CSA Preface
This is the first edition of CAN/CSA-IEC 62443-2-1, Industrial communication networks — Network and system security — Part 2-1: Establishing an industrial automation and control system security program, which is an adoption without modification of the identically titled IEC (International Electrotechnical Commission) Standard 62443-2-1 (first edition, 2010-11).
For brevity, this Standard will be referred to as “CAN/CSA-IEC 62443-2-1” throughout.
This Standard is one in a series of Standards developed by IEC/TC 65 on industrial automation networking security that are being adopted by CSA Group. This Standard defines the elements necessary to establish a cyber security management system (CSMS) for industrial automation and control systems (IACS) and also provides guidance on how to develop those elements.
This Standard uses terminology and concepts specified in CAN/CSA-IEC/TS 62443-1-1:17, Industrial communication networks — Network and system security — Part 1-1: Terminology, concepts and models.
This Standard was reviewed for Canadian adoption by the CSA Technical Committee on Information Technology, under the jurisdiction of the CSA Strategic Steering Committee on Information and Communications Technology, and has been formally approved by the Technical Committee.
This Standard has been developed in compliance with Standards Council of Canada requirements for National Standards of Canada. It has been published as a National Standard of Canada by CSA Group.
Scope
This part of IEC 62443 defines the elements necessary to establish a cyber security management system (CSMS) for industrial automation and control systems (IACS) and provides guidance on how to develop those elements. This standard uses the broad definition and scope of what constitutes an IACS described in IEC/TS 62443‑1‑1.
The elements of a CSMS described in this standard are mostly policy, procedure, practice and personnel related, describing what shall or should be included in the final CSMS for the organization.
NOTE 1 Other documents in the IEC 62443 series and in the Bibliography discuss specific technologies and/or solutions for cyber security in more detail.
The guidance provided on how to develop a CSMS is an example. It represents the author’s opinion on how an organization could go about developing the elements and may not work in all situations. The users of this standard will have to read the requirements carefully and apply the guidance appropriately in order to develop a fully functioning CSMS for an organization. The policies and procedures discussed in this standard should be tailored to fit within the organization.
NOTE 2 There may be cases where a pre-existing CSMS is in place and the IACS portion is being added or there may be some organizations that have never formally created a CSMS at all. The authors of this standard cannot anticipate all cases where an organization will be establishing a CSMS for the IACS environment, so this standard does not attempt to create a solution for all cases.
-------------------------------------------------------------------------------------------------------------------------------
Préface CSA
Ce document constitue la première édition de CAN/CSA-IEC 62443-2-1, Réseaux industriels de communication — Sécurité dans les réseaux et les systèmes — Partie 2-1 : Établissement d’un programme de sécurité pour les systèmes d’automatisation et de commande industrielles. Il s’agit de l’adoption sans modifications, de la norme IEC (Commission Électrotechnique Internationale) 62443-2-1 (première édition, 2010-11) qui porte le même titre.
Par souci de brièveté, tout au long de ce document, il sera appelé « CAN/CSA-IEC 62443-2-1 ».
Cette norme fait partie d’une série de normes élaborées par l’IEC/TC 65 qui portent sur la sécurité des réseaux relatifs aux automatismes industriels et qui sont adoptées par Groupe CSA. Cette norme définit les éléments nécessaires à l’établissement d’un système de gestion de la cyber-sécurité (CSMS) pour les systèmes d’automatisation et de commande industriels (IACS) et fournit des indications sur la façon de développer ces éléments.
Cette norme utilise la terminologie et les concepts précisés dans CAN/CSA-IEC/TS 62443-1-1:17, Industrial communication networks — Network and system security — Part 1-1: Terminology, concepts and models.
Cette norme a été révisée en vue de son adoption au Canada par le Comité technique CSA sur les technologies de l’information, sous l’autorité du Comité directeur stratégique CSA sur les technologies de l’information et les communications, et a été officiellement approuvée par le Comité technique.
Cette norme a été élaborée conformément aux exigences du Conseil canadien des normes relatives aux Normes nationales du Canada. Cette norme a été publiée en tant que Norme nationale du Canada par Groupe CSA.
Domaine d'application
La présente partie de la CEI 62443 définit les éléments nécessaires à l’établissement d’un système de gestion de la cyber-sécurité (CSMS) pour les systèmes d’automatisation et de commande (IACS) industriels et fournit des indications sur la façon de développer ces éléments. La présente norme utilise, au sens large, la définition et le domaine d’application de ce qui constitue un IACS décrit dans la CEI/TS 62443-1-1.
Les éléments d’un CSMS décrits dans la présente norme sont essentiellement liés aux politiques, aux procédures, aux pratiques et au personnel; ils correspondent à ce doit être inclus ou à ce qu’il convient d’inclure dans le CSMS final de l’organisation.
NOTE 1 D’autres documents de la série CEI 62443 et de la Bibliographie décrivent plus en détail des technologies et/ou des solutions spécifiques pour la cyber-sécurité.
Les indications fournies sur la façon de développer un CSMS le sont à titre d’exemple. Elles représentent l’opinion de l’auteur concernant la façon dont une organisation doit s’y prendre pour développer les éléments, et peuvent ne pas fonctionner dans toutes les situations. Les utilisateurs de la présente norme doivent lire attentivement les exigences et appliquer les indications de façon appropriée afin de développer un CSMS entièrement fonctionnel pour une organisation. Il convient que les politiques et les procédures décrites dans cette norme soient adaptées aux besoins de l’organisation.
NOTE 2 Il peut y avoir le cas où un CSMS est déjà en place et où l’on ajoute la partie IACS, comme le cas où l’organisation n’a jamais créé formellement de CSMS. Les auteurs de la présente norme ne peuvent pas prévoir tous les cas dans lesquels l’organisation établira un CSMS pour l’environnement des IACS, aussi la présente norme n’a-t-elle pas vocation de proposer une solution pour tous les cas.