Xenomorph » Статьи » Того ли мы опасаемся?
22 августа 2015; 18:53

Того ли мы опасаемся?

Категория: Статьи

Удивительное дело. Большинство специалистов сходится во мнении, что до ИИ еще относительно далеко, что есть ряд важных нерешенных вопросов для его появления. Однако все активно готовы обсуждать, решать и даже писать петиции и обращения о том, что ИИ потенциально опасен и человечеству стоит сильно задуматься о своей безопасности, прежде чем решиться его «включить».

Такая обеспокоенность не может не радовать — это здорово, что о безопасности мы начинаем задумываться до того, как станет уже поздно. Однако, мы забываем про другой тренд, набирающий обороты — IoT и, в частности, робототехника, уже среди нас. Эти технологии пока не массовые, как смартфоны, но уже реальные, существующие, эксплуатируемые.

Однако, что мы имеем на выходе — вопрос обеспечения безопасности в роботах, умных выключателях, видеокамерах и прочих новинках, проникающих в нашу жизнь, лежит исключительно на совести производителя. Нет ни регламентов, ни стандартов, ни минимальных требований защищенности таких устройств, постоянно «смотрящих» в интернет.

Хорошо, если пользователь знаком с информационной безопасностью, понимает, что нужно обновлять прошивки роутера, не использовать дефолтные пароли, использовать где это необходимо и возможно средства защиты от уязвимостей и вирусов.

Но представьте себе соседа, который слабо себе представляет, какие угрозы может нести умный тройник, подключенный к его смартфону через роутер, которому настроили этот роутер год назад и он его не касался и в общем то не планирует — ведь работает, зачем что-то менять. Какие последствия может внести в вашу жизнь такое вот незащищенное устройство такого беспечного соседа, оказавшись в зоне внимания злоумышленника.

Абсолютной безопасности не существует, но по моему мнению, чем сложнее что-то сломать, тем обычно меньше находится желающих это сделать. Поэтому стремиться к этому нужно. В настоящее время я начал заниматься сбором best practices в части обеспечения безопасности подобного рода устройств.

Все текущие, известные мне стандарты ИБ можно разделить на общие стандарты, учитывающие специфику промышленных систем, в частности наличие в сети таких элементов, как промышленная система управления и разного рода датчики, и отраслевые стандарты, учитывающие особенности конкретной отрасли.

Все стандарты базируются на стандартах ISO/IEC серии 27000 (либо ISO/IEC 1799, если появились ранее 2007 г.) и используют базовые определения стандарта ISO/IEC 15408. Многие отраслевые стандарты основаны на общих стандартах ISA SP99 и NIST SP800-82. Особое внимание необходимо обратить на стандарт ISA/IEC 62443, который разрабатывается в целях создания стандарта нового поколения на базе ISA99. Однако все эти документы никак не учитывали особенностей IoT и IoR, а особенностей масса.

Поэтому буду рад, если в будущем появятся желающие принять участие в этой работе. Возможно в будущем инициативная группа примет участие в разработке стандарта безопасности в IoT и IoR, так как сейчас есть понимание как это должно происходить и уже есть люди с опытом, правда в части работы над стандартом по обеспечению безопасности автоматизированных банковских систем.

Регулятор, отвечающий за направление, конечно другой, но принципы примерно понятны. В общем, надеюсь, что озвученные выше доводы в меньшей степени паранойа и в большей — здравый смысл и прогнозирование и надеюсь, что подобные мысли и желание что-то изменить к лучшему посещает не только меня.


ISO/IEC 27000 — серия международных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC).

Серия содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности. © ru.wikipedia.org


ISO/IEC 15408 — Общие критерии оценки защищённости информационных технологий — (англ. Common Criteria for Information Technology Security Evaluation). Общеизвестным является более короткое название Общие критерии (Common Criteria, CC, или ОК). Международный стандарт (ISO/IEC 15408, последняя российская версия — 15408-3-2008) по компьютерной безопасности.

В отличие от стандарта FIPS 140 , Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям.
Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.

Прообразом данного документа послужили «Критерии оценки безопасности информационных технологий» (англ. Evaluation Criteria for IT Security, ECITS), работа над которыми началась в 1990 году (см. историю разработки далее). © ru.wikipedia.org


ISA SP99

#1 — ISA99: Developing the Vital ISA/IEC 62443 Series of Standards on Industrial Automation and Control Systems (IACS) Security © isa99.isa.org

#2 — SP-99 was a protocol droid working for the Sith Empire during the Great Galactic War.
© starwars.wikia.com


NIST SP 800 — библиотека по информационной безопасности — National Institute of Standards and Technology – американский национальный институт стандартизации, аналог отечественного ГосСтандарта.

В его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. Центр публикует с начала 1990-х годов Стандарты (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. Рекомендациям (Special Publications), созданным CSRC, присваивается код 800.

В CSRC созданы три рабочие группы, распределяющие всю деятельность центра по крупным направлениям:
• управление информационной безопасностью;
• технические вопросы обеспечения информационной безопасности;
• криптографическая защита информации.
© habrahabr.ru


ISA/IEC 62443 Standards © www.tofinosecurity.com (ENG)


IoT - (англ. Internet of Things) - Интернет вещей — концепция вычислительной сети физических объектов («вещей»), оснащённых встроенными технологиями для взаимодействия друг с другом или с внешней средой, рассматривающая организацию таких сетей как явление, способное перестроить экономические и общественные процессы, исключающее из части действий и операций необходимость участия человека.

Концепция сформулирована в 1999 году как осмысление перспектив широкого применения средств радиочастотной идентификации для взаимодействия физических объектов между собой и с внешним окружением.

Наполнение концепции «интернета вещей» многообразным технологическим содержанием и внедрение практических решений для её реализации начиная с 2010-х годов считается восходящим трендом в информационных технологиях, прежде всего, благодаря повсеместному распространению беспроводных сетей, появлению облачных вычислений, развитию технологий межмашинного взаимодействия, началу активного перехода на IPv6 и освоению программно-конфигурируемых сетей. © ru.wikipedia.org


IOR — (англ. Interoperable Object Reference — ссылка на интероперабельный объект) — в распределенном программном обеспечении ссылка на объект технологий CORBA или RMI-IIOP .

Представляет собой строковую структуру, в которой содержится различного рода информация. Чаще всего это IP-адрес и порты интерфейса, на котором прослушивается сервер, название и идентификатор класса и, возможно, методов объекта, которые в данный момент будут обработаны. Передача IOR происходит после установления связи между двумя частями распределенного приложения для инициализации передачи исполняемого кода и данных объекта. © ru.wikipedia.org


Теги: будущее, стандарты

© geektimes.ru

<
ion_nsk_region

22 августа 2015 23:34

Информация к комментарию
  • Группа: Посетители
  • Регистрация: 2 сентября 2012, 11:05
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 356
Хорошие раньше ноуты делали с физическим выключателем WiFi.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.