ENX VCS and ISO 21434 for Vehicle Cyber Security

자동차 산업의 디지털 전환이 한창 진행 중입니다. 가능한 모든 곳에서, 정비공들이 전자 제품에 자리를 내주고 있습니다. 더 많은 E/E 부품을 설치하는 것은 차량을 더 강력하게 만들고 운전 안전을 증가시키지만, 그것은 또한 차량들을 사이버 공격의 위험에 노출시킵니다. 이러한 이유로, UN은 현대적인 사이버 보안 관리 시스템(CSMS)을 구현하는 것을 제공하는 UN R 155를 채택했고 2024년 7월부터 완전히 시행될 것입니다.

ISO/SAE 21434 표준 "Road Vehicle - Cyber Security Engineering"을 사용하면 공식 요구 사항에 참조되는 지침이 이미 존재하지만 실제로는 이 지침이 충분히 정확하지 않은 것으로 입증되었습니다. ENX 협회는 전 세계적으로 표준화된 구현을 가능하게 하기 위해 VCSA(Vehicle Cyber Security Audites)와 함께 새로운 인증 옵션을 만들었습니다. 당사의 블로그 게시물에서 자동차 업계의 기업들은 이 감사 프로그램이 ISO/SAE 21434에 따른 인증보다 새 규정의 준수 여부를 입증하는 데 더 적합한 이유를 확인할 수 있습니다.

자동차 산업에서 사이버 보안을 위한 새로운 규제의 중요성
새 규정은 어떤 문제를 해결합니까?
솔루션으로서의 ISO/SAE 21434 인증?
ISO/PAS 5112에 따른 CSMS 심사 요구사항
ENX에서 VCS 심사를 개발한 이유
ENX VCS의 장점
결론: ENX VCS는 코스를 설정하는 합리적인 방법입니다
DQS: 신뢰할 수 있는 인증 파트너

자동차 산업에서 사이버 보안을 위한 새로운 규제의 중요성

새로운 자동차 사이버 보안 규정으로 2024년 7월부터 새로 제작되는 모든 차량에 구속력 있는 요건이 적용됩니다. 요건이 이행되지 않으면 해당 모델 시리즈는 형식 승인을 받지 못합니다. 사이버 보안 관리 시스템(CSMS)의 의무적인 구현과 함께 당국이 의도하는 총체적인 사이버 보안은 모든 차량 구성 요소를 포함합니다.

차량에 설치된 대부분의 부품은 자동차 제조업체의 공급망에서 비롯됩니다. UNR 155는 이러한 제조업체가 공급하는 부품의 사이버 보안을 책임지도록 합니다. 그러나 그들은 공급자와의 계약 계약을 통해서만 부품의 사이버 보안에 영향을 미칠 수 있습니다. 따라서 위험 관리의 일환으로 차량 제조업체는 장기적으로 필요한 사이버 보안을 보장하고 유지하기 위해 공급자에 대한 명확한 계약과 의미 있는 심사에 의존합니다.

새로운 규정은 어떤 문제를 해결합니까?

입법자에 의한 UNR 155(및 소프트웨어 업데이트에 초점을 맞춘 UNR 156)의 도입은 도로 차량 및 사이버 보안의 소프트웨어 제어 구성 요소와 관련하여 존재하는 몇 가지 복잡한 문제에 주의를 기울입니다:

이러한 구성 요소를 작동하기 위한 소프트웨어가 안전하게 설계, 개발 및 구현되도록 보장하려면 어떻게 해야 합니까?
생산 프로세스에서 의도된 소프트웨어 버전만 장착된 구성 요소는 어떻게 되며, 구성 요소에 소프트웨어 보호를 장착하기 위해 관련 생산 시스템은 어떻게 필요합니까?
구성 요소의 보안 이벤트가 기록되고 10년이 지난 후에도 업데이트를 통해 위협을 효과적으로 해결할 수 있는지 어떻게 모니터링할 수 있습니까?

솔루션으로서의 ISO 21434 인증?

이러한 질문에 답하기 위해 UNR 155는 차량 제조업체에서 ISO/SAE 21434에 따라 사이버 보안 관리 시스템(CSMS)을 구축하는 것을 언급합니다. 관리 시스템은 회사나 조직을 효과적으로 관리하고 통제하는 데 사용되는 일련의 프로세스 및 절차입니다. 표준의 목적을 위해, 자동차 산업에서 "사이버 보안"이라는 용어는 특히 도로 차량의 컴퓨터 시스템, 네트워크 및 데이터의 보호를 나타냅니다. 여기에는 차량에 사용되는 디지털 시스템의 보안과 무결성을 보장하기 위한 조치와 전략이 포함됩니다.

사이버 보안을 보장하기 위해, 이 표준은 보안 설계, 제품 개발, 제품 유지, 리스크 감지, 리스크 방지, 제품 폐기 및 관련 연속 프로세스에서 CSMS에 대한 프로세스 및 절차를 지정합니다. 따라서, 이 표준은 위협 및 리스크 분석(TARA)이라고 하는 사이버 보안의 위험을 평가하기 위한 프로세스 모델을 포함하여 CSMS의 포괄적인 아키텍처 모델을 제공합니다.

아래에서는 UNR 155의 요구사항을 충족하기 위한 순수 ISO/SAE 21434 인증을 반대하는 주장이 무엇인지 알아볼 수 있습니다.

자동차 사이버 보안: 2024년 7월부터 신규 규정

디지털화로 인해 공격의 위험이 급격히 증가했습니다. 자동차 제조업체는 많은 측면에서 사이버 범죄자에게 매력적인 표적입니다. 블로그 게시물을 읽어보고 그들을 보호하기 위한 규정이 있는지 확인하십시오.

블로그 기사로 이동

ISO/PAS 5112를 이용한 심사 요구사항

ISO/SAE 21434는 CSMS에 대한 심사 방법에 대해 해석의 여지가 많이 남습니다. ISO/PAS 5112는 각 심사 제공자가 인증 기관의 규정에 따라 ISO 21434 표준에 대한 자체 심사 프로그램을 작성함에 따라 조직의 사이버 보안 및 CSMS에 대한 심사 프로세스를 표준화할 필요가 있습니다.

ISO/PAS 5112는 심사 프로그램을 관리하기 위한 일반적인 지침을 포함하고 있으며 조직에 심사 계획 및 실행에 필요한 정보를 제공합니다. 또한 CSMS 심사인의 역량을 정의하고 표준의 실행을 확인하는 방법을 설명합니다.

ENX에서 VCS 심사를 개발한 이유

표준화를 개선하려는 이러한 노력에도 불구하고 자동차 산업에서 결과적으로 발생하는 사이버 보안 심사 프로그램은 여전히 매우 다양합니다.

복수의 계약 파트너와 깊이 통합된 공급망을 배경으로 비교 대상이 아닌 심사 프로그램은 차량 제조업체에 큰 문제를 제기합니다. 제조업체는 위험 관리를 위해 사이버 보안 관리 시스템(CSMS)의 공급업체 심사 결과에 의존할 수 있어야 합니다.

ENX는 이러한 필요성을 인식하고 자동차 업계와 협력하여 ENX VCS(Vehicle Cyber Security)라는 세계적으로 표준화된 심사 프로그램을 구현하여 솔루션을 개발했습니다. ENX는 회원 네트워크를 사용하여 심사 프로그램을 업계의 특정 요구 사항에 맞게 조정했습니다.

동시에 ISO/SAE 21434만으로는 UNR 155의 모든 규제 요구 사항을 충족하기에 충분하지 않습니다. UNR 155는 CSMS 프로세스의 예로 ISO/SAE 21434를 언급하지만 CSMS의 기능은 지속적으로 유지되어야 합니다:

UN 155, 7.2.2.3장: 차량 제조업체의 대응이 필요한 사이버 위협 및 취약성은 합리적인 기간 내에 해결해야 합니다.
UN 155, 7.2.2.4장: 차량 제조자는 사이버 보안 관리 시스템에 적용된 절차에 따라 제7.2.2 g)항에서 언급한 모니터링이 정기적으로 이루어지도록 입증해야 합니다.

위와 같은 요건은 CSMS와 함께 운영되는 경우에만 장기적으로 현실적으로 충족될 수 있으며, 이는 회사 전체에 정보 보안을 영구적으로 보장합니다. 이러한 이유로 ENX VCS는 항상 개발 현장에서도 TISAX 평가를 통과해야 한다고 요구합니다. 이를 통해 심사를 받은 공급업체는 위험을 고려하고 리스크를 회피하는 관리를 통해 실사 의무를 이행하는 것을 지속적으로 입증할 수 있습니다.

ISO 27001 - 일반적 정보 보안

ISO/IEC 27001은 정보보안을 위한 총체적 관리시스템 도입을 위한 선도적인 국제표준입니다. ISO 표준은 최근 개정되어 2022년 10월 25일에 재발행되었습니다.

ISO 27001 - 더 많은 정보

ENX VCS의 장점

ISO 21434 및 ISO/PAS 5112의 1:1 구현

좋은 소식은 첫째, 자동차 사이버 보안 측면에서 ISO 21434 및 ISO/PAS 5112를 따라온 사람들은 이미 올바른 길을 가고 있다는 것입니다. 두 표준의 요구 사항은 수학적으로 말하면 VCS 사양의 진정한 부분 집합입니다. 즉, 두 ISO 표준의 모든 요구 사항은 ENX VCS Vehicle Cyber Security에서 1:1로 확인할 수 있습니다.

그러나 ISO 심사와 비교할 때, ENX VCS는 유사한 절차 모델을 가능하게 합니다. 모든 심사 제공자에 걸쳐 전 세계적으로 유사한 프로세스를 보장하기 위해 ENX는 프로그램 시작 시 특정 "심사 제공자 기준 및 평가 요구 사항"(ACAR VCS 1.0)과 바인딩된 VCSA 심사 카탈로그 1.0을 게시했습니다. 여기에는 무엇보다도 다음이 포함됩니다:

CSMS 규정에 대한 조직심사(주로 문서 및 프로세스 심사),
구성요소의 사이버 보안을 다루는 프로젝트의 위험 지향적인 표본을 만드는 것,
프로젝트 샘플은 VCS 프로젝트에서 CSMS 규정이 일관되게 적용되는지 확인하는 데 사용됩니다. 예를 들어 엔지니어링 팀 팀원과의 인터뷰 및 작업 결과 검토가 포함됩니다.

표준화된 역량

ACAR는 또한 심사원과 전문가를 위한 세계적으로 표준화된 역량 요구 사항과 역할 설명을 정의합니다:

VCS 선임 심사원
VCS 전문가

VCS 전문가의 지식은 항상 VCS 감사 팀에 전달되어야 합니다. 인터뷰 단계에서 전문가가 엔지니어링 팀과의 대화를 넘겨 받아 작업 및 작업 결과에 대한 전문적인 평가를 가능하게 합니다.

역할 중심 심사

TISAX®의 전통에서 ENX VCS는 공급업체가 VCS 레이블을 위한 새로운 시스템 형태로 사이버 보안에 관련된 구성 요소를 제공하는 데 수행할 수 있는 다양한 역할도 고려합니다. 이러한 방식으로 공급업체는 해당 역할에 적합한 VCSA 평가 카탈로그의 요구 사항만 충족하면 됩니다:

VCS 개발
VCS 생산
VCS 운영 및 유지 관리

그에 필적하는 노력

ENX VCS 라벨의 유효 기간은 3년이며, 사후심사는 필요하지 않습니다. 반면 ISO/SAE 21434에 따른 심사는 3년에 걸쳐 한 번의 갱신심사와 2회의 사후심사가 해당 여행 경비와 함께 요구됩니다.

민첩함

또한 ENX VCS는 ISO 표준과 달리 새로운 요구 사항에 적응할 때 민첩성이 향상됩니다. ACAR 규정은 일반적으로 1년에 한 번 의무적으로 개정되어야 하며, 이는 모든 VCS 심사 제공자가 이행해야 합니다.

결론: ENX VCS를 합리적인 방법으로 코스를 설정합니다

요약하면, ENX VCS 감사 프로그램은 ISO/SAE 21434 및 ISO/PAS 5112의 요구사항에 따라 감사의 글로벌 개선 구현을 가능하게 합니다. 새로운 레이블의 글로벌 비교 가능성이 증가함에 따라 인증 및 UNR 155의 사이버 보안 요구사항 이행에 대한 신뢰도가 크게 향상됩니다.

DQS: 신뢰할 수 있는 인증 파트너

DQS는 관리 시스템 인증을 위해 가장 경험이 풍부한 독일 서비스 제공업체 중 하나로 ENX와 수년간 협력해 왔으며 새로운 감사 프로그램 개발에도 직접 참여했습니다. 프로그램이 발표되기까지 오랜 개발 기간 동안 DQS는 많은 평가판 감사에서 귀중한 경험을 쌓았으며, 따라서 VCS 사양을 기반으로 CSMS를 감사할 수 있는 이상적인 준비가 되어 있습니다.

전문가의 지식을 활용하여 ENX VCS에 대해 필요한 모든 것과 귀사에 대한 중요성을 알아보십시오. 35년 이상의 경험과 전 세계 2,500명의 감사인 노하우를 보유한 NAT은 귀사의 유능한 인증 파트너이며 데이터 보호 및 정보 보안과 관련된 모든 질문에 답변을 제공합니다.