IT-säkerhetsstandarden IEC 62443

Det är inte ofta man ser att någon recenserar en standard, men det sker i en rapport från FOI om IEC 62443.

Den internationella standardserien IEC 62443, Industrial communication networks – Network and system security, diskuteras i en rapport från FOI, som också innehåller synpunkter och iakttagelser från användare i Sverige och Norge.

Rapporten inleds med en presentation av serien IEC 62443. Den består av fyra huvuddelar: en allmän del, en del med principer och metoder, en del om system och en om komponenter. Se en översikt över de olika delarna här. De delar av standarden som är färdiga presenteras i rapporten. Där framhålls att standardens olika delarna är strukturerade enligt samma logik, med grundläggande krav och utifrån en idé om segmentering. Det innebär att olika delar av ett och samma system kan delas in i olika zoner med olika säkerhetsnivåer och därmed med olika strikta krav.

Vid en analys har författarna funnit att IEC 62443 är både detaljerad och heltäckande, medan den mera övergripande ISO 27000 är heltäckande men inte särskilt detaljerad. I rapporten nämns också standarden
IEC 62351 för IT-säkerhet i kraftsystem, som – inte överraskande – befinns vara detaljerad men inte särskilt heltäckande. IEC 62443 är ursprungligen framtagen som ISA 99 av ISA, the International Society of Automation och därför används båda beteckningarna i rapporten.

Några av dem som intervjuats för rapporten säger att de är naturligt att använda IEC 62443 tillsammans med ISO 27000, som då används övergripande. Det framhålls annars att IEC 62443 är relativt komplett, genom att den täcker in både komponenter och system, systemägare och leverantörer. Standarden skapar därigenom också en gemensam nomenklatur och ett enhetligt språk.

Att IEC 62443 är heltäckande gör å andra sidan att några av de intervjuade nämner att den också är för omfattande och komplex, medan andra betonar att de olika delarna riktar sig till olika aktörer och att enskilda delar har olika relevans för olika aktörer. Att viktiga leverantörer är med i arbetet med standardserien framhålls som en styrka, liksom att kraven är rimliga, eftersom det inom cybersäkerhetsområdet sägs finnas en tendens att kräva för mycket.

Studien, som utförts av FOI på uppdrag av MSB, heter NCS3 Studie – Standardserie ISA/IEC 52443 – Användning och erfarenheter bland svenska ICS-aktörer. Den är skriven av Christoffer Wedebrand, Vidar Hedtjärn Swaling och Ann-Sofie Stenérus Dover och är utgiven som
FOI R 4601. NCS3 uttyds Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet, ladda ner rapporten här.

IEC är sedan 1906 den internationella organisationen för standardisering inom el och elektronik. Den tekniska kommittén IEC TC 65, Industrial-process measurement, control and automation, har en central position i arbetet med standarder för ”industrins digitalisering”. Majoriteten av standarderna från IEC TC 65 har också fastställts som svensk standard. Bland de nyare finns ”SIL-standarden” IEC 61511 (SS-EN 61511) om säkerhetskritiska system för processindustrin, IEC 62439 (SS-EN 62439) om nät med hög driftsäkerhet och IEC 62682 (SS-EN 62682) om larmsystem och larmhantering i processindustrin.

Intresserade svenska företag, högskolor, myndigheter och organisationer är välkomna att delta genom den svenska spegelkommittén SEK TK 65, Industriell processtyrning. Den organiseras av SEK Svensk Elstandard, som är den svenska medlemmen i IEC och som av regeringen utsetts om nationell standardiseringsorganisation. Se mer om SEK TK 65 här. Läs om att delta här.