DIN

Neu DIN EN 62443-3-2:2018-10;VDE 0802-3-2 – Entwurf VDE 0802-3-2 Sicherheit für industrielle Automatisierungssysteme – Teil 3-2: Sicherheitsrisikobeurteilung und Systemgestaltung (IEC 65/690/CDV:2018); Deutsche und Englische Fassung prEN 62443-3-2:2018

Die Reihe der Internationalen Normen IEC 62443 legt die Erreichung der IT-Sicherheit in Automatisierungssystemen fest und dieser Teil, wie aus einer Risikoanalyse auf die Definition des betrachteten Systems geschlossen werden kann sowie auf dessen Aufteilung in Zonen und Conduits. Ferner wird geregelt, wie diesen Zonen und Conduits zu erreichende Security-Level zugeordnet werden (SL-T).

Im Einzelnen schreibt die Norm auf Systemebene die Abarbeitung folgender Anforderungen zur Aufstellung der Zonen und Conduits (Zone and conduit requirement ZCR) vor:

  • ZCR 1: Feststellung des betrachteten Systems (System under consideration SuC)
  • ZCR 2: Durchführung einer übergeordneten Risikobeurteilung zur IT-Sicherheit
  • ZCR 3: Aufteilung des betrachteten Systems in Zonen und Conduits
  • ZCR 4: Dokumentation der Anforderungen, Annahmen und Randbedingungen

Nach der Abarbeitung von ZCR 3 ist für jede Zone und jedes Conduit eine detaillierte Risikobeurteilung durchzuführen.

Sie umfasst folgende Anforderungen (detailed risk assessment requirement DRAR)

  • DRAR 1: Feststellen der Bedrohungen
  • DRER 2: Feststellen der Sicherheitslücken
  • DRER 3: Feststellen der Auswirkungen
  • DRER 4: Feststellen der Wahrscheinlichkeit ohne Abschwächung
  • DRER 5: Berechnen des Risikos für die IT-Sicherheit ohne Abschwächung
  • DRER 6: Feststellen des zu erreichenden Security Levels (SL-T, SL target)
  • DRER 7: Feststellen und Bewerten vorhandener Maßnahmen
  • DRER 8: Erneutes Bewerten von Wahrscheinlichkeit und Auswirkung
  • DRER 9: Berechnen des Restrisikos
  • DRER 10: Sind alle Restrisiken bei oder unterhalb eines tolerierbaren Risikos?
  • DRER 11: Anwenden zusätzlicher Ausgleichsmaßnahmen
  • DRER 12: Dokumentieren und Mitteilen der Ergebnisse. Zuständig ist das DKE/UK 931.1 „IT-Sicherheit in der Automatisierungstechnik“ der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE.

Detailliertere Information finden Sie hier