Czy kamery bezpieczeństwa są produktami ważnymi według CRA?
Podsumowanie
Podłączoną kamerę smart-home sprzedawaną do ochrony fizycznej należy planować jako produkt Ważna Klasa I. Klasa może się zmienić, gdy ten sam sprzęt kamery jest sprzedawany do innego celu: rozmów wideo, profesjonalnego CCTV, infrastruktury nagrywania, kontroli dostępu lub innego produktu bezpieczeństwa.
Pierwszym rejestrem do utworzenia jest memorandum klasyfikacji i granic dla konkretnego wariantu kamery. Musi nazwać przewidzianą funkcję bezpieczeństwa, kontekst sprzedaży, dostarczone elementy cyfrowe, okres wsparcia i powód wybranej ścieżki.
Rejestr okresu wsparcia musi wychodzić od przewidzianego użycia kamery, rozsądnych oczekiwań użytkownika, charakteru produktu, przewidzianego zastosowania i wsparcia komponentów. Próg CRA to co najmniej pięć lat, chyba że produkt jest przewidziany do użycia krócej niż pięć lat, a data końcowa, co najmniej miesiąc i rok, musi być jasno wskazana przy zakupie.
Jak klasyfikować wydanie kamery?
Zacznij od oferty, nie od obudowy kamery. Ścieżka zależy od przekazu handlowego, funkcji, na której polega kupujący, i elementów cyfrowych dostarczonych z danym wydaniem.
Sprzedawana do rozmów wideo, spotkań lub ogólnej komunikacji.
Peryferium komunikacyjne; nie monitoring bezpieczeństwa gospodarstwa domowego.
Firmware urządzenia, sterownik lub integracja z aplikacją do spotkań. Brak dostarczonej chmury monitoringu lub przepływu alarmowego.
Sprzedawana do nadzoru domowego, monitorowania niemowląt, ochrony przy dzwonku lub integracji z alarmem.
Bezpieczeństwo gospodarstwa domowego lub monitoring to funkcja, na której polega kupujący.
Firmware, lokalne nośniki, aplikacja, chmura producenta, usługa aktualizacji i obsługa podatności, gdy dostarczane są dla tej funkcji.
Sprzedawana jako profesjonalny nadzór, infrastruktura nagrywania lub część innego produktu bezpieczeństwa.
Rejestrator, VMS, zapora, VPN, kontrola dostępu, funkcja biometryczna lub tożsamościowa może być faktycznym produktem.
Kamera plus rejestrator, serwer zarządzania, chmura instalatora, usługa kontroli dostępu lub urządzenie bezpieczeństwa.
Diagram używaj jako pomocy w wyborze ścieżki, nie jako ostatecznego rejestru klasyfikacji. Spisany rejestr nadal potrzebuje dokładnego przekazu, przewidzianego zastosowania i dostarczonej granicy. Dla kamery smart-home kluczowa fraza to produkty smart-home z funkcjami związanymi z bezpieczeństwem. Kamera sprzedawana do nadzoru domowego, monitorowania włamań, monitorowania niemowląt lub integracji z alarmem mieści się w tej kategorii. Kamera internetowa ogólnego przeznaczenia zwykle nie.
Następnie sprawdź, czy inna funkcja z listy nie odpowiada za pracę kontrolną. Klasyfikacja jako produkt ważny idzie za podstawową funkcjonalnością produktu, a nie za częściami, które ją tylko przewożą. Osadzenie komponentu istotnego dla bezpieczeństwa nie wciąga reszty oferty na ścieżkę produktu ważnego. Jeśli kamera jest w rzeczywistości sprzedawana jako zapora, brama VPN, czytnik kontroli dostępu, urządzenie do uwierzytelniania biometrycznego, system zarządzania tożsamością lub produkt do zarządzania dostępem uprzywilejowanym, który ma przy okazji obiektyw, sklasyfikuj najpierw tę podstawową funkcję.
Dla profesjonalnego nadzoru nie wymuszaj kategorii smart-home. Profesjonalna kamera CCTV, VMS lub NVR może nadal być produktem z elementami cyfrowymi w rozumieniu CRA i nadal potrzebuje wymagań bezpieczeństwa, planowania okresu wsparcia, obsługi podatności i dokumentacji technicznej. Klasa zależy od przewidzianego zastosowania, dostarczonej granicy i funkcji podstawowej.
Memorandum klasyfikacji powinno odpowiedzieć na cztery pytania:
- Czy kamera jest sprzedawana do bezpieczeństwa gospodarstwa domowego, monitorowania niemowląt, ochrony przy dzwonku lub integracji z alarmem?
- Czy kamera to podstawowa funkcja produktu, czy pracę kontrolną wykonuje funkcja zapory, VPN, kontroli dostępu, biometryczna lub tożsamościowa?
- Które elementy cyfrowe dostarczane są dla przewidzianej funkcji: firmware, nośnik lokalny, aplikacja, chmura producenta, usługa aktualizacji i obsługa podatności?
- Które systemy są poza ofertą producenta: router klienta, rejestrator innego dostawcy, sieć instalatora, zewnętrzny dostawca tożsamości lub centrum monitoringu?
Granica produktu i dostarczane elementy
Dla producenta kamery granica zgodności rzadko sprowadza się do plastikowej obudowy. Idzie za produktem wprowadzonym do obrotu i elementami cyfrowymi koniecznymi dla przewidzianej funkcji bezpieczeństwa.
W domyślnej granicy producenta kamery znajdują się: firmware urządzenia i każda działająca na nim usługa, stos interfejsu sieciowego, magazyn na urządzeniu, aplikacja towarzysząca, którą kupujący ma zainstalować, chmura producenta dostarczająca udokumentowane funkcje produktu, infrastruktura aktualizacji OTA i stojący za nią proces obsługi podatności.
Poza tą granicą, dopóki producent faktycznie nie sprzedaje tej warstwy: router kupującego, VMS lub NVR innego dostawcy wybrany przez klienta, sieć w lokalizacji instalatora, zewnętrzny dostawca tożsamości używany do SSO oraz profesjonalne centrum monitoringu objęte odrębną umową.
Brak, gdy te produkty pochodzą od innych producentów. Jeśli producent kamery sprzedaje także rejestrator, VMS, usługę tożsamości lub most chmurowy jako część oferty, każdy z nich może być odrębnym produktem CRA z własną teczką.
Teczka produktu · Deklaracja zgodności UE · Oznakowanie CE · Deklaracja okresu wsparcia · Instrukcja użytkownika · Zapis oceny zgodności
Trzymane przez producenta kamery przez dziesięć lat od wprowadzenia kamery do obrotu lub przez okres wsparcia, w zależności od tego, który jest dłuższy. Jeśli stosowana jest ścieżka oceny przez stronę trzecią, jej wynik trzymaj w tej samej teczce.
Teczka ryzyka cyberbezpieczeństwa · Inwentarz komponentów · Proces obsługi podatności · Polityka ujawniania · Mechanizm bezpiecznej aktualizacji
Dołącz opublikowany pojedynczy punkt kontaktu, dowody testów bezpiecznych ustawień domyślnych, weryfikację podpisanej aktualizacji oraz uzasadnienie okresu wsparcia.
Zapis należytej staranności komponentu · Deklaracja zgodności dostawcy · Ostrzeżenia bezpieczeństwa dostawcy
Producent kamery pozostaje odpowiedzialny za wybór układu. Tam, gdzie układ, moduł lub element bezpieczny sam jest produktem CRA, deklaracja zgodności dostawcy i ostrzeżenia wspierają należytą staranność producenta, a nie ją zastępują.
Inwentarz komponentów jest monitorowany pod kątem nowych podatności; proces obsługi podatności klasyfikuje znaleziska; bezpłatne aktualizacje bezpieczeństwa dostarczają poprawki wraz z ostrzeżeniami, w miarę możliwości automatycznie.
Aktywnie wykorzystywana podatność kamery uruchamia zegar: wczesne ostrzeżenie należy się w ciągu 24 godzin, powiadomienie o podatności w ciągu 72 godzin, a końcowe sprawozdanie o podatności w ciągu 14 dni od udostępnienia środka naprawczego lub łagodzącego. Poważny incydent bezpieczeństwa biegnie na osobnym zegarze z tymi samymi krokami 24 i 72 godziny, plus końcowe sprawozdanie z incydentu w ciągu miesiąca od powiadomienia o incydencie.
Gospodarstwa korzystające z dotkniętych kamer też dostają sygnał od producenta. Producent informuje dotkniętych właścicieli, a szerszą bazę klientów tam, gdzie ekspozycja na to zasługuje, o tym, co poszło źle i jakie kroki mogą wykonać sami: wymuszona aktualizacja firmware, podniesienie wersji aplikacji, reset hasła, wyłączenie opcjonalnej usługi lub reset do ustawień fabrycznych przed odsprzedażą.
Punkty kontrolne architektury kamery
Teczka wydania kamery powinna iść za faktycznym produktem wideo, a nie za generyczną listą IoT. Kamera bateryjna Wi-Fi, kamera PoE typu dome, kamera zewnętrzna z modemem komórkowym i kamera sprzedawana z NVR mogą dzielić dyskusję o klasie, ale potrzebują różnych rejestrów inżynierskich.
Diagram czytaj jako mapę teczki wydania, nie jako wymagany wzorzec wdrożenia. Producent nadal musi spisać dokładną granicę wariantu dla własnej kamery, aplikacji, usługi chmurowej, ścieżki aktualizacji i modelu wsparcia.
- Ścieżka wideo i sterowania. Wskaż każdą drogę, którą można obejrzeć, zapisać, wyeksportować lub sterować wideo: strumień lokalny, interfejs webowy, sesja aplikacji, przekaz przez chmurę, link udostępnienia, eksport serwisowy i zadeklarowana zgodność z NVR lub VMS.
- Ekspozycja lokalna. Przeskanuj kamerę po konfiguracji i po aktualizacji. Pokaż, które usługi są osiągalne, które wymagają uwierzytelnienia, a które strumienie lub ścieżki administracyjne pozostają wyłączone.
- Systemy klienta. Traktuj router, sieć instalatora, rejestrator innego dostawcy, zewnętrznego dostawcę tożsamości i centrum monitoringu jako pozostające poza produktem producenta kamery, dopóki producent nie dostarcza tej warstwy jako części oferty.
- Backendy dostarczane przez producenta. Włącz lub wyklucz usługę kont, łańcuch podpisywania, usługę zdarzeń lub powiadomień, portal wsparcia, usługę flag funkcji płatnych i każdą chmurową ścieżkę ML.
- Autorytet aktualizacji. Traktuj autorytet aktualizacji jako dwukierunkową wymianę: kamera sprawdza lub odbiera metadane aktualizacji, a usługa aktualizacji zwraca podpisany pakiet firmware lub aplikacji dla tego konkretnego wariantu. Zapisy podpisanej aktualizacji, slotu odzyskiwania, odrzucenia downgrade'u i powiadomienia użytkownika trzymaj razem z wydaniem.
- Wejścia od dostawców. Przypisz SoC, modułowi Wi-Fi, stosowi medialnemu, modelowi AI, SDK P2P i bootloaderowi właściciela, wersję, śledzenie ostrzeżeń i decyzję wydania.
- Pętla posprzedażowa. Zgłoszenia podatności, poważne incydenty, ostrzeżenia dostawców i awarie w polu powinny zaktualizować model zagrożeń, zapis ryzyka rezydualnego, teczkę techniczną i bramę kolejnego wydania.
Robocza ocena ryzyka kamery
Resztę tej sekcji czytaj jako jeden roboczy przykład kamery, a nie listę kontrolną do skopiowania. Celem jest pokazanie głębokości decyzji, której producent kamery powinien umieć bronić dla jednego konkretnego wariantu: wybranego chipsetu i modułu, gałęzi firmware, przekazu przez chmurę, kanału OTA, ostrzeżeń dostawców, które rzeczywiście się śledzi, kanału sprzedaży i okna wsparcia, do którego się zobowiązano.
Jaki produkt oceniamy?
Przykładowy produkt jest fikcyjny, nie prawdziwy: ExampleCo IndoorCam X1, kamera smart-home do wnętrz sprzedawana w UE do monitorowania bezpieczeństwa gospodarstwa domowego. Nagrywa wideo i dźwięk w rozdzielczości 1080p, zapisuje klipy na karcie microSD, strumieniuje wideo na żywo właścicielowi przez aplikację mobilną, wystawia lokalny webowy interfejs admina podczas konfiguracji, używa BLE do pierwszego sparowania, łączy się przez Wi-Fi i otrzymuje podpisane aktualizacje firmware od producenta.
Granica produktu dla tego przykładu obejmuje sprzęt kamery, wbudowane firmware, nagrywanie na microSD, ścieżkę parowania w aplikacji mobilnej, przekaźnik chmury producenta, usługę kont, usługę aktualizacji OTA, proces ostrzeżeń bezpieczeństwa i kontakt do zgłaszania podatności. Nie obejmuje routera klienta, VMS/NVR innego dostawcy, platformy automatyki domowej ani profesjonalnego centrum monitoringu.
Produkt jest przewidziany dla nietechnicznych użytkowników w domowym środowisku wewnętrznym. Nie jest przewidziany do przemysłowego CCTV, nadzoru przestrzeni publicznych, kontroli dostępu, uwierzytelniania biometrycznego lub weryfikacji tożsamości, monitorowania miejsca pracy ani operacji bezpieczeństwa infrastruktury krytycznej.
Przed zapisaniem tabeli zagrożeń sprawdź trzy ścieżki kamery, które zwykle decydują o ocenie ryzyka: nadzór nad wideo, tożsamość urządzenia i ekspozycja po konfiguracji. Te diagramy zmieniają roboczy przykład w pytania inżynierskie, nie w generyczną listę zagrożeń.
Szczegóły nadzoru nad wideo: źródłem jest czujnik kamery, mikrofon i enkoder, ze strojeniem obrazu w postaci binariów, ścieżką dźwięku, maską prywatności, wejściami detekcji AI i profilami strumienia powiązanymi z gałęzią firmware. Lokalna ścieżka oglądania obejmuje ONVIF, RTSP, webowy podgląd lub przeglądarkę i weryfikowana jest przez skan uwierzytelnienia i ekspozycji. Ścieżka zdalna obejmuje przekaz przez chmurę, SDK P2P lub aplikację właściciela i weryfikowana jest przez test zakresu tokena i przekazu. Ścieżka mediów lokalnych obejmuje klipy na microSD i wymienne nośniki, weryfikowana jest przez testy resetu i wyjęcia karty. Ścieżka serwisowa obejmuje pakiet diagnostyczny i eksport diagnostyki, weryfikowana jest przez listę kontrolną redakcji.
Testy resetu, odwiązania i wyczyszczenia RMA dowodzą, które wideo, tokeny i powiązania kont są usuwane przed odsprzedażą, regeneracją lub przekazaniem do serwisu.
Własność to osobny sprawdzian niż nadzór nad wideo. Kamera może mieć chroniony strumień i nadal zawodzić, jeśli były właściciel, współdzielony użytkownik lub odzyskany telefon zachowuje dostęp po przekazaniu.
Szczegóły cyklu życia tożsamości: dostarczenie tworzy klucz lub certyfikat kamery, zapisuje tożsamość sprzętową i blokuje produkcyjny dostęp do debugowania. Konfiguracja właściciela wykorzystuje zweryfikowane konto plus jednorazowy, krótkotrwały token QR, BLE lub aplikacji do przejęcia i zamyka okno pierwszego użycia po powiązaniu kamery. Praca standardowa używa tego samego modelu unieważniania dla resetu hasła, odzyskiwania konta, odzyskiwania utraconego telefonu, udostępniania rodzinnego, gości i sesji przeglądarki. Przekazanie własności wymaga autoryzowanej ścieżki odwiązania, usuwa stare konto, unieważnia użytkowników współdzielonych i kończy aktywne sesje, zanim kamera może być ponownie przejęta. Reset fabryczny, RMA i regeneracja usuwają powiązanie konta, poświadczenia, klipy i diagnostykę zgodnie z projektem produktu; obsługa RMA nie powinna stać się drogą do prania kradzieży.
Testy nadużyć: token konfiguracji wygasa, jest jednorazowy i nie może być wykorzystany ponownie przez pobliskiego napastnika po przejęciu przez właściciela; stary telefon, gość lub sesja przeglądarki nie mogą zachować dostępu do nagrań ani strumienia na żywo po odzyskaniu; reset lokalny nie zostawia powiązania z chmurą, tokenów konta ani klipów.
Po przetestowaniu własności sprawdź, co jest jeszcze osiągalne z sieci, aplikacji, nośnika wymiennego i procesów serwisowych. To utrzymuje przegląd ekspozycji powiązany z faktycznym zachowaniem wysłanego produktu, a nie generycznym skanem portów.
Szczegóły powierzchni dostępu: lokalne usługi LAN obejmują RTSP, ONVIF, interfejs webowy i punkty wykrywania, a zapis wydania to skan ekspozycji. Oglądanie zdalne obejmuje przekaz przez chmurę, udostępnianie i tożsamość urządzenia, a zapis wydania to test zakresu tokena chmurowego. Nośniki wymienne obejmują klipy na microSD, zachowanie po resecie i decyzje magazynowe, a zapis wydania to wynik resetu microSD. Diagnostyka serwisowa obejmuje logi, zrzuty awarii i tryb serwisowy, a zapis wydania to próbka audytu trybu serwisowego.
Jakie aktywa chronimy?
Kamery chronią bardzo różne rzeczy w tej samej obudowie. Nagrany klip z sypialni dziecka, konto właściciela, które może obracać obiektyw, i klucz podpisujący firmware kontrolujący każde wydane w tym roku urządzenie, wszystkie żyją za jednym produktem. Wymień je najpierw jako osobne aktywa, bo zestaw kontroli, dowody testów i zapisy wydania znacznie się rozjeżdżają.
| Aktyw | Dlaczego ma znaczenie | Gdzie żyje |
|---|---|---|
| Wideo i dźwięk na żywo i nagrane | Ujawnia prywatne pomieszczenia, rutyny, gości, dzieci, zwierzęta i rozmowy | Czujnik, RAM, enkoder, microSD, bufor strumienia, przekaz przez chmurę |
| Konto właściciela i czynnik odzyskiwania | Przejęcie pozwala na zdalne oglądanie, reset urządzenia i zmiany udostępniania | Aplikacja mobilna, usługa tożsamości, ścieżka odzyskiwania e-mail/SMS |
| Poświadczenie urządzenie do chmury | Trwały token zaufania; trudny do rotacji we wdrożonej flocie | Element bezpieczny lub chroniony magazyn, usługa powiązania konta |
| Kotwica zaufania podpisu firmware | Po złamaniu kanał aktualizacji może stać się kanałem malware'u | Łańcuch boot, magazyn kluczy, usługa podpisywania, pipeline wydań |
| Pozycja w sieci lokalnej | Kamera siedzi wewnątrz LAN gospodarstwa i widzi lokalnych sąsiadów | Interfejs Wi-Fi, dzierżawa DHCP, widok mDNS/SSDP |
| Pakiet diagnostyki i wsparcia | Może wycieknąć numerami seryjnymi, ID kont, nazwami sieci i śladami awarii | Logi urządzenia, portal wsparcia, wewnętrzne narzędzia wsparcia |
| Instrukcja użytkownika i data wsparcia | Wpływa na bezpieczną konfigurację, oczekiwania co do aktualizacji i obsługę końca wsparcia | Opakowanie, podręcznik web, UI aplikacji, opis produktu |
Gdzie leżą główne granice zaufania?
Kamera siedzi w pięciu miejscach naraz: w samym urządzeniu, na karcie microSD, którą każdy w pokoju może wyjąć, w sieci domowej dzielonej z telefonami i nieznanymi sąsiadami IoT, w backendzie producenta, który dotyka każdej kamery w polu, oraz na telefonie lub w przeglądarce właściciela trzymających sesję na żywo. Każde z tych miejsc zmienia szansę napastnika i wymaga innej powierzchni kontroli, więc model granic zaufania wymienia je osobno, choć są ze sobą połączone.
| Środowisko | Spodziewana ochrona | Dlaczego zmienia prawdopodobieństwo |
|---|---|---|
| Wnętrze kamery | Dostęp fizyczny jest ograniczony, ale istnieje naprawa, kradzież, odsprzedaż i pola debugowe | Niższe prawdopodobieństwo zdalne, wyższa konsekwencja, jeśli klucze da się wyciągnąć |
| microSD / nośniki lokalne | Każdy z dostępem do pokoju może wyjąć lub skopiować kartę | Dostęp lokalny jest prawdopodobny w domach z gośćmi, sprzątaczkami, lokatorami lub przy odsprzedaży |
| Sieć domowa | Dzielona z laptopami, telefonami, telewizorami, drukarkami i nieznanymi urządzeniami IoT | Skompromitowany sąsiad może zaatakować lokalnego admina, wykrywanie lub usługi strumienia |
| Backend producenta | Wystawiony na internet i dzielony przez zainstalowaną flotę | Pomyłka w backendzie skaluje się z jednego gospodarstwa na wiele |
| Końcówka właściciela | Telefony i przeglądarki są wystawione na phishing, malware i powtarzane hasła | Przejęcie konta często omija utwardzenie urządzenia |
Które zagrożenia ocenić w pierwszej kolejności?
Ten przykład zaczyna się od szesnastu zagrożeń właściwych dla produktu. Celem nie jest wyczerpać listę; celem jest pokazać poziom śledzenia, którego producent powinien umieć bronić.
| ID | Scenariusz zagrożenia | Zagrożony aktyw | Punkt wejścia |
|---|---|---|---|
| T1 | Współdzielony lub przewidywalny sekret pierwszego użycia pozwala napastnikowi przejąć kamerę, zanim właściciel skończy konfigurację | Konto właściciela, strumień wideo | Wprowadzenie przez BLE / lokalna konfiguracja |
| T2 | Lokalny webowy interfejs admina akceptuje słabe poświadczenia lub pozostaje otwarty po konfiguracji | Konfiguracja, dostęp do strumienia | Sieć domowa |
| T3 | Skradziony token aplikacji mobilnej pozostaje ważny po resecie hasła i nadal otwiera podgląd kamery | Konto właściciela, wideo i dźwięk na żywo | Końcówka właściciela / przekaz przez chmurę |
| T4 | Fallback P2P, obsługa STUN/TURN/ICE, UPnP lub hole punching wystawia kamerę bezpośrednio, gdy ścieżka przekaźnika zawodzi lub jest zablokowana | Usługi firmware, dostęp do strumienia | Ścieżka przekazu sąsiadująca z internetem |
| T5 | ONVIF/RTSP odpowiadają w LAN-ie ze słabym uwierzytelnieniem lub łatwo wykrywalnymi URL-ami strumieni | Wideo i dźwięk na żywo | Sieć domowa |
| T6 | Slot odzyskiwania akceptuje niepodpisany, stary lub zdowngradowany obraz firmware | Integralność firmware, kotwica zaufania podpisu | Ścieżka OTA / odzyskiwania |
| T7 | Pola UART/JTAG pozwalają na dostęp przy boot podczas kradzieży, naprawy lub odsprzedaży | Sekrety urządzenia, firmware, logi | Fizyczny dostęp do debugowania |
| T8 | Klipy na microSD są czytelne po wyjęciu karty lub po odsprzedaży kamery | Nagrane wideo i dźwięk | Nośnik lokalny |
| T9 | Wprowadzenie przez BLE ujawnia poświadczenie Wi-Fi lub sekret parowania urządzenia pobliskiemu napastnikowi | Poświadczenie Wi-Fi, konto właściciela | Okno konfiguracji BLE |
| T10 | Pakiety wsparcia zawierają numer seryjny, konto, SSID, fragmenty tokenów lub prywatne ślady awarii | Dane diagnostyczne, możliwość powiązania konta | Wysyłka do wsparcia |
| T11 | Podatność dostawcy w module Wi-Fi lub stosie medialnym nie zostaje wykryta w okresie wsparcia | Firmware, dostępność, poufność strumienia | Luka w ostrzeżeniach dostawcy |
| T12 | Reset RMA lub odsprzedaży nie czyści powiązania konta, klipów ani poświadczeń urządzenia | Konto właściciela, nagrane media, poświadczenie urządzenie do chmury | Ścieżka zwrotów |
| T13 | Usługi wykrywania ujawniają model, firmware, numer seryjny lub metadane strumienia każdemu urządzeniu w LAN | Odcisk palca urządzenia, ekspozycja strumienia | ONVIF / WS-Discovery / mDNS |
| T14 | Strumień RTSP jest chroniony inaczej niż interfejs webowy, zostawiając strumień na żywo osiągalny po utwardzeniu admina | Wideo i dźwięk na żywo | Lokalna usługa strumieniowa |
| T15 | Wada SDK P2P lub mediów innego dostawcy pozwala na przewidywanie lub enumerację UID urządzeń, podszywanie się pod urządzenie lub kompromitację sesji strumienia | Wideo i dźwięk na żywo, poświadczenie urządzenia | Przekaz przez chmurę / SDK |
| T16 | Firmware kamery używa binarki ISP, Wi-Fi lub AI dostawcy, której nie ma w procesie monitorowania SBOM | Integralność firmware, obsługa podatności | Firmware dostawcy |
Jak ustalić priorytety początkowych ryzyk?
Użyj prostej wewnętrznej rubryki, zanim wybierzesz kontrole. W tym przykładzie prawdopodobieństwo opiera się na ekspozycji i szansie napastnika; wpływ opiera się na szkodzie dla prywatności, skali floty, trwałości i tym, czy zagrożenie kompromituje mechanizm bezpieczeństwa. Dokładne etykiety mają mniejsze znaczenie niż uzasadnienie wpisane obok każdej decyzji.
Użyj drabiny bramy wydania, aby każde ryzyko kamery nie dostawało tej samej decyzji:
| Decyzja bramy | Co oznacza dla tego wydania kamery |
|---|---|
| Zablokuj wydanie | Kamera nie wychodzi, dopóki nie zda zawodzącego testu: parowanie, uwierzytelnienie strumienia, weryfikacja podpisanej aktualizacji, czyszczenie RMA lub skan ekspozycji usług po konfiguracji, zależnie od zagrożenia. |
| Zablokuj, chyba że jest udokumentowane | Wydanie może iść dalej tylko wtedy, gdy spisane jest kompensujące zabezpieczenie, ograniczenie właściwe dla wariantu lub uzasadnienie trybu instalatora, przejrzane i przypięte do teczki wydania kamery. |
| Wyślij z monitorowaniem | Kamera wychodzi, ale teczka wydania nazywa aktywny sygnał monitorowania (kanał CVE dostawcy, ostrzeżenia SDK P2P, telemetrię nadużyć) i inżyniera, który nim zarządza w okresie wsparcia. |
| Przekaż do wytycznych | Ekspozycja zależy od sieci domowej, telefonu właściciela lub rejestratora innego dostawcy poza ofertą producenta, więc teczka utrzymuje wytyczne dla instalatora lub użytkownika zamiast próbować kontrolować stronę klienta. |
| Akceptuj | Niektóre powierzchnie kamery (udokumentowane odpowiedzi wykrywania, metadane LAN) niosą nieusuwalne ryzyko rezydualne, więc teczka zapisuje dowody minimalizacji i uzasadnienie zaakceptowania tego, co pozostaje. |
| ID | Prawdopodobieństwo | Wpływ | Decyzja bramy | Dlaczego |
|---|---|---|---|---|
| T1 | Średnie | Wysoki | Zablokuj wydanie | Przejęcie przy pierwszym użyciu jest realistyczne i podkopuje własność |
| T2 | Wysokie | Średni | Zablokuj wydanie | LAN-y domowe zawierają niezaufanych sąsiadów i powtarzane hasła |
| T3 | Średnie | Wysoki | Zablokuj wydanie | Kradzież tokena konta daje zdalne oglądanie bez dotykania kamery |
| T4 | Niskie | Wysoki | Zablokuj, chyba że jest udokumentowane | Rzadka ścieżka, ale bezpośrednia ekspozycja może się skalować; wysłany produkt potrzebuje spisanej decyzji o przekaźniku i przechodzeniu NAT |
| T5 | Średnie | Wysoki | Zablokuj wydanie | Lokalna ekspozycja strumienia to bezpośrednia porażka prywatności |
| T6 | Niskie | Wysoki | Zablokuj wydanie | Kompromitacja aktualizacji jest trwała i obejmuje całą flotę |
| T7 | Średnie | Średni | Zablokuj, chyba że jest udokumentowane | Fizyczne debugowanie jest prawdopodobne przy kradzieży, naprawie lub odsprzedaży; wydanie potrzebuje uzasadnienia blokady debug lub serwisu |
| T8 | Wysokie | Średni | Zablokuj, chyba że jest udokumentowane | Lokalne wyjęcie karty jest częste; albo chroń klipy, albo wyraźnie udokumentuj ograniczenie nośnika wymiennego |
| T9 | Średnie | Wysoki | Zablokuj wydanie | Wprowadzenie jest krótkotrwałe, ale wystawia poświadczenie sieci domowej |
| T10 | Średnie | Średni | Zablokuj, chyba że jest udokumentowane | Wycieki danych wsparcia bywają trudne do zauważenia; eksport wsparcia musi być zminimalizowany, zredagowany lub wyraźnie wyłączony |
| T11 | Średnie | Wysoki | Wyślij z monitorowaniem | CVE dostawców są oczekiwane w okresie wsparcia; wydanie potrzebuje właściciela i śledzenia ostrzeżeń |
| T12 | Średnie | Wysoki | Zablokuj wydanie | Ścieżki zwrotów i odsprzedaży są przewidywalne dla urządzeń konsumenckich |
| T13 | Średnie | Średni | Akceptuj | Część metadanych LAN jest nieodłączna od udokumentowanych protokołów wykrywania; ryzyko rezydualne akceptuje się tylko z minimalizacją ekspozycji i wytycznymi dla użytkownika dla opcjonalnego wykrywania, gdzie jest wspierane |
| T14 | Średnie | Wysoki | Zablokuj wydanie | Uwierzytelnienie strumienia nie może być słabsze niż udokumentowany model dostępu |
| T15 | Niskie | Wysoki | Wyślij z monitorowaniem | Słabości SDK lub przekaźnika mogą dotknąć wielu urządzeń, więc wydanie potrzebuje własności wersji i monitorowania nadużyć |
| T16 | Średnie | Wysoki | Zablokuj, chyba że jest udokumentowane | Zamknięte binarki lub utrzymywane przez dostawcę potrzebują właściciela wydania, kanału ostrzeżeń i ścieżki aktualizacji albo spisanej decyzji o ryzyku rezydualnym |
Które kontrole projektowe zmieniają obraz ryzyka?
Przypisz każdy wiersz kontroli do konkretnego testu kamery, nie generycznej listy bezpiecznego rozwoju. Teczka wydania powinna umieć wskazać z ID zagrożenia dokładny test parowania, skan uwierzytelnienia strumienia, log weryfikacji podpisanej aktualizacji, inwentarz usług po konfiguracji lub zapis czyszczenia RMA, który dowodzi, że kontrola działa na wysłanej gałęzi kamery.
| Zagrożenia | Kontrola projektowa | Dowód, który producent powinien zachować |
|---|---|---|
| T1, T2 | Sekret konfiguracji per urządzenie, wymuszone przejęcie przez właściciela, brak współdzielonego hasła domyślnego, interfejs konfiguracji zamyka się po przejęciu | Log testu konfiguracji, polityka poświadczeń, test negatywny dla nieuwierzytelnionego dostępu do admina |
| T3 | Krótkotrwałe tokeny aplikacji, sesje powiązane z urządzeniem, unieważnianie po stronie serwera przy resecie hasła, monitorowanie anomalii logowania | Polityka czasu życia tokena, testy unieważniania, testy nadużyć w odzyskiwaniu konta |
| T4, T5 | Domyślnie wyłączone UPnP, uwierzytelniony przekaz, uwierzytelniony ONVIF/RTSP, inwentarz usług po konfiguracji | Skan ekspozycji sieciowej, testy uwierzytelnienia strumienia, przegląd konfiguracji przekaźnika |
| T6 | Bezpieczny boot, podpisane OTA, monotoniczny licznik wersji, sprawdzenie podpisu slotu odzyskiwania, polityka rollback | Dowody łańcucha boot, testy weryfikacji aktualizacji, testy odrzucania downgrade |
| T7 | Bezpieczniki produkcyjne dla debug, zaplombowane lub udokumentowane pola debug, brak sekretów w czytelnym wyjściu UART | Lista kontrolna produkcji sprzętu, weryfikacja blokady debug, notatka o ryzyku przy demontażu |
| T8 | Szyfrowane nagrywanie microSD tam, gdzie wariant kamery to wspiera (Eufy, TP-Link Tapo na wspieranych modelach); bezpieczne kasowanie przy resecie fabrycznym; jasne ostrzeżenie użytkownika wydrukowane w podręczniku i w aplikacji dla wariantów nagrywających bez szyfrowania | Notatka o projekcie magazynu, test resetu, zrzut ekranu z instrukcji użytkownika, przechwycenie ostrzeżenia w aplikacji |
| T9 | Uwierzytelnione parowanie BLE, krótkie okno parowania, sekret Wi-Fi nigdy nie przesyłany jawnie, limity szybkości parowania | Przegląd protokołu parowania, test RF, test trybu awarii |
| T10 | Minimalizacja pakietu wsparcia, redakcja tokenów, zgoda użytkownika przed wysyłką, limit retencji | Schemat wsparcia, testy redakcji, dowód przepływu wsparcia |
| T11 | Monitorowanie SBOM, śledzenie ostrzeżeń dostawców, klasyfikacja dotkniętego komponentu, proces wydania podpisanej aktualizacji | Log diff SBOM, zapis ostrzeżeń dostawcy, decyzje klasyfikacji |
| T12 | Przepływ czyszczenia RMA, odwiązanie od chmury, rotacja poświadczeń przy resecie, lista kontrolna urządzenia zregenerowanego | Lista kontrolna linii zwrotów, dowód resetu, audyt odwiązania od chmury |
| T13, T14 | Inwentarz usług po konfiguracji, uwierzytelnione URL strumieni, minimalizacja odpowiedzi wykrywania, dowody testów profili i wersji | Skany ekspozycji, testy uwierzytelnienia ONVIF/RTSP, audyt odpowiedzi wykrywania |
| T15 | Inwentarz SDK P2P, zakres tokena sesji, entropia UID urządzenia, śledzenie ostrzeżeń SDK, testy przypadków podszywania i nadużyć | Zapis wersji SDK, test enumeracji UID, test podszywania pod urządzenie |
| T16 | Inwentarz firmware dostawców dla ISP, Wi-Fi, enkodera i komponentów AI; właściciel komponentu i ścieżka aktualizacji | Lista materiałowa dostawcy, zapis śledzenia ostrzeżeń, log decyzji wydania |
Jakie ryzyko rezydualne pozostaje po kontrolach?
Kontrole nie zamykają teczki. Po wysłaniu kamery producent nadal pracuje z ryzykami zarządzanymi aktywnie: kanałem aktualizacji firmware, ścieżkami przejmowania konta właściciela i długim ogonem CVE dostawców w stosie Wi-Fi, bibliotekach mediów i SDK P2P, które pojawiają się przez cały okres wsparcia. Zapis rezydualny jest wiarygodny tylko wtedy, gdy producent może wskazać żywe monitorowanie tych sygnałów, decyzje klasyfikacji nowych ostrzeżeń, podpisane aktualizacje, które faktycznie dotarły do zainstalowanych kamer, powiadomienia, które poszły do właścicieli, i zapisane działanie naprawcze za każdym z nich.
| Obszar rezydualny | Dlaczego pozostaje | Dowód operacyjny |
|---|---|---|
| Skompromitowana końcówka właściciela | Producent nie kontroluje w pełni telefonu, przeglądarki, poczty ani higieny haseł użytkownika | Wsparcie MFA, unieważnianie tokenów, alerty o podejrzanym logowaniu, wytyczne dla użytkownika |
| Podatność dostawcy wykryta po wydaniu | Biblioteki mediów, firmware Wi-Fi, jądra i biblioteki TLS nadal będą dostawać CVE | Śledzenie SBOM, przyjmowanie ostrzeżeń dostawców, analiza wpływu, zapis łatek |
| Lokalny dostęp fizyczny | Kamerę w domu można ukraść, odsprzedać, naprawić lub może uzyskać do niej dostęp gość | Przepływ resetu, dowód blokady debug, ostrzeżenie o magazynie, zapis czyszczenia RMA |
| Dryf ekspozycji sieciowej | Aktualizacje firmware, zmiany przekaźnika lub flagi funkcji mogą ponownie otworzyć usługi | Skan ekspozycji per wydanie, inwentarz usług, zatwierdzanie zmian |
Bramą wydania jest sam rejestr ryzyka. Nie dodawaj osobnej karty „bezpieczeństwo przejrzane", która powtarza tę samą pracę. Przy podpisaniu wydania właściciel powinien umieć wskazać od zablokowanych lub warunkowych zagrożeń do dowodów zamknięcia: testów parowania i strumienia dla T1/T2/T5/T14, unieważnienia tokena dla T3, testów podpisanej aktualizacji dla T6, dowodów magazynu/resetu dla T8, dowodów czyszczenia RMA dla T12 oraz monitorowania dostawców dla T11/T16.
Odpowiedzialność za rozwój kamery od koncepcji do wsparcia
Główna odpowiedzialność przechodzi, gdy kamera idzie od definicji produktu do żywego wsparcia. Użyj tego przekazania, aby przypisać jednego prowadzącego, jeden prowadzony rejestr i jedną bramę przeglądu w każdej fazie zmian produktu.
Szczegóły odpowiedzialności: produkt i bezpieczeństwo są właścicielami memorandum granic wariantu w fazie koncepcji. Bezpieczeństwo produktu wraz z firmware i chmurą są właścicielami mapy granic zaufania, rejestru zagrożeń i drabiny bramy w fazie architektury. Właściciele firmware, chmury, aplikacji i dostawców utrzymują reguły podpisanej aktualizacji, kontrole tokenów i sesji, manifest komponentów, kanały ostrzeżeń dostawców i decyzje o flagach funkcji w fazie implementacji. QA wraz z bezpieczeństwem produktu utrzymują skany ekspozycji, testy uwierzytelnienia strumienia, testy nadzoru nad wideo, ćwiczenia resetu lub czyszczenia RMA i decyzje rezydualne w fazie weryfikacji. Compliance i właściciel wydania utrzymują pakiet wydania, indeks teczki technicznej, instrukcje, deklarację okresu wsparcia, podpisaną deklarację, pakiet importera i gotowość do zgłoszeń. PSIRT, wsparcie i inżynieria utrzymują przyjmowanie zgłoszeń, klasyfikację ostrzeżeń dostawców, powiadomienia użytkowników, podpisane poprawki, wycofanie punktów końcowych, testy regresyjne i zapisy działań naprawczych po wydaniu.
Szczegóły przekazania: zamroź granicę przed pracą nad architekturą, zamroź zamierzenie projektowe przed implementacją, zamroź kandydata przed weryfikacją, zamroź decyzję przed wydaniem i utrzymuj wydanie w działaniu przez okres wsparcia. Przychodzące zgłoszenia, ostrzeżenia dostawców, wyniki incydentów i wyniki regresji ponownie otwierają kolejne memorandum granic, rejestr zagrożeń i manifest komponentów.
Mapa dowodów producenta
Recenzent lub oceniający z jednostki notyfikowanej przechodzi teczkę techniczną kamery tak, jak instalator otwiera pudełko: od oznakowanego produktu, przez dostarczane elementy cyfrowe, do dowodów wsparcia obiecanych kupującemu. Wiersze poniżej nazywają rejestry, które producenci kamer trzymają aktualne dla tego przejścia; każdy wiersz powinien być prowadzonym plikiem w folderze produktu, a nie próbkowanym zrzutem ekranu zaciągniętym przed podpisaniem.
| Obszar dowodu | Co przechwycić dla kamery bezpieczeństwa |
|---|---|
| Tożsamość produktu | Model, wersje firmware, aplikacja towarzysząca, usługa chmurowa, rewizje sprzętu |
| Przewidziane zastosowanie | Czy produkt sprzedawany jest do bezpieczeństwa domowego, monitorowania niemowląt, ochrony przy dzwonku czy profesjonalnego nadzoru |
| Ocena ryzyka | Dostęp do kamery, poufność wideo, konfiguracja poświadczeń, ekspozycja sieci lokalnej, ekspozycja API chmury |
| SBOM i dowody komponentów sprzętowych | Pakiety firmware, komponenty embedded Linux/RTOS, biblioteki przetwarzania obrazu, firmware modułu Wi-Fi/Ethernet, SoC i element bezpieczny, jeżeli obecny |
| Bezpieczne ustawienia domyślne | Brak współdzielonego hasła domyślnego, bezpieczna konfiguracja pierwszego użycia, uwierzytelniony dostęp do admina, chroniony dostęp zdalny |
| Mechanizm aktualizacji | Podpisane aktualizacje firmware, strategia rollback, dostępność aktualizacji w okresie wsparcia |
| Obsługa podatności | Polityka CVD, kontakt do zgłoszeń, przepływ klasyfikacji, proces ostrzeżeń bezpieczeństwa |
| Instrukcja użytkownika | Bezpieczna instalacja, konfiguracja konta, ustawienia aktualizacji, informacja o końcu wsparcia |
| Identyfikowalność i kontakt | Schemat modelu i numeru seryjnego kamery, identyfikator partii, oznaczenia opakowania, kontakt do producenta lub importera UE, data końca okresu wsparcia wydrukowana tam, gdzie kupujący może ją przeczytać przed zakupem, oraz opublikowany adres zgłaszania podatności obsługiwany przez zespół bezpieczeństwa |
Ścieżka oceny zgodności
Wybierz ścieżkę zgodności dopiero po ustaleniu granicy kamery, oceny ryzyka, kontroli i ryzyk rezydualnych. Inaczej decyzja o ścieżce może wyprzedzić rejestr inżynierski.
Ważna Klasa I nie zawsze automatycznie wymaga jednostki notyfikowanej. Ścieżka kontroli wewnętrznej jest dostępna tylko wtedy, gdy wymagane normy, specyfikacje lub programy są w pełni zastosowane dla mających zastosowanie wymagań.
Potwierdź, czy istnieją odpowiednie normy zharmonizowane, wspólne specyfikacje lub europejskie programy certyfikacji na poziomie zapewnienia co najmniej istotnym, które pokrywają mające zastosowanie zasadnicze wymagania. Jeśli nie istnieją, są zastosowane tylko częściowo lub nie pokrywają wszystkich istotnych wymagań, użyj modułu B+C lub modułu H.
Dla realnego wydania kamery przygotuj teczkę wydania tak, jakby przegląd przez stronę trzecią mógł być potrzebny, a potem potwierdź ścieżkę, gdy mające zastosowanie normy i programy są jasne dla konkretnego produktu kamery.
Wybraną ścieżkę trzymaj razem z zapisem podpisania wydania, w tym referencje, na których się oparto, wymagania, które pokrywają, i wszelkie luki, które wymusiły ścieżkę strony trzeciej.
Podpisanie wydania przez producenta
Zanim kamera zostanie wydana na rynek UE, podpisanie powinno zebrać klasyfikację, granicę, model zagrożeń, kontrole, ścieżkę aktualizacji i proces posprzedażowy w jedną decyzję. Tabela poniżej to krótka teczka wydania, po której recenzent powinien umieć się poruszać.
| Pytanie wydania | Dowód właściwy dla kamery |
|---|---|
| Dlaczego ten produkt jest klasyfikowany jako kamera bezpieczeństwa smart-home? | Deklaracja przewidzianego zastosowania, kanał sprzedaży, kontekst instalacji, warianty produktu i uzasadnienie klasyfikacji |
| Czym dokładnie jest produkt z elementami cyfrowymi? | Korpus kamery, firmware, interfejsy lokalne, aplikacja mobilna, przetwarzanie w chmurze dostarczane z produktem, usługa aktualizacji oraz wyłączone systemy wdrożeniowe stron trzecich |
| Jakie są ścieżki dostępu o najwyższym ryzyku? | Interfejs admina, ONVIF/RTSP, wykrywanie w sieci lokalnej, API chmury, odzyskiwanie konta, oglądanie zdalne, dostęp do microSD, porty debug i poświadczenia serwisowe |
| Co zostało zabezpieczone domyślnie? | Brak współdzielonego hasła domyślnego, chroniona konfiguracja pierwszego użycia, uwierzytelniony dostęp do admina, przegląd usług wystawionych, decyzje o szyfrowaniu i bezpieczny dostęp zdalny |
| Jak kamera będzie aktualizowana bezpiecznie? | Podpisane firmware, opieka nad kluczami, zachowanie rollback, odzyskiwanie po częściowym flashu, dostępność aktualizacji, powiadomienie użytkownika i bezpłatne aktualizacje bezpieczeństwa w okresie wsparcia |
| Jak po wysyłce obsłużone będą podatności? | Publiczny kontakt, polityka CVD, przepływ klasyfikacji, monitorowanie SBOM, śledzenie ostrzeżeń dostawców, proces ostrzeżeń bezpieczeństwa, gotowość do wczesnego ostrzeżenia w 24 godziny, gotowość do powiadomienia w 72 godziny i dowody sprawozdania końcowego |
Sprawdzenia przekazania między operatorami gospodarczymi
Teczka wydania powinna czynić weryfikowalnym przekazanie od producenta do importera, dystrybutora i sprzedawcy pod własną marką. Dla kamer słabym punktem nie jest zwykle samo oznakowanie CE; jest nim to, czy wysyłka, ogłoszenie, aplikacja, usługa chmurowa i kanał aktualizacji nadal odpowiadają ocenionemu wydaniu.
Szczegóły przekazania między operatorami gospodarczymi: producent lub wytwórca pod własną marką jest właścicielem teczki producenta dla konkretnego wydania kamery. Importer weryfikuje uzasadnienie klasyfikacji, deklarację, kontrolę oznakowania CE, indeks teczki technicznej, deklarację okresu wsparcia, kontakt do zgłaszania podatności, obsługę inwentarza komponentów, instrukcję w języku docelowym i tożsamość importera, zanim umieści wysyłkę na rynku UE. Dystrybutor sprawdza widoczne sygnały należytej staranności przed sprzedażą, w tym oznakowanie CE, dostarczone dokumenty, identyfikowalność producenta i importera, instrukcję w języku docelowym, deklaracje wsparcia i aktualizacji, spójność ogłoszenia online oraz znane sygnały niezgodności.
Warunki zatrzymania: wstrzymaj wysyłkę lub ogłoszenie, jeśli teczka wydania, identyfikowalność, deklaracja wsparcia, zależność od aplikacji lub chmury, kanał aktualizacji lub znana podatność daje powód do podejrzenia, że wydanie jest niezgodne. Mandat przedstawiciela autoryzowanego czytaj osobno od należytej staranności importera lub dystrybutora. Sygnał roli producenta: przeprowadź nową analizę roli producenta, gdy zmiana własnego brandingu, firmware, aplikacji, chmury, kanału aktualizacji, mostu, pakietu NVR lub przewidzianego zastosowania może wpłynąć na zgodność lub przewidziane przeznaczenie. Pytania z RODO, dyrektywy o urządzeniach radiowych dotyczącej cyberbezpieczeństwa, biometrii, Rozporządzenia o AI i NIS2 trzymaj oddzielnie od odpowiedzi klasyfikacyjnej CRA.
Następny rysunek użyj jako listy kontrolnej ról. Pierwszy diagram przekazania pokazuje przepływ wysyłki i ogłoszenia; ten oddziela sprawdzenia, których właścicielem jest importer, dystrybutor, przedstawiciel autoryzowany, sprzedawca pod własną marką i recenzent sąsiedniego reżimu.
Każdy panel roli łączy weryfikacje, które operator musi przeprowadzić, z warunkiem zatrzymania, który wstrzymuje wysyłkę, ogłoszenie lub wydanie. Importer i dystrybutor siedzą na samym przepływie CRA. Przedstawiciel autoryzowany ma zastosowanie tylko wtedy, gdy producent jest spoza UE, i czyta się go osobno od należytej staranności importera lub dystrybutora. Sprawdzenia sprzedawcy pod własną marką mogą tworzyć rolę producenta, jeśli zmiana może wpłynąć na zgodność lub przewidziane przeznaczenie; klasyfikacja, deklaracja zgodności, dokumentacja techniczna, proces zgłaszania i plan okresu wsparcia nie mogą być dziedziczone jako nieformalna obietnica dostawcy. Sąsiednie reżimy (RODO, dyrektywa o urządzeniach radiowych dotycząca cyberbezpieczeństwa, Rozporządzenie o AI, NIS2) pozostają poza odpowiedzią klasyfikacyjną CRA i potrzebują własnych odrębnych ocen.
Najczęstsze pytania
Czy inteligentne kamery bezpieczeństwa są w CRA Klasą I czy Krytyczne?
Kamery bezpieczeństwa smart-home są zwykle Ważną Klasą I, gdy ich podstawową funkcją jest fizyczne bezpieczeństwo smart-home. Kamera nie jest krytyczna tylko dlatego, że przetwarza wideo lub siedzi w wrażliwej sieci.
Rejestr klasyfikacji: memorandum nazywające dokładny wariant kamery, przekaz handlowy, przewidzianą funkcję bezpieczeństwa, dostarczone elementy cyfrowe i uzasadnienie ścieżki.
Czy kamera bezpieczeństwa smart-home potrzebuje jednostki notyfikowanej?
Nie zawsze. Praktycznym testem jest to, czy producent może w pełni polegać na pokryciu zapewnianym przez mające zastosowanie normy, wspólne specyfikacje lub kwalifikujący się program certyfikacji cyberbezpieczeństwa dla zasadniczych wymagań cyberbezpieczeństwa kamery. Jeśli to pokrycie jest niedostępne lub tylko częściowe, zaplanuj ścieżkę strony trzeciej zamiast zakładać kontrolę wewnętrzną.
Rejestr ścieżki zgodności: wymień referencje, na których się oparto dla konkretnego produktu kamery, wymagania, które pokrywają, ewentualne luki i wybraną ścieżkę.
Czy profesjonalna kamera CCTV lub NVR automatycznie wpadają do tej samej kategorii?
Nie. Nie klasyfikuj profesjonalnego nadzoru samym słowem „kamera". Kamera CCTV, VMS lub NVR mogą nadal być produktami z elementami cyfrowymi i nadal potrzebować pracy bezpieczeństwa CRA, ale ścieżka zależy od przewidzianego zastosowania, dostarczonych elementów i funkcji, na której polega klient.
Rejestr granic: memorandum wariantu nadzoru profesjonalnego obejmujące kamerę, rejestrator, VMS, chmurę instalatora, zdalną ścieżkę dostępu i wszelkie osobne produkty dostarczane z ofertą.
Co, jeśli kamera obejmuje rozpoznawanie twarzy, kontrolę dostępu, zaporę lub funkcje VPN?
Traktuj to jako sygnał ostrzegawczy klasyfikacji. Jeśli kamera jest przede wszystkim kamerą bezpieczeństwa smart-home, te funkcje mogą być częścią oceny ryzyka kamery. Jeśli produkt jest przede wszystkim czytnikiem kontroli dostępu, urządzeniem do uwierzytelniania biometrycznego, bramą VPN, zaporą, IDS/IPS lub innym wymienionym produktem cyberbezpieczeństwa, sklasyfikuj najpierw tę podstawową funkcję i nie wciskaj produktu do kategorii kamery. Ma to znaczenie, bo niektóre kategorie niosą surowszą ścieżkę; na przykład zapory i IDS/IPS to Klasa II.
Sygnał ponownego sprawdzenia: otwórz osobne sprawdzenie funkcji podstawowej, gdy kamera kontroluje tożsamość, dostęp, filtrowanie sieci, dostęp VPN lub wykrywanie włamań, a nie tylko monitorowanie wideo.
Czy magazyn wideo w chmurze zmienia granicę produktu?
Magazyn w chmurze nie zmienia automatycznie klasy. Jeśli przetwarzanie w chmurze dostarczane przez producenta jest zaprojektowane przez producenta lub na jego odpowiedzialność, a kamera nie wykonywałaby jednej ze swoich funkcji bez niego, traktuj to przetwarzanie jako część granicy produktu, dowodów i oceny ryzyka. Klasyfikacja produktu nadal idzie za podstawową funkcjonalnością kamery, chyba że dominuje inna funkcja z listy.
Rejestr granic: mapa zależności od chmury pokazująca, które usługi chmurowe dostarczane są z kamerą, które funkcje bez nich zawodzą, jakie dane przetwarzają i które systemy są poza ofertą producenta.
Czy ONVIF, RTSP lub lokalny webowy admin powinny pozostać włączone po konfiguracji?
Tylko jeśli wydanie ma udokumentowany model dostępu dla tej powierzchni. Konsumencka kamera może wystawiać lokalne strumieniowanie lub administrację do uzasadnionej konfiguracji, użycia przez instalatora lub rejestrator, ale teczka wydania powinna pokazać, czy powierzchnia pozostaje osiągalna po przejęciu, które uwierzytelnienie ją chroni, czy stosowane jest szyfrowanie transportu i jakie ustawienie użytkownika lub deklaracja wariantu to uzasadnia.
Artefakt testowy: skany usług po konfiguracji i po aktualizacji, testy uwierzytelnienia ONVIF/RTSP, przegląd odpowiedzi wykrywania i decyzja wydania dla każdej lokalnej powierzchni.
Kiedy aktualizować ocenę ryzyka?
Aktualizuj ją, gdy wydany stan kamery zmienia się w sposób wpływający na zaufanie: nowy profil ONVIF, tryb oglądania zdalnego, przepływ odzyskiwania konta, przekaz przez chmurę, kanał OTA, chipset, baza firmware, zmiana uwierzytelnienia w aplikacji mobilnej, pole pakietu wsparcia lub zachowanie resetu fabrycznego. Notatka wydania nie wystarcza, jeśli zmieniona funkcja ponownie otwiera ścieżkę ataku.
Sygnał ponownego sprawdzenia: każda zmiana funkcji lub dostawcy, która zmienia dostęp, autorytet aktualizacji, zapisane wideo, powiązanie konta, dane wsparcia lub zachowanie resetu ponownie otwiera granicę i ocenę ryzyka.