DIN IEC 62443-3-3:2015-06 - Entwurf

Die Internationale Norm IEC 62443-3-3 "Industrial communication networks - Network and system security - Part 3-3: System security requirements and security levels" (Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme - Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level) wurde vom TC 65 der IEC veröffentlicht. Sie legt Anforderungen zur IT-Sicherheit von industriellen Automatisierungssystemen entsprechend den grundlegenden Anforderungen (Foundational Requirements, FR) nach IEC 62443-1-1 fest. Zu jeder grundlegenden Anforderung werden dazu eine Reihe von Systemanforderungen (System Requirements, SR) genannt, die erstere näher ausführen. Zu einer Systemanforderung werden gegebenenfalls weitere weitergehende Anforderungen aufgeführt (Requirement enhancements, RE). Beispielsweise werden zur grundlegenden Anforderung "Nutzung kontrollieren" (FR 2 - Use Control, UC) zwölf Systemanforderungen genannt, die erste davon ist SR 2.1 "Durchsetzung der Autorisierung". Sie hat zum Inhalt, dass Bediengeräte nur befugt benutzt werden dürfen. Hierzu werden weitergehende Anforderungen genannt, zum Beispiel SR 2.1 RE 2 "Erlaubniserteilung nach Rollen". Sie verlangt, dass Bedienungsbefugnisse nach den Rollen, die ein Benutzer einnimmt, vergeben werden. Die Systemanforderungen und weitergehenden Anforderungen werden entsprechend des erreichbaren Security Levels nach IEC 62443-1-1 gefordert (SL-C). Darunter ist der Security Level zu verstehen, den das System erreichen kann, wenn es richtig eingestellt wurde. Die IEC 62443-3-3 erlaubt es somit, bei vorliegendem SL-C die Anforderungen an die Technik des Systems herzuleiten oder bei erfüllten Anforderungen den erreichbaren SL-C zu nennen. Weiterhin werden in diesem Norm-Entwurf Randbedingungen genannt, die typisch für industrielle Automatisierungssysteme sind, beispielsweise der Erhalt von Realzeiteigenschaften bei Erkennung eines IT-Sicherheitsvorfalls, die Aufrechterhaltung von Sicherheitsfunktionen oder der Weiterbetrieb bei Denial-of-Service-Angriffen. Zuständig ist das DKE/UK 931.1 "IT-Sicherheit in der Automatisierungstechnik" der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE.