ISA Topluluğu ve IEC 62443 Standartı

ISA Topluluğu Kimdir?

Uluslararası Otomasyon Topluluğu(The International Society of Automation ISA)  ( www.isa.org ), otomasyon yoluyla daha iyi bir dünya için 1945 yılında kurulmuş, kar amacı gütmeyen bir meslek kuruluşudur. ISA, operasyonel mükemmelliğe ulaşmak için otomasyon topluluğunu birbirine bağlayarak teknik yeterliliği geliştirir. Organizasyon yaygın olarak kullanılan küresel standartlar geliştirir; endüstri profesyonellerini onaylar; eğitim ve öğretim sağlar; kitap ve teknik makaleler yayınlar; konferans ve sergilere ev sahipliği yapar; dünya çapında 40.000 üyesi ve 400.000 müşterisi için ağ oluşturma ve kariyer geliştirme programları sunar.

ISA, aşağıdaki endüstriler için teknik kaynaklar sunmaktadır:

  • Kimyasallar
  • Yiyecek ve İçecek
  • Petrol ve Gaz Çıkarma
  • Petrol Rafineri
  • İlaç
  • Selüloz ve Kağıt
  • Otomotiv
  • Boru Hattı ve Doğal Gaz Tesisleri
  • Elektrik Tesisleri
  • Su / Atıksu
  • Tesisleri Mühendislik ve İnşaat Firmaları
  • Sistem Entegratörleri

IEC-62443 Standardı

Uluslararası Otomasyon Derneği (ISA) 99 standart geliştirme komitesi , tüm endüstri sektörleri ve kritik altyapı için geçerli endüstriyel otomasyon ve kontrol sistemleri güvenliği ile ilgili ISA standartlarını geliştirmek için dünyanın dört bir yanından endüstriyel siber güvenlik uzmanlarını bir araya getirir. Eskiden ISA 99 olarak bilinen IEC 62443, endüstriyel kontrol sistemi (ICS) ağlarının güvenliği için dünya çapında fiili standarttır. Standart, Uluslararası Otomasyon Derneği (ISA) tarafından oluşturuldu ve daha da geliştirilmesinden sorumlu Uluslararası Elektroteknik Komisyonu (IEC) tarafından devralındı. ISA 99 topluluğundaki kişilerin çoğu IEC 62443 topluluğundakilerle aynıdır.

IEC 62443, ICS içindeki mevcut ve potansiyel güvenlik açıklarının değerlendirilmesine yardımcı olur ve gerekli önlemlerin uygulanmasına yardımcı olur. Bu standardın genel amacı, Endüstriyel Otomasyon ve Kontrol Sistemlerinin (IACS) güvenliğini sağlamak, tehdit ve hata riskini azaltmaktır.

Endüstriyel kontrol sistemleri paydaşları IEC-62443’te açıklanan teknikleri kullanarak her sistem için gerekli siber güvenlik risklerinin değerlendirebilir ve bu riskler karşısında ne gibi önlemler alınacağına karar verebilir. Her risk eşit derecede ele alınamayacağı için IEC-62443 tarafından toplamda beş risk seviyesi belirlenmiştir. Bu seviyelere SL (security level) olarak tanımlar. SL0 da önlem almaya gerek yoktur. SL1, gündelik veya tesadüfi ihlallere karşı koruma sağlamak için tasarlanmıştır. SL3 ve SL4 donanım güvenliğini şaret eder.

Güvenlik SeviyesiHedefBecerilerMotivasyonAnlamıKaynaklar
SL-1Günlük ve Tesadüfi İhlallerSaldırı YokHataKasıtsızBireysel
SL-2Siber suç,
Hacker
GenelDüşükBasitDüşük(Birey)
SL-3Hacktivist,
Terörist
ICS’ye ÖzgüOrtaSofistike (Saldırı)Orta Düzeyde
(Hacker
Grup)
SL-4Devlet DüzeyiICS’ye ÖzgüYüksekSofistike (Mücadele)
Genişletilmiş (Multidisipliner Takımlar)

Bu standart; Genel, Politikalar ve Prosedürler, Sistem ve Bileşen olarak dört ana başlıkta toplanan 13 belgeden oluşur.

IASC: Industrial Automation and Control System (Endüstriyel Otomasyon ve Kontrol Sistemi)

Bu bileşenlerin tanımlamaları şu şekilde yapılabilir:

  • Genel, endüstriyel güvenlik sürecine genel bir bakış sağlamak ve gerekli kavramları tanıtmak.
  • Politikalar ve Prosedürler dokümanları politikaların önemini vurgular. Burada amaç insanların bunu desteklemeye kararlı ve eğitimli olmasıdır.
  • Sistem belgeleri güvenli sistemlerin tasarımı ve uygulanması konusunda temel rehberlik sağlar.
  • Bileşen belgeleri güvenli endüstriyel bileşenler için karşılanması gereken gereksinimleri açıklar.

Yukarıdaki tabloya göre IEC 62443 serisindeki temel standartlar şunlardır:

  • Sistem entegrasyonu için politika ve uygulamaları kapsayan IEC 62443-2-4
  • Güvenli geliştirme yaşam döngüsü gereksinimlerini karşılayan IEC 62443-4-1
  • IACS bileşenleri güvenlik spesifikasyonlarını kapsayan IEC 62443-4-2
  • Güvenlik gereksinimlerini ve güvenlik seviyelerini kapsayan IEC 62443-3-3

ISA/IEC 62443-4-2, Endüstriyel Otomasyon ve Kontrol Sistemleri için Güvenlik(IACS Bileşenleri için Teknik Güvenlik Gereksinimleri): IASC’yi oluşturan bileşenler, özellikle de yerleşik aygıtlar, ağ bileşenleri, ana bilgisayar bileşenleri ve yazılım uygulamaları için siber güvenlik teknik gereksinimleri sağlar. Standart, bir bileşenin, karşı önlemleri telafi etmeden belirli bir güvenlik düzeyi için tehditleri hafifletmesini sağlayan güvenlik yeteneklerini ortaya koymaktadır.

ISA/IEC 62443-4-1, Ürün Güvenliği Geliştirme Yaşam Döngüsü Gereksinimleri: IASC’de kullanılan ürünlerin güvenli geliştirilmesi için süreç gereksinimlerini belirtir ve güvenli ürünler geliştirmek ve sürdürmek için güvenli bir geliştirme yaşam döngüsü tanımlar. Yaşam döngüsü, güvenlik gereksinimlerini tanımı, güvenli tasarım, güvenli uygulama(kodlama yönergeleri dahil), doğrulama, hata yönetimi, yama yönetimi ve ürün ömrünü içerir.

ISA / IEC 62443-3-3, Sistem Güvenlik Gereksinimleri ve Güvenlik Seviyeleri : IASC bileşenlerinin güvenlik güvence seviyelerini tanımlar. Güvenlik seviyeleri, ürün sağlamlığını artırmak ve siber tehditlere karşı güvenli hale getirmek için gereken güvenlik işlevleri için yol gösterir. Buna ek olarak IEC 62433-3-3 temel gereksinimleri; kullanıcı kimlik doğrulaması, rol ve sorumlulukların uygulanması, şifreleme yöntemleri, denetim, sistem yedekleme ve kurtarma gibi temel ihtiyaçları da tasvir eder.

ISA/IEC 62443-3-2, Güvenlik Riski Değerlendirmesi,Sistem Bölümleme ve Güvenlik Seviyeler: IASC güvenliğinin risk yönetimi anlayışına dayanır. Kuruluşların ağlarını bölgelere ve kanallara nasıl ayırması gerektiğini, işlevsellikte benzer olan sistemleri gruplandırması ve tehdit maruziyetini ve yayılımını sınırlandırmak için erişimi kısıtlamasını önerir. Bir bakıma ağ tasarımı ve yönetimi için yol gösterir.

ISA-IEC 62443 standartının temel özelliği, endüstriyel sistemleri güvenceye almak için gerekli siber güvenlik tekniklerinde rehberlik sağlamasıdır.

Yakın zamanda başlayan ve gelecekte de önemi gittikçe artacak olan Endüstriyel Kontrol Sistemlerinin güvenliği konusunda araştırma yapacak olanlar, bu alanda siber güvenlik uzmanı olmak isteyenler için bir yol haritası özelliğindedir. Bu standartın adımlarının iyi gözden geçirilmesi ve uygulanması gerekmektedir.

IEC 62443 standartını uygulayacak olan kurumun bilmesi gereken ilk personel eğitimi ve kurumsal siber güvenlik politikasıdır. Sonrasında eski EKS cihazlarını yükseltme veya yeni EKS cihazlarıyla değiştirme, yeni siber güvenlik cihazları alınması gibi ihtiyaçlara sebep olabilir. Yüksek siber güvenlik seviyeleri için bu gibi durumlara da hazırlıklı olmak gerekmektedir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir