Contenu connexe
Similaire à 物聯網設備資安導入與認證實務分享 (20)
物聯網設備資安導入與認證實務分享
- 1. Leading Brand in Cybersecurity Compliance Solutions
www.onwardsecurity.com
物聯網設備資安導入
與認證實務分享
Onward Security
- 2. 1© 2020 Onward Security Corp. All rights reserved.
注意事項01
常見問題02
以設備/場域為例03
結論與建議04
Q&A05
CONTENTS
- 3. © 2020 Onward Security Corp. All rights reserved. 2
物聯網資安導入與認證注意事項
01.
- 4. © 2020 Onward Security Corp. All rights reserved. 3
5個注意事項
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
- 5. © 2020 Onward Security Corp. All rights reserved. 4
N1.瞭解物聯網資安標準的分類
• 法規規範
• 美國:FIPS-140-3, …
• 英國:CPA, …
• 品牌要求
• Amazon、Apple、Google, …
• AT&T, Nokia, Siemens, …
• 產業需求
• 資通訊產品:ISO/IEC 15408, …
• 物聯網設備:CTIA, …
• 工控產業:IEC 62443, …
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
越來越多的
第三方非營
利組織釋出
標準或認證/
標章計畫
- 6. © 2020 Onward Security Corp. All rights reserved. 5
N2.什麼樣的標準適合你
• 客戶是否有指定?
• 法規要求:政府
• 買家:企業、消費者
• 老闆:部門主管、高階主管
• 你的產品是賣到何處?賣給誰?
• 國家、區域、產業
• 政府、品牌、標案
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
只要客戶
願意接受
- 7. © 2020 Onward Security Corp. All rights reserved. 6
N3.需要投入或準備什麼
• 確認導入或要求的範圍?
• 管理流程、設計開發流程、產品本身
• 確認主責單位?
• 預估時程、經費
• 跨部門合作
• 是否需要顧問公司的協助?
• 尋找被認可的組織/實驗室
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
專責專人與
外部資源的
結合
- 8. © 2020 Onward Security Corp. All rights reserved. 7
N4.導入或認驗證配合事項
• 負責的人或窗口
• 跨部門溝通與運作的方式
• 導入與認證範圍相關資訊
• 部門、場域、系統、產品、設備
• 軟體技術團隊的參與
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
抓好並預留
多一點的
改善時程
- 9. © 2020 Onward Security Corp. All rights reserved. 8
N5.取得標章/證書可以做什麼
• 符合客戶期待
• 品質提升的證明
• 業務、行銷推廣的重點
瞭解物聯網資安標準的分類N1
什麼樣的標準適合你N2
需要投入或準備什麼N3
導入或認驗證配合事項N4
取得標章/證書可以做什麼N5
還有
什麼好處?
- 10. © 2020 Onward Security Corp. All rights reserved. 9
物聯網資安導入與認證常見問題
02.
- 11. © 2020 Onward Security Corp. All rights reserved. 10
5個常見問題 / 5個建議
Q1
Q2
Q3
S1
S2
S3
為什麼要導入?有什麼幫助? 管理會議取得共識、教育訓練
Q4
Q5
如何加速並提高成功機會? 高階代表、專責專人、合作機制
跨部門合作問題? 部門主管、自動化系統或產品協助
S4
S5
線上/線下課程、外部顧問、產品
選擇優良的合作廠商
缺少資安專業人力?
保證一定拿到證?
- 12. © 2020 Onward Security Corp. All rights reserved. 11
以設備/場域為例
03.1.
- 13. © 2020 Onward Security Corp. All rights reserved. 12
以設備為例
家用安全物
聯網設備
具備無線網
路功能
想進入美國
市場
客戶不知道
要做什麼
時間與預算
有限
要有認證或
標章
- 14. © 2020 Onward Security Corp. All rights reserved. 13
Three Levels of Certification
Level 1
Core Security
Level 2
Enhanced Security
Level 3
Advanced Security
GPS Dog
Collars
Washing Machines
GPS Trackers
Smart Home Security Systems
Mobile Payment
Devices
Connected
Streetlights
Traffic
Controllers
Blood Glucose
Meters
Gas Meters
*Referee from CTIA Certification
- 15. © 2020 Onward Security Corp. All rights reserved. 14
Submit Paperwork
Least 3 Samples to CATL
Eliminate Inconsistencies or Resend
Samples
Receive the Notification Device Been Certified
Samples are
Consistent with
the Application
No
PASS
Receive the Samples
Receive and Test
Pass / Fail
Upload Test Report
Document and
Payment
Checking
Resubmit the Samples
Fail
All Completed
Incomplete
IoT OEM CTIA
Submission Process
- 16. © 2020 Onward Security Corp. All rights reserved. 15
以場域(開發流程)為例
03.2.
- 17. © 2020 Onward Security Corp. All rights reserved. 16
以開發流程為例
自行開發的
工控產品
具備連網功
能
銷往歐美
具備一定出
貨量
時間與預算
有限
要有認證或
標章
- 18. © 2020 Onward Security Corp. All rights reserved. 17
IEC 62443 系列標準
IEC 62443-1-1
術語/概念/模型
IEC 62443-1-2
術語和縮寫
詞彙表
IEC 62443-1-3
系統安全
合規性指標
IEC 62443-1-4
IACS 安全生命
週期及使用範例
IEC 62443-2-1
IACS 資產擁有
者安全計畫要求
IEC 62443-2-2
IACS 保護分級
IEC 62443-2-3
IACS環境
補丁/漏洞管理
IEC 62443-2-4
IACS 服務提應商
安全計畫要求
IEC 62443-2-5
IACS 資產擁有者
系統安全管理
實作指南
IEC 62443-3-1
IACS 安全技術
IEC 62443-3-2
安全風險評估
與系統設計
IEC 62443-3-3
系統安全要求
與分級
IEC 62443-4-1
安全產品開發生
命週期要求
IEC 62443-4-2
IACS 元件
技術安全要求
- 19. © 2020 Onward Security Corp. All rights reserved. 18
Maturity Level Category
ML 1 Initial
ML 2 Managed
ML 3
Defined
(Practiced)
ML 4 Improved
參與角色&成熟度等級
角色 分工
CIIP/ IIOT Owner 決定設備商所需成熟等級(ML)
SI 決定開發商所需成熟等級(ML)
Vendor 符合要求等級
- 20. © 2020 Onward Security Corp. All rights reserved. 19
安全開發生命週期
Pre-SDL
訓練
Phase 1
要求
Phase 2
設計
Phase 3
實作
Phase 4
驗證
Phase 5
發布
Post-SDL
要求回應
安全策略的交付或訓練
Security Policy Delivery or
Training
安全標準與行業要求
Security Standard &
Industrial
Requirement
風險與影響評估
Risk and Impact Analysis
安全實作
Security Implementation
安全測試與分析
Security Testing and
Analysis
安全維護
Security Maintenance
安全事件回應
Incident
Response
Source: http://hwang.cisdept.cpp.edu/swanew/SDLC.aspx?m=SDLC-Microsoft-SDL
Security Management (SM)
- 21. © 2020 Onward Security Corp. All rights reserved. 20
IEC 62443 Certification Process
Manufacturer Consulting Company CBTL/NCB
Determine the scope
and certification level
Perform consulting and
testing service
Submit the application
Perform assessment of
certification
Certification acquired
- 22. © 2020 Onward Security Corp. All rights reserved. 21
結論與建議
04.
- 23. © 2020 Onward Security Corp. All rights reserved. 22
結論與建議
物聯網設備為什麼要做資安導入與認證?
滿足客戶要求
Sales
強化產品
競爭力
Sales/PM/RD
塑造公司形象
Marketing
提高公司收益
把資安成本轉化
為資安效益
- 24. © 2020 Onward Security Corp. All rights reserved. 23
如果你還對資安導入與認證還有疑慮
- 25. © 2020 Onward Security Corp. All rights reserved. 24
如果你還對資安導入與認證還有疑慮
Notes de l'éditeur
- 外框 藍 STD但沒證照
外框 橙 TR
外框 紅 STD且有證照
字 黑 已發行或可以買到
字 綠 正在開發或改版中
1. 一般(General):
所有與標準理念及其基礎概念、條款和方法有關的所有資料文件
2. 政策與步驟(Policies& Procedures):
概述了工業自動化和控制系統訊息技術安全管理體系及必要要求
3. 系統(System):
提出了技術規範,作為工業自動化和控制系統(IACS)的設計指導,其中 IACS 是一種由數據採集與監控系統(SCADA)應用、程序邏輯控制系統(PLCs)、現場總線、致動器和傳感器等不同元件組成的一種訊息技術系統。
4. 元件(Component):
控制系統元件的設計與開發要求。
- Security Management(安全管理)
Specification of Security Requirements(安全要求規範)
Secure by Design(安全設計)
Security Implementation(安全實作)
Security Verification and Validation testing(安全確認與驗證測試)
Management of Security-related issues(安全相關議題管理) -DM
Security Update Management (安全更新管理) –SUM
Security Guidelines (安全指南)