ИСО и МЭК: Опубликован стандарт ISO/IEC 27400:2022 – руководство по обеспечению безопасности и защиты неприкосновенности частной жизни в рамках интернета вещей

В июне 2022 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO/IEC 27400:2022 «Кибербезопасность – Безопасность и защита неприкосновенности частной жизни в рамках интернета вещей – Руководство» (Cybersecurity - IoT security and privacy - Guidelines) объёмом 50 страниц, см. https://www.iso.org/standard/44373.html и https://www.iso.org/obp/ui/#!iso:std:44373:en .

Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).

Во вводной части документа отмечается:

«Обеспечение информационной безопасности является серьёзной проблемой для любой ИКТ-системы, и системы Интернета вещей (IoT) не являются исключением. IoT-системы создают специфические проблемы для информационной безопасности, поскольку они сильно распределены и включают большое количество разнообразных сущностей. Это подразумевает, что существует очень большая поверхность атаки и что перед системой менеджмента информационной безопасности (СМИБ) встаёт серьёзная проблема применения и поддержания адекватных мер безопасности во всей системе.

Защита неприкосновенности частной жизни (персональных данных, PII) является серьёзным вопросом для некоторых типов IoT-систем. Когда IoT-система получает или использует персональные данные, обычно существуют законы и нормативные акты, применимые к получению, хранению и обработке таких данных. Даже в тех случаях, когда нет проблем с законодательством, обработка персональных в IoT-системе связана для вовлеченных в неё организаций с рисками для репутации и доверия. Если, например, персональные данные будут украдены или будут использованы не по назначению, это потенциально может причинить определённый вред субъектам персональных данных.

Предлагаемые в данном документе меры и средства контроля и управления для обеспечения безопасности и защиты персональных данных разработаны для заинтересованных сторон в среде IoT-систем, так, чтобы они могли быть использованы любой заинтересованной стороной на протяжении всего жизненного цикла IoT-системы. 

... В настоящем содержатся рекомендации по рискам, принципам и мерам безопасности и защиты персональных данных для решений интернета вещей (IoT).»

Содержание стандарта следующее:

Предисловие
Введение
1. Область определения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Концепции интернета вещей (IoT)
6. Источники риска для IoT-систем
7. Меры и средства контроля и управления для обеспечения безопасности и защиты персональных данных
Приложение A: Пример рисков в случае подключенной к интернету вещей камеры наблюдения
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/44373.html
https://www.iso.org/obp/ui/#!iso:std:44373:en