siber  güvenlik




                        IEC 62443 standartlarını


                     benimsemenin pratik yolu





              Endüstriyel Sistemlerde Siber Güvenlik Nasıl Güçlendirilmeli? GSL Mühendislik
                uzmanlarının paylaştığı çalışmanın ilk bölümünü incelemelerinize sunuyoruz.

                 iber  güvenlik  stratejilerin-
                 den teknik projelere, birçok
                 şirket endüstriyel kontrol
                 sistemlerini (EKS) nasıl dev-
        S reye alması gerektiği konu-
        sunda sıkıntı çekiyor. IEC 62443 stan-
        dartlarının hepsini ve ilgili yazınları
        tamamen ele almak zor olsa da, bu yazı
        IEC 62443 standartlarının püf noktala-
        rını özetleyerek bir Siber Güvenlik Yö-
        netim Sistemi geliştirirken göz önünde
        bulundurulabilecek bazı tavsiyeler ve-
        riyor. Bu yazı aynı zamanda IEC 62443
        uyumluluk sürecinde varlık sahipleri-
        ni desteklemede ürün ve şirket sertifi-
        kasyonlarının önemini de ele alıyor.

        GİRİŞ
        Genel itibariyle birçok şirket, teoriyi
        pratik eylemlere dönüştürmede zor-
        luk çeker. Bu zorluklar siber güvenlik
        stratejisi için “yöneticileri nasıl ikna
        ederiz”den “hangi teknoloji ihtiyaçla-
        ra daha iyi cevap verecek”e ve teknik   ne, tedarik zinciri yönetimine ve ürün   • CSMS programını başlatmak (yöne-
        projelerde “en alakalı riskler hangile-  geliştirme ekiplerine dahili ve harici   timin desteğini almak için gerekli bil-
        ri”ne kadar değişkenlik gösterir. Bu   tavsiyelerde bulunurlar. Varlık sahip-  gileri sağlamak)
        yazı, IEC 62443 standardı tarafından   leri için IEC 62443 standardı bir Siber   • Yüksek düzey risk değerlendirmesi
        önerilen birtakım temel eylemlerin na-  Güvenlik Yönetim Sistemi (CSMS)   (risklerin tanımlanması ve öncelikleri-
        sıl gerçekleştirileceğine dair bir rehber   oluşturulmasını tavsiye eder. CSMS,   nin değerlendirilmesi)
        görevi sunuyor. Bu kapsamlı konunun   şirketin risk toleransına göre sistemin   • Detaylı risk değerlendirmesi (gü-
        çok derinlerine inemeyeceğimizin far-  analizini, adreslenmesini, denetimini   venlik  açıkları  için  detaylı  teknik  de-
        kındayız, buna karşın bu yazı teknik   ve risklere karşı iyileştirilmesini kap-  ğerlendirme)
        personel ve yöneticilerin IEC 62443   sar. Tedarik zinciri yönetimi için, ürün   • Güvenlik, organizasyon ve farkında-
        standardı tarafından sunulan tavsi-  yaşam döngüsü boyunca tanımlama-   lık politikalarının oluşturulması
        yeleri daha iyi anlamalarına yardımcı   lar güvenlik iyileştirme tavsiyesi verir.   • (Organizasyona dair risklerin düşü-
        olabilir.[5][6] IEC 62443 standartla-  Bu, “tasarımdan güvenli” yaklaşımını   rülmesi için) karşı önlemler seçilmesi
        rı, endüstriyel kontrol sistemlerinin   içeren yönlerden başlar, ürün imalatı-  ve uygulanması
        (EKS) güvenliğini sağlamaya yönelik   na kadar devam eder. Hedef, çözüm   • CSMS’in bakımı (CSMS’in etkili ka-
        bütüncül ve kapsamlı bir yaklaşım su-  sağlayıcının sunduğu ürün ve sistem-  lacağının ve organizasyonun hedefle-
        nar. Bu standartlar bütüncüldür, çün-  lerde yeterli bir güvenlik seviyesini   rini destekleyeceğinin güvenceye alın-
        kü güvenlik stratejisini farklı yapısal   geliştirip korumaktır.[1][2][3][4]   ması)[4]
        yönleriyle ele alır. Bu yönler Ulusla-
        rarası Elektroteknik Komisyonu (IEC)   SİBER GÜVENLİK YÖNETİM           Bu yazı bu unsurların ana fikirlerini
        tarafından “İnsan”, “Süreç” ve “Tek-  SİSTEMİ 6 UNSURDAN OLUŞUR         özetlemeyi amaçlıyor.
        noloji” olarak tanımlanmıştır. Buna ek   IEC 62443 standardı tarafından su-  Yönetimin Desteği
        olarak bu standartların çok kapsamlı   nulan siber güvenlik yönetim sistemi   Teknik açılardan değerlendirme yap-
        olması gerekir, çünkü varlık sahipleri-  (CSMS) 6 unsurdan oluşur:      madan önce, IEC 62443 standardının


        74  ST Proses Otomasyonu Haziran 2023