Die Reihe der Internationalen Normen IEC 62443 legt die Erreichung der IT-Sicherheit in Automatisierungssystemen fest und dieser Teil, wie aus einer Risikoanalyse auf die Definition des betrachteten Systems geschlos-sen werden kann sowie auf dessen Aufteilung in Zonen und Conduits. Fer-ner wird geregelt, wie diesen Zonen und Conduits zu erreichende Securi-ty-Level zugeordnet werden (SL-T).
Im Einzelnen schreibt die Norm auf Systemebene die Abarbeitung folgen-der Anforderungen zur Aufstellung der Zonen und Conduits (Zone and conduit requirement ZCR) vor:
ZCR 1: Feststellung des betrachteten Systems (System under considerati-on SuC)
ZCR 2: Durchführung einer übergeordneten Risikobeurteilung zur IT-Sicherheit
ZCR 3: Aufteilung des betrachteten Systems in Zonen und Conduits
ZCR 4: Dokumentation der Anforderungen, Annahmen und Randbedin-gungen
Nach der Abarbeitung von ZCR 3 ist für jede Zone und jedes Conduit eine detaillierte Risikobeurteilung durchzuführen. Sie umfasst folgende Anfor-derungen (detailed risk assessment requirement DRAR)
DRAR 1: Feststellen der Bedrohungen
DRER 2: Feststellen der Sicherheitslücken
DRER 3: Feststellen der Auswirkungen
DRER 4: Feststellen der Wahrscheinlichkeit ohne Abschwächung
DRER 5: Berechnen des Risikos für die IT-Sicherheit ohne Abschwächung
DRER 6: Feststellen des zu erreichende Security Levels (SL-T, SL target)
DRER 7: Feststellen und Bewerten vorhandener Maßnahmen
DRER 8: Erneutes Bewerten von Wahrscheinlichkeit und Auswirkung
DRER 9: Berechnen des Restrisikos
DRER 10: Sind alle Restrisiken bei oder unterhalb eines tolerierbaren Risi-kos?
DRER 11: Anwenden zusätzlicher Ausgleichsmaßnahmen
DRER 12: Dokumentieren und Mitteilen der Ergebnisse.
Zuständig ist das DKE/UK 931.1 "IT-Sicherheit in der Automatisierungstechnik" der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE.