Wprowadzenie do ISO/IEC TR 6114
Od czasu do czasu pojawiają się w publikacji ISO. Org, normy, które wypełniają pewną lukę w łączeniu standardów, lub rozwinięcie tematów ujętych w normach. Mimo, że pokazują ciekawe tematy, to ich żywot po wydawniczy jest dość krótki, a przecież poruszają tematy które spotykamy w systemach bezpieczeństwa informacji opartych o ISO/IEC 27001 (w skrócie ISO 27001). Właśnie jedna z takich norm ujrzała światło dzienne. Norma w formule „Raportu Technicznego” zwykle przechodzi bez żadnego echa także i w tematyce #Cybersecurity, ale warto podzielić się informacją, że w październiku Komitet techniczny ISO/IEC JTC 1/SC 27 wydał dokument „ISO/IEC TR 6114:2023 Cybersecurity – Security considerations throughout the product life cycle”.
Jak napisano w jego zakresie opracowania ”…Dokument ten opisuje kwestie bezpieczeństwa w całym cyklu życia produktu (SCLC), co stanowi ramy obejmujące cały cykl życia produktu technologii informacyjno-komunikacyjnych (ICT). Celem ram jest dostosowanie branży i zapewnienie klientom większej przejrzystości na każdym etapie cyklu życia produktu ICT.
ISO/IEC/TR 6114 opisuje następujące elementy dla dostawców, użytkowników końcowych (konsumentów), pośredników w łańcuchu dostaw ICT, dostawców usług i organów regulacyjnych:
- definicja faz w cyklu życia produktu ICT od koncepcji do wycofania;
- wektory zagrożeń możliwe w każdej fazie cyklu życia;
- potencjalne kontrole przeciwko tym wektorom zagrożeń.
Docelowymi odbiorcami tego dokumentu są dostawcy i konsumenci produktów ICT, w tym wszyscy uczestnicy łańcucha dostaw, tacy jak projektanci chipów krzemowych, producenci, firmy zajmujące się montażem produktów, dostawcy usług logistycznych i organizacje zajmujące się bezpieczeństwem informacji. Klauzule od 5 do 11 są skierowane do zespołów strategicznych organizacji i zespołów zarządzania ryzykiem. Dokument ten zapewnia kompleksowe spojrzenie na zagrożenia w każdej fazie, aby pomóc organizacji w kształtowaniu planów, procedur i polityk…”.
Trochę o SCLC
Rozwinięcie procesów globalizacji w dziedzinie projektowania, rozwoju, produkcji oraz dystrybucji technologicznej spowodowało powstanie złożonych sieci łańcuchów dostaw, charakteryzujących się ograniczoną klarownością operacyjną. Ta sytuacja wywołuje znaczne trudności w sektorze i akcentuje nieustające zapotrzebowanie na zapewnienie spójności produktu na każdym etapie jego życia w ramach technologii informacyjno-komunikacyjnych (ICT).
Apel o gwarancję bezpieczeństwa na każdym ogniwie łańcucha dostaw przekształcił się stopniowo przez lata. W ostatnim czasie, decydenci na arenie międzynarodowej zaczęli przyglądać się ryzyku związanemu z łańcuchami dostaw z odświeżoną perspektywą: od polityk uwzględniających niebezpieczeństwa w ramach rządowych zamówień po rozmaite inicjatywy podkreślające aspekty takie jak zaufanie i transparentność w łańcuchach dostaw ICT.
Dostawcy technologii również podjęli działania. W ostatnich latach, firmy z branży ICT zainicjowały szereg działań mających na celu zwiększenie przejrzystości swoich łańcuchów dostaw. Te działania obejmują pozyskiwanie minerałów nieskażonych konfliktem, stosowanie audytów wewnętrznych oraz implementację zestawu zasad, procedur i narzędzi w fabrykach, mających na celu umocnienie bezpieczeństwa na każdym etapie łańcucha dostaw, poprzez monitorowanie pochodzenia i procesu produkcji każdego składnika produktu ICT.
Te inicjatywy stanowią istotny punkt wyjścia, ale skupiają się głównie na fazie produkcyjnej, która jest tylko jednym z elementów cyklu życia produktu ICT. W obecnym skomplikowanym środowisku oczekuje się, że dostawcy sprzętu ICT zapewnią kompleksowy zestaw narzędzi i rozwiązań, które będą zabezpieczać produkt na każdym etapie jego życia, począwszy od projektowania i zaopatrzenia, aż po jego bezpieczne wycofanie.
Kwestie bezpieczeństwa w całym cyklu życia produktu ICT (SCLC) tworzą kompleksowy system ramowy, który można zastosować do wieloletniego cyklu życia produktów ICT, aby zrozumieć i przeciwdziałać potencjalnym zagrożeniom, zwiększając przejrzystość i zapewniając wyższy poziom gwarancji bezpieczeństwa. Poprzez zapewnienie przejrzystości i gwarancji w całym cyklu życia produktu ICT, właściciele łańcucha dostaw mogą polepszyć integralność, odporność i bezpieczeństwo swojej platformy. Fazy tego cyklu mają charakter iteracyjny i rekurencyjny, co pozwala na ciągłe doskonalenie i adaptację do zmieniających się warunków i wyzwań.
Przykładowo o zagrożeniach w jednej z faz
Przykładowo w fazie 5 ujętej w normie ISO/IEC/TR 6114 – „Wykorzystanie i wsparcie”, predefiniowano takie zagrożenia jak: Nieznane pochodzenie, Sfałszowany system, Niewykryte manipulacje, Sabotowanie magazynu danych kompilacji, Nieaktualne urządzenie/produkt (oprogramowanie sprzętowe, system operacyjny, aplikacja, sterowniki), Nieautoryzowane zmiany (firmware’a, systemu operacyjnego, oprogramowania), Nieautoryzowana wymiana komponentów, Wprowadzenie lub zastąpienie złośliwym komponentem, Sabotaż magazynu danych produktu. I tak dla każdej z faz opracowano taką listę zagrożeń.
Można oczywiście zastanowić się czy nie zdefiniować więcej zagrożeń biorąc pod uwagę swój kontekst, ale dobry start jest warty uwagi tej normy.
Zapraszamy do współpracy.
Zespół Centre of Excellence &QSCert
Bibliografia:
- ISO/IEC TR 6114:2023 Cybersecurity – Security considerations throughout the product life cycle, https://www.iso.org/standard/82056.html