Traducido del inglés al español - www.onlinedoctranslator.

com

GLOBAL
LA SEGURIDAD CIBERNÉTICA

ALIANZA

Guía de inicio rápido: descripción general de las normas ISA/IEC 62443

Seguridad de los Sistemas de Control y
Automatización Industrial

EL TIEMPO ES AHORA

junio 2020

www.isa.o W W
/ yo
W.IS A
r gramo. ORG/ SA
ISAG GRAMO
California CA
1
 Guía de inicio rápido:
Una descripción general de las normas ISA/IEC 62443
Seguridad de los Sistemas de Control y
Automatización Industrial
Resumen ejecutivo
Este documento pretende proporcionar al lector una
descripción general detallada de la serie de normas e
informes técnicos ISA/IEC 62443. La serie ISA/IEC 62443
aborda la seguridad de los sistemas de control y
automatización industrial (IACS) a lo largo de su ciclo de
vida. Estos estándares e informes técnicos se desarrollaron
inicialmente para el sector de procesos industriales, pero
desde entonces se han aplicado a los sectores de
automatización de edificios, dispositivos médicos y
transporte.
Hay varias tendencias que han hecho de la ciberseguridad una
propiedad esencial de IACS, junto con la seguridad, la
integridad y la confiabilidad. En primer lugar, durante las
últimas dos décadas, las tecnologías IACS han migrado de
tecnologías exclusivas del proveedor a tecnologías comerciales
listas para usar, como Microsoft Windows™ y redes TCP/IP. En
segundo lugar, el valor de los datos que residen en el IACS
para el negocio ha aumentado significativamente la
interconectividad del IACS tanto interna como externamente a
la organización. Finalmente, los medios, recursos,
Las habilidades y la motivación de los ciberatacantes han
aumentado significativamente. La combinación de estas
tendencias ha hecho que IACS sea más vulnerable a los
ataques cibernéticos. La Figura 1 muestra algunos de los
ciberataques notables que han afectado a IACS.
Inicialmente, el comité ISA99 consideró los estándares y
prácticas de TI para su uso en el IACS. Sin embargo, pronto se
descubrió que esto no era suficiente para garantizar la
seguridad, integridad, confiabilidad y seguridad de un IACS.
Esto se debe a que las consecuencias de un ciberataque
exitoso en un IACS son fundamentalmente diferentes. Si bien
las principales consecuencias de un ciberataque exitoso en los
sistemas de TI son las pérdidas financieras y de privacidad
debido a la divulgación de información, las consecuencias para
un IACS pueden incluir, además, la pérdida de la vida o la
salud, el daño al medio ambiente o la pérdida de la integridad
del producto.
Hay varias otras diferencias entre TI e IACS, como
los requisitos de rendimiento, los requisitos de
disponibilidad, la gestión de cambios, el tiempo
entre las ventanas de mantenimiento y la vida útil
del equipo. [1]

Fecha Objetivo Método

La Sociedad Internacional de Automatización (ISA) y la
2000 Planta de aguas residuales australiana Persona enterada
Comisión Electrotécnica Internacional (IEC) se han unido
2010 Enriquecimiento de uranio en Irán Stuxnet para abordar la necesidad de mejorar la ciberseguridad de
2013 Ataque a la cadena de suministro ICS Havex IACS. El Comité ISA99 y el Comité Técnico 65/Grupo de
2014 Fábrica de acero alemana Trabajo 10 de IEC desarrollan y publican la Serie ISA/IEC
62443. Estos documentos describen un enfoque de
2015 Red eléctrica de Ucrania BlackEnergy, KillDisk
ingeniería metódica para abordar la ciberseguridad de
2016 Subestación de Ucrania CrashOverride
IACS. Se pueden comprar de cualquier organización; el
2017 compañía naviera mundial NoPetya
contenido técnico es idéntico. Los beneficios de usar un
2017 Ataque IoT DDOS LadrilleroBot enfoque basado en estándares incluyen la reducción de la
2017 Sanidad, Automoción, Quiero llorar probabilidad de un ataque cibernético exitoso, el uso de
muchos otros un conjunto común de requisitos entre las partes
2017 Petroquímica de Arabia Saudita TRITON/TRISIS interesadas, la seguridad durante todo el ciclo de vida y
2019 Empresa noruega de aluminio LockerGaga una reducción en el costo general del ciclo de vida.

Fuente: www.awa.csis.org/programs/technology-policy-program/significant-cyber-incidents

Tabla 1: Algunos ciberataques notables que afectan a IACS

2 WWW.ISA.ORG/ISAGCA

Introducción
Este documento proporciona una descripción general de la
serie de normas e informes técnicos ISA/IEC 62443
(denominada serie ISA/IEC 62443) que especifica los requisitos
para la seguridad de los sistemas de control y automatización
industrial (IACS). El objetivo de la serie ISA/IEC 62443 es
mejorar la seguridad, la confiabilidad, la integridad y la
seguridad de los sistemas de control y automatización
industrial (IACS) mediante un proceso completo, metódico y
basado en el riesgo durante todo el ciclo de vida. La serie ISA/
IEC 62443 describe un conjunto de términos y requisitos
comunes que pueden utilizar los propietarios de activos,
proveedores de productos y proveedores de servicios para
asegurar sus sistemas de control y el equipo bajo control.
Alcance y propósito
El alcance de la serie ISA/IEC 62443 es la seguridad de los
sistemas de control y automatización industrial (IACS). Un
IACS se define como:
colección de personal, hardware, software y
políticas involucradas en la operación del
proceso industrial y que pueden afectar o
influir en su operación segura y confiable.
Tenga en cuenta que un IACS incluye más que
la tecnología que comprende un sistema de
control; también incluye las personas y los
procesos de trabajo necesarios para garantizar
la seguridad, integridad,
confiabilidad y seguridad del
sistema de control. Sin personas
suficientemente capacitadas,
tecnologías y contramedidas Seguridad
adecuadas al riesgo,
y procesos de trabajo
a lo largo del ciclo de vida de la
seguridad, un IACS podría ser Figura 1:
más vulnerable a los ataques La tríada de seguridad
cibernéticos.
Tabla de contenido
Resumen ejecutivo ................................................ ........ 2
Tabla de contenido ............................................... ............. 3
Introducción................................................. ..................... 3
Alcance y propósito ............................................... .......................... 3
Organizaciones de desarrollo de normas de la serie ISA/IEC
62443 .................................. ............................................. 4
Resumen de las normas y estándares de la serie ISA/IEC 62443
Informes Técnicos .................................................. .....................................4
Conceptos fundamentales ................................................ ... 6
programa de seguridad .................................................. ............................. 6
Gestión de riesgos ................................................ ............................. 7
Evaluación de riesgos ................................................ ......................... 7
Zonas y Conductos ............................................... ................... 7
Especificación de requisitos de ciberseguridad .......................... 7
Modelado de amenazas ................................................ ......................... 8
Requisitos básicos .................................................. .......... 8
Niveles de seguridad .................................................. .................................... 8
Modelo de madurez ................................................ ............................... 9
Criterios de diseño................................................ ............................. 9
Seguro por diseño ............................................... .......................... 9
Reducir la superficie de ataque ............................................... ............... 9
Defensa en profundidad ............................................... .......................... 9
Funciones esenciales ................................................ ..................... 9
Hoja de ruta para la serie ISA/IEC 62443 .......................... 10
Roles principales .................................................. ............................. 10
Componente, sistema, solución de automatización e IACS ............. 10
Vista jerárquica .............................................. ............................. 11
Vista del ciclo de vida................................................. .................................... 11
Serie ISA/IEC 62443 para propietarios de activos ........................... 12
Serie ISA/IEC 62443 para proveedores de productos .......................... 12
Serie ISA/IEC 62443 para proveedores de servicios ........................... 12
Proveedores de servicios de integración ............................................... 12
Proveedores de servicios de mantenimiento ................................ 12
Certificación y Capacitación ............................................. 13
ISA Seguro®Certificación................................................. ............... 13
Certificación IECEE .................................................. ......................... 13
Capacitación en Ciberseguridad de ISA .............................................. ............ 13
Certificados de Ciberseguridad ISA.................................................... ....... 14
Normas e informes técnicos publicados .......... 14
Referencias .................................................. ..................... 14
WWW.ISA.ORG/ISAGCA 3
 Debido a que los IACS son sistemas cibernéticos físicos, el
impacto de un ataque cibernético podría ser severo. Las
consecuencias de un ataque cibernético en un IACS
incluyen, pero no se limitan a:
• Poner en peligro la seguridad o la salud del público o de los
empleados
• Daño al medio ambiente
• Daño al Equipo Bajo Control
• Pérdida de integridad del producto
• Pérdida de la confianza del público o de la reputación
de la empresa
• Violación de requisitos legales o reglamentarios
• Pérdida de información privada o confidencial
• Perdidas financieras
• Impacto en la seguridad de la entidad, local, estatal o nacional
Las primeras cuatro consecuencias de la lista anterior son
exclusivas de los sistemas cibernéticos físicos y no suelen
estar presentes en los sistemas de TI tradicionales. De hecho,
es esta diferencia la que resulta fundamentalmente en la
necesidad de diferentes enfoques para proteger los sistemas
cibernéticos físicos y provocó que las organizaciones de
desarrollo de estándares identificaran la necesidad de
estándares que son exclusivos de IACS. Algunas otras
características de IACS que no son típicas en los sistemas de
TI incluyen: [1]
• modos de falla más predecibles
• tiempo crítico y determinismo más estrictos
• mayor disponibilidad
• una gestión más rigurosa del cambio
• períodos de tiempo más largos entre el mantenimiento
• vida útil de los componentes significativamente más larga
• Seguridad, Integridad, Disponibilidad y
Confidencialidad (SIAC) en lugar de CIA
Los actores de amenazas cibernéticas incluyen, entre otros,
personas con información privilegiada (accidental o
intencional), hacktivistas, ciberdelincuentes, crimen
organizado y atacantes patrocinados por el estado. Los tipos
de ciberataques incluyen, entre otros, ransomware, malware
destructivo, ataques de acceso remoto dirigido y ataques
coordinados a los sistemas de control y la infraestructura de
soporte asociada. La Tabla 1 enumera varios ataques
cibernéticos notables dirigidos y no dirigidos que afectan a
IACS.
Organizaciones de desarrollo de normas de la
serie ISA/IEC 62443 Hay dos organizaciones de
desarrollo de estándares involucradas en el
desarrollo de la serie de estándares e informes
técnicos ISA/IEC 62443:
4 WWW.ISA.ORG/ISAGCA
• Sociedad Internacional de Automatización –
Comité ISA99
• Comisión Electrotécnica Internacional – Comité
IEC TC65/WG10
Existe un acuerdo de enlace formal entre estas dos
organizaciones de desarrollo de estándares. La Serie
ISA/IEC 62443 de estándares e informes técnicos son
desarrollados principalmente por el Comité ISA99 con
aportes, revisión y adopción simultánea tanto de ISA
como de IEC. La única excepción es ISA/IEC 62443-2-4,
que fue desarrollada por el Comité IEC TC65/WG10 y
adoptada por ISA. Como resultado, ya sea que ISA o
IEC publiquen un documento ISA/IEC 62443, el
contenido es idéntico excepto por el prefacio y el
prólogo no normativos.
La Comisión Económica para Europa de las Naciones
Unidas (CEPE) confirmó en su reunión anual a finales de
2018 que integrará la serie ISA/IEC 62443 ampliamente
utilizada en su próximo marco normativo común sobre
ciberseguridad (CRF). El CRF servirá como una declaración
de posición política oficial de la ONU para Europa,
estableciendo una base legislativa común para las
prácticas de ciberseguridad dentro de los mercados
comerciales de la Unión Europea. [2]
Referirse aNormas publicadas e informes técnicosal final de
este documento para obtener una lista completa de los
documentos relacionados con la seguridad cibernética de
ISA e IEC actualmente disponibles.
Resumen de las normas e informes técnicos de
la serie ISA/IEC 62443
Estos documentos están organizados en cuatro
grupos, correspondientes al enfoque principal y al
público objetivo. [4]
1. General—Este grupo incluye documentos
que abordan temas que son comunes a
toda la serie.
• Parte 1-1: Terminología, conceptos y
modelospresenta los conceptos y
modelos utilizados a lo largo de la serie. El
público objetivo incluye a cualquiera que
desee familiarizarse con los conceptos
fundamentales que forman la base de la
serie.
• Parte 1-2: Glosario maestro de términos y
definicioneses una lista de términos y
abreviaturas utilizadas a lo largo de la
serie.
 • Parte 1-3: Métricas de conformidad de
seguridad del sistemadescribe una
metodología para desarrollar métricas
cuantitativas derivadas del proceso y requisitos
técnicos en los estándares.
• Parte 1-4: Ciclo de vida de seguridad de IACS y
casos de usoproporciona una descripción más
detallada del ciclo de vida subyacente para la
seguridad de IACS, así como varios casos de uso
que ilustran varias aplicaciones.
2. Políticas y Procedimientos—Los documentos de este
grupo se centran en las políticas y los
procedimientos asociados con la seguridad del IACS.
• Parte 2-1: Establecimiento de un programa de
seguridad IACSdescribe lo que se requiere
para definir e implementar un sistema de
gestión de ciberseguridad IACS efectivo. La
audiencia prevista incluye propietarios de
activos que tienen la responsabilidad del
diseño y la implementación de dicho
programa.
• Parte 2-2: Calificaciones del programa de
seguridad IACS proporciona una metodología
para evaluar el nivel de protección proporcionado
por un IACS operativo frente a los requisitos de la
serie de normas ISA/IEC 62443.
Familia de normas ISA/IEC 62443
Figura 2: La serie ISA/IEC 62443
• Parte 2-3: Gestión de parches en el entorno
IACSproporciona orientación sobre la gestión de
parches para IACS. El público objetivo incluye a
cualquiera que tenga la responsabilidad del
diseño y la implementación de un programa de
administración de parches.
• Parte 2-4: Requisitos del programa de seguridad para
proveedores de servicios IACSespecifica los requisitos
para los proveedores de servicios IACS, como
integradores de sistemas o proveedores de
mantenimiento. Este estándar fue desarrollado por IEC
TC65/WG10.
• Parte 2-5: Guía de implementación para
propietarios de activos IACSproporciona
orientación sobre lo que se requiere para operar
un programa de ciberseguridad IACS efectivo. La
audiencia prevista incluye propietarios de activos
que tienen la responsabilidad de la operación de
dicho programa.
3. Requisitos del sistema—Los documentos del
tercer grupo abordan los requisitos a nivel del
sistema.
• Parte 3-1: Tecnologías de seguridad para
IACSdescribe la aplicación de varias
tecnologías de seguridad a un entorno
IACS. La audiencia prevista
WWW.ISA.ORG/ISAGCA 5
 incluye a cualquier persona que desee
aprender más sobre la aplicabilidad de
tecnologías específicas en un entorno de
sistemas de control.
• Parte 3-2: Evaluación de riesgos de seguridad para el
diseño del sistemaaborda la evaluación de riesgos
de ciberseguridad y el diseño de sistemas para IACS.
El resultado de este estándar es un modelo de Zona y
Conducto y las Evaluaciones de Riesgo asociadas y
los Niveles de Seguridad Objetivo. Estos están
documentados en la Especificación de requisitos de
ciberseguridad. Este estándar está dirigido
principalmente a propietarios de activos e
integradores de sistemas.
• Parte 3-3: Requisitos de seguridad del sistema y
niveles de seguridaddescribe los requisitos para
un sistema IACS basado en el nivel de seguridad.
La audiencia principal incluye proveedores de
sistemas de control, integradores de sistemas y
propietarios de activos.
4. Requisitos de los componentes—El cuarto y
último grupo incluye documentos que
brindan información sobre los requisitos
más específicos y detallados asociados con
el desarrollo de productos IACS.
• Parte 4-1: Requisitos del ciclo de vida del desarrollo
de la seguridad del producto describe los
requisitos para el ciclo de vida de desarrollo de
seguridad de un desarrollador de productos. La
audiencia principal incluye proveedores de Sistemas
de Control y
Productos componentes.
• Parte 4-2: Requisito de seguridad técnica para
componentes IACS describe los requisitos para
los componentes de IACS según el nivel de
seguridad. Los componentes incluyen dispositivos
integrados, dispositivos host, dispositivos de red y
aplicaciones de software. La audiencia principal
incluye proveedores de productos de
componentes que se utilizan en el control
sistemas
La Tabla 2 muestra la lista completa de normas e
informes técnicos ISA/IEC 62443. La Parte puede
derivarse del número de documento, por ejemplo,
ISA/IEC 62443-2-1 se denomina Parte 2-1 en este
documento.
Los tipos de documentos son:
• ES – Norma Internacional
• TR – Informe Técnico
• TS – Especificaciones Técnicas
Finalmente, se muestra la fecha de publicación de cada
documento a partir de la fecha de publicación de este
documento. Los estándares ISA/IEC están en un ciclo de
actualización de cinco años, por lo que muchos de los
documentos publicados están actualmente en revisión.
Conceptos fundamentales
Programa de seguridad
La Parte 2-1 especifica los requisitos del Programa de
seguridad del propietario de activos para el IACS. Un

Título Fecha Programa de Seguridad consiste en la implementación y

Parte Escribe
mantenimiento de personal, políticas y procedimientos, y
1-1 TS Terminología, conceptos y modelos 2007
Capacidades basadas en tecnología que reducen el riesgo
1-2 TR Glosario maestro de términos y abreviaturas
de ciberseguridad de un IACS.
Visión general

1-3 Métricas de conformidad de ciberseguridad del sistema

1-4 Casos de uso y ciclo de vida de seguridad de IACS

En el contexto de la Parte 2-1, el propietario del activo
2-1 ES Establecimiento de un programa de seguridad IACS 2009 también es el operador del IACS y el equipo bajo control. El
2-2
políticas y procedimientos

Calificaciones del programa de seguridad IACS

Programa de Seguridad cubre todo el ciclo de vida del IACS.
2-3 TR Gestión de parches en el entorno IACS 2015 Debido a que la vida útil de un IACS puede ser más larga
2-4 ES Requisitos del programa de seguridad para proveedores de 2018 que el período de soporte del proveedor del producto, el
servicios IACS estándar reconoce que los sistemas heredados no pueden
2-5 TR Guía de implementación para propietarios de activos IACS cumplir con todos los requisitos, por lo que es posible que
3-1 TR Tecnologías de seguridad para IACS se necesiten contramedidas compensatorias para asegurar
Sistemas

3-2 ES Evaluación de riesgos de seguridad para el diseño de sistemas 2020 el IACS.

3-3 ES Requisitos de seguridad del sistema y niveles de seguridad 2013

Aunque el propietario del activo es el responsable
4-1 ES Requisitos del ciclo de vida del desarrollo de la seguridad del producto 2018
Componente

último del funcionamiento seguro del IACS, la

4-2 ES Requisitos técnicos de seguridad para los componentes del IACS 2019
implementación de capacidades de seguridad requiere
el apoyo de los proveedores de productos y
Tabla 2: Estado de la serie ISA/IEC 62443

6 WWW.ISA.ORG/ISAGCA
proveedores de servicio. El propietario del activo debe incluir
requisitos de seguridad en toda la cadena de suministro para
cumplir con los requisitos generales del programa de
seguridad.
El Programa de Seguridad para el IACS debe coordinarse
con el Sistema de Gestión de Seguridad de la Información
(SGSI) general de la organización. El SGSI establece el
gobierno y las políticas generales de seguridad para la
organización. Sin embargo,
como se mencionó anteriormente, el IACS es
significativamente diferente de los sistemas de TI, por lo que
existen requisitos y consideraciones adicionales para su
programa de seguridad.
Gestión de riesgos
Evaluación de riesgos
La Parte 3-2 describe los requisitos para abordar
Particionar el sistema bajo consideración en zonas y
conductos también puede reducir el riesgo general al
limitar el alcance de un ataque cibernético exitoso. La
Parte 3-2 requiere o recomienda que algunos activos se
dividan de la siguiente manera:
• Separará los activos del sistema comercial y de control
• Separará los activos relacionados con la seguridad
• Debe separar temporalmente los dispositivos conectados
• Deben separar los dispositivos inalámbricos
• Deben separarse los dispositivos conectados a través
de redes externas
Especificación de requisitos de ciberseguridad La Parte
3-2 también requiere que las contramedidas de seguridad
requeridas de la Evaluación de riesgos como
comienzo

los riesgos de seguridad cibernética en un IACS,

incluido el uso de Zonas y Conductos, y Niveles Diagramas e inventario de la
Diagramas e inventario de la arquitectura
arquitectura del sistema inicial,
de Seguridad. Si bien la Parte 3-2 incluye los Compañía de Policías,
ZCR 1 – Identificar el del sistema actualizados con
Sistema bajo Servicios externos de IACS y
requisitos para el proceso de evaluación de regulaciones, riesgo tolerable
Consideración apoyo identificado
directrices, etc
(SUC)
riesgos, no especifica la metodología exacta que
se utilizará. La metodología utilizada debe ser
establecida por el propietario del activo y debe PHA existentes y otros
ZCR 2 – Realizar un riesgo
ser coherente con la metodología general de evaluación de riesgos pertinente y
de ciberseguridad inicial
Evaluación inicial del riesgo
matriz de riesgos corporativos
evaluación de riesgos de la organización. Se evaluación

incluyen como contenido informativo ejemplos

que utilizan la metodología de matrices de Estándares y mejores prácticas,

riesgo. La figura 3 muestra el proceso de políticas, pautas para proveedores,

ZCR 3 – Particionar el SUC Diagrama inicial o revisado
evaluaciones de criticidad, datos
evaluación de riesgos. flujos, funcional en zonas y conductos de zonas y conductos

especificaciones, etc

Zonas y Conductos
Una Zona se define comouna agrupación de activos
No ZCR 4 – Inicial
lógicos o físicos basada en el riesgo u otros criterios, el riesgo excede
riesgo tolerable?
como la criticidad de los activos, la función operativa,
la ubicación física o lógica, el acceso requerido o la
organización responsable. Sí

Riesgo residual de ciberseguridad

ZCR 5 – Realizar una y SL-T para cada zona
Un conducto se define comouna agrupación lógica de ciberseguridad detallada y conducto
Evaluación de riesgos
canales de comunicación que comparten requisitos de
seguridad comunes que conectan dos o más zonas.

Un paso clave en el proceso de evaluación de

Compañía de Policías,
riesgos es dividir el sistema bajo consideración en
La seguridad cibernética
ZCR 4 – Documentar
regulaciones, riesgo tolerable requisito
requisitos de ciberseguridad,
zonas y conductos separados. La intención es directrices, etc
suposiciones, y
especificación (CRS)

identificar aquellos activos que comparten restricciones

características de seguridad comunes para

establecer un conjunto de requisitos de seguridad
ZCR 7: aprobación del propietario de los activos
comunes que reduzcan el riesgo de ciberseguridad.

Figura 3: Proceso de evaluación de riesgos

www.isa.org/ISAGCA WWW.ISA.ORG/ISAGCA 7
 así como los requisitos de seguridad basados en políticas,
estándares y regulaciones relevantes específicos de la empresa
o de la instalación se documentan en una Especificación de
requisitos de seguridad cibernética (CRS). El CRS no tiene que
ser un documento independiente; puede incluirse como una
sección en otros documentos pertinentes de la IACS.
El CRS incluye información como una descripción
del sistema bajo consideración, dibujos de zonas y
conductos, entorno de amenazas y contramedidas
de las evaluaciones de riesgos.
Modelado de amenazas
La Parte 4-1 describe los requisitos para el ciclo de vida de
desarrollo de seguridad (SDL) de los productos de
componentes y sistemas de control. Uno de los procesos clave
del producto SDL es el modelado de amenazas, que es un
proceso sistemático para identificar flujos de datos, límites de
confianza, vectores de ataque y amenazas potenciales para el
sistema de control.
Los problemas de seguridad identificados en el modelo de
amenazas deben abordarse en la versión final del producto
y el propio modelo de amenazas debe actualizarse
periódicamente durante el ciclo de vida del producto.
Requisitos fundamentales Los requisitos
fundamentales (FR) forman la base de los
requisitos técnicos en toda la serie ISA/IEC 62443.
Todos los aspectos asociados con el cumplimiento
de un nivel de seguridad IACS deseado (personas,
procesos y tecnología) se derivan del cumplimiento
de los requisitos asociados con los siete requisitos
fundamentales siguientes:
• FR 1 – Control de Identificación y
Autenticación (IAC)
• FR 2 – Control de Uso (UC)
• FR 3: integridad del sistema (SI)
• FR 4 – Confidencialidad de datos (DC)
• FR 5 – Flujo de datos restringido (RDF)
• FR 6 – Respuesta Oportuna a Eventos (TRE)
• FR 7: disponibilidad de recursos (RA)
Nivel de seguridad Definición
1 Protección contra la violación casual o coincidente
2 Protección contra la violación intencional usando medios simples con bajos
recursos, habilidades genéricas y baja motivación
3 Protección contra la violación intencional utilizando medios sofisticados con
recursos moderados, habilidades específicas de IACS y motivación moderada
4 Protección contra violaciones intencionales usando medios sofisticados con
recursos extendidos, habilidades específicas de IACS y alta motivación
Tabla 3: Definición del nivel de seguridad
8 WWW.ISA.ORG/ISAGCA
Los requisitos fundamentales se utilizan para organizar
los requisitos de los sistemas IACS (parte 3-3) y los
componentes (parte 4-2).
La combinación de FR 1 y FR 2 a veces se denomina
control de acceso; se dividieron en dos FR para
mantener el número total de requisitos en un nivel
manejable.
Niveles de seguridad
El nivel de seguridad se define como elmedida de
confianza de que el Sistema Bajo Consideración,
Zona o Conducto está libre de vulnerabilidades y
funciona de la manera prevista.
La Parte 3-3 define además el Nivel de seguridad en
términos de los medios, recursos, habilidades y
motivación del actor de la amenaza, como se muestra en
la Tabla 3. Se utiliza como un medio para discriminar
entre las mejoras de requisitos para los sistemas (Parte
3-3 ) y Componentes (Parte 4-2).
Hay tres tipos de niveles de seguridad que se
utilizan en toda la serie ISA/IEC 62443:
• Niveles de seguridad de capacidad (SL-C)son los niveles
de seguridad que los sistemas (Parte 3-3) o los
Componentes (Parte 4-2) pueden proporcionar
cuando se integran y configuran correctamente. Estos
niveles establecen que un sistema o Componente en
particular es capaz de cumplir con el SL-T de forma
nativa sin contramedidas compensatorias adicionales.
• Niveles de seguridad objetivo (SL-T)son el nivel deseado
de seguridad para una solución de automatización en
particular. Se determinan como resultado del proceso
de Evaluación de Riesgos (Parte 3-2)
y están documentados en la Especificación de
requisitos de ciberseguridad. SL-T se utilizan para
seleccionar productos y diseñar contramedidas
adicionales durante la fase de integración del ciclo
de vida de IACS.
• Niveles de Seguridad Alcanzados (SL-A)son los niveles reales de
seguridad para una automatización en particular
Medio Recursos Habilidades Motivación
simple bajo genérico bajo
sofisticado moderado Específico de IACS moderado
sofisticado extendido Específico de IACS alto
 Solución. Estos se miden después de que la solución de
automatización se pone en marcha y está en
funcionamiento. La Parte 2-2 combina SL-A con políticas y
procedimientos operativos y de mantenimiento para
formar la Calificación del Programa de Seguridad para una
Solución de Automatización en particular.
Modelo de madurez
Mientras que los niveles de seguridad son una medida
de la solidez de los requisitos técnicos, los niveles de
madurez son una medida de los procesos (personas,
políticas y procedimientos). Las Partes 2-1, 2-2, 2-4 y 4-1
usan Niveles de Madurez para medir cuán
completamente se cumplen los requisitos.
Como se muestra en la Tabla 4, el modelo de madurez se basa en la
integración del modelo de madurez de capacidad (CMMI), con los
niveles 4 y 5 combinados en el nivel 4.
Criterios de diseño
Seguro por diseño
La seguridad por diseño es un principio de diseño en el que las
medidas de seguridad se implementan en las primeras etapas del
ciclo de vida del IACS. La intención es que las políticas de seguridad
sólidas, las arquitecturas de seguridad y las prácticas seguras se
establezcan al principio del desarrollo y se implementen a lo largo
del ciclo de vida. Este principio de diseño se aplica tanto al
desarrollo de productos como al desarrollo de soluciones de
automatización. Cuando se utiliza una filosofía de diseño seguro,
las medidas de seguridad operan de forma nativa dentro del
Sistema de Control o Componente sin requerir la adición de
contramedidas compensatorias.
Reducir la superficie de ataque
Reducir la superficie de ataque es un principio de
diseño en el que se minimizan las interfaces físicas y
funcionales de un IACS a las que se puede acceder y
exponer a posibles ataques, lo que lo hace más
Nivel CMMI 62443
1 Inicial Inicial
2 Administrado Administrado
3 definido Definido (Practicado)
4 Gestionado cuantitativamente Mejorando
5 optimizando
Tabla 4: Definición del nivel de madurez
difícil que un ataque tenga éxito. La reducción de la superficie
de ataque incluye principios de diseño como:
• Control de acceso: restricción del acceso físico y
lógico a los sistemas y redes IACS
• Segmentación de red: segmentación de redes
IACS y control del tráfico entre ellas
• Función mínima: endurecimiento de los sistemas y redes
IACS mediante la eliminación de funciones innecesarias
• Mínimo privilegio: limitar los privilegios al
mínimo necesario para el rol o la función
Defensa en profundidad
La defensa en profundidad se define como laprovisión de
múltiples protecciones de seguridad, especialmente en capas,
con la intención de retrasar o prevenir un ataque.La defensa en
profundidad implica capas de seguridad y detección, incluso en
sistemas individuales, y requiere que los atacantes atraviesen o
pasen por alto varias capas sin ser detectados. El IACS aún está
protegido incluso si se compromete una vulnerabilidad en una
capa. Se debe prestar especial atención a una sola
vulnerabilidad que permita el compromiso potencial de
múltiples capas.
Funciones esenciales
Las funciones esenciales se definen comofunciones o
capacidades que se requieren para mantener la salud, la
seguridad, el medio ambiente y la disponibilidad del equipo
bajo control.Las funciones esenciales incluyen:
• la función instrumentada de seguridad (SIF)
• la función de control
• la capacidad del operador para ver y
manipular el Equipo bajo control
La pérdida de funciones esenciales se denomina comúnmente:
pérdida de protección, pérdida de control y pérdida de vista,
respectivamente. En algunos casos de uso, las funciones
adicionales, como el historial, pueden considerarse esenciales.
La Parte 3-3 requiere que las medidas de seguridad no afecten
adversamente las funciones esenciales de un alto
Descripción
• Desarrollo de productos típicamente ad-hoc y a menudo sin documentar
• La consistencia y la repetibilidad pueden no ser posibles
• Desarrollo de productos gestionado mediante políticas escritas
• El personal tiene experiencia y está capacitado para seguir los procedimientos
• Los procesos están definidos, pero es posible que algunos no estén en práctica
• Todos los procesos son repetibles en toda la organización
• Todos los procesos están en práctica con evidencia documentada
• Los niveles 4 y 5 de CMMI se combinan
• Se utilizan métricas de proceso para controlar la eficacia y el rendimiento.
• Mejora continua
WWW.ISA.ORG/ISAGCA 9
 disponibilidad IACS a menos que esté respaldado por una actividades de soporte para una Solución de Automatización.

evaluación de riesgos. El concepto de funciones esenciales • Proveedor de servicios de integraciónes la

impone algunas restricciones de diseño al diseño de las medidas organización que proporciona actividades de
de seguridad del SIGC: integración para una solución de automatización,
• El control de acceso no impedirá el incluido el diseño, la instalación, la configuración, las
funcionamiento de las funciones esenciales pruebas, la puesta en servicio y la entrega al
• Las funciones esenciales se mantendrán si la protección propietario del activo. El Proveedor de Servicios de
del límite de la zona (cortafuegos) entra en un modo Integración también puede facilitar y ayudar en la
de cierre por falla/isla actividad de dividir el Sistema Bajo Consideración en
• Un evento de denegación de servicio en la red del Zonas y Conductos y realizar la Evaluación de
Sistema de control o del Sistema instrumentado Riesgos.
de seguridad no impedirá la seguridad. • Proveedor de productoses la organización que
funciones instrumentadas de actuación fabrica y da soporte a un producto de hardware y/
o software. Los productos pueden incluir sistemas
de control, dispositivos integrados, dispositivos
Hoja de ruta para la serie ISA/IEC host, dispositivos de red y/o aplicaciones de
62443 software.

Funciones principales
Componente, sistema, solución de
Para comprender cómo utilizar la serie ISA/IEC 62443,
automatización e IACS
primero es necesario comprender la relación entre
El lado derecho de la figura muestra los tipos de
funciones, sistema de control, solución de
sistemas que se identifican en la serie ISA/IEC
automatización e IACS. La Figura 4 visualiza esta
62443:
relación.
• Componentes IACSson proporcionados por unProveedor
de productose incluyen los siguientes tipos:
El lado izquierdo de la figura muestra los roles
• Dispositivo integrado–dispositivo de propósito especial
identificados en la serie ISA/IEC 62443:
diseñado para monitorear o controlar directamente un
• Propietario del activoes la organización
proceso industrial
responsable del IACS. El propietario del
• Dispositivo anfitrión–dispositivo de propósito general
activo también es el operador del IACS y el
que ejecuta un sistema operativo capaz de albergar
equipo bajo control.
una o más aplicaciones de software, almacenes de
• Proveedor de servicios de mantenimientoes la
datos o funciones de uno o más proveedores
persona u organización que proporciona
• Dispositivo de red–dispositivo que facilita el flujo de
datos entre dispositivos, o restringe el flujo de datos,
roles Sistema de control y automatización industrial (IACS) pero puede que no interactúe directamente con un
responsable de
proceso de control
Propietario del activo
Operación y mantenimiento de rutina según
opera
a las políticas y procedimientos de seguridad
• Aplicación de software–uno o más programas de
software y sus dependencias que se utilizan
Mantenimiento
Proveedor de servicio
mantiene Solución de automatización
para interactuar con el proceso o el propio
Funciones esenciales
comisiones sistema de control
Integración y valida Control Complementario
• Sistema IACS (o Sistema de Control)consta de un conjunto
La seguridad

funciones funciones funciones

Proveedor de servicio diseños y
despliega integrado de dispositivos integrados (por ejemplo, PLC),
entorno SIGC dispositivos host, dispositivos de red y aplicaciones de
Incluye productos configurados software proporcionadas por uno o más proveedores
(sistemas de control y componentes)
de productos.
Role productos
• Solución de automatizaciónes la realización de
Componentes Sistemas de control

Secundario
(como una combinación de un Sistema de Control en una determinada
Incrustado componentes)
Producto desarrolla
Proveedor
software
aplicaciones
dispositivos
Zona
instalación. Incluye funciones esenciales como
y apoya Zona

La red alojado
funciones de seguridad y funciones de control y
dispositivos dispositivos
otras funciones de apoyo como historización e
Independiente del entorno IACS ingeniería.
• El Sistema de Control y Automatización
Figura 4: funciones, productos, solución de automatización e IACS Industrial (IACS)incluye la automatización

10 WWW.ISA.ORG/ISAGCA
 Solución y las políticas y procedimientos Parte 2-3
operativos y de mantenimiento necesarios Gestión de parches en
el entorno SIGC
para soportarla.
Leyenda
Requisitos derivados
Referencias Directas
Vista jerárquica Todas las Partes deberán hacer referencia a la Parte 1-1 Parte 2-4
programa de seguridad

La figura 5 muestra las relaciones jerárquicas requisitos para SIGC

proveedores de servicio

entre la serie de normas ISA/IEC 62443. Una

relación jerárquica significa que un estándar
Parte 1-1 Parte 2-1 Parte 3-2 Parte 2-2
deriva sus requisitos de los requisitos de otro Terminología, conceptos Establecimiento de un SIGC Riesgo de seguridad programa de seguridad IACS
y modelos programa de seguridad evaluación para
estándar. La punta de flecha muestra la
calificaciones

diseño de sistemas

dirección de la derivación.
• Parte 1-1presenta los conceptos y modelos Parte 3-3 Parte 4-2
Seguridad técnica
que se utilizan en toda la serie ISA/IEC
Sistema de seguridad
requisitos y requisitos para SIGC
componentes
62443. En particular, describe los
niveles de seguridad

Requisitos Fundamentales, que se

utilizan para organizar los requisitos Parte 4-1
Seguridad del producto

técnicos a lo largo de la serie.

ciclo de vida de desarrollo
requisitos

• Parte 2-1establece los requisitos para el

Programa de Seguridad de un Propietario de
Activos. Todas las demás normas de la serie
ISA/IEC 62443 derivan sus requisitos de la
Parte 2-1 y los amplían con más detalle.
• Parte 3-2establece los requisitos para la partición del
Sistema Bajo Consideración en Zonas y Conductos
y su Evaluación de Riesgos. La evaluación de
riesgos define el nivel de seguridad objetivo (SL-T),
que se utiliza para adquirir sistemas y
componentes que tienen las capacidades definidas
en la Parte 3-3 y la Parte 4-2, respectivamente. La
Parte 3-2 también requiere una Especificación de
requisitos de ciberseguridad, que se utiliza para
crear la Solución de automatización.
Figura 5: Estándares ISA/IEC 62443 – Vista jerárquica
• Parte 2-4establece los requisitos para los proveedores de
servicios que participan en el soporte del IACS. Los
proveedores de servicios de integración brindan servicios de
integración para la solución de automatización y los
proveedores de servicios de mantenimiento brindan
servicios de mantenimiento para el IACS.
• Parte 2-3establece los requisitos para el proceso de
gestión de parches, que se utiliza para reducir las
vulnerabilidades de ciberseguridad en la Solución de
automatización.
Vista del ciclo de vida

• Parte 4-1es utilizado por el proveedor del producto para Otra vista de la serie ISA/IEC 62443 es la vista del
establecer y mantener un ciclo de vida de desarrollo de ciclo de vida. Hay dos ciclos de vida independientes
seguridad, que se utiliza para crear productos de descritos en la serie: el ciclo de vida de desarrollo
componentes y sistemas de control. de productos y la automatización

Ciclo de vida de la solución de automatización

Ciclo de vida de desarrollo de productos
Integración Operación y mantenimiento

Parte 1-1: Terminología, conceptos y modelos

Parte 2-1: Establecimiento de un programa de seguridad IACS

Parte 2-2: Calificación del programa de seguridad de IACS

Parte 2-3: Gestión de parches en el entorno IACS

Parte 2-4: Requisitos del programa de seguridad para proveedores de servicios IACS

Parte 3-2: Evaluación de riesgos de seguridad para el diseño del sistema

Parte 3-3: Requisitos de seguridad del sistema y niveles de seguridad

Parte 4-1: Ciclo de vida de desarrollo de seguridad del producto

Requisitos
Parte 4-2: Requisitos técnicos de seguridad
para componentes IAC

Figura 6: Estándares ISA/IEC 62443 - Vista del ciclo de vida

WWW.ISA.ORG/ISAGCA 11
 Ciclo de vida de la solución. El ciclo de vida de la
solución de automatización se divide además en una
fase de integración y una fase de operación y
mantenimiento. La Tabla 6 muestra la relación entre
las partes de la serie ISA/IEC 62443 y los diversos
ciclos de vida y fases.
Tenga en cuenta que la Parte 3-3 abarca el ciclo de vida de
desarrollo del producto y la fase de integración del ciclo de
vida de la solución de automatización. Esto se debe a que,
si bien el proveedor del producto es el principal
destinatario de la Parte 3-3, el proveedor de servicios de
integración también puede combinar componentes para
crear sistemas de control. Un ejemplo sería un sistema
SCADA, donde el proveedor de servicios de integración
integra el sistema SCADA con dispositivos integrados (por
ejemplo, PLC) para crear una solución de automatización.
Serie ISA/IEC 62443 para propietarios de activos
Actividades del propietario de activos:
• Establecer y mantener un programa de seguridad
que incluya requisitos específicos de IACS
• Dividir zonas y conductos y realizar
evaluaciones de riesgos asociadas
• Documentar los requisitos de IACS en la
Especificación de requisitos de ciberseguridad
• Adquirir productos y servicios que cumplan con los
requisitos de IACS
• Operar y mantener el IACS
• Evaluar la efectividad del Programa de
Seguridad de IACS
Normas ISA/IEC 62443 aplicables:
• ISA/CEI 62443-2-1,Establecimiento de un programa
de seguridad IACS
• ISA/CEI 62443-2-2,Calificaciones del programa de seguridad
• ISA/CEI 62443-2-3,Gestión de parches en el
entorno IACS
• ISA/CEI 62443-2-4,Requisitos para los proveedores
de servicios IACS
• ISA/CEI 62443-3-2,Evaluación de riesgos de seguridad para el
diseño de sistemas
• ISA/CEI 62443-3-3,Requisitos de seguridad
del sistema y niveles de seguridad
Serie ISA/IEC 62443 para proveedores de productos
Actividades del proveedor del producto:
• Establecer y mantener un ciclo de vida
de desarrollo de seguridad
• Proporcionar productos del sistema de control que
cumplan con las capacidades del nivel de seguridad
• Proporcionar productos de componentes que cumplan
12 WWW.ISA.ORG/ISAGCA
Capacidades de nivel de seguridad
• Proporcionar soporte de ciclo de vida continuo para sus
productos de componentes y sistemas de control
Normas ISA/IEC 62443 aplicables:
• ISA/CEI 62443-4-1,Requisitos del ciclo de vida del
desarrollo de la seguridad del producto
• ISA/CEI 62443-3-3,Requisitos de seguridad
del sistema y niveles de seguridad
• ISA/CEI 62443-4-2,Requisitos técnicos de
seguridad para componentes IACS
• ISA/CEI 62443-3-2,Evaluación de riesgos de seguridad para el
diseño de sistemas
Serie ISA/IEC 62443 para proveedores de servicios
Proveedores de servicios de integración Actividades del
proveedor de servicios de integración:
• Establecer y mantener un programa de seguridad para la
integración de soluciones de automatización
• Diseñar e implementar Soluciones de Automatización
que cumplan con los requisitos de la
Especificación de Requisitos de Ciberseguridad
• Aplicar parches de seguridad durante la fase de
integración del ciclo de vida de la solución de
automatización
Normas ISA/IEC 62443 aplicables:
• ISA/CEI 62443-2-1,Establecimiento de un programa
de seguridad IACS
• ISA/CEI 62443-2-3,Gestión de parches en el
entorno IACS
• ISA/CEI 62443-2-4,Requisitos para los proveedores
de servicios IACS
• ISA/CEI 62443-3-2,Evaluación de riesgos de seguridad para el
diseño de sistemas
• ISA/CEI 62443-3-3,Requisitos de seguridad
del sistema y niveles de seguridad
Proveedores de servicios de mantenimiento Actividades del
proveedor de servicios de mantenimiento:
• Establecer y sostener un Programa de Seguridad para
los servicios de mantenimiento
• Proporcionar servicios y capacidades que cumplan con las
políticas y los procedimientos de seguridad de IACS
especificados por el propietario del activo
Normas ISA/IEC 62443 aplicables:
• ISA/CEI 62443-2-3,Gestión de parches en el
entorno IACS
• ISA/CEI 62443-2-2,Calificaciones del programa de seguridad de
IACS
• ISA/CEI 62443-2-4,Requisitos para los proveedores
de servicios IACS
Certificación y Capacitación • Capacitación en concientización sobre seguridad cibernética para

profesionales de la industria del agua/aguas residuales (IC31)

ISA Seguro®Certificación • Uso de las normas ISA/IEC 62443 para proteger su
El ISA Security Compliance Institute es una organización sistema de control (IC32, IC32M)
sin fines de lucro que ha desarrollado varios programas de • Introducción a la Seguridad de la Automatización
certificación de productos para sistemas y componentes de Industrial y las Normas ISA/IEC 62443 (IC32C)
control. Actualmente disponible ISASecure®Los programas • Ciberseguridad para Sistemas de Automatización,
de certificación son: Control y SCADA (IC32E)
• Garantía del ciclo de vida del desarrollo de seguridad • Evaluación de la ciberseguridad de sistemas IACS
(SDLA)que certifica que el ciclo de vida de desarrollo de nuevos o existentes (IC33, IC33E, IC33M)
seguridad de un proveedor de productos cumple con los • Diseño e Implementación de
requisitos de la Parte 4-1. Ciberseguridad IACS (IC34, IC34M)
• Operación y Mantenimiento de
• Garantía de seguridad del sistema (SSA)que certifica que
Ciberseguridad IACS (IC37, IC37M)
los productos de Control System tienen la
• Descripción general de ISA/IEC 62443 para proveedores
capacidad para cumplir con los requisitos de la
de productos (IC46C, IC46M)
Parte 3-3 y se han desarrollado de acuerdo con
un programa SDLA.
La última letra del código del curso designa el tipo de
Sistema Certificado curso de la siguiente manera:
• <ninguno>: curso presencial de varios días
• C – Curso general de un día
• Garantía de seguridad de componentes (CSA)que certifica • E: curso en línea asistido por un instructor
que los productos del componente tienen la capacidad de • M: capacitación basada en computadora a pedido
cumplir con los requisitos de la Parte 4-2 y se han
desarrollado de acuerdo con un programa SDLA. Los Certificados de Ciberseguridad ISA
productos de componentes certificados pueden ser: ISA ofrece los siguientes certificados de ciberseguridad para
dispositivos integrados, dispositivos host, dispositivos de estudiantes que hayan completado los cursos de capacitación
red y aplicaciones de software mencionados anteriormente. Los certificados no deben
confundirse con las certificaciones de productos que ofrece
Componente Certificado
ISASecure®.
• Especialista en fundamentos de ciberseguridad ISA/IEC
62443
ISA Seguro®Los programas de certificación se pueden encontrar • Especialista en evaluación de riesgos de ciberseguridad ISA/
en ISASecure.org. IEC 62443
• Especialista en Diseño de Ciberseguridad ISA/IEC 62443
Certificación IECEE • Especialista en mantenimiento de ciberseguridad ISA/IEC
IEC también ofrece un sistema de esquemas de evaluación de 62443
la conformidad llamado IECEE. IECEE actualmente ofrece • Experto en Ciberseguridad ISA/IEC 62443
esquemas de evaluación de conformidad para los siguientes
estándares IEC 62443: yo miC 6 2 4 4 3
S A / yo yo miC 6 2 4 4 3
S A / yo yo miC 6 2 4 4 3
S A / yo
miC 6 2 4 4 3
S A / yo
yo yo miC 6 2 4 4 3
S A / yo

• CEI 62443-2-4:2015/AMD1:2017 FUNDAMENTOS

ESPECIALISTA
RIESGO
EVALUACIÓN DISEÑO MANTENIMIENTO
EXPERTO
ESPECIALISTA

• CEI 62443-3-3:2013
ESPECIALISTA ESPECIALISTA

• CEI 62443-4-1:2018
• CEI 62443-4-2:2019
Certificado 1 Certificado 2 Certificado 3 Certificado 4 Experto
IECEE se puede encontrar en IECEE.org.

Capacitación en Ciberseguridad ISA

ISA ofrece los siguientes cursos de capacitación
relacionados con la ciberseguridad:

WWW.ISA.ORG/ISAGCA 13
 Normas publicadas e Referencias
informes técnicos 1. NIST SP 800-82 REVISIÓN 2, GUÍA PARA LA

1. ISA-62443-1-1-2007/IEC TS 62443-1-1:2009 SEGURIDAD DE LOS SISTEMAS DE CONTROL

– SEGURIDAD PARA SISTEMAS DE AUTOMATIZACIÓN Y INDUSTRIALES (ICS)

CONTROL INDUSTRIALES, PARTE 1-1: TERMINOLOGÍA,
CONCEPTOS Y MODELOS
2. ISA-62443-2-1-2009/IEC 62443-2-1:2010 –
SEGURIDAD PARA SISTEMAS DE CONTROL Y
AUTOMATIZACIÓN INDUSTRIALES, PARTE 2-1:
ESTABLECIMIENTO DE UN PROGRAMA DE SEGURIDAD PARA
SISTEMAS DE CONTROL Y AUTOMATIZACIÓN INDUSTRIALES
3. ANSI/ISA-TR62443-2-3-2015 / IEC TR
62443-2-3:2015 – SEGURIDAD PARA SISTEMAS DE
CONTROL Y AUTOMATIZACIÓN INDUSTRIALES, PARTE
2-3: GESTIÓN DE PARCHES EN EL ENTORNO IACS
4. ANSI/ISA-62443-2-4-2018 / IEC 62443-2-
4:2015+AMD1:2017 CSV – SEGURIDAD PARA
SISTEMAS DE AUTOMATIZACIÓN Y CONTROL INDUSTRIALES,
PARTE 2-4: REQUISITOS DEL PROGRAMA DE SEGURIDAD PARA
LOS PROVEEDORES DE SERVICIOS DE IACS
2. COMISIÓN DE LAS NACIONES UNIDAS PARA INTEGRAR
ISA/IEC 62443 EN EL MARCO REGULATORIO DE LA
CIBERSEGURIDAD, REVISTA ISA INTECH, ENERO-
FEBRERO DE 2019
3. LA SERIE DE NORMAS 62443: SEGURIDAD DE
CONTROL Y AUTOMATIZACIÓN
INDUSTRIAL, COMITÉ ISA99
4. PREGUNTAS FRECUENTES: COMITÉ ISA99 Y
NORMAS 62443, COMITÉ ISA99
5. LA SEGURIDAD DE LOS SISTEMAS DE
INSTRUMENTACIÓN Y CONTROL EXPLICADA: EL
QUÉ Y EL POR QUÉ, COMITÉ ISA99

5. IEC TR 62443-3-1:2009 - SEGURIDAD PARA

SISTEMAS DE AUTOMATIZACIÓN Y CONTROL
INDUSTRIALES, PARTE 3-1: TECNOLOGÍAS DE SEGURIDAD
PARA SISTEMAS DE AUTOMATIZACIÓN Y CONTROL
INDUSTRIALES
6. ISA-62443-3-2-2020 – SEGURIDAD PARA
SISTEMAS DE CONTROL Y AUTOMATIZACIÓN INDUSTRIALES,
PARTE 3-2: EVALUACIÓN DE RIESGOS DE SEGURIDAD PARA EL
Este documento contiene información que se basa
DISEÑO DE SISTEMAS
en los documentos preliminares del Comité ISA99.
7. ANSI/ISA-62443-3-3-2013 / IEC 62443- Consulte los documentos publicados para conocer
4-2:2013 - SEGURIDAD PARA SISTEMAS DE CONTROL Y el conjunto definitivo de requisitos actualmente
AUTOMATIZACIÓN INDUSTRIALES, PARTE 3-3: disponibles.
REQUISITOS Y NIVELES DE SEGURIDAD DEL SISTEMA

ANSI/ISA-62443-4-1-2018 / IEC 62443-

4-1:2018 - SEGURIDAD PARA SISTEMAS DE CONTROL Y
AUTOMATIZACIÓN INDUSTRIALES, PARTE 4-1: REQUISITOS
DEL CICLO DE VIDA DEL DESARROLLO DE SEGURIDAD DEL
PRODUCTO
8. ANSI/ISA-62443-4-2-2018 / IEC 62443-
4-2:2019 - SEGURIDAD PARA SISTEMAS DE CONTROL Y
AUTOMATIZACIÓN INDUSTRIALES, PARTE 4-2:
REQUISITOS DE SEGURIDAD TÉCNICA PARA
COMPONENTES IACS
9. IEC TR 63069:2019 – PROCESO INDUSTRIAL
MEDICIÓN, CONTROL Y AUTOMATIZACIÓN
– MARCO DE SEGURIDAD Y PROTECCIÓN
FUNCIONAL
10. IEC TR 63074:2019 – SEGURIDAD DE MAQUINARIA
– ASPECTOS DE SEGURIDAD RELACIONADOS CON LA SEGURIDAD FUNCIONAL DE

LOS SISTEMAS DE CONTROL RELACIONADOS CON LA SEGURIDAD

14 WWW.ISA.ORG/ISAGCA ©2020 Sociedad Internacional de Automatización