IEC 62443 標準解讀

IEC 62443-1-5: 安全設定檔之設計框架

作者:

IEC 62443 做為工業自動化和控制系統的網宇安全標準,內容相當豐富,可廣泛應用於各個產業和領域。然而,各產業和領域都具有獨特的特性和需求,因此直接套用IEC 62443標準可能不夠切合實際情況。為了解決不同產業和領域的特定需求,IEC 62443-1-5標準提供了一個安全設定檔的設計框架,供各產業和領域自行定義其專屬的安全設定檔。

目錄 > 概述

  1. 什麼是IEC 62443?
  2. IEC 62443 成熟等級與安全等級
  3. IEC 62443的3種認證機制
  4. IECEE認證機制與ISCI認證機制的差異
  5. IEC 62443 – ISCI認證機制
  6. IEC 62443 – IECEE 認證機制
IEC 62443 子標準簡介 (點擊展開)
  1. IEC 62443-1-5: 安全設定檔之設計框架
  2. IEC 62443-2-1
  3. IEC 62443-2-4
  4. IEC 62443-3-2
  5. IEC 62443-3-3
  6. IEC 62443-4-1
  7. IEC 62443-4-2

目的與範圍

本標準詳細說明了一種用於定義IEC 62443系列安全設定檔(Security Profile)的設計框架(Scheme),此框架可用於制定、選擇、起草以及建立安全設定檔。

IEC 62443安全設定檔可供各種利益相關方使用,包括政府機構、組織、相關利益團體/部門、產業界以及特定領域,以便於IEC 62443系列標準中制定一套量身訂做的要求。

所謂的設定檔 (Profile)

筆者曾在之前的文章中簡介設定檔。簡單的來說,就是針對IEC 62443所發行的子標準進行裁減,以滿足不同產業的需求。

由於「裁減」一詞涵蓋了減少、修改和新增等特性,IEC 62443-1-5標準提供了針對這些裁減的建議指南,以防止各個行業過度擴展,產生各種標準要求的變種。

標準中定義的安全設定檔 (Security Profile)

IEC 62443的安全設定檔,實際上是IEC 62443標準的需求子集,其特點如下:

1. 特定的應用領域(例如,離散製造,工業過程)
2. 特定活動範圍 (例如: 佈署整合 或 修補程式管理) 
3. 產品(包括組件和系統),或是自動化解決方案在其預期運作環境和安全背景下的應用。
4. 特定類別的產品。

未來讀者可以在IEC 62443即將推出的62443-5-x 系列標準,查看相關的安全設定檔,這些安全設定檔皆遵守本標準所定義之要求。
誰適合閱讀本標準?

IEC 62443標準是一項國際性的標準,受到多國高度重視。因此,各特定產業的領導者、產業協會或國家都應參考此標準,制定相應的安全設定檔案。

以半導體產業為例,半導體產線設備資安標準(SEMI E187),這是由台積電與工研院聯合成立的SEMI資安工作小組,並得到多家產業成員的參與,包括聯電、日月光、力積電、南亞科、台灣應用材料、台達電、精品、安華聯網、奧義智慧、華電聯網、全景、尚承、擎願、MOXA、捷而思、台灣檢驗科技、神盾等等。

這份標準的制定主要包括以下四個要點:

* 作業系統規範,例如長期支援的作業系統。
* 網路安全,例如網路傳輸安全和網路組態管理。
* 端點防護安全,例如弱點掃描、惡意程式掃描、端點防禦機制和存取控制。
* 資訊安全監控,例如Log紀錄。

如果能夠使用現有的IEC 62443-1-5標準來制定半導體產線設備的安全設定檔,將有助於更好地將半導體產業的需求與國際標準相關聯,建立更緊密的聯繫,同時也能影響國際法規的適用性。

安全設定檔製作流程

請參考下圖,IEC 62443 安全設定檔的製作,共計有三個階段,分別是:

  1. 開發階段: 應根據特定的技術、區域、應用需求和IEC 62443-1-5標準所規定的9項要求(PR.01 – PR.09),制定安全設定檔。這些安全設定檔應避免與現有的安全設定檔重複。
  2. 確效階段: 應對已制定的安全設定檔進行確認,以確保其符合標準所定義的要求以及特定領域的需求。
  3. 應用階段: 正式發佈的安全設定檔應用於相關產業中。 (例如: 根據這些安全設定檔的要求,特定產業或產業供應鏈的相關成員應能夠實施IEC 62443所規定的相應要求。)

安全設定檔之格式

本文將簡列安全設定檔之格式,請參考下圖。讀者請自行參照IEC 62443-1-5 Annex A之內容。

針對上圖中安全設定檔之內容,其定義如下:

  • 標題: 安全設定檔之標題
  • 範圍: 安全設定檔之範圍 (範圍內、範圍外)、應用領域、特定活動、預期運作環境
  • 動機: 說明為何這份安全設定檔是必要的,並且簡述與已存在的類似安全設定檔之差異
  • 支持本設定檔之組織或協會: (選用) 提供支持該安全設定檔的組織/協會資訊。
  • 定義: 定義與安全設定檔相關的術語、定義、縮寫術語、首字母縮寫詞和規定
  • 已選擇IEC 62443子標準: (可多選)
    • IEC 62443-2-1
    • IEC 62443-2-4
    • IEC 62443-3-3
    • IEC 62443-4-1
    • IEC 62443-4-2
  • 已選擇IEC 62443之要求列表:
    • 列出包含在此設定檔中之IEC 62443要求(包含RE要求)
    • 列出未包含在安全設定檔中之IEC 62443要求(包含RE要求),並提供適當的理由
    • 如適用,為每個所選要求提供與IEC 62443標準之對應;有關所選最小成熟等級或安全等級的資訊
  • 安全設定檔之安全風險評估: 提供針對已經確立的安全設定檔之風險評估結果 (內容可包括評估該安全設定檔不會引入額外的風險,並驗證該安全設定檔不會削弱IEC 62443系列標準的原則。)
關於「已選擇IEC 62443之要求列表

請參照下圖,其中列出的清單包含了IEC 62443-3-3標準中的安全要求以及適用的安全設定檔的相關安全要求。

感謝閱讀本文章!

如果你對文章內容有任何問題,請隨時與我交流聯絡。

歡迎訂閱我的文章,當有最新文章發布時,我將第一時間通知您 :)

訂閱文章
WRITTEN BY
David Lin

現任國際標準輔導顧問及評鑑師;
在這個網站,我將分享一些產業新知、趨勢以及標準的解讀與看法。

歡迎與我交流:
Email:
linchewing@gmail.com
LinkedIn:
https://www.linkedin.com/in/linchew/