Franco Vincenzo Ferrari del DNV GL mi ha suggerito questo articolo dal titolo "Lo standard IEC 62443-4-2 per la cyber security industriale: le linee guida". Ho qualche riserva sull'articolo, in particolare sulla disinvoltura con cui confonde security e safety e sulla sua concentrazione sui dispositivi (mentre la norma è applicabile a 4 tipi di componenti), però alcune cose sono decisamente interessanti e ne raccomando la lettura:
- https://www.cybersecurity360.it/legal/lo-standard-iec-62443-4-2-per-la-cyber-security-industriale-le-linee-guida/.
Questa norma riporta i requisiti da considerare per i componenti dei sistemi informatici industriali. I componenti possono essere:
- applicazioni software;
- dispositivi integrati (Embedded device; dispositivi specifici, incluse PLC e sensori);
- pc o server generici;
- componenti di rete.
I requisiti possono poi essere usati per 4 livelli di sicurezza.
La lettura non è semplice e richiede anche di essere accompagnata dalla IEC 62443-3-3. Allo stato attuale, però, sono convinto che le IEC 62443 rappresentino la lettura allo stato dell'arte in materia di sicurezza informatica industriale (o "OT cyber security", dove però il termine "OT" non è mai usato dalle 62443).
La pagina ufficiale della norma è:
- https://webstore.iec.ch/publication/34421.
Nessun commento:
Posta un commento