Ny del av IEC 62443 för process och automation kan också bli europeisk standard.
Var sätter man gränserna runt och inuti ett system som ska skyddas? Ett förslag till en ny del av den internationella standarden för IT-säkerhet i industriella styr- och reglersystem handlar om just det.
Den planerade nya delen, IEC 62443-3-2, Security risk assessment and system design, bygger på en uppdelning av systemet i avgränsade zoner och kanaler (conduits) och på riskbedömning och en bestämning av de tänkta säkerhetsnivåerna. Just riskbedömningen är central i sammanhanget, eftersom hotbild, känslighet och möjliga konsekvenser är olika från anläggning till anläggning. Förslaget, som har beteckningen 65/690/CDV är ute på remiss till 2018-05-14. Det kan beställas för studie och kommentering här från SEK Svensk Elstandard. Där står också hur man gör för att läsa och kommentera förslaget direkt på nätet.
Den internationella standarden IEC 62443 är mer teknik- och lösningsorienterad än den mer generella – och mer kända – ledningssystemstandarden ISO 27000. Den är tänkt för automation och processtyrning i industri och teknisk infrastruktur och fokuserar på hur man gör för att uppnå det önskade skyddet, som förstås beror på vilken nivå som valts för de olika delarna av systemet.
IEC 62443, som har titeln Industrial communication networks – Network and system security, består av flera delar. Den behandlar kontroll av åtkomst (access) och användning (use), skydd mot avlyssning och ändring av data (confidentiality och integrity) och skydd mot obehörig publicering (restricted data flow) samt snabbt ingripande om något händer (timely response) och upprätthållande av tillgängligheten (resource availability).
