ČESKÁ TECHNICKÁ NORMA
ICS 33.020; 35.030; 35.240.95 Leden 2021
CYBER – Kybernetická bezpečnost pro internet věcí spotřebitele: základní požadavky |
ČSN 87 0030 |
CYBER – Cyber Security for Consumer Internet of Things: Baseline Requirements
Tato norma přejímá anglickou verzi evropské normy ETSI EN 303 645 V2.1.1:2020. Má stejný status jako oficiální verze.
This standard implements the English version of the European Standard ETSI EN 303 645 V2.1.1:2020. It has the same status as the official version.
Anotace obsahu
Tento dokument stanovuje vysokoúrovňová opatření pro bezpečnost a ochranu osobních údajů pro zařízení IoT spotřebitele, která jsou připojena k síťové infrastruktuře (jako je například internet nebo domácí síť), a jejich interakce s přidruženými službami. Tyto přidružené služby leží mimo rozsah platnosti. Neúplný seznam příkladů zařízení IoT spotřebitele zahrnuje:
· připojené dětské hračky a chůvičky;
· připojené detektory kouře, dveřní zámky a okenní senzory;
· brány, základnové stanice a uzly IoT, k nimž se připojuje více zařízení;
· inteligentní kamery, televizní přijímače a reproduktory;
· nositelné zdravotnické sledovací prostředky;
· připojené domácí automatizační a poplachové systémy, zejména jejich brány a uzly;
· připojené spotřebiče, jako jsou například pračky a chladničky; a
· inteligentní domácí asistenti.
Kromě toho tento dokument řeší bezpečnostní úvahy specifické pro omezená zařízení (například okenní kontaktní senzory, povodňové senzory a elektrické spínače).
Tento dokument poskytuje prostřednictvím příkladů a vysvětlujícího textu návod pro organizace, zapojené do vývoje a výroby IoT spotřebitele, na způsob implementace těchto opatření.
Zařízení, která nejsou zařízeními IoT spotřebitele, například ta, která jsou především určena k použití ve výrobě, zdravotní péči nebo jiných průmyslových aplikacích, nejsou v rozsahu platnosti tohoto dokumentu.
Národní předmluva
Informace o citovaných dokumentech
ETSI TR 103 305-3 nezavedena
ETSI TR 103 309 nezavedena
Speciální publikace NIST
800-63B nezavedena (dostupná na
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf)
ISO/IEC 29147 zavedena v ČSN EN ISO/IEC 29147 (36 9713) Informační technologie – Bezpečnostní techniky – Odhalování zranitelností (dostupná na https://www.iso.org/standard/45170.html)
OASIS: Společný rámec
vykazování zranitelnosti (CVRF) CSAF nezaveden (dostupný na
http://docs.oasis-open/CSAF/CSAF-cvrf/v1.2/csaf-cvrf-v1.2.html)
ETSI TR 103 331 nezavedena
ENISA: Základní bezpečnostní doporučení pro IoT v kontextu kritických informačních infrastruktur, listopad 2017, ISBN: 978-92-9204-236-2, doi:10.2824/03228 nezavedeno (dostupné na https://op.europa.eu/en/publication-detail/-/publication/c37f8196-d96f-11e7-a506- 01aa75ed71a1/language-en/format-PDF/source-117211901)
Ministerstvo UK pro
digitalizaci, kulturu, média a sport: Bezpečné designem: Zpráva o zdokonalování
kybernetické bezpečnosti internetu věcí spotřebitele, březen 2018 nezavedena
(dostupná na
https://www.gov.uk/government/collections/secure-by-design)
Fond pro bezpečnost IoT: Rámec shody o bezpečnosti IoT, vydání 2, prosinec 2018 nezaveden (dostupný na https://www.iotsecurityfoundation.org/wp-content/uploads/2018/12/IoTSF-IoT-SecurityCompliance-Framework-Release-2.0-December-2018.pdf)
GSMA: Bezpečnostní pokyny
a hodnocení IoT GSMA nezavedeny (dostupné na
https://www.gsma.com/iot/iot-security/iot-security-guidelines/)
ETSI TR 103 533 nezavedena
Sdělení Komise: „Modrá
příručka“ k provádění pravidel EU pro výrobky 2016 (text s významem
pro EHP), 2016/C 272/01 nezavedeno (dostupné v Úředním věstníku
Evropské unie,
https://eur-lex.europa.eu/legalcontent/EN/ALL/?uri=OJ:C:2016:272:TOC.)
Copper Horse: Mapování
bezpečnosti a soukromí v internetu věcí nezavedeno (dostupné na
https://iotsecuritymapping.uk/)
ENISA: Základní
bezpečnostní doporučení pro IoT – interaktivní nástroj nezavedeno
(dostupné na
https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/iot/baseline-securityrecommendations-for-iot-interactive-tool)
Fond pro bezpečnost IoT:
Chápání současného využití zveřejňování zranitelnosti ve výrobních
společnostech internetu věcí spotřebitele nezavedeno (dostupné na
https://www.iotsecurityfoundation.org/wp-content/uploads/2018/11/VulnerabilityDisclosure-Design-v4.pdf)
F-Secure: Hrozby IoT: Exploze „chytrých zařízení“ zaplňující domácnosti vede ke zvýšeným rizikům nezavedeno (dostupné na https://blog.f-secure.com/iot-threats/)
W3C: Web věcí na W3C nezavedeno (dostupné na https://www.w3.org/WoT/)
ETSI TS 103 701 nezavedena (zpracovává se)
DIN SPEC 27072 nezavedena
GSMA: Program
koordinovaného zveřejňování zranitelnosti nezaveden (dostupný na
https://www.gsma.com/security/gsma-coordinated-vulnerability-disclosure-programme/)
Fond pro bezpečnost IoT:
Zveřejňování zranitelnosti – pokyny pro nejlepší postupy nezavedeno
(dostupné na
https://www.iotsecurityfoundation.org/wp-content/uploads/2017/12/VulnerabilityDisclosure_WG4_2017.pdf)
OWASP: Internet věcí
(IoT), nejdůležitějších 10:2018 nezavedeno (dostupné na
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#tab=IoT_Top_10.)
IEEE 802.15.4TM-2015 nezavedena
(dostupná na
https://standards.ieee.org/content/ieee-standards/en/standard/802_15_4-2015.html.)
ETSI TS 102 221 nezavedena
GSMA: Technická specifikace SGP.22 v2.2.1 nezavedena
ISO/IEC 27005:2018 zavedena v ČSN ISO/IEC 27005:2019 (36 9790) Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací (dostupná na https://www.iso.org/standard/75281.html)
Microsoft®
Corporation: Model hrozeb STRIDE nezaveden (dostupný na
https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx.)
ETSI TR 121 905 nezavedena
POZNÁMKA Pokud jsou v originálu normy citovány nezaváděné dokumenty ETR, TBR, ES, EG, TS, TR a GSM, jsou dostupné v zákaznickém centru ČAS.
Citované předpisy
Nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (95/46/EC) (obecné nařízení o ochraně osobních údajů).
Vysvětlivky k textu této normy
V případě nedatovaných odkazů na evropské/mezinárodní normy jsou ČSN uvedené v článku „Informace o citovaných dokumentech“ nejnovějšími vydáními, platnými v době schválení této normy. Při používání této normy je třeba vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných evropských/mezinárodních norem (včetně všech změn).
Upozornění na národní přílohu
Do této normy byla doplněna národní příloha NA, která obsahuje překlad kapitoly 3 této evropské normy.
Vypracování normy
Zpracovatel: MAREŠKA Praha, IČO 86983555, Ing. Antonín Mareška
Technická normalizační komise: TNK 96 Telekomunikace
Pracovník České agentury pro standardizaci: Ing. Jan Křivka
Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.
Konec náhledu - text dále pokračuje v placené verzi ČSN v anglickém jazyce.