Overblik over cyber- og informationssikkerhedsstandarder

Netværks- og systemsikkerhed for industri

IEC 62443-series on Industrial communication networks – Network and system security

Hvad er værdien af at anvende standarderne?

Med digitaliseringen af industrielle kontrolsystemer følger også cybersikkerhedstrusler, der kan have alvorlige konsekvenser for menneskeliv, miljø og økonomi, hvis der sker angreb eller fejl. Især de kontrolsystemer, der betegnes som kritisk infrastruktur, er særligt følsomme, og har stor værdi af standardserien IEC 62443.

Denne serie af standarder er udviklet for at sikre en overordnet tilgang til at håndtere cybersikkerhed for industrien. Hvor cybersikkerhed i ISO/IEC 27000-serien er struktureret omkring risikoanalyse og risikoledelse med fokus på databeskyttelse, så er det primære fokus i den industrielle sektor driftssikkerhed og tilgængelighed. Der arbejdes med forskellige niveauer af sikkerhed i et industrielt kontrolsystem. Overordnet er der defineret syv fundamentale krav til cybersikkerhed i industrielle kontrolsystemer:

  • Adgangskontrol (AC), for beskyttelse mod uautoriseret adgang til systemet
  • Brugeradgang (UC), for beskyttelse mod uautoriseret anvendelse
  • Dataintegritet (DI) til beskyttelse mod uautoriseret ændring af data
  • Databeskyttelse (DC)
  • Begrænsning af datamængde (RDF) for beskyttelse mod udlevering af data til uautoriserede
  • Passende reaktionstid på IT-sikkerhedsbrud (TRE) med automatisk besked om kritiske situationer
  • Tilgængelighed af ressourcer (RA), så netværket ikke blokeres og fortsat drift kan opretholdes

Standardserien introducerer metoder, begreber, systemer og værktøjer til at højne cybersikkerhed med et industrielt fokus. Standarderne opererer med et livscyklusperspektiv, der betyder, at alle processer og funktioner i et industrielt kontrolsystem adresseres. Standarderne indeholder designanbefalinger til, hvordan man opbygger og vedligeholder et kontrolsystem med fokus på cybersikkerhed; herunder risikoanalyse, håndtering af risici, overvågning og forbedring.

En klar værdi af IEC 62443-serien er, at den skaber et overblik over et industrielt kontrolsystems ansvarsområder og klarlægger rollefordelingen. På den baggrund fungerer standarderne som et effektivt kommunikationsredskab mellem alle relevante interessenter i et industrielt kontrolsystem.

Er standarderne relevante for dig?

IEC 62443-serien er relevant for industrien, herunder særligt procesindustrien, forsyningsanlæg (energisektoren), maskinanlæg mm. Standarderne er især relevante for de anlæg, der karakteriseres som kritisk infrastruktur.

Hvordan anvendes standarderne?

Standardserien kan anvendes som et samlet værktøj til systematisk at arbejde med cybersikkerhed i et industrielt kontrolsystem. Det er også muligt at udvælge enkelte standarder, og arbejde efter dem.


Mere information

 

Hvordan kommer jeg videre?

De fleste organisationer vil kunne finde nyttig inspiration og vejledning i standarderne, som kan forbedre deres cyber- og informationssikkerhed, også uden at følge standarderne fra ende til anden. Alle standarderne kan købes i Dansk Standards webshop. Dansk Standard tilbyder desuden kurser og rådgivning i de fleste af de beskrevne standarder.

Behov for hjælp til de mange begreber?

Den engelsksprogede version af terminologistandarden ISO/IEC 27000 kan downloades gratis via dette link på ISO’s hjemmeside. I denne standard kan du blive klogere på terminologien og definitionerne, der ligger til grund for ISO/IEC 27000-seriens ledelsessystem for informationssikkerhed. Hvis du ønsker standarden med danske oversættelser, kan den købes i vores webshop, hvor du selvfølgelig også finder de øvrige beskrevne standarder.

Mere om certificering

Certificering kræver en ekstern auditering, hvor organisationens efterlevelse af standardens krav gennemgås i dokumentationsform og med et fysisk besøg. Dansk Standard certificerer ikke, men bidrager gerne med rådgivning og viden om certificering.

Dansk, europæisk eller international standard?

De internationale standarder (ISO/IEC), er alle udgivet som danske standarder, der er fuldstændig identiske med de internationale. De har på Dansk Standards webshop derfor betegnelsen ”DS ISO/IEC” foran nummeret på standarden. Flere af standarderne er oversat til dansk - hvilke fremgår af webshoppen. Nogle af standarderne er ligeledes identisk implementeret på europæisk niveau, og har derfor også tilføjet “EN” i titlen; DS EN ISO/IEC. Den europæiske implementering betyder, at ingen EU-lande må have nationale standarder, der er overlappende eller i modstrid med de internationale standarder.

 

Hvis du har spørgsmål, er du altid velkommen til at kontakte vores informationscenter.

 

Dansk Standard har et udvalg for cyber- og informationssikkerhed, hvor medlemmerne får indsigt i kommende standarder og mulighed for at påvirke det internationale standardiseringsarbejde. Du kan læse mere om udvalget her.

 

Klik her for at downloade al information om standarder for cyber- og informationssikkerhed i én samlet fil.

Kontakt

Astrid Bækby Knudsen
Astrid Bækby Knudsen Standardiseringskonsulent | Standardisation Consultant
Sekretariater, udvalg og netværk II
E: abk@ds.dk
T: 39966206
Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39966296
Kim Skov Hilding
Kim Skov Hilding Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: ksk@ds.dk
T: 39966217

Løsningen kan tilgås via browsere fra Google Chrome, Safari, Firefox og Microsoft Edge, men ikke fra Internet Explorer 11.