Iects62443 1 1 (Ed1.0) en

Hak Cipta IEC Central Secretariat. Copy standar ini dibuat untuk kegiatan perumusan SNI.
Penanggung
jawab dokumen: Komite Teknis 35-04 Keamanan Informasi, Keamanan Siber, dan Perlindungan Privasi
IEC/TS 62443-1-1
colour
Edition 1.0 2009-07
inside
Industrial communication networks – Network and system security –

Part 1-1: Terminology, concepts and models
SPECIFICATION
TECHNICAL
®
IEC/TS 62443-1-
1:2009(E)
THIS PUBLICATION IS COPYRIGHT PROTECTED
Copyright © 2009 IEC, Geneva, Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either IEC or IEC's member National
Committee in the country of the requester.
If you have any questions about IEC copyright or have an enquiry about obtaining additional rights to this publication, please contact the
address below or your local IEC member National Committee for further information.
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord
écrit de la CEI ou du Comité national de la CEI du pays du demandeur.
Si vous avez des questions sur le copyright de la CEI ou si vous désirez obtenir des droits supplémentaires sur cette publication, utilisez les
Hak Cipta IEC Central Secretariat. Copy standar ini dibuat untuk kegiatan perumusan SNI. Penanggung
coordonnées ci-après ou contactez le Comité national de la CEI de votre pays de résidence.
IEC Central Office 3, rue de Varembé CH-1211 Geneva 20 Switzerland

Email: 0iH nmail@iec.ch Web: w ww.iec.ch
1 H
About IEC publications

The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the latest
edition, a corrigenda or an amendment might have been published.
 Catalogue of IEC publications: w ww.iec.ch/searchpub
2 H
The IEC on-line Catalogue enables you to search by a variety of criteria (reference number, text, technical committee,…).
It also gives information on projects, withdrawn and replaced publications.
 IEC Just Published: w ww.iec.ch/online_news/justpub
3 H
Stay up to date on all new IEC publications. Just Published details twice a month all new publications released. Available on-line
and also by email.
 Electropedia: w ww.electropedia.org
4 H
The world's leading online dictionary of electronic and electrical terms containing more than 20 000 terms and definitions
in English and French, with equivalent terms in additional languages. Also known as the International Electrotechnical
Vocabulary online.
 Customer Service Centre: w ww.iec.ch/webstore/custserv
5 H
If you wish to give us your feedback on this publication or need further assistance, please visit the Customer Service Centre
FAQ or contact us:
Email: c sc@iec.ch
6 H
Tel.: +41 22 919 02 11

Fax: +41 22 919 03 00
IEC/TS 62443-1-1
®
Edition 1.0 2009-07
TECHNICAL
SPECIFICATION
colour
inside
Industrial communication networks – Network and system security –

Part 1-1: Terminology, concepts and models
INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
PRICE CODE
XC
ICS 25.040.40; 33.040.040; 35.040
ISBN 978-2-88910-710-0
® Registered trademark of the International Electrotechnical Commission

–2– TS 62443-1-1  IEC:2009(E)
CONTENTS
FOREWORD......................................................................................................................................... 5
INTRODUCTION.................................................................................................................................. 7
1 Scope.............................................................................................................................................. 8
1.1 General................................................................................................................................. 8
1.2 Included functionality.......................................................................................................... 8
1.3 Systems and interfaces....................................................................................................... 8
1.4 Activity-based criteria.......................................................................................................... 9
1.5 Asset-based criteria............................................................................................................ 9
2 Normative references.................................................................................................................. 10
3 Terms, definitions and abbreviations......................................................................................... 10
3.1 General.............................................................................................................................. 10
3.2 Terms and definitions....................................................................................................... 10
3.3 Abbreviations..................................................................................................................... 26
4 The situation................................................................................................................................ 27
4.1 General.............................................................................................................................. 27
4.2 Current systems................................................................................................................ 27
4.3 Current trends................................................................................................................... 28
4.4 Potential impact................................................................................................................. 28
5 Concepts...................................................................................................................................... 29
5.1 General.............................................................................................................................. 29
5.2 Security objectives............................................................................................................ 29
5.3 Foundational requirements............................................................................................... 30
5.4 Defence in depth............................................................................................................... 30
5.5 Security context................................................................................................................. 30
5.6 Threat-risk assessment.................................................................................................... 32
5.6.1 General................................................................................................................. 32
5.6.2 Assets................................................................................................................... 32
5.6.3 Vulnerabilities....................................................................................................... 34
5.6.4 Risk........................................................................................................................ 34
5.6.5 Threats.................................................................................................................. 36
5.6.6 Countermeasures................................................................................................. 38
5.7 Security program maturity................................................................................................ 39
5.7.1 Overview............................................................................................................... 39
5.7.2 Maturity phases.................................................................................................... 42
5.8 Policies............................................................................................................................... 45
5.8.1 Overview............................................................................................................... 45
5.8.2 Enterprise level policy.......................................................................................... 46
5.8.3 Operational policies and procedures..................................................................47
5.8.4 Topics covered by policies and procedures.......................................................47
5.9 Security zones................................................................................................................... 50
5.9.1 General................................................................................................................. 50
5.9.2 Determining requirements...................................................................................50
5.10 Conduits............................................................................................................................. 51
5.10.1 General................................................................................................................. 51
5.10.2 Channels............................................................................................................... 52
5.11 Security levels.................................................................................................................... 53
TS 62443-1-1  IEC:2009(E) –3–
5.11.1 General................................................................................................................. 53
5.11.2 Types of security levels.......................................................................................53
5.11.3 Factors influencing SL(achieved) of a zone or conduit......................................55
5.11.4 Impact of countermeasures and inherent security properties of
devices and systems............................................................................................ 57
5.12 Security level lifecycle....................................................................................................... 57
5.12.1 General................................................................................................................. 57
5.12.2 Assess phase....................................................................................................... 58
5.12.3 Develop and implement phase............................................................................59
5.12.4 Maintain phase..................................................................................................... 60
6 Models.......................................................................................................................................... 61
6.1 General.............................................................................................................................. 61
6.2 Reference models............................................................................................................. 62
6.2.1 Overview............................................................................................................... 62
6.2.2 Reference model levels.......................................................................................63
6.3 Asset models..................................................................................................................... 65
6.3.1 Overview............................................................................................................... 65
6.3.2 Enterprise.............................................................................................................. 68
6.3.3 Geographic sites.................................................................................................. 68
6.3.4 Area....................................................................................................................... 68
6.3.5 Lines, units, cells, vehicles..................................................................................68
6.3.6 Supervisory control equipment............................................................................68
6.3.7 Control equipment................................................................................................ 68
6.3.8 Field I/O network.................................................................................................. 69
6.3.9 Sensors and actuators......................................................................................... 69
6.3.10 Equipment under control......................................................................................69
6.4 Reference architecture..................................................................................................... 69
6.5 Zone and conduit model................................................................................................... 69
6.5.1 General................................................................................................................. 69
6.5.2 Defining security zones........................................................................................ 70
6.5.3 Zone identification................................................................................................ 70
6.5.4 Zone characteristics............................................................................................. 74
6.5.5 Defining conduits.................................................................................................. 76
6.5.6 Conduit characteristics........................................................................................ 77
6.6 Model relationships........................................................................................................... 79
Bibliography........................................................................................................................................ 81
Figure 1 – Comparison of objectives between IACS and general IT systems..............................29

Figure 2 – Context element relationships......................................................................................... 31
Figure 3 – Context model.................................................................................................................. 31
Figure 4 – Integration of business and IACS cybersecurity............................................................40
Figure 5 – Cybersecurity level over time.......................................................................................... 40
Figure 6 – Integration of resources to develop the CSMS..............................................................41
Figure 7 – Conduit example.............................................................................................................. 52
Figure 8 – Security level lifecycle...................................................................................................... 58
Figure 9 – Security level lifecycle – Assess phase..........................................................................59
Figure 10 – Security level lifecycle – Implement phase..................................................................60
Figure 11 – Security level lifecycle – Maintain phase......................................................................61
–4– TS 62443-1-1  IEC:2009(E)
Figure 12 – Reference model for IEC 62443 standards.................................................................62

Figure 13 – SCADA reference model............................................................................................... 63
Figure 14 – Process manufacturing asset model example.............................................................66
Figure 15 – SCADA system asset model example..........................................................................67
Figure 16 – Reference architecture example...................................................................................69
Figure 17 – Multiplant zone example................................................................................................ 71
Figure 18 – Separate zones example............................................................................................... 72
Figure 19 – SCADA zone example................................................................................................... 73
Figure 20 – SCADA separate zones example..................................................................................74
Figure 21 – Enterprise conduit.......................................................................................................... 77
Figure 22 – SCADA conduit example............................................................................................... 78
Figure 23 – Model relationships........................................................................................................ 80
Table 1 – Types of loss by asset type.............................................................................................. 33

Table 2 – Security maturity phases................................................................................................... 43
Table 3 – Concept phase................................................................................................................... 43
Table 4 – Functional analysis phase................................................................................................. 43
Table 5 – Implementation phase....................................................................................................... 44
Table 6 – Operations phase.............................................................................................................. 44
Table 7 – Recycle and disposal phase............................................................................................. 45
Table 8 – Security levels.................................................................................................................... 53
TS 62443-1-1  IEC:2009(E) –5–
INTERNATIONAL ELECTROTECHNICAL COMMISSION
JARINGAN KOMUNIKASI INDUSTRI – JARINGAN

DAN KEAMANAN SISTEM–
Bagian 1-1: Terminologi, konsep dan model
KATA PENGANTAR
1) International Electrotechnical Commission (IEC) adalah sebuah organisasi di seluruh dunia untuk standardisasi yang
terdiri dari semua komite elektroteknik nasional (IEC National Committees). Tujuan dari IEC adalah untuk
mempromosikan kerjasama internasional pada semua pertanyaan mengenai standardisasi di bidang listrik dan
elektronik. Untuk tujuan ini dan di samping kegiatan lainnya, IEC menerbitkan Standar Internasional, Spesifikasi
Teknis, Laporan Teknis, Spesifikasi yang Tersedia untuk Umum (PAS) dan Panduan (selanjutnya disebut sebagai
“IEC Publication”). Persiapan hal itu dipercayakan kepada panitia teknis; setiap Komite Nasional IEC yang tertarik
dengan topik yang dibahas dapat berpartisipasi dalam pekerjaan persiapan. Organisasi internasional, pemerintah dan
non-pemerintah yang berhubungan dengan IEC juga berpartisipasi dalam persiapan.
2) Keputusan atau kesepakatan formal IEC tentang hal-hal teknis mengungkapkan, sedekat mungkin, pendapat
persetujuan umum internasional tentang hal yang relevan karena setiap komite teknis memiliki perwakilan dari semua
yang berkepentingan IEC National Committees.
3) IEC Publication mempunyai bentuk rekomendasi untuk penggunaan internasional dan diterima oleh IEC National
Committees dalam maksud itu. Sementara semua upaya yang wajar dilakukan untuk memastikan bahwa konten
teknis Publikasi IEC akurat, IEC tidak dapat bertanggung jawab atas cara penggunaannya atau atas salah tafsir
oleh pengguna perangkat mana pun.
4) Dalam hal promosi keseragaman internasional, IEC National Committees berusaha untuk menerapkan IEC
Publication secara transparan semaksimal mungkin dalam hal publikasi nasional dan regional. Setiap perbedaan
antara IEC Publication dan publikasi nasional atau regional harus diindikasikan dengan jelas kebelakangnya.
5) IEC tidak memberikan prosedur penandaan untuk menunjukkan persetujuannya dan tidak dapat dianggap
bertanggung jawab atas peralatan yang dinyatakan sesuai dengan IEC Publication.
6) Semua pengguna harus memastikan bahwa mempunyai edisi terbaru dari publikasi tersebut.
7) Tidak ada kewajiban yang melekat pada IEC atau direktur, karyawan, pegawai atau agennya termasuk ahli individu
dan anggota komite teknisnya dan IEC National Committees atas kerusakan pribadi, kerusakan properti, atau
kerusakan lain dalam bentuk apa pun, baik langsung maupun tidak langsung, atau untuk biaya (termasuk biaya
hukum) dan pengeluaran yang timbul dari publikasi, penggunaan, atau ketergantungan pada, IEC Publication ini atau
Publikasi IEC lainnya.
8) Perhatian diberikan pada referensi Normatif yang dikutip dalam publikasi ini. Penggunaan publikasi yang dirujuk
sangat diperlukan untuk penerapan yang benar dari publikasi ini.
9) Perhatian diberikan pada kemungkinan bahwa beberapa elemen dari Publikasi IEC ini dapat menjadi subyek hak
paten. IEC tidak bertanggung jawab untuk mengidentifikasi salah satu atau semua hak paten tersebut
Tugas utama komite teknis IEC adalah menyiapkan Standar Internasional. Dalam keadaan luar
biasa, komite teknis dapat mengusulkan publikasi spesifikasi teknis ketika:
• dukungan yang diperlukan tidak dapat diperoleh untuk penerbitan Standar Internasional,
meskipun telah dilakukan upaya berulang kali, atau
• subjek masih dalam pengembangan teknis atau di mana, untuk alasan lain, ada masa depan
tetapi tidak ada kemungkinan segera untuk kesepakatan tentang Standar Internasional.
Spesifikasi teknis dapat ditinjau dalam waktu tiga tahun setelah publikasi untuk memutuskan
apakah spesifikasi tersebut dapat diubah menjadi Standar Internasional.
IEC 62443-1-1, yaituspesifikasi teknis, telah disiapkan oleh komite teknis IEC 65: Pengukuran,
kontrol, dan otomatisasi proses industri.
Spesifikasi teknis ini berasal dari standar ANSI/S99.01.01 AS yang sesuai.

–6– TS 62443-1-1  IEC:2009(E)
Teks spesifikasi dari teknis ini didasarkan pada dokumen-dokumen berikut:
Draft Pertanyaan Laporan pemungutan suara

65/423/DTS 65/432A/RVC
Informasi lengkap tentang pemungutan suara untuk persetujuan spesifikasi teknis ini dapat
ditemukan dalam laporan pemungutan suara yang ditunjukkan pada tabel di atas.
Publikasi ini telah disusun sesuai dengan Petunjuk ISO/IEC, Bagian 2.
Daftar semua bagian dari seri IEC 62433, diterbitkan dengan judul umum Industrial communication
networks – Network and system security, dapat ditemukan di situs web IEC.
Komisi telah memutuskan bahwa isi dari publikasi ini tidak akan berubah sampai tanggal hasil
pemeliharaan yang ditunjukkan di situs web IEC di bawah"http://webstore.iec.c h" dalam data
yang terkait dengan publikasi tertentu. Pada tanggal ini, publikasi akan
• diubah menjadi standar Internasional,

• dikonfirmasi ulang,
• ditarik,
• digantikan olehedisi revisi, atau
• diubah.
Versi bahasa lain dari pulikasi ini dapat diterbitkan di kemudian hari.
CATATAN Revisi spesifikasi teknis ini akan disinkronkan dengan bagian lain dari seri IEC 62443.
IMPORTANT – The “colour inside” logo on the cover page of this publication indicates that
it contains colours which are considered to be useful for the correct understanding of its
contents. Users should therefore print this publication using a colour printer.
TS 62443-1-1  IEC:2009(E) –7–
PENDAHULUAN
Subjek dari spesifikasi teknis ini adalah keamanan untuk otomasi industri dan sistem kontrol.
Untuk mengatasi berbagai aplikasi (yaitu, jenis industri), masing-masing istilah dalam deskripsi ini
telah ditafsirkan dengan sangat luas.
Istilah "Industrial Automation and Control Systems" (IACS), termasuk sistem kontrol yang
digunakan pada manufaktur dan pabrik pengolahan dan fasilitas, membangun sistem kontrol
lingkungan, operasi yang tersebar secara geografis seperti kebutuhan (yaitu, listrik, gas, dan air),
jaringan pipa dan minyak bumi, fasilitas produksi dan distribusi, serta industri dan aplikasi lain
seperti jaringan transportasi, yang menggunakan aset otomatis atau yang dikendalikan atau
dipantau dari jarak jauh.
Istilah "keamanan" dianggap di sini berarti pencegahan penetrasi ilegal atau tidak diinginkan,
gangguan yang disengaja atau tidak disengaja dengan operasi yang tepat dan dimaksudkan,
atau akses yang tidak tepat ke informasi rahasia di IACS. Cybersecurity yang merupakan fokus
khusus dari spesifikasi teknis ini, termasuk komputer, jaringan, sistem operasi, aplikasi, dan
komponen sistem yang dapat dikonfigurasi lainnya yang dapat diprogram.
Audiens untuk spesifikasi teknis ini mencakup semua pengguna IACS (termasuk operasi fasilitas,
pemeliharaan, teknik, dan komponen perusahaan dari organisasi pengguna), produsen,
pemasok, organisasi pemerintah yang terlibat dengan, atau terpengaruh oleh, keamanan siber
sistem kontrol, praktisi sistem kontrol, dan praktisi keamanan. Karena saling pengertian dan
kerjasama antara teknologi informasi (TI) dan operasi, rekayasa, dan organisasi manufaktur
penting untuk keberhasilan keseluruhan inisiatif keamanan, spesifikasi teknis ini juga referensi
pada yang bertanggung jawab untuk integrasi IACS dan jaringan perusahaan
Pertanyaan umum yang dibahas oleh spesifikasi teknis ini meliputi:
a) Apa cakupan umum aplikasi untuk keamanan IACS?

b) Bagaimana kebutuhan dan persyaratansistem keamanan didefinisikan menggunakan terminologi
yang konsisten?
c) Apa konsep dasar yang membentuk dasar untuk analisis lebih lanjut dari aktivitas, atribut
sistem, dan tindakan yang penting untuk menyediakan sistem kontrol yang aman secara
elektronik?
d) Bagaimana komponen IACS dapat dikelompokkan atau diklasifikasikan untuk tujuan
mendefinisikan dan mengelola keamanan?
e) Apa tujuan keamanan siber yang berbeda untuk aplikasi sistem kontrol?
f) Bagaimana tujuan ini dapat ditetapkan dan dikodifikasikan?
Masing-masing pertanyaan ini dibahas secara rinci dalam klausul selanjutnya dari spesifikasi teknis
ini.
–8– TS 62443-1-1  IEC:2009(E)
JARINGAN KOMUNIKASI INDUSTRI – JARINGAN

DAN KEAMANAN SISTEM –
Bagian 1-1: Terminologi, konsep dan model
1 Cakupan
1.1 Umum
Bagian dari seri IEC 62443 ini adalah spesifikasi teknis yang mendefinisikan terminologi, konsep, dan
model untuk keamanan Industrial Automation and Control Systems (IACS). Ini menetapkan dasar
untuk standar yang tersisa dalam seri IEC 62443.
Untuk sepenuhnya mengartikulasikan sistem dan komponen alamat seri IEC 62443, jangkauan
cakupan dapat didefinisikan dan dipahami dari beberapa perspektif, termasuk yang berikut:
a) berbagai fungsionalitas yang disertakan;

b) sistem dan antarmuka tertentu;
c) kriteria untuk memilih kegiatan yang termasuk;
d) kriteria untuk memilih aset yang disertakan
Masing-masing dijelaskan dalam subklausa berikut:
1.2 Fungsionalitas yang termasuk
Cakupan spesifikasi teknis ini dapat dijelaskan dalam hal jangkauan fungsionalitas dalam sistem
informasi dan otomasi organisasi. Fungsionalitas ini biasanya dijelaskan dalam satu atau lebih model.
Spesifikasi teknis ini berfokus terutama pada otomasi dan kontrol industri, seperti yang
dijelaskan dalammodel referensi (ditinjau Klausul 6). Perencanaan bisnis dan sistem logistik tidak
secara eksplisit dibahas dalam lingkup spesifikasi teknis ini, meskipun integritas data yang
dipertukarkan antara sistem bisnis dan industri dipertimbangkan.
Otomasi dan kontrol industri mencakup komponen kontrol pengawasan yang biasanya ditemukan di
industri proses. Ini juga mencakup sistem SCADA (Supervisory Control and Data Acquisition) yang
biasa digunakan oleh organisasi yang beroperasi di industri infrastruktur kritis. Ini termasuk yang
berikut:
a) transmisi dan distribusi tenaga listrik;

b) jaringan distribusi gas dan air;
c) operasi produksi minyak dan gas bumi;
d) pipa transmisi gas dan cairan.
Ini bukan daftar eksklusif. Sistem SCADA juga dapat ditemukan di industri infrastruktur kritis dan
non-kritis lainnya.
1.1 Sistem dan antarmuka
Dalam mencakup semua IACS, spesifikasi teknis ini mencakup sistem yang dapat mempengaruhi
atau mempengaruhi operasi proses industri yang aman, terjamin, dan andal. Hal itu termasuk,
tetapi tidak terbatas pada:
TS 62443-1-1  IEC:2009(E) –9–
a) Sistem kontrol industri dan jaringan komunikasi terkaitnya, termasuk distributed control
systems (DCS), programmable logic controllers (PLC), remote terminal units (RTU), perangkat
elektronik cerdas, sistem SCADA, sensor dan control pada jaringan elektronik, sistem transfer
pengukuran dan penjagaan, serta sistem pemantauan dan diagnostik. (Dalam konteks ini, sistem
kontrol industri mencakup sistem kontrol proses dasar dan fungsi Safety-Instrumented System
(SIS), baik secara fisik terpisah atau terintegrasi.)
b) Sistem terkait di level 3 atau di bawah model referensi yang dijelaskan dalam Klausul 6.
Contohnya termasuk kontrol lanjutan atau multivariabel, pengoptimal online, monitor peralatan
khusus, antarmuka grafis, proses penyimpanan, sistem eksekusi manufaktur, sistem deteksi
kebocoran aliran, manajemen kerja, manajemen pemadaman, dan Sistem Menejemen energi
listrik.
c) Antarmuka internal, manusia, jaringan, perangkat lunak, mesin, atau perangkat terkait yang
digunakan untuk menyediakan fungsi kontrol, keselamatan, manufaktur, atau operasi jarak
jauh untuk proses kontinu, batch, diskrit, dan proses lainnya.
1.4 Activity-based criteria
IEC 62443-2-12 memberikan kriteria untuk mendefinisikan aktivitas yang terkait dengan operasi
manufaktur.Daftar serupa telah dikembangkan untuk menentukan ruang lingkup spesifikasi
teknis ini. Suatu sistem harus dipertimbangkan berada dalam kisaran cakupan seri IEC 62443
jika aktivitas yang dilakukannya diperlukan untuk salah satu dari berikut ini:
a) operasi proses yang dapat diprediksi;

b) keselamatan proses atau personel;
c) keandalan atau ketersediaan proses;
d) efisiensi proses;
e) pengoperasian proses;
f) kualitas produk;
g) perlindungan lingkungan;
h) kepatuhan terhadap peraturan;
i) penjualan produk atau transfer hak asuh.
1.5 Kriteria berbasis aset
Cakupan spesifikasi teknis ini mencakup sistem dalam aset yang memenuhi salah satu kriteria
berikut, atau yang keamanannya penting untuk perlindungan aset lain yang memenuhi kriteria
ini:
a) Aset tersebut memiliki nilai ekonomis untukproses produksi atau operasi.

b) Aset berfungsifungsi yang diperlukan untuk pengoperasian proses manufaktur atau operasi.
c) Aset tersebut mewakili kekayaan intelektual dariproses produksi atau operasi.
d) Aset diperlukan untuk mengoperasikan dan memelihara keamanan untukproses produksi atau
operasi.
e) Aset diperlukan untuk melindungi personel, kontraktor, dan pengunjung yang terlibat
dalamproses produksi atau operasi.
f) Aset diperlukan untuk melindungi lingkungan.
1
The term “communications networks” includes all types of communications media, including various types of
wireless communications. A detailed description of the use of wireless communications in industrial automation
systems is beyond the scope of this technical specification. Wireless communication techniques are specifically
mentioned only in situations where their use or application may change the nature of the security applied or
required.
2
To be published.
– 10 – TS 62443-1-1  IEC:2009(E)
g) Aset diperlukan untuk melindungi publik dari peristiwa yang disebabkan olehproses produksi
atau operasi.
h) Asetnya adalahpersyaratan hukum, terutama untuk tujuan keamanan proses manufaktur atau
operasi.
i) Aset diperlukan untuk pemulihan bencana.
j) Aset diperlukan untuk mencatat peristiwa keamanan.
Sebaran ini mencakup sistem yang komprominya dapat mengakibatkan membahayakan
kesehatan atau keselamatan publik atau karyawan, hilangnya kepercayaan publik, pelanggaran
persyaratan peraturan, kehilangan atau ketidakabsahan informasi kepemilikan atau rahasia,
pencemaran lingkungan, dan/atau kerugian atau dampak ekonomi. pada suatu entitas atau
keamanan lokal atau nasional.
2 Acuan normatif
Dokumen referensi berikut sangat diperlukan untuk penerapan dokumen ini. Untuk referensi
bertanggal, hanya edisi yang dikutip yang berlaku. Untuk referensi yang tidak bertanggal, berlaku
edisi terbaru dari dokumen yang diacu (termasuk amandemennya).
IEC 62264-1, Enterprise-control system integration – Part 1: Models and terminology
ISO/IEC 15408-1, Information technology – Security techniques – Evaluation criteria for IT security –
Part 1: Introduction and general model
3 Istilah, definisi, dan singkatan
3.1 Umum
Sedapat mungkin, definisi telah diadaptasi dari yang digunakan dalam sumber industri mapan.
Beberapa definisi telah diadaptasi dari definisi yang lebih umum yang digunakan dalam industri TI.
3.2 Istilah dan definisi
Untuk tujuan dokumen ini, istilah dan definisi berikut berlaku:
3.2.1
akses
kemampuan dan maksud untuk berkomunikasi dengan atau berinteraksi dengan sistem untuk
menggunakan sumber daya sistem
CATATAN Akses mungkin melibatkan akses fisik (otorisasi untuk diizinkan secara fisik di suatu area, kepemilikan) kunci
kunci fisik, kode PIN, atau kartu akses atau atribut biometrik yang memungkinkan akses) atau akses logis (otorisasi untuk
masuk ke sistem dan aplikasi, melalui kombinasi cara logis dan fisik).
3.2.2
kontrol akses
perlindungan sumber daya sistem terhadap akses yang tidak sah; sebuah proses dimana
penggunaan sumber daya sistem diatur sesuai dengan kebijakan keamanan dan hanya diizinkan oleh
entitas yang berwenang (pengguna, program, proses, atau sistem lain) sesuai dengan kebijakan itu
[10]3
[RFC 2828, modified]
3 Numbers in square brackets refer to the Bibliography.

TS 62443-1-1  IEC:2009(E) – 11 –
3.2.3
akuntabilitas
milik sistem (termasuk semua sumber daya sistemnya) yang memastikan bahwa tindakan entitas
sistem dapat dilacak secara unik ke entitas itu, yang dapat dianggap bertanggung jawab atas
tindakannya [10]
3.2.4
aplikasi
program perangkat lunak yang melakukan fungsi tertentu yang diprakarsai oleh perintah
pengguna atau peristiwa proses dan yang dapat dieksekusi tanpa akses ke kontrol sistem,
pemantauan, atau hak administratif
3.2.5
bidang
bagian dari kelompok aset fisik, geografis, atau logis situs
CATATAN Suatu area dapat berisi jalur manufaktur, sel proses, dan unit produksi. Area dapat dihubungkan satu sama
lain denganjaringan area lokal situs dan mungkin berisi sistem yang terkait dengan operasi yang dilakukan di area itu.
3.2.6
aset
objek fisik atau logis yang dimiliki oleh atau di bawah tugas pemeliharaan suatu organisasi,
memiliki salah satu dari:nilai yang dirasakan atau aktual bagi organisasi
CATATAN Dalam hal otomasi industri dan sistem kontrol, aset fisik yang memiliki nilai terukur langsung terbesar dapat berupa
peralatan yang dikendalikan.
3.2.7
asosiasi
hubungan kerjasama antara entitas sistem, biasanya untuk tujuan mentransfer informasi di antara
mereka [10]
3.2.8
jaminan
atribut dari sistem yang memberikan alasan untuk memiliki keyakinan bahwa sistem beroperasi
sedemikian rupa sehingga kebijakan keamanan sistem ditegakkan
3.2.9
serangan
menyerang sistem yang berasal dari ancaman cerdas — yaitu, tindakan cerdas yang merupakan
upaya yang disengaja (terutama dalam arti metode atau teknik) untuk menghindari layanan keamanan
dan melanggar kebijakan keamanan suatu sistem [10]
CATATAN Ada beberapa kelas serangan yang umum dikenal:

 Sebuah "serangan aktif" mencoba untuk mengubah sumber daya sistem atau mempengaruhi operasi mereka.
 Sebuah "serangan pasif" mencoba untuk mempelajari atau menggunakan informasi dari sistem tetapi tidak mempengaruhi
sumber daya sistem.
 "Serangan orang dalam" adalah serangan yang diprakarsai oleh entitas di dalam perimeter keamanan ("orang
dalam")– yaitu, entitas yang diberi otorisasi untuk mengakses sumber daya sistem tetapi menggunakannya dengan cara
yang tidak disetujui oleh mereka yang memberikan otorisasi.
 "Serangan luar" dimulai dari luar perimeter, oleh pengguna sistem yang tidak sah atau tidak sah (termasuk orang
dalam yang menyerang dari luar perimeter keamanan). Potensi penyerang luar berkisar dari orang iseng amatir
hingga penjahat terorganisir, teroris internasional, dan pemerintah yang bermusuhan.
3.2.10
serangan pohon
formal, cara metodis untuk menemukan cara untuk menyerang keamanan sistem
– 12 – TS 62443-1-1  IEC:2009(E)
3.2.11
audit
tinjauan independen dan pemeriksaan catatan dan kegiatan untuk menilai kecukupan
pengendalian sistem, untuk memastikan kepatuhan terhadap kebijakan dan prosedur
operasional yang ditetapkan, dan untuk merekomendasikan perubahan yang diperlukan dalam
pengendalian, kebijakan, atau prosedur
CATATAN Ada tiga bentuk audit
 Audit eksternal dilakukan oleh pihak yang bukan karyawan atau kontraktor organisasi.
 Audit internal dilakukan olehunit organisasi terpisah yang didedikasikan untuk audit internal.
 Kontrol penilaian diri dilakukan oleh anggota rekan dari fungsi otomatisasi proses.
3.2.12
mengautentikasi
verifikasi identitas pengguna, perangkat pengguna, atau entitas lain, atau integritas data yang
disimpan, ditransmisikan, atau terpapar modifikasi yang tidak sah dalam sistem informasi, atau untuk
menetapkan validitas transmisi
3.2.13
autentikasi
ukuran keamanan yang dirancang untuk menetapkan validitastransmisi, pesan, atau pencetus,
atau sarana untuk memverifikasi otorisasi individu untuk menerima kategori informasi tertentu
3.2.14
otorisasi
hak atau izin yang diberikan kepada entitas sistem untuk mengakses sumber daya sistem
3.2.15
otorisasi
perangkat seluler yang mencakupsistem kontrol yang memungkinkannya beroperasi secara
mandiri atau di bawah kendali jarak jauh
3.2.16
ketersediaan (performance)
kemampuan item untuk berada dikeadaan untuk melakukan fungsi yang diperlukan dalam kondisi
tertentu pada saat tertentu atau selama interval waktu tertentu, dengan asumsi bahwa sumber daya
eksternal yang diperlukan disediakan
CATATAN1 Kemampuan ini tergantung pada aspek gabungan dari kinerja keandalan, kinerja pemeliharaan, dan kinerja
dukungan pemeliharaan.
CATATAN2 Sumber daya eksternal yang diperlukan, selain sumber daya pemeliharaan tidak mempengaruhi kinerja
ketersediaan item.
CATATAN 3 Dalam bahasa Prancis, istilah "disponibilité" juga digunakan dalam pengertian "ketersediaan seketika".
3.2.17
batasan
tepi atau batas zona keamanan fisik atau logis
3.2.18
botnet
kumpulan robot perangkat lunak, atau bot, yang berjalan secara mandiri
CATATAN Pembuat botnet dapat mengontrol grup dari jarak jauh, mungkin untuk tujuan jahat.
3.2.19
batas
perangkat lunak, perangkat keras, atau penghalang fisik lainnya yang membatasi akses ke sistem atau
bagian dari sistem
TS 62443-1-1  IEC:2009(E) – 13 –
3.2.20
channel
tautan komunikasi khusus yang dibuat dalam saluran komunikasi
3.2.21
teks sandi
data yang telah diubah dengan enkripsi sehingga konten informasi semantiknya (yaitu, maknanya)
tidak lagi dapat dipahami atau tersedia secara langsung
3.2.22
klien
perangkat atau aplikasi yang menerima atau meminta layanan atau informasi dari aplikasi server
3.2.23
jalur komunikasi
hubungan logis antarasumber dan satu atau lebih tujuan, yang dapat berupa perangkat, proses
fisik, item data, perintah, atau antarmuka terprogram
CATATAN Jalur komunikasi tidak terbatas pada jaringan kabel atau nirkabel, tetapi mencakup sarana komunikasi lain
seperti memori, panggilan prosedur, keadaan pabrik fisik, media portabel, dan interaksi manusia.
3.2.24
keamanan komunikasi
a) langkah-langkah yang menerapkan dan menjamin layanan keamanan di sistem komunikasi,
khususnya yang menyediakan kerahasiaan data dan integritas data dan yang mengotentikasi
entitas yang berkomunikasi
b) keadaan yang dicapai dengan menerapkan layanan keamanan, khususnya, keadaan
kerahasiaan data, integritas, dan entitas komunikasi yang berhasil diautentikasi
CATATAN Frasa ini biasanya dipahami untuk mencakup algoritme kriptografi dan metode serta proses manajemen kunci,
perangkat yang mengimplementasikannya, dan manajemen siklus hidup material dan perangkat kunci. Namun, algoritme
kriptografi dan metode serta proses manajemen kunci mungkin tidak dapat diterapkan pada beberapa aplikasi sistem
kontrol.
3.2.25
sistem komunikasi
pengaturan perangkat keras, perangkat lunak, dan media propagasi untuk memungkinkan transfer
pesan dari satu aplikasi ke aplikasi lain
3.2.26
kompromi
pengungkapan, modifikasi, penggantian, atau penggunaan informasi yang tidak sah termasuk
kunci kriptografi teks biasa dan parameter keamanan penting lainnya
3.2.27
saluran
pengelompokan logis dari aset komunikasi yang melindungi keamanan saluran yang dikandungnya
CATATAN Ini analog dengan cara saluran fisik melindungi kabel dari kerusakan fisik.
3.2.28
kerahasiaan
jaminan bahwa informasi tidak diungkapkan kepada individu, proses, atau perangkat yang tidak sah
– 14 – TS 62443-1-1  IEC:2009(E)
3.2.29
Pusat kendali
lokasi pusat yang digunakan untuk mengoperasikan satu set aset
CATATAN1 Industri infrastruktur biasanya menggunakan satu atau lebih pusat kendali untuk mengawasi atau
mengoordinasikan operasi mereka. Jika ada beberapa pusat kendali (misalnya, pusat cadangan di situs terpisah), mereka
biasanya terhubung bersama melalui jaringan area luas. Pusat kendali berisi sistem SCADA, komputer host dan perangkat
tampilan operator terkait ditambah sistem informasi tambahan seperti sejarawan.
CATATAN 2 Dalam beberapa industri istilah "ruang kendali" mungkin lebih umum digunakan.
3.2.30
peralatan kontrol
kelas yang mencakup sistem kontrol terdistribusi, pengontrol logika yang dapat diprogram,
sistem SCADA, konsol antarmuka operator terkait, dan perangkat sensor dan kontrol lapangan
yang digunakan untuk mengelola dan mengontrol proses
CATATAN Istilah ini juga mencakup jaringan fieldbus di mana logika kontrol dan algoritme dijalankan pada perangkat
elektronik cerdas yang mengoordinasikan tindakan satu sama lain, serta sistem yang digunakan untuk memantau proses
dan sistem yang digunakan untuk memelihara proses.
3.2.31
jaringan kontrol
jaringan waktu-kritis yang biasanya terhubung ke peralatan yang mengontrol proses fisik
CATATAN Jaringan kontrol dapat dibagi lagi menjadi zona dan dapat ada beberapa jaringan kontrol terpisah dalam satu
perusahaan atau lokasi.
3.2.32
biaya
nilai dampak bagi organisasi atau orang yang dapat diukur
3.2.33
tindakan balasan
tindakan, perangkat, prosedur, atau teknik yang mengurangi ancaman, kerentanan, atau serangan
dengan menghilangkan atau mencegahnya, dengan meminimalkan kerugian yang ditimbulkannya,
atau dengan menemukan dan melaporkannya sehingga dapat diambil tindakan korektif
CATATAN Istilah "kontrol" juga digunakan untuk menggambarkan konsep ini dalam beberapa konteks. Istilah
penanggulangan telah dipilih untuk dokumen ini untuk menghindari kebingungan dengan istilah "pengendalian" dalam
konteks pengendalian proses.
3.2.34
algoritma kriptografi
berbasis algoritme di atas sains dari kriptografi, termasuk enkripsi algoritme, algoritme hash
kriptografi, algoritme tanda tangan digital, dan algoritme perjanjian kunci
3.2.35
kunci kriptografi
parameter input yang memvariasikan transformasi yang dilakukan oleh algoritma kriptografi
CATATAN Biasanya disingkat menjadi "key".

TS 62443-1-1  IEC:2009(E) – 15 –
3.2.36
keamanan cyber
tindakan yang diperlukan untuk mencegah penggunaan yang tidak sah, penolakan layanan,
modifikasi, pengungkapan, kehilangan pendapatan dari, atau penghancuran sistem penting
atau aset informasi
CATATAN Tujuannya adalah untuk mengurangi risiko menyebabkan cedera pribadi atau membahayakan kesehatan
masyarakat, kehilangan kepercayaan publik atau konsumen, mengungkapkan aset sensitif, gagal melindungi aset bisnis
atau gagal mematuhi peraturan. Konsep-konsep ini diterapkan pada sistem apa pun dalam proses produksi dan
mencakup komponen yang berdiri sendiri dan berjejaring. Komunikasi antar sistem dapat melalui pesan internal atau
dengan antarmuka manusia atau mesin yang mengotentikasi, mengoperasikan, mengontrol, atau bertukar data dengan
salah satu sistem kontrol ini. Keamanan siber mencakup konsep identifikasi, otentikasi, akuntabilitas, otorisasi,
ketersediaan, dan privasi.
3.2.37
kerahasiaan data
properti bahwa informasi tidak tersedia atau diungkapkan kepada entitas sistem yang tidak sah,
termasuk individu, entitas, atau proses yang tidak sah
3.2.38
integritas data
properti bahwa data tidak diubah, dihancurkan, atau hilang dengan cara yang tidak sah atau tidak
disengaja
CATATAN Istilah ini berkaitan dengan keteguhan dan keyakinan dalam nilai data, bukan dengan informasi yang diwakili oleh
nilai atau kepercayaan sumber nilai.
3.2.39
dekripsi
proses pengubahan ciphertext menjadi plaintext menggunakan algoritma kriptografi dan kunci
3.2.40
defence in depth
penyediaan perlindungan keamanan ganda, terutama berlapis-lapis, dengan maksud untuk menunda
jika tidak mencegah serangan
CATATAN Pertahanan secara mendalam menyiratkan lapisan keamanan dan deteksi, bahkan pada sistem tunggal, dan
menyediakan fitur berikut:
 penyerang dihadapkan dengan menerobos atau melewati setiap lapisan tanpa terdeteksi;
 cacat dalam satu lapisan dapat dikurangi dengan kemampuan di lapisan lain;
 keamanan sistem menjadi satu set lapisan dalam keamanan jaringan secara keseluruhan.
3.2.41
zona demiliterisasi
segmen jaringan perimeter yang dimasukkan secara logis antara jaringan internal dan eksternal
CATATAN1 Tujuan dari zona demiliterisasi adalah untuk menegakkan kebijakan jaringan internal untuk pertukaran informasi
eksternal dan untuk menyediakan sumber eksternal yang tidak dapat dipercaya dengan akses terbatas ke informasi yang dapat
dirilis sambil melindungi jaringan internal dari serangan luar.
CATATAN2 Dalam konteks otomasi industri dan sistem kontrol, istilah "jaringan internal" biasanya diterapkan pada jaringan
atau segmen yang menjadi fokus utama perlindungan. Misalnya, jaringan kontrol dapat dianggap "internal" ketika terhubung ke
jaringan bisnis "eksternal".
3.2.42
denial of service
pencegahan atau gangguan akses resmi ke sumber daya sistem atau penundaan operasi dan fungsi
sistem
CATATAN Dalam konteks otomasi industri dan sistem kontrol, penolakan layanan dapat merujuk pada hilangnya fungsi
proses, bukan hanya hilangnya komunikasi data.
.
– 16 – TS 62443-1-1  IEC:2009(E)
3.2.43
tanda tangan digital
hasil dari transformasi kriptografi data yang ketika diimplementasikan dengan benar, menyediakan
layanan otentikasi asal, integritas data, dan penandatangan non-penolakan
3.2.44
sistem kontrol terdistribusi
jenis sistem kontrol di mana elemen sistem tersebar tetapi dioperasikan secara berpasangan
CATATAN1 Sistem kontrol terdistribusi mungkin memiliki konstanta waktu kopling yang lebih pendek daripada yang biasanya
ditemukan dalam sistem SCADA.
CATATAN2 Sistem kontrol terdistribusi umumnya terkait dengan proses berkelanjutan seperti pembangkit tenaga listrik,
penyulingan minyak dan gas, kimia, farmasi dan pembuatan kertas, serta proses diskrit seperti pembuatan mobil dan barang
lainnya, pengemasan, dan pergudangan.
3.2.45
domain
lingkungan atau konteks yang ditentukan olehkebijakan keamanan, model keamanan, atau
arsitektur keamanan untuk memasukkan satu set sumber daya sistem dan set entitas sistem yang
memiliki hak untuk mengakses sumber daya [10]
3.2.46
eavesdropping
pemantauan atau perekaman informasi yang dikomunikasikan oleh pihak yang tidak berwenang
3.2.47
enkripsi
transformasi kriptografi plainteks menjadi cipherteks yang menyembunyikan makna asli data
agar tidak diketahui atau digunakan (lihat 3.2.39) [10]
CATATAN Jika transformasi dapat dibalik, proses pembalikan yang sesuai disebut "dekripsi", yang merupakan transformasi
yang mengembalikan data terenkripsi ke keadaan semula.
3.2.48
perusahaan
badan usaha yang memproduksi atau mengangkut produk atau mengoperasikan dan memelihara
layanan infrastruktur
3.2.49
sistem perusahaan
kumpulan elemen teknologi informasi (yaitu, perangkat keras, perangkat lunak, dan layanan)
yang dipasang dengan maksud untuk memfasilitasi proses atau proses bisnis organisasi
(administratif atau proyek)
3.2.50
peralatan di bawah kendali
peralatan, mesin, aparatus atau pabrik yang digunakan untuk pembuatan, proses, transportasi, medis
atau kegiatan lainnya
3.2.51
bidang jaringan I/O
tautan komunikasi (berkabel atau nirkabel) yang menghubungkan sensor dan aktuator ke peralatan
kontrol
3.2.52
firewall
perangkat koneksi antar jaringan yang membatasi lalu lintas komunikasi data antara dua
jaringan yang terhubung
TS 62443-1-1  IEC:2009(E) – 17 –
CATATAN Firewall dapat berupa aplikasi yang diinstal pada komputer tujuan umum atau platform (peralatan) khusus yang
meneruskan atau menolak/menjatuhkan paket pada jaringan. Biasanya firewall digunakan untuk menentukan batas zona.
Firewall umumnya memiliki aturan yang membatasi port mana yang terbuka.
3.2.53
gateway
mekanisme relai yang melekat pada dua (atau lebih) jaringan komputer yang memiliki fungsi
serupa tetapi implementasinya berbeda dan yang memungkinkan komputer host di satu jaringan
Keamanan
Penanggung jawab dokumen: Komite Teknis 35-04 Keamanan Informasi, Keamanan Siber, dan Perlindungan
berkomunikasi dengan host di jaringan lainnya [10]
CATATAN Juga dijelaskan sebagai sistem perantara yang merupakan antarmuka terjemahan antara dua jaringan komputer.
3.2.54
Sekretariat Pusat IEC Hak Cipta. Salinan standar ini dibuat untuk kegiatan perumusan SNI.
situs geografis
bagian dari kelompok aset fisik, geografis, atau logis perusahaan
CATATANSebuah situs geografis dapat berisi area, jalur manufaktur, sel proses, unit proses, pusat kendali, dan kendaraan dan
dapat dihubungkan ke situs lain dengan jaringan area luas.
3.2.55
penjaga
gateway yang berada di antara dua jaringan (atau komputer atau sistem informasi lainnya) yang
beroperasi pada tingkat keamanan yang berbeda (satu jaringan biasanya lebih aman daripada
yang lain) dan dipercaya untuk menengahi semua transfer informasi antara dua jaringan, baik
untuk memastikan tidak ada informasi sensitif informasi dari jaringan yang lebih aman
diungkapkan ke jaringan yang kurang aman, atau untuk melindungi integritas data pada jaringan
yang lebih aman
3.2.56
host
komputer yang terpasang suatu sub-jaringan atau antar-jaringan komunikasi dan dapat
menggunakan layanan yang disediakan oleh jaringan untuk bertukar data dengan sistem lain yang
terpasang
3.2.57
(Industrial Automation and Control Systems) IACS
kumpulan personel, perangkat keras, dan perangkat lunak yang dapat memengaruhi atau
memengaruhi pengoperasian proses industri yang aman, terjamin, dan andal
CATATAN Sistem ini termasuk, tetapi tidak terbatas pada:

 sistem kontrol industri, termasuk sistem kontrol terdistribusi (DCS), pengontrol logika yang dapat diprogram
(PLC), unit terminal jarak jauh (RTU), perangkat elektronik cerdas, kontrol pengawasan dan akuisisi data
(SCADA), penginderaan dan kontrol elektronik jaringan, dan sistem pemantauan dan diagnostik . (Dalam konteks
ini, sistem kontrol proses mencakup sistem kontrol proses dasar dan fungsi sistem instrumen keselamatan (SIS),
baik secara fisik terpisah atau terintegrasi.)
 sistem informasi terkait seperti kontrol lanjutan atau multivariabel, pengoptimal online, monitor peralatan khusus,
antarmuka grafis, sejarawan proses, sistem eksekusi manufaktur, dan sistem manajemen informasi pabrik.
 antarmuka internal, manusia, jaringan, atau mesin yang terkait yang digunakan untuk menyediakan fungsi kontrol,
keselamatan, dan operasi manufaktur untuk proses kontinu, batch, diskrit, dan proses lainnya.
3.2.58
risiko awal
risiko sebelum pengendalian atau tindakan pencegahan diterapkan
3.2.59
orang dalam
orang, karyawan, kontraktor, atau pemasok tepercaya yang memiliki informasi yang tidak
diketahui publik secara umum
– 18 – TS 62443-1-1  IEC:2009(E)
3.2.60
integritas
kualitas dari sistem yang mencerminkan kebenaran logis dan keandalan sistem operasi, kelengkapan
logis dari perangkat keras dan perangkat lunak yang menerapkan mekanisme perlindungan, dan
konsistensi struktur data dan kemunculan data yang disimpan
CATATAN Dalammode keamanan formal, integritas sering diartikan lebih sempit berarti perlindungan terhadap modifikasi
yang tidak sah atau perusakan informasi.
3.2.61
penangkapan
mengendus penangkapan dan pengungkapan isi pesan atau penggunaan analisis lalu lintas untuk
membahayakan kerahasiaansistem komunikasi berdasarkan tujuan atau asal pesan, frekuensi atau
panjang transmisi, dan atribut komunikasi lainnya
3.2.62
antarmuka
titik masuk atau keluar logis yang menyediakan akses ke modul untuk arus informasi logis
3.2.63
intrusi
tindakan tidak sah untuk mencurigai sistem
3.2.64
Deteksi gangguan
layanan keamanan yang memantau dan menganalisis peristiwa sistem untuk tujuan menemukan, dan
memberikan peringatan real-time atau mendekati real-time, upaya untuk mengakses sumber daya
sistem dengan cara yang tidak sah
3.2.65
alamat IP
alamat dari komputer atau perangkat yang ditetapkan untuk identifikasi dan komunikasi
menggunakan Protokol Internet dan protokol lainnya
3.2.66
ISO
International Organization for Standardization
CATATAN ISO bukanlah akronim. Nama ini berasal dari kata Yunani iso, yang berarti sama.
3.2.67
manajemen kunci
proses penanganan dan pengendalian kunci kriptografi dan materi terkait (seperti nilai
inisialisasi) selama siklus hidupnya disistem kriptografi, termasuk memesan, menghasilkan,
mendistribusikan, menyimpan, memuat, menyimpan, mengarsipkan, mengaudit, dan menghancurkan
kunci dan materi terkait.
3.2.68
garis, satuan, sel
elemen tingkat rendah yang melakukan manufaktur, bidang kontrol perangkat, atau fungsi kendaraan
CATATAN Entitas pada tingkat ini dapat dihubungkan bersama oleh jaringan kontrol area dan dapat berisi sistem
informasi yang terkait dengan operasi yang dilakukan di entitas tersebut.
3.2.69
jaringan area lokal
jaringan komunikasi yang dirancang untuk menghubungkan komputer dan perangkat cerdas
lainnya diwilayah geografis yang terbatas biasanya kurang dari 10 km [9]
TS 62443-1-1  IEC:2009(E) – 19 –
3.2.70
kode berbahaya
program atau kode yang ditulis untuk tujuan dari mengumpulkan informasi tentang sistem atau
pengguna, menghancurkan data sistem, menyediakan pijakan untuk penyusupan lebih lanjut ke
dalam sistem, memalsukan data dan laporan sistem, atau memberikan gangguan yang memakan
waktu terhadap operasi dan pemeliharaan sistem personil
CATATAN 1 Serangan kode berbahaya dapat berupa virus, worm, trojan horse, atau eksploitasi otomatis lainnya. CATATAN 2
Kode berbahaya juga sering disebut sebagai "malware".
3.2.71
operasi manufaktur
penghimpunan produksi , pemeliharaan , dan pemastian kualitas operasi dan hubungannya ke
kegiatan lainnya fasilitas produksi
CATATAN Operasi manufaktur meliputi:

 manufaktur atau pemrosesan yang mengoordinasikan personel, peralatan , dan material yang terlibat dalam itu
konversi dari mentah bahan atau bagian ke dalam produk;
 fungsi itu dapat menjadi dilakukan oleh fisik peralatan, manusia upaya, dan informasi sistem;
 mengelola informasi tentang jadwal, penggunaan, kemampuan, definisi, riwayat, dan status semua sumber daya
(personil, peralatan, dan bahan) di dalam itu manufaktur fasilitas.
3.2.72
nonrepudiation
layanan keamanan yang memberikan perlindungan terhadap penolakan palsu keterlibatan dalam
komunikasi [10]
3.2.73
OPC
spesifikasi untuk pertukaran informasi dalam lingkungan proses kontrol
CATATAN Singkatan OPC awalnya berasal dari "OLE for Process Control", di mana OLE adalah singkatan dari "Object
Linking and Embedding".
3.2.74
Outsider
orang atau kelompok yang tidak dipercaya dengan akses orang dalam, yang dapat atau tidak dapat
diketahui oleh organisasi yang ditargetkan (lihat 3.2.59 )
CATATAN Orang luar dapat atau tidak dapat menjadi orang dalam pada satu waktu.
3.2.75
penetrasi
sukses takterotorisasi akses ke sumber daya sistem yang dilindungi [10]
3.2.76
pengelabuan
jenis serangan keamanan yang memikat korban untuk mengungkapkan informasi, dengan menghadirkan
email palsu untuk memikat penerima ke situs web yang sepertinya terkait dengan sumber yang sah
3.2.77
teks biasa
data yang tidak dikodekan yang dimasukkan ke, dan ditransformasikan oleh proses enkripsi ,
atau yang merupakan keluaran dengan proses dekripsi [10]
3.2.78
hak istimewa
otorisasi atau otorisasi otorisasi untuk melakukan fungsi tertentu, terutama dalam konteks sistem
operasi komputer [10]
– 20 – TS 62443-1-1  IEC:2009(E)
CONTOH Fungsi yang dikendalikan melalui penggunaan hak istimewa meliputi; mengenali alarm, mengubah setpoint
dan memodifikasi kontrol algoritma.
3.2.79
proses
serangkaian operasi yang dilakukan dalam pembuatan , perawatan , atau pengangkutan suatu
produk atau bahan
CATATAN Spesifikasi teknis ini menggunakan istilah "proses" secara ekstensif untuk menjelaskan : peralatan di bawah
kendali dari otomasi industri dan kontrol sistem.
3.2.80
protokol
aturan aturan (yaitu, format dan prosedur) untuk menerapkan dan mengontrol beberapa jenis
asosiasi (misalnya, komunikasi) antara sistem [10]
3.2.81
model referensi
struktur yang memungkinkan modul dan antarmuka sistem dijelaskan secara konsisten
3.2.82
keandalan
kemampuan suatu sistem untuk melakukan fungsi Diperlukan dalam kondisi yang ditentukan
untuk jangka waktu tertentu waktu
3.2.83
akses jarak jauh
penggunaan sistem yang berada di dalam perimeter zona keamanan yang sedang ditanggapi
dari berbeda geografis lokasi dengan itu sama hak sebagai ketika secara fisik hadiah pada
itu lokasi
CATATAN Definisi yang tepat dari "jarak jauh" dapat bervariasi berdasarkan situasinya . Misalnya , akses dapat berasal
dari lokasi yang jauh ke zona tertentu , tetapi masih dalam batas - batas perusahaan atau organisasi . Ini mungkin
mewakili risiko yang lebih rendah daripada akses yang berasal dari lokasi yang jauh dan di luar batas perusahaan .
3.2.84
klien jarak jauh
aset di luar jaringan kontrol yang secara sementara atau permanen terhubung ke hos dalam
jaringan kontrol melalui tautan komunikasi untuk secara langsung atau tidak langsung mengakses
bagian - bagian dari peralatan kontrol pada jaringan kontrol
3.2.85
penolakan
penolakan oleh salah satu entitas yang terlibat dalam komunikasi telah berpartisipasi dalam
semua atau sebagian dari itu komunikasi
3.2.86
risiko sisa
risiko yang tersisa setelah kontrol keamanan atau tindakan pencegahan diterapkan
3.2.87
mempertaruhkan
harapan akan kehilangan yang dinyatakan sebagai kemungkinan bahwa ancaman tertentu akan
mengeksploitasi kerentanan tertentu dengan konsekuensi tertentu [10]
3.2.88
tugas beresiko
proses yang secara sistematis mengidentifikasi potensi kerentanan terhadap sumber daya
sistem yang berharga dan ancaman terhadap sumber daya tersebut , mengkuantifikasi
kehilangan eksposur dan konsekuensi berdasarkan probabilitas
TS 62443-1-1  IEC:2009(E) – 21 –
kejadian, dan (opsional) merekomendasikan bagaimana mengalokasikan sumber daya untuk

tindakan pencegahan untuk meminimalkan paparan total
CATATAN 1 Jenis sumber daya termasuk fisik, logis dan manusia.
CATATAN 2 Penilaian risiko sering digabungkan dengan : penilaian kerentanan untuk mengidentifikasi kerentanan dan
mengukur risiko terkait . Mereka dilakukan pada awalnya dan secara berkala untuk mencerminkan perubahan dalam
risiko organisasi toleransi, kerentanan, Prosedur, personil dan teknologi perubahan.
3.2.89
manajemen risiko
proses identifikasi dan pemberlakuan penanggulangan yang sepadan dengan nilai dari aset
yang dilindungi , berdasarkan penilaian risiko
3.2.90
pengendalian mitigasi risiko
kombinasi penanggulangan dan keberlangsungan rencana bisnis
3.2.91
tingkat toleransi risiko
tingkat risiko residual yang dapat diterima ke sebuah organisasi
3.2.92
kontrol akses berbasis peran
bentuk kontrol akses berbasis identitas di mana entitas sistem yang diidentifikasi dan
dikendalikan adalah fungsional posisi di sebuah organisasi atau proses [10]
3.2.93
router
gateway antara dua jaringan pada OSI layer 3 yang menyampaikan dan mengarahkan paket data
melalui antar jaringan. Bentuk paling umum dari ruterpass paket Internet Protocol (IP) [10]
3.2.94
keamanan
kebebasan dari tidak dapat risiko yang diterima [3]
3.2.95
sistem keamanan-instrument
sistem yang digunakan untuk mengimplementasikan satu atau lebih fungsi instrumen keselamatan [3]
CATATAN Sistem berinstrumen keselamatan terdiri dari : dari apapun kombinasi sensor , pemecah logika, dan
aktuator.
3.2.96
tingkat integritas keselamatan
diskret (satu dari empat) untuk menentukan persyaratan integritas keselamatan dari fungsi-fungsi
instrumen keselamatan yang akan dialokasikan ke sistem instrumen-keamanan [3]
CATATAN Integritas keselamatan tingkat 4 memiliki tingkat integritas keselamatan tertinggi; tingkat integritas keselamatan 1 memiliki
yang terendah.
3.2.97
jaringan keamanan
jaringan yang menghubungkan sistem instrumen keselamatan untuk komunikasi informasi terkait
keselamatan
3.2.98
rahasia
kondisi informasi yang dilindungi agar tidak diketahui oleh entitas sistem apa pun kecuali yang
dimaksudkan untuk mengetahuinya [10]
– 22 – TS 62443-1-1  IEC:2009(E)
3.2.99
keamanan
a) Tindakan diambil untuk melindungi sistem
b) kondisi suatu sistem yang dihasilkan dari pembentukan dan pemeliharaan dari tindakan
untuk melindungi sistem
c) kondisi sumber daya sistem bebas dari akses takterotorisasi atau dari perubahan yang tidak
sengaja takterotorisasi, kehancuran, atau kehilangan [10]
d) kemampuan sistem berbasis komputer untuk memberikan keyakinan yang memadai bahwa
orang dan sistem takterotorisasi tidak dapat mengubah perangkat lunak dan datanya atau
mendapatkan akses ke fungsi sistem , namun untuk memastikan bahwa ini tidak ditolak oleh
orang terotorisasi dan sistem [13]
e) pencegahan penetrasi ilegal atau tidak diinginkan, atau gangguan terhadap kelayakan dan
operasi yang dimaksudkan dari otomasi dan kontrol industri sistem
CATATAN tindakan dapat menjadi kontrol yang terkait dengan keamanan fisik (mengendalikan akses fisik ke aset
komputasi) atau logis keamanan (kemampuan untuk masuk ke sistem tertentu dan aplikasi).
3.2.100
arsitektur keamanan
rencana dan rencana prinsip yang menjelaskan layanan keamanan bahwa suatu sistem
diperlukan untuk menyediakan untuk memenuhi kebutuhan penggunanya , elemen sistem
diperlukan untuk mengimplementasikan layanan , dan itu level kemampuan diperlukan pada
elemen untuk Sepakat dengan itu ancaman lingkungan [10]
CATATAN Dalam konteks ini, arsitektur keamanan akan menjadi arsitektur untuk melindungi kontrol jaringan dari
keamanan yang disengaja atau tidak disengaja acara.
3.2.101
audit keamanan
mandiri dan pemeriksaan catatan dan aktivitas sistem untuk menentukan kecukupan
pengendalian sistem , pastikan patuh dengan bangunan kebijakan dan prosedur keamanan ,
mendeteksi pelanggaran dalam layanan keamanan , dan merekomendasikan setiap perubahan
yang diindikasikan untuk tindakan pencegahan [8]
3.2.102
komponen keamanan
aset seperti firewall , modul otentikasi, atau perangkat lunak enkripsi yang digunakan untuk
meningkatkan kinerja keamanan sistem otomasi dan kontrol industri (lihat 3.2.33)
3.2.103
kontrol keamanan
lihat 3.2.33
CATATAN Istilah penanggulangan telah dipilih untuk dokumen ini untuk menghindari kebingungan dengan istilah
"kontrol " dalam konteks proses kontrol.
3.2.104
acara keamanan
kejadian dalam suatu sistem yang relevan dengan keamanan sistem [10]
3.2.105
fungsi keamanan
fungsi suatu zona atau saluran untuk mencegah intervensi elektronik yang tidak berwenang yang
dapat mempengaruhi atau berpengaruh terhadap fungsi normal perangkat dan sistem di dalam zona
atau saluran tersebut
3.2.106
insiden keamanan
kejadian yang merugikan dalam suatu sistem atau jaringan, atau ancaman terjadinya kejadian tersebut [9]
TS 62443-1-1  IEC:2009(E) – 23 –
CATATAN Istilah "nyaris celaka" kadang- kadang digunakan untuk menggambarkan suatu peristiwa itu dapat telah
menjadi insiden di bawah yang sedikit berbeda keadaan.
3.2.107
gangguan keamanan
peristiwa keamanan atau kombinasi dari beberapa peristiwa keamanan , yang merupakan
kejadian keamanan di mana seorang penyusup memperoleh, atau mencoba untuk mendapatkan,
akses ke sistem (atau sumber daya sistem ) tanpa memiliki otorisasi untuk melakukannya [10]
3.2.108
tingkat keamanan
tingkat setara untuk yang dibutuhkan efektivitas penanggulangan dan sifat keamanan yang
melekat perangkat dan sistem untuk zona atau saluran berdasarkan penilaian risiko untuk : zona
atau saluran [12]
3.2.109
sasaran keamanan
aspek keamanan yang tujuannya adalah menggunakan langkah - langkah mitigasi tertentu ,
seperti kerahasiaan, integritas, ketersediaan, keaslian pengguna, otorisasi akses ,
akuntabilitas, dll.
3.2.110
batas keamanan
( logis atau fisik) dari domain di mana kebijakan keamanan atau arsitektur keamanan berlaku,
yaitu , batas ruang di mana layanan keamanan melindungi sistem sumber daya [10]
3.2.111
kinerja keamanan
program mematuhi , kelengkapan langkah untuk memberikan perlindungan ancaman khusus ,
analisis pasca - kompromi , memperhitungkan perubahan persyaratan bisnis , ancaman dan
kerentanan baru informasi , dan audit berkala atas sistem kontrol untuk memastikan tindakan
keamanan tetap efektif dan tepat
CATATAN Pengujian, audit, alat, pengukuran, atau metode lain diperlukan untuk mengevaluasi kinerja praktik keamanan.
3.2.112
kebijakan keamanan
peraturan yang menentukan atau mengatur bagaimana suatu sistem atau organisasi menyediakan
layanan keamanan untuk melindungi asetnya [10]
3.2.113
prosedur keamanan
definisi yang menyatakan dengan tepat bagaimana praktik diimplementasikan dan dijalankan
CATATAN Prosedur keamanan diimplementasikan melalui pelatihan personel dan tindakan menggunakan teknologi yang
tersedia dan terpasang saat ini.
3.2.114
program keamanan
kombinasi dari semua aspek pengelolaan keamanan , mulai dari definisi dan komunikasi
kebijakan melalui implementasi dari terbaik industri praktek, sedang berlangsung operasi dan
audit
3.2.115
layanan keamanan
mekanisme yang digunakan untuk memberikan kerahasiaan, integritas data, otentikasi, atau tidak
ada penolakan informasi [10]
– 24 – TS 62443-1-1  IEC:2009(E)
3.2.116
pelanggaran keamanan
tindakan atau peristiwa yang tidak mematuhi atau melanggar kebijakan keamanan melalui
penyusupan atau tindakan orang dalam yang bermaksud baik
3.2.117
zona keamanan
pengelompokan aset logis atau fisik yang berbagi persyaratan keamanan umum
CATATAN 1 Semua penggunaan istilah "zona" yang tidak memenuhi syarat dalam dokumen ini sebaiknya diasumsikan mengacu
pada zona keamanan.
CATATAN 2 Suatu zona memiliki batas yang jelas dengan zona lainnya. Kebijakan keamanan suatu zona biasanya
ditegakkan oleh kombinasi mekanisme baik di tepi zona dan di dalam zona. Zona dapat bersifat hierarkis dalam arti
bahwa mereka bisa menjadi terdiri dari sebuah penghimpunan dari sub-zona.
3.2.118
sensor dan aktuator
pengukur atau penggerak yang terhubung ke peralatan proses dan ke kontrol sistem
3.2.119
server
perangkat atau penerapan itu menyediakan informasi atau layanan ke aplikasi dan perangkat
klien [ 10]
3.2.120
sniffing
lihat 3.2.61
3.2.121
menipu
berpura-pura menjadi pengguna terotorisasi dan melakukan tindakan takterotorisasi [10]
3.2.122
pengawasan kontrol dan sistem akuisisi data
sistem SCADA
jenis pemantauan dan kontrol terdistribusi yang digabungkan secara longgar sistem yang
umumnya terkait dengan sistem transmisi dan distribusi tenaga listrik , perpipaan minyak dan
gas , serta air dan limbah sistem
CATATAN Sistem pengawasan pengawasan juga digunakan di dalam pabrik kelompok , kontinyu, dan diskret untuk
memusatkan kegiatan pemantauan dan kontrol untuk lokasi-lokasi ini.
3.2.123
sistem
unsur yang berinteraksi, saling terkait, atau saling bergantung membentuk suatu keseluruhan yang
kompleks
3.2.124
perangkat lunak sistem
perangkat lunak khusus yang dirancang untuk sistem komputer tertentu atau keluarga sistem
komputer untuk memudahkan pengoperasian dan pemeliharaan dari sistem komputer dan
program terkait dan data [11]
3.2.125
ancaman
potensi pelanggaran keamanan , yang ada ketika ada keadaan, kemampuan, tindakan, atau
kejadian yang dapat melanggar keamanan dan menyebabkan kerugian [10]
TS 62443-1-1  IEC:2009(E) – 25 –
3.2.126
tindakan ancaman
serangan terhadap keamanan sistem [10]
3.2.127
agen ancaman
agen penyebab ancaman tindakan
3.2.128
analisis lalu lintas
kesimpulan informasi dari karakteristik alur data yang dapat diamati , bahkan ketika data
dienkripsi atau tidak tersedia secara langsung , termasuk identitas dan lokasi sumber dan tujuan
dan itu kehadiran, jumlah, frekuensi, dan durasi dari kejadian
3.2.129
kuda Troya
program komputer yang tampaknya memiliki fungsi yang berguna, tetapi juga memiliki fungsi
tersembunyi dan berpotensi berbahaya yang menghindari mekanisme keamanan, terkadang dengan
mengeksploitasi otorisasi yang sah dari entitas sistem yang menjalankan program tersebut [10]
3.2.130
saluran terpercaya
tautan komunikasi yang dapat menyediakan komunikasi yang aman antara zona keamanan
3.2.131
saluran tidak tepercaya
tautan komunikasi yang tidak dapat menyediakan komunikasi yang aman antara zona keamanan
3.2.132
kasus penggunaan
teknik untuk menangkap persyaratan fungsional potensial yang menggunakan penggunaan satu
atau lebih skenario yang menyampaikan bagaimana sistem sebaiknya berinteraksi dengan
pengguna akhir atau sistem lain untuk mencapai tujuan tertentu
CATATAN Biasanya kasus penggunaan memperlakukan sistem sebagai kotak hitam , dan interaksi dengan sistem ,
termasuk respons sistem, adalah seperti yang dipersepsikan dari luar sistem . Kasus penggunaan sangat populer
karena mereka menyederhanakan deskripsi persyaratans , dan menghindari masalah membuat asumsi tentang
bagaimana fungsionalitas ini akan dicapai.
3.2.133
pengguna
entitas organisasi , atau proses otomatis yang mengakses suatu sistem , baik yang terotorisasi
untuk melakukannya atau tidak [10]
3.2.134
virus
program yang mereplikasi diri atau mereproduksi diri yang menyebar dengan memasukkan
salinan dirinya ke dalam yang lain kode atau dokumen yang dapat dieksekusi
3.2.135
kerentanan
cacat atau kelemahan dalam desain , implementasi , atau operasi dan manajemen sistem yang
dapat dieksploitasi untuk melanggar integritas sistem atau aturan keamanan [10]
3.2.136
jaringan area luas
jaringan komunikasi yang dirancang untuk menghubungkan komputer, jaringan, dan perangkat lain
dalam jarak yang jauh, seperti melintasi suatu negara atau dunia [11]
– 26 – TS 62443-1-1  IEC:2009(E)
3.2.137
penyadapan
serangan yang mencegat dan mengakses data dan informasi lain yang terkandung dalam sebuah alur
dalam sebuah sistem komunikasi [10]
CATATAN 1 Meskipun istilah awalnya mengacu pada pembuatan , koneksi mekanis ke konduktor listrik yang
menghubungkan dua simpul , sekarang digunakan untuk merujuk membaca informasi dari segala jenis media yang
digunakan untuk tautan atau bahkan secara langsung dari sebuah simpul, seperti sebagai sebuah pintu gerbang atau
sub-jaringan mengalihkan.
CATATAN 2 Penyadapan aktif mencoba mengubah data atau mempengaruhi alur sedangkan penyadapan pasif hanya
mencoba mengamati alur dan memperoleh pengetahuan tentang informasi yang ada di dalamnya.
3.2.138
cacing
program komputer yang dapat berjalan secara mandiri, dapat merambat secara komplet versi
kerja itu sendiri ke lainnya tuan rumah pada sebuah jaringan, dan dapat mengkonsumsi
komputer sumber daya secara destruktif [10]
3.2.139
daerah
lihat 3.2.117
CATATAN Semua penggunaan istilah "zona" yang tidak memenuhi syarat dalam dokumen ini sebaiknya diasumsikan mengacu pada
zona keamanan.
3.3 Singkatan
Sub ayat ini mendefinisikan singkatan yang digunakan dalam spesifikasi teknis ini.
ANSI American National Standards Institute

CIA Confidentiality, Integrity and Availability
CN Control Network
COTS Commercial Off The Shelf
CSMS Cyber Security Management System
DCS Distributed Control System
DDoS Distributed Denial of Service
DoS Denial of Service
DMZ Demilitarized Zone
FIPS U. S. Federal Information Processing Standards
IACS Industrial Automation and Control Systems
IEC International Electrotechnical Commission
IEEE Institute of Electrical and Electronics Engineers
I/O Input/Output
IP Internet Protocol
IT Information Technology
LAN Local Area Network
NASA U. S. National Aeronautics and Space Administration
NOST NASA Office of Standards and Technology
OSI Open Systems Interconnect
PLC Programmable Logic Controller
RTU Remote Terminal Unit
SCADA Supervisory Control and Data Acquisition
SIL Safety Integrity Level
SIS Safety-Instrumented System
WAN Wide Area Network
TS 62443-1-1  IEC:2009(E) – 27 –
4 Itu situasi
4.1 umum
Otomasi industri dan sistem kontrol beroperasi dalam lingkungan yang kompleks. Organisasi
semakin berbagi informasi antara otomasi bisnis dan industri sistem, dan mitra dalam satu
usaha bisnis dapat menjadi pesaing di tempat lain. Namun, karena otomasi industri dan
peralatan sistem kontrol terhubung langsung ke suatu proses , kehilangan rahasia dagang dan
gangguan di alur informasi bukan satu -satunya konsekuensi dari pelanggaran keamanan .
Potensi kehilangan kehidupan atau produksi, kerusakan lingkungan , pelanggaran peraturan, dan
kompromi terhadap keselamatan operasional jauh lebih banyak konsekuensi serius . Ini dapat
memiliki konsekuensi di luar organisasi yang ditargetkan; mereka dapat merusak infrastruktur
wilayah hos atau bangsa.
Ancaman eksternal bukan satu-satunya perhatian; orang dalam yang berpengetahuan luas
dengan niat jahat atau bahkan tindakan tidak disengaja yang tidak bersalah dapat menimbulkan
risiko keamanan yang serius . Selain itu, otomasi industri dan sistem kontrol sering terintegrasi
dengan sistem bisnis lainnya. Memodifikasi atau menguji sistem operasional telah menyebabkan
efek elektronik yang tidak diinginkan pada operasi sistem . Personil dari luar area sistem kontrol
dapat melakukan pengujian keamanan pada sistem , memperburuk jumlah dan konsekuensi dari
efek ini . Menggabungkan semua faktor ini , mudah untuk melihat bahwa potensi seseorang
takterotorisasi atau merusak akses ke proses industri tidak yang tidak sembarangan
Meskipun perubahan teknologi dan hubungan mitra dapat baik untuk bisnis, mereka
meningkatkan potensi risiko membahayakan keamanan . Ketika ancaman terhadap bisnis
meningkat , begitu juga kebutuhan untuk keamanan.
4.2 Saat ini sistem
Otomasi industri dan sistem kontrol telah berevolusi dari komputer individual yang terisolasi
dengan sistem operasi dan jaringan berpemilik ke sistem dan aplikasi yang saling berhubungan
yang menggunakan teknologi komersial ( COTS ) (yaitu, sistem operasi dan protokol). Sistem
ini sekarang sedang terintegrasi dengan sistem perusahaan dan aplikasi bisnis lainnya melalui
berbagai jaringan komunikasi. Peningkatan tingkat integrasi ini memberikan manfaat bisnis yang
signifikan , termasuk : mengikuti:
a) peningkatan visibilitas kegiatan sistem kontrol industri (pekerjaan dalam proses, status
peralatan, jadwal produksi) dan sistem pemrosesan terintegrasi dari tingkat bisnis ,
berkontribusi pada peningkatan kemampuan untuk melakukan analisis untuk menurunkan
biaya produksi dan meningkatkan produktifitas;
b) manufaktur terintegrasi dan sistem produksi yang memiliki akses lebih langsung ke informasi
tingkat bisnis , memungkinkan lebih responsif perusahaan;
c) umum antarmuka yang mengurangi biaya dukungan keseluruhan dan memungkinkan
dukungan proses produksi jarak jauh;
d) pemantauan jarak jauh dari sistem kontrol proses yang mengurangi biaya dukungan dan
memungkinkan masalah diselesaikan lebih banyak dengan cepat.
Dimungkinkan untuk mendefinisikan standar untuk model, istilah, dan pertukaran informasi yang
memungkinkan otomasi industri dan komunitas sistem kontrol untuk berbagi informasi secara
konsisten. Namun, kemampuan untuk bertukar informasi ini meningkatkan kerentanan terhadap
penyalahgunaan dan serangan oleh individu dengan niat jahat dan menimbulkan potensi risiko bagi
perusahaan yang menggunakan sistem kontrol dan otomasi industri .
dan kontrol industri konfigurasi sistem bisa sangat kompleks dalam hal perangkat keras fisik,
pemrograman, dan komunikasi. Kompleksitas ini sering kali menyulitkan untuk menentukan hal-
hal berikut: poin:
 siapa yang berhak mengakses informasi elektronik;

 kapan pengguna dapat memiliki akses ke informasi;
– 28 – TS 62443-1-1  IEC:2009(E)
 Apa data atau fungsi sebuah pengguna sebaiknya menjadi dapat di mengakses;
 Dari mana permintaan akses berasal;
 Bagaimana permintaan akses
4.3 Tren saat ini
Beberapa tren berkontribusi pada peningkatan penekanan pada keamanan otomasi dan kontrol
industri sistem:
a) Dalam beberapa tahun terakhir telah terjadi peningkatan yang nyata dalam serangan kode
berbahaya pada sistem komputer bisnis dan pribadi . Bisnis telah melaporkan lebih banyak
takterotorisasi upaya ( baik disengaja atau tidak disengaja ) untuk mengakses informasi
elektronik setiap tahun daripada sebelumnya tahun.
b) Otomasi industri dan sistem kontrol bergerak menuju sistem operasi COTS dan protokol dan
interkoneksi dengan jaringan bisnis . Ini membuat sistem ini rentan terhadap serangan
perangkat lunak yang sama seperti yang ada di bisnis dan perangkat desktop .
c) Alat untuk mengotomatisasi serangan biasanya tersedia di Internet . Ancaman eksternal
dari penggunaan alat ini sekarang termasuk penjahat dunia maya dan teroris dunia maya
yang dapat punya lebih banyak sumber daya dan pengetahuan ke menyerang sebuah
industri otomatisasi dan sistem kendali .
d) Penggunaan usaha patungan, mitra aliansi , dan layanan outsourcing di sektor industri telah
menyebabkan situasi yang lebih kompleks sehubungan dengan jumlah organisasi dan
kelompok berkontribusi pada keamanan otomasi industri dan sistem kontrol . Praktik -
praktik ini membutuhkan ke menjadi diambil ke dalam Akun ketika mengembangkan
keamanan untuk ini sistem.
e) Fokus pada takterotorisasi akses telah diperluas dari penyerang amatir atau karyawan yang
tidak puas ke kegiatan kriminal atau teroris yang disengaja yang bertujuan untuk
mempengaruhi kelompok besar dan fasilitas.
f) Adopsi dokumen industri protokol seperti Internet Protocol (IP) untuk komunikasi antara
otomasi industri dan sistem kontrol dan perangkat lapangan. Menerapkan IP memaparkan
sistem ini pada kerentanan yang sama dengan sistem bisnis di jaringan lapisan.
Tren ini telah digabungkan untuk secara signifikan meningkatkan risiko organisasi yang terkait
dengan desain dan pengoperasian otomatisasi dan kontrol industri mereka sistem. Pada saat
yang sama , keamanan siber dari sistem kontrol industri telah menjadi perhatian yang lebih
signifikan dan diakui secara luas . Perubahan ini membutuhkan pedoman yang lebih terstruktur
dan prosedur untuk mendefinisikan keamanan siber berlaku untuk otomasi dan kontrol industri
sistem , serta masing - masing konektivitas ke sistem lain .
4.4 Potensi dampak
Orang yang mengetahui fitur sistem operasi dan jaringan terbuka dapat berpotensi menyusup
ke perangkat konsol, perangkat jarak jauh , database, dan, dalam beberapa kasus, kontrol
platform. Efek penyusup pada otomasi industri dan sistem kontrol dapat termasuk pengikut:
a) Akses takterotorisasi, pencurian , atau penyalahgunaan informasi rahasia;

b) publikasi informasi kepada tujuan takterotorisasi ;
c) kehilangan integritas atau keandalan dari data proses dan produksi informasi;
d) kehilangan sistem ketersediaan;
e) gangguan proses yang mengarah ke fungsionalitas proses yang dikompromikan , kualitas
produk yang lebih rendah, kehilangan kapasitas produksi, keselamatan proses yang
dikompromikan , atau lingkungan rilis;
f) kerusakan peralatan;
g) pribadi cedera;
h) pelanggaran hukum dan peraturan persyaratan ;
i) risiko kesehatan masyarakat dan kepercayaan diri;
TS 62443-1-1  IEC:2009(E) – 29 –
j) ancaman bagi bangsa keamanan.
5 Konsep
5.1 umum
Klausul ini menjelaskan beberapa konsep dasar yang membentuk dasar untuk pasal berikut dan untuk
standar lain dalam seri IEC 62443. Secara khusus, ini membahas pertanyaan-pertanyaan seperti:
a) Apa adalah itu besar konsep itu adalah digunakan ke menggambarkan keamanan?
b) Apa konsep penting yang menjadi dasar untuk program keamanan yang komprehensif?
5.2 Sasaran Keamanan
Keamanan informasi secara tradisional berfokus pada pencapaian tiga sasaran , kerahasiaan,
integritas, dan ketersediaan, yang sering disingkat dengan singkatan CIA. Strategi keamanan
teknologi informasi untuk back office atau sistem bisnis yang khas dapat menempatkan fokus utama
pada kerahasiaan dan kontrol akses yang diperlukan untuk mencapainya. Integritas mungkin jatuh ke
prioritas kedua, dengan ketersediaan sebagai yang terendah.
Dalam otomasi dan kontrol industri lingkungan sistem, prioritas umum sasaran - sasaran ini
seringkali berbeda . Keamanan dalam sistem ini terutama berkaitan dengan menjaga
ketersediaan semua komponen sistem . Ada risiko yang melekat terkait dengan mesin industri
yang dikendalikan , dipantau, atau dipengaruhi oleh otomasi dan kontrol industri sistem. Oleh
karena itu, integritas seringkali menempati urutan kedua . Biasanya kerahasiaan kurang penting ,
karena seringkali data masih mentah dan perlu di- dianalisis dalam konteks untuk memiliki nilai .
Aspek responsivitas waktu sangat penting . Sistem kontrol dapat memiliki persyaratan respons
sistem dalam rentang satu milidetik , sedangkan sistem bisnis tradisional dapat berhasil
beroperasi dengan sistem tunggal atau waktu respons beberapa detik .
Dalam beberapa situasi prioritas benar-benar terbalik, seperti yang ditunjukkan pada Gambar 1.
Otomatisasi industri
Informasi tujuan umum
dan sistem kontrol
sistem teknologi (TI)
Sebuah
C kerahasiaan
ketersediaan
saya berintegritas
saya
berintegritas
Sebuah ketersediaan
C
kerahasiaan
IEC 1291/09
Gambar 1 – Perbandingan sasaran antara IACS dan sistem TI umum
Tergantung pada situasinya, integritas sistem dapat juga memiliki prioritas tertinggi. Persyaratan
operasional tertentu akan menyebabkan komponen individu atau sistem secara keseluruhan memiliki
prioritas yang berbeda untuk sasaran (yaitu, masalah integritas atau ketersediaan dapat
– 30 – TS 62443-1-1  IEC:2009(E)
melebihi kerahasiaan, atau sebaliknya ). Ini dapat pada gilirannya memimpin sebuah organisasi
untuk menyebarkan penanggulangan untuk mencapai sasaran keamanan tersebut .
5.3 Dasar persyaratan
Model CIA sederhana yang ditunjukkan pada Gambar 1 tidak cukup untuk memahami
persyaratan- persyaratan secara penuh untuk keamanan dalam otomasi dan kontrol industri
sistem. Meskipun itu di luar Lingkup dari spesifikasi teknis ini untuk menjelaskan daftar
lengkap rincian persyaratans , ada beberapa persyaratans dasar atau dasar yang telah
diidentifikasi untuk keamanan otomasi industri . Berikut ini persyaratan :
a) Kontrol Akses (AC): kontrol akses ke perangkat yang dipilih, informasi atau keduanya untuk
melindungi terhadap takterotorisasi interogasi perangkat atau informasi.
b) Gunakan Kontrol (UC): kontrol penggunaan perangkat , informasi atau keduanya yang dipilih
untuk melindungi terhadap takter otorisasi pengoperasian perangkat atau penggunaan
informasi.
c) Integritas Data (DI): memastikan integritas data pada saluran komunikasi yang dipilih untuk
melindungi terhadap takter -otorisasi perubahan.
d) Data Confidentiality (DC): memastikan kerahasiaan data pada saluran komunikasi yang
dipilih untuk melindungi terhadap menguping.
e) Restrict data flow ( RDF): batasi alur data pada saluran komunikasi untuk melindungi
terhadap publikasi informasi kepada takterotorisasi sumber.
f) Tanggapan tepat waktu untuk Acara (TRE) : menanggapi pelanggaran keamanan dengan
memberi tahu kelayakan otoritas , pelaporan yang diperlukan bukti forensik pelanggaran ,
dan secara otomatis mengambil tindakan korektif tepat waktu di mission-critical atau safety-
critical situasi.
g) Resource Availability (RA): memastikan ketersediaan semua sumber daya jaringan untuk
melindungi dari penolakan layanan serangan.
Semua persyaratan ini berada dalam lingkup spesifikasi teknis ini , meskipun dalam beberapa
kasus lebih detail informasi normatif akan menjadi disediakan oleh standar lain dalam seri IEC
62443 . Misalnya , persyaratan teknis seperti integritas data dan kerahasiaan data akan
menjadi diurus di detail di sebuah masa depan bagian dari IEC 62443.
5.4 Defence in depth
Biasanya tidak mungkin untuk mencapai sasaran keamanan melalui penggunaan

penanggulangan atau teknik tunggal . Pendekatan yang unggul adalah dengan menggunakan
konsep pertahanan secara mendalam, yang melibatkan diberlakukan beberapa penanggulangan
secara berlapis atau bertahap . Misalnya , intrusi deteksi sistem bisa menjadi digunakan ke
sinyal itu penetrasi dari sebuah firewall.
5.5 Keamanan konteks
Konteks keamanan membentuk dasar untuk interpretasi peristilahan dan konsep dan
menunjukkan bagaimana berbagai elemen keamanan berhubungan satu sama lain. Istilah
keamanan dianggap di sini berarti pencegahan penetrasi yang tidak sah atau tidak diinginkan,
atau gangguan terhadap, kelayakan dan tujuan pengoperasian sistem otomasi dan kontrol
industri . Keamanan cyber termasuk komputer, jaringan, atau lainnya dapat diprogram
komponen dari itu sistem.
Konteks keamanan didasarkan pada konsep ancaman , risiko, dan penanggulangan, serta
hubungan di antara mereka . Hubungan antara konsep-konsep ini dapat ditampilkan dalam model
sederhana . Salah satu model tersebut, dijelaskan dalam ISO /IEC 15408-1 ( Kriteria umum),
direproduksi di gambar 2. Sebuah sudut pandang dari hubungan itu adalah ditampilkan di Angka
3.
TS 62443-1-1  IEC:2009(E) – 31 –
IEC 1292/09
Gambar 2 – Konteks tidak pasti hubungan
Pemastian keamanan informasi
Pemastian
Evaluation
techniques
Threat–risk assessment
produce gives evidence of
Pemastian
Owners Threats
require
Confidence using
Vulnerabilities
in
require
Countermeasures
to minimize
Risk
to
Assets
IEC 1293/09
Gambar 3 – Model konteks
Model konteks dari Gambar 3 menunjukkan bagaimana suatu hal yang diperluas konsep terkait
dalam dua proses pemastian keamanan informasi yang saling berhubungan dan ancaman-
risiko penilaian.
– 32 – TS 62443-1-1  IEC:2009(E)
5.6 Ancaman-risiko penilaian
5.6.1 Umum
Dalam proses penilaian risiko-ancaman , aset memiliki risiko . Risiko-risiko ini pada gilirannya
diminimalkan melalui penggunaan tindakan pencegahan, yang diterapkan untuk menangani
kerentanan yang digunakan atau dieksploitasi oleh berbagai ancaman. Masing - masing elemen
tersebut adalah dijelaskan lebih rinci berikut ini subklausa.
5.6.2 Aset
5.6.2.1 Ringkasan
Aset adalah fokus dari program keamanan . Merekalah yang dilindungi . Untuk sepenuhnya
memahami risiko terhadap lingkungan IACS pertama - tama diharuskan untuk membuat
inventarisasi aset yang memerlukan perlindungan . Aset dapat diklasifikasikan sebagai fisik ,
logis atau manusia.
a) fisik : aset fisik termasuk setiap komponen fisik atau kelompok komponen yang dimiliki oleh
suatu organisasi. Di lingkungan industri , ini dapat termasuk sistem kontrol , komponen
jaringan fisik dan media transmisi , sistem pengangkutan , dinding , ruangan, bangunan,
material, atau objek fisik lainnya yang terlibat dengan cara apa pun dengan kontrol ,
pemantauan , atau analisis proses produksi atau untuk mendukung bisnis. Aset fisik yang
paling signifikan adalah yang membuat up peralatan yang berada di bawah kendali dari
otomatisasi sistem.
b) logis : aset logis bersifat informasional. Mereka bisa termasuk kekayaan intelektual ,
algoritme, kepemilikan praktik, pengetahuan khusus proses, atau elemen informasi lainnya
yang merangkum kemampuan organisasi untuk beroperasi atau berinovasi. Selanjutnya, jenis
aset ini dapat termasuk reputasi publik kepercayaan pembeli , atau tindakan. lainnya bahwa,
jika rusak , secara langsung berdampak bisnis. Aset logis dapat berupa memori pribadi
dokumen, informasi yang terdapat pada media fisik, atau elektronik catatan penyimpanan
yang berhubungan dengan aset informasi. Aset logis juga dapat termasuk hasil tes ,
mematuhi peraturan data , atau informasi lain yang dianggap sensitif atau hak milik, atau
yang dapat memberikan atau menghasilkan keunggulan kompetitif. Kehilangan dari aset logis
sering penyebab sangat panjang abadi dan merusak efek ke sebuah organisasi.
Aset otomatisasi proses adalah bentuk khusus dari aset logis. Mereka mengandung logika
otomatisasi yang digunakan dalam menjalankan proses industri . Proses-proses ini sangat
tergantung pada pelaksanaan yang berulang -ulang atau terus -menerus dari peristiwa yang
didefinisikan secara tepat Kompromi aset proses dapat datang melalui baik fisik (misalnya,
penghancuran media) atau nonfisik (misalnya, takterotorisasi modifikasi) artinya, dan hasil
dalam semacam kehilangan integritas atau ketersediaan untuk proses diri.
c) manusia : aset manusia termasuk orang dan pengetahuan serta keterampilan yang
dimilikinya memiliki terkait dengan kegiatan produksi mereka. Mereka bisa termasuk
diperlukan sertifikasi, pengetahuan khusus peralatan, atau aktivitas lain yang tidak termasuk
dalam proses produksi otomatis atau keterampilan penting yang diperlukan selama keadaan
darurat. Jarang sekali fasilitas pemrosesan yang sepenuhnya otomatis dan gangguan operasi
yang dilakukan oleh orang dapat memiliki dampak besar pada produksi meskipun sistem fisik
dan logis tetap relatif utuh. Misalnya, alarm pabrik yang salah dapat menyebabkan personel
memulai shutdown dan evakuasi pabrik meskipun tidak ada yang secara fisik atau logis
terganggu dalam otomasi dan kontrol industri sistem. Setiap kecelakaan atau serangan yang
melukai seseorang akan menjadi dianggap berdampak pada asset manusia.
5.6.2.2 Menilai aset
Untuk memenuhi kualifikasi aset fisik atau logis , objek harus berupa : dimiliki oleh, atau di bawah
tugas pemeliharaan organisasi . Juga perlu memiliki nilai ke organisasi. nilai dari aset dapat
dinyatakan dalam kualitatif atau istilah kuantitatif. Beberapa organisasi juga akan
mempertimbangkan penilaian kualitatif sebagai alasan yang memadai untuk menyatakan
kehilangan . aset dalam analisis risiko proses.
a) Penilaian kuantitatif aset : aset yang diberikan penilaian kuantitatif memiliki nilai moneter yang
tepat kehilangan terkait dengan dia. Ini dapat menjadi di ketentuan dari biaya dari
penggantian, biaya dari hilang
TS 62443-1-1  IEC:2009(E) – 33 –
sales, or other monetary measures. Quantitative analysis requires a rigorous cost analysis
to obtain a precise number, but does afford an organization a much clearer picture of the
potential impact from a loss.
a) Qualitative valuation of assets: qualitative loss typically expresses a more abstract level of
loss such as a percentage or a relative value such as low impact, high impact, or no
impact. Many assets may only be analyzed in terms of qualitative loss. Initiating a risk
assessment process may begin with a qualitative valuation of assets for documenting high-
level risks and for justifying the business case for spending money on remediation to
reduce a risk, and later be supported by a quantitative analysis for a detailed picture of risk
exposure.
Value may be categorized by the type of loss incurred, either direct or indirect.
b) Direct loss: direct loss represents the cost of replacing the asset. For a physical asset, this
could include the replacement cost for the device itself. Logical assets have comparatively
low direct loss when compared with their utility value, because the medium used to store
the asset is typically low cost.
c) Indirect loss: indirect loss represents any loss caused by the loss of the asset that the
organization may realize. This could include losses related to process downtime, rework, or
other production costs due to loss of the asset. Indirect losses for physical assets typically
include downstream effects due to loss of the component. Indirect losses for logical assets
are often great. They include loss of public confidence, loss of license to operate because
of regulatory violation, and loss of competitive advantage from release of intellectual
property (e.g., confidential process technology).
3.1.1.1 Categorization of loss
By combining the information on asset types and valuation, it is possible to show the types of
losses for each type of asset. This is summarized in Table 1.
Table 1 – Types of loss by asset type
Qualitative or
Asset type Direct loss Indirect loss
quantitative
Physical Can be high direct loss, Downstream effects as a result of Qualitative or quantitative,
represented by the replacement loss, including loss of may begin with qualitative
cost for the asset. Direct loss control, loss or damage to other for high-level risks, and
comes from damage to physical assets, and downtime losses. later be quantitative for
assets as a result of loss of greater precision.
integrity or availability, and the
interruption of precise sequencing or
consistent nature of a process.
Logical Low direct loss, as the storage High indirect loss, often due to Mostly qualitative, but
media are often cheap and easily loss of intellectual property, some downstream effects
replaceable. compromise of proprietary may be quantitative.
procedures, or violation of
regulatory compliance. Indirect
losses from equipment damage or
material release can lead to
downtime, rework,
reengineering, or other efforts to
restore control over the
industrial process.
– 34 – TS 62443-1-1  IEC:2009(E)
Qualitative or
Asset type Direct loss Indirect loss
quantitative
Human Low to medium direct loss Low to high indirect loss Immediate qualitative
depending upon the extent of the depending upon the extent of impact on production
injury to the person. Minor injuries the injury and the criticality of followed by quantitative
with short recovery times may the person to the process. impact for recovery or
have low direct loss impact to the Overtime costs and temporary replacement.
company even though the injury may replacement costs may vary
have lasting impact to the considerably depending upon the
person who is injured. recovery time of the
individual. Permanent disabling
injuries or death may have high
indirect loss costs when social
responsibility and potential
litigation and awards are
factored into the assessment.
3.1.2 Vulnerabilities
In simple terms, vulnerabilities are inherent weaknesses in systems, components, or

organizations.
Vulnerabilities may be the result of intentional design choices or may be accidental, resulting
from the failure to understand the operational environment. They may also emerge as
equipment ages and eventually becomes obsolete, which occurs in a shorter time than is
typical for the underlying process or equipment under control. Vulnerabilities are not limited to
the electronic or network systems. Understanding the interaction between physical (including
human) and electronic vulnerabilities is critical to establishing effective industrial automation
and control system security.
An industrial automation and control system that initially has limited vulnerability may become more
vulnerable with situations such as changing environment, changing technology, system component
failure, unavailability of component replacements, personnel turnover, and greater threat intelligence.
3.1.3 Risk
3.1.3.1 Overview
Risk is generally defined as an expectation of loss expressed as the probability that a particular
threat will exploit a particular vulnerability with a particular consequence. Risk is a function of
threat, vulnerability, and consequence, where consequence is the negative impact the
organization experiences due to the specific harm to the organization’s asset or assets by the
specific threat or vulnerability. The threat and vulnerability components can be expressed in
terms of likelihood. Likelihood is the probability that a specific action will occur.
Asset owners should rank and include the cost of mitigation or cost to repair in their estimate of
risk. They should also determine the appropriate countermeasures for mitigating the most
security exposures for the least financial exposure.
Any sound risk assessment methodology should analyze all involved systems in a layered approach,
starting with systems closest to the threat, and working inward. The basic risk assessment process
consists of three steps:
1) assess initial risk;

2) implement risk mitigation countermeasures;
3) assess residual risk.
Steps 2 and 3 of this process are repeated as required in order to reduce the residual risk to an
acceptable level. Specifically, the second step includes evaluating existing controls and
TS 62443-1-1  IEC:2009(E) – 35 –
implementing plans to add remedial or additional countermeasures. A more detailed

description of the process of determining risk will be provided in a future part of IEC 62443.
Typical risks considered include the following:
a) personnel safety risks such as death or injury;

b) process safety risks such as equipment damage or business interruption;
c) information security risks such as cost, legal violations, or loss of brand image;
d) environmental risk such as notice of violation, legal violations, or major impact;
e) business continuity risks such as business interruption.
3.1.3.2 Risk tolerance level
The output of a qualitative risk analysis will consist of a list of assets or scenarios with an
overall likelihood and a consequence ranking. It is a management responsibility to determine
the appropriate response to items based on these rankings. Some organizations accept
relatively high levels of risk (such as aggressive growth companies), while some companies
are inherently conservative in terms of being risk adverse. Therefore, a certain level of residual
risk may be acceptable to one organization and not to another. Even within the same company,
individual plants may exhibit different risk appetites or tolerances. Management should
explicitly define and understand what its risk appetite or tolerance is, so it can better analyze its
level of response to residual risks identified.
Addressing the security of industrial automation and control systems does not, in general, introduce
new risks, but it may contribute to a different perspective on the existing risks. For example, risks
related to safety are typically given more attention in an industrial automation context.
Industrial automation and control systems security does not need to reinvent a process for
defining the risk tolerance level; it is simply derived from other risk management practices in
the organization.
3.1.3.3 Risk response
There are several potential responses to risk. Organizations can take some combination of actions in
each situation, depending on the circumstances.
a) Design the risk out: one form of mitigation is to change the design of the system so the risk
is removed. Some risks exist simply because access is available to something to which no
access is ever needed. Completely disabling the unnecessary function or welding the
function from access can mitigate the risk. Organizations can make the appropriate
business decisions so the risk is not taken. This response may involve saying no to
something, whether a new vendor product, system, or relationship.
b) Reduce the risk: risks can be decreased to an acceptable level through the implementation
of countermeasures that reduce the likelihood or consequence of an attack. The key here is
to achieve a level of good enough security, not to eliminate the risk.
c) Accept the risk: there is always an option to accept the risk, to see it as the cost of doing
business. Organizations need to take some risks, and they cannot always be cost
effectively mitigated or transferred.
d) Transfer or share the risk: it may be possible to establish some sort of insurance or
agreement that transfers some or all of the risk to a third entity. A typical example of this is
outsourcing of specific functions or services. This approach cannot always be effective,
because it may not always cover all assets completely. A cybersecurity policy can recover
certain damages, but not logical assets such as loss of customer confidence.
e) Eliminate or redesign redundant or ineffective controls: a good risk assessment process will
identify these types of controls that need to be addressed so that more attention can be
focused on controls that are effective and efficient.
– 36 – TS 62443-1-1  IEC:2009(E)
3.1.4 Threats
3.1.4.1 Overview
Threats describe the possible actions that can be taken against a system. They come in many different
forms, but two of the more common forms are:
a) Accidental: someone unfamiliar with proper procedure and policy or an honest oversight
causes an accidental risk. It is also likely that an organization does not know all the risks
and may uncover them by accident as it operates complex industrial automation and control
systems.
b) Non-validated changes: updates, corrections, and other changes to operating systems,
application programs, configurations, connectivity, and equipment can provide an
unexpected security threat to the industrial automation and control systems or the
respective production.
Threat agent is the term used to describe the entity that presents a threat. They are also known as
adversaries or attackers. Threat agents come in many different forms. Examples include:
c) Insider: an insider is a trusted person, employee, contractor, or supplier who has

information that is not generally known to the public. An insider can present a threat even if
there is no intent to do harm. For example, the threat may arise as a result of an insider
bypassing security controls to get the job done.
d) Outsider: an outsider is a person or group not trusted with inside access, which may or may
not be known to the targeted organization. Outsiders may or may not have been insiders at
one time.
e) Natural: natural events include storms, earthquakes, floods, and tornadoes, and are
generally considered a physical threat.
Threats that become action are known as attacks (sometimes referred to as an intrusion).
Whether designing components and systems or implementing a security program within a site
or organization, it is possible to model attacks in order to ensure that countermeasures are in
place to identify and deter them. Case modelling and attack trees are examples of methods that
can be used.
Threats may be either passive or active. Each type is described in the following subclauses.
3.1.4.2 Passive threats
Passive information gathering can provide a potential intruder with valuable information. Threat
agents usually gather passive information by casual verbal communications with employees
and contractors. However, persons inside or outside the facilities can also gather passive
information with visual observations. Passive information gathering could include data about
shift changes, equipment operation, supply logistics, patrol schedules, and other vulnerabilities.
Passive information gathering may be difficult to detect, especially when information is
gathered in small increments from several sources. Maintaining observation for unusually
curious persons, photographers, and personnel often outside their areas of responsibility can
help organizations recognize passive information gathering, especially when combined with
accurate background check information.
Sniffing is an example of a passive threat. It is the act of monitoring data in a communication

stream. Wiretapping, intercepting data contained in a flow of information, is the most widely
known means of sniffing. Sniffing can be very sophisticated. Tools are publicly available to sniff
data on various communication networks. Although these devices are commonly used for
configuration management, troubleshooting networks, and analyzing data traffic, they can also
be used to gather specific data about any transaction occurring across the network. For
example, in packet sniffing and password sniffing, the attacker secretly attaches to the network
at a remote switch or computer. The sniffing tool then passively monitors the information sent
through the network and captures the information to a disk that can later be downloaded and
analyzed to obtain user’s identifications and passwords.
TS 62443-1-1  IEC:2009(E) – 37 –
3.1.4.3 Active threats
3.1.4.3.1 General
Active threats come in various forms, as described in the following subclauses.
3.1.4.3.2 Communication
The intent of a communication attack is to disrupt communications for an industrial automation and
control system. Communication attacks can occur in several forms. They may occur at several levels
within the system from the computer processor layer up and from outside the enterprise, as in a
denial-of-service attack on communications systems.
3.1.4.3.3 Database injection
An injection is a form of attack on a database-driven website in which the attacker executes

unauthorized commands by taking advantage of an insecure code on a system connected to
the internet, bypassing the firewall. Injection attacks are used to steal information from a
database from which the data would normally not be available and/or to gain access to an
organization’s host computers through the computer that is hosting the database.
3.1.4.3.4 Replay
Signals may be captured from control system communications paths and replayed later to
provide access to secured systems or to falsify data in the industrial automation and control
system. Potential intruders can replay access control signals, biometric signals, and other
system signals to gain unauthorized access to secured areas or systems, hide illegitimate
activities, or provide false distractions. A system might combine multiple paths for data
acquisition, signaling, and control to prevent a single tap from gathering replay information for
an entire subsystem, piece of equipment, application, or database.
3.1.4.3.5 Spoofing and impersonation
In networking, these terms are used to describe a variety of ways in which hardware and
software can be fooled. Attackers can forge an e-mail header to make it appear as if the
message came from somewhere or someone other than the actual source. IP spoofing, for
example, involves trickery that makes a message appear as if it came from an authorized IP
address.
3.1.4.3.6 Social engineering
Threat agents also obtain or attempt to obtain otherwise secure data by tricking an individual
into revealing secure information. Social engineering is successful because its victims innately
want to trust other people and are naturally helpful. The victims of social engineering are
tricked into releasing information that they do not realize will be used to attack a computer
network.
3.1.4.3.7 Phishing
This is a type of security attack that lures victims to reveal information, by presenting a forged e-mail to
lure the recipient to a web site that looks like it is associated with a legitimate source. Phishing relies
on social engineering in that humans tend to believe in the security of a brand name, associating it
with trustworthiness.
3.1.4.3.8 Malicious code
The purpose of a malicious code may be to gather information about systems or users, destroy system
data, provide a foothold for further intrusion into the system, falsify system data and reports, or provide
time-consuming irritation to system operations and maintenance personnel. Malicious code attacks
can take the form of viruses, worms, automated exploits, or Trojan horses.
– 38 – TS 62443-1-1  IEC:2009(E)
A virus is a program or piece of code inside another program that is loaded onto a computer
without the user’s knowledge and that runs against their wishes. Viruses can also replicate
themselves. All computer viruses are manmade. A simple virus that can make a copy of itself
over and over again is relatively easy to produce. Even such a simple virus is dangerous,
because it will quickly use all available memory and bring the system to a halt. An even more
dangerous type of virus is one capable of transmitting itself across networks and bypassing
security systems.
An automated exploit code is placed into the system to gather information or notify someone or
other systems when specific events or transactions occur. A relatively simple exploit code can
gather information for future intrusions, financial exploitation, or statistical purposes
(marketing). An automated exploit code can use other resources or applications already within
the system to enhance its capabilities to gather information or destroy data. A fully automated
exploit code is usually called a worm. A worm is a self-contained program or algorithm that
replicates itself over a computer network and usually performs malicious actions, such as using
up the computer's resources and possibly shutting the system down.
A Trojan horse is a destructive program that masquerades as a benign application. Unlike

viruses, Trojan horses (also known as “Trojans”) do not replicate themselves, but they can be
just as destructive. One of the most insidious types of Trojan horse is a program that claims to
rid a computer of viruses, but instead introduces viruses onto the computer.
A malicious code can be delivered in the form of a botnet, defined as a collection of

compromised machines running programs under a common command and control
infrastructure. A botnet's originator can control the group remotely, usually for nefarious
purposes.
3.1.4.3.9 Denial of service
Denial (or degradation) of service attacks affects the availability of a network, operating
system, or application resources. A popular form of network-based denial of service is the
distributed denial of service (DDoS) attack, which leverages multiple compromised devices to
cause significant damage to a network, device, or application.
3.1.4.3.10 Escalation of privileges
To mount an effective attack against a system, it is often necessary for threat agents to first
obtain privileged access. With these increased privileges the attacker can take actions that
would otherwise be prevented.
3.1.4.3.11 Physical destruction
Physical destruction attacks are aimed at destroying or incapacitating physical components

(i.e., hardware, software storage devices, connections, sensors, and controllers) that are part
of the industrial automation and control system. These attacks can come in the form of a
physical attack on the components themselves or through a cyberattack that causes the
system to perform actions that lead to physical damage, destruction, or incapacitation of the
component.
3.1.5 Countermeasures
Countermeasures are actions taken, or provisions made for the purpose of reducing risk to an
acceptable level, or to meet security policies. They do not typically eliminate risk. The nature of
the countermeasures employed depends on the nature of the threat being addressed.
There are several possible countermeasures to address external threats. Examples include the
following:
a) authentication of users and/or computers;

b) access controls;
TS 62443-1-1  IEC:2009(E) – 39 –
c) intrusion detection;
d) encryption;
e) digital signatures;
f) resource isolation or segregation;
g) scanning for malicious software;
h) system activity monitoring;
i) physical security.
In the case of internal threats, a different approach may be required, since the attacker may
have the ability to bypass some of the normal countermeasures such as access control. This
makes it necessary to place more emphasis on countermeasures such as written policies,
separation of duties, activity monitoring, system auditing and encryption.
Passive threats such as sniffing are very difficult to detect, because the sniffing tool only reads
the information moving across the connected media and does not provide signals into the
signaling path. Hard-connected sniffing can be detected with modern communication control
devices, such as intelligent data network switches, but wireless sniffing is nearly impossible to
detect even with very sophisticated and expensive radio telecommunications equipment.
Sniffing access can be reduced by controlling and closing unused voice and data ports in the
plant and by providing intelligence in communication control equipment.
5.7 Security program maturity
5.7.1 Overview
Driven by increasing cybersecurity risks, many organizations have taken a proactive approach
towards addressing the security risks of their information technology systems and networks.
They are beginning to realize that addressing cybersecurity is a continuous activity or process
and not a project with an identified start and stop.
Historically, organizations providing and supporting business information systems and

industrial automation and control systems operated in two mutually exclusive areas. The
expertise and requirements of each organization were not understood or appreciated by the
other. Issues arose as organizations tried to employ common IT security practices to industrial
automation and control systems.
In some cases, the security practices were in opposition to normal production practices
designed to maximize safety and continuity of production. Because today’s open information
technologies are used extensively in industrial automation and control systems, additional
knowledge is required to safely employ these technologies. The IT and manufacturing or
production organizations should work together and bring their knowledge and skills together to
tackle security issues. In industries with a high potential for health, safety, and environmental
incidents, it is important to involve Process Safety Management (PSM) and physical security
personnel as well.
The goal is a mature security program that integrates all aspects of cybersecurity, incorporating
desktop and business computing systems with industrial automation and control systems.
Figure 4 shows the integration journey many businesses face. Many organizations have fairly
detailed and complete cybersecurity programs for their business computer systems, but
cybersecurity management practices are not as fully developed for IACS.
– 40 – TS 62443-1-1  IEC:2009(E)
"Maturity of a cyber security program"
IEC 1294/09
Figure 4 – Integration of business and IACS cybersecurity
A common mistake is to address cybersecurity as a project with a start-and end date. When
this occurs, the security level often declines over time as is depicted in Figure 5. Cybersecurity
risks constantly change as new threats and vulnerabilities surface along with ever-changing
technology implementations. A different approach is needed to sustain the security gains and
hold risk to an acceptable level.
Relative security level of an IACS
Cyber security management system approach

Time
Project approach to cyber security IEC 1295/09
Figure 5 – Cybersecurity level over time
The recommendation is to develop and implement an organization-wide cybersecurity

management system (CSMS) that includes program elements to reassess risk and take
corrective actions to eliminate the tendency for security levels to decline over time. An in-depth
description of the key elements of a cybersecurity management system is provided in the
second document in this series. [8]
TS 62443-1-1  IEC:2009(E) – 41 –
Every organization’s journey to implement a cybersecurity management system will be different

based on the organization’s objectives and tolerance for risk. Integrating cybersecurity into an
organization’s document practices is a cultural change that takes time and resources. As the
figures suggests, it cannot be achieved in one step. It is an evolutionary process that
standardizes on the approach to cybersecurity. The security practices to be implemented
should be proportionate to the risk level and will vary from one organization to another, and
may even be different for various operations within the same organization based on global
needs and requirements. Individual policies and procedures may also be different for each
class of system within an organization because the level of risk and security requirements may
be different. A cybersecurity management system establishes the overall program that
accommodates these differences.
Education and awareness are critical for successfully addressing IACS cybersecurity risks as
noted above. There are several options to consider:
a) Training the IACS personnel to understand the current information technology and
cybersecurity issues.
b) Training IT personnel to understand IACS technologies, along with the process safety
management processes and methods.
c) Developing practices that join the skill sets of all the organizations to deal with
cybersecurity collaboratively.
For the cybersecurity program to be successful, it is necessary to assemble the right mix of
people on both the mitigation projects and the overall CSMS program development. Figure 6
illustrates a typical range of skills and understanding that should be pulled together from
multiple groups of people to reach the desired integrated, mature cybersecurity program state.
Telecom and
IT support
"Maturity of a cyber security
IT
securi
ty
Suppl
iers
program"
Process safety IACS support

Operations and maintenance
Time
IEC 1296/09
Figure 6 – Integration of resources to develop the CSMS

– 42 – TS 62443-1-1  IEC:2009(E)
5.7.2 Maturity phases
It is possible to describe the relative maturity of a cybersecurity program in terms of a life cycle that
consists of several phases. Each of these phases consists of one or more steps.
Portions of the industrial automation and control system, or control zones within a control
system can be at different phases of maturity. There are several reasons for this situation,
including budgetary constraints, vulnerability and threat assessments, schedules placed
against risk analysis results, automation upgrades, plans for dissolution or replacement, plans
to sell a segment of the facility or business, or availability of other resources to upgrade the
security systems to a more mature phase.
Organizations can achieve a more detailed evaluation of security maturity by assessing
achievements within portions of the industrial automation and control system in terms of the
phases and steps shown in Table 2.
TS 62443-1-1  IEC:2009(E) – 43 –
Table 2 – Security maturity phases
Phase Step
Identification
Concept
Concept
Functional analysis Definition
Functional design
Implementation
Detailed design
Construction
Operations
Operations
Compliance monitoring
Disposal
Recycle and disposal
Dissolution
Table 3 through Table 7 provide general descriptions for each of the phases and steps in the maturity
of a life cycle.
Table 3 – Concept phase
Step Description
Identification Recognize need for protection of property, assets, services, or personnel
Start developing the security program
Concept Continue developing the security program
Document assets, services, and personnel needing some level of protection
Document potential internal and external threats to the enterprise
Establish security mission, visions, and values
Develop security policies for industrial automation and control systems and
equipment, information systems and personnel
Table 4 – Functional analysis phase
Step Description
Definition Continue developing the security program
Establish security functional requirements for industrial automation and control
systems and equipment, production systems, information systems, and
personnel
Perform vulnerability assessment of facilities and associated services against the list of
potential threats
Discover and determine legal requirements for industrial automation and control
systems
Perform a risk analysis of potential vulnerabilities and threats
Categorize risks, potential impacts to the enterprise, and potential mitigations
Segment security work into controllable tasks and modules for development of
functional designs
Establish network functional definitions for security portions of industrial
automation and control systems
– 44 – TS 62443-1-1  IEC:2009(E)
Table 5 – Implementation phase
Step Description
Functional design Development of the security program is completed in this phase
Define functional security requirements for enterprise zones, plant zones, and control
zones. Potential activities and events are defined and documented to perform the
functional requirements and implement plans for a secured
enterprise
Define functional security organization and structure
Define functions required in the implementation plan
Define and publish security zones, borders, and access control portals
Complete and issue security policies, and procedures
Detailed design Design physical and logical systems to perform the functional requirements
previously defined for security
Conduct training programs
Implementation plan is fully developed
Initiate asset management and change management programs
Design borders and access control portals for protected zones
Construction Implementation plan is executed. Physical security equipment, logical
applications, configurations, personnel procedures are installed to complete the
secured zones and borders within the enterprise.
Access control portal attributes are activated and maintained
Training programs are completed
Asset management and change management programs are functional and
operating
Security system turnover packages are completed and ready for acceptance by
operations and maintenance personnel
Table 6 – Operations phase
Step Description
Operations Security equipment, services, applications and configurations are completed and
accepted by operations and maintenance
Personnel are trained, and continued training is provided on security matters
Maintenance monitors security portions of enterprise, plant, or control zones and keeps
them functioning properly
Asset management and change management is operational and maintained
Compliance monitoring Internal audits
Risk reviews
External audits
TS 62443-1-1  IEC:2009(E) – 45 –
Table 7 – Recycle and disposal phase
Step Description
Disposal Obsolete security systems are properly disassembled and disposed of
Security borders are updated or recreated for zone protection
Access control portals are created, redefined, reconfigured, or closed
Personnel is briefed about changes in the security systems and items along with the
impact to associated security systems
Dissolution Intellectual property is properly collected, documented, and securely archived or
destroyed
Access control portals and respective links are closed
Personnel are briefed about dissolution of the security systems and items along with the
impact to remaining security systems
5.8 Policies
5.8.1 Overview
Security policies enable an organization to follow a consistent program for maintaining an

acceptable level of security. Policies are defined at different levels in an organization, ranging
from governance or management policies established at the enterprise level to operation
policies defining the details of security administration. Policies at the most specific level are the
organization's document against which security audits can measure compliance.
Security policies are the rules that specify or regulate how an organization protects sensitive
and critical system resources. Policies unambiguously state what is mandatory. Because
policies are mandatory and unambiguous, they make audits possible. The organization's
security policies also take into account legal, regulatory, and contractual obligations. They are
the measuring stick against which audits test the actual practices of the organization.
Complementing policies are procedures. Security procedures define in detail the sequence of
steps necessary to provide a certain security measure. Because of their level of detail,
procedures apply to a specific issue. They may pertain to a specific technology. Policies
reference procedures and mandate their use.
Contrasting with policies and procedures are guidelines. Guidelines are not mandatory. They
are intended to describe a way to do something that is desirable but not mandatory. Because
guidelines are not mandatory and may be ambiguous, practices cannot be audited against
guidelines. Guidelines are sometimes written by a group that does not have the authority to
require them to be followed. Guidelines are inappropriate to describe practices that are
mandatory.
Because the policies and procedures for different parts of an organization are often different, it
is important that they be adequately coordinated. Specifically, the security policy for industrial
automation and control systems should be coordinated with similar policies for general purpose
IT security. The security program will work more successfully if there are good working
relationships among the parties, and a well-coordinated set of policies can support good
relationships.
Some consistency to the structure of the various policies and procedures increases the
coherence of the overall set of policies and procedures. Each policy or procedure document has
a short but precise statement of its purpose. It also has a statement of scope that defines where
the document applies. It has a description of the risks that it is intended to reduce and of the key
principles of the document. These common items guide the reader by providing more information
about the intention of the policy or procedure. They also describe the intent of the document to
provide guidance, which is useful when the document needs to be revised.
– 46 – TS 62443-1-1  IEC:2009(E)
Different phases in a system’s life cycle have different profiles of security issues. Security
policies and procedures may address only certain life cycle phases. Some policies and
procedures may specify that they only pertain to certain phases. All of the security concerns
from all of the various phases are addressed in corresponding places in the set of security
policies and procedures.
Security policies and procedures contain instructions on how the organization will measure
compliance and update the policies. Organizations often recognize that policies need to be
updated when performing or evaluating audits. Audits may identify ambiguities in policies and
procedures as well as parts of policies and procedures that do not make the required process
or outcome clear. Audits can identify issues that should be added to policies and procedures.
Audits may also identify requirements that should be re-evaluated and adjusted or possibly
retracted.
Policies and procedures should allow for unforeseen circumstances that make it infeasible to
follow them. Policies should also state how to document and approve exceptions to policies
and procedures. Documenting approved exceptions leads to a clearer state of security than
leaving imprecision and ambiguity in the policies and procedures.
In addition, organizations should be unambiguous about what is a requirement versus what is

optional advice in a policy. Precise use of verbs like shall, should, may and is, removes the
ambiguity. Policy statements can define these words in their introduction sections to be more
precise. "Shall" is used for requirements; "should" is used for recommendations. "May" is used
for advice that is optional. It can be appropriate to provide options for addressing a
requirement. Phrases like "when possible" or "unless necessary" introduce ambiguity unless
the statement also describes how to determine whether the case is possible or necessary.
Policies and procedures identify who is responsible for what. Is the process-control staff
responsible for the control network? Is it responsible for a demilitarized zone (DMZ) between
the control network and the enterprise network? If a corporate information systems department
is responsible for conditions that require the process-control staff to perform certain
operations, then these operations should be described.
For an organization that is just starting to create its security program, policies and procedures
are a good place to begin. Initially, they can be written to cover the set of security practices that
the organization is equipped to handle in the near term. Over time they can be revised and
tightened as the organization's capability grows. They can be put in place without the lead time
of procuring and installing systems and devices.
5.8.2 Enterprise level policy
The policy at the enterprise level mandates the security program and sets the direction. It
states the organization's overall security objectives.
The policy statement of top management should be circumspect enough to remain pertinent
and accurate through changes in the structure of the organization, changes in system and
security technology, and changes in the kinds of security threats. By being circumspect, the
policy can be stable and will need to be rewritten only when the organization's basic position on
security changes. However, the policy statement is also unambiguous; it clearly identifies what
is required.
The enterprise level policy identifies areas of responsibility and assigns accountability for those
areas. The policy can define the relationship between the IT department and plant operations
and identify their different responsibilities. The policy can differentiate security objectives of the
control system from those of the enterprise network. For example, maintaining confidentiality
may be a top consideration of security for the enterprise network, whereas maintaining
continuous operation may be a top consideration for the control system.
TS 62443-1-1  IEC:2009(E) – 47 –
In addition, the policy identifies particular standards and regulations that apply to the
organization. It may identify training as an important component of the security program. The
policy may also indicate the consequences for policy violations.
Management should communicate the policy throughout the organization so that all employees
understand it.
5.8.3 Operational policies and procedures
Operational policies and procedures are developed at lower levels of the organization to
specify how the enterprise level policy is implemented in a specific set of circumstances.
Security procedures put the policy into effect. They define what the organization will do to
achieve the objectives and to meet the requirements of the policy. The procedures establish
processes that will address all the concerns of the policy.
The procedures address all components needed in a security program, including the following:
a) system design;
b) procurement;
c) installation;
d) process operation;
e) system maintenance;
f) personnel;
g) audit;
h) training.
The procedures identify specific activities, who is accountable for their performance, and when
activities will be performed.
The written procedures describe the process by which they will be changed when the situation
changes. Each policy or procedure has an identified owner responsible for recognizing when updates
are needed and for ensuring they are made.
The effectiveness of policies and procedures should be measured to check whether they serve
their intended purpose. The cost to the organization should also be measured, so the
organization can determine whether the balance of risk reduction aligns with the cost to
implement the policies. If the balance is unacceptable, the policy and procedures may have to
be adjusted. Procedures also have to be updated to reflect changes in technology.
Procedures are able to support audits. A security audit compares the observed actions of the
organization against the written procedures.
5.8.4 Topics covered by policies and procedures
5.8.4.1 General
There are several topics that policies and procedures can cover. Every organization is different
and should determine the appropriate policies and procedures that are applicable for its
industrial automation and control systems. Possible topics include:
5.8.4.2 Risk management
Risk management is vital to developing a cost-effective security program that provides a

uniform layer of adequate security, but that does not require equipment or procedures that are
too costly and significantly beyond the range of adequate security. However, risk management
is complex and needs to be tailored to the organization. The policy on risk management
defines how an acceptable level of risk is determined and how to control the risk. This level
– 48 – TS 62443-1-1  IEC:2009(E)
varies depending upon the goals and circumstances for a particular organization. The process
for determining risk level should be repeated periodically in order to accommodate changes to
the environment.
5.8.4.3 Access management
Security is improved in a system by restricting access to only those users who need and are
trusted with the access. An access management policy identifies different roles of users and
what kind of access each role needs to each class of asset (physical or logical). It specifies the
responsibilities of employees to protect the assets and the responsibilities of administrators to
maintain access management procedures. Authorization for these access privileges should
have well-documented approval by management and be periodically reviewed. Access
management may be as important or even more important to system integrity and availability
as the need to protect data confidentiality.
5.8.4.4 Availability and continuity planning
Policies in this area provide the necessary framework and requirements expectations for
backup and recovery, as well as business continuity and disaster recovery planning. They also
define archiving characteristics (e.g., how long data should be retained).
5.8.4.5 Physical security
The security of the control system depends upon the physical security of the space that
contains the control system. The plant site may already have a physical security policy before
the security policy is written for the control system. However, policies related to systems’
physical access may differ from those involving non-systems assets. For instance, all oil
refinery personnel may have general access to almost all facilities within the plant fences, but
IT infrastructure rooms may need to have access limited to only IT-related personnel – if for no
other reason than to prevent accidental damage. The control system security policy should
include a reference to the physical security policy and state its dependency. The security policy
for the control system should contain enough specifics on physical security to make any
specific application of the site physical security policy to the control system. For example, such
a policy might state: "some equipment shall be in locked cabinets, and the keys shall be kept in
a restricted place."
5.8.4.6 Architecture
Policies and procedures describe secure configurations of control systems including such
issues as the following:
a) recommended network designs;

b) recommended firewall configuration;
c) user authorization and authentication;
d) interconnecting different process control networks;
e) use of wireless communications;
f) domains and trust relationships;
g) patch management (including authentication);
h) anti-virus management;
i) system hardening in terms of closing software ports, disabling or avoiding unused or
dangerous services, and disabling the use of removable storage devices;
j) access to external networks (i.e., the Internet);
k) appropriate use of e-mail.
TS 62443-1-1  IEC:2009(E) – 49 –
5.8.4.7 Portable devices
Portable devices pose all the security risks of stationary equipment, but their mobility makes it
less likely that they will be covered by the normal security procedures from installation to audit.
Their portability provides additional opportunities for corruption while outside physical security
zones or for interception of information while connecting to secure zones. Thus, a special
policy is often needed to cover portable devices. The policy should require the same security
protection as a stationary device, but the technical and administrative mechanisms that provide
this protection may differ.
5.8.4.8 Wireless devices and sensors
Control equipment using radio frequency transmission in place of wires has been widely used
in certain control system applications for many years. As costs decrease and new standards
emerge, potential applications in automation and control systems continue to expand, in part
due to lower installation costs. A key difference between wired and wireless devices is that in
the latter case, signals are not confined within a physical security boundary, making them more
prone to interception and corruption. Therefore, a security policy specific to wireless devices is
appropriate for organizations that currently use or may in the future deploy wireless devices or
sensors in their operations. The policy may specify which applications can use wireless
devices, what protection and administrative methods are required, and how wired and wireless
networks are interconnected.
5.8.4.9 Remote access
Remote access bypasses the local physical security controls of the boundaries of the system. It
extends access to the trusted zone to a completely different geographic location and includes a
computer that may not have undergone the security checks of the computers that are physically
in the area of the trusted zone. Different mechanisms are required to provide the same level of
security as the trusted zone.
5.8.4.10 Personnel
Personnel issues are likely to be defined in the enterprise personnel- and IT security policies.
The control system security policy provides specifics, whereas the more general policies do not
include control system aspects. For example, the control system security policies coordinate
control system access roles with personnel screening and monitoring practices.
5.8.4.11 Subcontractor policy
Security issues include work that may involve subcontractors in roles such as supplier,
integrator, maintenance service provider, or consultant. A security policy that covers
subcontractors addresses the interactions with the subcontractor that could open
vulnerabilities. The policy identifies the responsibilities of the different parties. It addresses the
changing responsibilities as projects progress through their phases and as materials and
systems are delivered. The policy may require certain terms to be written into contracts with
subcontractors.
Without proper management of contract programmers, application integrity may be

compromised or programming code may not be maintainable. It is important to find well-
qualified contract programmers who will follow the organization's programming and
documentation standards and perform adequate testing, as well as being trustworthy and
timely.
5.8.4.12 Auditing
The security of the system is audited regularly to measure the degree of compliance with the
security policies and practices. The security policy addresses the need for audits and specifies
the responsibility, the regularity, and the requirement for corrective action. A comprehensive
auditing process may address aspects other than security, such as process efficiency and
effectiveness, and regulatory compliance.
– 50 – TS 62443-1-1  IEC:2009(E)
5.8.4.13 Security policy updating
The security policy is monitored to determine changes needed in the policies themselves.
Monitoring security policy is a part of each policy and procedure document, and the enterprise
security policy sets forth the overall approach. Each operational policy and procedure
document contains a statement of when and by whom the policy or procedure itself is to be
reviewed and updated.
Training programs should be in place for new hires, operations, maintenance, upgrades and
succession planning. Training programs should be well documented, structured, and updated
at regular intervals to incorporate changes in the operating environment.
5.9 Security zones
5.9.1 General
Every situation has a different acceptable level of security. For large or complex systems it may
not be practical or necessary to apply the same level of security to all components. Differences
can be addressed by using the concept of a security zone, or area under protection. A security
zone is a logical grouping of physical, informational, and application assets sharing common
security requirements. This concept applies to the electronic environment where some systems
are included in the security zone and all others are outside the zone. There can also be zones
within zones, or subzones, that provide layered security, giving defence in depth and
addressing multiple levels of security requirements. Defence in depth can also be
accomplished by assigning different properties to security zones.
A security zone has a border, which is the boundary between included and excluded elements.
The concept of a zone also implies the need to access the assets in a zone from both within and
without. This defines the communication and access required to allow information and people to
move within and between the security zones. Zones may be considered to be trusted or
untrusted.
Security zones can be defined in either a physical sense (a physical zone) or in a logical
manner (virtual zone). Physical zones are defined by grouping assets by physical location. In this
type of zone it is easy to determine which assets are within each zone. Virtual zones are defined
by grouping assets, or parts of physical assets, into security zones based on functionality or
other characteristics, rather than the actual location of the assets.
5.9.2 Determining requirements
5.9.2.1 Overview
When defining a security zone, an organization should first assess the security requirements
(security goals) and then determine whether a particular asset should be considered within the
zone or outside the zone. The security requirements can be broken down into the following
types:
5.9.2.2 Communications’ access
For a group of assets within a security border to provide value, they need to be linked to assets
outside the security zone. This access can be in many forms, including physical movement of
assets (products) and people (employees and vendors) or electronic communication with
entities outside the security zone.
Remote communication is the transfer of information to and from entities that are not in
proximity to each other. For the purposes of this technical specification, remote access is
defined as communication with assets that are outside the perimeter of the security zone being
addressed.
TS 62443-1-1  IEC:2009(E) – 51 –
Local access is usually considered as communication between assets within a single security zone.
5.9.2.3 Physical access and proximity
Physical security zones are used to limit access to a particular area because all the systems in
that area require the same level of trust of their human operators, maintainers, and developers.
This does not preclude having a higher-level physical security zone embedded within a lower-
level physical security zone or a higher-level communication access zone within a lower-level
physical security zone. For physical zones, locks on doors or other physical means protect
against unauthorized access. The boundary is the wall or cabinet that restricts access. Physical
zones should have physical boundaries commensurate with the level of security desired, and
aligned with other asset security plans.
One example of a physical security zone is a typical manufacturing plant. Authorized people
are allowed into the plant by an authorizing agent (security guard or ID), and unauthorized
people are restricted from entering by the same authorizing agent and by fences.
Assets that are within the security border are those that need to be protected to a given
security level, or policy. All devices that are within the border should share the same minimum
level of security requirements. In other terms, they should be protected to meet the same
security policy. Protection mechanisms can differ depending on the asset being protected.
Assets that are outside the security zone are by definition at a lesser or different security level.
They are not protected to the same security level, and by definition cannot be trusted to the
same security level or policy.
5.10 Conduits
5.10.1 General
Information needs to flow into, out of, and within a security zone. Even in a non-networked
system, some communication exists (e.g., intermittent connection of programming devices to
create and maintain the systems). To cover the security aspects of communication and to provide
a construct to encompass the unique requirements of communications, this document is
defining a special type of security zone: a communications’ conduit.
A conduit is a particular type of security zone that groups communications that can be logically
organized into a grouping of information flows within and also external to a zone. It can be a
single service (i.e., a single Ethernet network) or can be made up of multiple data carriers
(multiple network cables and direct physical accesses). As with zones, it can be made of both
physical and logical constructs. Conduits may connect entities within a zone or may connect
different zones.
As with zones, conduits may be either trusted or untrusted. Conduits that do not cross zone
boundaries are typically trusted by the communicating processes within the zone. Trusted conduits
crossing zone boundaries need to use an end-to-end secure process.
Untrusted conduits are those that are not at the same level of security as the zone endpoint. In
this case the actual communication security becomes the responsibility of the individual
channel. This is illustrated in Figure 7.
– 52 – TS 62443-1-1  IEC:2009(E)
Enterprise zone
Laptop computer Workstation Mainframe ServerServer
Enterprise conduit
Plant A zone Plant B zone Plant C zone
Router Router Router

Laptop computer Laptop computer Laptop computer
Workstation Workstation Workstation
File/printApp.Data File/printApp.Data File/printApp.Data
serverserver server serverserver server server server server
Plant A control zone Plant B control zone Plant C control zone
FirewallFirewallFirewall
App.Data Maint. server Firewall App.Data Maint. server Firewall App.Data Maint. server Firewall
server server server server server server
Plant control conduit Plant control conduit Plant control conduit
Controller Controller Controller Controller Controller Controller

I/OI/OI/OI/OI/OI/O
IEC 1297/09
Figure 7 – Conduit example
Figure 7 represents a three-plant organization with separate corporate headquarters. The three
plants are connected to the enterprise network to allow communications to headquarters and
the other plants. Four possible conduits are defined in the drawing (others would also be
defined, but are skipped for brevity). The first is the enterprise conduit, shown at the top of the
figure. It connects multiple plants at different locations to the corporate data center. If the wide
area network (WAN) is constructed using leased or private communications, then it could be
considered a trusted conduit. If it uses both public and private networks, then it may be
classified as untrusted. Included in the conduit are all of the communications’ equipment and
firewalls that make up the plant links.
Instances of the second conduit class are shown in each plant. Here each of the plants has its
own trusted conduit to allow control communication.
5.10.2 Channels
Channels are the specific communication links established within a communication conduit.
Channels inherit the security properties of the conduit used as the communication media (i.e.,
a channel within a secured conduit will maintain the security level of the secured conduit).
Channels may be trusted or untrusted.
Trusted channels are communication links that allow secure communication with other security
zones. A trusted channel can be used to extend a virtual security zone to include entities
outside the physical security zone.
Untrusted channels are communication paths that are not at the same level of security as the
security zone under study. The communications to and from the reference zone (the zone that
defines the communication as non-secure) need to be validated before accepting the
information.
TS 62443-1-1  IEC:2009(E) – 53 –
3.1 Security levels
3.1.1 General
Konsep tingkat keamanan telah dibuat untuk memfokuskan pemikiran tentang keamanan
berdasarkan zona daripada berdasarkan perangkat individu atau basis sistem. Seringkali IACS
terdiri dari perangkat dan sistem dari beberapa vendor, semuanya berfungsi bersama untuk
menyediakan fungsi otomatisasi terintegrasi untuk operasi industri. Sama seperti kemampuan
fungsional perangkat individu yang berkontribusi pada kemampuan IACS, kemampuan
keamanan perangkat individu dan tindakan pencegahan yang diterapkan perlu berfungsi satu
sama lain untuk mencapai tingkat keamanan yang diinginkan untuk suatu zona. Tingkat
keamanan memberikan kerangka acuan untuk membuat keputusan tentang penggunaan
tindakan pencegahan dan perangkat dengan kemampuan keamanan bawaan yang berbeda.
Tingkat keamanan memberikan pendekatan kualitatif untuk menangani keamanan untuk suatu
zona. Sebagai metode kualitatif, definisi tingkat keamanan memiliki penerapan untuk
membandingkan dan mengelola keamanan zona dalam suatu organisasi. Ketika lebih banyak
data tersedia dan representasi matematis dari risiko, ancaman, dan insiden keamanan
dikembangkan, konsep ini akan beralih ke pendekatan kuantitatif untuk pemilihan dan verifikasi
Tingkat Keamanan (SL). Ini akan memiliki penerapan untuk kedua perusahaan pengguna akhir,
dan vendor IACS dan produk keamanan. Ini akan digunakan untuk memilih perangkat IACS dan
tindakan pencegahan yang akan digunakan dalam suatu zona dan untuk mengidentifikasi dan
membandingkan keamanan zona di berbagai organisasi di seluruh segmen industri .
Setiap organisasi yang menggunakan metode tingkat keamanan harus menetapkan definisi
tentang apa yang diwakili oleh setiap tingkat dan bagaimana mengukur tingkat keamanan untuk
zona tersebut. Definisi atau karakterisasi ini harus digunakan secara konsisten di seluruh
organisasi. Tingkat keamanan dapat digunakan untuk mengidentifikasi strategi pertahanan
mendalam berlapis komprehensif untuk zona yang mencakup penanggulangan teknis berbasis
perangkat keras dan perangkat lunak bersama dengan penanggulangan tipe administratif .
Tingkat keamanan sesuai dengan efektivitas tindakan pencegahan yang diperlukan dan sifat
keamanan yang melekat pada perangkat dan sistem untuk zona atau saluran berdasarkan
penilaian risiko untuk zona atau saluran tersebut. Metode tingkat keamanan menyediakan
kemampuan untuk mengkategorikan risiko untuk suatu zona atau saluran. Ini juga membantu
menentukan efektivitas tindakan pencegahan yang diperlukan untuk mencegah intervensi
elektronik tidak sah yang dapat membaca atau memengaruhi fungsi normal perangkat dan
sistem di dalam zona atau saluran. Tingkat keamanan adalah properti dari zona dan saluran
daripada perangkat, sistem, atau bagian mana pun dari sistem.
Direkomendasikan minimal tiga tingkat keamanan. Ketiga level tersebut dapat dijelaskan secara
kualitatif seperti yang ditunjukkan pada Tabel 8. Organisasi dapat memilih untuk memperluas ini dan
menentukan level keamanan tambahan untuk menggambarkan persyaratan keamanan unik mereka.
Table 8 – Security levels
Security level Qualitative description

1 Low
2 Medium
3 High
3.1.2 Types of security levels
3.1.2.1 General
Tiga jenis tingkat keamanan yang berbeda dapat didefinisikan sebagai berikut::
a) SL(target) - target tingkat keamanan untuk zona atau saluran;

b) SL(achieved) - mencapai tingkat keamanan zona atau saluran;
– 54 – TS 62443-1-1  IEC:2009(E)
c) SL(capability) - kemampuan tingkat keamanan tindakan pencegahan yang terkait dengan

zona atau saluran atau kemampuan tingkat keamanan yang melekat pada perangkat atau
sistem di dalam zona atau saluran.
3.1.2.2 SL(target) – target security level
Target security level harus ditempatkan pada suatu zona. Tingkat keamanan target dapat
ditetapkan ke saluran. SL(target) untuk zona dan saluran ditentukan selama penilaian risiko.
Tidak diperlukan untuk menetapkan tingkat keamanan target untuk saluran selama properti
keamanan yang terkait dengan saluran dipertimbangkan selama penilaian risiko zona yang
menggunakan saluran yang dipertimbangkan. Penilaian risiko harus mempertimbangkan
kemungkinan dan konsekuensi keamanan zona atau saluran yang dikompromikan. Penilaian
risiko mungkin kualitatif, semi-kuantitatif, atau kuantitatif. SL(target) menentukan efektivitas
tindakan pencegahan, perangkat, dan sistem yang diperlukan yang perlu ada untuk mencegah
keamanan zona atau saluran dikompromikan.
Penanggulangan bisa berupa:
a) penanggulangan teknis (firewalls, anti-virus software, etc.);

b) tindakan administratif (policies and procedures);
c) c) penanggulangan fisik (locked doors, etc.).
Faktor-faktor yang mempengaruhi penentuan SL(target) untuk suatu zona dan conduit adalah:
d) arsitektur jaringan dengan batas zona dan saluran yang ditentukan;
e) SL(target) dari zona yang dengannya zona yang dipertimbangkan akan berkomunikasi ;
f) SL(target) saluran, jika ditetapkan, digunakan untuk komunikasi oleh zona;
g) akses fisik ke perangkat dan sistem di dalam zona.
Di dalam zona, menghitung tingkat keamanan target harus didasarkan pada lapisan keamanan dan
dampaknya terhadap keseluruhan.
3.1.2.3 SL(achieved) – achieved security level
SL(tercapai) dari suatu zona atau saluran tergantung pada sifat keamanan yang melekat pada
perangkat dan sistem di dalam zona atau saluran tersebut dan/atau sifat tindakan pencegahan
yang ada untuk mencegah keamanan zona atau saluran tersebut dikompromikan. SL (tercapai)
adalah fungsi waktu dan menurun seiring waktu karena degradasi penanggulangan, kerentanan
baru, ancaman atau metode serangan yang disesuaikan, pelanggaran pada lapisan keamanan,
dan properti keamanan yang melekat pada perangkat dan sistem hingga ditinjau, diperbarui,
atau ditingkatkan.
Tujuannya adalah untuk memastikan bahwa pada waktu tertentu SL (tercapai) dari zona atau
saluran lebih besar dari atau sama dengan SL (target) untuk zona atau saluran.
3.1.2.4 SL(capability) – security level capability of countermeasures, devices or

systems
SL(kemampuan) didefinisikan untuk tindakan pencegahan dan sifat keamanan yang melekat
pada perangkat dan sistem dalam zona atau saluran yang berkontribusi pada keamanan zona
atau saluran. Ini adalah ukuran efektivitas penanggulangan, perangkat, atau sistem untuk
properti keamanan yang mereka tangani.
Contoh properti keamanan yang dapat ditangani oleh penanggulangan, perangkat, atau sistem
diberikan di bawah ini:
a. membuktikan keaslian entitas rekan;
b. menjaga keaslian dan integritas pesan;
c. menjaga kerahasiaan pesan/informasi/komunikasi;
d. memastikan akuntabilitas (non-repudiation)
TS 62443-1-1  IEC:2009(E) – 55 –
e. menegakkan kebijakan kontrol akses;
f. mencegah serangan penolakan layanan;
g. menjaga kepercayaan platform;
h. mendeteksi gangguan;
i. memantau status keamanan.
SL(kemampuan) penanggulangan, perangkat atau sistem di dalam zona atau saluran berkontribusi
pada SL(tercapai) berdasarkan properti keamanan relevan yang ditangani oleh tindakan
pencegahan, perangkat, atau sistem untuk zona atau saluran tersebut.
3.1.3 Factors influencing SL(achieved) of a zone or conduit
3.1.3.1 General
Ada beberapa faktor yang berkontribusi terhadap SL (tercapai) dari suatu zona atau saluran. SL (dicapai)
dari zona atau saluran dapat dinyatakan sebagai fungsi dari faktor-faktor ini:
SL(achieved) = f(x1, … , xn, t )
Dimana faktor xi (1 < = i < = n) include tetapi tidak terbatas pada hal-hal berikut::
x1: SL(capability) of countermeasures associated with the zone or conduit and inherent
security properties of devices and systems within a zone or conduit;
x2: SL (achieved) by the zones with which communication is to be established;
x3: Type of conduits and security properties associated with the conduits used to
communicate with other zones (applicable to zones only);
x4: Effectiveness of countermeasures;
x5: Audit and testing interval of countermeasures and inherent security properties of devices
and systems within a zone or conduit;
x6: Attacker expertise and resources available to attacker;
x7: Degradation of countermeasures and inherent security properties of devices and
systems;
x8: Intrusion detection; t:
Time.
Parameter ini dijelaskan secara lebih rinci dalam subklausa berikut:
3.1.3.2 SL(capability) of countermeasures and inherent security properties
Properti keamanan yang relevan yang ditangani oleh tindakan pencegahan, perangkat dan sistem di
dalam zona atau saluran dan efektivitasnya berkontribusi pada SL (dicapai) oleh zona atau
saluran.
Penanggulangan mungkin mampu menangani beberapa properti keamanan, tetapi jika tidak ada
yang relevan dengan keamanan zona atau saluran, tindakan pencegahan tersebut tidak
berkontribusi pada SL(tercapai) dari zona atau saluran tersebut. Demikian pula, jika sifat
keamanan yang melekat pada perangkat dan sistem di dalam zona atau saluran tidak relevan
dengan keamanan zona atau saluran, mereka tidak berkontribusi pada SL (tercapai) dari zona
atau saluran tersebut.
3.1.3.3 SL(achieved) by zones with which communication is to be established
Keamanan zona atau saluran tidak dapat dipertimbangkan secara terpisah. Hal ini dipengaruhi oleh
SL (tercapai) dari zona yang berkomunikasi.
– 56 – TS 62443-1-1  IEC:2009(E)
Misalnya, pertimbangkan SIS di pabrik kimia yang berkomunikasi dengan DCS melalui tautan
serial. Dengan asumsi bahwa DCS dan SIS berada di dua zona terpisah, SL (tercapai) oleh zona
SIS akan dipengaruhi oleh SL (tercapai) oleh zona DCS.
3.1.3.4 Type of conduits and security properties associated with the conduits
Saluran tersebut dapat berupa link point-to-point, LAN, atau WAN dengan sifat keamanan yang
melekat. Saluran dapat mencakup tindakan pencegahan yang meningkatkan sifat keamanan
saluran. Properti keamanan saluran yang berkontribusi pada keamanan saluran akan
berkontribusi pada SL (dicapai) oleh saluran. Properti keamanan saluran, yang digunakan oleh
zona untuk berkomunikasi dengan zona lain, akan berkontribusi pada SL (dicapai) oleh zona.
3.1.3.5 Effectiveness of countermeasures
Penanggulangan teknis dan administratif dapat diterapkan untuk membantu mencapai SL

(target) yang diinginkan untuk zona atau saluran.
Berbagai penanggulangan teknis yang menangani properti keamanan yang berbeda tersedia
untuk implementasi dengan IACS. Penanggulangan teknis harus mengatasi properti keamanan
yang relevan dengan zona tersebut, tetapi jika properti keamanan tersebut tidak efektif untuk
zona tersebut, maka kontribusinya terhadap SL (tercapai) oleh zona tersebut sangat rendah atau
tidak ada sama sekali. Contoh penanggulangan teknis termasuk sistem deteksi intrusi (IDS),
firewall, dan perangkat lunak anti-virus.
Evaluasi efektivitas penanggulangan teknis harus mempertimbangkan hal-hal berikut::
a) Proses pengembangan: ketersediaan prosedur tertulis, rencana manajemen mutu, dll. Ini
akan membantu mengurangi kesalahan sistematis seperti bug perangkat lunak atau
kebocoran memori yang dapat memengaruhi keamanan.
b) Pengujian: tingkat pengujian untuk setiap properti keamanan yang ditangani oleh tindakan
pencegahan, perangkat, atau sistem. Data uji juga dapat disimpulkan dari sistem yang
dinilai sebelumnya.
c) Pengumpulan data: berapa kali suatu zona atau saluran disusupi karena cacat dalam
penanggulangan, perangkat, atau sistem yang serupa; tingkat dan kekritisan kerentanan yang
ditemukan untuk penanggulangan, perangkat, atau sistem.
Penanggulangan administratif harus digunakan ketika penanggulangan teknis tidak memungkinkan.

Contoh tindakan administratif adalah membatasi akses fisik ke komponen IACS.
3.1.3.6 Audit and testing interval of countermeasures
Efektivitas penanggulangan dan sifat keamanan yang melekat pada perangkat dan sistem harus
diaudit dan/atau diuji secara berkala berdasarkan prosedur yang akan mengaudit dan/atau
menguji setidaknya sifat keamanan yang relevan dengan suatu zona. Dalam beberapa kasus,
penemuan kerentanan baru juga dapat memicu audit atau pengujian.
3.1.3.7 Attacker expertise and resources available to attacker
Keahlian penyerang dan sumber daya, termasuk alat dan waktu, yang tersedia untuk penyerang
mempengaruhi SL (dicapai) dari zona atau saluran. Kemampuan dan alat penyerang yang
diterima industri harus diasumsikan. Waktu yang tersedia bagi penyerang untuk membahayakan
keamanan suatu zona akan bergantung pada aplikasi dan tindakan pencegahan yang diterapkan
untuk zona atau saluran tersebut..
3.1.3.8 Degradation of countermeasures
Penanggulangan dan sifat keamanan yang melekat pada perangkat dan sistem akan menurun
secara efektif dari waktu ke waktu, sehingga mengurangi SL (tercapai) dari suatu zona atau
saluran. Degradasi tindakan pencegahan dan sifat keamanan yang melekat pada perangkat dan
sistem terjadi karena hal-hal berikut:
TS 62443-1-1  IEC:2009(E) – 57 –
a) penemuan kerentanan baru;

b) meningkatkan keterampilan penyerang;
c) keakraban penyerang dengan tindakan pencegahan yang ada;
d) ketersediaan sumber daya yang lebih baik untuk penyerang.
3.1.3.9 Intrusion detection
Penanggulangan dan sifat keamanan yang melekat pada perangkat dan sistem dapat mencakup
deteksi intrusi. Waktu yang tersedia untuk menanggapi intrusi yang terdeteksi berdampak pada
SL (tercapai) dari suatu zona dan saluran.
3.1.4 Impact of countermeasures and inherent security properties of devices and
systems
Penggunaan tindakan pencegahan dan sifat keamanan yang melekat pada perangkat dan sistem
untuk mencapai SL(target) dapat mengakibatkan penurunan kinerja komunikasi. Penurunan
kinerja komunikasi karena tindakan pencegahan dan sifat keamanan yang melekat pada
perangkat dan sistem perlu dievaluasi untuk memastikan bahwa persyaratan fungsional minimum
zona masih terpenuhi..
Misalnya, kecepatan respons merupakan persyaratan penting untuk IACS. Penanggulangan dapat
menambah latensi komunikasi, yang mungkin tidak dapat diterima dalam aplikasi tertentu .
3.2 Security level lifecycle
3.2.1 General
Tingkat keamanan menjadi bagian penting dari siklus hidup keamanan zona IACS setelah batas
dan saluran zona ditentukan. Penting untuk diketahui bahwa siklus hidup tingkat keamanan
difokuskan pada tingkat keamanan suatu zona atau saluran dari waktu ke waktu. Seharusnya
tidak bingung dengan fase siklus hidup aset fisik aktual yang terdiri dari IACS di dalam zona.
Meskipun ada banyak aktivitas yang tumpang tindih dan saling melengkapi yang terkait dengan
siklus hidup aset dan siklus hidup tingkat keamanan zona, mereka masing-masing memiliki titik
pemicu yang berbeda untuk berpindah dari satu fase ke fase lainnya. Selanjutnya, perubahan
pada aset fisik dapat memicu serangkaian aktivitas tingkat keamanan, atau perubahan
kerentanan keamanan atau, aset dapat memicu perubahan pada aset fisik. .
Gambar 8 menggambarkan siklus hidup tingkat keamanan. Sebuah zona diberi SL(target)
selama fase Asses dari siklus hidup keamanan. Penanggulangan dilaksanakan selama fase
Implement untuk memenuhi SL (target) untuk zona tersebut. SL(tercapai) oleh suatu zona
tergantung pada berbagai faktor. Untuk memastikan bahwa SL (tercapai) lebih baik atau sama
dari SL (target) untuk zona setiap saat, tindakan pencegahan diaudit dan/atau diuji dan
ditingkatkan, jika perlu, selama fase Pemeliharaan dari siklus hidup keamanan.
– 58 – TS 62443-1-1  IEC:2009(E)
Assess phase Addressed in IEC 61784-2
Develop and
Addressed in IEC 61784-2
implement phase
Maintain phase Addressed in IEC 61784-3
IEC 61158-4 explores

IEC 1298/09
SL(Capability)
Figure 8 – Security level lifecycle
3.2.2 Assess phase
Fase Assess dari siklus hidup tingkat keamanan mencakup aktivitas yang ditunjukkan pada
Gambar 9. Sebelum menetapkan SL(target) ke suatu zona, hal-hal berikut perlu ditetapkan :
a) batas zona;
b) kriteria toleransi risiko organisasi.
TS 62443-1-1  IEC:2009(E) – 59 –
IEC 1299/09
Figure 9 – Security level lifecycle – Assess phase
Penilaian risiko untuk suatu zona harus dilakukan dan SL(target) ditetapkan ke zona tersebut. Rincian
penilaian risiko dan aktivitas lain yang terkait dengan fase penilaian akan dibahas di bagian
mendatang dari IEC 62443.
3.2.3 Develop and implement phase
Setelah SL(target) ditetapkan ke zona dalam fase Assess, tindakan pencegahan harus
diterapkan untuk mencapai SL(tercapai) lebih baik dari atau sama dengan SL(target) untuk zona
tersebut. Gambar 10 menggambarkan aktivitas, untuk zona IACS baru dan yang sudah ada,
dalam fase Implement dari siklus hidup tingkat keamanan. SL (tercapai) ditentukan setelah
sistem divalidasi terhadap persyaratan keamanan untuk zona tersebut.
Rincian kegiatan yang terkait dengan fase implementasi akan dibahas di bagian mendatang dari
IEC 62443.
– 60 – TS 62443-1-1  IEC:2009(E)
IEC 1300/09
Figure 10 – Security level lifecycle – Implement phase
3.2.4 Maintain phase
Penanggulangan dan sifat keamanan yang melekat pada perangkat dan sistem menurun seiring
waktu. Properti keamanan yang relevan dengan zona, termasuk saluran yang terkait dengan
zona, harus diaudit dan/atau diuji secara berkala atau setiap kali kerentanan baru ditemukan
untuk memastikan bahwa SL (tercapai) lebih baik dari atau sama dengan SL (target) untuk zona
setiap saat. Kegiatan yang terkait dengan mempertahankan SL (dicapai) oleh zona ditunjukkan
pada Gambar 11.
Rincian kegiatan yang terkait dengan fase pemeliharaan akan dibahas di bagian mendatang dari
IEC 62443.
TS 62443-1-1  IEC:2009(E) – 61 –
IEC 1301/09
Figure 11 – Security level lifecycle – Maintain phase
6
Model
6.1 Umum
Klausa ini menjelaskan serangkaian model yang dapat digunakan dalam desain program keamanan
yang sesuai. Tujuannya adalah untuk mengidentifikasi kebutuhan keamanan dan karakteristik penting
dari lingkungan pada tingkat detail yang diperlukan untuk mengatasi masalah keamanan dengan
pemahaman yang sama tentang kerangka kerja dan kosakata. Model-model ini datang dalam
berbagai bentuk, termasuk:
– 62 – TS 62443-1-1  IEC:2009(E)
a) Model referensi yang memberikan dasar konseptual keseluruhan untuk model yang lebih rinci
berikutnya.
b) Model aset yang menggambarkan hubungan antara aset dalam otomasi industri dan sistem
kontrol
c) Arsitektur referensi yang menjelaskan konfigurasi aset. Sebuah arsitektur refrensi bisa unik untuk
setiap perusahaan atau subset dari perusahaan. Hal ini unik untuk setiap situasi tergantung pada
ruang lingkup otomasi industri dan sistem kontrol yang ditinjau.
d) Model zona yang mengelompokkan elemen arsitektur refrensi menurut karakteristik yang
ditentukan. Ini memberikan konteks untuk definisi kebijakan, prosedur, dan pedoman, yang
natinya diterapkan pada aset.
Semua informasi tersebut digunakan untuk mengembangkan program terperinci dalam mengelola
keamanan sistem otomasi dan kontrol industri.
Masing-masing jenis utama model dijelaskan secara lebih rinci dalam subklausa berikut.
6.2 Model referensi
6.2.1 Ikhtisar
Model referensi menetapkan kerangka acuan untuk informasi yang lebih rinci berikut ini. Istilah ‘model
referensi’ menjadi populer dengan keberhasilan model Tujuh Lapisan ISO untuk Open Systems
Interconnection (OSI). The U.S. NASA Office of Standards and Technology (NOST)
mendefinisikan istilah tersebut sebagai:
“Model referensi adalah kerangka kerja untuk memahami hubungan signifikan antara entitas dari
beberapa lingkungan, dan untuk pengembangan standar atau spesifikasi yang konsisten yang
mendukung lingkungan tersebut. Model referensi didasarkan pada sejumlah kecil konsep
pemersatudan dapat digunakan sebagai dasar untuk pendidikan dan menjelaskan standar kepada
nonspesialis.
” [8]
Model referensi menggambarkan pandangan umum dari sistem manufaktur atau produksi terintegrasi,
yang dinyatakan sebagai serangkaian level logis. Model referensi yang digunakan oleh seri standar
IEC 62443 muncul pada Gambar 12. Model ini diturunkan dari model umum yang digunakan dalam
IEC 62264-1.
Level 4 Enterprise systems (business planning

and logistics)
Level 3
Operations management
Supervisory control
Level 2
Industrial
automation
and control
Basic control systems
Level 1
Safety and
protection
Process (equipment under control)

Level 0
IEC 1302/09
Figure 12 – Model referensi untuk standar IEC 62443

TS 62443-1-1  IEC:2009(E) – 63 –
Pandangan yang sedikit berbeda dari model referensi dapat digunakan untuk aplikasi SCADA.
Tampilan ini ditunjukkan pada Gambar 13.
Level 4 Enterprise systems (engineering

systems)
Control centers Operations management
System management
Level 3
Supervisory control
Wide area network
Site monitoring and local display

Level 2
Protection
Local control
Level 1
Level 0 Equipment under control
Remote sites
IEC 1303/09
Figure 13 – Model referensi SCADA
6.2.2 Tingkat model referensi
6.2.2.1 Umum
Kedua model ini terdiri dari tingkat dasar yang sama, masing-masing mewakili kelas fungsionalitas
tertentu. Definisi level didasarkan pada model hierarki fungsional IEC 62264-1 dan menjelaskan
fungsi dan aktivitas dari proses (Level 0) hingga perusahaan (Level 4).
Subklausa berikut menjelaskan masing-masing level model ini secara lebih rinci.
6.2.2.2 Level 4 – Enterprise systems
Level ini, yang dijelaskan sebagai perencanaan bisnis dan logistik dalam IEC 62264-1, didefinisikan
sebagai termasuk fungsi yang terlibat dalam aktivitas terkait bisnis yang diperlukan untuk mengelola
organisasi manufaktur. Fungsi termasuk sistem keuangan perusahaan atau regional dan komponen
infrastruktur perusahaan lainnya seperti penjadwalan produksi, manajemen operasional, dan
manajemen pemeliharaan untuk pabrik atau lokasi individu dalam suatu perusahaan. Untuk
keperluan spesifikasi teknis ini, sistem rekayasa juga dianggap berada pada tingkat ini.
Pada level 4 meliputi kegiatan berikut:
a) Mengumpulkan dan memelihara penggunaan bahan baku dan suku cadang dan persediaan yang
tersedia, dan menyediakan data untuk pembelian bahan baku dan suku cadang
b) Mengumpulkan dan memelihara penggunaan energi secara keseluruhan dan inventaris yang
tersedia serta menyediakan data untuk pembelian sumber energi.
c) Mengumpulkan dan memelihara keseluruhan barang dalam proses dan file persediaan produksi.
d) Mengumpulkan dan memelihara file kontrol kualitas yang berhubungan dengan kebutuhan
pelanggan
e) Mengumpulkan dan memelihara penggunaan mesin dan peralatan serta file riwayat hidup yang
diperlukan untuk perencanaan pemeliharaan preventif dan prediktif.
f) Mengumpulkan dan memelihara data penggunaan tenaga kerja untuk dikirim ke personel dan
akuntansi.
g) Membentuk jadwal produksi.
– 64 – TS 62443-1-1  IEC:2009(E)
h) Memodifikasi jadwal produksi pabrik dasar untuk pesanan yang diterima berdasarkan perubahan
ketersediaan sumber daya, sumber energi yang tersedia, tingkat permintaan daya, dan
persyaratan pemeliharaan.
i) Mengembangkan jadwal pemeliharaan preventif dan renovasi peralatan yang optimal dalam
koordinasi dengan jadwal produksi pabrik dasar.
j) Menentukan tingkat persediaan optimum bahan baku, sumber energi, suku cadang, dan barang
dalam proses pada setiap titik penyimpanan. Fungsi-fungsi ini juga mencakup materials
requirements planning (MRP) dan pengadaan suku cadang.
k) Memodifikasi jadwal produksi pabrik dasar yang diperlukan setiap kali gangguan produksi besar
terjadi.
l) Perencanaan kapasitas berdasarkan semua kegiatan di atas.
6.2.2.3 Level 3 – Manajemen operasi
Level 3 mencakup funngsi-fungsi yang terlibat dalam mengelola alur kerja untuk menghasilkan
produk akhir yang diinginkan. Contohnya termasuk pengiriman produksi, penjadwalan produksi
terperinci, jaminan keandalan, dan optimalisasi kontrol di seluruh lokasi.
Kegiatan level 3 meliputi kegiatan berikut:
a) Pelaporan produksi area termasuk biaya produksi variabel

b) Mengumpulkan dan memelihara data area produksi, inventaris, tenaga kerja, bahan baku, suku
cadang, dan penggunaan energi.
c) Melakukan pengumpulan data dan analisis off-line seperti yang dipersyaratkan oleh fungsi
engineering. Ini mungkin termasuk analisis kualitas statistik dan fungsi kontrol terkait.
d) Melaksanakan fungsi personel yang dibutuhkan seperti: statistik masa kerja (misalnya: waktu,
tugas), jadwal liburan, jadwal angkatan kerja, garis kemajuan serikat pekerja, dan pelatihan in-
house dan kualifikasi personel.
e) Menetapkan jadwal produksi terperinci segera untuk areanya sendiri termasuk pemeliharaan,
transportasi, dan kebutuhan terkait produksi lainnya.
f) Mengoptimalkan biaya secara lokal untuk masing-masing area produksi sambil menjalankan
jadwal produksi yang ditetapkan oleh fungsi Level 4
g) Memodifikasi jadwal produksi untuk mengkompensasi gangguan produksi pabrik yang mungkin
terjadi di wilayah tanggung jawabnya.
6.2.2.4 Level 2 – Supervisory control
Level 2 mencakup fungsi yang terlibat dalam pemantauan dan pengendalian proses fisik. Biasanya
ada beberapa area produksi di pabrik seperti penyulingan, konversi, pencampuran di kilang atau dek
turbin, dan fasilitas pemrosesan batubara di pembangkit listrik .
Fungsi tingkat 2 meliputi:
a) operator antarmuka manusia-mesin;

b) program alarm dan peringatan;
c) fungsi pengawasan;
d) proses pengumpulan sejarah.
6.2.2.5 Level 1 – Kontrol lokal atau dasar
Level 1 mencakup fungsi-fungsi yang terlibat dalam penginderaan dan manipulasi proses fisik.
Peralatan pemantauan proses membaca data dari sensor, menjalankan algoritma jika perlu, dan
mempertahankan riwayat proses. Contoh sistem pemantauan proses termasuk sistem pengukuran
tangki, monitor emisi kontinu, sistem pemantauan peralatan berputar, dan sistem penunjuk suhu.
Peralatan kontrol proses serupa. Itu membaca data dari
TS 62443-1-1  IEC:2009(E) – 65 –
sensor, menjalankan algoritma kontrol, dan mengirimkan output ke elemen akhir (misalnya, katup
kontrol atau penggerak peredam). Kontroler Level 1 terhubung langsung ke sensor dan aktuator
proses.
Level 1 meliputi kontrol kontinu, kontrol urutan, kontrol batch, dan kontrol diskrit. Banyak pengontrol
modern menyertakan semua jenis kontrol dalam satu perangkat.
Level 1 adalah sistem keselamatan dan perlindungan yang memantau proses dan secara
otomatis mengembalikan proses ke keadaan aman jika melebihi batas aman. Kategori ini juga
mencakup sistem yang memantau proses dan memperingatkan operator tentang kondisi tidak aman
yang akan datang.
Sistem keselamatan dan perlindungan secara tradisional telah diimplementasikan menggunakan
pengontrol yang terpisah secara fisik, tetapi baru-baru ini dimungkinkan untuk menerapkannya
menggunakan metode yang dikenal sebagai pemisahan logis, dalam infrastruktur umum.
Penggambaran yang ditunjukkan dalam model referensi ini dipilih untuk menekankan perlunya
pemisahan ini (logis atau fisik) untuk memastikan integritas fungsi keselamatan. Peralatan Level 1
termasuk, namun tidak terbatas pada hal-hal berikut:
a) DCS controllers;
b) PLCs;
c) RTUs.
Sistem keselamatan dan perlindungan sering kali memiliki persyaratan keamanan tambahan yang
mungkin tidak konsisten atau relevan dengan persyaratan keamanan siber. Sistem ini mencakup
sistem keselamatan yang digunakan di pabrik kimia dan petrokimia seperti yang diidentifikasi dalam
seri standar IEC 61511, sistem keselamatan atau keselamatan pabrik nuklir seperti yang diidentifikasi
dalam seri IEC 61513, dan fungsi pelindung seperti yang diidentifikasi dalam standar IEEE Power
Engineering Society.
6.2.2.6 Level 0 – Proses
Level 0 adalah proses fisik yang sebenarnya. Proses tersebut mencakup sejumlah jenis fasilitas
produksi yang berbeda di semua sektor termasuk, namun tidak terbatas pada, manufaktur suku
cadang terpisah, pemrosesan hidrokarbon, distribusi produk, farmasi, pulp dan kertas, dan tenaga
listrik.
Level 0 mencakup sensor dan aktuator yang terhubung langsung ke proses dan peralatan proses.
6.3 Model aset
6.3.1 Ikhtisar
Modern control systems are complex computer networks with many interconnected
components that perform a variety of tasks to safely and efficiently operate chemical plants,
auto parts manufacturing plants, pipelines, electric generation facilities, transmission and
distribution networks, and many other types of industrial facilities, transportation systems, and
utilities.
Saat sistem diisolasi dari komputer lain di perusahaan dan menggunakan perangkat keras,
perangkat lunak, dan protokol jaringan berpemilik. Hal ini tidak lagi terjadi karena vendor sistem
kontrol telah mengadaptasi teknologi informasi COTS karena keunggulan biayanya, serta
keubutuhan bisnis telah mendorong integrasi sistem kontrol dengan sistem informasi bisnis.
4 These systems are referred to as safety instrumented systems in standards such as the IEC 61511 series.
– 66 – TS 62443-1-1  IEC:2009(E)
Dari perspektif keamanan, yang menjadi perhatian adalah peralatan kontrol itu sendiri, pengguna
peralatan itu, koneksi antara komponen sistem kontrol, dan interkoneksi dengan sistem bisnis
dan jaringan lainnya.
Dokumen ini dimaksudkan untuk diterapkan pada berbagi sistem otomasi dan kontrol industri
yang digunakan di berbagai segmen industri. Oleh karena itu, model aset harus dimulai pada
level yang tinggi dan cukup umum agar sesuai dengan banyak situasi dim mana sistem kontrol
diterapkan. Lihat gambar 14.
May be linked by
Enterprise Internet
May contain
May be linked by
Geographic sites WAN
May contain
May be linked by LAN or distributed

Local or remote areas network
Shall contain
May be linked by
Lines, units, cells, Control networks
vehicles, etc.
Shall contain
May be linked by
Control equipment Control networks
Shall contain
May be linked by
Field I/O I/O networks
Shall contain
Sensors and
actuators
IEC 1304/09
Figure 14 – Process manufacturing asset model example
Dikarenakan jaringan memainkan peran penting dalam keamanan, model aset secara eksplisit
menyertakan elemen jarinngan yang biasanya ada di setiap tingkat hierarki. Pada setiap level,
peralatan (atau fasilitas) dihubungkan bersama oleh jenis jaringan yang sesuai. Meskipun
jaringan itu sendiri dapat dihubungkan bersama, model ini tidak menggambarkan hubungan itu.
TS 62443-1-1  IEC:2009(E) – 67 –
Seperti halnya dengan model referensi, ada pandangan yang sedikit berbeda untuk aplikasi
SCADA. Model aset SCADA yang khas ditunjukkan pada Gambar 15.
May be linked by
Enterprise Internet
May contain
May be linked by
Control centers WAN
Shall contain
Shall be linked by
Supervisory control Communication
equipment network
Remote sites Shall link to
Shall contain
May be linked by
Control equipment Control networks
Shall contain
May be linked by
Field I/O I/O networks
Shall contain
Sensors and
actuators
IEC 1305/09
Figure 15 – Contoh model aset sistem SCADA
Model aset menggambarkan sistem informasi tambahan yang mungkin ada di berbagai tingkat
hierarki. Sistem ini tidak secara langsung mengontrol proses, tetapi berinteraksi dengan peralatan
kontrol dengan mengumpulkan data darinya dan mengirimkan resep dan instruksi proses. Sistem
informasi jalur, area, dan situs juga bertindak sebagai tempat penyimpanan untuk menyajikan
informasi produksi kepada pengguna di seluruh perusahaan dan dapat berinteraksi dengan aplikasi
perencanaan sumber daya perusahaan yang berjalan di pusat data perusahaan.
Model dapat diciutkan atau diperluas sesuai kebutuhan untuk mencerminkan entitas yang ditinjau
asalkan konsisten dengan model dan tampilan lain. Misalnya, pabrik yang hanya memiliki satu area
dapat menghilangkan klasifikasi area asalkan arsitektur referensi dan zona berikutnya mencerminkan
model aset yang runtuh.
– 68 – TS 62443-1-1  IEC:2009(E)
6.3.2 Perusahaan
Perusahaan adalah entitas bisnis yang memproduksi dan mengangkut produk atau mengoperasikan
dan memelihara layanan infrastruktur. Perusahaan sering terhubung ke Internet untuk
berkomunikasi dengan perusahaan lain atau untuk memberikan informasi dan layanan (seperti
email) kepada karyawan. Perusahaan biasanya mengoperasikan satu atau lebih pusat data untuk
mendukung kebutuhan pemrosesan informasi mereka. Keamanan proses bisnis yang didukung oleh
aset TI ini berada di luar cakupan spesifikasi teknis ini.
6.3.3 Situs Geografis
6.3.3.1 Umum
Situs adalah bagian dari kelompok aset fisik, geografis, atau logis perusahaan. Ini mungkin berisi
area, jalur manufaktur, sel proses, unit proses, pusat kendali, dan kendaraan. Situs dapat
dihubungkan ke situs lain dengan WAN. Sebuah situs dapat mencakup sistem informasi seperti
sistem eksekusi manufaktur yang mengoordinasikan kegiatan produksi di lokasi.
6.3.3.2 Pusat kendali
Pusat kendali adalah jenis situs khusus. Industri infrastruktur biasanya menggunakan satu atau lebih
pusat kendali untuk mengawasi atau mengoordinasikan operasi. Jika perusahaan memiliki
beberapa pusat kendali (misalnya: pusat cadangan di situs terpisah), mereka biasanya terhubung
bersama melalui WAN. Pusat kendali berisi komputer host SCADA dan perangkat tampilan operator
terkait ditambah sistem informasi tambahan seperti sejarawan
6.3.3.3 Situs jarak jauh
Situs jarak jauh berisi peralatan dalam bentuk PLC, Remote Terminal Units (RTU), atau Intelligent
Electronic Devices (IED) yang bertanggung jawab untuk memantau dan mengendalikan operasi lokal
ke situs. Situs jarak jauh terhubung ke pusat kendali oleh jaringan komunikasi (kadang-kadang
disebut sebagai jaringan telemetri). Situs jarak jauh juga dapat dihubungkan satu sama lain (untuk
memfasilitasi fungsi seperti relai pelindung antara gardu induk dalam jaringan transmisi listrik,
misalnya).
6.3.4 Area
Area adalah bagian dari kelompok aset fisik, geografis, atau logis situs. Ini mungkin berisi jalur
manufaktur, sel proses, dan unit produksi. Area dapat dihubungkan satu sama lain oleh LAN situs dan
mungkin berisi sistem informasi yang terkait dengan operasi yang dilakukan di area tersebut.
6.3.5 Garis, unit, sel, vehicles
Area terdiri dari elemen tingkat rendah yang melakukan fungsi manufaktur, kontrol infrastruktur,
atau kendaraan. Entitas pada tingkat ini dapat dihubungkan bersama oleh jaringan kontrol area dan
dapat berisi sistem informasi yang terkait dengan operasi yang dilakukan di entitas tersebut.
6.3.6 Supervisory control equipment
Supervisory control equipment meliputi server komputer, HMI, jaringan area lokal, dan perangkat
komunikasi yang memungkinkan operator memantau dan mengontrol fasilitas dari jarak jauh yang
tersebar di wilayah geografis yang luas.
6.3.7 Peralatan kontrol
Peralatan kontrol termasuk DCS, PLC, pengontrol gerakan, penggerak cerdas, dan konsol antarmuka
operator terkait yang digunakan untuk mengelola dan mengontrol proses. Ini juga mencakup jaringan
fieldbus di mana logika kontrol dan algoritme dijalankan pada perangkat lapangan cerdas yang
mengoordinasikan tindakan mereka.
TS 62443-1-1  IEC:2009(E) – 69 –
6.3.8 Jaringan Field I/O
Field input/output (I/O) network autan komunikasi (berkabel atau nirkabel) yang menghubungkan
elemen-elemen ini ke peralatan kontrol.
6.3.9 Sensor dan aktuator
Sensor dan aktuator adalah elemen akhir yang terhubung ke peralatan proses.
6.3.10 Peralatan di bawah kontrol
Below the assets of the control system are the assets that make up the equipment under
control. This level is also referred to as the physical or operational process. Di bawah aset sistem
kontrol adalah aset yang membentuk peralatan yang dikendalikan. Tingkat ini
juga disebut sebagai proses fisik atau operasional.
6.4 Arsitektur referensi
Arsitektur referensi dibangun dari entitas yang didefinisikan dalam model aset. Arsitektur referensi
khusus untuk setiap situasi yang ditinjau dan akan spesifik pada analisis tersebut. Setiap organisasi
membuat satu atau lebih arsitektur referensi tergantung pada fungsi bisnis yang dilakukan, serta
fungsi yang sedang ditinjau. Hal ini akan menjadi umum bagi sebuah organisasi untuk memiliki
arsitektur referensi tunggal untuk perusahaan yang telah digeneralisasi untuk mencakup semua
fasilitas operasi. Setiap fasilitas atau jenis fasilitas mungkin juga memiliki diagram arsitektur jaringan
referensi yang lebih rinci yang memperluas model perusahaan. Contoh arsitektur referensi yang
disederhanakan untuk fungsi manufaktur ditunjukkan pada Gambar 16.
IEC 1306/09
Figure 16 – Reference architecture example
6.5 Zona dan model saluran
6.5.1 Umum
Model zona dan saluran dikembangkan dari arsitektur referensi. Ini digunakan untuk
menggambarkan pengelompokan logis aset dalam suatu perusahaan atau subset dari
perusahaan. Aset
– 70 – TS 62443-1-1  IEC:2009(E)
dikelompokkan ke dalam entitas (misalnya, bisnis, fasilitas, situs, atau IACS) yang kemudian dapat
dianalisis untuk kebijakan keamanan dan persyaratannya. Model membantu menilai ancaman umum,
kerentanan, dan tindakan pencegahan terkait yang diperlukan untuk mencapai tingkat keamanan
(tingkat keamanan target) yang diperlukan untuk melindungi aset yang dikelompokkan. Dengan
mengelompokkan aset dengan cara ini, kebijakan keamanan dapat ditentukan untuk semua aset yang
menjadi anggota zona. Analisis ini kemudian dapat digunakan untuk menentukan perlindungan yang
tepat yang diperlukan berdasarkan aktivitas yang dilakukan di zona tersebut.
CATATAN Semua penggunaan istilah "zona" tanpa pengecualian dalam spesifikasi teknis ini harus
dianggap mengacu pada zona keamanan.
6.5.2 Mendefinisikan zona keamanan
Dalam membangun program keamanan, zona adalah salah satu alat terpenting untuk keberhasilan
program, dan definisi zona yang tepat adalah aspek terpenting dari proses tersebut. Saat
mendefinisikan zona, organisasi harus menggunakan arsitektur referensi dan model aset untuk
mengembangkan zona keamanan dan tingkat keamanan yang tepat untuk memenuhi tujuan
keamanan yang ditetapkan dalam kebijakan keamanan sistem otomasi dan kontrol industri.
Ketika aktivitas tingkat yang berbeda dilakukan dalam satu perangkat fisik, organisasi dapat
memetakan perangkat fisik ke persyaratan keamanan yang lebih ketat, atau membuat zona terpisah
dengan kebijakan keamanan zona terpisah yang merupakan kebijakan campuran antara dua zona.
Contoh khas dari hal ini terjadi di server sejarawan proses. Agar efektif, server memerlukan akses ke
perangkat kontrol kritis yang merupakan sumber data yang akan dikumpulkan. Namun, untuk
memenuhi kebutuhan bisnis dalam menyajikan data tersebut kepada supervisor dan tim
pengoptimalan proses, diperlukan akses yang lebih bebas ke perangkat daripada yang diizinkan oleh
persyaratan keamanan sistem kontrol biasa.
Jika beberapa aplikasi yang melibatkan tingkat aktivitas yang berbeda berjalan pada satu perangkat
fisik, batas zona logis juga dapat dibuat. Dalam hal ini, akses ke aplikasi tertentu dibatasi untuk orang
yang memiliki hak istimewa untuk tingkat aplikasi tersebut. Contohnya adalah mesin tunggal yang
menjalankan server OPC dan alat analisis berbasis klien OPC. Akses ke server OPC dibatasi untuk
orang yang memiliki hak tingkat lebih tinggi sementara akses ke spreadsheet menggunakan plug-in
klien OPC tersedia untuk semua karyawan.
6.5.3 Identifikasi Zona
Zona dapat berupa pengelompokan aset independen, pengelompokan sub zona, atau kombinasi aset
independen dan aset yang juga dikelompokkan ke dalam sub zona yang terdapat dalam zona utama.
Zona memiliki karakteristik pewarisan, yang berarti zona anak (atau subzona) harus memenuhi
semua persyaratan zona induk. Model zona multiplant yang disederhanakan ditunjukkan pada
Gambar 17. Di sini zona perusahaan adalah induk, dan setiap pabrik adalah anak atau subzona
dengan subzona kontrol yang terdapat di dalam subzona pabrik.
CATATAN Ada keuntungan yang berbeda untuk menyelaraskan zona keamanan dengan area fisik atau zona di fasilitas —
misalnya, menyelaraskan pusat kendali dengan zona keamanan kontrol.
TS 62443-1-1  IEC:2009(E) – 71 –
Enterprise zone
Laptop computer Workstation Mainframe

Server Server

File/printApp.Data File/print App.Data server File/print App.Data serverserver
serverserver server serverserver server
Plant A control zone Plant B control zone Plant C control zone
Firewall Firewall Firewall
App.DataMaint. server App.DataMaint. server App.DataMaint. server

I/O I/O I/O I/O I/O I/O
IEC 1307/09
Figure 17 – Contoh zona Multiplant
Arsitektur perusahaan yang sama dapat dikelompokkan ke dalam zona terpisah seperti pada Gambar
18. Dalam model ini, kebijakan zona akan independen, dan setiap zona dapat memiliki kebijakan
keamanan yang sama sekali berbeda.
TS 62443-1-1  IEC:2009(E)
Hak Cipta IEC Central Secretariat. Copy standar ini dibuat untuk kegiatan perumusan SNI.
Penanggung jawab dokumen: Komite Teknis 35-04 Keamanan Informasi, Keamanan Siber, dan
Perlindungan Privasi
IEC 1308/09
Figure 18 – Separate zones example
Similar models can be constructed for SCADA applications, as shown in Figure 19 and
– 72 –
Figure 20.
TS 62443-1-1  IEC:2009(E) – 73 –
Enterprise zone

Server Server
Control center Backup control center
Firewall
WAN
App.SCADA SCADA App.SCADA SCADA
SCADA system zone
Communications Communications
processor Serial or IP-based processor
SCADA network
WAN Satellite
Radio / microwave / Public /privatenetwork telephone
cellular network network
Network Network Network Network

Local HMI interface Local HMI interface Local HMI interface Local HMI interface
RTU or PLCRTU or PLC RTU or PLCRTU or PLC
I/OI/O I/OI/O
Site A control zoneSite B control zone Site X control zoneSite Y control zone
IEC 1309/09
Figure 19 – Contoh SCADA zone

– 74 – TS 62443-1-1  IEC:2009(E)
IEC 1310/09
Figure 20 – SCADA separate zones example
6.5.4 Karakteristik zona
6.5.4.1 Ringkasan
Setiap zona memiliki seperangkat karakteristik dan persyaratan keamanan yang menjadi atributnya.
Berikut ini atribut yang digunakan:
a) kebijakan keamanan;
b) inventaris aset;
c) persyaratan dan kontrol akses;
d) ancaman dan kerentanan;
e) konsekuensi dari pelanggaran keamanan;
f) teknologi teknis;
g) proses manajemen perubahan..
Atribut ini dijelaskan secara lebih rinci dalam subklausa berikut.
6.5.4.2 Kebijakan keamanan
Setiap zona memiliki dokumen pengontrol yang menjelaskan tujuan keamanan secara keseluruhan
dan bagaimana memastikan tingkat keamanan target terpenuhi. Ini termasuk yang berikut:
a) Ruang lingkup zona;

b) Tingkat keamanan zona;
TS 62443-1-1  IEC:2009(E) – 75 –
c) struktur organisasi dan tanggung jawab untuk menegakkan kebijakan keamanan;

d) risiko yanng terkait dengan zona;
e) strategi keamanan untuk memenuhi tujuan yang diperlukan;
f) tindakan keamanan yang ditegakkan;
g) jenis kegiatan yang diizinkan di dalam zona;
h) jenis komunikasi yang memungkinkan akses ke zona;
i) documentation of the zone attributes.
Semua hal di atas didokumentasikan dan digabungkan ke dalam kebijakan keamanan zona, yang
digunakan untuk memandu dan mengukur konstruksi dan pemeliharaan aset yang terkandung di
dalam zona tersebut.
6.5.4.3 Inventaris aset
Untuk menjaga keamanan dalam suatu zona, organisasi perlu memelihara daftar semua aset (fisik
dan logis). Daftar ini digunakan untuk menilai risiko dan kerentanan dan untuk menentukan dan
memelihara tindakan keamanan yang tepat yang diperlukan untuk memenuhi tujuan kebijakan
keamanan. Akurasi inventaris merupakan faktor kunci dalam memenuhi tujuan keamanan yang
ditetapkan dalam kebijakan keamanan. Daftar tersebut harus diperbarui ketika aset dalam zona
berubah, atau koneksi elektroniknya berubah, serta ketika aset baru ditambahkan ke zona untuk
memastikan bahwa tujuan keamanan terpenuhi.
Aset dan komponen fisik adalah perangkat fisik yang terkandung di dalam zona. Beberapa contoh
yang termasuk perangkat berikut:
a) perangkat keras komputer (misalnya, workstation, server, instrumen, kontrol, drive disk,
power supplies, disk drive, atau tape backups);
b) peralatan jaringan (misalnya, router, sakelar, hub, firewall, atau kabel fisik);
c) tautan komunikasi (misalnya, bus, tautan, modem, dan antarmuka jaringan lainnya, antena);
d) mengakses peralatan otentikasi dan otorisasi (misalnya, pengontrol domain, server radius, pembaca, dan
pemindai)
e) pengembangan sistem perangkat keras;
f) simulasi dan training sistem perangkat keras;
g) external sistem perangkat keras;
h) spare parts inventories;
i) monitoring and control devices (e.g., sensor, switch, and controller);
j) manual referensi and informasi.
Aset logis mencakup semua perangkat lunak dan data yang digunakan di zona tersebut. Beberapa
contohnya adalah sebagai berikut:
k) sistem perangkat lunak komputer (e.g., aplikasi, sistem operasi,

antarmuka komunikasi, tabel konfigurasi, alat pengembangan, alat analisis, dan utilitas);
l) patch dan upgrade untuk sistem operasi dan perangkat aplikasi;
m) database;
n) arsip data;
o) file konfigurasi peralatan;
p) salinan perangkat lunak dan data yang dipelihara untuk tujuan pencadangan dan pemulihan;
q) dokumentasi dasar desain (misalnya, persyaratan fungsional termasuk informasi dan aset,
klasifikasi keamanan dan tingkat perlindungan, desain fisik dan perangkat lunak, penilaian
kerentananm perimeter keamanan, tes benchmark, perakitan, dan dokumen instalasi)
r) sumber daya supplier (misalnya, pembaruan produk, patch, paket layanan, utilitas, dan uji
validasi).
– 76 – TS 62443-1-1  IEC:2009(E)
6.5.4.4 Persyaratan akses dan kontrol
Berdasarkan sifatnya, zona menyiratkan bahwa akses terbatas pada satu set kecil dari semua entitas yang
mungkin dapat memiliki akses. Kebijakan keamanan untuk suatu zona perlu mengartikulasikan akses yang
diperlukan untuk zona tersebut agar memenuhi tujuan bisnisnya, dan bagaimana akses ini dikendalikan.
6.5.4.5 Penilaian ancaman dan kerentanan
Ancaman dan kerentanan terkait ada dalam zona tertentu. Organisasi perlu mengidentifikasi dan
mengevaluasi ancaman dan kerentanan ini untuk menentukan risiko yang menyebabkan aset di dalam zona
gagal memenuhi tujuan mereka. Proses pendokumentasian ancaman dan kerentanan terjadi dalam penilaian
ancaman dan kerentanan yang merupakan bagian dari kebijakan keamanan zona.
Banyak kemungkinan penanggulangan untuk mengurangi risiko ancaman yang mengeksploitasi kerentanan
tertentu dalam suatu zona. Kebijakan keamanan harus menguraikan jenis tindakan pencegahan apa yang
sesuai untuk memenuhi tingkat keamanan target untuk zona tersebut, dalam tradeoff biaya dibandingkan
risiko.
6.5.4.6 Teknologi resmi
Ketika otomasi industri dan sistem kontrol berevolusi untuk memenuhi kebutuhan bisnis yang berubah,
teknologi yang digunakan untuk mengimplementasikan perubahan perlu dikendalikan. Setiap teknologi yang
digunakan dalam sistem ini membawa serta serangkaian kerentanan dan risiko terkait. Untuk meminimalkan
risiko pada zona tertentu, kebijakan keamanan zona perlu memiliki daftar dinamis teknologi yang diizinkan di
zona tersebut, serta yang tidak diizinkan.
6.5.4.7 Ubah proses manajemen
Proses formal dan akurat diperlukan untuk menjaga keakuratan inventaris aset zona tertentu dan bagaimana
perubahan kebijakan keamanan zona dibuat. Proses formal memastikan bahwa perubahan dan penambahan
zona tidak membahayakan tujuan keamanan. Selain itu, diperlukan cara untuk beradaptasi dengan perubahan
ancaman dan tujuan keamanan. Ancaman dan kerentanan, dengan risiko terkait, akan berubah seiring waktu.
6.5.5 Mendefinisikan saluran
Saluran adalah zona keamanan yang berlaku untuk proses komunikasi tertentu. Sebagai zona keamanan, mereka adalah
pengelompokan logis dari aset (aset komunikasi dalam hal ini). Saluran keamanan melindungi keamanan saluran yang
dikandungnya dengan cara yang sama seperti saluran fisik melindungi kabel dari kerusakan fisik. Saluran dapat dianggap
sebagai pipa yang menghubungkan zona atau yang digunakan untuk komunikasi dalam suatu zona. Saluran internal (di
dalam zona) dan eksternal (di luar zona) menutup atau melindungi saluran komunikasi (secara konseptual kabel) yang
menyediakan hubungan antar aset. Paling sering, dalam lingkungan IACSsaluran sama dengan jaringan. Artinya, saluran
adalah kabel, router, sakelar, dan perangkat manajemen jaringan yang membentuk komunikasi yang dipelajari. Saluran
dapat berupa pengelompokan teknologi jaringan yang berbeda, serta saluran komunikasi yang dapat terjadi dalam satu
komputer. Saluran digunakan untuk menganalisis ancaman dan kerentanan komunikasi yang dapat terjadi dalam
komunikasi di dalam dan di antara zona.
Saluran dapat dianggap sebagai pipa yang berisi data dan/atau menyediakan koneksi fisik untuk komunikasi
antar zona. Conduit dapat memiliki subconduit untuk menyediakan komunikasi zona satu-ke-satu atau satu-
ke-banyak. Menyediakan komunikasi yang aman untuk saluran dapat dicapai dengan menerapkan kebijakan
keamanan zona yang sesuai.
TS 62443-1-1  IEC:2009(E) – 77 –
6.5.6 Karakteristik saluran
6.5.6.1 Ikhtisal
Secara fisik saluran dapat menjadi kabel yang menghubungkan zona untuk tujuan komunikasi.
Saluran adalah jenis zona yang tidak dapat memiliki subzona; yaitu, saluran tidak terdiri dari subconduit.
Saluran ditentukan oleh daftar semua zona yang berbagi saluran komunikasi yang diberikan. Baik perangkat
fisik maupun aplikasi yang menggunakan saluran yang terdapat dalam saluran menentukan titik akhir saluran.
Saluran perusahaan disorot pada Gambar 21.
Enterprise zone
Laptop computer Workstation Mainframe Server Server

File/print App.Data server server File/print App.Data server server File/print App.Data server server
server Plant A control zone server Plant B control zone server Plant C control zone
Firewall Firewall Firewall
App.DataMaint. server App.DataMaint. server App.DataMaint. server


Figure 21 – Enterprise conduit IEC 1311/09
Sama seperti zona, tampilan serupa dapat dibuat untuk digunakan dalam aplikasi SCADA. Contohnya
ditunjukkan pada Gambar 22.
– 78 – TS 62443-1-1  IEC:2009(E)
Enterprise zone

Server Server
Primary control center zone Backup control center zone
Firewall
WAN
App.SCADA SCADA App.SCADA SCADA
SCADA system zone
Communications Communications
processor Serial or IP-based processor
SCADA network
WAN
Satellite
Radio / microwave / Public /private
network
cellular network telephone network
Network Local HMI Network Local HMI Network Network

interface interface Local HMI interfaceLocal HMI interface
RTU or PLCRTU or PLC RTU or PLCRTU or PLC
I/OI/O I/OI/O
Site A control zoneSite B control zone Site X control zoneSite Y control zone
IEC
1312/09
Gambar 22 – Contoh saluran SCADA
Seperti sebuah zona, setiap saluran memiliki serangkaian karakteristik dan persyaratan
keamanan yang menjadi atributnya. Ini mengambil atribut berikut:
a) kebijakan keamanan;
b) inventaris aset;
c) persyaratan dan kontrol akses;
d) ancaman dan kerentanan;
e) konsekuensi dari pelanggaran keamanan;
f) teknologi resmi;
g) proses manajemen perubahan;
h) zona terhubung.
6.5.6.2 Kebijakan keamanan
Setiap saluran memiliki dokumen pengontrol yang menjelaskan tujuan keamanan secara kesuluruhan
dan bagaimana memastikan tingkat keamanan target terpenuhi. Dokumen ini mencakup hal-hal
berikut:
a) ruang lingkup saluran;

b) tingkat keamanan saluran;
c) struktur organisasi dan tanggung jawab untuk menegakkan kebijakan keamanan saluran;
d) risiko yang terkait dengan saluran;
e) strategi keamanan untuk memenuhi tujuan yang diperlukan;
TS 62443-1-1  IEC:2009(E) – 79 –
f) tindakan keamanan yang ditegakkan;

g) jenis saluran yang diizinkan di dalamnya;
h) dokumentasi atribut saluran.
Semua hal di atas didokumentasikan dan digabungkan ke dalam kebijakan keamanan saluran, yang
digunakan untuk memandu dan mengukur konstruksi dan pemeliharaan aset yang terkandung di
dalam saluran.
6.5.6.3 Inventaris aset
Seperti halnya inventaris zona, daftar aset komunikasi yang akurat juga diperlukan.
6.5.6.4 Persyaratan dan kontrol akses
Berdasarkan sifatnya, saluranmenyiratkan bahwa akses dibatasi untuk satu set terbatas dari semua
entitas yang mungkin dapat memiliki akses. Kebijakan keamanan untuk saluran perlu
mengartikulasikan akses yang diperlukan saluran untuk memenuhi tujuan bisnisnya, dan bagaimana
akses ini dikendalikan.
6.5.6.5 Penilaian ancaman dan kerentanan
Ancaman dan kerentanan terkait untuk saluran tertentu. Organisasi harus mengidentifikasi dan
mengevaluasi ancaman dan kerentanan ini untuk menentukan risiko yang menyebabkan aset di
dalam saluran gagal memenuhi tujuan bisnis mereka. Proses pendokumentasian ancaman dan
kerentanan terjadi dalam penilaian ancaman dan kerentanan yang merupakan bagian dari kebijakan
keamanan saluran.
Banyak kemungkinan penanggulangan yang ada untuk mengurangi risiko ancaman yang
mengeksploitasi kerentanan tertentu dalam saluran. Kebijakan keamanan harus menguraikan jenis
tindakan pencegahan apa yang sesuai dengan trade-off biaya versus risiko.
6.5.6.6 Teknologi resmi
Ketika otomasi industri dan sistem kontrol berevolusi untuk memenuhi kebutuhan bisnis yang
berubah, teknologi yang digunakan untuk mengimplementasikan perubahan perlu dikendalikan. Setiap
teknologi yang digunakan dalam sistem ini membawa serta serangkaian kerentanan dan risiko terkait.
Untuk meminimalkan risiko pada saluran tertentu, kebijakan keamanan saluran harus memiliki daftar
dinamis teknologi yang diizinkan di saluran.
6.5.6.7 Ubah proses manajemen
Proses formal dan akurat diperlukan untuk menjaga keakuratan kebijakan saluran tertentu dan
bagaimana perubahan dilakukan. Proses formal memastikan bahwa perubahan dan penambahan
pada saluran tidak membahayakan tujuan keamanan. Selain itu, diperlukan cara untuk beradaptasi
dengan perubahan ancaman dan tujuan keamanan. Ancaman dan kerentanan, dengan risiko terkait,
akan berubah seiring waktu
6.5.6.8 Zona terhubung
Sebuah saluran juga dapat dijelaskan dalam hal zona yang terhubung.
6.6 Model hubungan
Model yang dijelaskan di halaman sebelumnya terkait satu sama lain, dan dengan kebijakan,
prosedur, dan pedoman yang membentuk program keamanan. Hubungan ini ditunjukkan pada
Gambar 23.
– 80 – TS 62443-1-1  IEC:2009(E)
Enterprise Zone
Laptop computer W orkstation Mainframe Server Server
Plant A Zone Plant B Zone Plant C Zone
R outer Router
Router
Laptop computer Laptop compu
Laptop computer Workstation Workstation ter Workstation
IBM AS/400 IBM AS/400

IBM AS/400 File/Print App. Data File/Print App. Data erver
File/Print App. Data Server Server Server SServer Server
Server Server Server
Plant B Cotrol Zone Plant CControl Zone
Plant A Control Zone
F irew ll Firew ll
Firew ll
App ServerData ServeMraint. Server App ServerData ServeMraint. Server App ServeDr ata ServeMraint. Server

IEC 1313/09
Figure 23 – Hubungan model
More detailed information on the process for developing such a program is addressed in
IEC 62443-2-1 5.
5
To be published.
TS 62443-1-1  IEC:2009(E) – 81 –
Bibliography
The following documents contain material referenced in this technical specification:
[1] IEC 60050, International Electrotechnical Vocabulary, available at

<http://www.electropedia.org>
[2] IEC 61508-4, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 4: Definitions and abbreviations
[3] IEC 61511-1, Functional safety – Safety instrumented systems for the process industry
sector – Part 1: Framework, definitions, system, hardware and software requirements
[4] IEC 61511-3, Functional safety – Safety instrumented systems for the process industry
sector – Part 3: Guidance for the determination of the required safety integrity levels
[5] IEC 61512-1, Batch control – Part 1: Models and terminology
[6] IEC 61513, Nuclear power plants – Instrumentation and control for systems important to
safety – General requirements for systems
[7] IEC 62264-3, Enterprise-control system integration – Part 3: Activity models of

manufacturing operations management
[8] IEC 62443-2-1, Industrial communication networks – Network and system security – Part
2-1: Establishing an industrial automation and control system security program 6
[9] IEC Glossary, available at <http://std.iec.ch/glossary>
[10] ISO 7498-2: Information processing systems – Open Systems Interconnection – Basic
Reference Model – Part 2: Security Architecture
[11] RFC 2828, Internet Security Glossary, available at

<http://www.faqs.org/rfcs/rfc2828.html>
[12] FIPS PUB 140-2, Security requirements for cryptographic modules, available at
<http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf>
[13] CNSS Instruction No. 4009, National Information Assurance Glossary (AI), available at
<http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf>
[14] NASA/Science Office of Standards and Technology (NOST), ISO Archiving Standards –
Fourth US Workshop – Reference Model Definitions, available at
<http://ssdoo.gsfc.nasa.gov/nost/isoas/us04/defn.html>
[15] SANS, Glossary of Terms used in Security and Intrusion Detection, available at
<http://www.sans.org/resources/glossary.php>
6
To be published.
ELECTROTECHNICAL
Tel: + 41 22 919 02 11
Fax: + 41 22 919 03 00
INTERNATIONAL
CH-1211 Geneva 20
3, rue de Varembé
COMMISSION
PO Box 131
info@iec.ch
Switzerland
www.iec.ch

Iects62443 1 1 (Ed1.0) en

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Iects62443 1 1 (Ed1.0) en

Uploaded by

Copyright:

Available Formats

Hak Cipta IEC Central Secretariat. Copy standar ini dibuat untuk kegiatan perumusan SNI.

Industrial communication networks – Network and system security –

IEC Central Office 3, rue de Varembé CH-1211 Geneva 20 Switzerland

About IEC publications

Tel.: +41 22 919 02 11

Industrial communication networks – Network and system security –

® Registered trademark of the International Electrotechnical Commission

Figure 1 – Comparison of objectives between IACS and general IT systems..............................29

Figure 12 – Reference model for IEC 62443 standards.................................................................62

Table 1 – Types of loss by asset type.............................................................................................. 33

INTERNATIONAL ELECTROTECHNICAL COMMISSION

JARINGAN KOMUNIKASI INDUSTRI – JARINGAN

Spesifikasi teknis ini berasal dari standar ANSI/S99.01.01 AS yang sesuai.

Teks spesifikasi dari teknis ini didasarkan pada dokumen-dokumen berikut:

Draft Pertanyaan Laporan pemungutan suara

Publikasi ini telah disusun sesuai dengan Petunjuk ISO/IEC, Bagian 2.

• diubah menjadi standar Internasional,

Pertanyaan umum yang dibahas oleh spesifikasi teknis ini meliputi:

a) Apa cakupan umum aplikasi untuk keamanan IACS?

JARINGAN KOMUNIKASI INDUSTRI – JARINGAN

Bagian 1-1: Terminologi, konsep dan model

a) berbagai fungsionalitas yang disertakan;

Masing-masing dijelaskan dalam subklausa berikut:

1.2 Fungsionalitas yang termasuk

a) transmisi dan distribusi tenaga listrik;

1.1 Sistem dan antarmuka

1.4 Activity-based criteria

a) operasi proses yang dapat diprediksi;

1.5 Kriteria berbasis aset

a) Aset tersebut memiliki nilai ekonomis untukproses produksi atau operasi.

IEC 62264-1, Enterprise-control system integration – Part 1: Models and terminology

3 Istilah, definisi, dan singkatan

3.2 Istilah dan definisi

Untuk tujuan dokumen ini, istilah dan definisi berikut berlaku:

[RFC 2828, modified]

3 Numbers in square brackets refer to the Bibliography.

CATATAN Ada beberapa kelas serangan yang umum dikenal:

CATATAN Biasanya disingkat menjadi "key".

CATATAN Sistem ini termasuk, tetapi tidak terbatas pada:

Kode berbahaya juga sering disebut sebagai "malware".

CATATAN Operasi manufaktur meliputi:

kejadian, dan (opsional) merekomendasikan bagaimana mengalokasikan sumber daya untuk

CATATAN 1 Jenis sumber daya termasuk fisik, logis dan manusia.

ANSI American National Standards Institute

4.2 Saat ini sistem

 siapa yang berhak mengakses informasi elektronik;

4.3 Tren saat ini

4.4 Potensi dampak

a) Akses takterotorisasi, pencurian , atau penyalahgunaan informasi rahasia;

j) ancaman bagi bangsa keamanan.

Gambar 1 – Perbandingan sasaran antara IACS dan sistem TI umum

5.3 Dasar persyaratan

5.4 Defence in depth

Biasanya tidak mungkin untuk mencapai sasaran keamanan melalui penggunaan

5.5 Keamanan konteks

Gambar 2 – Konteks tidak pasti hubungan

Pemastian keamanan informasi

Gambar 3 – Model konteks

5.6 Ancaman-risiko penilaian

5.6.2.2 Menilai aset

3.1.1.1 Categorization of loss

Table 1 – Types of loss by asset type

In simple terms, vulnerabilities are inherent weaknesses in systems, components, or