Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS biztonsági szabványok XVIII

ISA/IEC-62443-3-3

2023. október 14. - icscybersec

Az ISA/IEC 62443-as szabvány-sorozata az egyik legfontosabb és leginkább elismert az ICS/OT kiberbiztonsági szabványok között, nem utolsó sorban azért, mert ezt a szabványt az ISA gondozza. A sorozatnak két része van, amivel mi ebben a poszt-sorozatban foglalkozni fogunk, ezek közül az első a 3-3-as rész, ami a hálózat- és rendszerbiztonság témáját dolgozza fel.

A 3-3 négy biztonsági szintet (Security Level) határoz meg, az alábbiak szerint:

SL 1 - Az információk lehallgatással vagy véletlen közzététellel történő jogosulatlan megismerése elleni védelem.
SL 2 - Az információk kis erőfeszítést igénylő aktív keresés eredményeként bekövetkező jogosulatlan megismerése elleni védelem.
SL 3 - Az információk jelentős erőfeszítést, IACS (Industrial Automation and Control System)-specifikus tudást és közepes motivációt igénylő aktív keresés eredményeként bekövetkező jogosulatlan megismerése elleni védelem.
SL 4 - Az információk jelentős erőfeszítést, IACS (Industrial Automation and Control System)-specifikus tudást, valamint komoly motivációt és erőforrásokat igénylő aktív keresés eredményeként bekövetkező jogosulatlan megismerése elleni védelem.

A 3-3-as részben ismertetett rendszer szintű követelmények (SR, System Requirements) az 1-1-es részben ismertetett funkcionális követelmények (FR, Functional Requirements) részletes követelményeit ismerteti. Az SR fejezet és alfejezt után az RE a követelmény kifejtését (Requirement enhancement) tartalmazza, a fent ismertetett SL-szinteknek megfelelően, az alábbiak szerint:

FR 1 – Identification and authentication control

SR 1.1 – Human user identification and authentication
SR 1.1 RE 1 – Unique identification and authentication
SR 1.1 RE 2 – Multifactor authentication for untrusted networks
SR 1.1 RE 3 – Multifactor authentication for all networks

SR 1.2 – Software process and device identification and authentication
SR 1.2 RE 1 – Unique identification and authentication

SR 1.3 – Account management
SR 1.3 RE 1 – Unified account management

SR 1.4 – Identifier management

SR 1.5 – Authenticator management
SR 1.5 RE 1 – Hardware security for software process identity credentials

SR 1.6 – Wireless access management
SR 1.6 RE 1 – Unique identification and authentication

SR 1.7 – Strength of password-based authentication
SR 1.7 RE 1 – Password generation and lifetime restrictions for human users
SR 1.7 RE 2 – Password lifetime restrictions for all users

SR 1.8 – Public key infrastructure (PKI) certificates

SR 1.9 – Strength of public key authentication
SR 1.9 RE 1 – Hardware security for public key authentication

SR 1.10 – Authenticator feedback

SR 1.11 – Unsuccessful login attempts

SR 1.12 – System use notification

SR 1.13 – Access via untrusted networks
SR 1.13 RE 1 – Explicit access request approval

FR 2 – Use control

SR 2.1 – Authorization enforcement
SR 2.1 RE 1 – Authorization enforcement for all users
SR 2.1 RE 2 – Permission mapping to roles
SR 2.1 RE 3 – Supervisor override
SR 2.1 RE 4 – Dual approval

SR 2.2 – Wireless use control
SR 2.2 RE 1 – Identify and report unauthorized wireless devices

SR 2.3 – Use control for portable and mobile devices
SR 2.3 RE 1 – Enforcement of security status of portable and mobile devices

SR 2.4 – Mobile code
SR 2.4 RE 1 – Mobile code integrity check

SR 2.5 – Session lock

SR 2.6 – Remote session termination

SR 2.7 – Concurrent session control

SR 2.8 – Auditable events
SR 2.8 RE 1 – Centrally managed, system-wide audit trail

SR 2.9 – Audit storage capacity
SR 2.9 RE 1 – Warn when audit record storage capacity threshold reached

SR 2.10 – Response to audit processing failures

SR 2.11 – Timestamps
SR 2.11 RE 1 – Internal time synchronization
SR 2.11 RE 2 – Protection of time source integrity

SR 2.12 – Non-repudiation
SR 2.12 RE 1 – Non-repudiation for all users

FR 3 – System integrity

SR 3.1 – Communication integrity
SR 3.1 RE 1 – Cryptographic integrity protection

SR 3.2 – Malicious code protection
SR 3.2 RE 1 – Malicious code protection on entry and exit points
SR 3.2 RE 2 – Central management and reporting for malicious code protection

SR 3.3 – Security functionality verification
SR 3.3 RE 1 – Automated mechanisms for security functionality verification
SR 3.3 RE 2 – Security functionality verification during normal operation

SR 3.4 – Software and information integrity
SR 3.4 RE 1 – Automated notification about integrity violations

SR 3.5 – Input validation

SR 3.6 – Deterministic output

SR 3.7 – Error handling

SR 3.8 – Session integrity
SR 3.8 RE 1 – Invalidation of session IDs after session termination
SR 3.8 RE 2 – Unique session ID generation
SR 3.8 RE 3 – Randomness of session IDs

SR 3.9 – Protection of audit information
SR 3.9 RE 1 – Audit records on write-once media

FR 4 – Data confidentiality

SR 4.1 – Information confidentiality
SR 4.1 RE 1 – Protection of confidentiality at rest or in transit via untrusted networks
SR 4.1 RE 2 – Protection of confidentiality across zone boundaries

SR 4.2 – Information persistence
SR 4.2 RE 1 – Purging of shared memory resources

SR 4.3 – Use of cryptography

FR 5 – Restricted data flow

SR 5.1 – Network segmentation
SR 5.1 RE 1 – Physical network segmentation
SR 5.1 RE 2 – Independence from non-control system networks
SR 5.1 RE 3 – Logical and physical isolation of critical networks

SR 5.2 – Zone boundary protection
SR 5.2 RE 1 – Deny by default, allow by exception
SR 5.2 RE 2 – Island mode
SR 5.2 RE 3 – Fail close

SR 5.3 – General purpose person-to-person communication restrictions
SR 5.3 RE 1 – Prohibit all general purpose person-to-person communications

SR 5.4 – Application partitioning

FR 6 – Timely response to events

SR 6.1 – Audit log accessibility
SR 6.1 RE 1 – Programmatic access to audit logs

SR 6.2 – Continuous monitoring

FR 7 – Resource availability

SR 7.1 – Denial of service protection
SR 7.1 RE 1 – Manage communication loads
SR 7.1 RE 2 – Limit DoS effects to other systems or networks

SR 7.2 – Resource management

SR 7.3 – Control system backup
SR 7.3 RE 1 – Backup verification
SR 7.3 RE 2 – Backup automation

SR 7.4 – Control system recovery and reconstitution

SR 7.5 – Emergency power

SR 7.6 – Network and security configuration settings

SR 7.7 – Least functionality

A 62443-as szabványcsalád sajnos licencdíj ellenében érhető el, így ehhez sajnos csak a hivatalos, ISA weboldalra mutató i tudom bemásolni, ahol 260 amerikai dollárért lehet megvásárolni a szabványt.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3818190019

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása