IEC 62443 標準解讀

IEC 62443 – IECEE 認證機制

IEC 62443 是工業自動化和控制系統的網絡安全標準。筆者於其他文章介紹過IEC 62443標準的3種業界主流的認證機制。本文將彙整IECEE官方文件,並針對「IECEE認證機制」進行詳細介紹。

備註:IECEE官方文件:Industrial Cyber Security Program (OD-2061), v2.0, 01-JUL-2020

目錄 > 概述

  1. 什麼是IEC 62443?
  2. IEC 62443 成熟等級與安全等級
  3. IEC 62443的3種認證機制
  4. IECEE認證機制與ISCI認證機制的差異
  5. IEC 62443 – ISCI認證機制
  6. IEC 62443 – IECEE 認證機制

IECEE體系簡介

IECEE,全名為「電機工程學設備及組件的IEC符合性評鑑方案」,是一個基於IEC國際標準的多邊認證系統,其中的成員對驗證結果採用相互承認(互惠接受)原則在國際上來取得認證或是國際等級的承認。

IECEE體系,依賴CB測試實驗室(CBTLs),這些實驗室主要負責測試產品是否符合標準。測試完成後,結果將被提交至CB驗證系統成員國內部的國家驗證機構(NCBs),該機構可授權CBTL測試產品合法進入市場,而無須進行其他測試。

額外說明 -- 哪裡可以查詢CBTLs?

CB測試實驗室(CBTLs)的相關資訊可以參考IECEE的網站。

步驟1: 進入IECEE網站
步驟2: 在選單中找到「Testing&Certification」→「IEC Standards」
步驟3: (請參考下圖)找到頁面中的「Table search」框 → 輸入「62443」
額外說明 -- 亞洲有CBTLs嗎?

目前IEC 62443在IECEE體系中可認證的標準範圍,共計有5個 (請參考下圖)

亞洲地區唯一可以針對這5個範圍進行驗證的單位是位於台灣的 「TUV Asia Pacific Ltd., Taiwan Branch, Taichung Laboratory」即「TUV NORD 台灣分公司」;讀者如果要進一步查詢其他CBTLs,可以直接使用筆者提供的連結,整理如下:

1) IEC 62443-2-4:2015
2) IEC 62443-2-4:2015AMD1:2017
3) IEC 62443-3-3:2013
4) IEC 62443-4-1:2018
5) IEC 62443-4-2:2019
IECEE網站上所條列可以驗證的IEC 62443標準,共計有5個

IECEE 認證範圍

IEC 62443 系列標準制定了「安全能力」的要求,這些能力可能是技術能力(安全機制)或流程能力(人為程序)。IECEE機制的IEC 62443符合性評估包含申請人用於 開發整合、維持 特定產品或解決方案的安全能力評估。以下兩種評測方法可被採用:

  1. 評估申請人提供符合IEC 62443標準的能力。評估的重點是申請人所提交的證據。所提交的證據包含特定要求和被要求用於實施安全能力的流程。
  2. 評估這些能力被應用於 特定的產品 或 特定的解決方案
額外說明 -- 總結上述內容

1. 申請人是否具實現特定IEC 62443的能力 (特定流程,或流程執行能力)
2. 申請人的特定產品是否符合特定IEC 62443標準
3. 申請人的特定解決方案是否符合特定IEC 62443標準

工控網絡安全能力 – 符合性證明

NCB 可於基於以下「2種情境」頒布認證,請參考下圖:

  1. 情境 1 —能力評估:評估一組技術能力(IEC 62443–3–3, IEC 62443–4–2)或流程導向能力(IEC 62443–2–4, IEC 62443–4–1)
  2. 情境2 — 應用能力評估:應用「情境 1 流程導向能力」於特定的產品或解決方案
IECEE 針對IEC 62443系列標準,提出2種情境的認證方式
額外說明 -- 「解決方案」的定義

在特定的時間和地點實作一個特定的控制系統 (A solution is defined to be a specific implementation of a control system at a specific time and location)
額外說明 -- IEC 62443-2-4的「產品認證」

IEC 62443-2-4的產品認證中的「產品」指的是有助於解決方案的產品/組件 (Refers to a product/component as it contributes to a solution)

總結上述內容,IECEE共定義了以下6種符合性認證:

  • 產品能力評估 (IEC 62443–2–4, IEC 62443–3–3, IEC 62443–4–2)
  • 流程能力評估 (IEC 62443–2–4, IEC 62443–4–1)
  • 解決方案能力評估 (未來考慮)
  • 產品應用的能力評估 (IEC 62443–4–1)
  • 流程應用能力評估 (未來考慮)
  • 解決方案應用的能力評估 (IEC 62443–2–4, IEC 62443–3–3)

綜整IECEE認證機制

為了讓讀者能夠更方便了解IECEE的認證機制,筆者將整理IECEE認證機制於不同認證方案(流程、產品、解決方案)、適用對象(資產擁有者、服務提供商、系統整合商、產品供應商)、情境(情境1, 情境2),其相關說明如下:

IEC 62443-2-4

IECEE 針對IEC 62443-2-4 提供的3種認證機制 (其中黃色部分為IEC 62443-3-3認證機制)
  • -2-4 流程認證(情境1):

評估申請者(服務提供商)的流程是否根據標準的要求定義;其中,申請者可以根據所提供的服務,定義需要認證的範圍,換句話說,申請者可以根據標準裁剪,並不需要通過所有標準所定義的要求。

  • -2-4 解決方案認證(情境2):

評估申請者(服務提供商)的解決方案,是否符合標準的要求定義。這邊所謂的解決方案,指的是申請者提供的服務,例如: 部署、維護、更新、等服務;附帶一提,這個認證可選擇搭配IEC 62443-3-3的解決方案認證一起進行。

  • -2-4 產品認證(情境1):

評估申請者(產品供應商)提供的產品是否符合標準的要求。

額外說明 -- 「服務提供商」涵蓋哪些?

上述IEC 62443-2-4 「流程認證」及「解決方案認證」所提到的「服務提供商」包含維護、更新、教育訓練服務的服務提供商,也包含設計、部署系統的系統整合商。
額外說明 -- IEC 62443-2-4的流程認證及解決方案認證差異

所謂的流程認證,表示申請者根據IEC 62443-2-4標準定義的要求,制定申請者於提供服務時所需遵守的標準作業流程。如果通過認證,申請者將會取得IEC 62443-2-4流程認證,其成熟等級為Level 2

所謂的解決方案認證,表示申請者根據上一段所制定的「標準作業流程」實施,並產出實施證據。如果通過認證,申請者將會取得IEC 62443-2-4解決方案認證,其成熟等級為Level 3或4
額外說明 -- IEC 62443-2-4解決方案認證的範圍選擇

服務提供商所提供的服務,如果涉及資產擁有者的系統(這邊包含:新部署系統、更新系統、維護系統),則可能影響原系統的安全等級。

因此,如果以下情境發生:
1) 資產擁有者希望針對其系統進行安全性認證
2) 服務提供商希望證明其服務

則服務提供商可以要求以下兩個標準一同驗證:
1) IEC 62443-2-4 解決方案認證 (情境2)
2) IEC 62443-3-3 解決方案認證 (情境2)

IEC 62443-3-3

IECEE 針對IEC 62443-3-3 提供的2種認證機制 (其中黃色部分為IEC 62443-4-1認證機制)
  • -3-3 產品認證(情境1):

評估申請者(產品供應商)的產品是否符合標準要求(不同安全等級的要求不同);這邊所謂的產品,指的是由組件整合而成的系統。附帶一提,這個認證可選擇性的結合IEC 62443-4-1的產品認證一起進行。

額外說明 -- IEC 62443-4-1產品認證(情境2)

所謂產品(或系統)認證,經認證的產品(或系統)並未部署於實際場域中,因此該認證所取得的安全等級,屬於SL-C(Security Level - Capability),意即具備N安全等級能力的產品(或系統)。
  • -3-3 解決方案認證(情境2):

針對申請者所提供產品,評估其與標準要求的符合性(不同安全等級的要求不同);這邊所謂的產品,指的是被服務提供商提供服務所影響的產品,所謂的影響大致上可以初略分成兩種情境:

  1. 新系統:服務提供商將「系統」部署在特定的場域。
  2. 舊系統:系統已存在特定場域,服務提供商定期或不定期針對該系統進行維護與更新。

不論是新系統,或已存在的舊系統,一旦經過部署、維護或更新,其原有的安全等級可能會因此而被影響,因此這邊的解決方案認證指的是,驗證「佈建於特定場域的系統」以確保其安全等級。

此IEC 62443-3-3解決方案認證,建議搭配IEC 62443-2-4解決方案認證一同進行。

額外說明 -- IEC 62443-3-3的產品認證解決方案認證差異

所謂產品(或系統)認證,經認證的產品(或系統)並未部署於實際場域中,因此該認證所取得的安全等級,屬於SL-C(Security Level - Capability),意即具備N安全等級能力的產品(或系統)。

所謂解決方案認證,經認證的產品(或系統)已部署於特定場域中,並根據該場域的需求進行相對應的安全能力調整,因此該認證所取得的安全等級,屬於SL-A(Security Level - Achieved),意即達到N安全等級的產品(或系統)。

基於上述的描述,當然也存在一種有趣的可能性:

「SL-C為3的系統,經過部署後,變成SL-A為2的系統」

解讀:產品供應商所開發出來的系統具備3的安全等級,但資產擁有者僅要求等級2的安全等級,因此,服務提供商在進行系統部署時,拔除、取消了特定的功能,使得最後進行驗證的系統僅存等級2的安全等級。

IEC 62443-4-1

IECEE 針對IEC 62443-4-1 提供的2種認證機制
  • -4-1 流程認證(情境1):

評估申請者的所制定的標準作業流程是否符合標準要求;其中,申請者可以根據其開發流程,定義需要認證的範圍,換句話說,申請者可以根據標準裁剪,並不需要通過所有標準所定義的要求。

  • -4-1 產品認證(或稱流程執行認證)(情境2):

評估申請者執行所定義流程的能力;本認證通常將與系統開發(意指-3-3的產品認證)或產品開發(意指-4-2產品認證)搭配一起進行驗證。

額外說明 -- IEC 62443-4-1的「流程認證」及「產品認證」的差異

所謂的流程認證,表示申請者根據IEC 62443-4-1標準定義的要求,制定申請者於產品開發時所需遵守的標準作業流程。如果通過認證,申請者將會取得IEC 62443-4-1流程認證,其成熟等級為Level 2

所謂的產品認證,表示申請者根據上一段所制定的「標準作業流程」執行產品開發,並產出產品開發證據。如果通過認證,申請者將會取得IEC 62443-4-1產品認證(或稱之為流程執行認證),其成熟等級為Level 3或4

IEC 62443-4-2

IECEE 針對IEC 62443-4-2 提供的認證機制 (其中黃色部分為IEC 62443-4-1認證機制)
  • -4-2 產品認證(情境1):

評估申請者的產品(組件)是否符合標準要求(不同安全等級其要求不同);根據IECEE文件的定義,本認證必須搭配IEC 62443-4-1的產品認證一同進行。換言之,申請者必須根據IEC 62443-4-1的開發生命週期要求來實作IEC 62443-4-2的產品。

值得一提的是,申請者的產品可以根據其產品特性選定需要認證的範圍,換句話說,申請者申請認證的產品可以根據標準裁剪,並不需要通過所有標準所定義的要求。

額外說明 -- IEC 62443-4-2的產品範圍

IEC 62443-4-2所定義的產品,包含以下四種產品類型:
1) 軟體應用程式 (Software Application)
2) 嵌入式設備 (Embedded device)
3) 網路(通)設備 (Network device)
4) 主控設備 (Host device)


感謝閱讀本文章!

如果你對文章內容有任何問題,請隨時與我交流聯絡。

歡迎訂閱我的文章,當有最新文章發布時,我將第一時間通知您 :)


WRITTEN BY
David Lin

現任國際標準輔導顧問及評鑑師;
在這個網站,我將分享一些產業新知、趨勢以及標準的解讀與看法。

歡迎與我交流:
Email:
linchewing@gmail.com
LinkedIn:
https://www.linkedin.com/in/linchew/