Az ISA/IEC-62443-3-3 bemutatása

https://icscybersec.blog.hu/2023/10/14/ics-biztonsagi-szabvanyok-xviii

után most következzen a 4-2.

A 4-2 az ipari automatizálási és vezérlő rendszerek (Industrial Automation and Control Systems, IACS) komponenseivel kapcsolatos műszaki-biztonsági követelményeket tartalmazza.A komponensek ebben az esetben egyaránt fedik az IACS-kategóriába tartozó szoftveralkalmazásokkal, beágyazott eszközökkel, hostokkal és hálózati eszközökkel kapcsolatos követelményeket. A 4-2-ben leírt követelmények az előzőekben felsorolt 4 komponens-típus esetén azonosak, ahol a komponens-típus alapján különbséget kell tenni a típusokra vonatkozó követelmények között.

A 3-3-hoz hasonlóan a 4-2 is 4 biztonsági szintbe (Security Level, SL-1-től SL-4-ig) sorolja az egyes IACS komponenseket annak érdekében, hogy a különböző biztonsági szintekhez esetenként eltérő követelményeket lehessen társítani és szintén a 3-3-hoz hasonlóan az 1-1-es részben ismertetett funkcionális követelmények (FR, Functional Requirements) részletes követelményeit ismerteti. Az CR fejezet és alfejezt után az RE a követelmény kifejtését (Requirement enhancement) tartalmazza, a fent ismertetett SL-szinteknek megfelelően, az alábbiak szerint:

FR 1 – Identification and authentication control

CR 1.1 – Human user identification and authentication
CR 1.2 – Software process and device identification and authentication
CR 1.3 – Account management
CR 1.4 – Identifier management
CR 1.5 – Authenticator management
CR 1.6 – Wireless access management
CR 1.7 – Strength of password-based authentication
CR 1.8 – Public key infrastructure certificates
CR 1.9 – Strength of public key-based authentication
CR 1.10 – Authenticator feedback
CR 1.11 – Unsuccessful login attempts
CR 1.12 – System use notification
CR 1.13 – Access via untrusted networks

FR 2 – Use control

CR 2.1 – Authorization enforcement
CR 2.2 – Wireless use control
CR 2.3 – Use control for portable and mobile devices
CR 2.4 – Mobile code
CR 2.5 – Session lock
CR 2.6 – Remote session termination
CR 2.7 – Concurrent session control
CR 2.8 – Auditable events
CR 2.9 – Audit storage capacity
CR 2.10 – Response to audit processing failures
CR 2.11 – Timestamps
CR 2.12 – Non-repudiation
CR 2.13 – Use of physical diagnostic and test interfaces

FR 3 – System integrity

CR 3.1 – Communication integrity
CR 3.2 – Protection from malicious code
CR 3.3 – Security functionality verification
CR 3.4 – Software and information integrity
CR 3.5 – Input validation
CR 3.6 – Deterministic output
CR 3.7 – Error handling
CR 3.8 – Session integrity
CR 3.9 – Protection of audit information
CR 3.10 – Support for updates
CR 3.11 – Physical tamper resistance and detection
CR 3.12 – Provisioning product supplier roots of trust
CR 3.13 – Provisioning asset owner roots of trust
CR 3.14 – Integrity of the boot process

FR 4 – Data confidentiality

CR 4.1 – Information confidentiality
CR 4.2 – Information persistence
CR 4.3 – Use of cryptography

FR 5 – Restricted data flow

CR 5.1 – Network segmentation
CR 5.2 – Zone boundary protection
CR 5.3 – General-purpose person-to-person communication restrictions
CR 5.4 – Application partitioning

FR 6 – Timely response to events

CR 6.1 – Audit log accessibility
CR 6.2 – Continuous monitoring

FR 7 – Resource availability

CR 7.1 – Denial of service protection
CR 7.2 – Resource management
CR 7.3 – Control system backup
CR 7.4 – Control system recovery and reconstitution
CR 7.5 – Emergency power
CR 7.6 – Network and security configuration settings
CR 7.7 – Least functionality
CR 7.8 – Control system component inventory

Ahogy korábban már szóba került, a 4 IACS-típushoz külön-külön is tartozhatnak komponens-szintű biztonsági követelmények:

Software application requirements

SAR 2.4 – Mobile code
SAR 3.2 – Protection from malicious code

Embedded device requirements

EDR 2.4 – Mobile code
EDR 2.13 – Use of physical diagnostic and test interfaces
EDR 3.2 – Protection from malicious code
EDR 3.10 – Support for updates
EDR 3.11 – Physical tamper resistance and detection
EDR 3.12 – Provisioning product supplier roots of trust
EDR 3.13 – Provisioning asset owner roots of trust
EDR 3.14 – Integrity of the boot process

Host device requirements

HDR 2.4 – Mobile code
HDR 2.13 – Use of physical diagnostic and test interfaces
HDR 3.2 – Protection from malicious code
HDR 3.10 – Support for updates
HDR 3.11 – Physical tamper resistance and detection
HDR 3.12 – Provisioning product supplier roots of trust
HDR 3.13 – Provisioning asset owner roots of trust
HDR 3.14 – Integrity of the boot process

Network device requirements

NDR 1.6 – Wireless access management
NDR 1.13 – Access via untrusted networks
NDR 2.4 – Mobile code
NDR 2.13 – Use of physical diagnostic and test interfaces
NDR 3.2 – Protection from malicious code
NDR 3.10 – Support for updates
NDR 3.11 – Physical tamper resistance and detection
NDR 3.12 – Provisioning product supplier roots of trust
NDR 3.13 – Provisioning asset owner roots of trust
NDR 3.14 – Integrity of the boot process
NDR 5.2 – Zone boundary protection
NDR 5.3 – General purpose, person-to-person communication restrictions

A 3-3-hoz hasonlóan a 4-2 is licencdíj ellenében érhető el, így ehhez sajnos csak a hivatalos, ISA weboldalra mutató hivatkozást tudom bemásolni, ahol 294 amerikai dollárért lehet megvásárolni a szabványt.