IEC 62443 成熟等級
(2020/8/6更新)工控網通安全(Cybersecurity)標準IEC 62443定義了兩種等級的概念,其一是產品的安全性等級,另一個是流程的成熟度等級,本篇文章將介紹成熟度等級的概念。
IEC 62443標準解讀 / IEC 62443系列標準-介紹- 5G與物聯網(IoT)時代的資安革命
- IEC 62443 是什麼?
- IEC 62443 成熟等級
- IEC 62443 安全等級
- IEC 62443 認證機制 - IECEE體系
- 功能安全(Safety)與網絡安全(Cybersecurity)的關係
- IEC 62443 Part5的基本概念
前言
關於IEC 62443的介紹,請參考什麼是62443?在現行發行且可以被驗證的標準,粗略分成兩種:
- 安全標準:基本上是定義了產品的安全等級,這邊所提到的產品是IACS(Industrial Automation and Control System)中的系統、子系統及相關組件,組件又可以細分成軟體、嵌入式設備、網通設備、控制設備。
- 流程標準:又可以稱之為程序標準,這邊的流程及程序基本上區分成維護、更新、安裝、部署、設定等服務程序,以及產品開發流程程序。
下圖為目前IEC 62443可以驗證的系列標準(紅色圈選處),其中2-4、4-1為流程標準,而3-3、4-2為安全標準。
成熟等級
成熟等級(Maturity Level)適用於流程標準,也就是對應到IEC 62443-2-4及IEC62443-4-1,這兩個標準內容大致如下:
- IEC 62443–2–4: 服務提供商應該提供哪些服務
- IEC 62443–4–1:產品供應商的開發流程要求
針對服務與開發流程沒有對與錯,只有成熟程度,因此IEC 62443仿造CMMI的成熟等級的概念定義了四個等級,請參考下圖:
針對不同的等級,解釋如下:
- 等級1: 在這個等級之下,標準中所描述的要求,只有零星的被執行,提供的服務或開發流程基本上沒有與標準的要求對照,過程中通常也沒有任何程序、文件或表單。
額外說明 -- 誰適用於等級1?在IEC 62443標準出來之前,所有的公司都是按造客戶要求或業界的行規提供服務,或進行產品的開發,而這就符合了等級1的定義。因此可以簡單的說 -- 任何公司都符合IEC 62443的成熟等級1。
- 等級2: 這個等級與等級1的最大差異是,相關服務或開發程序已經根據IEC 62443的要求制定完畢,並且提供服務或參與開發的人員經過訓練且了解程序的內容,未來也能夠根據程序提供服務或執行開發。
額外說明 -- 怎麼樣算是符合等級2如同上述,相關的程序定義完畢,且未來要提供服務或執行產品開發的人員已經經過訓練,那麼就可以說是符合等級2的要求。特別一提,程序定義完畢,但是未曾根據程序提供服務或專案,仍然符合等級2的要求。換言之,公司定義的程序可以先進行:
* IEC 62443-2-4 情境1的流程認證
* IEC 62443-4-1 情境1的流程認證先通過流程認證,以提前確保未來執行專案時能夠按造對的程序提供服務或開發產品。關於認證的細節,請參考IEC 62443 認證機制 - IECEE體系
- 等級3: 這個等級必須根據已定義的程序,實際提供服務或進行產品開發,過程中必須要留下相對應的證據。值得一提的是,在IEC 62443-4-1的要求中,特別說明了證據之間的追溯性。
額外說明 -- 等級3的驗證細膩度IEC 62443-2-4及IEC 62443-4-1兩個標準的執行證據,評鑑的重點不大相同。針對IEC 62443-2-4,由於服務的範圍有較大空間,公司可以先行定義其提供的服務,再針對這些服務的要求,提供相對應的證據即可。在評鑑時,由於範圍變動較大,因此服務之間並沒有很嚴格的追溯性;換言之,只要留下服務的證據,評鑑通過也較容易。針對IEC 62443-4-1,由於產品開發過程範圍與流程較固定,因此範圍通常不太可調整,而且流程之間存在文件之間的前後關係,開發過程中所產出的證據特別要注意之間的追溯關係,這點將會是評鑑的重點。(例如: 需求規格書與架構設計規格書,存在一些關聯)
- 等級4: 一個良好的程序,是需要經過時間的考驗,因此當提供服務或進行產品開發後,必須驗證程序的成果與成效,確認程序是否能達成公司的目標與標準的要求。定期內部的稽核及管理審查,可以作為等級4的重要證據;根據內稽與管審的意見,進行程序的調整也是重要的流程改善的證據。
應當做到哪個成熟等級?
基於前述的定義,任何公司一開始就都是「等級1」,因此如果要進行IEC 62443-4-1或IEC 62443-2-4的認證,建議可以直接把目標鎖定在「等級2」
如何才能達成等級2?
建議參考以下步驟:
(1) 確認是否已經有ISO 27001或ISO 9001的認證。
一般的管理系統可以作為組織層級的管制基礎,因此如果已經存在管理系統,那麼將可以有效加速流程文件的建置。
(2) 確認是否已經有CMMI、ASPICE、ISO 26262或IEC 61508的認證
針對IEC 62443-4-1,那麼有上述幾種的認證,表示公司內部已經存在產品開發流程的基礎概念,這將會有助於62443的導入。
IEC 62443-2-4是針對服務的成熟度,因此與上述的幾個標準相對沒有關係。
(3) 安排IEC 62443的教育訓練
教育訓練的內容應涵蓋IEC 62443標準的基礎認知,以及欲導入的標準範圍。例如:如果目標鎖定在IEC 62443-4-1,則可以考慮將下面的課程內容納入教育訓練的範圍:
- IEC 62443 概述 (基礎知識)
- IECEE認證規範 (認證知識)
- IEC 62443-4–1 標準介紹及產品生命週期開發
- IEC 62443-4-2 組件安全要求介紹 或 IEC 62443-3-3 系統安全要求介紹
- 風險評估與威脅建模(Threat modeling)
(4) 針對欲導入之標準建立程序文件
針對IEC 62443–4–1建立相關的程序或指導綱要
(5)自我查檢
透過IEC官方所提供的查檢表,針對已制定的程序或指導綱要進行查檢,確認所有的標準要求都已經被涵蓋。
參考資訊IEC 62443-2-4 Chapter 4.2
IEC 62443-4-1 Chapter 4.2
感謝閱讀本文章!
如果你對文章內容有任何問題,請隨時與我聯絡。
if you found any question in the article, please feel free to contact me.
email: linchewing@gmail.com