IEC 62443-4-2-2019 cor1-2022 PDF

Полное наименование и описание

IEC 62443-4-2:2019 с Corrigendum 1 (COR1:2022) — «Security for industrial automation and control systems — Part 4-2: Technical security requirements for IACS components». Стандарт описывает детальные технические требования к компонентам систем промышленной автоматизации (IACS) и соотносит требования компонентов с семью базовыми требованиями безопасности (Foundational Requirements, FR).

Аннотация

Документ задаёт контрольные требования компонентов (Component Requirements, CR) для обеспечения функций идентификации и аутентификации, контроля использования, целостности системы, конфиденциальности данных, ограниченного потока данных, своевременного реагирования на события и доступности ресурсов. Включённый в издание корректив (Corrigendum 1, август 2022) вносит правки, уточняющие сопоставления требований и примечания к французской версии.

Общая информация

• Статус: Публикован (Published).
• Дата публикации: Основной стандарт: 27 февраля 2019; Corrigendum 1 (COR1): 30 августа 2022.
• Организация-издатель: Международная Электротехническая Комиссия (IEC), технический комитет TC 65.
• ICS / категории: 25.040.40; 35.030 (информационная безопасность и измерения/автоматизация).
• Редакция / версия: Edition 1.0 (2019) с Corrigendum 1 (2022) — выпуск с включёнными поправками.
• Количество страниц: Основной документ — 192 страницы; Corrigendum 1 — 1 страница.

Область применения

Стандарт применяется к аппаратным и программным компонентам, входящим в состав систем промышленной автоматизации и управления (IACS). Он предназначен для производителей устройств и комплектующих IACS, интеграторов и организаций, оценивающих соответствие компонентов целевым уровням безопасности (security capability levels, SL‑C). IEC 62443-4-2 описывает требования на уровне компонентов, в отличие от требований на уровне процессов разработки (IEC 62443-4-1) или системного уровня (части 3‑х).

Ключевые темы и требования

• Семь базовых требований (FR): идентификация и аутентификация, контроль использования, целостность системы, конфиденциальность данных, ограниченный поток данных, своевременное реагирование на события, доступность ресурсов.
• Технические требования компонентов (Component Requirements, CR) и их связь с уровнями безопасности компонентов (SL‑C).
• Требования к механизмам аутентификации (включая многофакторную аутентификацию для определённых интерфейсов в поправках), управлению правами доступа и учёту событий.
• Механизмы защиты целостности (обновления, контроль целостности), шифрование и конфиденциальность данных, меры по сдерживанию утечек данных и ограничению потоков.
• Требования к обнаружению и своевременному реагированию на инциденты, сохранению доступности сервисов и устойчивости компонентов.
• Указания по документации, интерфейсам и поддержке жизненного цикла безопасности компонентов.

Применение и пользователи

Основные пользователи: разработчики аппаратного/ПО‑компонентов для IACS, производители оборудования, поставщики встроенного ПО, оценщики соответствия, интеграторы и операторы промышленной инфраструктуры, заинтересованные в сертификации или подтверждении уровня безопасности компонентов. Стандарт используется при разработке требований к продуктам, при подготовке технической документации и при оценке соответствия SL‑C.

Связанные стандарты

IEC 62443‑4‑2 является частью серии IEC 62443. Тесно связан с IEC 62443‑4‑1 (требования к процессам безопасной разработки продуктов), IEC 62443‑3‑3 (системные требования к безопасности) и IEC 62443‑1‑1 (определение семи базовых требований и базовые концепции). Для практического применения компоненты и процессы рассматриваются в совокупности с другими частями серии.

Ключевые слова

IACS, промышленная кибербезопасность, component requirements, SL‑C, FR (Foundational Requirements), аутентификация, контроль доступа, целостность, конфиденциальность, доступность, corrigendum 2022.

FAQ

В: Что это за стандарт?

О: Международный стандарт IEC 62443‑4‑2 устанавливает технические требования к компонентам систем промышленной автоматизации и управления для обеспечения заранее определённых уровней безопасности компонентов (SL‑C).

В: Что он регулирует?

О: Регулирует технические меры и функции безопасности компонентов: аутентификацию, авторизацию, целостность, шифрование/конфиденциальность, управление потоками данных, обработку событий и обеспечение доступности, а также требования к документации и поддержке жизненного цикла. Поправка COR1:2022 вносит уточнения и исправления в текст (включая правки французского издания).

В: Кто обычно использует?

О: Производители устройств и ПО для OT/IACS, интеграторы, аудиторы, оценочные лаборатории, специалисты по продуктовой безопасности и операторы промышленных объектов, которые требуют соответствия компонентной части IEC 62443.

В: Он актуален или заменён?

О: IEC 62443‑4‑2:2019 остаётся действующим; в августе 2022 выпущен Corrigendum 1 (COR1:2022), включённый в доступную копию стандарта. На момент включения поправок документ считается актуальным в редакции 2019 с коррективами 2022. При планировании соответствия рекомендуется проверять наличие последующих исправлений и новых редакций у издателя.

В: Это часть серии?

О: Да — часть серии IEC 62443, где разные части покрывают терминологию и модели (1‑й раздел), процессы разработки безопасности (4‑1), системные требования (3‑3) и прочие аспекты управления риском и оценки. IEC 62443‑4‑2 фокусируется именно на технических требованиях к компонентам.

В: Какие ключевые слова?

О: IACS, кибербезопасность для промышленности, SL‑C, Component Requirements, Foundational Requirements, аутентификация, контроль доступа, целостность, конфиденциальность, доступность, Corrigendum 2022.