İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik SANGFOR
EN

ISA/IEC 62443 Endüstriyel Otomasyon ve Kontrol Sistemlerinin Güvenliği Hizmeti


ISA/IEC 62443 Standart Serisi, endüstriyel otomasyon ve kontrol sistemlerinin (IACS) güvenliğini sağlamak için kapsamlı bir çerçeve sunmaktadır ve özellikle üretim, enerji, ulaşım ve diğer kritik altyapı sektörlerinde kullanılan sistemlerin korunmasına odaklanır.

Bu standartlar, siber güvenlik risklerini azaltmayı, tehditlere karşı dayanıklılığı artırmayı ve güvenlik açıklarını en aza indirmeyi amaçlamaktadır.

Bu standart dört gruba ayrılmıştır.

Genel: Endüstriyel güvenlik sistemlerinin temellerini açıklar ve siber güvenliğin kapsamını tanımlar.

- 62443-1-1 Kavramlar ve modeller
- 62443-1-2  Terimler ve kısaltmalar sözlüğü
- 62443-1-3 Sistem güvenliği uyumluluk ölçütleri
- 62443-1-4 IACS güvenliği yaşam döngüsü ve kullanım senaryoları

Politika ve Prosedürler: Bu gruptaki dokümanlar, IACS güvenliğiyle ilişkili politikalara ve prosedürlere odaklanır.

- 62443-2-1 IACS varlık sahipleri için güvenlik programı gereksinimleri

- 62443-2-2 Güvenlik koruma derecelendirmesi

- 62443-2-3 IACS için Yama yönetimi

- 62443-2-4 IACS hizmet sağlayıcıları için gereksinimler

- 62443-2-5 IACS Varlık sahipleri için uygulama rehberi

Sistem: Endüstriyel sistemler için siber güvenlik gereksinimlerini belirler ve entegrasyon yöntemlerini sunar.

- 62443-3-1 IACS için güvenlik teknolojileri - 62443-3-2 Güvenlik risk değerlendirmesi ve sistem tasarımı - 62443-3-3 Sistem güvenlik gereksinimleri ve güvenlik seviyeleri

Bileşen: Dördüncü ve son grup, IACS ürünlerinin geliştirilmesiyle ilişkili daha spesifik ve ayrıntılı gereksinimler hakkında bilgi sağlayan dokümanları içerir.

- 62443-4-1 Güvenli ürün geliştirme yaşam döngüsü gereksinimleri
- 62443-4-2 IA CS bileşenleri için teknik güvenlik gereksinimleri

Paydaş Rolleri, Sorumluluklar ve İlgili 62443 Standartları

Aşağıdaki görsel varlık sahipleri, bakım hizmeti sağlayıcıları, entegrasyon hizmeti sağlayıcıları ve ürün tedarikçileri gibi çeşitli paydaşların üstlendiği rollerin, ISA/IEC 62443 standart serisinin farklı bölümlerinde ele alınmasını içermektedir.

IEC 62443 Standardı Teknik Güvenlik Uyumluluğunun temel gereksinimleri bulunmaktadır.

1) Kimlik Tanımlama ve Kimlik Doğrulama Kontrolü: Sisteme veya varlıklara erişimlere izin vermeden önce tüm kullanıcıların (insanlar, yazılım süreçleri ve cihazlar) tanımlanması ve yetkilendirilmesini içerir.

Bu başlık;

- Hesap yönetimi,
- Tanımlayıcı ve kimlik doğrulayıcı yönetimi,
- Parola doğrulamasını güçlendirme,
- Kablosuz erişim kontrolü,
- Sistem kullanım bildirimleri,
- Başarısız oturum açma girişimleri

konularını ve daha fazlasını kapsar.

2) Kullanım Kontrolleri: Yetkili bir kullanıcının (insan, yazılım süreci veya cihaz) bileşen üzerinde gerekli eylemi gerçekleştirmesi için atanmış ayrıcalıkların uygulanması ve bu ayrıcalığın kullanımının izlenmesini içerir.

Bu başlık;

- Yetkilendirme zorunluluğu,
- Kablosuz kullanım,
- Eşzamanlı oturum sayısı,
- Oturum kilidi kontrolü,
- Depolama kapasitesi kontrolü,
- Uzaktan oturum sonlandırma,
- Zaman damgaları

konularını ve daha fazlasını kapsar.

3) Sistem Bütünlüğü: Sistem bütünlüğünün, yetkili olmayan manipülasyon veya değişikliklere karşı korunmasını içerir.

Bu başlık,

- İletişim bütünlüğü,
- Kötü amaçlı kodlara karşı koruma,
- Güvenlik işlevselliği doğrulaması,
- Girdi kontrolü,
- Hata yönetimi,
- Denetim bilgilerinin korunması

konularını ve daha fazlasını kapsar.

4) Veri Gizliliği: İletişim kanallarındaki bilgilerin ve depolama alanlarında saklanan verilerin yetkisiz ifşalara karşı korunmasını sağlamayı içerir.

Bu başlık;

- Bilgi gizliliği,

- Kriptografi kullanımı

konularını ve daha fazlasını kapsar.

5) Kısıtlı Veri Akışı: Sistemleri bölgeler ve kanallar aracılığıyla segmentlere ayırarak gereksiz veri akışının sınırlandırılmasını içerir.

Bu başlık;

- Ağ segmentasyonu,

- Bölge sınır koruması,

- İletişim kısıtlamaları

konularını ve daha fazlasını kapsar.

6) Olaylara Zamanında Yanıt Verme: Güvenlik ihlallerine, yetkili makamlara bildirimde bulunarak, ihlale ilişkin kanıtları bildirerek ve olaylar tespit edildiğinde zamanında düzeltici eylemlerde bulunarak yanıt vermeyi içerir.

Bu başlık;

- Denetim loglarının erişilebilirliği,
- Sürekli izleme

konularını ve daha fazlasını kapsar.

7) Kaynak Kullanılabilirliği: Temel hizmetlerin bozulmasına karşı bileşenlerin kullanılabilirliğini sağlamayı içerir.

Bu başlık;

- Hizmet reddi koruması,

- Kaynak yönetimi,

- Sistem yedeklerinin ve kurtarma planlarının kontrolü,

- Ağ ve güvenlik yapılandırma ayarlarının kontrolü

konularını ve daha fazlasını kapsar.

Beyaznet olarak ISA/IEC 62443’te bulunan güvenlik seviyelerine göre standart bağlamında mevcut durumunuzu analiz ediyor ve güvenliğinizi bir sonraki aşamaya taşımak için alınması gereken önlemleri detaylı bir şekilde raporlayarak sunuyoruz.

Hizmetlerimiz:

Endüstriyel Otomasyon ve Kontrol Sistemlerine Yönelik Sızma Testi

Sunucu, Depolama ve Sanallaştırma Sistemleri Analizi

Network Analizi

Siber Güvenlik Altyapısı Analizi

Veri ve Veri Tabanı Analizi

Risk Değerlendirmesi ve Yönetimi

Farkındalık Eğitimleri

Kaynak: isagca.org/isa-iec-62443-standards

Daha Fazlası İçin Bizimle İletişime Geçin