Институциите постепенно осъзнават потребността от регулиране на цифровият свят
Наричат го киберфизичен свят (cyberphisical world), мета вселена (meta universe) и с други купешки имена. Учените кръстят тези понятия термини или категории.
Институциите се опитват да овладеят управлението на дигиталния мир
Тежкото препятствие киберсигурност остана неглижирано и заобикаляно дълги години. Сега вече всички те се опитват да овладеят положението. Европейския съюз полага усилия по темата в условия на тежко корпоративно лобиране за опазване на частни интереси.
След опитите да се наложат правила с директивата NIS сега на терена се появява NIS2
Заинтересуваните от тази директива може да отчетат следното
Обхватът и съдържанието на тези термини добиха размери, които трудно се осъзнават от отделен индивид, фрагментарно се възприемат от отделни екипи и загубват очертанията си в сензориката на корпоративния свят.
Разумно е да се ползват готови стандарти в отделни техни части. ENISA предлага насоки за досегашната директива NIS. Разделите, които коментирам в следващия абзац се отнасят за същата. За NIS2 те ще увеличат.
Европейската агенция за киберсигурност ENISA е предложила насоки с пояснения за постигане на съответствие с NIS
За целта е създадена карта с 31 раздела, които са систематизирани по отделните изисквания от директивата. Тези раздели са отнесени с детайли към части от стандартите COBIT5, ISO 27000, NIST CSF, ISA/IEC62443. Всеки от тези 31 раздела съдържа детайлна разбивка на съответствията от съответния стандарт с отделни изисквания от NIS.
Например можете да видите едно изискване, което е препоръчано от ENISA от следващата версия на NIST Cybersecurity Framework v2.0:RS.CO-02: Internal and external stakeholders are notified of incidents.
NIST Cybersecurity Framework v2.0:RS.CO-02: Internal and external stakeholders are notified of incidents
След NIS1 и NIS2 кога ще стигнем до NIS3
Ако образованието на всички нива го кара както досега то NIS3 ще се появи в съкратен срок спрямо транзакцията NIS – NIS2. Директивите за разлика от регламентите са пожелателни. Регламентите имат силата на закон. Според GDPR обучението е задължително, но данните си продължават да изтичат…
СЛОЖНОСТ НА ПРОБЛЕМА
Преди време изложих едно изследване на проблемите с киберзащитата на интелигентния град. В него се оказа, че гледана от най високо ниво, без въпросните детайли от стандартите, сложността на проблема е от порядъка числото 2 повдигнато на 16-та степен. Публикацията носи заглавието Complexity Assessment of Research Space for Smart City Cybersecurity. Текстът е публичен и лесно може да се открие на сайта на ScienceDirect.
В науката сложност от горния порядък означава тежък проблем.
Парцелирането на NIS2 по въпросните детайли води до много по тежка сложност на проблема.
Директивата NIS2 можете да си копирате от тук
Очаквам формализмът отново да победи здравия разум. За яснота може да разгледате следната красива картинка. Sunburst Visualization of STRIDE-LM to Security Controls