Cover E DIN EN 62443-3-2 VDE 0802-3-2:2018-10
größer

E DIN EN 62443-3-2 VDE 0802-3-2:2018-10

Sicherheit für industrielle Automatisierungssysteme

Teil 3-2: Sicherheitsrisikobeurteilung und Systemgestaltung

(IEC 65/690/CDV:2018); Deutsche und Englische Fassung prEN 62443-3-2:2018
Art/Status: Norm-Entwurf, gültig
Ausgabedatum: 2018-10   Erscheinungsdatum: 2018-09-14
VDE-Artnr.: 1800452
Ende der Einspruchsfrist: 2018-11-14

Inhaltsverzeichnis

Die Reihe der Internationalen Normen IEC 62443 legt die Erreichung der IT-Sicherheit in Automatisierungssystemen fest und dieser Teil, wie aus einer Risikoanalyse auf die Definition des betrachteten Systems geschlos-sen werden kann sowie auf dessen Aufteilung in Zonen und Conduits. Fer-ner wird geregelt, wie diesen Zonen und Conduits zu erreichende Securi-ty-Level zugeordnet werden (SL-T).
Im Einzelnen schreibt die Norm auf Systemebene die Abarbeitung folgen-der Anforderungen zur Aufstellung der Zonen und Conduits (Zone and conduit requirement ZCR) vor:
ZCR 1: Feststellung des betrachteten Systems (System under considerati-on SuC)
ZCR 2: Durchführung einer übergeordneten Risikobeurteilung zur IT-Sicherheit
ZCR 3: Aufteilung des betrachteten Systems in Zonen und Conduits
ZCR 4: Dokumentation der Anforderungen, Annahmen und Randbedin-gungen
Nach der Abarbeitung von ZCR 3 ist für jede Zone und jedes Conduit eine detaillierte Risikobeurteilung durchzuführen. Sie umfasst folgende Anfor-derungen (detailed risk assessment requirement DRAR)
DRAR 1: Feststellen der Bedrohungen
DRER 2: Feststellen der Sicherheitslücken
DRER 3: Feststellen der Auswirkungen
DRER 4: Feststellen der Wahrscheinlichkeit ohne Abschwächung
DRER 5: Berechnen des Risikos für die IT-Sicherheit ohne Abschwächung
DRER 6: Feststellen des zu erreichende Security Levels (SL-T, SL target)
DRER 7: Feststellen und Bewerten vorhandener Maßnahmen
DRER 8: Erneutes Bewerten von Wahrscheinlichkeit und Auswirkung
DRER 9: Berechnen des Restrisikos
DRER 10: Sind alle Restrisiken bei oder unterhalb eines tolerierbaren Risi-kos?
DRER 11: Anwenden zusätzlicher Ausgleichsmaßnahmen
DRER 12: Dokumentieren und Mitteilen der Ergebnisse.
Zuständig ist das DKE/UK 931.1 "IT-Sicherheit in der Automatisierungstechnik" der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE.