Что такое ISA 99

который был разработан Международным Обществом Автоматизации (www.isa.org), международной некоммерческой организацией. Стандарт предоставляет возможность повышения цифровой безопасности и безопасности условий ведения технологического процесса. Применение стандарта переводит промышленные предприятия на более высокий уровень цифровой безопасности производств. Стандарт ISA/IEC 62443 – http://isa99.isa.org, получен из серии стандартов ISO/IEC 27000, но адаптирован с особым акцентом на условия Промышленных Систем Управления.

Истоки стандарта – кибер аттаки

Кибер-безопасность обсуждается в мире с конца прошлого столетия. Наиболее известны в в мире кибер-аттаки касаются объектов ядерной, нефятной промышленности, инфраструктурных объектов. Речь идет как о вирусных атаках, так и о безопасности доступа к данным. Главная цель кибер-аттак находится как раз на уровне АСУ ТП – это уровни систем SCADA и контроллеров. В работе “ISA99/IEC 62443: a solution to cyber-security issues?”, президент ISA-France, Jean-Pierre Hauet описывает вирус Stuxnet, преследующего системы Siemens WinCC/PCS 7. Среди разных стран, подверженных атаках этого вируса упомянута и Украина. Подобный вирус на иранских ядерных объектах в 2010 году заразил 22 объекта, более 100 компьютеров и мог повредить до 1000 центрифуг. Подобные случаи известны и хорошо описаны и в других странах. Самое неприятное это то, что кибер-аттаки имеют явную тенденцию к росту в последние годы.

Именно по этим причинам стандарта ISA 99 (IEC62443) был принят развитыми странами и получил широкое распространение в мире в качестве стандарта кибер-безопасности. С учетом наших реалий – более чем очевидно, что Украина также должна рассматривать подобные технологии защиты и безопасности. 

Почему АСУ ТП  чувствительны к рискам

Эксперты называют 3 причины или же 3 источника «взлома» систем управления:

  1. Доступ к уровню систем управления существует с разных уровенй – АСУП, внешнего подключения различных устройств наладки, удаленных устройств и т.п. 
  2. В них часто используются не промышленные технологии (COTS) – по-сути, не защищенные
  3. Третье и самое главное – стыки уровня ИТ и промышленных систем управления зачастую не имеют надлежащих программ и правил безопасности по многим аспектам. И речь здесь как о технологиях, так и об административно-регламентных правилах. 

Спецификации стандарта

Стандарт специфицирует требования по 4-м уровням, рис. 1

  • Общие положения: определяют соответствующие концепты, модели и терминологию, а также цели и метрики по безопасности 
  • Политики и процедуры: устанавливают конкретные правила в рамках программы безопасности. Здесь появляются правила, соответствующие уровню АСУ ТП
  • Системы и технологии: здесь рассматриваются конкретные технологии, инструменты и практики, относящиеся к АСУ ТП
  • Компоненты: этот уровень специфицирует требования по безопасности на уровне отдельно взятого устройства – это особенно важно для разработки новых устройств управления

4layersISA99

Рис. 1

 

Комитет ISA99 тесно сотрудничает с другими подобными – ISA100, ISO/IEC, ISCI, MSMUG и др. Сам стандарт – платный, стоимость от 300 у.е.

*********

Больше информации на английском – запрашивайте АППАУ по адресу info@appau.org.ua  

Мы также ищем помощников и волонтеров, кто бы мог переводить эти материалы для всего сообщества.

По различным материалам западных источников

 

Статьи на подобную тематику:

1.  Что такое ISA 95 и зачем он нужен?

2. Что такое IEC 61850?

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *