Den nya IEC 62443-4-1 är den första delen av den internationella IT-säkerhetsstandarden IEC 62443 som antagits som europeisk standard och fastställts som svensk standard, SS-EN IEC 62443-4-1.

SS-EN IEC 62443-4-1 innehåller en uppsättning fordringar på IT-säkerheten under utvecklingen av produkter för industriell automation och processtyrning. Den ger också vägledning till hur man uppfyller de olika fordringarna.

Standarden gäller för hela produktutvecklingen och innefattar säker konstruktion och säker implementering (inklusive kodningen). Men det slutar inte där, utan omfattar också verifiering och validering, hantering av säkerhetsdefekter, uppdateringar och utfasning (kvittblivning).

Fordringarna i standarden gäller för den som utvecklar eller underhåller en produkt men inte för systemintegratörer eller användare. Standarden ska i första hand stödja tillämpningen av de principer som ligger till grund för hela IEC 62443-serien: inbyggd säkerhet och djupförsvar (security by design and defense in depth). För detta inför standarden en mognadsmodell, med ett antal nivåer som anger nivåer för hur standardens fordringar är uppfyllda.

I andra hand ska standarden styra utvecklingsarbetet mot de säkerhetsbehov som finns hos dem som använder automationsprodukter. Utvecklingsarbetet måste därför också generera säkerhetskonfigurationer och metoder och regler för programkorrigeringar (patch management). Central i standarden är det som kallas ”process scoping”, ett krav att en dokumenterad säkerhetsanalys ska användas för att identifiera vilka delar av standarden som kan tillämpas för ett visst utvecklingsprojekt.

Lee Neitzel från Texas är sammankallande i den arbetsgrupp i IEC som arbetar med IEC 62443. Han vill särskilt trycka på följande:

- IEC 62443-4-1 ger en garanti för att produkter har IT-säkerheten inbyggd och inte bara tillagd efteråt. Den gör det möjligt för slutanvändaren att ställa krav på säker utveckling och säkert underhåll. Dessutom, säger han, gör den det också möjligt att certifiera ingående produkter från andra leverantörer, för att säkerställa att de underhålls i enlighet med dess identifierade sårbarhet (vulnerability).

Hela serien IEC 62443 har titeln ”Industrial communication networks – Network and system security” och är en serie standarder som behandlar IT-säkerhet för industriella system (IACS) och för anläggningar i infrastrukturen. Den är mer teknik- och lösningsorienterad än den mer generella – och mer kända – ledningssystemstandarden ISO 27000. 

IEC 62443 bygger på ett koncept med zoner, säkra kanaler och säkerhetsnivåer (SL) som också delas in efter om de är målsatta, möjliga eller uppnådda. Den inför principen om försvar på djupet, kompletterat med en bedömning av hot och risker samt av IT-säkerhetsprogrammets mognad och riktlinjer.

IEC 62443 består av flera delar. Den behandlar kontroll av åtkomst (access) och användning (use), skydd mot avlyssning och ändring av data (confidentiality och integrity) och skydd mot obehörig publicering (restricted data flow) samt snabbt ingripande om något händer (timely response) och upprätthållande av tillgängligheten (resource availability). Den är uppdelad i fyra huvuddelar: en allmän del, en del med principer och metoder, en del om system och en om komponenter.