DIN EN IEC 62443-4-1 (VDE 0802-4-1):2018-10

VDE-Illustration zum Thema Industry
VDE

IT-

Sicherheit für industrielle Automatisierungssysteme - Teil 4-1: Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung (IEC 62443-4-1:2018); Deutsche Fassung EN IEC 62443-4-1:2018

Kurzdarstellung

Die Reihe der Internationalen Normen IEC 62443 legt die Erreichung der IT-Sicherheit in Automatisierungssystemen fest und dieser Teil die Anforderungen an den Entwicklungsprozess von Produkten, die in diese Systeme eingebaut werden sollen. Unter "Produkt" wird dabei verstanden: - ein eingebettetes Gerät, das in eine zu automatisierende Umgebung eingebettet ist, z. B. eine SPS; - ein Host-Gerät, z. B. eine Bedienstation; - eine Netzwerkkomponente, welche zur Netzwerkinfrastruktur gehört, wie z. B. ein Router; - eine "Anwendung", z. B. ein Anwendungsprogramm für eine Engineering-Station oder ein Bedien- und Beobachtungsgerät; - sowie natürlich auch Kombinationen dieser Produktarten. Schwachstellen der IT-Sicherheit können durch Fehler in den Komponenten verursacht werden. Das Ziel dieses Dokuments ist es, einen Entwicklungsprozess festzulegen, der solche Fehler vermeidet und somit als "secure-by-design" angesehen werden kann. Weiterhin soll der Entwicklungsprozess so gestaltet werden, dass er sich in den Prozess nach IEC 62443-2-4 (künftige VDE 0802-2-4), der für Systemintegratoren gilt, einfügt. Dazu werden in dem Dokument sogenannte praktische Ansätze festgelegt und diese jeweils mit Anforderungen und weitergehenden Anforderungen hinterlegt. Diese Ansätze sind: 1. Management der IT-Sicherheit, beim Hersteller eines Produktes; 2. Spezifikation der Anforderungen an die IT-Sicherheit, einschließlich Festlegung der Einsatzumgebung, des Bedrohungsmodells und des Nachweises der Normerfüllung; 3. Defense-in-Depth-Strategie (gestaffelte Verteidigung); 4. sichere Implementierung, um die Defense-in-Depth-Strategie auch wirklich umzusetzen; 5. Prüfungen zur Verifikation und Validierung, also zur Überprüfung der Übereinstimmung mit den Anforderungen; 6. Mängelbehandlung, die die Mängel in der IT-Sicherheit behandelt, die nach dem Einsatz des Produktes offenbar werden; 7. Patch-Management, das der Hersteller für die Anwender eines Produktes betreibt; 8. Anleitungen, die der Hersteller eines Produktes dem Kunden übergibt, damit dieser es richtig einsetzen, konfigurieren und betreiben kann. Beispielsweise wird zum Ansatz "Patch-Management" gefordert, dass der Produktlieferant einen Prozess unterhalten soll, in dem er Patches von Vorlieferanten daraufhin überprüft, ob er sie an den Endanwender weitergeben kann. Eine weitergehende Anforderung wäre es, diese weitergehende Dokumentation zur Verfügung zu stellen, einschließlich Versionierungsinformationen.
Zuständig ist das DKE/UK 931.1 "IT-Sicherheit in der Automatisierungstechnik" der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE.

Beziehungen

Enthält:

VDE-Illustration zum Thema Industry
VDE
23.03.2018 Aktuell
EN IEC 62443-4-1:2018-03
IT-Sicherheit für industrielle Automatisierungssysteme - Teil 4-1: Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung

Dieses Dokument entspricht:

Dokumentart
Norm
Status
Aktuell
Erscheinungsdatum
01.10.2018
Sprache
Deutsch
Zuständiges Gremium

Ansprechpartner

Referat
Christian Seipel
Stresemannallee
60596 Frankfurt am Main

ty8z9_zr4.9vz6v2QAuv.t53 Tel. +49 69 6308-454

Referatsassistenz
Andrea Nattrodt
Stresemannallee
60596 Frankfurt am Main

r4u8vr.4r__85u_QAuv.t53 Tel. +49 69 6308-253

Newsletter in Tablet liegt auf einer Tastatur
Coloures-Pic / stock.adobe.com

Mit dem DKE Newsletter sind Sie immer am Puls der Zeit!

In unserem monatlich erscheinenden Newsletter ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Ich möchte den DKE Newsletter erhalten!

Werden Sie aktiv!

Ergebnisse rund um die Normung