Normenreihe ISA/IEC 62443

Die international anerkannte Normenreihe IEC 62443 „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ (Industrial Communication Networks – Network and System Security) thematisiert prozessuale und funktionale Aspekte von IT-Sicherheit im industriellen Umfeld, insbesondere im Bereich der Prozess- und Automatisierungstechnik.

Die IEC 62443 ist spezifisch auf den Industriebereich ausgerichtet und setzt sich damit von der ISO 27001 ab, welche sich eher mit klassischen IT-Systemen beschäftigt.

Für die Normenreihe sind 13 Einzelnormen vorgesehen. Bereits veröffentlicht sind folgende Teile (andere Anteile noch in Ausarbeitung):

  • IEC 62443-1-1: Terminology, concepts and models
  • IEC 62443-2-1: Establishing an industrial automation and control system security program
  • IEC 62443-2-3: Patch management in the IACS environment
  • IEC 62443-2-4: Security program requirements for IACS service providers
  • IEC 62443-3-1: Security technologies for industrial automation and control systems
  • IEC 62443-3-3: beinhaltet Anforderungen an technische Security Eigenschaften von ganzen industriellen Systemen (Anlagen)
  • IEC 62443-4-1: beinhaltet die Anforderungen an einen sicheren Entwicklungsprozess für Komponentenhersteller
  • IEC 62443-4-2: beinhaltet Anforderungen an die technischen Security Eigenschaften von industriellen Komponenten

Die Normenreihe thematisiert die logischen Ebenen Organisation/Prozesse einerseits und System und Komponenten andererseits.

Es werden deshalb voneinander unabhängig sowohl funktional-technische Security-Levels als auch nicht-technische Maturity-Level definiert:

  • Maturity-Level behandeln die prozessuale Einhaltung organisatorischer Richtlinien und beschreiben somit den Reifegrad der organisatorischen Prozesse und Mitarbeiter
  • Mit den Security-Levels werden Systeme, Netze und Komponenten hinsichtlich ihrer IT-Security bewertet.

Durch die Kombination aus den beiden Betrachtungsweisen ergibt sich ein umfassendes Sicherheitskonzept, das weitaus mehr Schutzpotenzial bietet als die rein technische Betrachtung.

Funktional-technisch setzt die Normenreihe auf ein IT-Sicherheitskonzept auf, das auf dem Defense in Depth – Ansatz basiert. Dadurch werden Schutzmaßnahmen beschrieben, die auf verschiedenen Ebenen eines Netzes oder auch Systems implementiert werden.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat ein Prüfschema für Produkte nach IEC 62443-4-2 „Industrielle Kommunikationsnetze – IT-Sicherheit für industrielle Automatisierungssysteme“ veröffentlicht, welches Anforderungen für eine Überprüfung der korrekten und effektiven Umsetzung der Norm definiert.