IEC 62443 국제 IEC 62443 시리즈 표준은 제조업체, 통합업체 및 운영자의 위험을 방지하는 데 필요한 보안 요구 사항을 정의합니다.
IEC 62443 – 산업용 사이버 보안 표준
IEC 62443 및 ISO 27001 개요
IT 및 OT의 사이버 보안
이전에는 정보 기술(IT)과 운영 기술(OT) 분야를 별도 분야로 분리하여 서로 다른 전문 부서에 배정했습니다. 그러나 시스템과 생산 분야의 네트워크화와 디지털화가 확대되면서 이러한 분야들이 서로 융합되고 있습니다. 따라서 사이버 보안을 더 이상 별개로 생각할 수 없습니다. 사이버 공격에 대한 효과적이고 효율적인 보호는 조직화된 접근 방식을 통해서만 달성될 수 있습니다.
ISO 27000 시리즈 표준은 비밀보호에 중점을 두고 IT의 보호 목표를 정의합니다. OT 분야의 경우 IEC 62443에 설명된 대로 시스템의 가용성이 매우 중요합니다. IEC 62443 시리즈 표준은 설계부터 구현 및 관리에 이르기까지 산업용 자동화 시스템(ICS 시스템)의 안전한 운영을 지원하는 것을 목표로 합니다. 이를 위해 다양한 시리즈 표준은 컴포넌트 제조업체, 시스템 통합업체 및 운영자를 위한 규칙을 지정합니다. 컴포넌트 제조업체는 제품 보호를 보장해야 하고 기계 제작자 및 시스템 제조업체는 안전한 상호 작용을 책임집니다. 운영자는 궁극적으로 안전한 운영 프로세스에 대한 책임이 있습니다. 따라서 IEC 62443은 ISO 27001 표준을 보완합니다. 사이버 공격에 대한 포괄적인 보호를 위해서는 두 가지 표준을 모두 고려하는 것이 중요합니다.
IEC 62443의 구조
IEC 62443의 특별한 특징 중 하나는 포괄적인 설계 기반 보안 접근 방식입니다. 여기에는 운영 프로세스, 시스템 및 구성 요소에 대한 요구 사항이 포함됩니다. 또한 이 접근 방식은 절차적 조치와 기술적 조치를 모두 정의합니다.
"심층 방어"는 IEC 62443 표준의 핵심 보안 개념입니다. 여러 보안 메커니즘을 연속적으로 구축하면 공격자가 시스템에 침투하기가 더 어려워집니다.
운영자로서 IEC 62443의 구현
"안전한 시스템을 위한 9단계" 프로세스.
보안 자동화 솔루션 개발은 보호해야 하는 자산을 정의하는 것부터 시작됩니다. 그런 다음 각각에 대한 위협 및 위험 분석을 수행합니다. 이러한 분석은 위험 감소를 위한 대책과 그에 따른 시스템 및 사용되는 구성 요소에 대한 요구 사항을 도출하기 위한 기초로 사용됩니다.
그러나 시스템의 보호 수준은 단순히 기술적 능력에 의해서만 결정되는 것이 아니아, 구현된 프로세스와 인력의 전문성에 의해서도 영향을 받습니다. 안전한 시스템을 위해서는 지속적인 모니터링과 유지 관리가 필요합니다. 여기에는 설비와 그 속성에 대한 정확한 지식, 즉 네트워크 계획과 모든 컴포넌트의 인벤토리는 물론이고 모든 사용자와 사용자의 권한 및 사용자 액세스 데이터 관리가 포함됩니다.
모든 애플리케이션에 적합한 단일 표준 솔루션은 존재하지 않습니다. 안전한 자동화 솔루션은 항상 개별 조건에 맞게 조정됩니다. 또한 구현된 조치를 주기적으로 점검하여 최신 기술이 반영되도록 조정해야 합니다. 도움이 될 수 있도록 "안전한 시스템을 위한 9단계" 프로세스를 정의했습니다. 이 접근 방식을 통해 운영자와 시스템 통합업체는 특정 솔루션에 맞게 보안을 설계하고 구현할 수 있습니다.
피닉스컨택트의 IEC 62443 구현
포괄적인 360° 보안 개념
360° 보안 개념
피닉스컨택트는 2017년부터 IEC 62443의 구현을 시작했습니다. 그러나 시스템과 시설의 보호는 모든 측면에서 보호되는 경우에만 보장될 수 있습니다. 이러한 이유로 피닉스컨택트는 360° 보안 개념을 개발하여 구현했습니다.
사이버 보안에 대한 피닉스컨택트의 접근 방식은 포괄적입니다. 따라서 360° 보안 개념의 각 구성 요소는 IEC 62443에 따라 인증을 받았습니다. 이는 처음부터 제품에 강력한 보안 기능이 탑재되도록 보장하는 안전한 개발 프로세스에서 시작됩니다. 이러한 보안 기능은 제품에 긴밀하게 통합되어 포괄적인 보호를 보장합니다. 또한 피닉스컨택트는 고객의 보안을 지속적으로 개선하기 위해 인증된 서비스를 제공합니다.
IEC 62443-4-1에 따른 개발 프로세스 인증 획득
피닉스컨택트는 2018년에 IEC 62443-4-1에 따라 인증된 보안 개발 프로세스를 컴포넌트에 도입했습니다. 이 프로세스는 검증된 사이버 보안 원칙과 심층 방어에 기반합니다.
그 이후로 잠재적인 보안 취약점에 대한 투명하고 개방적인 의사소통이 중요해졌습니다. 이를 위해 PSIRT(Product Security Incident Response Team, 제품취약점 및 보안사고 대응팀)는 잠재적 취약성에 대한 보고서를 발행하고 정기적으로 제품에 대한 보안 업데이트를 제공합니다.
IEC 62443-4-2에 따라 인증된 제품
보안 제품은 IEC 62443-4-1 개발 프로세스에 따라 개발되며 IEC 62443-4-2의 기능적 보안 요구 사항을 충족합니다.
2021년, PLCnext Control은 IEC 62443-4-1 ML3 / 4-2 SL2 기능 세트에 따라 인증을 받은 최초의 컨트롤러가 되었습니다. 현재 다른 보안 제품이 개발 중이거나 인증 중입니다. 피닉스컨택트의 보안 제품에 대해 자세히 알아보기:
IEC 62443-2-4에 따라 인증된 서비스
IEC 62443-2-4에 따라 인증된 서비스
시스템 통합업체 및 운영자가 함께 효과적인 보안 솔루션을 개발, 자문, 설치 및 유지 관리하려면 관련 팀이 포괄적인 사이버 보안 역량을 갖추고 이를 입증할 수 있어야 합니다. 그래야만 모든 보안 조치가 최고 수준의 기준을 충족하고 효과적으로 구현될 수 있습니다.
피닉스컨택트에서는 일부 국가 지사의 관련 팀을 포함하여 해당 팀이 국제 IEC 62443-2-4 표준에 따라 인증을 받았습니다. 이 인증은 피닉스컨택트 팀이 산업 자동화 시스템을 안전하게 통합하고 운영하는 데 필요한 전문 지식과 프로세스를 갖추고 있음을 확인시켜 줍니다. 이 인증을 획득했다는 것은 전 세계 고객에게 최신 사이버 보안 요구 사항을 충족하는 안정적이고 안전한 솔루션을 제공할 수 있음을 의미합니다.
IEC 62443-3-3에 따라 인증된 솔루션
표준 구현을 위한 항상 적합한 솔루션은 없습니다. 오히려 개별적 요구와 상황에 따라 규칙을 구현해야 합니다. 피닉스컨택트는 프로세스 요구 사항과 기능적 시스템 요구 사항을 더 잘 설명하고 구현하기 위해 다양한 시장과 솔루션에 대한 다양한 템플릿(청사진)을 개발했습니다.
"원격 모니터링 및 제어" 청사진에는 다단계 보호 전략(심층 방어 개념) 외에도 영역 및 통로 분할, 데이터 흐름 제어, 종단 간 통신 암호화, 컴포넌트 강화, 직원 인식 교육, 패치 관리 및 위험 관리 프로세스 등이 포함됩니다.
이 솔루션은 IEC 62443-3-3에 따라 인증되었습니다.
IEC 62443-3-3에 따라 TÜV Süd에서 인증한 "원격 모니터링 및 제어" 청사진
법률로 제정된 사이버 보안
IEC 62443: 사이버 보안 지침의 성공 요인
새로운 사이버복원력법(CRA), 새로운 NIS 2 지침 및 새로운 기계류 지침에 따라 유럽에서 사이버 보안 조치를 이행하는 것은 법적 구속력을 갖습니다. 이는 더 이상 중요 인프라에만 국한되지 않습니다.
새로운 보안 지침의 엄격한 요구 사항을 충족하려면 국제 표준을 따르는 것이 도움이 됩니다. 이러한 표준 중 하나가 IEC 62443 보안 표준입니다. IEC 62443은 보안 개발 프로세스와 제품 및 시스템에 대한 기술 요구 사항 등과 같은 CRA에서 요구하는 많은 요구 사항을 포괄하고 있습니다. 따라서 IEC 62443은 미래의 조화된 CRA 표준을 위한 유력한 후보입니다.
또한 IEC 62443 표준은 새로운 NIS 2 보안 지침과 새로운 기계류 규정을 준수하기 위한 포괄적인 지원을 제공합니다.
LinkedIn: 산업용 통신 및 사이버 보안 지금 커뮤니티의 일원이 되십시오!
산업용 통신 네트워크를 사용하면 필드의 데이터를 제어 레벨을 거쳐 클라우드까지 안정적으로 전송할 수 있습니다. 피닉스컨택트의 산업용 통신 및 사이버 보안 LinkedIn 페이지는 네트워크 가용성, 사이버 보안, 원격 유지 관리 등에 대한 흥미로운 정보를 제공합니다. 커뮤니티의 일원이 되십시오!