ISA/IEC 62443 – Training Courses

ISA/IEC 62443 시리즈는 산업 자동화 및 제어 시스템(IACS)을 보호하기 위해 전 세계적으로 합의된 유일한 종합 표준 체계입니다. 본 표준 시리즈는 국제자동화협회(ISA)와 국제전기기술위원회(IEC)가 공동으로 개발하였으며, 제조, 에너지, 빌딩 자동화, 의료기기, 운송 등 다양한 산업 분야에서 산업 사이버보안에 적용되는 통합 용어 체계, 리스크 모델 및 통제 프레임워크를 제공합니다.

ISA/IEC 62443는 초기 리스크 평가와 보안 설계부터 통합 및 운영, 그리고 유지관리와 지속적 개선에 이르기까지 산업 시스템의 전체 보안 수명주기를 다룹니다. 이 시리즈는 IACS의 회복력이 기술, 인력 역량, 조직 프로세스를 아우르는 사회기술적 이슈임을 인식합니다.

ISA/IEC 62443 시리즈는 IACS 보안을 위한 다층적 통제 프레임워크를 제공합니다. 이는 네 가지 주요 범주로 구성되어 있으며, 각 파트는 명확하게 정의된 하위 구성과 요구사항 흐름을 따릅니다.

• 1부는 전체 표준 시리즈의 기반이 되는 공통 용어, 기본 요구사항, 참조 모델(구역, 경로, 보안 수준 등)을 정의합니다.
  • 1-1부는 시리즈 전반에서 사용되는 개념과 모델을 소개합니다.
• 2부는 자산 소유자와 서비스 제공자가 산업 사이버보안 프로그램을 어떻게 관리하고, 실행하며, 지속해야 하는지를 정의합니다.
  • 2-1부는 자산 소유자가 효과적인 IACS 사이버보안 관리 프로그램을 수립하고 실행하는 방법을 규정하며, 모든 기타 표준의 기준점 역할을 합니다.
  • 2-3부는 IACS의 취약성을 줄이기 위한 패치 관리 절차에 대한 지침을 제공합니다.
  • 2-4부는 IACS 수명주기를 지원하는 통합 및 유지관리 서비스 제공자를 위한 요구사항을 명시합니다.

2부는 거버넌스 체계, 정책 수립, 지속적 개선 프로세스를 수립하는 데 핵심적인 역할을 하며, 이후 기술적 요건 및 구매 요구사항을 뒷받침합니다.

• 3부는 프로그램 차원의 정책을 시스템 설계 및 엔지니어링 통제로 전환합니다.
  • 3-2부는 자산 소유자와 시스템 통합자가 통제 시스템(SuC)을 구역과 경로로 구분하고, 리스크를 평가하며, 목표 보안 수준(SL-T)과 대응 조치를 사이버보안 요구사항 명세서에 기록하는 방법을 안내합니다.
  • 3-3부는 각 보안 수준에 해당하는 시스템 보안 요구사항을 정의하여, IACS가 충족해야 하는 조건을 명확히 제시합니다.

3부는 자동화 솔루션이 보안을 고려한 설계로 구조화되고 통합되도록 보장하는 데 핵심적인 역할을 합니다.

• 4부는 공급업체의 개발 관행과 구성 요소 수준의 기술적 요구사항을 모두 명시합니다.
  • 4-1부는 제어 시스템 및 구성 요소에 대해 공급업체가 보안 개발 수명주기(SDL)를 수립하고 유지하도록 요구합니다.
  • 4-2부는 컨트롤러, 내장형 장치, 소프트웨어 모듈 등 개별 구성 요소가 제공해야 하는 기술적 보안 기능을 정의합니다.

4부는 시스템 수준 요구사항에 부합하는 구성 요소 공급업체를 위한 구매 및 인증 기준선을 제시합니다.