WP29认证是什么?WP29汽车网络安全条例
WP.29是协调车辆条例世界论坛,该论坛界定了轮式车辆、设备和部件的类型批准和相互承认程序。WP.29是联合国欧洲经济委员会(欧洲经委会)的一部分,是世界上最大的国际车辆管制制度。它的主要责任是保持其车辆条例的更新和相关,特别是在技术、安全和环境保护方面的变化。
截至2020年,欧洲经委会1958年协定缔约方已增长到54个,包括所有欧盟国家和其他经合组织国家(见下文图1),如日本、土耳其、俄罗斯、澳大利亚和南非。
最新WP.29文件与网络安全有关的第一条规定,规定联网和自动车辆的网络安全。
摘要
WP.29网络安全条例概述了新车辆和制造新车辆的组织的要求。所述的网络安全要求是为了获得关于网络安全的新车辆类型的批准。
该条例目前适用于类别车辆。M和N(主要是有4轮或以上有特定载重量的车辆)-有更多类别(O、R、S和T)正在考虑之中。该条例还将适用于更多的类别,如果配备了3级以上的自动驾驶功能。
该条例将类型批准分为两个非常不同的部分--制造商CSMS的要求和车辆本身的要求。
网络安全管理系统的要求-条例第7.2节:
组织结构:每个制造商必须展示一个基于风险的管理框架,以发现、分析和防范相关的威胁、漏洞和网络攻击,即他们的“CSMS”。制造商用于这样做的过程必须适用于车辆生命周期的开发、生产和后期生产阶段(如上文所定义的)。而且,制造商必须为其组织获得一份“CSMS合规证书”,然后其车辆才有资格在网络安全方面获得类型批准。
组织进程:在遵守CSMS的要求中,有必要说明在车辆开发过程中如何“充分考虑”了条例附件5所列的威胁和缓解措施。附件5全面列出了已知对车辆的威胁以及对车辆的相关缓解措施。如果在制造商的风险评估或车辆设计中没有列入威胁或缓解措施,制造商必须解释为何认为该威胁或缓解措施超出了范围,以及考虑和采取了哪些替代因素和措施,以查明和减少相关车辆系统的风险。
组织过程:为风险识别、分类和处理而构建的,持续到车辆生命周期的各个阶段。这些程序应证明,风险正在并将得到“适当管理”,车辆的网络安全正在并将接受测试(必要时可递归进行),车辆的风险评估在车辆生命周期的任何特定时间都保持最新。在制造商对车辆的风险评估中,对于被认为是“关键部件”(高风险元件)的车辆部件和/或系统,预期将有更多的功能和措施。
CSMS职能:组织职能必须到位,以支持在车辆后期生产阶段(即在路上)监测、检测和应对网络攻击、威胁和漏洞。制造商用于消化的过程和这些职能产生的信息应表明,一旦新的威胁和漏洞被发现,已执行的网络安全措施将如何保持有效。制造商还应制定计划,在车辆生命周期持续期间,在“合理的时间框架”内应对新的网络威胁和漏洞(例如,运行手册等)。
在汽车寿命结束的后期生产阶段,制造商还必须有能力从车辆数据和日志中分析和检测网络威胁、漏洞和攻击。这类活动必须涉及最终用户的隐私权,特别是关于同意的权利。最后,制造商还必须证明如何管理其供应链或其服务提供者或附属组织之间可能存在的网络安全依赖性,并满足上述CSMS要求。
对车辆的要求-条例第7.3节:对于在网络安全方面通过类型核准的车辆,核准当局将开始对其合规情况进行审计,核查制造商是否进行了“详尽无遗的风险评估”,并在这一评价中确定了车辆的关键要素。对于车辆的每一个关键要素,审批当局将核实车辆部件和系统是否受到相应系统或部件风险的相应缓解。
- 该车辆还必须能够履行三项中心职能,以实现网络安全类型的核准:
- 侦测和防止针对.的网络攻击。
- 支持车辆制造商在检测威胁、漏洞和网络攻击方面的监控能力.
- 提供数据取证能力,以便对未遂或成功的网络攻击进行分析。
如果为了遵守这一条例而使用密码模块,则要求制造商使用符合一致标准的模块,如果没有,则应提供令人满意的理由。
还要求制造商每年至少报告一次其监测活动和发现的与核准用于网络安全的车辆有关的任何网络攻击。根据制造商报告的信息,批准当局可能要求制造商纠正制造商报告中的无效或对该领域的网络攻击作出的反应。
注
WP.29联合国网络安全条例是一项前所未有的车辆条例,概述了在其组织和车辆内必须有新的程序和技术制造商,才能在网络安全方面获得车辆类型的批准。虽然在与其他行业主导的汽车网络安全工程标准(例如,iso/sae 21434)相同的时间框架内创建,WP.29成为关于联网和自动车辆网络安全问题的第一个国家或国际法规。WP.29的要求和案文已于2020年6月在欧洲经委会/WP.29网站.
纳兰企管提供WP29认证咨询 欢迎来电咨询 直线电话18115506012
