Standardi IEC 62443-2-1 pian suomenkielisenä

Suositusta standardista IEC 62443-2-1 Security for industrial automation and control systems – Part 2-1: Security program requirements for IACS asset owners julkaistaan pian toinen painos suomenkielisenä standardina SFS-EN IEC 62443-2-1 Teollisuuden automaatio- ja ohjausjärjestelmien tietoturvallisuus. Osa 2–1: Tietoturvaohjelman vaatimukset teollisuuden automaatio- ja ohjausjärjestelmien omistajille.

Kyberturvallisuus

Aikaisempi painos oli tyyliltään oppikirjanomainen, mutta uusi on kirjoitettu standardimaisemmaksi. Vaatimukset ovat selkeästi tunnistettavissa ja ne on numeroitu. Tämä helpottaa standardin käyttöä esimerkiksi kyberturvallisuuden sertifiointiohjelman pohjana.

Vaatimukset on jäsennelty seuraaviin tietoturvaohjelman elementteihin (security program element, SPE):

  • SPE 1 – Organisaation tietoturvatoimenpiteet
  • SPE 2 – Konfiguraationhallinta
  • SPE 3 – Verkon ja tietoliikenteen tietoturva
  • SPE 4 – Komponenttien tietoturva
  • SPE 5 – Tietojen suojaaminen
  • SPE 6 – Käyttäjien pääsynhallinta
  • SPE 7 – Tapahtumien ja häiriöiden hallinta
  • SPE 8 – Järjestelmän eheys ja saatavuus

Moni teollisuusyritys soveltaa yritystasolla tietotekniikkaansa ISO/IEC 27000 -sarjan tietoturvallisuusstandardeja. On esitetty toive tämän standardisarjan ja teollisuuden automaatio- ja ohjausjärjestelmiin keskittyvän IEC 62443 -sarjan vaatimusten paremmasta yhteensovittamisesta. Uudessa painoksessa on ristiviittaustaulukko mm. standardien IEC 62443-2-1:2024 ja ISO/IEC 27001:2013 välillä, mikä selkeyttää tilannetta huomattavasti. Valitettavasti päivitystyö vei niin paljon aikaa, että tällä välillä ehdittiin jo standardista ISO/IEC 27001 julkaista uusi painos vuonna 2022. Viittaukset luvataan päivittää standardin ISO/IEC 27001 uudempaan painokseen seuraavassa painoksessa. 

Ensimmäisessä painoksessa oli huomattavan suuri paino tietoturvallisuusohjelman perustamisella. Vastaavanlainen sisältö löytyy nyt opastavasta liitteestä. Keskeisenä periaatteena on riskiarvioon perustuva kyberturvallisuusriskien hallinta, johon standardi tarjoaa kuusivaiheisen kyberturvallisuusriskin arviointi- tai hallintaprosessin.

Tietoturvallisuuden katselmoinneissa sovelletaan palveluiden kypsyysmallista CMMI-SVC johdettua tietoturvallisuuden kypsyysmallia. Standardissa on opastava liite kypsyystason arviointia varten.

Standardi IEC 62443-2-1 on kirjoitettu teollisuuden automaatio- ja ohjausjärjestelmien omistajille. Yhä useammin teollisuuslaitoksia pyöritetään ulkopuolisilta palveluntarjoajilta ostettavien palveluiden, esimerkiksi kunnossapitopalveluiden varassa. Sarjasta löytyy toinen standardi, IEC 62443-2-4, jossa esitetään vaatimukset, joita noudattamalla kyberturvallisuustavoitteet toteutuvat palveluiden toimittajien kanssa tehtävien sopimusten sekä asianmukaisen valvonnan mahdollistavien asiakirjojen kautta. Standardissa IEC 62443-2-1 on ristiviittaustaulukko myös tämän standardin vaatimuksiin.

Lisää suosikiksi

Lisätietoja aiheesta

Jukka Alve
+358 44 300 8267
etunimi.sukunimi@sesko.fi