IEC 62443 標準解讀

IEC 62443 的3種認證機制

IEC 62443 系列標準- 提供了一套業界可遵循的規範,讓產業鏈中不同的角色有規則可循。這一套工業自動化和控制系統(IACS)的工控資安標準,目前有業界有3種主流的認證機制,本文章將針對這三種機制提供簡單的介紹。

目錄 > 概述

  1. 什麼是IEC 62443?
  2. IEC 62443 成熟等級與安全等級
  3. IEC 62443的3種認證機制
  4. IECEE認證機制與ISCI認證機制的差異
  5. IEC 62443 – ISCI認證機制
  6. IEC 62443 – IECEE 認證機制

ISA Security Compliance Institute (ISCI)

ISCI是一個非營利性組織,該組織是由工控產業的資產擁有者、設備供應商、測試實驗室及專家等所組成,其目的在改善工控產業的安全。ISA Secure 是由ISCI所管理的一致性認證程序。通過ISA Secure認證,表示工業自動化控制(IAC)產品和系統對網絡攻擊具有強大的抵抗力,並保證其不存在已知的漏洞。

目前,ISCI提供三種符合IEC 62443標準的ISA Secure認證,分別是:

  1. ISASecure 組件安全保證認證 (產品認證)
    (ISASecure Component Security Assurance (CSA) Certification)
    認證組件(產品)是否依據IEC 62443-4-1流程要求進行開發,且符合IEC 62443-4-2的安全要求。待認證的組件(產品)可選擇符合四個安全保證等級的其中一個。(安全保證等級不同,其安全要求也有所不同)。
  2. ISASecure 系統安全保證認證 (系統認證)
    (ISASecure System Security Assurance (SSA) Certification)
    認證系統是否依據IEC 62443-4-1流程要求進行開發,且符合IEC 62443-3-3的安全要求。待認證系統可選擇符合四個安全保證等級的其中一個。(安全保證等級不同,其安全要求也有所不同)。
  3. ISASecure 安全開發生命週期保證認證 (流程認證)
    (ISASecure Security Development Lifecycle Assurance (SDLA) Certification)
    認證組織是否依據IEC 62443-4-1的安全開發生命週期來開發產品。SDLA認證不考慮流程的成熟度。
額外說明 - CSA是EDSA的修訂與擴充版

2019年8月,發行的ISASecure CSA version 1.0.0 包含了以前的ISASecure EDSA(嵌入式設備)認證程序。之前的ISASecure EDSA只認證嵌入式設備,ISASecure CSA的認證範圍則包含四種組件,分別是:軟件應用程式、嵌入式設備、主機設備和網通設備 (這些組件也定義在IEC 62443-4-2中)
額外說明 - ISCI不包含的認證範圍

ISCI目前只有上述的三種認證。由此可知,ISCI沒有針對IEC 62443-2-4提供認證。這表示服務提供商(Service Provider)、系統整合商(System Integrator)和資產擁有者(Asset Owner)在工控現場端,執行的營運與維護等活動,是沒有辦法取得ISCI認證的。

參考資訊

詳細內容,請參考ISA Secure網站


IECEE

IECEE,全名是”國際電工委員會電工產品合格測試與認證組織”(IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components),是國際電工委員會(IEC)授權的國際認證組織,該體系的成員之間採相互認可機制(多邊認證系統),互相接受彼此的測試結果,以獲得國家等級認證或批准,藉此促進國際貿易的目的。

目前,IECEE提供的8種符合IEC 62443標準認證,分別是:

IECEE針對IEC 62443提出的8種認證

IEC 62443-2-4

  • (情境1) 流程認證: 認證申請者的流程是否基於標準的要求而制定。
  • (情境1) 產品認證: 認證有助於實現解決方案的產品/組件。
  • (情境2) 解決方案認證: 認證申請者提供的解決泛是否與標準要求一致。

IEC 62443-3-3

  • (情境1) 產品認證: 認證申請者的產品是否與標準要求一致。(不同安全等級其需求不同)
  • (情境2) 解決方案認證: 認證申請者提供的解決泛是否與標準要求一致。
額外說明 - 產品與解決方案的差異

所謂的產品,指的是工控系統已完成開發,但是未佈署於現場端。相對的,所謂解決方案,指的是工控產品已開發完成,且根據現場端的需求完成佈署。

備註: 這裡延伸出來的討論是,產品的安全等級與解決方案的安全等級的議題。筆者會在寫文章來說明這之間的關係。

IEC 62443-4-1

  • (情境1) 流程認證: 認證申請者的流程是否基於標準的要求而制定。
  • (情境2) 產品認證(或稱「流程實作認證」): 認證申請者的執行成果是否與標準要求一致。

IEC 62443-4-2

  • (情境1)產品認證: 認證申請者的產品是否與標準要求一致。(不同安全等級其需求不同)
額外說明 - 關於IECEE與ISCI的主要差別

關於這兩個國際的主流認證方式的差別,我將特別撰寫一篇文章來說明。

參考資訊

詳細內容,請參考IECEE網站


合規實驗室認證

IECEE與ISCI均提供合規認證計畫,各自有許多驗證機構(CB, certification bodies)來提供測試與驗證的服務。除了上述兩種認證方式之外,供應商也可以雇用合規實驗室或第三方驗證機構,透過各自定義的符合性驗證原則(也就說,不採用IECEEC或ISCI的認證機制框架),執行IEC 62443標準的驗證。

額外說明 - 合規實驗室或第三方驗證機構的選用條件

第三種認證方式的認證效力只存在認證機構本身。也就是說,這個認證並不具有國際效力。因此,在選擇第三種認證方式時,要特別注意認證機構提供的認證選項。
額外說明 - 什麼情況要選擇第三種認證方式

假設申請人欲申請認證的標準項,不包含在IECEE或ISCI認證機制框架中,則可考慮透過第三種認證方式,核發IEC 62443標準認證。

3種認證對IEC 62443的涵蓋範圍

3種認證機制與IEC 62443的涵蓋範圍

這三種認證方式的涵蓋範圍如上圖所示,其中「黃色」為IECEE的認證範圍;「紅色」為ISCI的認證範圍;「綠色」為合規實驗室的常見認證範圍。

  • IECEE涵蓋:IEC 62443-2-4, -3-3, -4-1, -4-2
  • ISCI涵蓋: IEC 62443-3-3, -4-1, -4-2
  • 合規實驗室涵蓋: 常見範圍 IEC 62443-2-1, -3-2;也可以包含 -2-4, -3-3, -4-1, -4-2

供應商可以根據自身的需求,選擇需要的認證方式。

筆者將會針對IECEE和ISCI兩種認證方式,額外撰寫一篇差異比較。


感謝閱讀本文章!

如果你對文章內容有任何問題,請隨時與我交流聯絡。

歡迎訂閱我的文章,當有最新文章發布時,我將第一時間通知您 :)


WRITTEN BY
David Lin

現任國際標準輔導顧問及評鑑師;
在這個網站,我將分享一些產業新知、趨勢以及標準的解讀與看法。

歡迎與我交流:
Email:
linchewing@gmail.com
LinkedIn:
https://www.linkedin.com/in/linchew/