Nori zuzenduta dago?
Edozein industria erakunderi, enpresa txiki eta ertainei barne (ETE), baldin eta mehatxu batek negozioaren jarraitutasunean eragina izatea saihestu nahi badute.
Zer da?
IEC 62443 zibersegurtasunaren arloko mehatxuen aurrean kontrol industrialeko sistemen segurtasuna areagotzeko jardunbide egokiak eta gomendioak biltzen dituen estandarren multzoa da.
Helburua?
Kontrol industrialeko sistemen babes-maila handitzea zibersegurtasunaren eremuko mehatxuen aurrean.
IEC 62443 araua betetzearen onurak
- Lehiakortasun abantaila zerbitzuak eskaintzeko orduan, bezeroek gero eta ohikoagoa baitute hornitzaileei segurtasun-kontrolak ezartzea eskatzea. Zenbait kasutan, hornitzaileen kontratazioa ezesten da, bezeroaren zibersegurtasunerako arriskutsua izan daitekeelako, hornidura katearen aurkako erasoak gero eta ohikoagoak direlako.
- Arriskuak zehaztea eta arrisku horien kudeaketa egokia egin ahal izatea, mehatxu batek negozioaren jarraitutasunari eragin ez diezaion.
- Segurtasun neurriak ezartzearen ondoriozko kostuak kontrolatzea eta horiek ezartzerakoan eraginkorragoak izatea.
Kategoriak
- Orokorra: Oinarrizko kontzeptuak, erreferentzia-ereduak eta terminologia kontuan hartzea. (IEC 62443-1-1, IEC TR 62443-1-2, IEC 62443-1-3, IEC TR 62443-1-4)
- Politikak eta prozedurak: Zibersegurtasuna eta segurtasun politikak kudeatzeko programa bat egitea. (IEC 62443-2-1, IEC TR62443-2-2, IEC TR 62443-2-3, IEC 62443-2-4)
- Sistema: Teknologiak eta eskakizunak planifikatzea eta ezartzea, aurrez zehaztutako segurtasun-maila lortzeko. (IEC TR62443-3-1, IEC 62443-3-2, IEC 62443-3-3)
- Osagaiak: Zibersegurtasuneko baldintza teknikoak identifikatzea produktuak garatzeko bizi-zikloan. (IEC 62443-4-1, IEC 62443-4-2)
Industria sekurizaziorako pasabideak, IEC 62443 arauaren arabera
1.Eremuak, hodiak eta kanalak identifikatzea
Eremua: Eremu bat aktibo-multzo bat da (gailuak, datuak, aplikazioak), fisikoak edo logikoak, segurtasun-baldintza berberak dituztenak.
Hodia: Segurtasun-hodi bat sareko elektronikari lotutako aktiboak (switchak, routerrak, firewall-ak, kableak, hub-ak, errepikagailuak, etab.) biltzen dituen segurtasun-eremu mota bat da.
Kanalak: Kanal bat hainbat eremu komunikatzeko modu logikoa da, eta fisikoki lotzen da hodi batekin. Kanal bat trusted izan daiteke, segurtasun logikoko eremu bat zabaltzeko aukera ematen duena. Edo untrasted.
2.Zona eta hodi bakoitzean lortu nahi den babes-maila identifikatzea
IEC 62443k adierazten du eremu bakoitzerako babes-maila erabaki behar dela oinarrizko babes-baldintza bakoitzerako.
Maila desberdinek erasotzaile mota desberdinen aurkako erresistentzia adierazten dute. Arauak honako hauek definitzen ditu:
Segurtasun maila |
Trebetasunak |
Motibazioak |
Bitartekoak |
Baliabideak |
---|---|---|---|---|
SL1 |
Ezagutzarik gabe |
Erroreak |
Intentziorik gabekoak |
Banakakoa |
SL2 |
Orokorrak |
Baxua |
Arruntak |
Baxuak |
SL3 |
ICS |
Neurrizkoa |
Eraso sofistikatuak |
Neurrizkoak |
SL4 |
ICS |
Altua |
Kanpaina sofistikatuak |
Altuak |
3.Egungo babes-maila ebaluatzea
Zona eta/edo hodi bakoitzerako segurtasun-maila ebaluatuko da, aldez aurretik ezarritako sistema- eta hobekuntza-baldintzen arabera.
4.Nahi den segurtasun-maila egungo babes-maila baino handiagoa edo berdina izateko beharrezkoak diren neurriak aplikatzea.
Non jaso behar da IEC 62443 delakoari buruzko aholkularitza edo gure erakundea erakunde horretara egokitzea kontratatu?
BCSCk Euskadiko Zibersegurtasunaren Liburu Zuria jartzen du enpresen eskura. Dokumentu horrek gure tokiko ekosistemaren ikuspegi orokorra jasotzen du, berrikuntzaren, ikerketaren, ekintzailetzaren eta abarren ikuspegi desberdinekin, eta mota horretako zerbitzuak eskaintzen dituzten zibersegurtasun-hornitzaileen katalogoa jasotzen du, horiek eskatu nahi dituzten erakundeek erabakiak hartzen lagunduko duen erreferentzia-puntu bat izan dezaten.
Katalogoak Euskadiko zibersegurtasun merkatuaren laburpen edo bat-bateko argazki gisa balio du, eta zerrenda bizia da, aldizka berrikusten eta eguneratzen dena, zerbitzuen eta sortzen diren aukeren digitalizazioaren etengabeko bilakaera eta aurrerapena kontuan hartuta.