欢迎光临第五届中国汽车网络信息安全峰会2020!

您准备好进行公路车辆的ISO SAE 21434网络安全了吗?

发布日期:2020-10-17

GRCC IoVSecurity 今天 

手机阅读

点击上方蓝色字体,关注我们

不要让网络安全在车辆生命周期中退居二线。 了解如何为即将发布的道路车辆ISO SAE 21434标准做准备。



ISO SAE 21434的目标是建立在功能安全标准ISO 26262的基础上,并为道路车辆的整个生命周期提供与之相似的框架。该新标准的主要组成部分包括安全管理,基于项目的网络安全管理,持续的网络安全活动,相关的风险评估方法以及公路车辆概念产品开发和后期开发阶段中的网络安全。


车辆和系统的开发过程经过多年改进,以规范规范和验证任务。Synopsys了解到,汽车OEM,一级供应商和其他当前最有可能在其系统开发过程中将网络安全以及其他功能包括在内的功能。快速解决的问题是:即将出台的标准将如何影响您的制造或服务交付过程?在此博客文章中,我将简要讨论一些主要工作产品和组织过程,需要将它们集成在一起,以使您为使用ISO SAE 21434做好准备。



从您的网络安全计划开始



高层网络安全计划是跟踪网络安全活动及其进度的项目计划。 这必须包括网络安全活动及其负责方,资源和相关时间安排的目标和依赖性。 网络安全计划还标识所有其他网络安全工作产品,并作为内部和外部各方的主要文档。 可以将其视为您的使命声明和高层目标,并结合到一个文档中。



了解ISO SAE 21434标准的影响




对于ISO SAE 21434标准的每个主要条款,组织必须量身定制网络安全活动并不断改进其规范和验证方法。 这包括治理模型和组织工件(例如培训和意识),以及一直到技术组件规范的所有内容。 您的流程,过程和文档必须符合ISO SAE 21434网络安全计划活动,以便为即将到来的法规要求和独立的网络安全审核做好准备。



定义网络安全保证等级



网络安全保证级别以严格而非技术规范的形式陈述了要求。这些级别可用于建立目标和长期计划目标。保证级别还有助于简化程序级别的人员与确保满足保证的网络安全工程师之间的通信。


网络安全保证级别本质上需要是渐进的,但是可以将它们结合起来以实现特定的目标。级别的数量将取决于您的网络安全计划,但是级别之间必须有清晰的界限,并且您必须指定关联的目标。实现此目的的一种好方法是陈述您的保证目标或说明,然后在保证级别后面列出业务案例,理由或理念。最后,提供可以与技术目标相关联的可衡量指标。请记住,随着您的网络安全计划的成熟,这些技术目标和指标将得到完善。这些不断变化的技术目标应独立于您的保证目标。




使用TARA管理您的网络安全风险




威胁分析和风险评估(TARA)是ISO SAE 21434标准中的一项重要功能和工作产品。TARA涵盖了风险评估和评估方法,以及已识别风险的处理和计划。这些方法符合NIST SP-800-30和ISO IEC 31010,它们处理了攻击的可行性以及可能性和相关影响。您的组织将需要标准化评估风险的中央流程和方法,其中可能涉及计算工具。在政策或程序中传达风险时,请确保建立通用语言,并定义类别并将数值应用于影响,攻击路径和破坏。


您的网络安全计划将是正确配置TARA的重要要求。如果没有网络安全目标,则必须临时执行明显的损坏场景和风险处理计划,并且没有明确的保证水平。TARA的输出将指示高,中,低或非常低的等级,但是如果没有适当的风险承受能力,谨慎程度和既定基准的定义,组织的实用性将受到限制。虽然TARA可能被视为传达道路车辆风险的**要求,但它确实是适合网络安全保证和整体网络安全计划的组件。


作者: Jacob Wilson

原文链接:https://securityboulevard.com/2020/10/are-you-ready-for-iso-sae-21434-cybersecurity-of-road-vehicles/



相关文章

ACSS 2020 | ISO-SAE 21434当前状态以及与ISO-2626的潜在一致性
ACSS 2020 | ISO / SAE 21434时代的安全汽车软件开发
黑客对ISO / SAE 21434的看法 .ppt





SELECTED EVENTS




 

长按二维码识别关注



我就知道你“在看”


  • 电话咨询
  • 15021948198
  • 021-22306692
None