Объединенный исследовательский центр Европейской комиссии (JRC) и Агентство Европейского союза по кибербезопасности (ENISA) выпустили отчет о сопоставлении стандартов требований Закона о киберустойчивости на этой неделе. Отчет JRC-ENISA направлен на согласование существующих результатов стандартизации кибербезопасности и уязвимостей с квалификациями, требуемыми для продуктов с цифровыми элементами в соответствии с Законом о киберустойчивости.
Исследование также соответствует ожиданиям от предложения о регулировании, в котором указано, что между Комиссией и ENISA следует рассмотреть синергию по аспектам стандартизации. В нем определяются ключевые стандарты кибербезопасности для каждого требования CRA, оценивается их соответствие предполагаемому объему и выявляются потенциальные пробелы для улучшения.
Растущее число кибератак, затрагивающих цифровые продукты, в сочетании с широко распространенными уязвимостями и недостаточным количеством своевременных обновлений системы безопасности создает тяжелое финансовое бремя для общества. В ответ Европейская комиссия разработала Закон о киберустойчивости, новое предложение по регулированию, определяющее законодательную базу основных требований кибербезопасности, которым производители должны соответствовать при размещении любого продукта с цифровыми элементами на внутреннем рынке. Кроме того, для облегчения принятия положений CRA эти требования кибербезопасности необходимо перевести в форму согласованных стандартов, которым могут соответствовать производители.
Предложение CRA применяется к продуктам с цифровыми компонентами, которые продаются на рынке и могут подключаться к устройствам или сетям, охватывая как аппаратные, так и программные компоненты, включая решения “Программное обеспечение как услуга” (SaaS), которые соответствуют критериям удаленной обработки данных. В предложении CRA изложены два ключевых набора требований: требования к кибербезопасности продукта и требования к процессу обработки уязвимостей. Ожидается, что эти требования пройдут процесс стандартизации Европейскими организациями по стандартизации (ESO), чтобы оформить их в качестве спецификаций в рамках гармонизированных стандартов.
В отчете JRC-ENISA также подробно описаны доступные результаты стандартизации в области кибербезопасности аппаратных и программных продуктов, включая аппаратные и программные компоненты сложных продуктов, выполняемые в основном ESO и международными организациями по разработке стандартов (SDO).
В частности, целью исследования является представление сопоставления существующих стандартов кибербезопасности с основными требованиями предложения CRA, а также анализ пробелов между сопоставленными стандартами и требованиями. Учитывая разработку согласованных стандартов, этот анализ предлагает возможный обзор текущего охвата требований существующими спецификациями, подчеркивая возможные недостатки, которые могут быть компенсированы дальнейшей работой по стандартизации.
Основные требования CRA к кибербезопасности изложены в формате списка, при этом каждое требование представлено в виде общего текста. Чтобы облегчить идентификацию и оценку стандартов, которые могут соответствовать требованиям CRA, был проведен анализ для выделения ключевых концепций. Для каждого существенного требования был определен набор типовых подзаконных актов и ключевых слов. Эти элементы служат руководством для определения стандартов, имеющих отношение к CRA, но не направлены на предоставление исчерпывающего списка дополнительных требований, поскольку разбивка требований может варьироваться в зависимости от специфики продукта и приложений.
Важно отметить, что если стандарт был найден как в международной, так и в европейской форме, в отчете была сделана ссылка на европейский стандарт. В дополнение к сопоставлению требований со стандартами, учитывая, что требования безопасности могут применяться на различных этапах жизненного цикла продукта, исследование было дополнено информацией, указывающей на потенциальную актуальность требований к конкретным этапам жизненного цикла продукта. Эта информация может помочь производителям ориентироваться в требованиях и стандартах на основе текущей стадии разработки продукта.
В отчете JRC-ENISA было установлено, что ключевые компоненты этого требования учтены в основных стандартах кибербезопасности. По этим трем выбранным стандартам выявленные пробелы можно резюмировать следующим образом:
- Аспекту проектирования оборудования уделяется меньше внимания по сравнению с разработкой программного обеспечения.
- Процесс анализа рисков, адаптированный к проектированию системы, описан только в контексте систем промышленной автоматизации и управления (IACS), тогда как более широкий стандарт ISO 27005 не фокусируется конкретно на проектировании системы или продукта.
В документе указано, что существующие стандарты охватывают по крайней мере частично все требования CRA. Это обеспечивает прочную основу для развития с учетом выявленных пробелов. “Тем не менее, мы не нашли единого стандарта, который мог бы сам по себе удовлетворять всем требованиям, перечисленным в двух списках, представленных в Приложении I к CRA; —В целом, “горизонтальные” стандарты, то есть не ориентированные на конкретный вариант использования или сектор рынка, оказались наиболее подходящими для охвата целей различных требований”.
В нем добавлено, что единственным исключением из этого являются некоторые стандарты семейства EN IEC 62443 (относящиеся к промышленным системам управления) и Интернету вещей (IoT), хотя, по мнению JRC-ENISA, стандарты, ориентированные на область Интернета вещей, можно рассматривать в основном как горизонтальные стандарты, поскольку в настоящее время большинство цифровых устройств могут быть подключены к сценарию Интернета вещей.
Хотя некоторые из выбранных стандартов напрямую не связаны с проектированием / разработкой продукта (например, EN ISO / IEC 27002, касающийся рекомендуемых средств контроля для инициирования, внедрения или обслуживания систем управления информационной безопасностью), они, тем не менее, могут иметь отношение к CRA, поскольку их внедрение организацией отразится также на продуктах, производимых этой организацией.
Когда дело доходит до требований безопасности, связанных с продукцией, из первого списка Приложения I CRA, “стандарт ETSI EN 303 645 был указан нами как один из наиболее актуальных, и по этой причине мы предприняли конкретную попытку сопоставить его со всеми требованиями, в результате чего стандарт каким-то образом охватывает все, даже если и с некоторыми пробелами. Следует также отметить, что стандарт специально посвящен системам Интернета вещей, поэтому, даже если многие цифровые продукты в настоящее время обладают различными функциями, аналогичными функциям среды интернета вещей, автоматическую применимость этого стандарта ко всем категориям продуктов нельзя считать само собой разумеющимся ”, – добавлено в нем.
“Другим актуальным стандартом с точки зрения охвата требований является EN ISO / IEC 27002 (средства контроля информационной безопасности), охватывающий 6 из 13 требований. Также семейство EN IEC 62443 предлагает довольно хороший охват, но оно специально предназначено для промышленных систем управления ”, – подробно описано в отчете JRC-ENISA.
Что касается требований к обработке уязвимостей, то второй список приложения, EN ISO / IEC 30111 (процесс обработки уязвимостей), является наиболее актуальным и охватывает 5 из 8 требований, а также EN ISO / IEC 29147 (раскрытие уязвимостей), охватывающий 4 из тех же требований. Все эти стандарты являются “горизонтальными” с точки зрения их применения.
В некоторых случаях, таких как требование 3 (b) (обеспечение защиты от несанкционированного доступа с помощью соответствующих механизмов контроля, включая, но не ограничиваясь ими, системы аутентификации, идентификации или управления доступом), выбранные стандарты являются довольно общими, тогда как существует несколько других стандартов, более подробно описывающих конкретные варианты использования. Выбор более общих стандартов обеспечивает большую гибкость и более широкий охват текущих и будущих вариантов использования. С другой стороны, конкретные и отраслевые стандарты могли бы более точно соответствовать специфическим ограничениям и требованиям конкретных ниш.
Когда дело доходит до минимизации негативного воздействия на доступность услуг, предоставляемых другими устройствами или сетями, это решается стандартами, относящимися к предметной области Интернета вещей, и возникает вопрос о более широкой применимости этих стандартов. В контексте сильно взаимосвязанного характера устройств в области Интернета вещей эти стандарты имеют очевидную актуальность.
Однако для других областей конкретная применимость стандартов кибербезопасности, ориентированных на IoT, может потребовать дальнейшей оценки. Хотя в настоящее время взаимосвязанность также является характеристикой нескольких областей, конкретные требования, нормативные акты и риски могут различаться, что требует индивидуального подхода или дополнительных мер для обеспечения надлежащего удовлетворения потребностей в кибербезопасности.
Первые два стандарта (ISO /IEC 18045: 2022 и ITU-T X.1214) содержат пошаговую методологию оценки уязвимости; в совокупности они охватывают этапы жизненного цикла продукта до и после поставки. Они охватывают известные и неизвестные уязвимости (нулевого дня) с помощью нескольких различных взаимодополняющих методов. Стандарт IEC 62443-4-1 предписывает несколько тестов безопасности продукта, хотя и ссылается только на IACS, а стандарт ETSI EN 303 645 предъявляет требования к производителям Интернета вещей, не ссылаясь явно на первоначальную поставку и без дополнительных деталей внедрения.
За исключением стандарта IEC 62443-4-1, который касается IACS, выявленный ключевой пробел заключается в том, что существующие стандарты в первую очередь ориентированы на обнаружение уязвимостей, а не на последующее исправление выявленных уязвимостей. Это ограничение приводит к неполному охвату общих требований.
Например, ISO / IEC 18045, используемый в Общей методологии оценки (CEM) наряду с общими критериями серии ISO / IEC 15408, описывает методологию оценки уязвимости на этапе валидации с помощью единой методики. ITU-T X.1214 охватывает множество методов на этапах валидации и обслуживания, но не имеет конкретной методологии, концентрируясь на элементах сети ИКТ. ETSI EN 303 645 подчеркивает исключительно важность предоставления продуктов, свободных от уязвимостей.
В документе JRC-ENISA определены различные аспекты, связанные со случайным паролем и генерацией ключей в целом, которые охватываются ISO / IEC 18031: 2011 в том, что касается конкретных концептуальных моделей. Вопросы, связанные с конфигурацией продукта / управлением учетными данными (ISO / IEC 27002: 2022 и ETSI EN 303 645), рассмотрены на высоком уровне со ссылками на публикации NIST. Подробные аспекты внедрения, основанные, например, на конкретном использовании нестираемых запоминающих устройств для управления конфигурацией, похоже, не охвачены.
В отчете рассматриваются основные концепции и принципы, лежащие в основе конфиденциальности данных, как в процессе хранения, так и при передаче. Они также охватывают алгоритмы симметричного и асимметричного шифрования, а также гомоморфные и основанные на идентификации шифры. В нем также описываются конкретные механизмы обеспечения целостности на основе цифровых подписей и MAC-адресов. В нем также рассматриваются требования к конфиденциальности, особенно в стандарте ISO / IEC 27701, который предлагает сопоставление различных стандартов и законодательства, включая GDPR.
“Общие аспекты доступности охватываются ISO / IEC 22237-1: 2021 в том, что касается проектирования объектов и инфраструктур центров обработки данных, которые могут быть применимы к некоторым цифровым продуктам и услугам, но не охватывают весь ландшафт”, – говорится в отчете JRC-ENISA. “ISO / IEC 27002: 2022 и ETSI EN 303 645 имеют более широкую сферу применения, даже если они находятся на высоком уровне, и в последнем случае основное внимание уделяется потребительским устройствам Интернета вещей. ITU-T X.805 (10/2003) описывает требования к сквозной сетевой безопасности. EN IEC 62443-4-2 описывает требования к IACS. Возможным пробелом может быть более подробное руководство по внедрению принципов доступности для стандартных пользовательских продуктов ”, – добавлено в нем.
В отчете также подчеркивается, что аппаратная конструкция продукта должна быть спроектирована, доработана и произведена таким образом, чтобы ограничить возможности для атак, включая внешние интерфейсы. “Это требование хорошо освещено с теоретической точки зрения в проанализированных документах, которые хорошо описывают принципы проектирования систем безопасности, которые позволили бы минимизировать поверхность атаки продукта с цифровыми элементами. Тем не менее, мы обнаружили отсутствие конкретных требований и практических средств контроля, внедрение которых действительно обеспечило бы минимизацию поверхности атаки. Стандарт EN IEC 62443-4-2: 2019 является частичным исключением из этого правила, поскольку он включает конкретные требования, хотя и ограничивается системами промышленной автоматизации и управления ”, – добавлено в нем.
В прошлом месяце ENISA опубликовала краткое изложение второй итерации проекта этого года “Прогнозирование угроз кибербезопасности на 2030 год”, в котором представлен обзор ключевых выводов из топ-10 рейтинга. В исследовании проводится переоценка ранее выявленных десяти основных угроз и соответствующих тенденций с учетом изменений, произошедших за год.