Die Idee in einem Satz
IEC 62443, ist das industrielle Äquivalent zu ISO 27001 : gleiche Logik des Risikomanagements und der Kontrollen... mit zusätzlichen Einschränkungen die mit der Produktion zusammenhängen (Verfügbarkeit, Sicherheit von Personen, lange Lebensdauer der Ausrüstung, begrenzte Wartungsfenster, Wartungsanbieter usw.).
Wozu dient die IEC 62443?
Sie gibt einen Rahmen spezifisch für industrielle Systeme (OT/ICS/SCADA) um ungeplante Ausfallzeiten zu verringern, Sicherheitsvorfälle zu vermeiden und Ihren Auftraggebern zu beweisen, dass die Fabrik unter Kontrolle ist. Sie gilt für drei Rollen des Lebenszyklus : Lieferanten/Hersteller, Integratoren und Betreiber.
ISO 27001 strukturiert die globale Governance (ISMS).
IEC 62443 setzt diese Absicht auf der Ebene der Produktionslinie um : Architektur, Posten, Netzwerke, Feldverfahren.
Die 5 Begriffe, die den Unterschied ausmachen
1) Zonen & Leitungen
Man segmente die Werkstatt in Zonen (Roboterzelle, Überwachung, DMZ, OT-Serverraum...) und man kontrolliert die Leitungen (Flows) zwischen ihnen. Ziele: die Ausbreitung einschränken und die zu filternden Wegpunkte sichtbar machen.
2) Sicherheitsstufen (SL)
Man setzt sich Ziele SL nach Verwendung und Risiko (z. B. SL2 für Aufsicht, SL3 für Maschinensicherheit). Dies leitet die Aushärtung an, ohne zu überspezifizieren.
3) «Terrain-kompatible» Verhärtung»
Gemeinsam genutzte HMI-Stationen, Wartungskonten, Veraltete OS von einer Steuerung auferlegt, Geräte ohne Patches... Man verwendet Ausgleichsmaßnahmen : Isolierung der Maschine, virtual patching in Gateway, Netzwerkhärtung durch allow-list, Einwegfluss (Datendiode), wenn es nötig ist.
4) Admin-Pfade und Wartungszugang
Man trennt die Verwaltungspfade im Übrigen verlangt man von NamenskontenDie temporäre Erhebungen(Namensschilder, kurze Sitzungen), man protokolliert die Interventionen Anbieter und behalten den Beweis.
5) Vollständiger Lebenszyklus
Gestaltung → Integration →. Betrieb/Wartung. Die Anforderungen enden nicht mit dem Projekt: Sie umfassen Aktualisierungen, Sicherungen/Wiederherstellungen von Automatenrezepturen, Änderungsmanagement und das Ende der Lebensdauer.
Beispiele für «ISO into atelier»-Anpassungen»
-
Regelmäßige Updates ⟶ wenn es unmöglich ist : strenge Isolierung, Die Schülerinnen und Schüler müssen sich an die Regeln halten, die sie in der Schule befolgen müssen.
-
Sicherung von Arbeitsplätzen ⟶ Geteilte HMI : Namenskonten, zeitlich begrenzte Sitzungen, Automatische Verriegelung.
-
Segmentierung von Netzwerken ⟶ miteinander verbundene Linien : DMZ OT, Gefilterte Gateways, per Whitelisting zugelassene Feeds, zentrale Protokollierung.
Wie Sie starten, ohne die Produktion zu blockieren
-
Einfaches Kartieren : Zellen, Automaten, HMI, Server, Gateways, IT-OT-Links.
-
In Zonen einteilen und zeichnen Sie die vorhandenen Leitungen; markieren Sie ungefilterte «Brücken».
-
SL festlegen realistisch für jedes Gebiet (je nach Risiko und Prod-Beschränkungen).
-
Bearbeiten 10%, der 80% des Risikos macht : Isolieren Sie, was nicht gepatcht werden kann, schließen Sie nicht benötigte Datenströme, sichern Sie Wartungszugänge.
-
Beweisen : getestete Backups, Spuren von Eingriffen, aktuelle Liste der erlaubten Datenströme.
Schlussfolgerung
IEC 62443 bringt ISO 27001 auf die Ebene der Maschine. Sie respektiert die Produktionszwänge und erzwingt gleichzeitig eine Disziplin bei der Architektur, den Zugängen und den Nachweisen. Indem Sie zuerst die Isolierung, die Abläufe und die Wartungszugänge behandeln, senken Sie das Risiko erheblich, ohne die Fabrik zu stoppen - und Sie sprechen die gleiche Sprache wie Ihre Industriepartner.
Ein erster konkreter Schritt in Richtung IEC 62443?
