Get best of the week

Quand l'information et la sécurité fonctionnelle se rencontrent

Approche de sécurité standardisée


Chaque jour, le besoin de solutions techniques et logicielles universelles conçues pour assurer la sécurité des processus technologiques, des industries et des mécanismes augmente. Dans des solutions qui répondent aux exigences de l'information et de la sécurité fonctionnelle. Les systèmes d'automatisation modernes s'intègrent déjà activement dans le monde informatique et il est évident que ce processus nécessitera de nouvelles approches pour mettre en œuvre les systèmes de sécurité «hybrides» actuels.



La combinaison des processus technologiques et des systèmes informatiques implique de résoudre les problèmes de sécurité de l'information ou, en d'autres termes, la cybersécurité, par exemple, la protection des réseaux (un autre mot?) Entre les réseaux de bureaux et de production.

Menaces potentielles auxquelles sont confrontés les systèmes de gestion industrielle:

  • Infection par des logiciels malveillants sur Internet et les réseaux internes.
  • .
  • , .
  • .
  • .
  • , IP.
  • -.
  • , ..

Les principaux développeurs mondiaux de logiciels de protection contre les cybermenaces affirment que chaque troisième cyberattaque dans le monde est dirigée directement contre les entreprises de fabrication. Les experts disent que le nombre de ces attaques d'année en année ne fera qu'augmenter. Les systèmes d'automatisation des processus technologiques et de production sont menacés, ainsi que les systèmes qui garantissent la sécurité fonctionnelle de ces processus, y compris dans les installations de production particulièrement dangereuses. Ainsi, les domaines de la fonctionnalité et de la cybersécurité se croisent de plus en plus, ce qui nécessite l'élaboration d'un concept commun et d'une stratégie de sécurité pour contrer les menaces imminentes. Un récent incident du virus Triton enregistré dans une usine pétrochimique en Arabie saoudite en juin 2017,qui a permis de contrôler à distance des systèmes de sécurité automatisés et instrumentés «Safety Instrumented System (SIS)», ne fait que confirmer la nécessité de mettre en œuvre de tels systèmes dans le domaine de la sécurité des systèmes et processus automatisés.

Dans l'ensemble, la cybersécurité protège le processus et le produit final contre les menaces, intentionnelles ou accidentelles, visant l'intégrité et la disponibilité des données confidentielles. La protection contre les cybermenaces implique l'utilisation de mesures préventives et réactives appropriées (techniques et / ou organisationnelles). Ignorer les principes de base de la cybersécurité peut avoir un effet négatif sur le processus et, par conséquent, sur le produit final, ce qui est particulièrement critique pour les industries pharmaceutique et automobile. Pour cette raison, la norme GOST R IEC 61511-1 requiert une évaluation des risques de cybermenaces pour identifier les vulnérabilités du système de sécurité de l'information et de la production.À condition que des évaluations des risques appropriées soient effectuées, il devient possible d'aligner la sécurité industrielle sur les exigences des normes techniques, documents et recommandations actuels de la NAMUR (Association internationale des utilisateurs de technologies d'automatisation dans l'industrie).

Un autre problème de cybersécurité important est le «facteur humain». Dans plus de la moitié des cas, la cause des incidents de sécurité de l'information est les actions illégales ou erronées des employés de l'entreprise, et dans les cas de cyberattaques à grande échelle contre des entreprises industrielles, il existe une forte probabilité de composante criminelle. Pour ces raisons, la présence de spécialistes de l'information et de la cybersécurité dans les entreprises est devenue obligatoire aujourd'hui, ainsi que de spécialistes directement impliqués dans la production de produits finis. En outre, toutes les personnes impliquées dans la conception et la sélection des équipements doivent connaître les bases de l'information et de la sécurité fonctionnelle des équipements d'automatisation.Pour protéger les informations et les données, vous pouvez ajouter une recommandation de conclure des accords de confidentialité avec les employés et partenaires (fournisseurs, équipementiers, sous-traitants, etc.).

Le concept de sécurité fonctionnelle peut être représenté comme la fiabilité des systèmes, appareils et outils qui garantissent la réduction des risques dans les processus de production pour la sécurité des personnes et des entreprises en général. Si le système de contrôle automatisé responsable de la sécurité fonctionnelle diagnostique un état critique ou d'urgence du processus technologique, il génère alors une action de contrôle conformément à l'algorithme établi pour prévenir les menaces. Les exigences relatives aux systèmes de commande des systèmes de sécurité sont décrites en détail dans les normes spéciales GOST ISO 13849-1 et GOST R IEC 61508/61511/62061. Selon le niveau de risque, des mesures sont identifiées pour réduire le degré de risque. Les mesures d'atténuation des risques sont divisées en niveaux appropriés: niveau d'efficacité de protection (PL) ou niveau d'intégrité de sécurité (SIL).

Il existe une définition du terme «facteur humain» dans le domaine de la sécurité fonctionnelle - «utilisation abusive prévisible possible». Le terme est très souvent utilisé, par exemple, pour décrire des situations où les systèmes de sécurité sont contournés par les opérateurs en forçant le fin de course sur une clôture de sécurité.


Le concept de cybersécurité et de sécurité fonctionnelle

Poursuivant l'idée d'approches de mise en œuvre de la cybersécurité et de la sécurité fonctionnelle, on peut dire que lorsque l'on considère les enjeux de ces deux domaines de sécurité, il faut tout d'abord prendre en compte les risques et menaces identifiés lors de la phase d'analyse et d'évaluation. Ici, une différence significative dans les approches pour résoudre les problèmes d'analyse et d'évaluation des risques est évidente. Par exemple, les ingénieurs de conception et les concepteurs prennent en compte dans leur travail standard, les menaces de sécurité bien connues, selon les exigences des réglementations techniques (mécanique, électrique, thermique, etc.). À son tour, l'expert en cybersécurité est confronté à des menaces en constante évolution car les cybercriminels sont constamment à la recherche de vulnérabilités.

Le NAMUR, en tant qu'organisation internationale, formule des recommandations sur l'évaluation des risques de cybersécurité des systèmes et équipements de protection d'urgence. À la base, les recommandations sont la première tentative d'une approche pragmatique pour résoudre les problèmes communs de sécurité fonctionnelle et de l'information. NAMUR décrit une méthodologie d'évaluation des risques de cybersécurité basée sur la norme internationale GOST R IEC 62443 et utilise l'évaluation des risques comme point de départ pour fournir une protection de base des systèmes et équipements contre les cybermenaces. Comme exemple de mise en œuvre des recommandations, un schéma est utilisé qui reflète les systèmes typiques des membres de l'organisation NAMUR. La première étape des recommandations est divisée en trois étapes consécutives, ce qui nous permet d'évaluer le caractère pratique de la méthode d'étude de la sécurité des systèmes et des équipements.La quatrième étape consiste à suivre la mise en œuvre des mesures nécessaires pour réduire les risques, à documenter les exigences générales et la cybersécurité. Ces actions doivent être mises en œuvre dans la deuxième étape pour chaque élément analysé individuellement et chaque équipement du système de sécurité.


Exigences de sécurité pour les systèmes selon GOST R IEC 62443

Du point de vue matériel et logiciel, le système de sécurité analysé peut être divisé en trois zones conditionnelles:

  • Zone A. Les principaux dispositifs et systèmes de sécurité sont conformes aux exigences de GOST R IEC 61511-1, qui comprend un système logique, des modules d'entrée / sortie, ainsi que des actionneurs et des capteurs. La zone A comprend également des connexions, des câbles et des commutateurs utilisés pour communiquer avec les périphériques de la zone A.
  • B. , , . , , / ..
  • , , , « ». ( 3).

L'objectif commun des trois zones est de garantir l'intégrité fonctionnelle des appareils et du système de sécurité en cas d'exposition éventuelle à des conditions et / ou facteurs environnementaux.

Pour assurer le cycle de vie de la cybersécurité, les fabricants, intégrateurs de systèmes et opérateurs s'appuient sur le système de gestion de la sécurité de l'information conformément à GOST R ISO / IEC 27000. Un système de gestion similaire existe dans le domaine de la sécurité fonctionnelle sous la forme du manuel FSM (Functional Safety Management). Ce manuel, dans son essence, reflète les exigences de la norme GOST R IEC 61508. Malgré les différents domaines d'application, il y a beaucoup de points communs entre les manuels, et nous devrions parler de la possibilité de combiner fonctionnalité et cybersécurité dans un seul système.

Phoenix Contact Solutionspour les tâches de sécurité fonctionnelle et de l'information, ils peuvent augmenter l'efficacité et la fiabilité de toute production grâce à une large gamme de dispositifs de sécurité certifiés, par exemple des capteurs, des relais, des contrôleurs et des routeurs. Et l'expertise des partenaires de la société Phoenix Contact offre la possibilité de fournir des services pour la conception de systèmes PAZ, de fournir une évaluation des risques et d'effectuer des calculs de sécurité fonctionnelle.



Vous trouverez plus d'informations sur le site .

More articles:


All Articles