DIN EN 62443-3-2:2018-10 - Entwurf

Die Reihe der Internationalen Normen IEC 62443 legt die Erreichung der IT-Sicherheit in Automatisierungssystemen fest und dieser Teil, wie aus einer Risikoanalyse auf die Definition des betrachteten Systems geschlossen werden kann sowie auf dessen Aufteilung in Zonen und Conduits. Ferner wird geregelt, wie diesen Zonen und Conduits zu erreichende Security-Level zugeordnet werden (SL-T). Im Einzelnen schreibt die Norm auf Systemebene die Abarbeitung folgender Anforderungen zur Aufstellung der Zonen und Conduits (Zone and conduit requirement ZCR) vor: ZCR 1: Feststellung des betrachteten Systems (System under consideration SuC) ZCR 2: Durchführung einer übergeordneten Risikobeurteilung zur IT-Sicherheit ZCR 3: Aufteilung des betrachteten Systems in Zonen und Conduits ZCR 4: Dokumentation der Anforderungen, Annahmen und Randbedingungen Nach der Abarbeitung von ZCR 3 ist für jede Zone und jedes Conduit eine detaillierte Risikobeurteilung durchzuführen. Sie umfasst folgende Anforderungen (detailed risk assessment requirement DRAR) DRAR 1: Feststellen der Bedrohungen DRER 2: Feststellen der Sicherheitslücken DRER 3: Feststellen der Auswirkungen DRER 4: Feststellen der Wahrscheinlichkeit ohne Abschwächung DRER 5: Berechnen des Risikos für die IT-Sicherheit ohne Abschwächung DRER 6: Feststellen des zu erreichenden Security Levels (SL-T, SL target) DRER 7: Feststellen und Bewerten vorhandener Maßnahmen DRER 8: Erneutes Bewerten von Wahrscheinlichkeit und Auswirkung DRER 9: Berechnen des Restrisikos DRER 10: Sind alle Restrisiken bei oder unterhalb eines tolerierbaren Risikos? DRER 11: Anwenden zusätzlicher Ausgleichsmaßnahmen DRER 12: Dokumentieren und Mitteilen der Ergebnisse. Zuständig ist das DKE/UK 931.1 "IT-Sicherheit in der Automatisierungstechnik" der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE.