti certificati IEC 62443/ISA 99 e si fondano sui pilastri di Industrial Cyber Security:
- Requisiti generali della norma IEC 62443
- Policy e procedure per sistemi di controllo industriale conformi
- Allocazione dei livelli di sicurezza dei sistemi progettati in conformità alla norma
Le competenze acquisite durante il percorso di formazione sono propedeutiche sia all’implementazione delle best practice di Cyber Security nel ciclo di progettazione che alla possibilità di certificazione IEC 62443 per le macchine o i sistemi industriali sviluppati.
Le competenze acquisite sono immediatamente spendibili all’interno della vostra organizzazione, e attestate attraverso il certificato di partecipazione.
Attiva un programma di formazione per eliminare in modo definitivo i dubbi in merito alla Cyber Security OT.
Faq
- Specifiche di Cyber Security (Specification of Security Guidelines)
- In fase di progettazione (Security by design)
- In fase di implementazione (Secure Implementation)
- In fase di collaudo (Security V&V Testing)
- Linee guida generali sul prodotto (Security Guidelines)
Perché Sceglierci
Abbiamo maturato esperienza nell'ambito della Cyber Security OT dal 2014
Testiamo le soluzioni di Cyber Security OT nel nostro laboratorio interno
I nostri tecnici sono certificati IEC 62443/ISA 99 (Fundamentals Specialist e Cyber Security Risk Assessment Specialist)
Siamo specializzati nel campo dell'automazione e delle reti OT
Collaboriamo con i principali fornitori di tecnologie per suggerire sempre la soluzione OT più indicata
La nostra divisione interna BYHON è Ente Accreditato ISASecure® per la certificazione di Cyber Security OT