HomeAutomazione industrialePerché la certificazione ISASecure® è il solo schema ufficiale per la Cyber Security OT
Automazione industriale

Perché la certificazione ISASecure® è il solo schema ufficiale per la Cyber Security OT

byhon - certificazione ISASecure®

di Iacopo Querci, Sales Manager di BYHON

La certificazione rilasciata da un organismo accreditato ISASecure® è il più alto riconoscimento a livello globale e l’unico che dimostra la effettiva conformità ai requisiti ISA/IEC 62443 durante l’intero ciclo di vita del prodotto. Facciamo chiarezza su cosa distingue la certificazione ISASecure® da altre tipologie di attestati.

Cosa distingue la certificazione ISASecure®

Iacopo Querci
Iacopo Querci, Sales Manager di BYHON

Prima di tutto, proprietario e sviluppatore dello schema di certificazione è l’ISA Security Compliance Institute (ISCI), organizzazione no-profit che ha unito le regole e le procedure che identificano i tipi di prodotti e i processi che devono essere valutati, nonché tutti i requisiti specifici che essi devono soddisfare, fornendo la metodologia per eseguire la certificazione.

ISCI offre tre certificazioni con tre livelli di garanzia di sicurezza (SAL) in linea con ISA/IEC 62443:

  1. Certificazione ISASecure® Component Security Assurance (CSA)
  2. Certificazione ISASecure® System Security Assurance (SSA)
  3. Certificazione ISASecure® Security Development Lifecycle Assurance (SDLA)

Lo schema di certificazione ISASecure® copre quindi più tipi di certificato; ma ciò che contraddistingue la certificazione ISASecure® in generale è la sua validità.

Infatti, rispetto ad altri schemi orientati alla cyber security OT, seguendo lo schema ufficiale deve essere sempre condotta la valutazione di conformità con l’obiettivo di valutare le procedure che descrivono il prodotto, identificare i requisiti applicabili e fornire la metodologia per valutare il rispetto delle norme IEC 62443.

È inoltre obbligatorio che la certificazione sia rilasciata da un ente accreditato ISASecure® per essere inconfutabilmente valida a livello globale.

Questa certificazione dura 3 anni e può essere prorogata una volta superato un audit di ricertificazione.

Ulteriore regola è che è necessario ottenere il certificato SDLA prima di richiedere i certificati SSA o CSA.

Precisiamo che lo schema CSA ha sostituito l’oramai obsoleto schema EDSA. Come descritto anche dal sito isasecure.org, lo schema EDSA non è quindi più valido.

Infine, lo schema ISASecure®, per quanto riguarda la certificazione IEC 62443-4-1 (SDLA) non richiede e non definisce alcun Maturity Level.

Quello che è sufficiente per il soddisfacimento della norma è infatti la certificazione ISASecure® SDLA, una certificazione relativa al processo e non al prodotto; come anticipato, una certificazione propedeutica ed obbligatoria, ad esempio, per l’ottenimento della certificazione del prodotto secondo IEC 62443-4-2.

Si può dunque parlare di certificazione IEC 62443 “ufficiale” quando le caratteristiche sono in linea con lo schema ISASecure®, e non quando sono solamente ad esso ispirate. È quindi importante comprendere le differenze per apprezzare il reale valore offerto da una certificazione di massimo livello rispetto a quanto promesso da altre tipologie di attestati.

Perché ottenere la Certificazione ISASecure® ufficiale

I vantaggi della certificazione ISASecure® sono molteplici. Oltre ad essere lo schema più referenziato, seppur complessa e talvolta oneroso da ottenere, la certificazione in questione è la più attendibile fra le certificazioni per la cyber security OT perchè:

  • Stabilisce un livello di affidabilità più elevato in quanto rilasciata da un ente accreditato
  • Migliora la sicurezza del prodotto in modo comprovato
  • Stabilisce le policy aziendali per l’uso degli standard ISA/IEC 62443 ufficiali
  • Aggiorna i processi di sviluppo del prodotto per conformarsi alla norma IEC 62443
  • Dimostra un approccio proattivo per acquisire reali competenze di cyber security OT
  • Supporta le vendite dei prodotti tramite l’uso di una certificazione valida a livello mondiale

Spicca il fatto che la certificazione di terza parte accresca la fiducia tra end user, costruttore e system integrator. Sono in particolare l’indipendenza e la capacità di un auditor di terze parti (accreditato) che forniscono un livello di affidabilità più elevato.

Quali prodotti possono essere certificati

I fornitori di prodotti possono certificare varie tipologie di sistemi e componenti IACS indicati dalla norma di riferimento IEC 62443:

  • Componenti IACS, come embedded device, host device, network device, applicazioni software
  • Sistemi di controllo costituito da un insieme di componenti IACS
  • Soluzioni di automazione che combinano sistemi e componenti IACS
  • Sistemi di controllo e automazione industriale (IACS) comprendenti la soluzione di automazione e le politiche per la sua manutenzione

Fra i servizi proposti da BYHON è presente anche la certificazione IEC 62443, rilasciata grazie all’accreditamento ufficiale. BYHON è infatti l’unico ente in Italia accreditato ISASecure®.

Per saperne di più sul servizio di certificazione ISASecure®

visita il sito byhon.it

https://www.byhon.it/it/

Ti potrebbero interessare anche: