IEC 62443標準著重於產品開發的流程、服務及系統整合,而ISO 27001適用於組織所使用的系統、資訊風險管理。雖然兩個標準的著重面向不同,但在部分的安全控制項目(安全要求)可對照使用。
在國內因資通安全法的通過與施行,已普遍對ISMS(資訊安全管理系統)有一定的認知,而在製造或工業生產為主的產業,通用的資訊安全標準ISO/CNS 27001,只提供適用資訊安全管理的大架構,對於提升產品安全如何更貼切地引用?這就需要從規劃、分析、設計、開發實作、測試及整合、上線及維運等階段,全面導入安全概念,設計且融入安全要求,並周而復始地循環改進才能達到提升產品安全的目的,例如增加安全功能列表、進行威脅建模分析(Threat Modeling Analysis)、弱點掃描與滲透測試等,採用工業自動化和控制系統(IACS)安全標準ISA/IEC 62443應是適合的方向。
IEC 62443標準著重於產品開發的流程、服務及系統整合,而ISO 27001適用於組織所使用的系統、資訊風險管理。雖然兩個標準的著重面向不同,但在部分的安全控制項目(安全要求)可對照使用,即ISO 27001可用於保護IACS的資訊安全,並確保開發過程可以有效地實施IEC 62443定義的安全控制。關於IEC 62443-2-4與ISO 27001的控制項對照,表1摘錄部分供參考。
不同以往IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems標準將所有的內容放進同一個文件,IEC 62443將內容更有結構性地分成四大部分,每一部分又拆分到不同的文件中(圖1)。由於資訊安全領域常有新的技術出現,新文件架構的好處是每個部分都可以快速發布及更新,這對資安標準來說而言是很重要的優點。
圖1 IEC 62443內容分成四大部分,每部分又拆分到不同的文件中。 (資料來源:整理自Quick Start Guide: An Overview of ISA/IEC 62443 Standards, Security of Industrial Automation and Control Systems”, https://cdn2.hubspot.net/hubfs/5382318/ISAGCA%20Quick%20Start%20Guide%20FINAL.pdf, June 2020.)
關於IEC 62443標準,是基於ISA 99 series標準文件修訂的,申請IEC 62443-2-4以服務∕系統供應商為主,並非資產擁有者,適用情境如圖1所示。
IEC 62443-2-4重點摘要
以下分成四大部分,來摘要說明IEC 62443-2-4標準。
建立工控系統資安計畫
當建立工控系統資安計畫,須執行以下三個步驟:
1. 風險分析:包括業務說明、風險判別、分類與評估。
2. 風險說明:包括資安政策、組織和意識、選擇緩解措施與產品部署。
3. 監控與改進:合規性、審查與維護CSMS。
IEC 62443-2-4的資安要求
資安要求可細分為「資訊資產擁有者(Asset Owner)」與「服務∕系統供應者」兩個面向。
1. 資訊資產擁有者可要求服務∕系統供應者依IEC 62443-3-2的需求定義提供SOW(Statement Of Work),並將SOW之要求載明於合約內。
2. 若資訊資產擁有者沒有具體指明安全需求,服務∕系統供應者應依照其安全分析結果與資訊資產擁有者討論。
3. IEC 62443-2-4的要求分為基礎要求(BR)以及進階要求(RE),資訊資產擁有者應依照IEC 62443-2-4附件,選擇適合的安全要求並提出Profile並做成Technical Report(TR)。
1. 參照IEC 62443-2-4 Security program requirements for IACS service provider。
2. 依照資訊資產擁有者要求的資安能量定義資安需求。
3.工控系統整合商可以依IEC 62443-2-4建構並改進資安計畫。
4.服務∕系統供應者可使用IEC 62443-3-3與IEC 62443-4-2。
5.可以同時參考IEC 62443-2-4 (ASSET OWNER profile)。
6. 服務∕系統供應者應有能力對資訊資產擁有者安全需求客製化。
IEC 62443-2-4的安全要求,包含以下幾項:
1. ISO 27001之流程、方法、文件化及記錄,共有35個控制目標114個控制措施。
2. Function Area測試要求:包含Assurance、Architecture、Account Management面向,並需要將要求轉為檢測項目,使用自動化測試工具。
3. 文件化要求:須提供執行的佐證紀錄或文件。
4.安全要求附錄列表(Annex A-Security Program Requirement),如表2所示。
成熟度(Maturity Levels)定義
在IEC 62443-2-4的成熟度定義,引用CMMI-SVC (Capability Maturity Model Integration for Service)的五個等級,將ML 4 (Quantitatively Managed)與ML 5 (Optimizing)合併,重新定義成熟度分為ML 1 (Initial)、ML 2 (Managed)、ML 3 (Defined)以及ML 4 (Improving),詳細說明如表3所示。
準備導入IEC 62443應俱備的思維
如何透過導入IEC 62443強化產品開發安全?先由「差異分析」到「改善與輔導」,最後「取得認證」三大階段的作法逐步進行。建議可由專業的外部顧問進行合規輔導,藉由顧問團隊針對導入範圍內的現況訪談,並且與標準進行比對,產出差異分析報告,再對尚未達成標準要求之部分,進行調整改善,此期間必須與顧問進行密切的交流,最後則申請國際認證,並且通過、取得認證。
接著,將軟體∕產品的開發流程加入安全的整體考量,以完整的產品開發生命週期,從「計畫」(Planning)、「分析」(Analysis)、「設計」(Design)、「開發實作」(Implementation)、「測試及整合」(Testing & Integration)以及「維運」(Maintenance),對開發的安全進行不斷循環的改善,最終融入到企業日常的運作,成為安全文化,才是導入標準方法論的精隨。
善用顧問經驗導入工控安全標準
以安華聯網為例,自成立以來,安華聯網已成功協助數十家廠商導入包含資訊安全管理系統(ISMS)、軟體安全開發流程(SSDLC)、歐盟個人資料保護法(GDPR)、美國食品藥品管理局(FDA)對資安要求、共同準則(ISO 15408)以及工控安全(IEC 62443-4-1、4-2)等,特別在IEC 62443-4-1與4-2的標準上,已成功協助多個客戶完成標準的導入與建置。
工業自動化和控制系統(IACS)所包含的技術不僅僅包括控制系統,還包括確保人員安全與工作流程。(資料來源:https://cdn2.hubspot.net/hubfs/5382318/ISAGCA%20Quick%20Start%20Guide%20FINAL.pdf)
此外,在協助廠商導入過程中也發現,工控設備開發商在開發安全流程上常見的問題包括:未管控軟體∕韌體安全開發流程或需求、使用有已知弱點的套件管理、未建立安全事件回覆與追蹤機制等。針對上述設備開發商常見之產品安全問題,物聯網資安合規解決方案可對症下藥,量身訂做合適的資安管理流程與取得國際物聯網資安認驗證,同時輔以「HERCULES產品資安合規自動化平台」這類產品安全開發流程輔助系統,可節省客戶時間與人力成本,快速滿足合規要求。
如此一來,讓研發團隊在軟體設計與開發階段,就能透過開放原始碼風險管理(Open Source Risk Management)的方式,確認系統是否存在重大資安漏洞,從源頭加修正。同時可配合連網產品所設計的安全評估工具,像是「HERCULES SecDevice弱點檢測自動化工具」,提供連網產品檢測環境配置與安全性評估等自動化功能,在超過140個測試項目中發掘已知與未知弱點,讓團隊可在設計與檢測階段雙管齊下,進行雙重安全把關,有效為產品在上市前,降低資安風險。
<本文作者:鄭雯真服務於安華聯網,擔任營運長,專注於資安合規解決方案,協助企業建立資安管理制度及產品安全開發流程系統。>