Национальный институт стандартов NIST опубликовал стандарт NIST Special Publication 800-160, в котором установлены процедуры безопасной разработки IoT, хотя ни в названии, ни в ключевых определениях этот термин не используется. Тем не менее, документ описывает инфраструктуру для разработки интеллектуальных устройств с целью обеспечить безопасность их для граждан и окружающей среды. Это инструкция для инженеров, подробная и официальная, занимающая более 200 страниц.
Для пользователей выпущена сокращенная версия «принципов безопасности IoT» – фактически краткое изложение, поскольку оба документа разработаны одной группой авторов. Дон Росс, который приложил руку к обоим документам, на конференции Splunk GovSummit сказал, что мечтает сделать IoT-устройства такими же безопасными, как мост или современные самолеты. При этом предполагается реализация шести основных принципов. Во-первых, безопасность должна быть встроена в устройства еще на этапе их разработки. Во-вторых, следует предусмотреть механизмы обновления программного обеспечения устройств, чтобы иметь возможность исправлять обнаруженные проблемы. В-третьих, необходимо тестировать устройства для выявления ошибок и уязвимостей. В-четвертых, безопасность IoT должна доминировать над другими характеристиками продуктов. В-пятых, требуется обеспечить прозрачность разработки ПО таким образом, чтобы исправлялись ошибки не только в самих устройствах, но и в компонентах. То есть если устройства используют, например OpenSSL, то на них должны устанавливаться обновления безопасности, выпускаемые разработчиками именно OpenSSL. В-шестых, подключать устройства, особенно промышленные, к Интернету нужно осторожно и осмысленно, иначе вред бездумного подключения может оказаться выше пользы от него.
Первоисточник: http://www.connect-wit.ru/obzor-zarubezhnoj-pressy-po-tematike-informatsionnoj-bezopasnosti-za-noyabr-bezopasnost-v-ssha.html
Комментариев нет:
Отправить комментарий