Семейство стандартов ISA/IEC 62443, посвященных безопасности промышленных автоматизированных систем управления, пополнилось новым документом. Регламент ISA/IEC 62443-4-1-2018 определяет требования к обеспечению жизненного цикла продукта. Он затрагивает все этапы разработки АСУ, от первоначального проектирования до вывода из эксплуатации.

Новый стандарт касается прежде всего деятельности разработчиков систем. Положения документа включают базовую терминологию в сфере безопасности, определяют требования к дизайну, дают рекомендации по написанию исходного кода и устанавливают принципы тестирования, а также подходы к управлению дефектами.

Регламент не затрагивает эксплуатацию конечного продукта с точки зрения пользователя или системного интегратора, а фокусируется на создании поставщиком безопасной инфраструктуры для работы АСУ. Одним из важнейших разделов документа является блок “Управление исправлениями безопасности” (Security update management), описывающий процедуру выпуска патчей для промышленных систем управления.

Серия стандартов ISA/IEC 62443 разрабатывается комитетом ISA99 для использования в качестве национальных стандартов США и одобрена Международной электротехнической комиссией (IEC) для международного применения.

Работа над регламентами ведется уже несколько лет и предполагает выпуск тринадцати ключевых положений, разделенных на четыре группы. Новый стандарт относится к блоку “Компонент” (Component). Остальные три в серии ISA/IEC 62443 включают “Политики и процедуры” (Policy and Procedure), “Системный интегратор” (System Integrator) и “Общие положения” (General).

Информационная безопасность — критически важный аспект при разработке АСУ ТП. В 2016 году “Лаборатория Касперского” опубликовала исследование, показавшее рост количества компонентов промышленных систем, подключенных к Интернету. Многие из них предназначены для изолированных сред и не имеют защиты от проникновения извне, что делает их более уязвимыми для кибератак. Кроме того, дефекты безопасности некоторых систем еще больше повышают риски.

Например, современные программируемые логические контроллеры, широко применяемые на производстве, имеют сложную архитектуру, допускающую выполнение стороннего кода. Этой особенностью воспользовались авторы интернет-червя PLC-Blaster, прицельно атаковавшего ПЛК производства Siemens. Буквально на днях компания Schneider Electric сообщила о серьезных проблемах с безопасностью FTP-сервера контроллеров Modicon, а Rockwell Automation была вынуждена пропатчить свое оборудование линейки Allen-Bradley.

Категории: Главное, Кибероборона