AES_7 2022

Tecnica 95 CONTROLLO Automazione e Strumentazione n Ottobre 2022 • disponibilità; • riservatezza. Senza persone che siano sufficientemente addestrate, senza tecnologie appropriate al rischio e adeguate misure di sicurezza, un IACS aumenta esponenzial- mente la sua vulnerabilità a un cyberattacco. Lo schema di certificazione IsaSecure dimostra che tutti questi requisiti, specificati negli standard Isa/IEC 62443, sono stati soddisfatti. Gli standard fissati dalla IEC 62443 Le parti più rilevanti dello standard di Industrial Cyber Security, per lo sviluppo di prodotti sicuri durante l’in- tero ciclo di vita, e anche per ottenere la certificazione IsaSecure, sono: � Parte 1-1: Introduce i concetti e i modelli utilizzati in tutto lo schema. Il destinatario è chiunque desideri acquisire familiarità con i concetti fondamentali che costituiscono la base di questi standard. � Parte 2-1: La definizione di un programma di sicu- rezza per i sistemi di controllo descrive ciò che è necessario per definire e implementare un efficace sistema di gestione della sicurezza informatica. I destinatari sono gli end user che hanno la respon- sabilità della progettazione e dell’attuazione di tale programma. � Parte 3-2: Affronta il Cyber Security Risk Asses- sment e la progettazione del sistema. Il risultato di questi processi è una valutazione del rischio su livelli di sicurezza, documentati nella specifica dei requisiti di cyber security. Questo standard è rivolto principal- mente a end user e system integrator. � Parte 3-3: Descrive i requisiti per un IACS in base al suo livello di sicurezza. Si rivolge ai fabbricanti di componenti e sistemi, system integrator e end user. � Parte 4-1: Descrive i requisiti del ciclo di vita dello sviluppo della sicurezza (Cyber Security Lifecycle) del fabbricante, al quale la parte 4-1 si rivolge. � Parte 4-2: Descrive i requisiti per i componenti IACS in base al loro livello di sicurezza. I compo- nenti IACS includono embedded devices, host devi- ces, network devices e applicazioni software. Questa parte si rivolge ai costruttori di componenti IACS. Ruoli principali descritti dalla IEC 62443 Come citato, lo standard IEC 62443 identifica tre diversi stakeholder coinvolti nella sicurezza del prodotto: � End user (che la norma definisce Asset Owner ) è l’or- ganizzazione responsabile e responsabile dell’IACS. Il proprietario dell’asset è anche l’operatore dell’IACS e dell’EUC (Equipment Under Control). � System integrator (che la norma definisce Inte- gration Service Provider ) è l’organizzazione che fornisce attività di integrazione per una soluzione di automazione, tra cui progettazione, installa- zione, configurazione, test, messa in servizio e consegna al proprietario dell’asset. Il fornitore di servizi di integrazione può anche facilitare e assi- stere nell’attività di valutazione del rischio. � Costruttore (che la norma definisce Product Sup- plier ) è l’organizzazione che produce e supporta un prodotto hardware e/o software. I prodotti possono includere sistemi IACS e componenti IACS come embedded device, host device, network device e applicazioni software. La norma definisce un quarto ruolo, il Maintenance Service Provider , che è l’individuo o l’organizza- zione che fornisce attività di supporto per una solu- zione di automazione, ma che non partecipa attiva- mente al processo di certificazione IsaSecure. Prodotti e ottenimento del certificato IsaSecure IsaSecure certifica , come detto, in modo indipen- dente i prodotti e i sistemi di automazione e controllo industriali per garantire che siano resistenti contro gli attacchi alla rete e privi di vulnerabilità. I fornitori di prodotti possono certificare varie tipo- logie di sistemi e componenti IACS indicati dalla norma di riferimento IEC 62443: • componenti IACS, come embedded device, host device, network device, applicazioni software; • sistemi di controllo costituito da un insieme di componenti IACS; • soluzioni di automazione che combinano sistemi e componenti IACS; • sistemi di controllo e automazione industriale (IACS) comprendenti la soluzione di automazione e le politiche per la sua manutenzione. Proprietario e sviluppatore dello schema di certifica- zione è l’ Isa Security Compliance Institute (ISCI), organizzazione no-profit che ha unito le regole e le procedure che identificano i tipi di prodotti e i processi che devono essere valutati, nonché tutti i requisiti spe- cifici che essi devono soddisfare, fornendo la metodo- logia per eseguire la certificazione. ISCI offre tre certificazioni con tre livelli di garanzia di sicurezza (SAL) in linea con Isa/IEC 62443: � Certificazione IsaSecure Component Security Assu- rance (CSA) secondo IEC 62443-4-2; � Certificazione IsaSecure System Security Assurance (SSA) secondo IEC 62443-3-3;