咨询电话:

0512-67080821

全面介绍ISO21434认证对UNR155 CSMS认证的支撑

全面介绍ISO21434认证对UNR155 CSMS认证的支撑

2020年6月底,联合国发布了两项期待已久的新规定,预计这将不仅保护车辆免受网络攻击,还将保护乘客的隐私。但让我们从一开始就开始:联合国,也就是联合国欧洲经委会第29工作组(WP 29),自20世纪50年代以来,为车辆的安全方面制定了条例:安全带、前照灯系统或最近的紧急制动系统等等。随着车载系统的数字化,连接性和共享移动性的提高,电子控制单元的数量和软件代码的数量急剧增加。GSA和麦肯锡(McKinsey)在2020年春季发布的一份报告估计,汽车目前有约150 ECU,代码为1亿行。预计到2030年将增加到3亿。一些比较数字见下表。

Software growth (estimated)

预计汽车将成为(如果不是已经)最大的软件供应商,随之而来的是巨大的网络安全风险:黑客试图访问该系统,从而威胁到安全功能或消费者隐私。2018年,联合国欧洲经委会的WP 29开始处理对汽车制造商的约束要求(因此也包括一级和二级供应商)。这导致了前面提到的

  • 联合国第155号条例-网络安全和网络安全管理系统
  • 联合国第156号条例-软件更新和软件更新管理系统

虽然后者为围绕向目标系统提供软件更新的必要过程提供了一个框架,但我们更仔细地研究了UN R 155,CSMS。

现在的紧迫

联合国R 155在2022年7月之前对欧洲经委会市场上的新车具有约束力。日本已于2022年1月表示将实施这一政策。对于旧车,这项规定将在2024年前生效。这给原始设备制造商及其供应链带来了巨大压力,因为在作为欧洲经委会一部分的市场上发布汽车需要认证。此外,展示管理网络安全方面的能力可以为客户提供相互信任。

联合国R 155规则对原始设备制造商的类型审批分为两个主要要求:

1.原始设备制造商必须实施网络安全管理系统(CSMS)。

2.显示出在CSMS中,原始设备制造商执行关于安全方面的决策的可审计证据。该条例甚至提供了威胁、减轻威胁和安全控制项目的例子。换句话说,该条例清楚地显示了该做些什么。但它并没有提供指导。

介绍ISO/SAE 21434

ISO/SAE 21434目前正在定稿中,预计将于2021年8月发布。当前可用的版本不能否认它与ISO 26262的关系。由于现代技术方面的性质(发布时已经过时),ISO/SAE 21434侧重于为解决网络安全相关验证的良好技术提供指导。标准中的几个条款提供了关于实施良好的网络安全文化、在整个产品生命周期中应该做什么以及如何管理与网络安全有关的供应链的答案。重点在于围绕风险分析(第8条)和开发的概念阶段(第9条)的方法。

使用预先配置的对象快速启动您的威胁和风险分析。如果需要的话,你可以很容易地调整和调整你的过程。

使用标准修订、安全性和基线功能在任何时候恢复历史状态以供审核。

使用链接功能将网络安全分析对象与您现有的开发过程连接起来。

Polarion注定要支持原始设备制造商和第1/2层执行联合国R 155和ISO/SAE 21434所产生的要求。与另外提供的ISO/SAE 21434项目模板一起,各组织得到完善的支持,以管理围绕联合国R 155和ISO/SAE 21434的所有需求。

该模板由文档模板组成,这些模板帮助组织将其网络安全准备状态与管理资产一起记录在一个地方。不仅为文档提供预定义的工作流权限模型和基线选项,还可以在各个项目之间重用它们,以节省时间和获得质量。

标准第9条要求分析一个项目是否与网络安全有关。通常,项目是组件或系统的表示-它们并不是独立的。我们的ISO/SAE 21434模板通过将网络安全对象项链接到系统表示来预测不同的开发过程,如下图所示。组件是否在另一个项目中以及它所基于的开发过程与此无关。以图片为例。

Object dependencies

联合国条例和标准的关键方面是提供安全的产品。一个持续的Tara(威胁和风险分析)将在整个生命周期内执行 我公司咨询21434模板通过提供所需的对象(如资产、损坏场景或威胁场景)来帮助用户。每个对象都有必要的属性信息和自定义的生命周期。这有助于用户根据ISO/SAE 21434立即开始分析。潜在的风险类别是基于微软的步幅,它可以用来分析资产。伤害和威胁场景分数遵循Evita项目的定义,这也是SAEJ 3061中提到的。总之,这最终导致最终的风险类别。除了所示的基于攻击的方法外,CVSS 2或基于攻击向量的方法也可以实现。 

ISO/SAE 21434认证的好处

² 汽车行业的网络全标准相关,评估和报告程序也是标准化的获得客户认可

² ISO/SAE 21434认证是符合联合国欧洲经委会R155/R156号文件CSMS认证的依据

² 通过ISO/SAE 21434认证提供了透明度并建立了客户和业务伙伴的信任

² 从一开始就通过查明和消除数字安全漏洞来降低网络安全风险

² 可能出现错误降低到最低风险,保证产品开发质量

² 你有证据证明公司开发的产品的网络安全水平可控并且不断提高

 

 

ISO/SAE 21434认证的优势

² 公司团队专业的网络安全产品经理,针对21434要求建立整套文件体系流程

² 对客户公司现有体系如16949 27001 TISAX ASPICE 26262进行融合体系导入避免客户

避免增加客户的工作量,帮助客户通过21434认证并且进行体系融合

² 公司有成熟的TARA分析技术团队,帮助客户进行TARA技术测评,其中包括漏洞分析,

渗透测试等,并出具权威的报告。

² 德系技术团队进行认证咨询,确保客户技术体系对接符合认证要求,最终确保客户通过

ISO/SAE 21434认证 

ISO/SAE 21434联系

ISO21434认证顾问 葛老师 直线手机18115506012


创建时间:2021-12-08 10:09