IEC 62443-3-3-2013 PDF

Полное наименование и описание

IEC 62443-3-3:2013 — "Industrial communication networks - Network and system security - Part 3-3: System security requirements and security levels". Стандарт определяет детальные технические требования к системам промышленной автоматизации и управления (IACS), сопоставляемые с семью базовыми требованиями безопасности (Foundational Requirements, FR) и задаёт модель уровней безопасности для систем (SL‑C, SL‑T, SL‑A). В текст включён корректив (corrigendum) апреля 2014 года.

Аннотация

Стандарт задаёт набор системных требований безопасности (SR — System Requirements), распределённых по семи базовым требованиям (идентификация и аутентификация, управление доступом, целостность системы, конфиденциальность данных, ограничение потоков данных, своевременное реагирование на события, доступность ресурсов). Для каждого SR приводится сопутствующая аргументация, рекомендации по реализации и отображение требований на уровни безопасности (Security Levels) от 0 до 4. Документ предназначен для использования при определении целевого уровня безопасности (SL‑T) для рассматриваемого объекта — SuC (system under consideration).

Общая информация

• Статус: Действующий международный стандарт (Edition 1.0).
• Дата публикации: 7 августа 2013 года (с включённым corrigendum от апреля 2014 г.).
• Организация-издатель: Международная электротехническая комиссия (IEC); эквивалентные публикации и распространение доступны через ISA/ANSI (ANSI/ISA‑62443‑3‑3:2013).
• ICS / категории: 25.040.40, 35.110 (информационная безопасность и защита данных для промышленных сетей).
• Редакция / версия: Edition 1.0 (2013).
• Количество страниц: ≈80 (в зависимости от издательства — коммерческие копии у ISA/ANSI могут указывать ≈84 стр.).

Область применения

IEC 62443-3-3:2013 предназначен для участников сообщества IACS (владельцы активов, проектировщики, интеграторы, поставщики оборудования и ПО, аудиторы) и применяется при проектировании, оценке и верификации архитектур промышленных систем. Стандарт помогает определять зоны и каналы (zones and conduits), назначать целевые уровни безопасности для зон/каналов и выбирать технические меры для достижения требуемых SL.

Ключевые темы и требования

• Семь базовых требований безопасности (FR): идентификация и аутентификация, управление использованием/доступом, целостность системы, конфиденциальность данных, ограничение потоков данных, своевременное реагирование на события, доступность ресурсов.
• Требования системы (SR) — детализированные технические контролы, сгруппированные по областям и назначаемые на уровни безопасности.
• Модель уровней безопасности (Security Levels, SL): уровни 0–4 с ростом требований к противодействию от случайных/непреднамеренных действий до целенаправленных атак с высокими ресурсами.
• Понятия SL‑T (target), SL‑A (achieved), SL‑C (capability) и их использование при проектировании и оценке.
• Подход "зоны и каналы" (zones and conduits) для сегментации и применения целевых SL.
• Набор контрольных требований и рекомендаций для проверки соответствия и аудита технической части системы.

Применение и пользователи

Основные пользователи стандарта: владельцы/операторы промышленных объектов (для задания SL‑T и проверки соответствия), системные integrаторы и проекты (для проектирования архитектуры и выбора технических мер), поставщики оборудования и компонентов (для документирования возможностей безопасности и соответствия SL‑C), аудиторы и специалисты по безопасности (для gap‑анализа, тестирования и требований к закупкам). Стандарт широко используется в нефтегазовой, энергетической, химической, водной и производственной отраслях.

Связанные стандарты

IEC 62443-3-3 является частью серии IEC/ISA 62443. Ключевые связанные части: IEC 62443‑1‑1 (терминология и модели, FR), IEC 62443‑3‑2 (оценка рисков и проектирование систем, издана позже), IEC 62443‑4‑1 и 4‑2 (процессы разработки защищённых продуктов и технические требования к компонентам). Стандарт используют совместно с корпоративными и отраслевыми методиками управления рисками и жизненным циклом безопасности.

Ключевые слова

IEC 62443, IACS, OT security, system requirements, security levels, SL‑T, SL‑A, SL‑C, zones and conduits, foundational requirements, SR, промышленная кибербезопасность.

FAQ

В: Что это за стандарт?

О: Международный стандарт для технических требований безопасности систем промышленной автоматизации — часть серии IEC/ISA 62443, фокусируется на системных требованиях и уровнях безопасности (часть 3‑3).

В: Что он регулирует?

О: Не регламент в юридическом смысле, а набор технических требований и рекомендаций: какие контролы должны присутствовать в системе, как сопоставить требования с уровнями безопасности и как применять их к зонам/каналам SuC.

В: Кто обычно использует?

О: Владельцы активов, интеграторы, поставщики средств автоматизации, специалисты по OT‑безопасности, аудиторы и команды по соответствию требованиям — для проектирования, закупок, внедрения и верификации мер безопасности.

В: Он актуален или заменён?

О: IEC 62443‑3‑3:2013 остаётся действующей базовой частью серии; при этом семья стандартов продолжает обновляться — отдельные части серии были пересмотрены или дополнены в последующие годы. Рекомендуется сверяться с актуальными выпусками и национальными адаптациями при подготовке требований и закупок.

В: Это часть серии?

О: Да — это одна из частей семейства IEC/ISA 62443, которая включает требования по терминологии, управлению рисками, проектированию, жизненному циклу разработки и техническим требованиям компонентов.

В: Какие ключевые слова?

О: industrial cybersecurity, IACS, OT security, system requirements, security levels, zones and conduits, SL‑T, SL‑A, SL‑C, foundational requirements.