Zakres
W niniejszej części IEC 62443 określono program bezpieczeństwa (SP) właścicieli aktywów i wymagania procedury dla automatyki przemysłowej i systemów sterowania (IACS). W niniejszym dokumencie zawarto ogólną definicję zakresu, który określa IACS, opisany w IEC TS 62443‑1‑1. W kontekście tego dokumentu właściciel aktywów jest także operatorem systemu IACS.
W niniejszym dokumencie ustosunkowano się do problemu związanego z faktem, iż okres eksploatacji systemów IACS może przekraczać dwadzieścia lat i wiele starszych systemów zawiera sprzęt i oprogramowanie, które nie są już obecnie obsługiwane. Dlatego SP dla starszych systemów zawiera niepełny zakres wymagań zdefiniowanych w niniejszym dokumencie. Na przykład, jeśli IACS lub jego oprogramowanie nie są już obsługiwane, wymagania dotyczące poprawek zabezpieczeń mogą nie być spełnione. Podobnie oprogramowanie do tworzenia kopii zapasowych dla wielu starszych systemów może nie być już dostępne dla wszystkich komponentów IACS. W niniejszym dokumencie nie określono tych wymagań technicznych. Stwierdzono, że właściciel aktywów musi mieć politykę oraz procedury dotyczące specyficznych wymagań. W przypadku, gdy właściciel aktywów używa starszych systemów, które nie mają wbudowanych funkcjonalności związanych z utrzymaniem poziomu bezpieczeństwa, kompensujące środki bezpieczeństwa mogą być częścią polityki organizacji i procedur określonych w niniejszym dokumencie.
W niniejszym dokumencie uznano również, że nie wszystkie wymagania określone w niniejszym dokumencie stosuje się do wszystkich IACS. Na przykład wymagania związane z określoną technologią (taką jak sieć bezprzewodowa) lub funkcjami (takimi jak dostęp zdalny) nie będą miały zastosowania do IACS, które nie obejmują tych technologii lub funkcji. Podobnie, nie wszystkie wymagania dotyczące ochrony przed złośliwym oprogramowaniem dotyczą systemów, dla których oprogramowanie chroniące przed złośliwym oprogramowaniem nie jest dostępne dla żadnego z ich urządzeń. Dlatego też w niniejszym dokumencie stwierdza się, że właściciel aktywów musi zidentyfikować wymagania dotyczące bezpieczeństwa IACS, które mają zastosowanie do jego IACS w jego konkretnej aplikacji.
Elementy SP IACS opisane w niniejszym dokumencie definiują wymagane możliwości systemów zapewniających bezpieczeństwo działania IACS. Chociaż właściciel aktywów IACS ponosi ostateczną odpowiedzialność za bezpieczne działanie IACS, wdrożenie tych możliwości systemów zapewniających bezpieczeństwo często obejmuje wsparcie ze strony jego dostawców usług i dostawców produktów. Z tego powodu w niniejszym dokumencie zawarto wskazówki dla właściciela aktywów dla określania wymagań dotyczących bezpieczeństwa dla jego dostawców usług i dostawców produktów, powołując się na inne części normy wieloczęściowej IEC 62443.
Na Rysunku 1 zilustrowano role i obowiązki właściciela aktywów, dostawców usług i dostawców produktów IACS oraz ich wzajemne relacje oraz powiązania z Rozwiązaniami Automatyki. Rozwiązania Automatyki to systemy pełniące funkcje kontroli regulacji IACS i ich bezpieczeństwa oraz inne funkcje dodatkowe. Składają się z programowalnego sprzętu, który został zainstalowany i skonfigurowany do działania w IACS. Przez IACS rozumie się połączenie Rozwiązania Automatyki i środków organizacyjnych niezbędnych do jego projektowania, wdrażania, działania i konserwacji.
Niektóre z tych możliwości opierają się na odpowiednim zastosowaniu możliwości utrzymywania integracji zdefiniowanych w IEC 62443‑2‑4 oraz możliwościach bezpieczeństwa technicznego zdefiniowanych w IEC 62443‑3‑3 i IEC 62443‑4‑2.
