Læs hvordan ISO/IEC 27001 og IEC 62443 hjælper producenter med at udvikle sikre produkter og beskytte udviklingsmiljøer.
Forskelle mellem ISO/IEC 27001 og IEC 62443
ISO/IEC 27001 er en internationalt anerkendt standard for informationssikkerhedsstyringssystemer (ISMS), der sigter mod at beskytte information uanset om den behandles i IT-, OT- eller cloud-miljøer. Standarden sikrer, at organisationer forstår, mindsker og overvåger deres informationssikkerhedsrisici. Et vigtigt aspekt er kravet om en sikker udviklingslivscyklus (Secure Development Lifecycle, SDLC) for applikationer leveret af organisationen. Dette dækker applikationer udviklet og drevet i IT- og cloud-miljøer, men dækker ikke produkter.
IEC 62443 er derimod specifikt fokuseret på sikkerheden af industrielle automations- og kontrolsystemer (OT). Den lægger vægt på beskyttelse af OT-miljøer og sikker produktudvikling. Særligt delene IEC 62443-4-1 og IEC 62443-4-2 omhandler sikker udvikling af produkter solgt til kunder, såsom industrielle automationsløsninger. For producenter af industrielle produkter, der også bruger cloud-tjenester, gælder IEC 62443-4-1 når cloud-applikationer falder inden for rammerne af en IEC 62443-certificering.
Fællestræk og overlap mellem ISO/IEC 27001 og IEC 62443
ISO/IEC 27001 og IEC 62443 overlapper inden for visse områder, især når det kommer til applikationsudvikling.
ISO/IEC 27001 kræver en sikker udviklingslivscyklus (SDLC) for alle applikationer, en organisation leverer (Kontrol 8.25). Dette inkluderer nødvendigvis cloud-applikationer, da ISO/IEC 27001 dækker informationssikkerhed på tværs af alle domæner - uanset om applikationen kører i IT-, OT- eller cloud-miljøer. ISO/IEC 27001 dækker imidlertid ikke udviklingen af industrielle produkter.
IEC 62443-4-1 stiller også krav til en sikker udviklingslivscyklus, men den er fokuseret på sikker udvikling af produkter, der sælges. Dette er særligt relevant for producenter af industrielle produkter, der også bruger cloud-tjenester. Hvis en cloud-applikation falder inden for rammerne af en IEC 62443-certificering, skal udviklingen af denne applikation følge IEC 62443-4-1.
Hvis varen imidlertid ikke er et industrielt produkt, eller applikationen ikke falder under en IEC 62443-certificering, er brug af ISO/IEC 27034 eller en anden tilgang, der opfylder kravene i ISO/IEC 27001, ofte tilstrækkelig. ISO/IEC 27034 er specifikt rettet mod sikker applikationsudvikling og passer derfor bedre inden for ISO/IEC 27001-frameworket. Den lignende nummerering af standarderne afspejler også denne tilpasning.
IEC 62443-4-1 kræver et sikkert udviklingsmiljø for produkter (SM-7) og foreskriver beskyttelse af private nøgler brugt under produktudvikling (SM-8). Begge krav kan opfyldes ved at implementere ISO/IEC 27001, forudsat at udviklingsmiljøet er inkluderet i ISMS-området. På denne måde supplerer de to standarder hinanden godt, da et sikkert udviklingsmiljø og beskyttelse af kryptografiske nøgler er centralt for både ISO/IEC 27001 og IEC 62443-4-1.
Disse overlap viser, at organisationer skal beslutte baseret på deres specifikke behov og det ønskede certificeringsframework, hvilken standard der skal anvendes til udvikling af applikationer og produkter.
Sammenligning af krav i ISO/IEC 27001 og IEC 62443-4-1
Følgende tabel viser de relevante kontroller i ISO/IEC 27001 sammenlignet med kravene i IEC 62443-4-1 for udvikling af sikre applikationer eller produkter:
| ISO 27001 | IEC 62443-4-1 |
|---|---|
| 8.24 - Brug af kryptografi | SM-8: Kontroller for private nøgler |
| 8.25 - Sikker udviklingslivscyklus | SM-1: Udviklingsproces |
| 8.26 - Applikationssikkerhedskrav | Practice 2 - Specifikation af sikkerhedskrav |
| 8.27 - Sikker systemarkitektur og ingeniørprincipper | Practice 3 - Sikker ved design |
| 8.28 - Sikker kodning | Practice 4 - Sikker implementering |
| 8.29 - Sikkerhedstest i udvikling og accept | Practice 5 - Sikkerhedsverifikation og valideringstest |
| 8.31 - Adskillelse af udviklings-, test- og produktionsmiljøer | SM-7: Udviklingsmiljøsikkerhed |
Konklusion
ISO/IEC 27001 og IEC 62443 giver producenter af industrielle produkter og applikationsudviklere et solidt grundlag for at sikre IT- og OT-miljøer samt for at udvikle sikre produkter og applikationer.
ISO/IEC 27001 adresserer informationssikkerhed i IT-, OT- og cloud-miljøer, mens IEC 62443-4-1 specifikt adresserer produktsikkerhed og sikker udvikling af industrielle produkter. Inden for områder som udviklingsmiljøet og beskyttelse af private nøgler supplerer de to standarder hinanden meget godt. Organisationer kan drage fordel af at implementere ISO/IEC 27001, da den også dækker krav, der optræder i IEC 62443-4-1.
Organisationer, der udvikler både industrielle produkter og cloud-applikationer, bør være opmærksomme på disse overlap og kombinere standarderne strategisk for at opfylde både regulatoriske og sikkerhedskrav.