VDI VDE 2182 Blatt 3 3-2013 IT-security for industrial automation - Example of use of the general model for plant managers in process industry - LDPE-plant.pdf

1、ICS 35.240.50 VDI/VDE-RICHTLINIEN Juni 2013 June 2013 VEREIN DEUTSCHER INGENIEURE VERBAND DER ELEKTROTECHNIK ELEKTRONIK INFORMATIONSTECHNIK Informationssicherheit in der industriellen Automatisierung Anwendungsbeispiel des Vorgehensmodells in der Prozessautomation fr Betreiber LDPE-Anlage IT-securit

2、y for industrial automation Example of use of the general model for plant managers in process industry LDPE-plant VDI/VDE 2182 Blatt 3.3 Ausg. deutsch/englisch Issue German/English Die deutsche Version dieser Richtlinie ist verbindlich. The German version of this guideline shall be taken as authorit

3、a-tive. No guarantee can be given with respect to the English translation. VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA) Fachbereich Industrielle Informationstechnik VDI-Handbuch Informationstechnik, Band 1: Angewandte Informationstechnik VDI/VDE-Handbuch Automatisierungstechnik VDI-H

4、andbuch Fabrikplanung und -betrieb, Band 1: Betriebsberwachung/Instandhaltung VDI-Handbuch Verfahrenstechnik und Chemieingenieurwesen, Band 4: Arbeitsschutz Vervielfltigungauchfrinnerbetriebliche Zwecke nicht gestattet /Reproductionevenforinternalusenot permittedZu beziehen durch /Available atBeuth

5、Verlag GmbH,10772 BerlinAlle Rechte vorbehalten / Allrightsreserved Verein DeutscherIngenieuree.V.,Dsseldorf2013Frhere Ausgabe:01.11 Entwurf,deutschFormeredition:01/11Draft,in German onlyInhalt Seite Contents Page Vorbemerkung . 2 Einleitung 2 1 Anwendungsbereich 2 2 Normative Verweise . 3 3 Begriff

6、e . 3 4 Vorbereitende Manahmen . 4 4.1 Abhngigkeiten 4 4.2 Rollen 7 4.3 Strukturanalyse 7 4.4 Anlass 10 5 Anwendung des Vorgehensmodells . 13 5.1 Assets identifizieren . 13 5.2 Bedrohungen analysieren . 14 5.3 Relevante Schutzziele ermitteln . 16 5.4 Risiken analysieren und bewerten 18 5.5 Schutzman

7、ahmen aufzeigen und Wirksamkeit bewerten . 22 5.6 Schutzmanahmen auswhlen . 22 5.7 Gesamtlsung implementieren und betreiben 24 5.8 Prozessaudit durchfhren . 29 6 Anforderungen . 30 6.1 Anforderungen an den Integrator . 30 6.2 Anforderungen an den Hersteller . 32 7 Prozessdokumentation 33 8 Externe t

8、echnische Dokumentation 34 8.1 Externe technische Dokumentation des Integrators 34 8.2 Externe technische Dokumentation des Herstellers 34 Anhang Beispiele fr Inhalte eines PLT- Security-Konzepts fr Betreiber . 36 Schrifttum 38 Preliminary note 2 Introduction . 2 1 Scope 2 2 Normative references 3 3

9、 Terms and definitions 3 4 Usability and ergonomic 4 4.1 Dependencies . 4 4.2 Roles 7 4.3 Structure analysis . 7 4.4 Cause . 10 5 Applying the general model 13 5.1 Identify assets 13 5.2 Analyse threats. 14 5.3 Determine relevant security objectives 16 5.4 Analyse and assess risks 18 5.5 Identify in

10、dividual measures and assess their effectiveness 22 5.6 Select countermeasures 22 5.7 Implement and operate the overall solution 24 5.8 Perform process audit 29 6 Requirements . 30 6.1 Requirements to be met by the integrator 30 6.2 Requirements to be met by the device manufacturer 32 7 Process docu

11、mentation. 33 8 External technical documentation 34 8.1 External technical documentation of the integrator 34 8.2 External technical documentation of the device manufacturer . 34 Annex Sample contents of an I Allgemeines Vorgehensmodell 2 Normative references The following referenced document is ind

12、ispensa-ble for the application of this guideline: VDI/VDE 2182 Part 1:2011-01 IT-Security for industrial automation; General model 3 Begriffe Fr die Anwendung dieser Richtlinie gelten die folgenden Begriffe: LDPE-Anlage (Low-Density-Polyethylen-Anlage) Anlage, in der Polyethylen unter hohem Druck i

13、n einem Polymerisationsreaktor hergestellt wird. Anmerkung 1: Eine Anlage kann ca. 5000 Ein-/Ausgangs-signale umfassen. Anmerkung 2: Low Density Polyethylen (LDPE) ist ein Basisprodukt der Kunststoffherstellung. Betreiber Organisatorisch und technisch Verantwortlicher fr die gesamte Produktionsanlag

14、e. Anmerkung: Der Betreiber wird in diesem Beispiel durch den Betriebsleiter der Anlage reprsentiert. Er bertrgt die Reali-sierung von Neubau und Umbaumanahmen der Anlage ei-nem Integrator und wird dabei von der PLT-Fachabteilung seines Unternehmens untersttzt. PLT-Fachabteilung (Prozessleittechnik-

15、Fachabteilung) Fachabteilung, die in der anschlieenden Betriebs-phase die Wartung und Instandhaltung der Auto-matisierungseinrichtungen bernimmt, die Ver-antwortung fr die Informationssicherheit der ge-samten Automatisierungslsung vom Betreiber bertragen bekommt und sich aus den folgenden Abteilunge

16、n zusammensetzt: zentrale PLT-Fachbetreuung: verantwortlich fr betriebsbergreifende und Querschnittsthemen der PLT 3 Terms and definitions For the purposes of this guideline, the following terms and definitions apply: LDPE plant (low density polyethylene plant) Plant in which polyethylene is produce

17、d under high pressure in a polymerisation reactor. Note 1: A plant can include about 5000 input/output signals. Note 2: Low density polyethylene (LDPE) is a base product in the production of plastics. Plant manager Responsible person or unit for the overall produc-tion plant including the organizati

18、onal and technical aspects. Note: Plant manager, in this example, is represented by the head of operations of the plant. He commissions an integrator to execute the erection of a new plant and/or plant extension measures, in which he is supported by the companys I it is assigned the re-sponsibility

19、for the IT security of the entire auto-mation solution by the plant manager and in-cludes the following units: central I this is typically part of the client acceptance procedure. 4 Vorbereitende Manahmen Aus Sicht des Betreibers ist es notwendig, sowohl die Anforderungen whrend einer Projektphase,

20、in der eine bzw. mehrere Anlagen oder nur Teile da-von z. B. durch den Integrator mit ihren Automati-sierungskomponenten in bestehende Automatisie-rungseinrichtungen eingefgt werden, als auch die Aspekte des langfristigen Betreibens dieser Auto-matisierungseinrichtungen aufzuzeigen. Als bergeordnete

21、s Ziel soll ein bersichtliches, umsetzungsfhiges PLT-Security-Konzept defi-niert werden, das auch unterschiedlichen System-komponenten und ihren Versionen Rechnung trgt. Grundstzlich sollte in jedem Unternehmen ein IT-Security-Konzept und darauf aufbauend ein PLT-Security-Konzept existieren, das die

22、 Basis fr die nachfolgend beschriebenen Schritte darstellt. Die wesentlichen Inhalte eines PLT-Security-Konzepts sind im Anhang beschrieben. 4.1 Abhngigkeiten VDI/VDE 2182 Blatt 1 beschreibt, dass die Aktivi-tten von Herstellern, Integratoren sowie Betrei-bern hinsichtlich Security nicht unabhngig v

23、onei-nander betrachtet werden knnen. Fr jede der Rollen wird zwar ein eigener Security-Zyklus durchlaufen, zwischen diesen einzelnen Zyklen sind jedoch Informationen in jeweils beide Rich-tungen auszutauschen. Aus Sicht des Betreibers ergeben sich somit In-formationsbeziehungen vom bzw. zum Herstell

24、er und vom bzw. zum Integrator, deren Details in den folgenden Abschnitten beschrieben werden. Die in Bild 1 dargestellten Abhngigkeiten zwi-schen Betreiber und Integrator sowie zwischen Betreiber und Hersteller lassen sich in zwei we-sentliche Kategorien unterteilen: Anforderungen als Eingangsgren:

25、 Anforderungen an den Integrator (siehe Abschnitt 4.1.2) Anforderungen an den Hersteller (siehe Abschnitt 4.1.1) 4 Usability and ergonomic From the plant manager viewpoint, it is necessary to identify both the requirements during the project phase, while a plant or plants or parts thereof in-cluding

26、 their automation components are e.g. inte-grated in existing automation equipment by the integrator, and the long-term operation aspects of this automation equipment. It is the overall goal to define an I then the security cycle can run for the first time. Quote from VDI/VDE 2182 Part 1 “Once this

27、cycle has been completed, the system integrator provides the plant manager with the external technical documentation relating to the IT security characteristics of the entire automation system. The plant manager can then employ this documentation in his or her cycle as a basis for defining additiona

28、l countermeasures.” 4.3.1 Target of inspection In the sample project, an integrator has been asked to set up a manufacturing execution system (MES). A MES server collects process data from the I in diesem Beispiel: partieller oder vollstndiger Funktionsausfall falsche Produktionsentscheidungen aufgr

29、und von Datenmanipulation Know-how-Weitergabe an Mitbewerber Zu einem spteren Zeitpunkt kann der Katalog mit dem Integrator ergnzt werden, wenn Details der Topologie und der verwendeten Gerte festliegen. Phase 4 The direct consequences are identified by evaluat-ing what can happen to the plant, the

30、persons and the organization; in this example: loss of some or all functionality wrong production decisions made due to data manipulation transfer of know-how to competitors At a later time, the catalogue can be extended in cooperation with the integrator, after details have been established about t

31、he topology and devices used. 5.3 Relevante Schutzziele ermitteln Die identifizierten Bedrohungen werden den Schutzzielen fr die einzelnen Assets entsprechend den Betreiberanforderungen zugeordnet. Die Haupt-Schutzziele sind in der Regel Verfgbarkeit, Vertraulichkeit und Integritt (siehe auch Tabel-

32、le 3). Dies trifft auch fr das nachfolgend skizzier-te Beispiel zu. 5.3 Determine relevant security objectives The identified threats are assigned to the security objectives for the respective assets in accordance with the plant managers requirements. The key security objectives are typically availa

33、bility, confi-dentiality, and integrity (see also Table 3). This is also valid for the example outlined below. B55EB1B3E14C22109E918E8EA43EDB30F09DCDB7EF88D9NormCD - Stand 2013-06All rights reserved Verein Deutscher Ingenieure e.V., Dsseldorf 2013 VDI/VDE 2182 Blatt 3.3 / Part 3.3 17 Tabelle 3. Erwe

34、iterte Bedrohungsmatrix nach Ermittlung der Schutzziele Assets (Funktion/ Dienst) Bedrohung Verursacher/ Auslser Beispiel Schwachstelle Unmittelbare Folge Schutzziele VerfgbarkeitVertraulichkeitIntegrittBereitstellung der MES-Daten Schad-software Mitarbeiter be-sitzt Datentr-ger mit Schad-software B

35、eim Software-Transfer wird auch Schad-software trans-feriert. ungepatchtes Betriebssystem partieller oder vollstndiger Funktionsausfall X Bereitstellung der MES-Daten Know-how-Abfluss eigene Unter-nehmensmitar-beiter Datentransfer fr eigene Nut-zung Systemzugriff fr Unberechtigte mglich Unberechtigt

36、e gelangen in den Besitz von Daten. X Bereitstellung der MES-Daten Know-how-Abfluss frustrierter Mit-arbeiter/Spion Datentransfer fr eigene Nut-zung menschliche Schwchen Unberechtigte gelangen in den Besitz von Daten. X Bereitstellung der MES-Daten Datenmani-pulation frustrierter Mit-arbeiter frustr

37、ierter Mit-arbeiter rcht sich menschliche Schwchen falsche Produkti-onsentscheidungen X Bedienung MES technischer Defekt Stromausfall n. a. nur singulre Spannungsver-sorgung partieller oder vollstndiger Funktionsausfall X Bedienung MES Know-how-Abfluss Fremdpersonal Arbeitsplatz-PC zugnglich fr Frem

38、de Systemzugriff fr Unberechtigte mglich Unberechtigte gelangen in den Besitz von Daten. X Remote-Service Defekt in der ber-gangs-strecke defekter Router Remote-Service nicht funktionsfhig komplexe, vielfl-tige Hardware Strungsbeseiti-gung dauert ln-ger. X Remote-Service Know-how-Abfluss Remote-Serv

39、iceleiter Remote-Serviceleiter missbraucht Zugang Security-Ma-nahmen beim Dienstleister Unberechtigte gelangen in den Besitz von Daten fhren unbe-rechtigte Funkti-onen aus st-ren Systeme X X X Remote-Service Datenmani-pulation Hacker Fremder miss-braucht Zugang ber ffentli-chen bertra-gungsweg Secur

40、ity-Ma-nahmen beim Dienstleister Unberechtigte gelangen in den Besitz von Daten fhren unbe-rechtigte Funkti-onen aus st-ren Systeme X X X Bei Remote-Service-Einstzen nutzt der berechtig-te Service-Mitarbeiter (der kein Mitarbeiter des Betreibers ist) seinen Systemzugang aus, um Daten aus dem zu wart

41、enden System zu kopieren, die er auftragsgem nicht bentigt also unberechtigt. Dadurch liegt eine Verletzung der Vertraulichkeit vor. Der Mitarbeiter des Betreibers fhrt die glei-che Ttigkeit durch sie liegt in seinem Aufga-benbereich also berechtigt. Die Aktion bedeutet keine Verletzung der Vertraul

42、ichkeit. Geben die Nutzer die Daten an Dritte weiter, wird in beiden Fllen die Vertraulichkeit der Daten verletzt. In remote service missions, the authorized person (who is not an employee of the plant manager) uses his or her system access for copying data he does not need for his mission i.e. unau

43、thorized. This is a breach of confidentiality. The plant man-agers employee doing the same thing does so with authorization, as it lies within his area of responsi-bility. This action is not a breach of confidentiality. If any of them gives the data to third parties, this is in both cases a violatio

44、n of data confidentiality. B55EB1B3E14C22109E918E8EA43EDB30F09DCDB7EF88D9NormCD - Stand 2013-06 18 VDI/VDE 2182 Blatt 3.3 / Part 3.3 Alle Rechte vorbehalten Verein Deutscher Ingenieure e.V., Dsseldorf 2013 Table 3. Extended threat matrix after identification of security objectives Assets (function/

45、service) Threat Cause Example Vulnerability Direct conse-quence Security ob-jectives AvailabilityConfidentialityIntegrityProvision of MES data malware employees has data media carrying mal-ware The software transfer also transfers mal-ware. unpatched oper-ating system loss of some or all functionali

46、ty X Provision of MES data drainage of know-how companys own employees transfer of data for ones own use unauthorized persons have access to system unauthorized persons acquire data X provision of MES data drainage of know-how frustrated em-ployee/spy transfer of data for ones own use human weak-nes

47、ses unauthorized persons acquire data X Provision of MES data data ma-nipulation frustrated em-ployees frustrated em-ployee takes revenge human weak-nesses wrong production decisions X MES opera-tion technical defect power failure none non-redundant power supply loss of some or all functionality X M

48、ES opera-tion drainage of know-how external per-sonnel workplace PC accessible to externals unauthorized persons have access to system unauthorized persons acquire data X Remote ser-vice defect in the transfer line defective router remote service not functional complex, diverse hardware faults take

49、longer to eliminate X Remote ser-vice drainage of know-how remote service manager remote service manager mis-uses access security meas-ures at the ser-vice provider unauthorized persons acquire data running of unauthorized functions dis-turbance of sys-tems X X X Remote ser-vice data ma-nipulation hackers external person misuses access via public trans-fer line security meas-ures at the ser-vice provider unauthori