воскресенье, 19 мая 2019 г.

ИСО и МЭК работают над стандартами доверия к интернету вещей


Одна из сильных сторон специалистов в области управления документами и архивного дела – это понимание того, каким образом обеспечивается доверие к документам и информации. В части доверия мы можем оказаться полезными в междисциплинарных проектах, и именно поэтому я слежу за тем, как вопросы обеспечения такого доверия решаются в сопредельных отраслях.

В последнее время вопросами доверия решил вплотную заняться технический подкомитет SC41 «Интернет вещей и взаимосвязанные технологии» (Internet of Things and related technologies, https://www.iec.ch/dyn/www/f?p=103:7:0::::FSP_ORG_ID:20486 ) объединённого технического комитета ИСО/МЭК JTC1.

Недавно опубликованный терминологический стандарт ISO/IEC 20924:2018 «Информационные технологии – Интернет вещей (IoT) – Словарь» (Information technology - Internet of Things (IoT) - Vocabulary, см. https://www.iso.org/contents/data/standard/06/94/69470.html и https://www.iso.org/obp/ui/#!iso:std:69470:en , а также мой пост о нём   http://rusrim.blogspot.com/2019/01/isoiec-20924.html ) так определяет свойство «заслуживать доверие» (trustworthiness):
3.1.32 благонадёжность (trustworthiness) - свойство заслуживать доверие или уверенность;

3.2.10. благонадёжность компоненты интернета вещей (loT trustworthiness) - свойство компоненты интернета вещей заслуживать доверие или уверенность в том, что в течение всего своего жизненного цикла она будет способна обеспечить безопасность, неприкосновенность частной жизни, защищенность, надёжность и жизнестойкость (resiliency).
Подкомитет JTC1/ SC41 работает над следующими проектами документов:

ISO/IEC 30147 «Интернет вещей (IoT) – Методология обеспечения и поддержания доверия к системам и сервисам интернета вещей» (название на сайте ИСО: “Information technology - Internet of things - Methodology for trustworthiness of IoT system/service”, см. https://www.iso.org/contents/data/standard/05/32/53267.html ; и, несколько иное, на сайте МЭК: “Internet of Things (IoT) – Methodology for implementing and maintaining trustworthiness of IoT systems and services”, https://www.iec.ch/dyn/www/f?p=103:38:17324040970164::::FSP_ORG_ID,FSP_APEX_PAGE,FSP_PROJECT_ID:20486,23,101891 ).

В аннотации на документ отмечается:
«В рамках интернета вещей (IoT) все IoT-устройства могут быть взаимно соединены друг с другом, и это, как ожидается, привнесёт новые удобства в повседневную жизнь. С другой стороны, у ряда устройств, которые прежде не подключались к интернету, при подключении могут возникнуть проблемы с доверием к ним, что может повлечь серьёзные негативные последствия для повседневной жизни, в сравнении с серверами и персональными компьютерами, которые уже давно работают в Интернете.

Тем самым подразумевается, что у IoT-систем и услуг имеются специфические свойства и характеристики, отличающиеся их соответствующих характеристик иных существующих ИТ-систем и услуг. Можно привести следующие примеры:
  • Широта охвата и степень воздействия угроз очень велики;

  • Жизненный цикл IoT-систем и услуг очень длительный;

  • Проводить мониторинг и управлять некоторыми типами IoT-устройств может быть очень сложно;

  • Для субъектов телекоммуникационного обмена, включая IoT-устройства, может быть сложно в достаточной степени знать условия деятельности друг друга;

  • Функциональные возможности и характеристики некоторых IoT-устройств могут быть ограничены технологически;

  • В рамках IoT-систем и услуг взаимосвязи между компонентами могут быть установлены способами, которые их разработчики не предвидели.
Цель настоящего документа заключается в том, чтобы предложить методологию обеспечения и поддержания доверия к IoT-системам и услугам, поскольку уже существующие методологии предназначены для отдельных областей применения и не обязательно охватывают все проблемы, с которыми сталкиваются IoT-системы и услуги ввиду упомянутых выше характерные особенностей. Методология описана для каждого из процессов, перечисленных в стандарте ISO/IEC/IEEE 15288:2015 Системная и программная инженерия - Процессы жизненного цикла систем (Systems and software engineering - System life cycle processes, см. https://www.iso.org/contents/data/standard/06/37/63711.html и https://www.iso.org/obp/ui/#!iso:std:63711:en ).»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Символы и сокращения
5. Специфические характеристики IoT-систем и сервисов
6. Специфические для IoT-систем и сервисов вопросы, которые необходимо принять во внимание
7. Обзор методологии и её применения
8. Методологии обеспечения и поддержания доверия
Приложение A (справочное): Доверие к промышленным IoT-системам – вариант применения и модель для анализа
Библиография
ISO/IEC 30149 «Интернет вещей (IoT) – Концепция обеспечения доверия» (Internet of things (IoT) - Trustworthiness framework, см.
https://www.iso.org/contents/data/standard/05/32/53269.html и https://www.iec.ch/dyn/www/f?p=103:38:17324040970164::::FSP_ORG_ID,FSP_APEX_PAGE,FSP_PROJECT_ID:20486,23,102266 ).

В аннотации на документ отмечается:
«Цель настоящего международного стандарта - помочь организациям органически интегрировать обеспечения доверия на протяжении всего жизненного цикла их IoT-систем посредством:

а) формулирования понятий, принципов, концепций, описания компонентов и процессов;

b) предоставления процессно-ориентированных механизмов для установления требований к обеспечению доверия, оценки соответствующих рисков, назначения уровней доверия (Levels of Trust) и для выбора соответствующих мер безопасности и верификации;

c) рекомендаций по вопросам установления критериев приемлемости для организаций, передающих на аутсорсинг разработку или эксплуатацию IoT-систем, и для организаций, закупающих решения третьих сторон;

d) предоставления процессно-ориентированных механизмов для выявления, генерирования и сбора доказательств, необходимых для демонстрации того, что их IoT-системы заслуживают доверия при определенных условиях;

e) поддержки общих концепций, описанных в стандартах ISO/IEC 30141, ISO 30147, ISO/IEC 27001, ISO/IEC 27005 и в стандартах серии ISO/IEC 27034, содействия тем самым удовлетворительному обеспечения доверия с помощью подхода на основе менеджмента риска; а также

f) формулировки концепций, помогающих адаптировать и внедрять меры и средства обеспечения доверия, безопасности и защиты персональных данных, описанные в других стандартах, таких как ISO/IEC 27002.

Настоящий международный стандарт:

а) применим в отношении базового программного обеспечения и оборудования IoT-системы, а также факторов, влияющим на доверие к ней, таких, как данные, технологии, процессы жизненного цикла разработки системы, поддерживающие процессы и действующие лица; а также

b) применим в организациях любого типа и размера, независимо от сектора, к которому они принадлежат (например, в коммерческих предприятиях, отраслях промышленности, в государственных органах, в некоммерческих организациях и  домашних хозяйствах), которые подвержены рискам, связанным с IoT-системами.»
Содержание документа следующее:
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Концепции обеспечения доверия к интернету вещей
6. Рекомендации по обеспечению доверия к IoT-система
Приложение A (справочное): Варианты применения
Библиография
Источники: сайт ИСО / сайт МЭК
https://www.iso.org/contents/data/standard/05/32/53267.html
https://www.iso.org/contents/data/standard/05/32/53269.html
https://www.iec.ch/dyn/www/f?p=103:38:17324040970164::::FSP_ORG_ID,FSP_APEX_PAGE,FSP_PROJECT_ID:20486,23,101891
https://www.iec.ch/dyn/www/f?p=103:38:17324040970164::::FSP_ORG_ID,FSP_APEX_PAGE,FSP_PROJECT_ID:20486,23,102266

Комментариев нет:

Отправить комментарий