IEC PAS 62443-1-6:2025 Безопасность промышленной автоматизации и систем управления — Часть 1-6: Применение серии 62443 для промышленного интернета вещей (IIoT) - Стандарты и спецификации PDF

IEC PAS 62443-1-6:2025
Безопасность промышленной автоматизации и систем управления — Часть 1-6: Применение серии 62443 для промышленного интернета вещей (IIoT)

Стандартный №
IEC PAS 62443-1-6:2025
Дата публикации
2025
Разместил
International Electrotechnical Commission (IEC)
Последняя версия
IEC PAS 62443-1-6:2025
 
сфера применения

История развития стандартов безопасности промышленного Интернета вещей

С углублением концепции Индустрии 4.0 и цифровой трансформацией технология промышленного Интернета вещей (IIoT) меняет архитектурные границы систем промышленной автоматизации и управления. IEC PAS 62443-1-6:2025, как важное дополнение к серии стандартов 62443, предоставляет руководящую основу специально для безопасного применения IIoT в промышленных условиях. Выпущенный в декабре 2025 года, этот стандарт отражает быструю реакцию Международной электротехнической комиссии (IEC) на возникающие проблемы безопасности технологий.

Модель безопасности традиционных промышленных систем управления (IACS) основана на физической изоляции и многоуровневой защите, в то время как внедрение IIoT разрушает эти границы.

Стандарт прямо указывает, что устройства IIoT вводят функции внешней связи в ранее закрытую область автоматизации, что приводит к тому, что **многофункциональная интеграция** и **распределенное функциональное развертывание** становятся новой нормой. Это архитектурное изменение требует распространения защиты от физического уровня на виртуальный, формируя трехмерную систему защиты.

Эволюция функциональной модели и проблемы безопасности

Глава 4 стандарта систематически описывает процесс преобразования от традиционной функциональной модели к интегрированной модели IIoT. В традиционной архитектуре PERA функциональное распределение имеет четкие иерархические границы и физические соответствия.

Внедрение IIoT привело к появлению гибридных промышленно-бизнес-систем, которые глубоко связывают ранее разделенные операционные технологии (OT) и информационные технологии (IT).

Размеры Традиционная модель IACS Модель интеграции IIoT Влияние на безопасность
Функциональные границы Физические устройства, соответствующие отдельным функциям Единое устройство, интегрирующее несколько функций зоны безопасности Сложное разделение зон
Пути связи Иерархические закрытые сети Распределенные открытые сети Взаимосвязь Значительно расширенная поверхность атаки
Архитектурная парадигма Централизованное управление Совместные вычисления на границе и в облаке Глубокая реконструкция защиты
Модель доверия Неявное доверие на основе границ Архитектура нулевого доверия (ZTA) Непрерывная аутентификация становится необходимой

Стандарт специально подчеркивает применимость архитектуры нулевого доверия в средах IIoT. В отличие от традиционной модели «доверяй, но проверяй», принцип нулевого доверия требует непрерывной аутентификации всех запросов на доступ, независимо от их местоположения в сети. Этот сдвиг предъявляет более высокие требования к системам управления идентификацией, контроля доступа и мониторинга.

Пример применения: интеграция безопасности IIoT на «умном» заводе

Компания по производству автомобилей внедрила систему прогнозирующего технического обслуживания на основе IIoT, установив интеллектуальные терминалы на производственных линиях контроллеры ПЛК, промышленных роботов и датчики вибрации.

Следуя стандартным рекомендациям, предприятие сначала реструктурировало свою функциональную модель:

  1. Отделило функцию сбора данных от уровня управления, сформировав независимую зону безопасности
  2. Установило зашифрованные каналы передачи данных между зонами, соблюдая требования FR5 к ограничению потока данных
  3. Установило независимые учетные данные для каждого устройства IIoT, внедрив контроль аутентификации FR1
  4. Внедрило систему поведенческого анализа для соответствия требованиям FR6 по своевременному реагированию на события

После внедрения предприятие успешно сократило незапланированные простои на 35% и подтвердило эффективность защиты посредством аудитов безопасности.

Матрица взаимодействия ролей и ответственности

Глава 5 стандарта определяет ключевые роли и их взаимоотношения в жизненном цикле IIoT.

Взаимодействие ролей и ответственность

Глава 5 стандарта определяет ключевые роли и их взаимоотношения в жизненном цикле IIoT.

По сравнению с традиционной системой IACS, IIoT вводит новые роли, такие как поставщики облачных услуг и поставщики граничных вычислений, формируя более сложную модель распределения ответственности.

Категория роли Основные обязанности Соответствующие стандартные положения Особенности IIoT
Владелец актива Разработка процедур безопасности, оценка рисков, управление соответствием Глава 6, IEC 62443-2-1 Обзор положений о безопасности в договоре на облачные услуги
Поставщик продукции Жизненный цикл разработки безопасности, уязвимости Управление IEC 62443-4-1/4-2 Механизм безопасности обновления прошивки по беспроводной сети
Поставщик услуг Системная интеграция, поддержка эксплуатации и технического обслуживания, реагирование на инциденты IEC 62443-2-4 Безопасность удаленного управления периферийными устройствами
Поставщики облачных услуг Безопасность инфраструктуры, защита платформы, изоляция данных Глава 9, ISO/IEC 27017 Обеспечение суверенитета промышленных данных

Стандарт особенно подчеркивает важность Договорные отношения в безопасности IIoT. При использовании функций облачной инфраструктуры (IIoT CBF) владельцы активов должны четко определить разделение обязанностей по обеспечению безопасности посредством соглашений об уровне обслуживания (SLA) и установить проверяемые показатели безопасности со ссылкой на серию стандартов ISO/IEC 19086.

Анализ адаптации основных требований безопасности

В главе 8 систематически анализируется конкретное применение семи основных требований (FR) серии 62443 в среде IIoT. Каждое требование должно быть адаптировано к характеристикам IIoT:

FR1 Контроль идентификации и аутентификации

Устройства IIoT, как правило, ограничены в ресурсах и испытывают трудности с поддержкой сложных протоколов аутентификации. Стандарт рекомендует использовать облегченные механизмы аутентификации, такие как сертификаты ECC и предварительно согласованные ключи в сочетании с технологией идентификации устройств по отпечаткам пальцев. Для крупномасштабных развертываний следует рассмотреть распределенное управление идентификацией на основе блокчейна.

FR2 Контроль использования

Динамические характеристики подключения/отключения устройств IIoT требуют детальных политик контроля доступа. Стандарт рекомендует модель контроля доступа на основе атрибутов (ABAC), объединяющую контекст устройства (местоположение, время, состояние здоровья) для принятия динамических решений об авторизации.

FR3 Целостность системы Для обеспечения безопасности встроенного ПО устройств IIoT стандарт требует создания **безопасной цепочки загрузки** и **защиты целостности во время выполнения**. В соответствии с ISO/IEC 27070 устанавливается виртуализированный корень доверия, гарантирующий, что основные функции остаются надежными даже в случае компрометации некоторых компонентов. FR4 Конфиденциальность данных Данные IIoT требуют защиты с помощью шифрования как во время передачи, так и в состоянии покоя. Стандарт рекомендует использовать надежные алгоритмы шифрования, такие как **китайские национальные криптографические алгоритмы** или AES-256, с особым акцентом на технологию шифрования памяти для сценариев граничных вычислений, чтобы предотвратить атаки физического извлечения. FR5 Ограниченный поток данных. Данные, генерируемые IIoT, могут содержать конфиденциальные параметры процесса. Стандарт требует внедрения **классификации и градации данных** и **управления потоком**, а также использования технологии предотвращения потери данных (DLP) для предотвращения утечки промышленных секретов.

FR6 Своевременное реагирование на события

Масштабные журналы, генерируемые устройствами IIoT, требуют интеллектуального анализа. Стандарт рекомендует развернуть **систему управления защищенной информацией и событиями (SIEM)** в сочетании с алгоритмами машинного обучения для выявления аномальных моделей поведения со временем отклика, соответствующим требованиям промышленного реального времени.

FR7 Доступность ресурсов

IIoT может стать плацдармом для DDoS-атак.

Стандарт требует внедрения **ограничения скорости**, **формирования трафика** и **гарантий качества обслуживания (QoS)** для обеспечения того, чтобы критически важные функции управления не были затронуты.

Структура безопасности интеграции облачных сервисов

В главе 9 подробно рассматривается безопасность интеграции IIoT с функциями облачной инфраструктуры.

Стандарт различает распределение ответственности за безопасность для трех моделей облачных сервисов:

Модель сервиса Ответственность поставщика Ответственность пользователя Специфические риски IIoT
IaaS
(Инфраструктура как услуга)		 Физическая безопасность, уровень виртуализации, сетевая инфраструктура Операционная Система, Приложения, Данные, Управление идентификацией Уход от виртуальных машин, Атаки по побочным каналам
PaaS
(Платформа как услуга)		 Среда выполнения, Промежуточное ПО, Службы баз данных Код приложения, Управление конфигурацией, Контроль доступа Многопользовательская изоляция данных, Безопасность API
SaaS
(Программное обеспечение как услуга)		 Функции приложения, Хранение данных, Пользовательский интерфейс Управление пользователями, Классификация данных, Стратегия использования Привязка к поставщику, Трудности аудита соответствия

Стандарт предоставляет конкретные шаги для Структура оценки рисков:

  1. Определение области оценки: Уточнение границ системы, включая IIoT CBF
  2. Выявление сценариев угроз: Рассмотрение перебоев в работе облачных сервисов, утечек данных, атак на цепочку поставок и т. д.
  3. Оценка мер безопасности: Проверка эффективности мер безопасности поставщика облачных услуг
  4. Определение целевого уровня безопасности: Установление требований SL-T на основе анализа влияния на бизнес
  5. Разработка плана смягчения последствий: Включение планов резервного копирования и процедур реагирования на чрезвычайные ситуации

Рекомендации по стандартной реализации

1. Поэтапный путь внедрения

Предприятиям следует применять поэтапный подход к внедрению безопасности IIoT:

  • Этап 1 (Подготовка):: Создание системы управления безопасностью IIoT, пересмотр политик безопасности и проведение обучения персонала.
  • Этап 2 (Пилотный проект):: Выбор некритических систем для проверки контроля безопасности IIoT.
  • Этап 3 (Развертывание):: Полное развертывание на основе опыта пилотного проекта и создание механизма непрерывного совершенствования.

2. Руководство по выбору технологий

При выборе решения IIoT следует в первую очередь оценивать следующие аспекты:

  • Сертификация безопасности: Прошло ли оно сертификацию IEC 62443-4-2 или эквивалентную оценку.
  • Механизм обновления: Поддерживает ли оно безопасное обновление прошивки и исправление уязвимостей.
  • Взаимодействие: Соответствует ли оно стандарту взаимодействия ISO/IEC 21823.
  • Суверенитет данных: Поддерживает ли оно локальное хранение и обработку данных?

3. Управление соответствием

Разработайте контрольный список соответствия требованиям безопасности IIoT:

  • Регулярно пересматривайте условия безопасности договоров на облачные услуги
  • Внедряйте оценки рисков третьих сторон, включая безопасность цепочки поставок
  • Поддерживайте доказательства эффективности мер контроля безопасности и готовьтесь к аудитам
  • Отслеживайте обновления стандартов и своевременно корректируйте процедуры безопасности

4. Непрерывный мониторинг и совершенствование

Безопасность IIoT — это не разовый проект, а требует постоянных инвестиций:

  • Создайте систему показателей эффективности безопасности (KPI) для мониторинга эффективности контроля
  • Регулярно проводите тесты на проникновение и учения «красной команды»
  • Участвуйте в работе Центра обмена информацией и анализа (ISAC) для получения информации об угрозах
  • Проводите всесторонний обзор безопасности не реже одного раза в год

Перспективы развития стандартов

IEC PAS. Будучи общедоступной спецификацией, 62443-1-6 предоставляет важную информацию для будущих официальных пересмотров стандартов. Дальнейшее развитие ожидается в следующих направлениях: 1. Безопасная интеграция с цифровыми двойниками. С выпуском глоссария цифровых двойников ISO/IEC 20924 безопасное взаимодействие между IIoT и цифровыми двойниками станет приоритетным направлением. Необходимо учитывать новые требования, такие как целостность модели, безопасность синхронизации и изоляция среды моделирования. 2. Улучшенная безопасность ИИ. Данные, генерируемые IIoT, будут все чаще использоваться для обучения и вывода ИИ. Необходимо создать защищенную структуру модели ИИ, включающую защиту от состязательных примеров, обучение с сохранением конфиденциальности и гарантии интерпретируемости. 3. Квантово-безопасная криптографическая миграция. Устройства IIoT имеют длительный срок службы, что требует рассмотрения путей постквантовой криптографической миграции. Стандарт может добавить рекомендации по квантово-безопасным алгоритмам, особенно по облегченным реализациям в средах с ограниченными ресурсами. 4. Вопросы устойчивой безопасности.

В соответствии со стандартом расчета углеродного следа ISO 20294, при проектировании безопасности IIoT необходимо учитывать оптимизацию энергопотребления, находя баланс между надежностью безопасности и устойчивостью.

IEC 62443-1-6 предоставляет систематическую и действенную структуру рекомендаций по безопасности промышленного IoT.

Предприятиям следует использовать это в качестве основы, сочетая с особенностями своего бизнеса и технологической дорожной картой, для построения системы защиты, адаптированной к цифровой трансформации. Ценность стандарта заключается не только в соблюдении требований, но и в обеспечении, посредством риск-ориентированного подхода, повышения операционной эффективности с помощью технологий IIoT без создания неприемлемых рисков для безопасности.

IEC PAS 62443-1-6:2025 Ссылочный документ

  • IEC TS 62443-1-1 Промышленные сети связи. Сетевая и системная безопасность. Часть 1. Терминология, понятия и модели.

IEC PAS 62443-1-6:2025 История

  • 2025 IEC PAS 62443-1-6:2025 Безопасность промышленной автоматизации и систем управления — Часть 1-6: Применение серии 62443 для промышленного интернета вещей (IIoT)
Безопасность промышленной автоматизации и систем управления — Часть 1-6: Применение серии 62443 для промышленного интернета вещей (IIoT)

стандарты и спецификации

PD IEC PAS 62443-1-6:2025 промышленной автоматизации и систем управленияЧасть 1-6: Применение серии 62443 для промышленного интернета вещей (IIoT) MSZ EN IEC 61987-100:2025 IEC TS 62443-6-1:2024 Безопасность промышленных систем автоматизации и управления. Часть 6-1: Методология оценки безопасности для IEC 62443-2-4 IEC TS 62443-1-5:2023 Безопасность промышленных систем автоматизации и управления. Часть 1–5: Схема профилей безопасности IEC 62443 BS EN IEC 62443-4-1:2018 Безопасность для систем промышленной автоматизации и управления. Требования к безопасному жизненному циклу разработки продукта CAN/CSA-IEC 62443-3-3-2017(R2022 Промышленные сети связи. Безопасность сети и системы. Часть 3-3. Требования к безопасности системы и уровни безопасности (Принят IEC 62443-3-3: 2013, первое CAN/CSA-IEC TR 62443-2-3-2017(R2022 Сети промышленной связи. Безопасность сетей и систем. Часть 3-1. Технологии безопасности для систем промышленной автоматизации и управления (Принят технический CAN/CSA-IEC 62443-2-1-2017(R2022 Сети промышленной связи. Безопасность сетей и систем. Часть 2-1. Разработка программы безопасности систем промышленной автоматизации и управления (принят IEC IEC 62443-2-4:2023 Безопасность систем промышленной автоматизации и управления. Часть 2-4. Требования к программе безопасности для поставщиков услуг IACS


© 2026. Все права защищены.