De foundational requirements die de IEC 62443-3-3 behandeld zijn:
- Identification & Authentication Control;
- Use Control;
- System Integrity;
- Data Confidentiality;
- Restricted Data Flow;
- Timely Responses;
- Resource Availability.
Wat houdt het assessment in?
Een IEC 62443-3-2 assessment bestaat uit ‘capability assessments’ waarin wordt nagegaan of een IACS-systeem een bepaald geschiktheid haalt met betrekking tot verschillende security-eisen op systeemniveau. Deze geschiktheid is afhankelijk van het beoogde securitylevel dat een product of component hoort te halen. De IEC 62443-4-2 kent de volgende securitylevels:
- SL0: Geen bescherming;
- SL 1: Bescherming tegen toevallige of toevallige overtredingen;
- SL 2: Bescherming tegen aanvallers die weinig middelen hebben in termen van vaardigheden, geld en motivatie (bijvoorbeeld ‘hobbyhackers’ of alleen opererende hackers);
- SL 3: Bescherming tegen aanvallers die over redelijk tot goede middelen beschikken in termen van vaardigheden, geld en motivatie (bijvoorbeeld cybercriminelen en hackersgroepen);
- SL 4: Bescherming tegen aanvallers met onbeperkte middelen in termen van vaardigheden, geld, motivatie (bijvoorbeeld naties of staten).
Voorbeeld
Een requirement met betrekking tot zonering en segmentering stelt het volgende: ‘Het systeem moet de mogelijkheid bieden om communicatie bij zonegrenzen te bewaken en zodanig ingesteld kunnen worden dat het compartimentering af dwingt zoals die is gedefinieerd in het op risico gebaseerde zones en conduits-model.’
Een systeem moet voldoen aan deze eis als een pass voor security level 1 voor deze requirement gehaald moet worden. Echter, als een systeem moet voldoen aan security level 2, dan wordt deze requirement uitgebreid. Aan de volgende eisen moet dan additioneel voldaan worden:
- Deny by default, allow by exception
Het systeem moet zodanig in te stellen zijn dat het netwerkverkeer standaard weigert en alleen toelaat wat ingesteld is door de systeembeheerder.
Wat zijn de voordelen van een IEC 62443-3-3 assessment?
- De uitkomsten van een audit geven een goed onderbouwd beeld van of een product voldoende beschermd is tegen de corresponderende threat actor. Om een voorbeeld te geven: als een product alle eisen voor security level 3 heeft gehaald is het in theorie voldoende beschermd tegen cybercriminelen. De uitkomsten van de audit laat zien waar er nog werk aan de winkel is voor een organisatie.
- De uitkomsten van de audit, en daarmee dus het auditrapport, kunnen gebruikt worden om een organisatie te certificeren volgens de IEC 62443-3-3. Dit certificaat toont aan klanten en andere stakeholders dat een organisatie de cyberveiligheid van haar producten serieus neemt. De IEC 62443 is de standaard voor cyberbeveiliging in industrieel georiënteerde omgevingen. Ook in het kader van de NIS-2 wetgeving is dit certificaat van toegevoegde waarde.
- De uitkomsten van een IEC 62443-4-2 beoordeling kunnen ook als basis dienen voor een RED-certificatie.
Deliverables
- Assessment rapport met een overzicht en onderbouwing van de bevindingen
- IEC 62443-3-3 CB certificaat
Waarom Kiwa?
Kiwa is aangewezen door de IECEE als National Certification Body (NCB) en Certifiying Body Test Lab (CBTL) voorde IEC 62443-3-3. Dat houdt in dat Kiwa onafhankelijk is beoordeeld door een internationale organisatie (die ook de standaard heeft opgesteld) op zijn kennis en kunde om de beoordelingen volgens de IEC 62443-3-3 standaard uit te voeren. Uiteindelijk kan Kiwa officiële IEC certificaten uitgeven. Bij Kiwa beschikken we over experts die u kunnen ondersteunen bij verschillende uitdagingen rondom OT-security. Met onze expertise op het gebied van cyberbeveiliging en als autoriteit op het gebied van testen, inspectie en certificering (TIC), is alle kennis in huis om organisaties te helpen bij het inventariseren, beoordelen, certificeren en onderhouden van digitale weerbaarheid.