A NIST 800-82-es szabványáról korábban már írtam, de időközben megjelent az akkori változat (rev2) frissítése (rev3), ezért indokoltnak gondolom, hogy röviden átnézzük, mi változott.
A jelentősebb változások:
- Kibővült a szabvány scope-ja, az ICS rendszerek mellett most már az OT rendszerekre és hálózatokra is kiterjednek a 800-82-ben leírtak;
- Frissült az OT fenyegetésekről és sérülékenységekről szóló fejezet (melléklet);
- Frissült az OT kockázatkezelés és az ehhez kapcsolódó ajánlott jó gyakorlatok, architektúrák;
- Szintén frissült az OT biztonsággal kapcsolatos aktuális tevékenységek listája;
- Frissült az OT biztonsági képességek és eszközök listája;
- Megjelentek a más (NIST) szabványokkal és keretrendszerekkel (pl. Cyber Security Framework és 800-53rev5) történő összekapcsolásokat lehetővé tevő fejezetek, így most már lehetséges az ICS/OT rendszereket a 800-53rev5 szerinti alacsony, közepes és magas hatású rendszerek kategóriáiba sorolni;
- A 800-82-es szabvány scope-jának bővülésével megjelentek a különböző IIoT rendszerek és a kapcsolódó biztonsági kérdések is.
A 800-82rev3 jelenleg (2024.01.xx-én) érvényes változata itt található: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf