IEC 62443-2-4 Cybersecurity voor IACS

Wat houdt het assessment in?

Een 62443-2-4 assessment bestaat uit procesbeoordelingen waarbij nagegaan wordt hoe volwassen de organisatorische processen van een IACS-serviceprovider is. De volgende volwassenheidsniveaus kunnen tijdens een assessment toegekend worden:

1. Initial: Processen en procedures zijn niet ingericht en gebeuren op een ad-hoc basis;
2. Managed: Processen en procedures zijn gedefinieerd, maar worden slechts deels gevolgd;
3. Defined: Processen en procedures zijn gedefinieerd en worden organisatiebreed gevolgd;
4. Improving: Processen en procedures zijn gedefinieerd en worden organisatiebreed gevolgd en verbeterd.

Voorbeeld
Een van de requirements voor procedures omtrent het beheren van gevoelige data luidt als volgt: ‘De serviceprovider moet de mogelijkheid hebben ervoor te zorgen dat alleen personeel van de serviceprovider wordt toegewezen aan automatiseringsoplossing-gerelateerde activiteiten rondom het beleid, de procedures en contractuele verplichtingen die vereist zijn om de vertrouwelijkheid van de gegevens van de eigenaar van de activa te beschermen.’

Als een auditor constateert dat de procedure hiervoor niet of slechts deels is gedocumenteerd en een organisatie het onderwerp behorende tot deze requirement op een ad-hoc basis afhandelt, dan beoordeelt hij dit met maturity level 1. Als het bijvoorbeeld wel gedocumenteerd is en de organisatie doet het altijd op de gedefinieerde manier, dan beoordeelt hij het met level 3.

Hoe ziet het assessment er uit?

1. De assessors van Kiwa stellen samen met de opdrachtgever vast aan welk volwassenheidsniveau er voldaan wil worden. Dit verduidelijkt de requirements waartegen de beoordelingen gaan plaatsvinden. Hoe hoger het gewenste volwassenheidsniveau, hoe meer (en hoe strenger) de eisen waaraan er voldaan moet worden. De fabrikant moet dan voor elk requirement voldoen aan de eis, wil hij het beoogde volwassenheidsniveau behalen.
2. Vervolgens wordt het assessment uitgevoerd. Dit wordt gedaan in de vorm van een audit waarbij de assessors de relevante personen binnen de organisatie spreken om de nodige bewijsmateriaal en inzichten te verzamelen.
3. Op basis van de gepresenteerde bewijslast stelt de assessor een assessment rapport op met de uitkomsten. In het rapport wordt aangegeven of het gewenste volwassenheidsniveau per requirement is behaald. Indien dat niet zo is, wordt dat uiteraard ook vastgesteld. De reden voor beide gevallen worden ook genoteerd.

Wat zijn de voordelen van een IEC 62443-2-4 assessment?

• De uitkomsten van een audit geven een goed onderbouwd beeld van of een product op een veilige manier ontwikkeld, onderhouden en weer afgeschreven wordt. De audit laat zien waar er nog werk aan de winkel is voor een organisatie.
• De uitkomsten van de audit, en daarmee dus het auditrapport, kunnen gebruikt worden om een organisatie te certificeren volgens de IEC 62443-2-4. Dit certificaat toont aan klanten en andere stakeholders dat een organisatie de cyberveiligheid van haar producten serieus neemt. De IEC 62443 is de standaard voor cyberbeveiliging in industrieel georiënteerde omgevingen.

Deliverables

• Assessment rapport met een overzicht en onderbouwing van de bevindingen;
• IEC 62443-2-4 certificaat

Waarom Kiwa?

Kiwa is aangewezen door de IECEE als National Certification Body (NCB) en Certifiying Body Test Lab (CBTL) voor de IEC 62443-2-4. Dat houdt in dat Kiwa onafhankelijk is beoordeeld (door de internationale organisatie die ook de standaard heeft opgesteld), op zijn kennis en kunde om de beoordelingen volgens de IEC 624432-4 standaard uit te voeren. Uiteindelijk kan Kiwa officiële IEC-certificaten uitgeven. Bij Kiwa beschikken we over experts die u kunnen ondersteunen bij verschillende uitdagingen rondom OT-security. Met onze expertise op het gebied van cyberbeveiliging en als autoriteit op het gebied van testen, inspectie en certificering (TIC), is alle kennis in huis om organisaties te helpen bij het inventariseren, beoordelen, certificeren en onderhouden van digitale weerbaarheid.