Die Normen ISO/IEC 27001 und IEC 62443 sind für Hersteller von Produkten sowie Betreiber von IT- und OT-Umgebungen von zentraler Bedeutung. Beide Normen bieten verschiedene Ansätze zur Sicherstellung von Informationssicherheit und Produktsicherheit, die sich in bestimmten Bereichen überschneiden. Dieser Artikel beleuchtet, wie die beiden Normen zusammenwirken und in welchen Bereichen sie unterschiedliche Schwerpunkte setzen.
Unterschiede zwischen ISO/IEC 27001 und IEC 62443
ISO/IEC 27001 ist eine international anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS), die darauf abzielt, Informationen zu schützen, unabhängig davon, ob sie in IT-, OT- oder Cloud-Umgebungen verarbeitet werden. Die Norm stellt sicher, dass Unternehmen ihre Informationssicherheitsrisiken verstehen, minimieren und überwachen. Ein wichtiger Aspekt der Norm ist die Anforderung eines sicheren Entwicklungslebenszyklus (Secure Development Lifecycle, SDLC) für Anwendungen, die im Unternehmen bereitgestellt werden. Dies betrifft Anwendungen, die in IT- und Cloud-Umgebungen entwickelt und betrieben werden, jedoch nicht Produkte.
IEC 62443 hingegen ist speziell auf die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen (OT) ausgerichtet. Sie legt Schwerpunkte auf den Schutz von OT-Umgebungen und die sichere Produktentwicklung. Insbesondere die Teile IEC 62443-4-1 und IEC 62443-4-2 befassen sich mit der sicheren Entwicklung von Produkten, die an Kunden verkauft werden, wie z. B. industrielle Automatisierungslösungen. Für Hersteller von Industrieprodukten, die auch Cloud-Dienste nutzen, kommt die IEC 62443-4-1 zur Anwendung, wenn die Cloud-Anwendungen in den Geltungsbereich einer IEC 62443-Zertifizierung fallen sollen.
Gemeinsamkeiten und Überschneidungen zwischen ISO/IEC 27001 und IEC 62443
ISO/IEC 27001 und IEC 62443 überschneiden sich in bestimmten Bereichen, insbesondere wenn es um die Anwendungsentwicklung geht.
Die ISO/IEC 27001 fordert einen Secure Development Lifecycle (SDLC) für alle Anwendungen, die ein Unternehmen bereitstellt (Control 8.25). Dies umfasst zwangsläufig auch Cloud-Anwendungen, da die ISO/IEC 27001 die Informationssicherheit über alle Bereiche hinweg abdeckt – egal, ob die Anwendung in IT-, OT- oder Cloud-Umgebungen läuft. Allerdings umfasst ISO/IEC 27001 nicht die Entwicklung von industriellen Produkten.
IEC 62443-4-1 legt ebenfalls Anforderungen an einen Secure Development Lifecycle fest, ist jedoch auf die sichere Entwicklung von Produkten, die verkauft werden, fokussiert. Dies ist besonders relevant für Hersteller von Industrieprodukten, die auch Cloud-Dienste nutzen. Fällt eine Cloud-Anwendung in den Geltungsbereich einer IEC 62443-Zertifizierung, sollte für die Entwicklung dieser Anwendung die IEC 62443-4-1 zur Anwendung kommen.
Wenn es sich jedoch nicht um ein Industrieprodukt handelt oder die Anwendung nicht unter eine IEC 62443-Zertifizierung fällt, ist die Verwendung der ISO/IEC 27034 oder einer anderen Methode, die die Anforderungen von ISO/IEC 27001 erfüllt, oftmals ausreichend. ISO/IEC 27034 ist speziell auf die sichere Anwendungsentwicklung ausgerichtet und passt daher besser in den Rahmen der ISO/IEC 27001. Dies zeigt auch die ähnliche Nummerierung beider Normen.
Die IEC 62443-4-1 fordert eine sichere Entwicklungsumgebung für Produkte (SM-7), und verlangt die Absicherung der privaten Schlüssel, die im Rahmen der Produktentwicklung verwendet werden (SM-8). Beide Anforderungen können durch die Implementierung von ISO/IEC 27001 erfüllt werden, vorausgesetzt, die Entwicklungsumgebung ist Teil des Scopes des ISMS. An dieser Stelle ergänzen sich beide Normen sehr gut, da die sichere Entwicklungsumgebung sowie die Absicherung der kryptografischen Schlüssel sowohl in der ISO/IEC 27001 als auch in der IEC 62443-4-1 eine zentrale Rolle spielen.
Diese Überschneidungen verdeutlichen, dass Unternehmen in Abhängigkeit von ihren spezifischen Anforderungen und dem gewünschten Zertifizierungsrahmen entscheiden müssen, welche Norm für die Entwicklung von Anwendungen und Produkten angewendet werden sollte.
Vergleich der Anforderungen von ISO/IEC 27001 und IEC 62443-4-1
Die folgende Tabelle zeigt die relevanten Kontrollen der ISO/IEC 27001 im Vergleich zu den Anforderungen von IEC 62443-4-1 für die Entwicklung sicherer Anwendungen bzw. Produkte:
ISO 27001 | IEC 62443-4-1 |
---|---|
8.24 – Use of cryptography | SM-8: Controls for private keys |
8.25 – Secure development life cycle | SM-1: Development process |
8.26 – Application security requirements | Practice 2 – Specification of security requirements |
8.27 – Secure system architecture and engineering principles | Practice 3 – Secure by design |
8.28 – Secure coding | Practice 4 – Secure implementation |
8.29 – Security testing in development and acceptance | Practice 5 – Security verification and validation testing |
8.31 – Separation of development, test, and production environments | SM-7: Development environment security |
Fazit
ISO/IEC 27001 und IEC 62443 bieten Herstellern von Industrieprodukten und Anwendungsentwicklern eine solide Grundlage zur Absicherung ihrer IT- und OT-Umgebungen sowie der Entwicklung sicherer Produkte und Anwendungen.
Die ISO/IEC 27001 kümmert sich um Informationssicherheit in IT-, OT- und Cloud-Umgebungen, während die IEC 62443-4-1 speziell die Produktsicherheit bzw. sichere Entwicklung von industriellen Produkten behandelt. An bestimmten Stellen, wie der Entwicklungsumgebung und der Absicherung privater Schlüssel, ergänzen sich beide Normen hervorragend. Hier können Unternehmen von der Umsetzung der ISO/IEC 27001 profitieren, da diese Anforderungen auch die von IEC 62443-4-1 abdecken.
Unternehmen, die sowohl industrielle Produkte als auch Cloud-Anwendungen entwickeln, sollten sich dieser Überschneidungen bewusst sein und die Normen gezielt kombinieren, um sowohl den regulatorischen Anforderungen als auch den Sicherheitsanforderungen gerecht zu werden.
Kommentar hinzufügen