AES_7 2022

CONTROLLO Tecnica 96 Ottobre 2022 n Automazione e Strumentazione � Certificazione IsaSecure Security Development Lifecycle Assurance (SDLA) secondo IEC 62443- 4-1. È obbligatorio ottenere il certificato SDLA prima di richiedere i certificati SSA o CSA. Un certificato dura tre anni e può essere prorogato una volta che l’OEM ha superato un audit di ricerti- ficazione. Chi esegue la certificazione Mentre ISCI sviluppa e mantiene lo schema di cer- tificazione, esso non esegue la certificazione che viene invece fatta da un organismo di certificazione IsaSecure , un’organizzazione specializzata nelle valutazioni di conformità di terze parti, accreditato da un organismo di accreditamento basato sullo stan- dard Iso/IEC 17065, che affronta argomenti come la riservatezza e l’ imparzialità nel processo di certi- ficazione. Il certificato rilasciato da un organismo di certifica- zione è riconosciuto a livello globale e dimostra che i requisiti Isa/IEC 62443 sono stati soddisfatti. Nel mondo gli Organismi di Certificazione accredi- tati IsaSecure sono attualmente soltanto sei: • CSSC; • Exida; • Tüv Rheinland; • FMApprovals; • Byhon; • Tüv Süd. Perché ottenere la certificazione IsaSecure I vantaggi della certificazione IsaSecure sono molte- plici. In particolare: • Stabilisce un livello di fiducia tra enti certificatori indipendenti e gli utilizzatori dei sistemi di controllo in quanto al corrente del fatto che i requisiti applica- bili di IEC62443 sono stati implementati; • Stabilisce un livello di affidabilità più elevato dei sistemi e componenti; • Migliora la sicurezza del prodotto; • Stabilisce le policy aziendali per l’uso degli standard Isa/IEC 62443; • Aggiorna i processi di sviluppo del prodotto per con- formarsi alla norma IEC 62443; • Dimostra un approccio proattivo per acquisire com- petenze di cyber security; • Supporta le vendite dei prodotti tramite l’uso di una certificazione riconosciuta a livello mondiale. Il vantaggio principale della certificazione di terza parte è che accresce la fiducia tra end user , costruttore e system integrator . Infatti, l’indipendenza e la capa- cità di un auditor di terze parti (accreditato) fornisce un livello di affidabilità più elevato. Inoltre, la certificazione migliora la sicurezza, l’inte- grità, la disponibilità e la riservatezza del sistema di con- trollo di automazione industriale attraverso l’adozione di un processo basato sull’ analisi del rischio ; un metodo completo applicabile per l’intero ciclo di vita del pro- dotto, compresa la progettazione, l’implementazione e la convalida del sistema in termini di cyber security. La combinazione di tecnologia, personale sufficiente- mente formato e processi di lavoro garantiscono la sicu- rezza, l’integrità, la disponibilità e la riservatezza di un sistema di controllo. Tutto ciò, infatti, rende il sistema meno vulnerabile agli attacchi informatici. La valutazione della certificazione aiuta anche a ridurre i tempi, i costi e i rischi legati allo sviluppo di sistemi di controllo in generale, perché stabilisce un programma collaborativo tra end user e OEM. In questo modo, lo standard di settore può accelerare e innalzarsi grazie a sistemi di controllo certamente più sicuri, perché soddisfano un insieme comune di requisiti, ossia soddisfano la conformità alla norma IEC 62443. Infine, la certificazione è prova di proattività da parte del fornitore di prodotti che vuole accrescere le com- petenze di cyber security OT. Per tutti questi motivi, la certificazione IsaSecure migliora la sicurezza del prodotto, ma di conse- guenza migliora le vendite grazie all’utilizzo della certificazione internazionale anche nel marketing del prodotto. n Il processo da seguire per ottenere il certificato IsaSecure