Get best of the week

Cuando la información y la seguridad funcional se encuentran

Enfoque de seguridad estandarizado


Cada día crece la necesidad de soluciones técnicas y de software universales diseñadas para garantizar la seguridad de los procesos tecnológicos, las industrias y los mecanismos. En soluciones que cumplan los requisitos de información y seguridad funcional. Los sistemas de automatización modernos ya se están integrando activamente en el mundo de TI, y es obvio que este proceso requerirá nuevos enfoques para implementar los actuales sistemas de seguridad "híbridos".



La combinación de procesos tecnológicos y sistemas de TI implica resolver problemas de seguridad de la información o, en otras palabras, ciberseguridad, por ejemplo, protección de la red (¿otra palabra?) Entre las oficinas y las redes de producción.

Posibles amenazas a las que se enfrentan los sistemas de gestión industrial:

  • Infección de malware a través de Internet y redes internas.
  • .
  • , .
  • .
  • .
  • , IP.
  • -.
  • , ..

Los principales desarrolladores mundiales de software de protección contra amenazas cibernéticas afirman que cada tercer ciberataque en el mundo está dirigido directamente contra las empresas manufactureras. Los expertos dicen que el número de tales ataques de año en año solo crecerá. Están en riesgo los sistemas de automatización de procesos tecnológicos y de producción, así como los sistemas que garantizan la seguridad funcional de dichos procesos, incluso en instalaciones de producción particularmente peligrosas. Por lo tanto, las áreas de seguridad funcional y cibernética se entrecruzan cada vez más, lo que requiere el desarrollo de un concepto común y una estrategia de seguridad para contrarrestar las amenazas inminentes. Un incidente reciente del virus Triton registrado en una planta petroquímica en Arabia Saudita en junio de 2017,lo que hizo posible controlar de forma remota los sistemas de seguridad automatizados e instrumentados "Sistema instrumentado de seguridad (SIS)", solo confirma la necesidad de implementar dichos sistemas en el campo de la seguridad de los sistemas y procesos automatizados.

En general, la ciberseguridad protege el proceso y el producto final de amenazas, intencionales o accidentales, dirigidas a la integridad y disponibilidad de datos confidenciales. La protección contra las amenazas cibernéticas implica el uso de medidas preventivas y reactivas apropiadas (técnicas y / u organizativas). Ignorar los principios básicos de la ciberseguridad puede tener un efecto negativo en el proceso y, como consecuencia, en el producto final, que es especialmente crítico para las industrias farmacéutica y automotriz. Por esta razón, el estándar GOST R IEC 61511-1 requiere una evaluación de riesgos de amenazas cibernéticas para identificar vulnerabilidades en el sistema de seguridad de la información y la producción.Siempre que se realicen evaluaciones de riesgos apropiadas, es posible alinear la seguridad industrial con los requisitos de las normas técnicas, documentos y recomendaciones actuales de NAMUR (Asociación Internacional de Usuarios de Tecnología de Automatización en la Industria).

Otro problema importante de ciberseguridad es el "factor humano". En más de la mitad de los casos, la causa de los incidentes de seguridad de la información son las acciones ilegales o erróneas de los empleados de la empresa, y en casos de ciberataques a gran escala contra empresas industriales, existe una alta probabilidad de un componente criminal. Por estas razones, la presencia de especialistas en información y seguridad cibernética en las empresas se ha convertido hoy en día obligatoria, junto con especialistas directamente involucrados en la producción de productos terminados. Además, todas las personas involucradas en el diseño y selección de equipos deben conocer los conceptos básicos de información y seguridad funcional de los equipos de automatización.Para proteger la información y los datos, puede agregar una recomendación para celebrar acuerdos de confidencialidad con empleados y socios (proveedores, fabricantes de equipos, contratistas, etc.).

El concepto de seguridad funcional puede representarse como la confiabilidad de los sistemas, dispositivos y herramientas que aseguran la reducción de riesgos en los procesos de producción para la seguridad de las personas y las empresas en general. Si el sistema de control automatizado responsable de la seguridad funcional diagnostica un estado crítico o de emergencia del proceso tecnológico, genera una acción de control de acuerdo con el algoritmo inherente para prevenir amenazas. Los requisitos para los sistemas de control para sistemas de seguridad se describen en detalle en las normas especiales GOST ISO 13849-1 y GOST R IEC 61508/61511/62061. Dependiendo del nivel de riesgo, se identifican medidas para reducir el grado de riesgo. Las medidas de mitigación de riesgos se dividen en niveles apropiados: nivel de efectividad de protección (PL) o nivel de integridad de seguridad (SIL).

Existe una definición del término "factor humano" en el campo de la seguridad funcional: "posible mal uso predecible". El término se usa muy a menudo, por ejemplo, para describir situaciones en las que los operadores pasan por alto los sistemas de seguridad al forzar el interruptor de límite en una valla de seguridad.


El concepto de ciberseguridad y seguridad funcional.

Continuando con la idea de los enfoques para la implementación de la ciberseguridad y la seguridad funcional, podemos decir que al considerar los problemas de estas dos áreas de seguridad, primero es necesario tener en cuenta los riesgos y amenazas identificados durante la etapa de análisis y evaluación. Aquí, una diferencia significativa en los enfoques para resolver los problemas de análisis y evaluación de riesgos es obvia. Por ejemplo, los ingenieros y diseñadores de diseño tienen en cuenta en su trabajo las amenazas de seguridad conocidas y estándar, de acuerdo con los requisitos de los reglamentos técnicos (mecánicos, eléctricos, térmicos, etc.). A su vez, el experto en ciberseguridad se enfrenta a amenazas que cambian constantemente porque los ciberdelincuentes están constantemente en busca de vulnerabilidades.

NAMUR, como organización internacional, hace recomendaciones para evaluar los riesgos de ciberseguridad de los sistemas y equipos de protección de emergencia. En esencia, las recomendaciones son el primer intento de un enfoque pragmático para resolver problemas comunes de seguridad funcional y de información. NAMUR describe una metodología de evaluación de riesgos de ciberseguridad basada en el estándar internacional GOST R IEC 62443 y utiliza la evaluación de riesgos como punto de partida para proporcionar protección básica de sistemas y equipos contra amenazas cibernéticas. Como ejemplo de la implementación de las recomendaciones, se utiliza un esquema que refleja los sistemas típicos de los miembros de la organización NAMUR. La primera etapa de las recomendaciones se divide en tres pasos consecutivos, lo que nos permite evaluar la practicidad del método para estudiar la seguridad de los sistemas y equipos.El cuarto paso es monitorear la implementación de las medidas necesarias para reducir los riesgos, documentando los requisitos generales y de ciberseguridad. Estas acciones deben implementarse en la segunda etapa para cada elemento individual analizado y equipo del sistema de seguridad.


Requisitos de seguridad para sistemas según GOST R IEC 62443

Desde el punto de vista de hardware y software, el sistema de seguridad analizado se puede dividir en tres zonas condicionales:

  • Zona A. Los principales dispositivos y sistemas de seguridad cumplen con los requisitos de GOST R IEC 61511-1, que incluye un sistema lógico, módulos de entrada / salida, así como actuadores y sensores. La zona A también incluye conexiones, cables e interruptores que se utilizan para comunicarse con dispositivos en la zona A.
  • B. , , . , , / ..
  • , , , « ». ( 3).

El objetivo común de las tres zonas es garantizar la integridad funcional de los dispositivos y el sistema de seguridad en caso de posible exposición a condiciones y / o factores ambientales.

Para garantizar el ciclo de vida de la ciberseguridad, los fabricantes, integradores de sistemas y operadores confían en el sistema de gestión de seguridad de la información de acuerdo con GOST R ISO / IEC 27000. Existe un sistema de gestión similar en el campo de la seguridad funcional en forma del manual FSM (Functional Safety Management). Este manual, en esencia, refleja los requisitos del estándar GOST R IEC 61508. A pesar de las diferentes áreas de aplicación, hay mucho en común entre los manuales, y deberíamos hablar sobre la posibilidad de combinar seguridad funcional y ciberseguridad en un sistema.

Phoenix Contact Solutionspara tareas funcionales y de seguridad de la información, pueden aumentar la eficiencia y la confiabilidad de cualquier producción debido a una amplia gama de dispositivos de seguridad certificados, por ejemplo, sensores, relés, controladores y enrutadores. Y el conocimiento experto de los socios de la compañía Phoenix Contact brinda la oportunidad de proporcionar servicios para el diseño de sistemas PAZ, proporcionar una evaluación de riesgos y realizar cálculos de seguridad funcional.



Encontrará más información en el sitio web .

More articles:


All Articles