Tiêu chuẩn ISO/IEC 62443-4-1 and 4-2 là tiêu chuẩn cơ bản bảo mật cho các hệ thống tự động hóa và điều khiển công nghiệp (industrial automation and control system - IACS). Các hệ thống này có vai trò quan trọng trong lưới điện, năng lượng, sản xuất, xử lý nước và giao thông vận tải. Khi các hệ thống ngày càng được kết nối thì nguy cơ an ninh mạng càng tăng cao.
Các tiêu chuẩn này là một phần của bộ tiêu chuẩn IEC 62443 do Hiệp hội Tự động hóa Quốc tế (ISA) và Ủy ban Kỹ thuật điện Quốc tế (IEC) phát triển. IEC 62443-4-1 chỉ rõ quy trình phát triển sản phẩm cho nhà sản xuất thiết bị tự động hóa và điều khiển công nghiệp IACS. Nó đảm bảo sản phẩm được an toàn qua tất cả các quá trình phát triển sản phẩm. EC 62443-4-2 lại quy định yêu cầu an ninh mạng cho từng thành phần hệ thống điều khiển riêng lẻ. Các yêu cầu này đảm bảo sản phẩm chống chịu về mặt kỹ thuật với các mối đe dọa an ninh mạng đã bị phát hiện. Cả hai tiêu chuẩn này đi cùng với nhau giúp tạo ra sản phẩm mạnh mẽ từ quá trình sản xuất (quy trình) và cách thức hoạt động (công nghệ).
Tiêu chuẩn ISO/IEC 62443-4-1: Quy trình phát triển sản phẩm an toàn
ISO/IEC 62443-4-1 là tiêu chuẩn quốc tế quy định quy trình phát triển sản phẩm an toàn (Secure Development Lifecycle – SDL) cho các nhà sản xuất thiết bị & phần mềm dùng trong hệ thống điều khiển công nghiệp (IACS/OT). Tiêu chuẩn này đảm bảo nhà sản xuất áp dụng quy trình nhất quán, lặp lại và hiệu quả để đưa tính bảo mật vào sản phẩm của họ từ khâu thiết kế, đến triển khai và bảo hành.
Tiêu chuẩn có 8 nhóm yêu cầu quy trình:
1. Chính sách, vai trò, quản lý rủi ro bảo mật (Security Management)
Yêu cầu nhà sản xuất thiết lập chính sách, cấu trúc quản trị và nguồn lực để phát triển sản phẩm an toàn. Phân công vai trò, trách nhiệm và nghĩa vụ giải trình giữa các nhóm phát triển sản phẩm.
2. - Xác định yêu cầu bảo mật ngay từ thiết kế (Specification of Security Requirements)
Khuyến khích xác định và tài liệu hóa các nguy cơ mất an toàn dựa trên mô hình mối đe dọa, trường hợp sử dụng và các quy định. Đây là cơ sở cho các thiết kế và thử nghiệm tiếp theo.
3. Thiết kế kiến trúc an toàn, threat modeling (Secure Design)
Đưa vào trong thiết kế các yếu tố an ninh như phân quyền, phòng thủ chiều sâu, giảm thiểu bề mặt tấn công (attack surface reduction).
4. Lập trình an toàn, coding guideline (Secure Implementation)
Tập trung chuyển đổi các thiết kế an toàn ra mã code. Bao gồm tiêu chuẩn mã code an toàn, phân tích lỗ hổng của nhà cung cấp bên ngoài, phân tích mã.
5. Test bảo mật, fuzzing, penetration testing (Verification & Validation)
Các phương pháp kiểm thử được áp dụng để đảm bảo quá trình phát triển sản phẩm đáp ứng được yêu cầu bảo mật. Bao gồm kiểm thử unit tests, integration tests, fuzz testing, and penetration testing.
6. Quy trình xử lý lỗ hổng bảo mật (Management of Security Issues)
Phải có quy trình chính thức phát hiện và vá lỗ hổng bảo mật sau khi sản phẩm đã được phát hành. Bao gồm việc tập hợp nghiên cứu viên, danh mục công khai các lỗ hổng bảo mật, và khắc phục sự cố.
7. Quản lý bản vá lỗi, cập nhật firmware/software (Security Update Management)
Đảm bảo phát hành bản vá lỗi an toàn suốt vòng đời sản phẩm, bao gồm cả cơ chế rollback và kiểm soát version.
8. Tài liệu hướng dẫn cấu hình & vận hành an toàn (Security Guidelines)
Yêu cầu cung cấp tài liệu rõ ràng cho người dùng để cấu hình và bảo trì sản phẩm một cách an toàn. Bao gồm sách hướng dẫn sử dụng, bảo mật và trường hợp vận hành tốt nhất.
8 yêu cầu này đảm bảo bảo mật không được thêm vào sản phẩm như yếu tố sau cùng mà được tích hợp vào mọi khía cạnh phát triển sản phẩm.
So sánh IEC 62443 với ISO 27001 trong bảo mật quá trình vận hành OT
ISO 27001 là tiêu chuẩn hệ thống an toàn thông tin (Information Security Management System - ISMS). Tiêu chuẩn đưa ra khung quản lý thông tin nhạy cảm và bảo vệ thông tin qua chính sách quản lý và biện pháp quản lý thông tin.
ISO 27001 tập trung vào:
Tính bảo mật
Tính toàn vẹn
Độ sẵn sàng của thông tin.
Các tổ chức áp dụng ISO 27001 tạo ra hệ thống quản lý xác định cách thức phát hiện mất an toàn thông tin, biện pháp xử lý và theo dõi nguy cơ. ISO 27001 được áp dụng cho toàn bộ tổ chức bao gồm chính sách, quy trình, nhân sự và công nghệ thông tin. ISO 27001 tập trung vào hay được áp dụng trong: môi trường doanh nghiệp, tổ chức tài chính, công ty cung cấp dịch vụ SaS ...
Những điểm khác biệt chính giữa IEC 62443 với ISO 27001:
Sự khác biệt chính giữa hai tiêu chuẩn này ở phạm vi và môi trường áp dụng
| Tính chất | IEC 62443 | ISO 27001 |
| Tập trung vào | An ninh công nghiệp | an ninh hệ thống quản lý thông tin |
| Môi trường | Quá trình vận hành OT | Hệ thống công nghệ thông tin IT |
| Đối tượng | Scada, PLC, thiết bị mạng công nghiệp | Mạng doanh nghiệp và dữ liệu |
| Mục tiêu chính | Bảo vệ quy trình công nghiệp vận hành an toàn | Bảo vệ chống đánh cắp thông tin |
| Chiều sâu kỹ thuật | Chi tiết kỹ thuật biện pháp an toàn thông tin | Khung quản lý cấp cao |
| Bên tham gia | Bên sở hữu, nhà cung cấp thiết bị, bên tích hợp hệ thống | Chỉ trong phạm vi tổ chức quản lý hệ thông thông tin. |
| Kiến trúc bảo mật | Phân chia hệ thống thành vùng và kênh kết nối (Zones and conduits) | Phân đoạn mạng (Network segmentation guidance) |
| Phạm vi của chứng nhận | Cho sản phẩm, hệ thống, tổ chức | Chứng nhận hệ thống quản lý |
ISO 27001 tập trung vào quản trị rủi ro còn IEC 62443 đề cập đến biện pháp kỹ thuật cụ thể cho môi trường công nghiệp.