La norma IEC-62443 se integrará en el Common Regulatory Framework on Cybersecurity.

Recientemente, la International Society of Automation (ISA) ha publicado la siguiente noticia: “The United Nations Economic Commission for Europe (UNECE; Geneva, Switzerland) confirmed that it will integrate the widely used ISA/IEC 62443 series of standards into its forthcoming Common Regulatory Framework on Cybersecurity (CRF). The CRF will serve as an official UN policy position statement for Europe. At its recent annual meeting in Geneva, UNECE’s Working Party on”.

Esta es sin duda una gran noticia para todos los profesionales preocupados porque los entornos industriales y de infraestructuras críticas sean cada vez más seguros y menos vulnerables a las diferentes amenazas existentes.

La norma IEC 62443 es un conjunto de estándares que se basa en los conceptos definidos por la norma ISA99, en la que a su vez se proponen una serie de documentos que establecen mejores prácticas y recomendaciones para incrementar la seguridad de los sistemas de control industrial frente a amenazas cibernéticas (principalmente). Con el propósito de alinear la nomenclatura de la ISA99 a la propuesta realizada por la IEC, en el año 2010, la ISA99 pasa a ser denominada ANSI/ISA-62443 o bien IEC 62443.

En la norma ISA 99 se definen cuatro documentos específicos y dos informes técnicos. Como puede observarse en la siguiente figura, esta norma se ha dividido en cuatro capas.

• La primera, denominada General  incluye cuatro documentos. En ellos se proponen los conceptos básicos y contexto sobre el que se desarrollan las siguientes capas de la norma.
• La segunda, denominada Policies & Procedures incluye también cuatro documentos. Como su nombre indica, se centra en la definición de políticas y procedimientos.
• La tercera capa es la de System  y se compone de tres documentos. Se centra en proponer mejores prácticas para el despliegue seguro de sistemas en entornos industriales.
• Por último, la cuarta capa, denominada Component incluye dos documentos y aborda los requerimientos que deben cumplir los fabricantes de dispositivos industriales para que sean considerados Secured by Design.

Todos estos documentos se encuentran en diferentes fases de desarrollo. Como puede observarse en la siguiente, su estado puede ser de: publicados, publicados pero en revisión, en desarrollo y planificados.

Figura. Norma ISA 99.

Desde el área de consultoría e ingeniería de Ciberseguridad Industrial de Logitek, nos basamos con asiduidad en las mejores prácticas que propone la IEC 62443 para realizar diferentes tipos de intervenciones, entre ellas, cabe destacar su utilización para llevar a cabo iniciativas de segmentación y fortificación de redes y sistemas.

Dentro del documento  IEC 62443-1-1 Models and Concepts  (que prácticamente replica la especificación ANSI/ISA99.00.01 – Part 1: Terminology, Concepts and Models) se introducen los conceptos de zona, conducto y canal. En entornos tan complejos y extensos como son los industriales, no sería lógico implementar medidas de prevención, detección, respuesta y recuperación, y además desarrollar controles específicos, de la misma manera para todos los sistemas y/o áreas de proceso. Es por ello, que este documento propone un método para crear áreas que tengan unos mismos requerimientos de seguridad y por otro lado, propone mecanismos para que la comunicación entre estas diferentes áreas se realice de forma segura.

Os dejamos este enlace a las actas de las Jornadas Nacionales de Ciberseguridad (JNIC) celebradas en Granada durante el 2016, en las que publicamos el artículo “Diseño de zonas, conductos y canales según la normativa IEC 62443 (ISA99) en una Industria 4.0”.

Tras su lectura, seguro que podréis entender mucho mejor qué nos aporta la IEC 62443 a este problema en particular.

Si necesitas de aclaraciones y/o ampliar información, no dudes en ponerte en contacto con nosotros.