ISA/IEC 62443-4-1 standardi : turvallisen tuotekehityksen elinkaari
Hanhikoski, Marjo (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202404247523
https://urn.fi/URN:NBN:fi:amk-202404247523
Tiivistelmä
Kyber- ja tietoturvallisuus ovat osa jokapäiväistä elämää ja niiden rooli yhteiskunnalle kriittisten järjestelmien ja toimintojen turvallisuudessa on merkittävä. Täten kyber- ja tietoturvallisuus onkin syytä huomioida tuotekehitysprosessin varhaisessa vaiheessa. Turvallisen tuotekehityksen elinkaari on viitekehys, jossa tietoturvallisuus rakennetaan osaksi tuotteen ominaisuuksia. Kehitysprosessi sisältää turvallisuusvaatimukset, turvallisen suunnittelun ja toteutuksen, verifioinnin ja validoinnin, vika- ja korjaushallinnan sekä tuotteen elinkaaren lopun. Lisäksi viitekehyksessä huomioidaan sitä tukevat toiminnot.
ISA/IEC 62443 -standardikokoelma käsittää teollisuusautomaatio- ja ohjausjärjestelmien koko elinkaaren aikaisen tietoturvan ja sen tavoitteena onkin lisätä niiden turvallisuutta, luotettavuutta ja eheyttä elinkaaren aikana. Näiden järjestelmien kehittyminen eristyneistä verkoista standardeihin perustuviksi verkoiksi on lisännyt niiden uhkien määrää ja niihin kohdistuvien kyberhyökkäysten todennäköisyyttä.
Standardikokoelman osa 4-1 määrittelee turvallisen tuotekehityksen elinkaariprosessin vaatimukset teollisuusautomaatio- ja ohjausjärjestelmissä käytettäville tuotteille. Tuotetoimittaja voi soveltaa standardin vaatimuksia olemassa oleviin tai uusiin elinkaariprosesseihin olemassa olevassa tai uudessa tuotteessa. Standardin tarkoituksena onkin tarjota turvallisen suunnittelun ja syväsuojauksen viitekehys, jota tuotetoimittaja voi soveltaa tuotteeseensa. Standardi jakaantuu kahdeksaan turvallisuuskäytäntöön ja niiden sisältämiin vaatimuksiin.
Opinnäytetyöprosessin aikana tutustuttiin turvallisen kehittämisen elinkaareen, ISA/IEC 62443 -standardikokoelmaan ja erityisesti standardiin 4-1. Prosessin aikana tultiin siihen tulokseen, että standardin 4-1 käyttöönotto voidaan tiivistää vaiheisiin: suunnittele, toteuta, verifioi ja validoi sekä ylläpidä ja kehitä. Vaatimusten integrointi vaatii resursseja ja aikaa perehtyä standardiin ja sen soveltamiseen käytännössä. Lisäksi vaaditaan ymmärrystä, mihin standardin käyttöönotolla pyritään ja mitä sen käyttöönotolta toivotaan. Opinnäytetyössä pyrittiin antamaan kokonaiskuva turvallisen kehityksen elinkaaresta, 4-1 standardista ja antamaan näkökohtia standardin käyttöönotosta. Työn motiivina oli tarjota organisaatioille kattava kuvaus aiheesta ja toimia ensiaskeleena standardin käyttöönotolle.
ISA/IEC 62443 -standardikokoelma käsittää teollisuusautomaatio- ja ohjausjärjestelmien koko elinkaaren aikaisen tietoturvan ja sen tavoitteena onkin lisätä niiden turvallisuutta, luotettavuutta ja eheyttä elinkaaren aikana. Näiden järjestelmien kehittyminen eristyneistä verkoista standardeihin perustuviksi verkoiksi on lisännyt niiden uhkien määrää ja niihin kohdistuvien kyberhyökkäysten todennäköisyyttä.
Standardikokoelman osa 4-1 määrittelee turvallisen tuotekehityksen elinkaariprosessin vaatimukset teollisuusautomaatio- ja ohjausjärjestelmissä käytettäville tuotteille. Tuotetoimittaja voi soveltaa standardin vaatimuksia olemassa oleviin tai uusiin elinkaariprosesseihin olemassa olevassa tai uudessa tuotteessa. Standardin tarkoituksena onkin tarjota turvallisen suunnittelun ja syväsuojauksen viitekehys, jota tuotetoimittaja voi soveltaa tuotteeseensa. Standardi jakaantuu kahdeksaan turvallisuuskäytäntöön ja niiden sisältämiin vaatimuksiin.
Opinnäytetyöprosessin aikana tutustuttiin turvallisen kehittämisen elinkaareen, ISA/IEC 62443 -standardikokoelmaan ja erityisesti standardiin 4-1. Prosessin aikana tultiin siihen tulokseen, että standardin 4-1 käyttöönotto voidaan tiivistää vaiheisiin: suunnittele, toteuta, verifioi ja validoi sekä ylläpidä ja kehitä. Vaatimusten integrointi vaatii resursseja ja aikaa perehtyä standardiin ja sen soveltamiseen käytännössä. Lisäksi vaaditaan ymmärrystä, mihin standardin käyttöönotolla pyritään ja mitä sen käyttöönotolta toivotaan. Opinnäytetyössä pyrittiin antamaan kokonaiskuva turvallisen kehityksen elinkaaresta, 4-1 standardista ja antamaan näkökohtia standardin käyttöönotosta. Työn motiivina oli tarjota organisaatioille kattava kuvaus aiheesta ja toimia ensiaskeleena standardin käyttöönotolle.