BS ISO/IEC 27402:2023 Информационная безопасность. Безопасность и конфиденциальность Интернета вещей. Базовые требования к устройству

Стандартный №: BS ISO/IEC 27402:2023
Дата публикации: 2024
Разместил: British Standards Institution (BSI)
Последняя версия: BS ISO/IEC 27402:2023

сфера применения

Основы стандарта и развитие технологий

Стандарт BS ISO/IEC 27402:2023, разработанный Техническим комитетом IST/33/4, является национальной реализацией стандарта ISO/IEC 27402:2023 в Великобритании. Этот стандарт устанавливает глобально гармонизированную базовую систему требований для решения проблем безопасности, вызванных стремительным ростом числа устройств Интернета вещей. Наряду с появлением вертикальных стандартов, таких как ETSI EN 303 645, этот стандарт устанавливает основополагающие спецификации безопасности для межотраслевых приложений.

Анализ основных требований

Домен управления	Обязательные требования	Рекомендуемые практики
Управление рисками	Оценка риска должна быть выполнена и задокументирована на уровне устройства (5.1.1.1)	Рекомендуется методология ISO 31000 (5.1.1.2)
Защита данных	Для защиты хранимых и передаваемых данных должна использоваться криптографическая технология (5.2.5.1.4)	Реализация Root of Trust (RoT) на аппаратном уровне (5.2.5.3)
Обновление прошивки	Процесс обновления требует проверки целостности и подлинности (5.2.7.1.1)	Параметры конфигурации механизма автоматического обновления (5.2.7.2)

Реализация ключевых технологий

Схема аутентификации идентификатора устройства

Стандарт 5.2.6.1.4 требует замены ключа по умолчанию. Рекомендуется использовать:

Идентификацию устройства на уровне оборудования на основе TPM
Внедрение уникального сертификата во время производства (в соответствии с ISO/IEC 19790)
Механизм динамической аутентификации токенов

Архитектуру безопасного обновления

Для требований пункта 5.2.7 типичные планы внедрения включают:

Двухбанковая конструкция флэш-памяти обеспечивает откат сбоя обновления
Проверку пакетов прошивки с помощью подписей ECDSA
Внедрение централизованного управления обновлениями через шлюз IoT

Рекомендации по внедрению соответствия

Поэтапный путь внедрения:

Фазы	Ключевые задачи	Критерии приемки
1. Период подготовки	Разработка процесса оценки рисков, соответствующего 5.1.1	Формирование документа Заявление о применимости (SoA)
2. Период разработки	Реализация требований 5.2.5 по защите данных	Прохождение сертификации FIPS 140-2 уровня 3
3. Период эксплуатации и обслуживания	Установить процесс раскрытия информации об уязвимостях (5.1.3)	Соответствовать ISO/IEC 29147

Примечание: Настоящий стандарт не заменяет требования Приложения 1 к правилам PSTI Великобритании (см. национальное предисловие) и также должен соответствовать правилам маркировки UKCA.

BS ISO/IEC 27402:2023 История

2024 BS ISO/IEC 27402:2023 Информационная безопасность. Безопасность и конфиденциальность Интернета вещей. Базовые требования к устройству

Информационная безопасность. Безопасность и конфиденциальность Интернета вещей. Базовые требования к устройству

BS ISO/IEC 27402:2023Информационная безопасность. Безопасность и конфиденциальность Интернета вещей. Базовые требования к устройству