Регулирование киберустойчивости ⇐ Васина Википедия

[wiki_de]

«Регламент киберустойчивости» (CRV) — это регламент (ЕС)|Регламент Европейского Союза, который гармонизирует правила информационной безопасности|кибербезопасности продуктов с цифровыми элементами на всей территории ЕС. Это призвано обеспечить высокий уровень кибербезопасности в Союзе и обеспечить свободное перемещение продукции с цифровыми элементами на внутреннем европейском рынке.

Очередная законодательная процедура Регламента близка к завершению: Регламент был принят Европейским парламентом 12 марта 2024 года. Решение Совета Европейского Союза | Совет все еще находится на рассмотрении, но считается определенным.
Он дополняет Общий регламент по защите данных и Директиву NIS 2.

Постановление применяется, в частности, к бесплатному программному обеспечению и продуктам с открытым исходным кодом, если оно используется в коммерческих продуктах.

== Цель ==
В постановлении уже сказано в первом пункте:
|Text=Кибербезопасность представляет собой одну из самых больших проблем для Союза.
|ref=Концерт 1, предложение 1

Первоначально регулирование было направлено на решение двух основных проблем, которые вызывают высокие затраты для пользователей и общества и приводят к значительным, иногда опасным для жизни рискам:

# Широкое распространение хаков|уязвимостей в продуктах с цифровыми элементами, а также неадекватное и непоследовательное предоставление обновлений программного обеспечения|обновлений безопасности производителями.
# Цифровая грамотность | Недостаточные знания среди пользователей и недостаточно информации для пользователей, чтобы выбирать продукты с соответствующими функциями безопасности или безопасно их использовать.

Существующее законодательство ЕС уже содержит правила кибербезопасности для определенных категорий продуктов, таких как Регламент (ЕС) 2017/745 | Медицинские изделия, Регламент (ЕС) 2017/746 | Медицинские устройства для диагностики in vitro, Регламент (ЕС) 2019/2144 | Автомобили и Регламент. (ЕС) 2018/1139|Авиационная продукция, которая также охватывает аспекты, связанные с безопасностью. Однако они обычно фокусируются на конкретных аспектах, таких как безопасность сетей и информационных систем или сертификация. Постановление не распространяется на эти уже регулируемые продукты.

Обе проблемы, которые, по мнению институтов ЕС, возникают из-за отсутствия всеобъемлющей правовой базы для всех «других» продуктов, должны быть решены путем введения обязательных горизонтальных требований кибербезопасности и улучшения прозрачности и доступа к информации для пользователей и организаций.

Регулирование должно быть технологически открытым|технологически нейтральным.

== Содержание ==
Ядром регулирования являются «продукты с цифровыми элементами», которые не подпадают под существующую нормативную базу.Статья 2, пункт 2 Это программное или аппаратное обеспечение и решения для удаленной обработки данных, связанные с этим программным обеспечением или оборудование, без которого продукт не будет работать.Статья 3, номера 1 и 2

На разные виды продукции распространяются разные категории правилПриложения Ⅲ и Ⅳ:

* важные продукты,
* критически важные продукты,

* подпадают под другую нормативную базу

Веб-браузер

Управление паролями|Менеджер паролей

Антивирусная программа|Антивирусные программы

Виртуальная частная сеть|Программное и аппаратное обеспечение VPN

Управление сетью|Системы управления сетью

Управление информацией и событиями безопасности|SIEM-системы

Менеджер загрузки

Инфраструктура открытых ключей,
программное обеспечение для выдачи цифровых сертификатов|цифровые сертификаты

физическая и виртуальная сетевая карта|сетевые интерфейсы

Операционная система|операционные системы

Маршрутизатор, модем|модемы, свитч (сетевые технологии)|свитчи

Микроконтроллеры, процессоры, микропроцессоры, специализированные интегральные схемы, ASIC и программируемые пользователем вентильные матрицы, FPGA, каждая из которых имеет функции, важные для обеспечения безопасности.
Интеллектуальный персональный помощник|виртуальные помощники для умного дома

Продукты для умного дома, связанные с безопасностью, такие как Smart Lock|интеллектуальные дверные замки,
камеры наблюдения, радионяни и системы сигнализации
Межсетевой экран|Брандмауэры, системы обнаружения вторжений|Системы обнаружения и предотвращения атак

Trusted Computing|микропроцессоры и микроконтроллеры с защитой от несанкционированного доступа
Шлюз интеллектуальных счетчиков|Шлюзы интеллектуальных счетчиков и другие устройства для повышения безопасности

Чип-карта|Смарт-карты или аналогичные устройства, включая элемент безопасности|Элементы безопасности
Все продукты с цифровыми элементами должны соответствовать комплексному списку требований кибербезопасности. К ним относятся, среди прочего, требования, чтобы продукция:

* выводиться на рынок без известных уязвимостей безопасности,
* поставляется с безопасными конфигурациями по умолчанию и обеспечивает возможность возврата в это состояние,
* Уметь устранять бреши в безопасности с помощью обновлений, в идеале автоматически,
* защищать от несанкционированного доступа через системы аутентификации и другие механизмы контроля и сообщать о несанкционированном доступе,
* обеспечить конфиденциальность, целостность и доступность данных, включая персональные данные, с помощью таких мер, как шифрование и минимизация данных,
* минимизировать негативное влияние на другие устройства или сети,
* Обеспечьте минимально возможную поверхность атаки и уменьшите влияние инцидентов безопасности,
* записывать и/или отслеживать информацию, связанную с безопасностью,
* Предоставьте пользователям возможность безопасно удалить все данные и настройки.

Кроме того, производители продукции с цифровыми элементами должны обеспечить:

* Слабые места и компоненты продуктов идентифицируются и документируются, при необходимости, посредством списка частей программного обеспечения.
* Уязвимости устраняются немедленно, в идеале с помощью обновлений безопасности, которые должны предоставляться отдельно от обновлений функций.
* Безопасность продукции регулярно тестируется и проверяется.
* Информация об исправленных уязвимостях будет опубликована, если это не поставит под угрозу безопасность.
* Создана и реализована концепция скоординированного раскрытия уязвимостей (Responsible Disclosure).
* Облегчен обмен информацией о возможных уязвимостях.
* Предусмотрены механизмы безопасного распространения обновлений.
* Обновления безопасности предоставляются немедленно и бесплатно, если не оговорено иное.



Подробнее: https://de.wikipedia.org/wiki/Cyberresilienz-Verordnung