Sicurezza delle informazioni/informatica: testing e certificazione presso l’Istituto VDE

I dati personali e sensibili possono essere salvati sia su supporto cartaceo che informatico o anche nei ricordi. La sicurezza delle informazioni si occupa principalmente della protezione e dell’elaborazione delle informazioni salvate elettronicamente. La sicurezza delle informazioni è anche lo stato in cui la riservatezza, l’integrità e la disponibilità delle informazioni e della tecnologia informatica sono protette da misure ragionevoli.

Il termine sicurezza delle informazioni è più completo di sicurezza informatica e pertanto vede un utilizzo crescente. Tuttavia, il termine “Sicurezza informatica (IT)” continua ad essere utilizzato in alcune pubblicazioni come “IT Baseline Protection” (IT Sicherheit). Tuttavia, i testi diversi e la standardizzazione diventano sempre più mirati all’esame della sicurezza informatica. Cyber security, cybersecurity, sicurezza informatica o sicurezza delle informazioni sono espressioni utilizzate anche molto frequentemente, soprattutto quando le aziende operano a livello internazionale.

L'espansione della digitalizzazione e il conseguente progresso delle reti intelligenti nelle nostre case e nell'industria hanno visto un aumento del rischio di furto e manipolazione dei dati. Molti casi mostrano quanto sia facile per gli hacker penetrare nelle Smart Homes e nei sistemi di gestione. I nostri test per la sicurezza delle informazioni (inclusa la sicurezza informatica) si basano sulle seguenti normative e standard:

1. VDE PB-0004 e -0005

2. IEC 62443-4-1 e -4-2

3. ETSI EN 303 645

4. VDE-PB-0033

5. EN 18031-1 / 18031-2 / 18031-3

Il test della sicurezza informatica è suddiviso nelle seguenti aree:

• testare i dispositivi (dispositivi di comunicazione e gateway)
• test del backend e dei sistemi cloud
• test delle app per smartphone e tablet

Gli obiettivi di sicurezza informatica vengono testati nella concezione del prodotto e del sistema e nell'implementazione. La documentazione per l'utente e gli aspetti tecnici della protezione dei dati fanno parte del test.

Gli obiettivi di sicurezza includono quanto segue:

• proteggere la comunicazione da intercettazioni e manipolazioni
• proteggere i sistemi da infiltrazioni non autorizzate,
  uso non autorizzato
  , manipolazione e perdita di dati
• protezione dei dati personali
• aggiornamenti di sicurezza protetti per il sistema

Il test sulla sicurezza informatica

1. Conferma dell’implementazione base di un concetto di sicurezza informatica.
2. Conferma dell’implementazione effettiva della sicurezza informatica.
3. Conferma della completezza della documentazione di sicurezza informatica.

Test della protezione dei dati

1. Identificare l’importanza della protezione dei dati
2. Testare la protezione dei dati in conformità a
3. Linee guida europee (Regolamento generale della protezione dei dati GDPR)

Ci sono ulteriori pericoli dovuti alle capacità di comunicazione aggiuntive del sistema?

La sicurezza funzionale secondo la norma DIN EN 61508-4:2011 e la sicurezza funzionale nelle norme di prodotto (ad es. elettrodomestici) forniscono informazioni al riguardo. Vi aiutiamo anche in questa sfida per completare l’esame di sicurezza. Scoprite di più sui nostri servizi nel campo della sicurezza funzionale.

La sicurezza funzionale utilizza la tecnologia automatizzata per garantire che nessun dispositivo o sistema rappresenti un pericolo per le persone o l’ambiente. Questo tipo di sicurezza è in una certa misura adattato “dal dispositivo verso l’esterno”.

La sicurezza delle informazioni si occupa di respingere i pericoli che colpiscono il sistema dall’esterno. Si riferisce a questioni come malware o accesso non autorizzato al sistema. In entrambi i casi, la funzionalità del sistema potrebbe essere compromessa o questo potrebbe addirittura non funzionare affatto o in modo improprio.

In questo modo è stato stabilito il collegamento tra i due argomenti: se, ad esempio, il sistema esaminato è un sistema di controllo legato alla sicurezza o un dispositivo di campo in apparecchiature di sicurezza, allora tutto ciò che influisce sulla sua funzionalità influenza contemporaneamente anche la sua sicurezza (funzionale).

Nelle aree Office IT e Operations OT testiamo le interfacce tra macchine, gestionali, sistemi d’ufficio e Internet. Non importa se la rete viene gestita solo all’interno di una fabbrica o se dei partner di comunicazione esterni, come ad esempio filiali, sono collegati a questa rete via Internet. I test includono anche la valutazione dell’analisi dei rischi legati alla sicurezza delle informazioni secondo la norma IEC 62443. Dopo un test positivo, l’operatore di rete riceve il certificato VDE per la sicurezza delle informazioni.

La rete testata è classificata utilizzando una scala a quattro livelli. Secondo gli schemi esistenti della IEC 62443, utilizzando questa scala si descrive l’impiego e la certezza con cui si prevede l’attacco; sono chiamati livelli di sicurezza (SL).

• Livello di sicurezza 1: protezione contro violazioni accidentali e indesiderate.
• Livello di sicurezza 2: protezione contro la violazione intenzionale utilizzando mezzi semplici con risorse limitate, competenze generiche e scarsa motivazione.
• Livello di sicurezza 3: protezione contro la violazione intenzionale utilizzando mezzi sofisticati con risorse moderate, competenze specifiche IACS e motivazione moderata.
• Livello di sicurezza 4: protezione contro la violazione intenzionale utilizzando mezzi sofisticati con risorse estese, competenze specifiche IACS ed elevata motivazione.

La IEC 62443-4-1- elenca i requisiti per la sicurezza delle informazioni nei processi di sviluppo. Siamo lieti di supportarti nell'implementazione dei processi di sviluppo al fine di garantire una preparazione perfetta in merito ai requisiti del CRA (Cyber Resilience Act).