В статье рассмотрены основные направления организации и проведения комплаенс-контроля при использовании и применении в организации технологии Интернет вещей (англ. internet of things, IoT) на предмет информационной безопасности. В процессе исследования авторы выделяют основные направления и проблемные зоны IoT (сети передач данных между физическими объектами - («вещами»), которые нуждаются в постоянном мониторинге и модернизации. В результате проведенного анализа авторы подготовили и сформулировали четыре основных шага при проведении комплаенс-контроля рассматриваемой области: определить требования, осуществить анализ рисков, провести тестирование и осуществлять систематические проверки системы. В целях минимизации риска взаимодействия пользователей авторами подготовлены рекомендации, которые необходимо осуществлять на постоянной основе при использовании технологий IoT, а именно строгому контролю подлежат следующие характеристики и возможности системы IoT: срок годности (продукта или услуги), способы и надежность авторизации и аутентификации, хранение и защита данных, осуществимость комплексного тестирования, наличие гибкости системы, допустимость удаленного администрирования, обнаружение аномалий, соответствие применяемых стандартов отрасли, для которой разрабатывался продукт или услуга IoT.
The article examines the main directions of the organization and conduct of compliance control in the use and application of Internet of Things technology (English Internet of things, IoT) in the organization for information security. In the course of the study, the authors identify the main areas and problem areas of IoT (data transmission networks between physical objects («things»)) that need constant monitoring and modernization. As a result of the analysis, the authors prepared and formulated four main steps in conducting compliance control of the area under consideration: to determine requirements, to carry out risk analysis, to conduct testing and to carry out systematic checks of the system. In order to minimize the risk of user interaction, the authors have prepared recommendations that must be implemented on an ongoing basis when using IoT technologies, namely, the following characteristics and capabilities of the IoT system are subject to strict control: shelf life (of a product or service), methods and reliability of authorization and authentication, data storage and protection, feasibility of comprehensive testing, availability of system flexibility, permissibility of remote administration, anomaly detection, compliance with applicable industry standards, for which an IoT product or service was developed.