IEC 62443

Norma internacional de ciberseguridad

IEC 62443 es una serie de normas que abordan la ciberseguridad de la tecnología operativa en sistemas de automatización y control . La serie se divide en diferentes secciones y describe tanto los aspectos técnicos como los relacionados con los procesos de la ciberseguridad de los sistemas de automatización y control. La serie también se conoce como ISA/IEC 62443 en reconocimiento al hecho de que gran parte del desarrollo inicial fue realizado por el comité ISA99 de la Sociedad Internacional para la Automatización.

Divide los temas de ciberseguridad por categoría/roles de las partes interesadas, incluidos:

• El operador,
• los proveedores de servicios (proveedores de servicios de integración y de mantenimiento)
• los fabricantes de componentes/sistemas.

Los diferentes roles siguen un enfoque basado en riesgos para prevenir y gestionar los riesgos de seguridad en sus actividades.

Historia

Como norma internacional, la familia de normas IEC 62443 es el resultado del proceso de creación de normas de la Comisión Electrotécnica Internacional (IEC), en el que todos los comités nacionales involucrados acordaron una norma común. Varias organizaciones y comités enviaron aportes a los grupos de trabajo de la IEC y ayudaron a dar forma a la familia de normas IEC 62443.

A partir de 2002, la Sociedad Internacional de Automatización (ISA), una sociedad de ingeniería de automatización profesional y una organización de desarrollo de normas acreditada por ANSI (SDO), estableció el comité de normas de seguridad de sistemas de control y automatización industrial (ISA99). El comité ISA99 desarrolló una serie de normas e informes técnicos de varias partes sobre la ciberseguridad de los sistemas de control y automatización industrial (IACS). La ISA presentó estos productos de trabajo para su aprobación y luego los publicó como normas ANSI de América del Norte . Los documentos de normas ISA, originalmente denominados normas ANSI/ISA-99 o ISA99, fueron renumerados para ser la serie ANSI/ISA-62443 en 2010. El contenido de esta serie fue presentado a los grupos de trabajo de IEC y utilizado por ellos.

Paralelamente, las asociaciones de ingeniería alemanas VDI y VDE publicaron en 2011 las directrices VDI/VDE 2182. Las directrices describen cómo gestionar la seguridad de la información en entornos de automatización industrial y también fueron presentadas y utilizadas por los grupos de trabajo de IEC.

En 2021, la IEC aprobó la familia de normas IEC 62443 como "normas horizontales". Esto significa que cuando los expertos en la materia desarrollan normas sectoriales específicas para la tecnología operativa, las normas IEC 62443 deben utilizarse como base para los requisitos que abordan la ciberseguridad en esas normas. Este enfoque sirve para evitar la proliferación de requisitos parciales o contradictorios para abordar la ciberseguridad de la tecnología operativa en todos los sectores industriales en los que se implementan la misma tecnología o productos o tecnologías similares en los sitios operativos.

Estructura

La serie de normas IEC 62443 Redes de comunicación industrial - Seguridad de redes y sistemas está organizada en cuatro partes: ^[1]

1. General: Esta parte cubre temas que son comunes a toda la serie.
2. Políticas y procedimientos: esta parte se centra en los métodos y procesos asociados con la seguridad del IACS.
3. Sistema: Esta parte trata sobre los requisitos a nivel del sistema.
4. Componentes y requisitos: Esta parte proporciona requisitos detallados para los productos IACS.

La siguiente tabla enumera las partes de la serie de normas IEC 62443 publicadas hasta la fecha con su estado y título.

• Parte 2-1: Esta parte de la norma está dirigida a los operadores de soluciones de automatización y define los requisitos sobre cómo debe considerarse la seguridad durante el funcionamiento de las plantas (véase ISO/IEC 27001). ^[3]
• Parte 2-4: Esta parte define los requisitos ("capacidades") para los integradores. Estos requisitos se dividen en 12 temas: Garantía, arquitectura, sistemas inalámbricos de ingeniería de seguridad, gestión de configuración , acceso remoto, gestión y registro de eventos , gestión de usuarios, protección contra malware, gestión de parches , copia de seguridad y recuperación, y personal del proyecto. ^[9]
• Parte 4-1: Esta parte define cómo debe ser un proceso de desarrollo de productos seguros. Se divide en ocho áreas ("Prácticas"): gestión del desarrollo, definición de requisitos de seguridad, diseño de soluciones de seguridad, desarrollo seguro, prueba de características de seguridad, manejo de vulnerabilidades de seguridad, creación y publicación de actualizaciones y documentación de características de seguridad. ^[5]
• Parte 4-2: Esta parte define los requisitos técnicos para productos o componentes. ^[8] Al igual que los requisitos para sistemas (Sección -3-3), los requisitos se dividen en 12 áreas temáticas y hacen referencia a ellas. Además de los requisitos técnicos, se definen las restricciones de seguridad de componentes comunes (CCSC), que deben cumplir los componentes para cumplir con la norma IEC 62443-4-2:
  • CCSC 1 describe que los componentes deben tener en cuenta las características generales de seguridad del sistema en el que se utilizan.
  • La norma CCSC 2 especifica que los requisitos técnicos que el componente no puede satisfacer por sí mismo pueden satisfacerse mediante contramedidas compensatorias a nivel de sistema (véase IEC 62443-3-3). Para ello, las contramedidas deben estar descritas en la documentación del componente.
  • CCSC 3 requiere que se aplique el principio de "Privilegio mínimo" en el componente.
  • CCSC 4 requiere que el componente esté desarrollado y respaldado por procesos de desarrollo compatibles con IEC 62443-4-1.

Madurez y nivel de seguridad

La norma IEC 62443 describe distintos niveles de madurez de los procesos y los requisitos técnicos. Los niveles de madurez de los procesos se basan en los niveles de madurez del marco de trabajo Capability Maturity Model Integration (CMMI).

Nivel de madurez

La norma IEC 62443, basada en CMMI, describe diferentes niveles de madurez de los procesos a través de los denominados "niveles de madurez". Para cumplir con un determinado nivel de madurez, todos los requisitos relacionados con el proceso deben cumplirse siempre durante el desarrollo o la integración del producto, es decir, la selección únicamente de criterios individuales ("cherry picking") no cumple con la norma.

Los niveles de madurez se describen a continuación:

• Nivel de madurez 1 - Inicial: Los proveedores de productos suelen llevar a cabo un desarrollo de productos ad hoc y a menudo sin documentación (o no totalmente documentada).
• Nivel de madurez 2 - Gestionado: El proveedor del producto es capaz de gestionar el desarrollo de un producto de acuerdo con directrices escritas. Se debe demostrar que el personal que lleva a cabo el proceso tiene la experiencia adecuada, está capacitado y/o sigue procedimientos escritos. Los procesos son repetibles.
• Nivel de madurez 3: definido (practicado): el proceso es repetible en toda la organización del proveedor. Los procesos se han practicado y hay evidencia de que así se ha hecho.
• Nivel de madurez 4: Mejora: Los proveedores de productos utilizan métricas de proceso adecuadas para monitorear la eficacia y el desempeño del proceso y demostrar una mejora continua en estas áreas.

Nivel de seguridad

Los requisitos técnicos de los sistemas (IEC 62443-3-3) y de los productos (IEC 62443-4-2) se evalúan en la norma mediante cuatro niveles de seguridad (SL). Los diferentes niveles indican la resistencia frente a diferentes clases de atacantes. La norma destaca que los niveles deben evaluarse según los requisitos técnicos (véase IEC 62443-1-1) y no son adecuados para la clasificación general de productos.

Los niveles son:

• Nivel de seguridad 0: No se requiere ningún requisito o protección especial.
• Nivel de seguridad 1: Protección contra uso indebido no intencional o accidental.
• Nivel de seguridad 2: Protección contra el uso indebido intencional por medios simples con pocos recursos, habilidades generales y baja motivación.
• Nivel de seguridad 3: Protección contra el uso indebido intencional por medios sofisticados con recursos moderados, conocimientos específicos de IACS y motivación moderada.
• Nivel de seguridad 4: Protección contra el uso indebido intencional mediante medios sofisticados con amplios recursos, conocimiento específico de IACS y alta motivación.

Conceptos

La norma explica varios principios básicos que deben tenerse en cuenta para todos los roles en todas las actividades.

Defensa en profundidad

La defensa en profundidad es un concepto en el que se distribuyen varios niveles de seguridad (defensa) a lo largo del sistema. El objetivo es proporcionar redundancia en caso de que una medida de seguridad falle o se explote una vulnerabilidad.

Zonas y conductos

Las zonas dividen un sistema en zonas homogéneas al agrupar los activos (lógicos o físicos) con requisitos de seguridad comunes. Los requisitos de seguridad se definen mediante el nivel de seguridad (SL). El nivel requerido para una zona se determina mediante el análisis de riesgos.

Las zonas tienen límites que separan los elementos dentro de la zona de los que están fuera. La información se mueve dentro de las zonas y entre ellas. Las zonas se pueden dividir en subzonas que definen diferentes niveles de seguridad (Nivel de seguridad) y, por lo tanto, permiten una defensa en profundidad.

Los conductos agrupan los elementos que permiten la comunicación entre dos zonas. Proporcionan funciones de seguridad que permiten una comunicación segura y permiten la coexistencia de zonas con diferentes niveles de seguridad.

Certificación según normas

Los procesos, sistemas y productos utilizados en entornos de automatización industrial pueden certificarse de acuerdo con la norma IEC 62443. Muchas empresas de pruebas, inspección y certificación (TIC) ofrecen certificaciones de productos y procesos basadas en la norma IEC 62443. Al acreditarse de acuerdo con la serie de normas ISO/IEC 17000, las empresas comparten un conjunto único y coherente de requisitos de certificación para las certificaciones IEC 62443, lo que aumenta la utilidad de los certificados de conformidad resultantes.

Esquemas de certificación acreditados

Varias empresas globales de pruebas, inspección y certificación (TIC) han establecido esquemas de certificación IEC 62443. Los esquemas se basan en las normas de referencia y definen métodos de prueba, políticas de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa. Muchos organismos de certificación (OC) reconocidos ofrecen programas de certificación de ciberseguridad para las normas IEC 62443 a nivel mundial, incluidos Bureau Veritas , Intertek , SGS-TÜV Saar , TÜV Nord, TÜV Rheinland, TÜV SÜD y UL .

Una infraestructura global de organismos nacionales de acreditación (OA) garantiza una evaluación coherente de la norma IEC 62443. Los OA operan según los requisitos de la norma ISO/IEC 17011, que contiene requisitos para la competencia, la coherencia y la imparcialidad de los organismos de acreditación a la hora de acreditar organismos de evaluación de la conformidad. Los OA son miembros de la IAF para el trabajo en sistemas de gestión, productos, servicios y acreditación de personal o de la ILAC para la acreditación de laboratorios. Un Acuerdo de Reconocimiento Multilateral (MLA) entre OA garantizará el reconocimiento global de los OC acreditados.

Las empresas TIC están acreditadas por un OA para proporcionar inspección según ISO/IEC 17020, laboratorios de pruebas según ISO/IEC 17025 y certificación de productos, procesos y servicios según ISO/IEC 17065.

Esquema CB IECEE

El Sistema IEC para Esquemas de Evaluación de la Conformidad de Equipos y Componentes Electrotécnicos ( IECE ) y el Esquema de Organismos de Certificación ( Esquema CB ) es un acuerdo multilateral que facilita el acceso al mercado para los fabricantes de productos eléctricos y electrónicos. En virtud del Esquema CB, los procesos, productos y sistemas pueden certificarse de acuerdo con la norma IEC 62443.

El origen del Esquema CB proviene de la CEE (antigua "Comisión Europea para Pruebas de Conformidad de Equipos Eléctricos") y se integró en la IEC en 1985. Actualmente, 54 Organismos Miembros están en la IECEE, 88 NCB (Organismos Nacionales de Certificación) y 534 Laboratorios de Pruebas CB (CBTL). En el campo de la certificación de productos, este procedimiento se utiliza para reducir la complejidad en el procedimiento de aprobación para los fabricantes de productos probados y certificados según normas armonizadas. Un producto que ha sido probado por un CBTL (laboratorio de pruebas certificado) según una norma armonizada como la IEC 62443, puede utilizar el informe CB como base para una certificación y aprobación nacional posterior como GS, PSE, CCC, NOM, GOST/R, BSMI.

ISCI ISA Seguro

El ISA Security Compliance Institute (ISCI), una subsidiaria de propiedad absoluta de la ISA, creó un esquema de evaluación de conformidad por consenso de la industria que certifica según las normas ISA/IEC 62443 y opera bajo la marca ISASecure. Este esquema se utiliza para certificar sistemas, componentes y procesos de control de automatización. Las certificaciones ISASecure se ampliaron para incluir la certificación de componentes de IoT industrial (ICSA) en diciembre de 2022. Los organismos de certificación del esquema de certificación ISASecure están acreditados de forma independiente por los organismos de acreditación ISO 17011 según los requisitos de preparación técnica de ISASecure y las normas ISO 17025 e ISO 17065. Los acuerdos de reconocimiento multilateral en el marco del IAF garantizan que las certificaciones ISASecure sean reconocidas mutuamente por todos los signatarios globales del IAF.

El ISCI ofrece múltiples certificaciones bajo la marca ISASecure:

• Certificación SSA (System Security Assurance) de sistemas según IEC 62443-3-3 e IEC 62443-4-1
• Certificación CSA (Component Security Assurance) de componentes de automatización según IEC 62443-4-1 e IEC 62443-4-2
• Certificación ICSA (IIOT Component Security Assurance) de componentes de automatización IIOT según IEC 62443-4-1 e IEC 62443-4-2 con cuatro excepciones y diecisiete extensiones a la norma IEC 62443-4-2 para tener en cuenta las características únicas de los componentes IIOT
• Certificación SDLA (Secure Development Lifecycle Assurance) de organizaciones de desarrollo de sistemas de automatización según la norma IEC 62443-4-1
• Certificación EDSA (Embedded Device Security Assurance) de componentes basada en la norma IEC 62443-4-2. Esta certificación se ofreció en 2010 y se eliminó gradualmente cuando se aprobó y publicó formalmente la norma IEC 62443-4-2 en 2018.
• En 2023, ISASecure anunció el desarrollo de una nueva certificación para evaluar y certificar los sistemas de automatización y control en funcionamiento en las instalaciones de los propietarios de activos. Se denomina certificación de Garantía de seguridad del sistema de automatización y control (ACSSA, por sus siglas en inglés). Su finalización está prevista para finales de 2024.

Véase también

• Normas de ciberseguridad
• Seguridad funcional
• Comisión Electrotécnica Internacional

Referencias

1. "Entendiendo la norma IEC 62443". www.iec.ch . Consultado el 2 de septiembre de 2022 .
2. IEC 62443-1-1, Redes de comunicación industrial – Seguridad de redes y sistemas – Parte 1-1: Terminología, conceptos y modelos
3. IEC 62443-2-1:2024, Seguridad para sistemas de control y automatización industrial - Parte 2-1: Requisitos del programa de seguridad para propietarios de activos IACS
4. IEC 62443-3-1, Redes de comunicación industrial – Seguridad de redes y sistemas – Parte 3-1: Tecnologías de seguridad para sistemas de automatización y control industrial
5. IEC 62443-4-1, Seguridad para sistemas de automatización y control industrial – Parte 4-1: Requisitos de ciclo de vida de desarrollo de productos seguros
6. IEC 62443-2-3, Seguridad para sistemas de control y automatización industrial – Parte 2-3: Gestión de parches en el entorno IACS
7. IEC 62443-3-2, Seguridad para sistemas de automatización y control industrial – Parte 3-2: Evaluación de riesgos de seguridad para el diseño de sistemas
8. IEC 62443-4-2, Seguridad para sistemas de automatización y control industrial – Parte 4-2: Requisitos técnicos de seguridad para componentes IACS
9. IEC 62443-2-4:2023, Seguridad para sistemas de control y automatización industrial – Parte 2-4: Requisitos del programa de seguridad para proveedores de servicios IACS
10. IEC 62443-3-3, Redes de comunicación industrial – Seguridad de redes y sistemas – Parte 3-3: Requisitos de seguridad del sistema y niveles de seguridad

Enlaces externos

• Sitio web de la IEC
• Sitio web de IECEE