Что такое ISA 99
который был разработан Международным Обществом Автоматизации (www.isa.org), международной некоммерческой организацией. Стандарт предоставляет возможность повышения цифровой безопасности и безопасности условий ведения технологического процесса. Применение стандарта переводит промышленные предприятия на более высокий уровень цифровой безопасности производств. Стандарт ISA/IEC 62443 – http://isa99.isa.org, получен из серии стандартов ISO/IEC 27000, но адаптирован с особым акцентом на условия Промышленных Систем Управления.
Истоки стандарта – кибер аттаки
Кибер-безопасность обсуждается в мире с конца прошлого столетия. Наиболее известны в в мире кибер-аттаки касаются объектов ядерной, нефятной промышленности, инфраструктурных объектов. Речь идет как о вирусных атаках, так и о безопасности доступа к данным. Главная цель кибер-аттак находится как раз на уровне АСУ ТП – это уровни систем SCADA и контроллеров. В работе “ISA99/IEC 62443: a solution to cyber-security issues?”, президент ISA-France, Jean-Pierre Hauet описывает вирус Stuxnet, преследующего системы Siemens WinCC/PCS 7. Среди разных стран, подверженных атаках этого вируса упомянута и Украина. Подобный вирус на иранских ядерных объектах в 2010 году заразил 22 объекта, более 100 компьютеров и мог повредить до 1000 центрифуг. Подобные случаи известны и хорошо описаны и в других странах. Самое неприятное это то, что кибер-аттаки имеют явную тенденцию к росту в последние годы.
Именно по этим причинам стандарта ISA 99 (IEC62443) был принят развитыми странами и получил широкое распространение в мире в качестве стандарта кибер-безопасности. С учетом наших реалий – более чем очевидно, что Украина также должна рассматривать подобные технологии защиты и безопасности.
Почему АСУ ТП чувствительны к рискам
Эксперты называют 3 причины или же 3 источника «взлома» систем управления:
- Доступ к уровню систем управления существует с разных уровенй – АСУП, внешнего подключения различных устройств наладки, удаленных устройств и т.п.
- В них часто используются не промышленные технологии (COTS) – по-сути, не защищенные
- Третье и самое главное – стыки уровня ИТ и промышленных систем управления зачастую не имеют надлежащих программ и правил безопасности по многим аспектам. И речь здесь как о технологиях, так и об административно-регламентных правилах.
Спецификации стандарта
Стандарт специфицирует требования по 4-м уровням, рис. 1
- Общие положения: определяют соответствующие концепты, модели и терминологию, а также цели и метрики по безопасности
- Политики и процедуры: устанавливают конкретные правила в рамках программы безопасности. Здесь появляются правила, соответствующие уровню АСУ ТП
- Системы и технологии: здесь рассматриваются конкретные технологии, инструменты и практики, относящиеся к АСУ ТП
- Компоненты: этот уровень специфицирует требования по безопасности на уровне отдельно взятого устройства – это особенно важно для разработки новых устройств управления
Рис. 1
Комитет ISA99 тесно сотрудничает с другими подобными – ISA100, ISO/IEC, ISCI, MSMUG и др. Сам стандарт – платный, стоимость от 300 у.е.
*********
Больше информации на английском – запрашивайте АППАУ по адресу info@appau.org.ua
Мы также ищем помощников и волонтеров, кто бы мог переводить эти материалы для всего сообщества.
По различным материалам западных источников
Статьи на подобную тематику: