IT-säkerhet i industrisystem

Vägledning för IT-säkerhetsprogram för dem som tillhandahåller tjänster för industriautomation.

Ytterligare en del av den internationella standarden IEC 62443 för IT-säkerhet i industriella automationssystem är nu svensk standard. Det är SS‑EN IEC 62443‑2‑4 som handlar om IT-säkerhetsprogram för dem som tillhandahåller tjänster.

Den nya delen av standarden specificerar fordringar på säkerhetsförmågor som systemleverantörer kan erbjuda system- och anläggningsägarna i samband med integration och underhåll.

Dessutom kan systemleverantörer använda SS‑EN IEC 62443‑2‑4 tillsammans med SS‑EN IEC 62443‑3‑3 och SS‑EN IEC 62443‑4‑2 i samarbete med dem som levererar komponenter och undersystem. Det kan hjälpa tjänsteleverantören att utveckla regler och metoder kring systemkomponenters förmåga, t ex vid backup och återställning, baserat på rekommendationer från komponentleverantörerna.

SS-EN IEC 62443-2-4 definierar också fordringar för vilka säkerhetsfrågor som ska stödjas av säkerhetsprogram hos integratörer och underhållsleverantörer, som också kan använda den för att förbättra sina säkerhetsrutiner. Den kan också användas av systemägarna för att efterfråga särskilda säkerhetsförmågor hos tjänsteleverantörerna, eller för att bedöma om en viss tjänsteleverantör har de förmågor som systemägaren behöver.

I SS-EN IEC 62443-2-4 delas automationssystemet upp i en säkerhetskritisk del och en vanlig del, som behandlas olika. På så vis har den en viss koppling till ”SIL-standarderna” IEC 61508 och IEC 61511 om säkerhetskritiska system.

Se bakgrundsinformation och få en uppfattning om standardernas innehåll och omfattning med hjälp av funktionen SEK Preview. Se preview på SS-EN IEC 62443-2-4, utgåva 1.1.

Läs om SS-EN IEC 62443-3-3 som beskriver skyddsnivåer i nät och system och SS-EN IEC 62443-4-2 med tekniska säkerhetsfordringar på systemkomponenter i våra tidigare nyheter. Fordringar på IT-säkerheten under utvecklingen av automationsprodukter finns i SS-EN IEC 62443-4-1.

De här standarderna är framtagna i det internationellt samarbetet inom IEC och IEC 62443-serien bygger på den amerikanska ISA 99. SEK Svensk Elstandard gör det möjligt för svenska företag, myndigheter, högskolor och andra att bidra i arbetet med nya och reviderade standarder. De färdiga resultaten fastställs sedan som svensk standard, också av SEK Svensk Elstandard, som är utsett som svensk standardiseringsorganisation av regeringen.

En sammanfattning om IT-säkerhetsstandarder för industriella system finns i en tysk-kinesisk rapport på engelska (”Security Standards White Paper”). Den beskrives särskilt förhållandet mellan IEC 62443-serien och den kanske mer kända standardfamiljen ISO/IEC 27000.