Cybersecurity 資安
歐洲網絡安全
.png)
ETSI EN 303 645
物聯網產品安全/隱私保護標準
在智能設備的使用率及普及率都不斷上升的情況下,有越來越多的消費性物聯網產品已經與互聯網或家庭網路相連接,為了實施網路資訊安全的管理與審查,歐洲電信標準化協會(ETSI)網路安全技術委員會於2020年6月發布了物聯網(IoT)產品的網路安全/隱私保護標準ETSI EN 303 645,標準主要針對產品的網路安全規定和數據隱私保護條款。且重點關注技術控制措施及組織措施,以對抗網路安全缺陷,解決針對網路安全弱點、漏洞等初級網路攻擊,並達到合乎標準的網路安全基礎等級。
ETSI EN 303 645是什麼?
是歐洲電信標準化協會(ETSI)網路安全技術委員會於2020年6月發布了針對消費性物聯網(IoT)產品的網路安全/隱私保護的標準,此標準涵蓋了產品生命周期、軟硬體安全、隱私保護等安全要求,來確保物聯網裝置的安全,以達到保護消費者及使用者的隱私及個人資訊。
歐盟後續的強制性資訊安全規範計畫:
歐盟預計於2024年會全面的執行在最新版本RED指令(2014/53/EU)的附加條款-
強制要求所有在歐盟地區發售之IoT產品皆需要通過符合其指令的資安測試。
ETSI EN 303 645 為物聯網產品的安全和隱私提供了法規和要求,涵蓋不同領域,分為 13 類:
1.通用默認密碼的安全性
2. 漏洞報告的管理和執行
3. 軟件更新
4. 敏感安全參數的存儲
5、通訊安全
6.減少暴露的攻擊面
7. 個人資料保護
8. 軟件完整性
9、系統抗中斷能力
10.檢查系統遙測數據
11、方便用戶刪除用戶數據
12.簡化設備的安裝和維護
13.驗證輸入數據
物聯網安全/個人信息保護合規諮詢
ETSI EN 303 645 標準要求將對製造商產生巨大影響
和世界各地的認可實驗室。
- 新指令的內容是什麼?
- 與之前的規定有什麼不同?
- 哪些產品適用新標準要求?
-如何滿足信息安全要求?
- ETSI EN 303 645/ETSI TS 103 701 和 RED 有什麼關係?
- 製造商和實驗室如何準備和應對新法規?
Glodacert 可以為客戶提供的服務如下:
1.) 教育和培訓:
一對一教育培訓,快速了解物聯網安全信息。
2.) 測試指導:
可以進實驗室進行面授測試方法教學和測試_cc784190-de535 136bad5cf58d_
_cc781905-5cde-3194-bb3b-136實驗室操作說明
3.) 產品測試:
提供物聯網信息安全/個人數據檢測認證服務
_cc781905-5cde-3194-bb3b-136 提供測試和認證保護和認證。
4.) 實驗室建設指導:
引導實驗室建設信息安全檢測服務能量,
_cc781905-5cde-3194-bb3b-136的製造商可以為有需要的製造商提供服務。
5、諮詢服務:
提供信息安全相關技術、資料及問題解答
工控系統資訊安全管理標準
IEC 62443
IEC 62443為業界提供了一套可遵循的系列規範,
讓產業鏈中不同的角色有規則可循。
這一套是轉們用於工業自動化和控制系統(IACS)的工控資安標準。
ISA/IEC 62443 是什麼?
IEC 62443早先由國際自動化學會(International Society for Automation, 簡稱ISA)所創立的,後經審核再透過美國國家標準協會(American National Standards Institute, 簡稱ANSI)文件的型式發布。再到後來62443標準被IEC採納後,該標準同時通過ISA99和IEC(TC65WG10)等委員審核修訂,所以在ISA發行的版本稱為ISA-62443-x-y,IEC發行的版本為IEC 62443-x-y。
IEC 62443 現為國際廣泛採納和認可的工業自動化及控制系統(Industrial Automation and Control System, 簡稱IACS)的網通安全(Cybersecurity)標準,通過IEC驗證後所持認證,可達多邊認可效用。現今各國、各行業制定安全相關標準亦會參考本標準的內容。
所涉及的產業有像是一般工控產業、能源產業、運輸產業、健康產業、數位基礎設施等..
ISA/IEC 62443標準現況:
IEC 62443系列標準,共可分成下列四個部分,分別是:
•Part-1: 一般通論(General)
•Part-2: 政策與程序(Policy and Procedure)
•Part-3: 系統(System)
•Part-4: 組件(Component)
.png)
.png)
新加坡的網絡安全
新加坡 IMDA TS 住宅網關安全要求
新加坡的網絡安全戰略旨在創造一個有彈性和值得信賴的數字環境來促進這一點。
新技術產品不斷湧入市場。 CSA(新加坡網絡安全局)提供並支持使用認證計劃,以向客戶保證產品已被客觀評估為更加網絡安全,並在整個產品生命週期中採用安全設計方法。
這三個計劃,迎合不同的細分市場,是:
1.國家 IT 評估計劃 (NITES),用於評估和認證滿足新加坡政府機構高保證要求的 IT 產品。
2.新加坡共同標準計劃 (SCCS),用於認證面向國際市場的商業 IT 產品。
3.網絡安全標籤計劃(CLS),用於連接網絡的消費智能設備的標籤,使消費者能夠辨別設備中的安全級別並做出更明智的購買決策。
網絡安全級別
CLS 有四個漸進等級,讓消費者能夠辨別產品提供的安全級別,並在購買時灌輸安全意識。
美國的網絡安全
FDA 醫療器械網絡安全
起搏器、胰島素泵和其他醫療設備正變得越來越先進。大多數都包含軟件並連接到互聯網、醫院網絡、您的手機或其他設備以共享信息。因此,確保醫療設備具有網絡安全性非常重要。
[美國食品和藥物管理局] 對醫療設備進行監管,並在瞬息萬變的環境中積極努力降低網絡安全風險。 FDA 與設備製造商、醫院、醫療保健提供者、患者、安全研究人員和其他政府機構共同承擔這一責任,包括美國國土安全部的網絡安全和基礎設施安全局 (CISA) 和美國商務部。
FDA 提供指導以幫助製造商設計和維護網絡安全的產品。 FDA 代表患者敦促製造商監控和評估網絡安全漏洞風險,並主動披露漏洞和解決方案以解決這些問題。
如果發現可能構成風險的軟件、硬件或其他因素的漏洞或弱點,FDA 可能會發布所謂的“安全通信”。這些消息包含有關漏洞的信息以及患者、提供者和製造商可以採取的建議措施。 FDA 已經發布了多個網絡安全通信。 FDA 希望讓這些信息盡可能有用,而不會給患者帶來不必要的擔憂或負擔。
本指導文件適用於包含軟件(包括固件)或可編程邏輯的設備,以及作為醫療設備 (SaMD) 的軟件。
該指南不限於啟用網絡或包含其他連接功能的設備。本指南描述了有關根據以下上市前提交為設備提交的網絡安全信息的建議。
上市前通知 (510(k)) 提交;
• 從頭請求;
• 上市前批准申請 (PMA) 和 PMA 補充;
• 產品開發協議 (PDP);
• 研究設備豁免 (IDE) 提交; and 人道主義設備豁免 (HDE) 提交。
FDA 將根據設備在整個系統架構中提供和實施以下安全目標的能力來評估設備安全性的充分性。
安全目標:
真實性,包括完整性;
• 授權;
• 可用性;
• 保密;安全和及時的可更新性和可修補性。
安全測試文件和任何相關的報告或評估應在 822 上市前提交。 FDA 建議在提交文件中提供以下類型的測試等:
1.安全要求:
a。製造商應提供證據證明每個設計輸入要求均已成功實施。
b。製造商應提供邊界分析的證據和邊界假設的理由。
2. 威脅緩解:
a。製造商應根據系統、用例和呼叫流視圖中提供的威脅模型提供測試的詳細信息和證據,以證明有效的風險控制措施。
b。製造商應確保每項網絡安全風險控制措施的充分性(例如,在執行指定的安全策略時的安全有效性, 最大流量條件下的性能、穩定性和可靠性,視情況而定)。
3.漏洞測試(如ANSI/ISA 62443-4-1的第9.4節):
à 製造商應提供以下與已知漏洞相關的測試的詳細信息和證據:
一個。濫用案例、格式錯誤和意外輸入:
(i) 穩健性/(ii)。模糊測試
灣。攻擊面分析
c.. 漏洞鏈接
d。已知漏洞掃描的閉箱測試
e.二進制可執行文件的軟件組成分析,以及靜態和動態代碼分析,包括測試“硬編碼”、默認、容易猜測和容易洩露的憑證。
4.滲透測試:
測試應通過專注於發現和利用產品中的安全漏洞的測試來識別和描述與安全相關的問題。應提供滲透測試報告並包括以下內容
一個。測試人員的獨立性和技術專長,
灣。測試範圍,
C。測試持續時間
d.採用的測試方法,以及測試結果、發現和觀察結果
.png)
.png)
.png)
GSMA 物聯網安全
GSMA物聯網安全評估
GSMA 物聯網安全指南和物聯網安全評估促進物聯網服務安全設計、開發和部署的最佳實踐,並提供評估安全措施的機制,有助於創建一個安全的物聯網市場,提供可隨市場擴展的可信賴、可靠的服務成長。
GSMA 物聯網安全指南:
- 包括 85 條關於物聯網服務安全設計、開發和部署的詳細建議
-覆蓋網絡以及服務和端點生態系統
- 解決安全挑戰、攻擊模型和風險評估
- 提供幾個工作示例
GSMA 物聯網安全評估:
- 基於結構化方法和簡潔的安全控制
- 覆蓋整個生態系統
-可以適應供應鏈模型
- 提供一個靈活的框架來解決物聯網市場的多樣性