четверг, 5 декабря 2019 г.

Великобритания: Новая редакция стандарта BS 10008 обеспечения допустимости электронной информации в качестве доказательств – об «интернете вещей»


В опубликованном недавно для публичного обсуждения проекте стандарта BS 10008-2 «Допустимость в качестве доказательства и доказательная сила сохраняемой электронным образом информации. Часть 2: Свод практики для внедрения BS 10008-1» (Evidential weight and legal admissibility of electronically stored information (ESI). Part 2: Code of practice for implementation of BS 10008-1), https://standardsdevelopment.bsigroup.com/projects/2019-00217 , появились разделы, посвященные ряду инновационных технологий. Вот что в нём сказано о технологии «интернета вещей»:
8.1.1.5 «Интернет вещей» (Internet of Things, IoT)

Примечание 1: Генерируемая устройствами интернета вещей (IoT-устройствами) информация может потребоваться для разрешения споров по широкому кругу вопросов (например, это может быть измеренная датчиком температура, выходящая за согласованный диапазон при транспортировке скоропортящихся продуктов; давление воды ниже установленного контрактом предельного значения; длительность перебоя в подаче электроэнергии; продолжительность отсутствия определенного продукта в торговом автомате; сведения о том, кому, когда и какая информация о неисправности с датчика в тормозной системе автомобиля была сообщена, и были ли в связи с этим предприняты меры; и т. д.). Этот круг вопросов будет расширяться по мере того, как всё более распространённой будет становиться автоматизация, полагающаяся на информацию от IoT-устройств.

Примечание 2: IoT-устройства могут иметь широкий спектр возможностей, вариантов применения, уязвимостей и т.д. Примерами могут служить:

а) уязвимости безопасности IoT-устройств и их интернет-соединений;

b) уязвимость к несанкционированному вмешательству / замене конкретного IoT-устройства;

c) обрывы соединения, когда IoT-устройство может лишиться возможности передавать информацию;

d) IoT-устройство может обладать либо не обладать способностью хранить данные локально (архитектуры «всегда включён» (always on) либо с промежуточной буферизацией данных (store and forward)); а также

e) физические и информационные IoT-архитектуры; не всегда простые взаимоотношения между IoT-устройством, интернетом и анализом / интерпретацией информации от IoT-устройства (например, объединение нескольких IoT-устройств, концентраторы, шлюзы и т.д.).

Если организация захватывает и использует информацию с IoT-устройств, она должна:

a) включить интернет вещей в сферу проводимой ею оценки и анализа рисков, а также задокументировать подход, который будет принят в плане использования такой IoT-информации;

b) задокументировать физическую и информационную архитектуру IoT-системы, поскольку помимо конечных IoT-устройств она также может включать в себя концентраторы, шлюзы и т.д.. Информация может быть консолидирована или проанализирована в концентраторе или шлюзе перед дальнейшей передачей, поскольку конечное IoT-устройство может иметь ограниченные аналитические возможности и объёмы хранения, и может не иметь возможности подключаться напрямую к интернету;

c) задокументировать, что делается в случае перебоев связи (в некоторых вариантах применения интернета вещей недопустимо, чтобы IoT-информация терялась во время таких перебоев, и необходимо обеспечить её захват при восстановлении соединения);

d) задокументировать, как устраняются уязвимости к несанциониррованному вмешательству / замене IoT-устройств.
Пример:  Крупный супермаркет предлагает покупку товаров через интернет. Его веб-сайт содержит сведения об имеющихся в продаже товарах и предлагаемых ценах. Перед любым изменением цены или описания продукта, копия соответствующей веб-страницы (или её части) захватывается вместе со временем обновления. Это позволяет супермаркету доказать условия своего предложения в случае возникновения спора.
Источник: сайт BSI
https://standardsdevelopment.bsigroup.com/projects/2019-00095
https://standardsdevelopment.bsigroup.com/projects/2019-00217

Комментариев нет:

Отправить комментарий