Siber tehditler küresel olarak artıyor ve birçok saldırı, ciddi sonuçları olan endüstriyel altyapıları açıkça hedef alıyor. Saldırılar daha karmaşık hale gelmeye devam edeceğinden, endüstriyel ağlarınızı ve sistemlerinizi sürekli olarak güvence altına alarak, savunmasız bırakmamak gittikçe önem kazanmaktadır.
IEC 62443 standardı bu konuda dizi tavsiyeden oluşmaktadır; ne üreticiler ne de kritik altyapıları için bağlayıcı değildir. Bu esneklik, standardın kritik kurulumların belirli özelliklerine ve bağlamlarına uyarlanabilmesini sağlamaktadır. Gereksinimlere bağlı olarak kısmen kullanılabilir veya başka bir iş standardı ile desteklenebilir.
Endüstriyel sistem altyapıları iki temel alana ayrılmaktadır:
- Bilgi Teknolojisi (BT): İşletme veya organizasyonların bünyelerinde veri veya bilgi depolamak, almak, iletmek, çalışmak ve işlemek için bilgisayarların kullanılmasıdır. Bilgi Teknolojisi, bilgi ve iletişim teknolojisinin (ICT) bir alt kümesi olarak düşünülür.
- Operasyonel Teknoloji (OT): İdari operasyonların aksine endüstriyel operasyonları yönetmek için kullanılan bilgisayar sistemlerini ifade eder. OT fiziksel cihazların nasıl çalıştığını izleyen ve kontrol eden bir donanım ve yazılım kategorisi olarak da tanımlanır.
Endüstriyel Siber Güvenlik açısından bu standart ile neler hedefleniyor?
IEC 62443 esas olarak BT güvenliği kurallarını içeren ISO/IEC 27001 standardı üzerine kurulmuştur.
IEC 62443, endüstriyel otomasyon kontrol sistemleri için uluslararası güvenlik standardıdır. Dolayısıyla bu standart, endüstriyel otomasyon alanında Siber Güvenlik için tek güvenilir çözümdür ve endüstriyel tesislerdeki siber güvenlik risklerini bir bütün olarak yönetmek için verimli bir döngü oluşturur.
Bu standart, Uluslararası Otomasyon ve Kontrol Derneği olan ISA tarafından kurulan SP99 Komitesine ait bir grup gönüllü tarafından 2007 yılında oluşturulmuştur. ISA99 komitesi tarafından geliştirilen ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından benimsenen ISA/IEC 62443 serisi standartlar, endüstriyel otomasyon ve kontrol sistemlerinde (IACS’ler) mevcut ve gelecekteki güvenlik açıklarını ele almak ve azaltmak için esnek bir oluşum sağlar.
Şirketler için zorunlu olmasa da bu standardın uygulanması endüstriyel kontrol sistemlerinin siber tehditlere karşı önlem almanızı sağlamaktadır.
IEC 62443 Yapısı Nasıldır?
IEC 62443 standardı, bilgili takipçiler için dört bölüme ayrılmıştır.
- 62443-1 Genel: Genel kavramları, terminolojiyi ve yöntemleri kapsayan belgeleri bir araya gruplandırır.
- 62443-2 Politikalar ve prosedürler: Yapısal önlemleri belirtir ve otomasyon çözümlerinin operatörlerini ve bakımını yapanları hedefler.
- 62443-3 Sistem: Endüstriyel Otomasyon ve Kontrol Sistemleri (IACS) hizmet sağlayıcılarının bir Otomasyon Çözümünün entegrasyon ve bakım faaliyetleri sırasında varlık sahibine sunabilecekleri güvenlik yetenekleri için gereksinimleri belirtir. Ayrıca çeşitli siber güvenlik araçlarının güncel bir değerlendirmesini sağlar, mimarilerini bölgelere ve kanallara göre yapılandırmak için yöntem ve kaynakları tanımlar ve siber saldırıdan korunma tekniklerinin bir envanterini sağlar.
- 62443-4 Bileşen: Komuta ve kontrol çözümleri üreticileri için tasarlanmıştır: PLC’ler, izleme sistemleri, mühendislik istasyonları ve diğer anahtarlama ekipmanları… Bu bölüm, bu tür ekipman için güvenlik gerekliliklerini açıklamakla birlikte ve ürün geliştirme için en iyi uygulamaları ortaya koymaktadır.
Bilgi yönetimi ve güvenliği alanında şirketinizin ihtiyaç duyduğu standartlar ve eğitimler hakkında bilgi almak için bize info@cfecert.co.uk adresinden ulaşabilirsiniz.
