De IEC 62443-4-1 definieert een Secure Development Lifecycle (SDL), met als doel het ontwikkelen en onderhouden van veilige producten. Deze lifecycle omvat de definitie van beveiligingsvereisten, veilig ontwerp, veilige implementatie, verificatie en validatie, defectbeheer, patchbeheer en het einde van de levensduur van het product. Deze vereisten zijn van toepassing op de ontwikkelaar en onderhouder van het product, maar niet op de integrator of gebruiker van het product.
Verhouding van de verschillende stakeholders in IEC 62443 raamwerk
Wat houdt het assessment in?
Een 62443-4-1 assessment bestaat uit procesbeoordelingen waarbij nagegaan wordt hoe volwassen de SDL-processen van IACS-productontwikkelaars zijn. De volgende volwassenheidsniveaus kunnen tijdens een assessment toegekend worden:
- Initial: Processen en procedures zijn niet ingericht en gebeuren op een ad-hoc basis;
- Managed: Processen en procedures zijn gedefinieerd maar worden deels gevolgd;
- Defined: Processen en procedures zijn gedefinieerd en worden organisatiebreed gevolgd;
- Improving: Processen en procedures zijn gedefinieerd en worden organisatiebreed gevolgd en verbeterd.
Voorbeeld
Een van de requirements voor het beheren van private keys (assymetrische en symmetrische encryptie) luidt als volgt: ‘De leverancier moet beschikken over procedurele en technische controles om privésleutels die worden gebruikt voor het ondertekenen van codes te beschermen tegen ongeoorloofde toegang of wijziging.’
Als een auditor constateert dat de procedure hiervoor niet of slechts deels is gedocumenteerd en dat een organisatie het beheer van private keys op een ad-hoc basis afhandelt, dan beoordeelt hij dit met maturity level 1. Als het bijvoorbeeld wel gedocumenteerd is en de organisatie doet het altijd op de gedefinieerde manier dan beoordeelt hij het met level 3.
Hoe ziet het assessment er uit?
- De assessors van Kiwa stellen samen met de opdrachtgever vast aan welk volwassenheidsniveau er voldaan moet worden. Dit verduidelijkt de requirements waartegen de beoordelingen gaan plaatsvinden. Hoe hoger het gewenste volwassenheidsniveau, hoe meer (en hoe strenger) de eisen waaraan er voldaan moet worden. De fabrikant moet dan voor elk requirement voldoen aan de eis, wil hij het beoogde volwassenheidsniveau behalen.
- Vervolgens wordt het assessment uitgevoerd. Dit wordt gedaan in de vorm van een audit waarbij de assessors relevante personen binnen de organisatie interviewen om bewijsmateriaal en inzichten te verzamelen.
- Op basis van de gepresenteerde bewijslast stelt de assessor een assessmentrapport op met de uitkomsten. In het rapport wordt aangegeven of het gewenste volwassenheidsniveau per requirement is behaald. Indien dat niet zo is, wordt dat uiteraard ook vastgesteld. De reden voor beide gevallen worden ook genoteerd.
Wat zijn de voordelen van een IEC 62443-4-1 assessment?
- De uitkomsten van een audit geven een goed onderbouwd beeld van of een product op een veilige manier ontwikkeld, onderhouden en weer afgeschreven wordt. De audit laat zien waar er nog werk aan de winkel is voor een organisatie.
- De uitkomsten van de audit, en daarmee dus het auditrapport, kunnen gebruikt worden om een organisatie te certificeren volgens de IEC 62443-4-1. Een certificaat toont aan klanten en andere stakeholders dat een organisatie de cyberveiligheid van haar producten serieus neemt. De IEC 62443 is de standaard voor cyberbeveiliging in industrieel georiënteerde omgevingen.
- De uitkomsten van een IEC 62443-4-1 beoordeling zijn essentieel om gecertificeerd te worden voor de IEC 62443-4-2. Als het 4-2 certificaat een gewenst doel is van een organisatie is een IEC62443-4-1 assessment een goed startpunt.
Deliverables
- Assessmentrapport met een overzicht en onderbouwing van de bevindingen
- IEC 62443-4-2 CB certificaat
Waarom Kiwa?
Kiwa is aangewezen door de IECEE als National Certification Body (NCB) en Certifiying Body Test Lab (CBTL) voorde IEC 62443-4-1. Dat houdt in dat Kiwa onafhankelijk is beoordeeld door een internationale organisatie (die ook de standaard heeft opgesteld) op zijn kennis en kunde om de beoordelingen volgens de IEC 62443-4-1 standaard uit te voeren. Uiteindelijk kan Kiwa officiële IEC certificaten uitgeven. Bij Kiwa beschikken we over experts die u kunnen ondersteunen bij verschillende uitdagingen rondom OT-security. Met onze expertise op het gebied van cyberbeveiliging en als autoriteit op het gebied van testen, inspectie en certificering (TIC), is alle kennis in huis om organisaties te helpen bij het inventariseren, beoordelen, certificeren en onderhouden van digitale weerbaarheid.