CSA Preface
This is the first edition of CAN/CSA-IEC 62443-2-4, Security for industrial automation and control systems — Part 2-4: Security program requirements for IACS service providers, which is an adoption without modification of the identically titled IEC (International Electrotechnical Commission) Standard 62443-2-4 (first edition, 2015-06).
For brevity, this Standard will be referred to as CAN/CSA-IEC 62443-2-4 throughout.
This Standard is one in a series of Standards developed by IEC/TC 65 on industrial automation networking security that are being adopted by CSA Group. This Standard specifies requirements for security capabilities for IACS service providers that they can offer to asset owners during the integration and maintenance activities of an Automatic Solution.
This Standard uses terminology and concepts specified in the following:
a) CAN/CSA-IEC/TS 62443-1-1:17, Industrial communication networks — Network and system security — Part 1-1: Terminology, concepts and models; and
b) CAN/CSA-IEC 62443-2-1:17, Industrial communication networks — Network and system security — Part 2-1: Establishing an industrial automation and control system security program.
This Standard was reviewed for Canadian adoption by the CSA Technical Committee on Information Technology, under the jurisdiction of the CSA Strategic Steering Committee on Information and Communications Technology, and has been formally approved by the Technical Committee.
This Standard has been developed in compliance with Standards Council of Canada requirements for National Standards of Canada. It has been published as a National Standard of Canada by CSA Group.
Scope
This part of IEC 62443-2-4 specifies requirements for security capabilities for IACS service providers that they can offer to the asset owner during integration and maintenance activities of an Automation Solution.
NOTE 1 The term Automation Solution is used as a proper noun (and therefore capitalized) in this part of IEC 62443 to prevent confusion with other uses of this term.
Collectively, the security capabilities offered by an IACS service provider are referred to as its Security Program. In a related specification, IEC 62443-2-1 describes requirements for the Security Management System of the asset owner.
NOTE 2 In general, these security capabilities are policy, procedure, practice and personnel related.
Figure 2 illustrates how the integration and maintenance capabilities relate to the IACS and the control system product that is integrated into the Automation Solution. Some of these capabilities reference security measures defined in IEC 62443-3-3 that the service provider must ensure are supported in the Automation Solution (either included in the control system product or separately added to the Automation Solution).
In Figure 2, the Automation Solution is illustrated to contain a Basic Process Control System (BPCS), optional Safety Instrumented System (SIS), and optional supporting applications, such as advanced control. The dashed boxes indicate that these components are optional.
NOTE 3 The term process in BPCS may apply to a variety of industrial processes, including continuous processes and manufacturing processes.
NOTE 4 Clause 4.1.4 describes profiles and how they can be used by industry groups and other organizations to adapt this International Standard to their specific environments, including environments not based on an IACS.
NOTE 5 Automation Solutions typically have a single control system (product), but they are not restricted to do so. In general, the Automation Solution is the set of hardware and software, independent of product packaging, that is used to control a physical process (e.g. continuous or manufacturing) as defined by the asset owner.
--------------------------------------------------------------------------------------------------------------------------------
Préface CSA
Ce document constitue la première édition de CAN/CSA-IEC 62443-2-4, Sécurité des automatismes industriels et des systèmes de commande — Partie 2-4 : Exigences de programme de sécurité pour les fournisseurs de service IACS. Il s’agit de l’adoption, sans modifications, de la norme IEC (Commission Électrotechnique Internationale) 62443-2-4 (première édition, 2015-06) qui porte le même titre.
Par souci de brièveté, tout au long de ce document, il sera appelé « CAN/CSA-IEC 62443-2-4 ».
Cette norme fait partie d’une série de normes élaborées par l’IEC/TC 65 qui portent sur la sécurité des réseaux relatifs aux automatismes industriels et qui sont adoptées par Groupe CSA. Cette norme spécifie les exigences de capacités de sécurité pour les fournisseurs de service IACS qu’ils peuvent proposer aux propriétaires d'actif pendant les activités d'intégration et de maintenance d'une Solution d’Automatisation.
Cette norme utilise la terminologie et les concepts précisés dans les documents suivants :
a) CAN/CSA-IEC/TS 62443-1-1:17, Industrial communication networks — Network and system security — Part 1-1: Terminology, concepts and models; et
b) CAN/CSA-IEC 62443-2-1:17, Réseaux industriels de communication — Sécurité dans les réseaux et les systèmes — Partie 2-1 : Établissement d’un programme de sécurité pour les systèmes d’automatisation et de commande industrielles.
Cette norme a été révisée en vue de son adoption au Canada par le Comité technique CSA sur les technologies de l’information, sous l’autorité du Comité directeur stratégique CSA sur les technologies de l’information et les communications, et a été officiellement approuvée par le Comité technique.
Cette norme a été élaborée conformément aux exigences du Conseil canadien des normes relatives aux Normes nationales du Canada. Cette norme a été publiée en tant que Norme nationale du Canada par Groupe CSA.
Domaine d’application
La présente partie de l'IEC 62443-2-4 spécifie les exigences de capacités de sécurité pour les fournisseurs de service IACS qu’ils peuvent proposer au propriétaire d'actif pendant les activités d'intégration et de maintenance d'une Solution d’Automatisation.
NOTE 1 Dans la présente partie de l’IEC 62443, le terme ‘’Solution d’Automatisation’’ est utilisé comme un nom propre (et par conséquent écrit en majuscule) pour éviter toute confusion avec d’autres usages de ce terme.
De manière collective, les capacités de sécurité offertes par un fournisseur de service IACS sont appelées Programme de sécurité. Une spécification associée, l'IEC 62443-2-1 décrit les exigences pour le Système de gestion de sécurité du propriétaire d'actif.
NOTE 2 En général, ces capacités de sécurité sont liées à la politique, la procédure, la pratique et au personnel.
La Figure 2 représente la relation entre les capacités d'intégration et de maintenance et l'IACS ainsi que le produit de système de commande intégré à la Solution d'Automatisation.
Certaines de ces mesures de sécurité de référence en matière de capacités définies dans l’IEC 62443-3-3 que le fournisseur de service doit assurer sont prises en charge dans la Solution d'Automatisation (soit incluses dans le produit de système de commande soit séparément ajoutées à la Solution d'Automatisation).
La Figure 2 représente la Solution d'Automatisation qui contient un Système de Commande de Processus de Base (BPCS), un Système Equipé pour la Sécurité (SIS) facultatif et des Applications de Prise en Charge facultatives telles que la commande avancée. Les cases en pointillés indiquent que ces composants sont «facultatifs».
NOTE 3 Le terme «processus» dans BPCS peut s’appliquer à différents processus industriels, y compris les processus continus et les procédés de fabrication.
NOTE 4 L’Article 4.1.4 décrit les profils et la façon dont des groupes industriels et autres organisations peuvent les utiliser pour adapter la présente Norme internationale à leurs environnements spécifiques, y compris les environnements non fondés sur un IACS.
NOTE 5 En règle générale, les Solutions d'Automatisation disposent d’un seul système de commande (produit), sans toutefois s’y limiter. En général, la Solution d'Automatisation comprend l'ensemble des matériels et logiciels, indépendants de l'emballage du produit, qui est utilisé pour contrôler un processus physique (continu ou de fabrication, par exemple) tel que défini par le propriétaire d’actif.