CSGIOT.ORG                                                     CSGIOT.ORG.BR

gallery/lock-525692_960_720
gallery/chipjp
gallery/!!logobase-peq-transp

Padrões IoT - Standards

 

O objetivo do conteúdo exposto nestá página é fornecer algumas indicações, das centenas de referências existentes no mundo, que buscam criar e estabelecer padrões e regulamentação para o desenvolvimento de projetos de IoT seguros.

 

Não objetivamos esgotar as indicações e aceitamos contribuições de novas referências que possam enriquecer nosso website.  Contamos com a colaboração de todos os membros.

 

A ordem de apresentação não objetiva grau de importância ou preferência dos organizadores.

 

 

 

IoT Security Foundation

A segurança da IoT, como qualquer questões de cybersecurity não é absoluta e nunca pode ser garantida. Todos os dias novas vulnerabilidades são  descobertas, o que significa que há necessidade de monitorar, manter e revisar as políticas e as melhores práticas de segurança para IoT, regularmente.

Os usuários dos materiais de orientação da IoT Security Foundation (IoTSF) são incentivados a usar os conselhos, as técnicas e as estruturas mais recentes disponíveis. Para manter e aperfeiçoar os materiais publicados, o IoTSF emite lançamentos de maneira oportuna - consistente com outros órgãos que trabalham em configurações dinâmicas no mundo todo.

Os documentos publicados pela IoTSF estão, portanto, sujeitos a revisão regular e podem ser atualizados ou estar sujeitos a alterações a qualquer momento. O status atual das publicações do IoTSF podem ser encontradas no seu site e os usuários são encorajados a verificar regularmente as novas versões.

O IoTSF divulga sempre os novos lançamentos de maneira apropriada, como press releases, boletins, entre outros meios.

O IoTSF se esforça para fornecer orientação adequada para o propósito. No espírito de melhoria contínua, a IoTSF convida o feedback de usuários,  especialistas e de terceiros para ajudar a melhorar seus conteúdos. 

As organizações que seguem as práticas recomendadas da IoTSF podem baixar e usar a marca do "Best Practice User" em seus materiais de marketing.

 

Neste momento o IoTSF disponibiliza as seguintes publicações:

 

  • Estrutura de conformidade de segurança IoT - dez 2018.
  • IoT Security Compliance Questionnaire
  • Guias de Práticas Recomendadas de Design Seguro
  • BPG de Divulgação de Vulnerabilidade
  • Arquitetura e política de segurança do IoT em casa * para OEMs
  • Arquitetura e política de segurança da IoT na empresa * PARA ARQUITETOS DE SEGURANÇA
  • Estabelecendo Princípios para a Segurança da Internet das Coisas
  • IoT Cybersecurity: Regulation Ready - Versão Completa Nov 2018
  • IoT Cybersecurity: Regulation Ready - versão concisa Nov 2018
  • Entendendo o Uso Contemporâneo da Divulgação da Vulnerabilidade na Internet do Consumidor das Coisas - Produto  Dez 2018
  • Mapeando o IoTSF Compliance Framework para ETSI TS 103 645 Fev 2019

 

Todas as publicações do IoTSF são muito consistentes, mas em especial recomendamos o estudo do primeiro documento "IoT Security Compliance Framework" - todos os documento podem ser baixados diretamente na sua página fonte.                                                                       Clique no Icone e acesse:

Obrigado por acessar o link

OTA - Online Trust Alliance

Visão de Alcance OTA - uma organização da Internet Society - "Um ecossistema de IoT deve ser baseado na confiança e inovação, priorizando prevenção, privacidade e segurança irrestrita".

Internet das Coisas (IoT) oferece aos consumidores, empresas e governos em todo o mundo inúmeros benefícios. Como é verdade com a maioria das tecnologias emergentes, no entanto, permanecem alguns desafios significativos.

A OTA acredita que através da liderança, inovação e colaboração, se pode superar esses desafios e criar um mundo conectado mais seguro e confiável. Isso requer uma responsabilidade compartilhada, incluindo a indústria adotando segurança e privacidade por meio do design, bem como,  adotando práticas de privacidade responsáveis.  

Veja e avalie o documento "IoT Security & Privacy Trust Framework v2.5" e os demais recursos apresentados em diversos documentos.         Acesso neste link:   

gallery/3d-earth2
Obrigado por acessar o link

Amplie a Segurança de seus Projetos

GSMA - IoT Security Guidelines

A GSMA recomenda nos seus documentos, práticas para o design seguro, desenvolvimento e implantação de serviços de IoT e fornece um mecanismo para avaliar medidas de segurança. As Diretrizes de Segurança de IoT da GSMA e a Avaliação de Segurança de IoT, ajudam a criar um mercado de IoT seguro com serviços confiáveis ​​e ​​que podem escalar conforme o mercado cresce.

As diretrizes de segurança da GSMA IoT:

  • Inclue 85 recomendações detalhadas para o design seguro, desenvolvimento e implantação de serviços de IoT
  • Indica cobrir redes, bem como ecosistemas de serviços e terminais
  • Aborda desafios de segurança, modelos de ataque e avaliações de risco
  • Fornece vários exemplos trabalhados

A avaliação de segurança da GSMA IoT:

  • Baseia-se em uma abordagem estruturada e controles de segurança concisos
  • Abrange todo o ecosistema IoT
  • Pode se encaixar em um modelo de cadeia de suprimentos
  • Fornece uma estrutura flexível que aborda a diversidade do mercado de IoT

Entendemos que o Guia da GSMA é uma das mais atualizadas e consistentes publicações - vale estudar e estudar!!!         Acesse os documento através do link:

Obrigado por acessar o link-em Português

Diversas Organizações no Mundo - Padrões

• Internet Protocol for Smart Objects (IPSO) Alliance – Padrão de “Internet

Protocol” para a Rede de Conexão de “Smart Objects”, com Consumidores,

com cuidados de saúde, e com a industrial de Aplicações.

http://www.ipso-alliance.org/

 

• Industrial Internet Consortium (IIC) - M2M standardisation – ligação

padrão máquina a máquina.

http://www.iiconsortium.org/

 

• AllSeen Alliance (AllJoyn) - Grupo sem fins lucrativos, dedicado ao Suporte

para a Internet de tudo.

http://www.allseenalliance.org/

 

• Thread Group - Certificação de produto para garantir a Segurança e

Interoperabilidade dos produtos “IoTware” domésticos.

http://www.threadgroup.org/

 

• Open Interconnect Consortium (OIC) – Grupo de estudo para

Desenvolvimento de padrões para descoberta, conectividade e autenticação de

dispositivos IoT, ligados ao projeto “IoTivity”.

http://www.openinterconnect.org/

 

IEEE Standards Association P2413 - Este projeto de norma define uma

arquitetura para a Internet das Coisas (IoT), incluindo a descrições de vários

domínios IoT, definições de IoT, domínio abstrações, bem como a identificação

de pontos comuns entre diferentes domínios IoT.

https://standards.ieee.org/develop/project/2413.html

 

• International Telecommunication Union (ITU) - Grupo de Estudo ITU-T

que aborda a estandardização e requisitos sobre a Internet das Coisas.

http://www.itu.int/en/ITU-T/gsi/iot/Pages/default.aspx

 

• Open Connectivity Foundation (OCF) - Uma colaboração da Indústria,

gerando a oportunidades para os consumidores e negócios com dispositivos

IoT, sendo, uma maneira rápida de todos obterem e adotarem um padrão

único e aberto.

https://openconnectivity.org/

 

• Open Source Application Development Portal (OSADP) - O OSADP é um

Programa e outras fontes de recursos para apoiar o uso e desenvolvimento de

“Veículos Conectados” e outras aplicações ITS relacionadas ao “USDOT ITS”

(sistema inteligente de transporte do Departamento de Transporte Norte

Americano).

https://www.itsforge.net/

 

• OneM2M - é uma inciativa para a solução global de padrões, que

abrangem requisitos, Arquitetura, APIs e especificações de Segurança e

soluções de interoperabilidade para “Máquina a Máquina” (M2M) e tecnologias

IoT. OneM2M foi constituída em 2012.

http://www.onem2m.org/

 

 

 

NIST Cybersecurity for IoT Program - USA

O programa de Segurança Cibernética para Internet das Coisas (IoT) do NIST suporta o desenvolvimento e a aplicação de padrões, diretrizes e ferramentas relacionadas para melhorar a segurança cibernética dos dispositivos conectados e os ambientes nos quais eles são implementados. Ao colaborar com as partes interessadas em todo o governo, indústria, organismos internacionais e universidades, o programa visa cultivar a confiança e promover um ambiente que permita a inovação em escala global.

Iniciativas relacionadas à segurança cibernética da IoT no NIST (Referencias e Documentos abaixo). O programa "Cybersecurity for IoT" oferece suporte e desenvolve iniciativas existentes, como:

  • BLE Bluetooth
  • Segurança na nuvem
  • Compartilhamento de informações sobre ameaças cibernéticas
  • Segurança cibernética para sistemas físicos cibernéticos
  • Segurança cibernética para sistemas Smart Grid
  • Estrutura de segurança cibernética
  • Perfil da estrutura de segurança cibernética para fabricação
  • Diretrizes de identidade digital
  • Autenticação Galois IoT e PDS Pilot
  • Piloto de Identidades Confiáveis ​​da GSMA
  • Guia de Segurança de Sistemas de Controle Industrial (ICS)
  • Criptografia leve
  • Área Ampla de Baixa Potência IoT
  • Atenuando o relatório de DDoS / botnet baseado em IoT
  • Banco de Dados de Vulnerabilidades Nacionais
  • NCCoE Ameaças Distribuídas Automatizadas Baseadas em IoT
  • Caso de uso NCCoE: Avaliação de capacidades para proteger sistemas de controle industrial de manufatura
  • Rede de Coisas
  • Programa de Engenharia de Privacidade
  • Relatório sobre o estado das normas internacionais de segurança cibernética para IoT
  • Diretrizes de segurança de RFID
  • Preocupações de segurança e privacidade de assistências virtuais inteligentes
  • Padrões e Diretrizes do Protocolo de Automação de Conteúdo de Segurança (SCAP)
  • Segurança do Gerenciamento de Acesso Interativo e Automatizado Usando Secure Shell (SSH)
  • Engenharia de Sistemas de Segurança
  • Padrões e Diretrizes de Gerenciamento de Avaliação de Software
  • Supply Chain Risk Management
  • Transporte veículo-a-veículo
  • Bombas de infusão médicas sem fio

Acesse a página, visite hotsites e baixe uma grande variedade de documentos:    

Obrigado por acessar o link

Baseline Security IOT ENISA - União Européia

A ENISA - Agência da União Europeia para a Segurança das Redes e da Informação - Colabora com o estudo de 2017, intitulado "Recomendações Básicas de Segurança para a Internet das Coisas no contexto de infraestruturas críticas de informação", que visa estabelecer o cenário para a segurança das IoT na Europa. Serve como um ponto de referência neste campo e como base para futuras iniciativas e desenvolvimentos relevantes.

Em janeiro de 2019 publicou o estudo "Análise de Gaps nos Padrões de Segurança IoT" - o estudo analisa as lacunas existentes nos padrões e fornece orientações para, em particular, o desenvolvimento ou reposicionamento de normas, facilitando a adoção de normas e governança da padronização da UE na área de NIS (Network Information Service).

Os documentos podem ser baixados pelos seguintes links:

 

Baseline > https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot

 

Gap Analysis > https://www.enisa.europa.eu/publications/iot-security-standards-gap-analysis

 

 

 

IoT Seguro por Design - UK

A IoT representa um novo capítulo de como a tecnologia se torna mais comum em nossas casas, tornando a vida das pessoas mais fácil e agradável. À medida que as pessoas confiam uma quantidade cada vez maior de dados pessoais a dispositivos e serviços on-line, a segurança cibernética desses produtos é agora tão importante quanto a segurança física de nossas casas. O governo  britânico defende que a segurança forte seja incorporada aos produtos conectados à Internet pelo design. Em outubro de 2018, o governo publicou o Código de Boas Práticas para a Segurança do IoT do Consumidor para apoiar todas as partes envolvidas no desenvolvimento, fabricação e varejo de IoT do consumidor.

 

O Código de Prática do Governo Britânico para “Segurança da Internet das Coisas”, atualizado 28 de fevereiro de 2019  é para Consumidores (IoT) é para fabricantes, com orientação detalhada para consumidores de dispositivos inteligentes aplicados em casa.

 

Para fabricantes e varejistas

Tudo o que se precisa entender como fabricante ou revendedor sobre as diretrizes do governo UK para tornar os dispositivos de IoT seguros e protegidos para uso pelos consumidores.

 

Para consumidores e grupos de consumidores

Orientação para os consumidores sobre como eles podem ajudar a configurar e gerenciar seus dispositivos inteligentes para melhorar sua segurança e proteger suas informações pessoais.

 

Contexto político, justificativa e evidência

Informações sobre o contexto por trás das políticas de IoT do governo UK.

 

Acesse os diversos temas e documentos e recomendações através da página:

Obrigado por acessar o link

IoTAA - IoT Alliance Australia

A IoTAA é um órgão da indústria que representa a IoT na Austrália. Agrega mais de 450 organizações participantes e mais de 850 membros individuais, que estão trabalhando para acelerar a adoção da IoT na economia e na sociedade australiana, buscando o melhor desempenho e a segurança. 

Em 2017 desenvolveu o “Strategic Plan to Strengthen IoT Security in Australia v4”. Em seu site oferece uma variedade de publicações e recursos para seus membros e para que a comunidade de IoT possa alcançar negócios e educação mais abrangentes, incluindo relatórios de pesquisa e white papers.

                                                                            Acesse os conteúdos através do link:

 

O documento "Strategic Plan..." pode ser baixado pelo link abaixo:

 

Obrigado por acessar o link

Instituto Europeu de Normas de Telecomunicações (ETSI)

 

O ETSI publicou em fevereiro de 2019 um novo padrão para segurança cibernética em relação aos produtos IoT para consumidores. O padrão se baseia no Código de Práticas do Reino Unido para Segurança de IoT do Consumidor, publicado em outubro do ano passado. O Código de Práticas foi desenvolvido pelo Governo do Reino Unido após a publicação de um projeto de código como parte do relatório "Secure by Design" publicado pelo governo em março de 2018 e após consulta com a indústria, associações de consumidores e acadêmicos. O Código do Reino Unido é voluntário, mas o governo do Reino Unido estava interessado em trabalhar com o ETSI para transformá-lo em um padrão global.   
A norma contém treze diretrizes focadas em resultados, em vez de prescritivas, para permitir às empresas a capacidade de inovar no desenvolvimento de soluções de segurança para seus produtos. A norma não procura fornecer soluções para todas as questões de segurança cibernética, em vez disso, concentra-se em abordar os problemas mais significativos e generalizados.

Baixe a Norma através do link:

 

S.1691- Internet of Things (IoT) Lei de Melhoria da Segurança Cibernética de 2017 - USA

S.1691 - Internet of Things (IoT) Cybersecurity Improvement Act of 2017


O governador da Califórnia, Jerry Brown, assinou uma lei de segurança cibernética cobrindo dispositivos “inteligentes” IOT, tornando a Califórnia o primeiro estado com tal lei. O projeto, foi o SB-327.

A partir de 1º de janeiro de 2020, qualquer fabricante de dispositivo que se conecte “direta ou indiretamente” à Internet deve equipá-lo com recursos de segurança “razoáveis”, projetados para impedir o acesso não autorizado, a modificação ou a divulgação de informações. Se puder ser acessado fora de uma rede local com uma senha, ele precisará vir com uma senha exclusiva para cada dispositivo ou forçar os usuários a definir sua própria senha na primeira vez que se conectarem. Isso significa que não há mais credenciais padrão genéricas para um hacker adivinhar.

 

                                                                            Acesse os conteúdos através do link:

 

https://www.congress.gov/115/bills/s1691/BILLS-115s1691is.pdf   

Veja também:  H.R.6032 - SMART IoT Act - projeto de lei que orienta o Departamento de Comércio a conduzir um estudo sobre o estado da indústria de dispositivos conectados à Internet (comumente conhecida como a Internet das Coisas) nos Estados Unidos.

Disponivel em:  https://www.congress.gov/115/bills/hr6032/BILLS-115hr6032rfs.pdf

LACNOG-M3 AAWG Joint Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition
LAC-BCOP-1  May 2019

Documento importante que indica um conjunto de Boas Práticas Operacionais Atuais de prevenção (BCOP) desenvolvido por LACNOG1 - Conteúdo aborda tema de segurança prática em "Customer Premise Equipment” (CPE) que é o equipamento usado para conectar assinantes a uma Internet, ou a Rede do provedor de serviços (ISP). Exemplos de CPE incluem modems (cabo, xDSL, fibra) e WiFi.  

Devido a vulnerabilidades no software incorporado e nas configurações padrão, o CPE foi alvo de uma variedade de abusos, desde a exploração de serviços mal configurados e autenticação padrão credenciais para concluir o comprometimento por malware. O objetivo de muitos desses ataques é realizar ataques de negação de serviço (DoS), mineração não autorizada de criptomoedas, propagação de malware, spam, phishing, roubo de credenciais e outros abusos.

 

Este documento tem como objetivo identificar um conjunto mínimo de requisitos de segurança que devem ser especificados.

 

 

Acesse o conteúdo através do link:  https://www.m3aawg.org/sites/default/files/lac-bcop-1-m3aawg-v1.pdf 

Desenvolvido com a colaboração brasileira por : >     Lucimara Desiderá -      CERT.br/NIC.br - >     https://www.cert.br/