F&N_111

MAGGIO 2022 FIELDBUS & NETWORKS 33 Forniamo qui una panoramica della struttura della norma, illustrando i ruoli coinvolti nella security e le implementazioni di sicurezza da utilizzare in base al livello di sicurezza che si vuole raggiungere. La norma di riferimento La norma IEC62443 è composta da diverse pubbli- cazioni, a loro volta organizzate in più livelli, ognuno specifico per la propria funzione. Inoltre, la norma IEC62443 è suddivisa in 4 famiglie: » IEC62443-1, che definisce la terminologia, i con- cetti e i modelli per la sicurezza di un sistema di automazione; » IEC62443-2, che definisce gli elementi necessari a stabilire un sistema di gestione della sicurezza informatica per i sistemi di automazione; » IEC62443-3, che definisce le attività da svolgersi per poter garantire e ottenere un determinato livello di security, partendo dalla definizione di quali siano le tecnologie di security implemen- tabili e arrivando alla definizione delle misure da adottare su un sistema, passando attraverso la valutazione del rischio; » IEC62443-4, che definisce le attività da svolgersi per la gestione sicura di tutto il ciclo di vita di un dispositivo, sia hardware che software, per un si- stema di automazione, oltre a definire quali siano le misure di sicurezza da implementare a bordo di un device per poter aggiungere determinate condizioni di security. La security è definita come un processo che coinvolge diversi ambiti: risorse umane, processi, procedure e soluzioni tecnologiche. Per questo la normativa de- finisce 2 indicatori, che consentano di quantificare sia la parte documentale, sia la parte di implemen- tazione tecnologica su sistemi e dispositivi. Per la valutazione della documentazione del sistema di gestione di un’azienda la normativa definisce un indicatore chiamato Maturity Level (ML), che rap- presenta il livello di maturità raggiunto dall’azienda nella preparazione, implementazione e rispetto delle policy e delle procedure relative alla security. Nello specifico si riconoscono i livelli: » ML1: i processi correlati alla security sono svi- luppati ad hoc e non sono ancora documentati; » ML2: i processi correlati alla security sono docu- mentati ma non sono necessariamente ripetibili; » ML3: i processi correlati alla security sono docu- mentati, sono ripetibili e vengono seguiti e rispet- tati dal personale; » ML4: i processi correlati alla security sono docu- mentati, ripetibili e vengono seguiti e rispettati dal personale. Inoltre, le performance associate ai processi sono costantemente monitorate e sono misurate costantemente. L’indicatore per la valutazione delle performance di sistemi e di dispositivi è il Security Level (SL), che rappresenta anche un’indicazione di quali siano le minacce a cui è esposto il target. Nello specifico si indica: » SL0: non è richiesta protezione; » SL1: protezione contro i danni accidentali o il mal- funzionamento; » SL2: protezione contro atti intenzionali realizzati da persone con poche risorse, competenze nella media e motivazione non particolarmente forte; » SL3: protezione contro atti intenzionali realizzati da persone con risorse medie, competenze buone e motivazione media; » SL4: protezione contro atti intenzionali realizzati da persone con risorse elevate, competenze ec- cellente e motivazione elevatissima. I ruoli coinvolti nella security Oltre a definire i requisiti per i sistemi di gestione (con i Maturity Level) e per i sistemi/dispositivi (con i Security Level), la normativa IEC62443 prevede che siano coinvolte anche le figure che concorrono a ottenere la security. Infatti, la security può essere definita come un processo e come tale vi sono dei requisiti tecnici e tecnologici, ma devono essere coinvolte anche le persone. In quest’ottica, la normativa prevede la definizione di 3 ruoli: » il fornitore dei dispositivi; » l’asset owner, che rappresenta il proprietario del sistema o dell’impianto; » il service provider, ovvero il personale dell’a- zienda che fornisce servizi all’azienda presso cui il sistema è installato, quindi sia le aziende di sy- stem integration, sia le società che offrono servizi di manutenzione e di monitoraggio. Questo implica che per ognuno dei ruoli indentificati vi sia, almeno da parte dell’azienda, la stesura di un sistema di gestione e la sua implementazione al fine di gestire e garantire il rischio in modo consapevole. Diventa poi importante avere figure professionali che siano formate e informate sulla gestione dei rischi relativi alla security e su come devono essere svolte le attività. Come valutare la security di un sistema e di un dispositivo Essendo i vari requisiti di security di un sistema o dispositivo spesso di tipo funzionale, ed essendo i dispositivi e i sistemi presi in considerazione spesso eterogenei nella forma e nel software, purtroppo La struttura della norma IEC62443 I ruoli e le norme di riferimento