Text page

IEC 62443-4-2: a segurança para a automação industrial e os sistemas de controle

Essa norma internacional, editada pela International Electrotechnical Commission (IEC) em 2019, fornece os requisitos detalhados de componentes do sistema de controle técnico (component requirements - CR) associados aos sete requisitos fundamentais (foundational requirements - FR) descritos na IEC TS 62443-1-1, incluindo a definição dos requisitos para os níveis de segurança da capacidade do sistema de controle e seus componentes, SL-C (componente).

12/02/2020 - Equipe Target

A segurança em automação industrial

A IEC 62443-4-2:2019 - Security for industrial automation and control systems - Part 4-2: Technical security requirements for IACS components fornece os requisitos detalhados de componentes do sistema de controle técnico (component requirements - CR) associados aos sete requisitos fundamentais (foundational requirements - FR) descritos na IEC TS 62443-1-1, incluindo a definição dos requisitos para os níveis de segurança da capacidade do sistema de controle e seus componentes, SL-C (componente).

Conforme definido na IEC TS 62443-1-1, existem sete requisitos fundamentais (FR): controle de identificação e autenticação (IAC), controle de uso (UC), integridade do sistema (SI), confidencialidade dos dados (DC), fluxo restrito de dados (RDF), resposta oportuna a eventos (TRE) e disponibilidade de recursos (RA). Esses sete FR são a base para definir os níveis de capacidade de segurança do sistema de controle. Definir os níveis de capacidade de segurança para o componente do sistema de controle é a meta e o objetivo deste documento, em oposição ao SL-T ou SLs alcançados (SL-A), que estão fora do escopo.

As organizações de sistemas de automação e controle industrial (industrial automation and control systems - IACS) usam cada vez mais dispositivos de rede comerciais prontos para uso (comercial off-the-shelf - COTS) que são baratos, eficientes e altamente automatizados. Os sistemas de controle também estão cada vez mais interconectados com redes não IACS por razões comerciais válidas. Esses dispositivos, tecnologias abertas de rede e maior conectividade oferecem uma maior oportunidade para ataques cibernéticos contra o hardware do sistema de controle e programas.

Essa fraqueza pode levar a consequências de saúde, segurança e meio ambiente (SMS), financeiras e/ou de reputação nos sistemas de controle implantados. As organizações que optam por implantar soluções de segurança cibernética de tecnologia da informação comercial (TI) para lidar com a segurança do IACS podem não compreender completamente os resultados de sua decisão. Embora muitos aplicativos de negócios de TI e soluções de segurança possam ser aplicados ao IACS, eles devem ser aplicados de maneira apropriada para eliminar consequências inadvertidas. Por esse motivo, a abordagem usada para definir os requisitos do sistema é baseada em uma combinação de requisitos funcionais e avaliação de riscos, muitas vezes incluindo a conscientização de questões operacionais.

As contramedidas de segurança do IACS não devem ter o potencial de causar perda de serviços e funções essenciais, incluindo procedimentos de emergência (as contramedidas de segurança de TI, como frequentemente implantadas, têm esse potencial). As metas de segurança do IACS concentram-se na disponibilidade do sistema de controle, proteção da planta, operações da planta (mesmo em modo degradado) e resposta do sistema com tempo crítico.

As metas de segurança de TI geralmente não dão a mesma ênfase a esses fatores; eles podem estar mais preocupados em proteger as informações do que em ativos físicos. Esses diferentes objetivos devem ser claramente definidos como objetivos de segurança, independentemente do grau de integração da planta alcançado. Uma etapa fundamental na avaliação de riscos, conforme exigido pela IEC 62443-2-11, deve ser a identificação de quais serviços e funções são realmente essenciais para operações (por exemplo, em algumas instalações, o suporte de engenharia pode ser determinado como um serviço ou função não essencial). Em alguns casos, pode ser aceitável que uma ação de segurança cause perda temporária de um serviço ou função não essencial, diferentemente de um serviço ou função essencial que não deve ser afetado adversamente.

Este documento fornece os requisitos técnicos de segurança cibernética para os componentes que compõem um IACS, especificamente os dispositivos incorporados, componentes de rede, componentes host e aplicativos de software. O anexo A descreve categorias de dispositivos comumente usados em SIGC. Este documento deriva dos requisitos de segurança do sistema IACS descritos na IEC 62443-3-3. O objetivo deste documento é especificar recursos de segurança que permitam que um componente atenue ameaças para um determinado nível de segurança (SL) sem a ajuda de compensar contramedidas. O anexo B fornece uma tabela que resume os SL de cada um dos requisitos e aprimoramentos de requisitos definidos neste documento.

O objetivo principal da série IEC 62443 é fornecer uma estrutura flexível que facilite o enfrentamento de vulnerabilidades atuais e futuras no IACS e aplique as mitigações necessárias em um ambiente de maneira sistemática e defensável. É importante entender que a intenção da série IEC 62443 é criar extensões para a segurança corporativa que adaptam os requisitos para sistemas de TI comerciais e os combinam com os requisitos exclusivos para integridade e integridade para os IACS.

O público da comunidade IACS deste documento deve ser proprietário de ativos, integradores de sistemas, fornecedores de produtos e, quando apropriado, autoridades de conformidade. As autoridades de conformidade incluem agências governamentais e reguladores com autoridade legal para realizar auditorias para verificar a conformidade com as leis e regulamentos.

Os integradores de sistemas usarão este documento para ajudá-los a adquirir componentes do sistema de controle que compõem uma solução IACS. A assistência estará na forma de ajudar os integradores de sistemas a especificar o nível apropriado de capacidade de segurança dos componentes individuais necessários. Os principais padrões para integradores de sistemas são IEC 62443-2-1, IEC 62443-2-4, IEC 62443-3-2 e IEC 62443-3-3, que fornecem requisitos organizacionais e operacionais para um sistema de gerenciamento de segurança e os orientam através do processo de definição de zonas de segurança para um sistema e os níveis de capacidade de segurança de destino (SL-T) para essas zonas. Uma vez definido o SL-T para cada zona, os componentes que fornecem os recursos de segurança necessários podem ser usados para obter o SL-T para cada zona.

Os fornecedores de produtos usarão este documento para entender os requisitos impostos aos componentes do sistema de controle para níveis específicos de capacidade de segurança (SL-C) desses componentes. Um componente pode não fornecer a capacidade necessária em si, mas pode ser projetado para integrar-se a uma entidade de nível superior e, assim, se beneficiar da capacidade dessa entidade - por exemplo, um dispositivo incorporado pode não estar mantendo um diretório de usuário, mas pode se integrar a um sistema amplo serviço de autenticação e autorização e, portanto, ainda atendem aos requisitos para fornecer recursos de autenticação, autorização e gerenciamento de usuários individuais.

Este documento orientará os fornecedores de produtos sobre quais requisitos podem ser alocados e quais devem ser nativos nos componentes. Conforme definido na Prática 8 da IEC 62443-4-1, o fornecedor do produto fornecerá documentação sobre como integrar adequadamente o componente em um sistema para atender a um SL-T específico. Os requisitos de componentes (CR) neste documento são derivados dos requisitos de sistema (SR) da IEC 62443-3-3. Os requisitos da IEC 62443-3-3 são referidos como SR, derivados dos requisitos gerais (FR) definidos na IEC 62443-1-1. Os CR também podem incluir um conjunto de aprimoramentos de requisitos (RE). A combinação de CR e RE é o que determinará o nível de segurança de destino de que um componente é capaz.

Este documento fornece requisitos de componentes para quatro tipos de componentes: aplicativo de software, dispositivo incorporado, dispositivo host e dispositivo de rede. Assim, os CR para cada tipo de componente serão designados da seguinte maneira: requisitos de aplicativos de software (SAR); requisitos de dispositivo incorporado (EDR); requisitos de dispositivo host (HDR); e requisitos de dispositivo de rede (NDR).

A maioria dos requisitos deste documento são os mesmos para os quatro tipos de componentes e, portanto, são designados simplesmente como CR. Quando houver requisitos específicos de componentes exclusivos, o requisito genérico indicará que os requisitos são específicos de componentes e estão localizados nas cláusulas de requisitos específicos de componentes deste documento. A figura 1 mostra uma representação gráfica da série IEC 62443 quando este documento foi escrito.

 

Clique na imagem acima para uma melhor visualização

 

FONTE: Equipe Target

Anúncio fixo da norma NBRISO9001 Chegou o novo app Target GEDWeb!
Busque e visualize suas normas ABNT NBR NM
Recursos exclusivos de busca, leitura por voz,
acesso off-line, navegação por setor e muito mais!
Produto/Serviço relacionado à NBRISO9001

Baseado nos documentos visitados

Normas recomendadas para você

Proteção contra descargas atmosféricas - Parte 3: Danos físicos a estruturas e perigos à vida
NBR5419-3 de 05/2015

Proteção contra descargas atmosféricas - Parte 3: Danos físicos a estruturas e perigos à vida

Identificação, localização, impressão e marcação do Código Nacional de Produtos - Padrão EAN - Procedimento
NBR10174 de 01/1988

Identificação, localização, impressão e marcação do Código Nacional de Produtos - Padrão EAN - Procedimento

Proteção contra descargas atmosféricas - Parte 2: Gerenciamento de risco
NBR5419-2 de 05/2015

Proteção contra descargas atmosféricas - Parte 2: Gerenciamento de risco

Caminhos e espaços para cabeamento estruturado
NBR16415 de 10/2021

Caminhos e espaços para cabeamento estruturado

Instalações elétricas de baixa tensão
NBR5410 de 09/2004

Instalações elétricas de baixa tensão

Cabeamento estruturado industrial
NBR16521 de 10/2016

Cabeamento estruturado industrial

Segurança de máquinas - Proteções - Requisitos gerais para o projeto e construção de proteções fixas e móveis
NBRNM272 de 07/2002

Segurança de máquinas - Proteções - Requisitos gerais para o projeto e construção de proteções fixas e móveis

Cabeamento estruturado residencial
NBR16264 de 11/2016

Cabeamento estruturado residencial

Sistemas de automação de processos industriais - Testes de aceitação em fábrica (TAF), testes de aceitação em campo (TAC) e testes de integração em campo (TIC)
NBRIEC62381 de 09/2019

Sistemas de automação de processos industriais - Testes de aceitação em fábrica (TAF), testes de aceitação em campo (TAC) e testes de integração em campo (TIC)

Comando numérico de máquinas - Nomenclatura de sistema de coordenadas e movimentos
NBRNM155 de 12/1998

Comando numérico de máquinas - Nomenclatura de sistema de coordenadas e movimentos

Redes e sistemas de comunicação para automação de sistemas de potência - Parte 10: Ensaios de conformidade
NBRIEC61850-10 de 07/2018

Redes e sistemas de comunicação para automação de sistemas de potência - Parte 10: Ensaios de conformidade

Proteção contra descargas atmosféricas - Parte 1: Princípios gerais
NBR5419-1 de 05/2015

Proteção contra descargas atmosféricas - Parte 1: Princípios gerais

Código Nacional de Produtos - Padrão EAN - Codificação, estrutura lógica e dimensões - Padronização
NBR10172 de 10/1987

Código Nacional de Produtos - Padrão EAN - Codificação, estrutura lógica e dimensões - Padronização

Proteção contra descargas atmosféricas - Parte 4: Sistemas elétricos e eletrônicos internos na estrutura
NBR5419-4 de 05/2015

Proteção contra descargas atmosféricas - Parte 4: Sistemas elétricos e eletrônicos internos na estrutura

Código Nacional de Produtos - Padrão EAN - Especificação
NBR10173 de 10/1987

Código Nacional de Produtos - Padrão EAN - Especificação

Cabos de telemática de 100 O para redes internas estruturadas — Especificação
NBR14703 de 08/2012

Cabos de telemática de 100 O para redes internas estruturadas — Especificação

Segurança de máquinas — Princípios gerais de projeto — Apreciação e redução de riscos
NBRISO12100 de 12/2013

Segurança de máquinas — Princípios gerais de projeto — Apreciação e redução de riscos

Código Nacional de Produtos - Padrão EAN - Determinação das características de cores, contrastes, reflexibilidade e controle da qualidade
NBR10175 de 10/1987

Código Nacional de Produtos - Padrão EAN - Determinação das características de cores, contrastes, reflexibilidade e controle da qualidade