[Automotive Cybersecurity-2] الزامات سازمان ملل برای امنیت سایبری خودرو (1): سیستم مدیریت امنیت سایبری

[ad_1]

الزامات جدید امنیت سایبری که صنعت خودرو با آن روبرو است

[보안뉴스= 최영진 이타스코리아 사이버보안사업팀 매니저] کنفرانس بین المللی کمیسیون اقتصادی اروپا (UNECE در مورد استانداردهای خودرو) (WP.29) دو قانون در مورد امنیت سایبری وسایل نقلیه را در ژوئن 2020 تصویب کرد.

[이미지=utoimage]

△ UNR № 155: سیستم مدیریت امنیت سایبری و امنیت سایبری
-CSMS (سیستم مدیریت امنیت سایبری خودرو)
△ UNR № 156: سیستم مدیریت به روزرسانی نرم افزار و به روزرسانی نرم افزار
-SUMS (سیستم مدیریت بروزرسانی نرم افزار خودرو)

در این مجموعه ، شماره 155 CSMS (سیستم مدیریت امنیت سایبری) را در میان این دو قانون معرفی خواهم کرد. طبق مقررات امنیت سایبری خودرو ، تولیدکنندگان اتومبیل که مایل به فروش وسایل نقلیه مسافری و تجاری به کشورهای عضو UNECE (بیش از 60 کشور از جمله اروپا و آسیا) هستند باید از جولای 2022 گواهی CSMS دریافت کنند. و فقط سازندگان اتومبیل دارای گواهینامه CSMS می توانند برای تأیید نوع VTA برای وسایل نقلیه جدید درخواست دهند. علاوه بر الزامات ایمنی عملکردی موجود ، VTA به اقدامات امنیت سایبری مطابق با UNR № 155 نیاز دارد. در صورت عدم اجرای اقدامات امنیت سایبری ، وسایل نقلیه از ژوئیه 2022 به کشورهای عضو UNECE فروخته نمی شوند. بر این اساس ، وزارت زمین ، زیرساخت ها و حمل و نقل کره همچنین رهنمودهای امنیت سایبری اتومبیل را در دسامبر سال 2020 منتشر کرد و در حال آماده سازی برای پاسخگویی به امنیت سایبری وسایل نقلیه مناسب کره است.

[Automotive Cybersecurity: Are You Ready? 연재순서]
1. نیاز به پاسخگویی به مقررات UNECE در مورد امنیت سایبری
2. الزامات سازمان ملل برای امنیت سایبری خودرو (1): سیستم مدیریت امنیت سایبری
3. الزامات سازمان ملل برای امنیت سایبری خودرو (2): ارزیابی ریسک ، آزمایش امنیت
4- تقویت امنیت سایبری در خودروها در آینده …

رابطه بین سیستم مدیریت امنیت سایبری خودرو (CSMS) و تأیید نوع خودرو (VTA)[출처=에스크립트, 제공=이타스코리아]

تولیدکنندگان برجسته اتومبیل در جهان راه اندازی سیستم مدیریت CSMS را آغاز کرده اند و سایر تولیدکنندگان خودرو مشغول تجزیه و تحلیل الزامات UNECE برای درک مقررات CSMS و ارزیابی سطح مدیریت امنیت سایبری خود هستند.

قانون امنیت امنیت سایبری UNECE WP.29 خواستار اقدامات متقابل روشنی برای امنیت سایبری در صنعت خودرو در عصر رانندگی خودکار است. بنابراین ، CSMS یک ارزش اصلی برای اجرای استراتژی های تجاری برای تولید کنندگان خودرو و تامین کنندگان خواهد بود. این شرکت باید دارای فعالیت های امنیت سایبری برای مسئولیت های مدیریتی ، سازمان ، فرهنگ آموزشی ، فرآیندهای شرکت ها ، واحدهای خودرو و قطعات خودرو باشد. دامنه چرخه عمر CSMS (پس از توسعه وسایل نقلیه و تولید انبوه و در زمان توقف) باید فعالیتهایی را برای تعریف ، کنترل ، مدیریت و بهبود امنیت سایبری با توجه به ابزار فنی انجام دهد.

UNR № 155 و ISO / SAE 21434
مطابق با UNR № 155 ، خودروسازان ملزم به تعیین الزامات امنیت سایبری در طول چرخه زندگی از طراحی خودرو تا تولید تا پایان کار ، ایجاد و اجرای فرایندهای تجاری برای عملیات CSMS هستند. UNECE ISO / SAE 21434 را به عنوان یک استاندارد اساسی بین المللی توصیه می کند که هنگام ایجاد فعالیتهای دقیق CSMS می توان به آن اشاره کرد. در حال حاضر ISO / SAE 21434 نسخه DIS است و امسال رسماً ایجاد می شود.

رابطه بین UNR № 155 و استانداردهای بین المللی[출처=에스크립트, 제공=이타스코리아]

در صنعت خودرو ، انواع خودروهایی که ارتباط مستقیمی با زندگی و ایمنی رانندگان دارند با ایمنی در توسعه و تولید انبوه انواع خودروها بر اساس ISO 26262 ، استاندارد بین المللی ایمنی عملکردی مطابقت دارند. علاوه بر این ، با تصویب و اصلاح قوانین ملی ، با شروع 155 № UNR ، اهمیت امنیت سایبری در حال افزایش است. مانند ایمنی عملکردی ، ISO / SAE 21434 بر اساس مدل V ساخته شده است و حدود 160 مورد نیاز برای ایجاد یک سیستم برای مدیریت امنیت سایبری خودرو مطابق با UNR UN 155.

تفاوت بین CSMS و ISMS
به طور کلی ، با توجه به فضای صنعتی که بسیاری از تأمین کنندگان باید درگیر فرآیند تولید و فروش یک وسیله نقلیه باشند ، ایجاد و راه اندازی CSMS مستلزم برخورد نزدیک و ارگانیک بین تولیدکنندگان و تأمین کنندگان خودرو است. . این سیستم مدیریت امنیت اطلاعات و مفهوم مدیریت زنجیره تأمین قبلاً در ISMS (ISO / IEC 27001.2) ، سیستم مدیریت امنیت اطلاعات سازمانی معرفی شده است.

between تفاوت بین ISMS و CSMS[출처=에스크립트, 제공=이타스코리아]

با این حال ، هدف ISMS تمرکز بر حفاظت از سیستم های اطلاعاتی شرکت ها است ، در حالی که هدف CSMS حفاظت از اطلاعات محصولات (وسایل نقلیه) تولید شده توسط شرکت ها است.

هدف از ایجاد CSMS برای تولیدکنندگان اتومبیل است ، اما به همکاران نیز نیاز است.
امنیت سایبری وسایل نقلیه دیگر یک گزینه نیست بلکه یک نیاز اساسی است و وقت آن است که به طور فعالانه به ذینفعان مختلف از جمله سازندگان خودرو پاسخ دهیم. در ژوئن سال گذشته ، مدیریت UNR № 155 به گواهینامه CSMS از تولید کنندگان خودرو نیاز داشت و هیچ الزام خاصی برای تأمین کنندگان وجود ندارد. با این حال ، در تاریخ 1 ژانویه سال جاری ، با بازنگری در راهنمای UNR ръ 155 ، تولیدکنندگان خودرو شروع به تأکید و راهنمایی کردند تا نشان دهند که می توانند خطرات مربوط به امنیت سایبری شرکا را از طریق CSMS تشخیص داده و به آنها پاسخ دهند. بر این اساس ، شرکای برجسته جهانی در حال حاضر برای CSMS آماده می شوند ، زیرا در دسترس بودن CSMS به طور کامل شرایط تولید کنندگان خودرو را برآورده می کند و برای برنده شدن قرارداد سودآور است.

▲ UNR № 155 نظر ویرایش اصلاح شده (2021.01.01) ماده 7.2.2.5 ، مشخص شده توسط CSMS تامین کننده[출처=UNECE 홈페이지, 제공=이타스코리아]

پیکربندی CSMS
حال بیایید بررسی کنیم که چگونه CSMS که تولیدکنندگان و شرکای آن سعی در ایجاد رقابت دارند. دامنه های جزئی CSMS را می توان به دو دسته تقسیم کرد: perspective چشم انداز حاکمیت شرکتی و چشم انداز مدیریت فرآیند خودرو.

ترکیب ترکیب چارچوب CSMS[출처=에스크립트, 제공=이타스코리아]

چشم انداز مدیریت شرکت
در تصویر کلی ، تولیدکنندگان و تأمین کنندگان خودرو باید سیاست امنیت سایبری خودرو و روشی متناسب با آن سیاست را داشته باشند. علاوه بر این ، هر روش باید تعریف مشخصی از دپارتمان انجام دهنده آن داشته باشد و توصیه می شود از گواهینامه هایی که شرکت در اختیار دارد استفاده کنید. برجسته ترین جنبه سیاست ، روش ارزیابی ریسک است. شرکت ها باید یک روش ارزیابی ریسک وسیله نقلیه داشته باشند که از طریق ممیزی های صدور گواهینامه CSMS تأیید شود تا اطمینان حاصل شود که شرکت معیارهای ارزیابی ریسک و اقدامات متقابل مناسب را برای خطرات اخذ شده اعمال می کند. به عبارت دیگر ، استفاده از روش ارزیابی ریسک به طور مداوم برای کنترل کننده های نصب شده در وسیله نقلیه و اثبات اینکه یک پاسخ مناسب مطابق با نتیجه ارزیابی ریسک ایجاد شده است ، ضروری است.

علاوه بر این ، CSMS اکنون نیاز به نظارت بر امنیت سایبری خودرو دارد ، دقیقاً مانند اقدامات مقابله ای در یک محیط مشترک فناوری اطلاعات. نظارت کل چرخه زندگی خودرو را در بر می گیرد و از آنجا که هدف جمع آوری اطلاعات ، اطلاعات مربوط به وسایل نقلیه است ، مانند امنیت اطلاعات شرکت ها است ، اما ویژگی های تجاری مختلفی دارد.

چشم انداز مدیریت فرآیند خودرو
هنگامی که همه فعالیت های امنیت سایبری که باید از دیدگاه شرکت ها متعلق به آنها باشد در دسترس هستند ، فعالیت های امنیت سایبری برای وسایل نقلیه مورد نیاز است. در میان آنها ، اولین فعالیتی است که در توسعه یک وسیله نقلیه به عنوان یک واحد طراحی مورد نیاز است و دیگری فعالیت امنیت سایبری از تولید انبوه تا لحظه ای که نوع خودرو متوقف می شود. همه پیکربندی ها شبیه به امنیت عملکردی هستند زیرا براساس مدل V ساخته شده اند ، با این تفاوت که اطلاعات و تهدیدهایی که باید تجزیه و تحلیل و مدیریت شوند مربوط به امنیت سایبری است.

با فرض اینکه تولید یک نوع وسیله نقلیه معمولاً حدود 2-3 سال طول می کشد ، اگر قصد دارید بعد از ژوئیه 2022 برای نوع خاصی از خودرو به تولید انبوه بپردازید ، برای امنیت سایبری باید VTA دریافت کنید. همه پروژه ها باید با توجه به امنیت سایبری انجام شوند. اگر سیستم مدیریت امنیت سایبری راه اندازی نشده یا حتی راه اندازی نشده باشد ، اگر ارزیابی ریسک به درستی تأیید نشود ، سازنده خودرو دیگر نمی تواند نوع خودرو را بفروشد.

اتصال بین CSMS و VTA
پیش از این توضیح داده شده بود که سیستم مدیریت CSMS باید توسط تولیدکنندگان خودرو و تأمین کنندگان مجهز شود و دامنه آن چرخه عمر خودرو است. از منظر مدیریت شرکت ، به محض ایجاد فرایندها و سازمانهای تولید خودرو ، دروازه نهایی VTA برای وسایل نقلیه تولید شده از طریق فعالیتهای امنیت سایبری است.

between اتصال بین CSMS و VTA[출처=에스크립트, 제공=이타스코리아]

VTA ایمنی عملکردی و امنیت سایبری را برای انواع وسایل نقلیه درخواست شده توسط سازندگان وسایل نقلیه از خدمات فنی تأیید و بررسی می کند. در این فرآیند ، تولیدکنندگان اتومبیل باید گواهی CSMS برای ثبت نام در آزمون ارائه دهند. پس از ارائه گواهینامه CSMS ، سازنده خودرو باید شواهدی از فعالیتهای مختلف امنیت سایبری حاصل از فرآیند طراحی / توسعه را در اختیار سازمان آزمایش قرار دهد. در این زمان ، داده های پشتیبانی باید مطابق با محصول در حال کار (WP) ارائه شده توسط ISO / SAE DIS 21434 تهیه شود. شکل زیر مثالی از الزامات هر فعالیت طراحی / توسعه در ISO / SAE 21434 است.

نمونه هایی از انواع مدرکی که برای بدست آوردن VTA باید ارائه شود[출처=에스크립트, 제공=이타스코리아]

در بخش بعدی ، ما در مورد ارزیابی ریسک و آزمایش امنیت در میان عناصر امنیت سایبری (CSE) برای VTA بیشتر خواهیم آموخت. در همین حال ، Samjung KPMG و ETAS کره ، یک شرکت پیشرو در زمینه راه حل های وسایل نقلیه ، در اکتبر 2020 “تفاهم نامه همکاری برای تقویت و همکاری در تجارت امنیت خودرو” را برای ارائه خدمات حرفه ای امنیت سایبری برای وسایل نقلیه امضا کردند.
[글_ 최영진 이타스코리아 사이버보안사업팀 매니저]

www.boannews.com) پخش غیرمجاز-توزیع مجدد ممنوع>

[ad_2]

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.