search.noResults

search.searching

dataCollection.invalidEmail
note.createNoteMessage

search.noResults

search.searching

orderForm.title

orderForm.productCode
orderForm.description
orderForm.quantity
orderForm.itemPrice
orderForm.price
orderForm.totalPrice
orderForm.deliveryDetails.billingAddress
orderForm.deliveryDetails.deliveryAddress
orderForm.noItems
Afbeelding 4 Vervolg van ZCR 5.6: zie afbeelding 3


wel acceptabel is. Dit kan dus betekenen dat meerdere keren stappen 5.9 t/m 5.12 moe- ten worden herhaald.


Uiteindelijk wordt afgesloten met stap 5.13, waarin de resultaten worden gedocumen- teerd. Hiermee is dan een belangrijke fase afgerond, waarna teruggegaan wordt naar het hoofd-stroomschema, de vereiste do- cumentatie wordt gemaakt in ZCR-6, en de opdrachtgever de resultaten kan reviewen en aftekenen.


En verder: de implementatie De feitelijke implementatie kan beginnen nadat ZCR-6 afgerond is. Omdat cyberse- curity nooit een eenmalige actie is, moet ook de procesmatige kant niet uit het oog verloren worden. Deze staan beschreven in documentreeks 62443-2-X, waarin de beleids- en procesmatige kant moet worden geïmplementeerd.


Security Levels


In de IEC 62443-3-3 worden drie types security level (SL) vastge- steld: - Met ‘SL-T’ (Security Level Target) stelt de asset-eigenaar of systeemintegrator vast aan welke niveau van beveiliging een bepaalde zone, systeem of component moet voldoen om een correcte werking te kunnen garanderen.


- Met ‘SL-A’ (Security Level Achieved) wordt het huidige beveili- gingsniveau van een zone, systeem of component vastgelegd. Dit is nodig om te bepalen of de SL-T gehaald is.


- Met ‘SL-C’ (Security Level Configured) wordt vastgelegd welk SL een component of system kan halen als het op de juiste manier geconfigureerd / ingesteld is, zonder dat verdere maatregelen nodig zijn.


Uiteraard wordt als eerste de SL-T bepaald (zie ZCR-2 en ZCR-5). Daarna wordt bepaald welke maatregelen genomen moeten worden om hieraan te voldoen; van de oplossing wordt de SL-A bepaald, en als die lager is dan de SL-T is nog een iteratie nodig. Een onderdeel van dit werk is het selecteren (inkopen) van componenten (hardware, software), en de door de leverancier


opgegeven SL-C bepaalt dan welke additionele maatregelen (“compensating controls”) nog nodig zijn - hoe lager de SL-C, des te meer men zelf moet doen.


Elk van de drie SL’s wordt een zwaarte toegekend met het cijfer 0 t/m 4, hoe hoger de waarde, des te zwaarder de eisen: - SL 0: geen specifieke beveiligingseisen, of geen beveiliging nodig.


- SL 1: bescherming tegen toevallig optredende inbreuken. - SL 2: bescherming tegen opzettelijke inbreuk op de veiligheid, met gebruik van eenvoudige middelen, generieke vaardig- heden of lage doelgerichtheid.


- SL 3: bescherming tegen opzettelijke inbreuk op de veiligheid, met gebruik van complexere middelen, IACS-specifieke kennis en vaardigheden, en gemiddelde doelgerichtheid.


- SL 4: bescherming tegen opzettelijke inbreuk op de veiligheid, met gebruik van geavanceerde hulpmiddelen, IACS-specifieke kennis en vaardigheden, en hoge doelgerichtheid.


9


Page 1  |  Page 2  |  Page 3  |  Page 4  |  Page 5  |  Page 6  |  Page 7  |  Page 8  |  Page 9  |  Page 10  |  Page 11  |  Page 12  |  Page 13  |  Page 14  |  Page 15  |  Page 16  |  Page 17  |  Page 18  |  Page 19  |  Page 20  |  Page 21  |  Page 22  |  Page 23  |  Page 24  |  Page 25  |  Page 26  |  Page 27  |  Page 28  |  Page 29  |  Page 30  |  Page 31  |  Page 32  |  Page 33  |  Page 34  |  Page 35  |  Page 36  |  Page 37  |  Page 38  |  Page 39  |  Page 40  |  Page 41  |  Page 42  |  Page 43  |  Page 44  |  Page 45  |  Page 46  |  Page 47  |  Page 48