Серия стандартов ISA/IEC 62443, разработанная Международной Ассоциацией Автоматизации (ISA), некоммерческой профессиональной организацией, и утвержденная Международной Электротехнической Комиссией (IEC), является базой для выявления и сокращения количества брешей в безопасности в промышленной автоматике и системах управления, позволяя пользователям принимать превентивный, системный подход. В январе 2018 года в рамках этой серии был опубликован новый стандарт: ISA/IEC 62443-4-1:2018, Безопасность для промышленной автоматизации и системах управления, Часть 4-1: Требования к жизненному циклу безопасной разработки продукта. Он содержит отвечающие требованиям безопасности технические условия для процессов, которым необходимо следовать при разработке продуктов. Стандарт призван сделать весь жизненный цикл продукта более безопасным. Сюда входят определение требований безопасности, безопасное проектирование, безопасная разработка (включая рекомендации по написанию программного кода), проверка и валидация, управление дефектами, управление исправлениями и окончание срока службы продукта.
Пример использования формирует основу для сертификации
Чтобы гарантировать сертификацию COPA-DATA в соответствии с последним стандартом IEC 62443-4-1, проектной группа во главе с Рейнхардом Майром (Reinhard Mayr), Главой отдела информационной безопасности и исследований компании COPA-DATA, пришлось разработать реалистичный межотраслевой пример использования. Состоящий из нескольких слоев, этот практический пример включил ряд различных систем, входящих в состав любого современного промышленного предприятия. Слои собирались друг за другом, формируя единую, безопасную систему. “Наша цель состояла в том, чтобы описать вариант использования, который бы не только отражал реальный сценарий использования нашего программного обеспечения в сетевой производственной среде и учитывал наши инвестиции в функции безопасности за последние годы, но и отвечал требованиям стандарта”, говорит Рейнхард Майр.
В основу примера использования легла производственная ячейка, являющаяся частью производственного процесса. Она требует максимальной защиты от вредоносных воздействий со стороны производственных областей, к которым она подключена, таких как диспетчерская, осуществляющая мониторинг, сетевой уровень и уровень управления, а также облачные решения. По этой же причине, пример использования, созданный для сертификационных целей, также содержит демилитаризованную зону (DMZ), созданную на технологии zenon и в соответствии с общими концепциями ИТ-безопасности, изложенными в IEC 27001. “ДМЗ удерживает внешние воздействия вдали от операционной зоны и укрепляет ИТ-безопасность. Стратегии и концепции, которые мы реализовывали в течение многих лет при разработке zenon, такие как безопасное проектирование и защита в глубину, также помогли достичь этого. Благодаря нашим многочисленным нативным протоколам, мы также можем усложнить злоумышленникам нанесение серьезного ущерба”, объясняет Рейнхард Майр.
Марк Клеменс (слева) и Рейнхард Майр, члены команды управления безопасностью в COPA-DATA,
в восторге от сертификации компании разработчика программного обеспечения по IEC 62443-4-1,
которая является свидетельством ее профессиональной компетенции в области промышленной ИТ-безопасности.
Безопасность: Командная работа
С целью сделать промышленную ИТ-безопасность еще более важной частью процесса разработки программного обеспечения, COPA-DATA расширила свою команду управления безопасностью и дала ей больше полномочий. Теперь, когда новая сертификация получена, и ресертификация будет проводиться ежегодно, весь жизненный цикл безопасности от COPA-DATA будет постоянно находиться под пристальным вниманием. Как объясняет Рейнхард Майр: “COPA-DATA всегда посвящала себя достижению непрерывного улучшения безопасности. Это основа нашей корпоративной стратегии. Мы активно продвигаем это везде, где это необходимо, тесно сотрудничая с официальными органами и другими производителями”.
Безопасность остается проблемой, которой должны заниматься все подразделения компании и производители системных компонентов. Ко всем и каждому, кто связан с ИТ-сетью – людям, компаниям, равно как и к программному и аппаратному обеспечению – должны предъявляться требования поддерживать фундаментальные стандарты безопасности. “Мы делаем все возможное чтобы поддержать стратегии безопасности наших клиентов и защитить их от кибератак, когда это возможно”, говорит Рейнхард Майр
Обзор продуктов zenon:
Скачайте брошюры с описанием функционала продуктов zenon (просто нажмите на изображение и брошюра откроется в новом окне, размер файла >5 Мб).
