IEC/ISA 62443-3-3:2013 nedir? Siber Güvenlik ve Uyumluluk

Uluslararası Otomasyon Derneği (ISA) ve Uluslararası Elektroteknik Komisyonu (IEC), 2002 yılında 62443 standart serisini oluşturmaya başladı. IEC/ISA 62443-3-3'ü içeren seri, başlangıçta ISA99 serisi olarak adlandırıldı ve Amerikan Ulusal Standartlar Enstitüsü'nün (ANSI) rehberliğinde oluşturulan endüstriyel otomasyon ve kontrol sistemleri güvenliği (IACS) standartlarını içeriyordu

IEC/ISA 62443-3-3: 2013, 62443 standart serisinin 1:1 bölümünde listelenen temel gereksinimlere (FR'ler) ve ilkelere uymak için gereken sistem gereksinimlerini (SR'ler) ve gereksinim geliştirmelerini (RE'ler) tanımlar.

IEC 62443-3-3 hakkında daha fazla bilgi edinmek ve kuruluşunuzun 62443 serisinin FR'lerine uymak için çeşitli güvenlik standartlarını nasıl entegre edebileceği hakkında daha fazla bilgi edinmek için okumaya devam edin.

UpGuard'ın kuruluşların kendilerini siber tehditlere karşı savunmalarına nasıl yardımcı olduğunu keşfedin>

ISA/IEC Sistem Güvenlik Gereksinimleri ve Güvenlik Politikaları

ISA/IEC 62443 standartları, kuruluşların serinin FR'lerine uymak için çeşitli siber güvenlik ilkelerini uygulamasını gerektirir. Bu siber güvenlik ilkeleri şunları içerir:

  • En Az Ayrıcalık: Bir kullanıcının erişim haklarını, hesap erişimini ve bilgi işlem gücünü rollerine ve rol tanımlı görevlerini tamamlamak için gereken erişime göre sınırlama uygulaması
  • Derinlemesine Savunma: Bu ilke, kuruluşların sistemleri "kanallar" aracılığıyla birbirleriyle iletişim kuran "bölgelere" ayırarak siber saldırıların kritik altyapıyı etkilemesini geciktirmelerine veya önlemelerine olanak tanır
  • Risk Analizi: Risk değerlendirme metodolojileri, uygulamaları ve karşı önlemleri kullanarak bir sistemi veya kuruluşu olumsuz etkileyebilecek potansiyel tehlikeleri ve riskleri belirleme ve değerlendirme süreci
  • Telafi Edici Güvenlik Önlemleri: IACS bileşenleri genellikle ISA güvenlik seviyelerinin gereksinimlerini karşılamaz ve çözümleri ve yükseltilmiş güvenlik yeteneklerini kolaylaştırmak için telafi edici IACS güvenlik önlemleri gereklidir
  • Bölgeler ve Kanallar: 62443 serisi, ISA95'e başvuran ve çeşitli bölgeler ve kanallar kullanan bir sistem mimarisi önerir

62443 Serisindeki Önemli Yayınlar

62443 serisi kendisini dört bölüme ayırır: genel konular, politikalar ve prosedürler, sistemler, bileşenler ve gereksinimler hakkında modüller.

  • IEC 62443-1-1 (Kavramlar ve Modüller): 62443 Bölüm 1:1, seri boyunca kullanılan endüstriyel proses konseptlerini (FR'ler dahil) ve serinin içerdiği modülleri ana hatlarıyla belirtir.
  • IEC 62443-2-1 (IACS Varlık Sahipleri için Güvenlik Programı Gereksinimleri): ISA-62443-2-1, ürün tedarikçilerine ve otomasyon çözümü operatörlerine yardımcı olur ve IACS ağ güvenliği yönetim sistemini çalıştırırken sahiplerin izlemesi gereken güvenlik prosedürlerini tanımlar.
  • IEC 62443-2-4 (IACS Hizmet Sağlayıcıları için Gereksinimler): Bölüm 2:4, IACS entegratörleri için gereksinimleri tanımlayan 12 bölüm içerir.
  • IEC 62443-3-2 (Güvenlik Riski Değerlendirmesi ve Sistem Tasarımı): Bölüm 3:2, önerilen bölgeler ve kanallar için hedef güvenlik seviyelerini (SL-T) belirler ve sistem tasarımı için güvenlik gereksinimlerini belgeler.
  • IEC 62443-4-1 (Güvenli Ürün Geliştirme Yaşam Döngüsü Gereksinimleri): Bölüm 4:1, sekiz güvenli geliştirme yaşam döngüsü uygulamasına ayrılmıştır ve güvenlik özelliklerinin test edilmesi, yama yönetimi, güvenlik açıklarının yönetilmesi vb. için gereksinimleri içerir.
  • ISA/IEC 62443-4-2 (IACS Bileşenleri için Teknik Güvenlik Gereksinimleri): Bölüm 4:2, sistem bileşenleri ve gömülü cihazlar için teknik gereksinimleri içerir ve tipik bileşen güvenlik kısıtlamalarını (CCSC'ler) tanımlar.

ISA/IEC 62443-3-3

ISA/IEC 62443 serisi standartların 3:3 bölümü, kuruluşların bölüm 1:1'de listelenen FR'lere ulaşmak için uygulaması gereken SR'leri tanımlar. Her FR, kullanıcıların risk analizi ve güvenlik açığı yönetimi protokollerinin sonuçlarına bağlı olarak uyabilecekleri beş güvenlik düzeyi (SL) için geçerlidir.

Her FR için beş SL şunlardır:

  • Seviye 0: Özel koruma gerekmez
  • Seviye 1: Rastgele veya tesadüfi olaylar için gerekli korumalar
  • Seviye 2: Sınırlı kaynaklar, düşük seviyeli beceriler ve düşük motivasyon kullanan kasıtlı veya kötü niyetli kullanıcılar için gereken korumalar
  • Seviye 3: Orta düzeyde kaynaklar, hedeflenen beceriler ve orta düzeyde motivasyon kullanan kasıtlı veya kötü niyetli kullanıcılar için gereken korumalar
  • Seviye 4: Gelişmiş kaynaklar, gelişmiş beceriler ve yüksek motivasyon kullanan kasıtlı veya kötü niyetli kullanıcılar için gerekli korumalar

Bu beş SL, kuruluşların korumaları kendi özel ihtiyaçlarına, gereksinimlerine ve potansiyel tehditlerin algılanan karmaşıklığına göre uyarlamasına olanak tanır.

62443 serisinin beş güvenlik düzeyinin (SL) görsel temsili.

Temel Gereksinimler ve 62443-3-3 Sistem Gereksinimleri

62443 serisinin FR'leri, bilgi güvenliğini sağlamak ve operasyonel teknolojiyi korumak için uluslararası standartları içerir. 62443-3-3, kullanıcıların aşağıdaki yedi FR'ye uymasına yardımcı olur:

  • FR 1: Tanımlama, Kimlik Doğrulama Kontrolü ve Erişim Kontrolü (AC)
  • FR 2: Kontrolü Kullan (UC)
  • FR 3: Sistem Bütünlüğü (SI)
  • FR 4: Veri Gizliliği (DC)
  • FR 5: Kısıtlı Veri Akışı (RDF)
  • FR 6: Olaylara Zamanında Müdahale (TRE)
  • FR 7: Kaynak Kullanılabilirliği (RA)

FR 1 Sistem Gereksinimleri

62443 serisinin ilk temel gereksinimi, tanımlama, kimlik doğrulama kontrolü ve erişim kontrolü (AC) etrafında toplanır. Bölüm 3:3'e göre FR ile uyumlu olmak için gereken sistem gereksinimleri şunlardır.

  • 1.1 İnsan Kullanıcı Tanımlama ve Kimlik Doğrulama: Tüm insan ağ kullanıcıları benzersiz bir şekilde tanımlanmalı ve doğrulanmalıdır
  • 1.2 Yazılım İşlemi ve Cihaz Tanımlama ve Kimlik Doğrulama: Tüm cihazlar güvenli sistem arayüzleri ile tanımlanmalı ve doğrulanmalıdır
  • 1.3: Hesap Yönetimi: Sistem, maksimum kullanıcı bant genişliğini kaldırabilmeli ve tüm kullanıcı hesaplarını rahatça yönetebilmelidir
  • 1.4: Tanımlayıcı Yönetimi: Sistemin tüm kullanıcı, grup, rol ve arayüz tanımlayıcılarını desteklemesi gerekir
  • 1.5: Kimlik Doğrulayıcı Yönetimi: Kullanıcıların, parolaların benzersiz olduğundan emin olmak için prosedürlere ve bir kimlik doğrulayıcı yönetim sistemine sahip olması gerekir
  • 1.6: Kablosuz Erişim Yönetimi: Sistem, tüm kablosuz kullanıcıları tanımlayabilmeli ve kimliklerini doğrulayabilmelidir
  • 1.7: Parola Tabanlı Kimlik Doğrulamanın Gücü: Sistem, minimum parola gereksinimlerini uygulayabilmelidir
  • 1.8: Ortak Anahtar Altyapısı (PKI) Sertifikaları: Sertifikalar, anahtar sahiplerini doğrulamalı ve meşru olduklarından emin olmalıdır
  • 1.9: Açık Anahtar Kimlik Doğrulamasının Gücü: Sistem, minimum PKI gereksinimlerini uygulayabilmelidir
  • 1.10: Kimlik Doğrulayıcı Geri Bildirimi: Sistem, bir kullanıcı tarafından yazıldığında bir parolanın karakterlerini görüntülememelidir
  • 1.11: Başarısız Oturum Açma Girişimleri: IACS, yalnızca belirli sayıda başarısız oturum açma girişimine izin vermeli ve kimlik doğrulama hatası için kilitlenme süreleri ayarlamalıdır
  • 1.12: Sistem Kullanım Bildirimi: Sistem, yetkisiz kullanıma karşı uyarıda bulunan ve kayıtlı kullanımı yasaklayan kullanım mesajları göstermelidir
  • 1.13: Güvenilmeyen Ağlar Üzerinden Erişim: Uyumlu IACS'ler, güvenilmeyen ağlardan erişimi kontrol etme yeteneğine sahip olmalıdır

FR 2 Sistem Gereksinimleri

62443 serisinin ikinci FR'si kullanım kontrolü (UC) ile ilgilidir. ISA 62443-3-3'te listelenen sistem gereksinimleri şunlardır:

  • 2.1: Yetkilendirme Uygulaması: Sistem, tüm kullanıcılar, roller ve parametreler üzerinde yetkilendirmeyi zorunlu kılabilmelidir
  • 2.2: Kablosuz Kullanım Kontrolü: Sistemin kablosuz ağları, endüstri güvenlik uygulamalarını kullanarak uzaktan erişim olaylarını izlemeli ve kısıtlamalar uygulamalıdır
  • 2.3: Taşınabilir ve Mobil Cihazlar için kontrolü kullanın: Kontrolörler, IACS'yi taşınabilir ve mobil cihaz kullanımının izlenmesine ve kontrol edilmesine izin verecek şekilde tasarlamalıdır
  • 2.4: Mobil Kod: Sistem dışından alınan herhangi bir kod, kurcalama ve kötü niyetli faaliyetleri önlemek için doğrulanmalıdır
  • 2.5: Oturum Kilidi: IACS, kritik işlevleri yönetmek için oturum kilitlerini kullanmamalıdır
  • 2.6: Uzak Oturum Sonlandırma: Sistem, işlem yapılmadığında veya kullanıcı bu tür bir eylemi başlattıktan sonra uzak oturumları sonlandırabilmelidir
  • 2.7: Eşzamanlı Oturum Kontrolü: Eşzamanlı oturumlar, kullanıcı yetkilendirme standartlarına göre yönetilmeli ve kontrol edilmelidir
  • 2.8: Denetlenebilir Olaylar: Kontrol sistemleri, denetlenebilir olayları sistem günlüğüne kaydedebilmelidir
  • 2.9: Denetim Depolama Kapasitesi: Sistemin depolama kapasitesi, gerekli denetim günlüklerini depolayacak kadar büyük olmalıdır
  • 2.10: Denetim İşleme Hatalarına Yanıt: Sistem, denetim işleme hataları sırasında operatörleri uyarmalı ve temel işlevlere erişmeye devam etmelidir
  • 2.11: Zaman damgaları: Tüm denetim kayıtları zaman damgalarını kullanmalıdır

FR 3 Sistem Gereksinimleri

62443-3-3'ün üçüncü FR'si, sistem bütünlüğü kontrolleriyle ilgilidir. FR 3 için sistem gereksinimleri şunlardır:

  • 3.1: İletişim Bütünlüğü: Sistem içine ve dışına iletilen bilgiler, iç ve dış çözümler kullanılarak korunmalıdır
  • 3.2: Kötü Amaçlı Kod Koruması: IACS, kendisini kötü amaçlı kodlara karşı korumak için antivirüs çözümleri kullanmalıdır
  • 3.3: Güvenlik İşlevselliği Doğrulaması: Test aşamaları ve bakım prosedürleri sırasında, IACS tüm güvenlik işlevlerini doğrulamalı ve tüm sapmaları rapor etmelidir
  • 3.4: Yazılım ve Bilgi Bütünlüğü: Bir SIEM çözümü, bekleyen bilgileri algılamalı, kaydetmeli, raporlamalı ve korumalıdır
  • 3.5: Giriş Doğrulaması: IACS, kontrol sistemini doğrudan etkileyen tüm girdileri ve tüm süreç girdilerini doğrulamalıdır
  • 3.6: Deterministik Çıktı: IACS düzenli çalışmayı sağlayamadığında çıktıların önceden tanımlanmış bir duruma dönmesi gerekir
  • 3.7: Hata İşleme: IACS, hata koşullarından hızlı bir şekilde yanıt vermeli ve kurtarmalıdır
  • 3.8: Oturum Bütünlüğü: Sistemin geçersiz oturum kimliklerini reddetme ve oturum tabanlı protokolleri yükleme yeteneğine sahip olması gerekir
  • 3.9: Denetim Bilgilerinin Korunması: Denetim bilgileri, iletim ve dinlenme sırasında korumak için şifrelenmelidir

FR 4 Sistem Gereksinimleri

Temel gereksinim 4, düzenlemeye tabi sistemlerin veri gizliliği için en iyi uygulamaları takip etmesini sağlar. FR 4 için sistem gereksinimleri şunlardır:

  • 4.1: Bilgi Gizliliği: Gizli bilgiler istirahatte ve iletim sırasında korunmalıdır
  • 4.2: Bilgi Kalıcılığı: Sistem, sonraki oturumlarda geçmiş bilgileri ve verileri alabilmelidir
  • 4.3: Kriptografi Kullanımı: Sistem tarafından kullanılan tüm kriptografi algoritmaları, sektördeki en iyi uygulamalara (yedeklemeler için kullanılan algoritmalar dahil) bağlı kalmalıdır

FR 5 Sistem Gereksinimleri

FR 5, bir kuruluşun IACS'sinde veri akışının nasıl gerçekleşebileceğini kısıtlar. FR 5 için sistem gereksinimleri şunlardır:

  • 5.1: Ağ Segmentasyonu: Personel, mümkün olduğunda ağ segmentlerini izole etmeli ve bir siber olay riskini azaltmak için risk değerlendirmeleri yapmalıdır
  • 5.2: Bölge Sınırı Koruması: Bölge sınırlarına koruma yüklemek için ağ erişim protokolleri uygulanmalıdır
  • 5.3: Genel Amaçlı Kişiler Arası İletişim Kısıtlamaları: IACS, kötü niyetli bir saldırı durumunda mesajlaşmayı engelleme yeteneğine sahip olmalıdır
  • 5.4: Uygulama Bölümleme: Uygulamalar, kritikliğe dayalı olarak ve endüstri tarafından kabul edilen bir bölgelendirme modelini uygulayacak şekilde bölümlendirilmelidir

FR 6 Sistem Gereksinimleri

62443 serisinin altıncı temel gereksinimi, IACS operatörlerinin geliştirme sürecinde olaylara zamanında yanıt vermek için standartlar oluşturmasını sağlar. İşte FR 6 için SR'ler:

  • 6.1: Denetim Günlüğü Erişilebilirliği: Sistem, yalnızca yetkili kullanıcılara denetim günlüklerine salt okunur erişim vermeli ve günlükleri değiştirememelidir
  • 6.2: Sürekli İzleme: Personel, sürekli farkındalığı sağlamak ve risk kararlarını desteklemek için sürekli izleme protokolleri kurmalıdır

FR 7 Sistem Gereksinimleri

62443 serisinin son temel gereksinimi, kaynak kullanılabilirliğini yönetmek için protokoller içerir. FR 62443 için IEC 3-3-7'te listelenen SR'ler şunlardır:

  • 7.1: DoS Koruması: IACS, bir hizmet reddi saldırısı meydana geldiğinde önceden belirlenmiş bozulmuş bir modda çalışmalıdır
  • 7.2: Kaynak Yönetimi: Sistem standartları, kaynakların tahsisini yönetmeli ve kaynak tükenmesini önlemelidir
  • 7.3: Kontrol Sistemi Yedeklemesi: Bir sistem arızası durumunda tam bir sistem kurtarma işlemi gerçekleştirmek için güncel yedeklemeler her zaman mevcut olmalıdır
  • 7.4: Kontrol Sistemi Kurtarma ve Sulandırma: Sistem iş akışları, sistemin hızlı ve verimli bir şekilde güvenli bir duruma dönebilmesini sağlamalıdır
  • 7.5: Acil Durum Gücü: IACS standarttan acil durum gücüne geçtiğinde güvenlik durumları ve bozulmuş modlar etkilenmemelidir
  • 7.6: Ağ ve Güvenlik Yapılandırma Ayarları: IACS, ağ güvenliği için sektördeki en iyi uygulamaları karşılamalıdır
  • 7.7: En Az İşlevsellik: Güvenlik olayları sırasında kaynakları korumak için gereksiz işlevler kısıtlanmalı ve yönetilmelidir
  • 7.8: Kontrol Sistemi Bileşen Envanteri: IACS, tüm kontrol sistemi bileşenlerinin güncellenmiş bir envanterini tutmalı ve yönetmelidir

ISA'nın Güvenlik Standartlarına Nasıl Uyulur?

ISA'nın 62443 serisi güvenlik standartlarına uymak isteyen herhangi bir kuruluşun sorumluluğu departmanlar arasında paylaşması gerekir. 62443 serisi, önemli siber güvenlik paydaşlarının işbirliği yapmasını ve IACS'lerinin tüm bileşenlerinin siber risklere ve güvenlik açıklarına karşı savunmasını sağlamasını gerektirir.

Bir kuruluşun çalışanları, standartları, siber güvenlik ölçümleri ve kültürü, 62443 serisi boyunca bulunan temel ve sistem gereksinimlerine bağlı kalmada kritik bir rol oynayacaktır. Seri ayrıca, BT ve siber güvenlik uzmanlarının genellikle daha aşina olduğu NIST Siber Güvenlik Çerçevesi'nin (NIST CSF) temel direklerinden de yararlanıyor.

NIST CSF'nin ana ilkeleri şunları içerir:

  • Keşfedin: Personel, sistem risklerini ve kötü amaçlı etkinlikleri tahmin etmek, tanımlamak ve önlemek için tüm sistem bileşenlerini düzenli olarak izlemeli ve değerlendirmelidir
  • Segment: Siber saldırıların ve güvenlik olaylarının bir sistem üzerindeki etkisini azaltmak için sistemler mümkün olduğunca bölümlere ayrılmalıdır
  • Tespit: Personel, sistem genelinde sürekli olarak yeni güvenlik açıklarını ve riskleri tespit etmek için prosedürler ve protokoller kurmalıdır
  • Yanıt: Kuruluşlar, olay yönetimini ve sistem onarımını hızlandırmak için Olay müdahalesi ve iş sürekliliği planlarından yararlanmalıdır

UpGuard'ın siber güvenlik çözümleri, kuruluşların ISA'nın 62443-3-3 sistem gereksinimlerinin çoğunu karşılamasına yardımcı olabilir. Eşzamanlı olarak, UpGuard BreachSight ve Vendor Risk, kullanıcılara saldırı yüzeyi yönetimi, satıcı risk yönetimi, olay müdahalesi, ağ güvenliği vb. dahil olmak üzere kritik siber güvenlik kavramları konusunda yardımcı olabilir.

BreachSight ve Vendor Risk'in tüm özellikleri şunları içerir:

  • Veri sızıntısı tespiti: Veri sızıntılarının zamanında tespiti ile markanızın itibarını, fikri mülkiyetini ve müşteri verilerini koruyun
  • Sürekli izleme: Etki alanları, IP'ler, uygulamalar, uç noktalar, eklentiler ve güvenlik duvarları dahil olmak üzere saldırı yüzeyinizdeki gerçek zamanlı güncelleştirmeler alın ve maruz kalmaları yönetin
  • Saldırı yüzeyini azaltma: Kötüye kullanılabilecek güvenlik açıklarını ve typosquatting riski taşıyan etki alanlarını keşfederek saldırı yüzeyinizi azaltın
  • Paylaşılan güvenlik profili: Güvenlik anketlerini yanıtlama zahmetini ortadan kaldırmak için bir UpGuard Paylaşılan profili oluşturun
  • İş akışları ve feragatler: Düzeltme iş akışlarını kolaylaştırın, risklerden hızla feragat edin ve güvenlik sorgularına yanıt verin
  • Raporlama ve içgörüler: Farklı paydaşlar için özel olarak hazırlanmış raporlara erişin ve harici saldırı yüzeyinizle ilgili bilgileri görüntüleyin
  • Satıcı Güvenlik anketleri: Satıcı ilişkileriniz ve üçüncü taraf güvenlik duruşunuz hakkında daha derin bilgiler edinmek için güvenlik anketlerini otomatikleştirin
  • Güvenlik derecelendirmeleri: Veriye dayalı, objektif ve dinamik güvenlik derecelendirmelerimizi kullanarak bireysel satıcıların güvenlik duruşunu değerlendirin
  • Risk değerlendirmeleri: Risk değerlendirmesi iş akışlarını kolaylaştırın, kanıt toplayın ve hızlı bir şekilde düzeltme talep edin