IEC 62443 認證機制 - IECEE體系
(更新2020/8/6) IEC 62443 是工業自動化和控制系統(IACS)的網絡安全(工控資安)標準,目前有兩種主流的認證體系;本文將介紹IECEE體系的認證機制
IEC 62443標準解讀 / IEC 62443系列標準-介紹- 5G與物聯網(IoT)時代的資安革命
- IEC 62443 是什麼?
- IEC 62443 成熟等級
- IEC 62443 安全等級
- IEC 62443 認證機制 - IECEE體系
- 功能安全(Safety)與網絡安全(Cybersecurity)的關係
- IEC 62443 Part5的基本概念
IEC 62443的認證機制有哪些?
目前IEC 62443的認證機制,主要分成兩大體系,分別是 IECEE體系及ISA Secure體系。這兩個體系各有其支持者,讀者可以根據市場、客戶等需求決定要採用哪一個認證機制。
值得一提的是:艾默生電氣公司(Emerson Electric)於2019年3月7日取得ISA Secure體系的系統認證(SSA 2.0.0 Level 1),並在2020年3月27日取得IECEE體系的IEC 62443-2-4流程認證。
IECEE體系
IECEE,全名為「電機工程學設備及組件的IEC符合性評鑑方案」,是一個基於IEC國際標準的多邊認證系統,其中的成員對驗證結果採用相互承認(互惠接受)原則在國際上來取得認證或是國際等級的承認。
IECEE體系,依賴CB測試實驗室(CBTLs),這些實驗室主要負責測試產品是否符合標準。測試完成後,結果將被提交至CB驗證系統成員國內部的國家驗證機構(NCBs),該機構可授權CBTL測試產品合法進入市場,而無須進行其他測試。
—
認證細節
範圍
IEC 62443符合性評估包含申請人用於開發、整合、維持 特定產品或解決方案的安全能力評估。以下兩種評測方法可被採用:
- 評估申請人提供符合IEC 62443標準的能力。評估的重點是申請人所提交的證據。所提交的證據包含特定要求和被要求用於實施安全能力的流程。
- 評估這些能力被應用於 特定的產品 或 特定的解決方案
工控網絡安全能力 - 符合性證明
此認證可在兩種情境下被 NCB 頒布:
- 情境 1 —能力評估:評估一組技術能力(IEC 62443–3–3, IEC 62443–4–2)或流程導向能力(IEC 62443–2–4, IEC 62443–4–1)
- 情境2 — 應用能力評估:應用「情境 1 流程導向能力」於特定的產品或解決方案
上述情境將對應到IEC 62443的系列標準;請參照以下表格。
備註1: 解決方案的定義是在特定的時間和地點實作一個特定的控制系統 (A solution is defined to be a specific implementation of a control system at a specific time and location)
備註2: IEC 62443-2-4的產品認證中的「產品」指的是有助於解決方案的產品/組件 (Refers to a product/component as it contributes to a solution)
額外說明:IEC 62443-2-4
流程認證(情境1):評估申請者的流程是否根據標準的需求定義。
產品認證(情境1):評估申請者的產品是否符合標準的需求。
解決方案認證(情境2):評估申請者的解決方案,是否符合標準的需求定義。IEC 62443-3-3
產品認證(情境1):評估申請者的產品是否符合標準的需求(不同安全等級其需求不同);可選擇性的結合IEC 62443-4-1的產品認證(情境2)
解決方案認證(情境2):評估申請者的解決方案,是否符合標準的需求定義。IEC 62443-4-1
流程認證(情境1):評估申請者的流程是否根據標準的需求定義。
產品認證(或稱流程執行認證)(情境2):評估申請者執行所定義流程的能力(成熟度等級)IEC 62443-4-2
產品認證(情境1):評估申請者的產品是否符合標準的需求(不同安全等級其需求不同);必須結合IEC 62443-4-1的產品認證(情境2)
※詳細內容,請參閱下方總結認證總類的圖表整理。
總結認證總類
下列為IECEE所定義的認證總類。
- 產品能力評估(IEC 62443–2–4, IEC 62443–3–3, IEC 62443–4–2)
- 流程能力評估(IEC 62443–2–4, IEC 62443–4–1)
- 解決方案能力評估(未來考慮)
- 產品應用的能力評估(IEC 62443–4–1)
- 流程應用能力評估(未來考慮)
- 解決方案應用的能力評估(IEC 62443–2–4, IEC 62443–3–3)
為了讓大家更方便了解IEC 62443系列標準的認證,筆者將系列標準的認證概念(包含適用對象及細節)整理在下表:
額外說明:說明1:「服務提供商」包含「維護、更新」和「安裝、設定」兩種角色;一般來說,「安裝、設定」的服務提供商又被理解為系統整合商。說明2: 「產品跟產品支援服務」指的是有助於解決方案的產品/組件,一般也可以理解成Legacy product
額外說明:系統開發有兩種情況,一者是根據62443-4-1的開發生命週期進行系統的開發,另外一種則是單純的根據組件的安裝與整合達成。這兩種狀況可以由產品供應商,自行選擇要驗證的方式,一般來說可以分成兩種:
(1)針對所開發的系統,驗證IEC 62443-4-1 加上 IEC 62443-3-3
(2)針對所組裝整合的系統,單純驗證IEC 62443-3-3
額外說明:IEC 62443-4-1的情境1驗證,用白話來說就是只單純驗證所建置的流程文件是否符合IEC 62443-4-1的要求。如果該流程文件有被運用於專案中執行,亦可以在此階段取得成熟度等級3以上的結果。
額外說明:要驗證IEC 62443-4-2必須搭配IEC 62443-4-1,必須根據IEC 62443-4-1的開發生命週期要求來實作IEC 62443-4-2的組件。所謂的「組件」,包含了以下4項,分別是:
Software application
Embedded device
Network device
Host device
產品、系統、組件在不同標準間的差異
產品供應商在62443-2-4、62443-3-3和62443-4-2都有產品的驗證,這之間的差異如下:
- 62443–2–4
* 產品和產品供應商有能力去支援服務提供商所提供的服務。
* 這裡的產品指的是舊式產品(Legacy product) - 62443-3-3
* 根據62443–4–1開發流程進行開發的系統 或 整合組裝而成的系統
* 該系統符合IEC 62443-3-3所提及的安全需求 - 62443–4–2
* 根據62443–4–1開發流程進行開發的組件 (組件為系統的一部分)
* 該組件符合IEC 62443–4–2所提及的安全需求
—
目前有哪些公司已經獲得認證?
如何了解市場上哪些公司已經獲得IEC 62443的認證呢?
請參考下述的步驟。
查詢所有通過認證的公司/產品
- 請連結至IECEE認證網站。
- 在網頁的搜尋欄位的「分類(Category)」,選擇INDA(Industrial Automation)
- 在網頁的搜尋欄位的「文字(Free Text)」,輸入62443
- 在網頁的搜尋欄位點選「OK」
如下圖所示,為目前為止通過IEC 62443的所有公司/產品
值得一提的是IEC 62443可以由公司自行定義認證範圍,因此在網站上有時候會出現不完整的認證範圍,例如:CZ-2934,62443-2-4的認證範圍就寫著:Security management (12/13)、...、Security guidelines (6/7)。透過證書的證號(Ref. Number)進行查詢
- 請連結至IECEE認證網站。
- 在網頁的搜尋欄位的「證書號碼(Reference. no.)」,輸入證書的證號
- 在網頁的搜尋欄位點選「OK」
在IECEE網站中,台灣已經有企業通過IEC 62443-4-1 公司,該企業於2020年4月9日達成IEC 62443-4-1 的認證(證號DE 7-0459)另外,台灣已經有廠商拿到Maturity Level 2,也越來越多廠商開始導入IEC 62443。
參考資訊IEC System of Conformity Assessment Schemes for Electrotechnical Equipment and Components (IECEE System) - Industrial Cyber Security Program (OD-2061), v1.1, 05-JUN-2018OD-2061 (v1.0)文件已經於2020年1月1日廢止,其內容已經與IECEE 02文件合併,IEC 62443的驗證機制說明,請詳參該文件的Annex COD-2061 (v2.0)文件已經於2020年7月1日正式公布,本文章已於2020/8/6更新說明。
感謝閱讀本文章!
如果你對文章內容有任何問題,請隨時與我聯絡。
if you found any question in the article, please feel free to contact me.
email: linchewing@gmail.com
