По мере роста числа подключённых к Интернету устройств IoT повышается вероятность нарушения безопасности. Поэтому необходимо обобщить передовой опыт защиты.
Фонд IoT Security Foundation является «независимой от производителей международной инициативой, стремящейся стать экспертным ресурсом для обмена знаниями, передовым опытом и рекомендациями». Эти ресурсы включают справочники передового опыта, один из которых называется «Основы обеспечения безопасности IoT». Его первая версия охватывает потребительские продукты и рынки, но последующие будут охватывать некоторые другие вопросы, связанные с медициной и автомобилями.
Что такое достаточная безопасность? Ответ на этот вопрос даётся в виде контрольного списка для пользователей. В нём перечислены некоторые категории продуктов и для каждого определяется рекомендуемый класс безопасности, в зависимости от потенциального ущерба, который может нанести данный продукт.
Классы безопасности обозначаются цифрами от 0 для хищений данных, которые имеют «едва заметный эффект», до 4 для хищений конфиденциальных данных, которые «потенциально могут затронуть важнейшую инфраструктуру или нанести вред людям».
Основы определяют классы безопасности наряду с соответствующими уровнями необходимой целостности, доступности и конфиденциальности. Например, класс 0 требует лишь базовых уровней, а класс 4 – высоких. В результате получаются сочетания различных уровней. Например, средних уровней целостности и доступности с базовым уровнем конфиденциальности для класса 1. Или может быть средний уровень целостности в сочетании с высокими уровнями доступности и конфиденциальности для класса 3.
«Основы обеспечения безопасности IoT» проводят также различие между «обязательным» (требование считается «жизненно важным для защиты категории продуктов», применительно ко всему, что относится к безопасности класса 2 и выше) и просто «рекомендуемым» (позволяет отклоняться от требований, если «продукт даёт для этого веские причины»). Однако это не должно восприниматься как карт-бланш для действий по собственному усмотрению.
В справочнике «Основы обеспечения безопасности IoT» оговаривается, что выбор в рамках рекомендуемой категории должен быть документирован и обоснован. Соблюдение изложенных в документе руководящих принципов даёт компаниям право загружать и отображать значки Фонда в качестве свидетельств самостоятельно проведённой сертификации, которые им, вероятно, придётся обновлять после выхода новых версий справочника.
www.pcweek.ru
Комментарии