NA 022

DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE

Norm [AKTUELL]

DIN EN IEC 62443-4-1 ; VDE 0802-4-1:2018-10
IT-Sicherheit für industrielle Automatisierungssysteme - Teil 4-1: Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung (IEC 62443-4-1:2018); Deutsche Fassung EN IEC 62443-4-1:2018

Titel (englisch)

Security for industrial automation and control systems - Part 4-1: Secure product development lifecycle requirements (IEC 62443-4-1:2018); German version EN IEC 62443-4-1:2018

Einführungsbeitrag

Die Reihe der Internationalen Normen IEC 62443 legt die Erreichung der IT-Sicherheit in Automatisierungssystemen fest und dieser Teil die Anforderungen an den Entwicklungsprozess von Produkten, die in diese Systeme eingebaut werden sollen. Unter "Produkt" wird dabei verstanden: - ein eingebettetes Gerät, das in eine zu automatisierende Umgebung eingebettet ist, zum Beispiel eine SPS; - ein Host-Gerät, zum Beispiel eine Bedienstation; - eine Netzwerkkomponente, welche zur Netzwerkinfrastruktur gehört, wie zum Beispiel ein Router; - eine "Anwendung", zum Beispiel ein Anwendungsprogramm für eine Engineering-Station oder ein Bedien- und Beobachtungsgerät; - sowie natürlich auch Kombinationen dieser Produktarten. Schwachstellen der IT-Sicherheit können durch Fehler in den Komponenten verursacht werden. Das Ziel dieses Dokuments ist es, einen Entwicklungsprozess festzulegen, der solche Fehler vermeidet und somit als "secure-by-design" angesehen werden kann. Weiterhin soll der Entwicklungsprozess so gestaltet werden, dass er sich in den Prozess nach IEC 62443-2-4 (künftige VDE 0802-2-4), der für Systemintegratoren gilt, einfügt. Dazu werden in dem Dokument sogenannte praktische Ansätze festgelegt und diese jeweils mit Anforderungen und weitergehenden Anforderungen hinterlegt. Diese Ansätze sind: 1. Management der IT-Sicherheit, beim Hersteller eines Produktes; 2. Spezifikation der Anforderungen an die IT-Sicherheit, einschließlich Festlegung der Einsatzumgebung, des Bedrohungsmodells und des Nachweises der Normerfüllung; 3. Defense-in-Depth-Strategie (gestaffelte Verteidigung); 4. sichere Implementierung, um die Defense-in-Depth-Strategie auch wirklich umzusetzen; 5. Prüfungen zur Verifikation und Validierung, also zur Überprüfung der Übereinstimmung mit den Anforderungen; 6. Mängelbehandlung, die die Mängel in der IT-Sicherheit behandelt, die nach dem Einsatz des Produktes offenbar werden; 7. Patch-Management, das der Hersteller für die Anwender eines Produktes betreibt; 8. Anleitungen, die der Hersteller eines Produktes dem Kunden übergibt, damit dieser es richtig einsetzen, konfigurieren und betreiben kann. Beispielsweise wird zum Ansatz "Patch-Management" gefordert, dass der Produktlieferant einen Prozess unterhalten soll, in dem er Patches von Vorlieferanten daraufhin überprüft, ob er sie an den Endanwender weitergeben kann. Eine weitergehende Anforderung wäre es, diese weitergehende Dokumentation zur Verfügung zu stellen, einschließlich Versionierungsinformationen. Zuständig ist das DKE/UK 931.1 "IT-Sicherheit in der Automatisierungstechnik" der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE.

Dokument: zitiert andere Dokumente

Dokument: wird in anderen Dokumenten zitiert

Zuständiges nationales Arbeitsgremium

DKE/UK 931.1 - IT-Sicherheit in der Automatisierungstechnik  

Ausgabe 2018-10
Originalsprache Deutsch
Preis ab 115,04 €
Inhaltsverzeichnis

Ihr Kontakt

Christian Seipel

Merianstr. 28
63069 Offenbach am Main

Tel.: +49 69 6308-454

Zum Kontaktformular