ENX VCS проти ISO 21434: аудит кібербезпеки транспортних засобів

• Важливість нових правил для кібербезпеки в автомобільній промисловості
• Які проблеми вирішує новий регламент?
• Сертифікація ISO/SAE 21434 як рішення?
• Вимоги до аудиту CSMS відповідно до ISO/PAS 5112
• Чому аудит VCS був розроблений компанією ENX
• Переваги ENX VCS
• Висновок: ENX VCS - це розумний спосіб визначити курс
• DQS: ваш надійний партнер для сертифікації

Важливість нових правил кібербезпеки в автомобільній промисловості

Згідно з новими правилами кібербезпеки в автомобілебудуванні, з липня 2024 року обов'язкові вимоги будуть застосовуватися до всіх нових транспортних засобів, що випускаються. Якщо ці вимоги не будуть виконані, відповідні серії моделей не отримають схвалення типу. Цілісна кібербезпека, за задумом влади, з обов'язковим впровадженням системи управління кібербезпекою (CSMS), охоплює всі компоненти транспортного засобу.

Більшість компонентів, встановлених у транспортних засобах, походять з ланцюга постачання автовиробників. Резолюція ООН № 155 покладає на цих виробників відповідальність за кібербезпеку компонентів, які вони постачають. Однак вони можуть впливати на кібербезпеку компонентів лише через свої контрактні угоди з постачальниками. Тому в рамках управління ризиками виробники транспортних засобів залежать від чітких контрактів і змістовного аудиту своїх постачальників, щоб гарантувати і підтримувати необхідний рівень кібербезпеки в довгостроковій перспективі.

Які проблеми вирішує новий регламент?

Впровадження законодавцем UN R 155 (і UN R 156, яка фокусується на оновленні програмного забезпечення) привертає увагу до кількох складних питань, які існують у зв'язку з програмно-керованими компонентами дорожніх транспортних засобів та кібербезпекою:

• Як гарантувати, що програмне забезпечення для управління такими компонентами спроектовано, розроблено та впроваджено безпечно?
• Яким чином компонент оснащується лише передбаченою версією програмного забезпечення в процесі виробництва, і як відповідні виробничі системи повинні оснащувати компоненти програмним захистом?
• Як можна проконтролювати, що події безпеки в компонентах реєструються, а загрози можуть бути ефективно усунені за допомогою оновлень навіть через десять років?

Сертифікація ISO 21434 як рішення?

Щоб відповісти на ці питання, Резолюція ООН R 155 згадує про створення системи управління кібербезпекою (CSMS) відповідно до ISO/SAE 21434 на підприємствах-виробниках транспортних засобів. Система управління - це набір процесів і процедур, що використовуються для ефективного управління та контролю компанії або організації.
Для цілей стандарту термін "кібербезпека" в автомобільній промисловості відноситься саме до захисту комп'ютерних систем, мереж та їхніх даних в дорожніх транспортних засобах. Це включає в себе заходи і стратегії, спрямовані на забезпечення безпеки і цілісності цифрових систем, що використовуються в транспортних засобах.

Для забезпечення кібербезпеки стандарт визначає процеси та процедури для CSMS в проектуванні безпеки, розробці продукту, обслуговуванні продукту, виявленні ризиків, запобіганні небезпекам, утилізації продукту та пов'язаних з ними безперервних процесах. Таким чином, стандарт надає комплексну архітектурну модель CSMS, включаючи модель процесу для оцінки ризиків у сфері кібербезпеки, яка називається "Аналіз загроз та ризиків" (TARA - Threat and Risk Analysis).

Нижче ви можете дізнатися, які аргументи проти чистої сертифікації за стандартом ISO/SAE 21434 для виконання вимог Резолюції ООН R 155.

Вимоги до аудиту за стандартом ISO/PAS 5112

Стандарт ISO/SAE 21434 залишає багато простору для інтерпретації щодо того, як проводити аудит CSMS. Оскільки кожен постачальник послуг з аудиту створює власну програму аудиту за стандартом ISO 21434 відповідно до правил свого органу з акредитації, ISO/PAS 5112 зумовив необхідність стандартизації процесу аудиту кібербезпеки та CSMS організації.

ISO/PAS 5112 містить загальні настанови щодо управління програмою аудиту та надає організаціям необхідну інформацію щодо планування та проведення аудиту. Він також визначає компетенції аудиторів CSMS та пояснює, як можна перевірити впровадження стандарту.

Чому аудит VCS був розроблений компанією ENX

Незважаючи на ці зусилля щодо вдосконалення стандартизації, отримані в результаті програми аудиту кібербезпеки в автомобільній промисловості все ще широко варіюються.

На тлі глибоко інтегрованих ланцюгів поставок з численними договірними партнерами, непорівнянні програми аудиту створюють серйозну проблему для виробників транспортних засобів. Виробники повинні мати можливість покладатися на результати аудитів системи управління кібербезпекою (CSMS) постачальників для управління ризиками.

Компанія ENX визнала цю потребу і розробила рішення у співпраці з автомобільною промисловістю, впровадивши глобально стандартизовану програму аудиту під назвою ENX VCS (Vehicle Cyber Security). ENX використала мережу своїх членів для адаптації програми аудиту до специфічних вимог галузі.

У той же час, одного лише стандарту ISO/SAE 21434 недостатньо для того, щоб відповідати всім нормативним вимогам Резолюції ООН 155. Хоча Резолюція ООН 155 посилається на ISO/SAE 21434 як на приклад процесів CSMS, вона також вимагає, щоб можливості CSMS підтримувалися на постійній основі:

• UN R 155, Глава 7.2.2.3: Кіберзагрози та вразливості, що вимагають реагування з боку виробника транспортного засобу, повинні бути усунені в розумні строки.
• UN R 155, Глава 7.2.2.4: Виробник транспортного засобу повинен продемонструвати, що процедури, які застосовуються в його системі управління кібербезпекою, забезпечують регулярне проведення моніторингу, зазначеного в пункті 7.2.2.2 g).

Вищезазначені вимоги можуть бути реалістично виконані в довгостроковій перспективі лише за умови функціонування системи управління інформаційною безпекою (ISMS - information security management system), яка постійно забезпечує інформаційну безпеку в межах всієї компанії. З цієї причини ENX VCS завжди вимагає, щоб місця розробки також пройшли оцінку TISAX. Таким чином, постачальник, що пройшов аудит, може стабільно демонструвати виконання своїх зобов'язань щодо належної обачності завдяки управлінню, що враховує ризики та уникає їх.

Переваги ENX VCS

1:1 імплементація ISO 21434 та ISO/PAS 5112

Першою гарною новиною є те, що кожен, хто слідкує за ISO 21434 та ISO/PAS 5112 з точки зору автомобільної кібербезпеки, вже на правильному шляху. Вимоги цих двох стандартів - математично кажучи - є справжньою підмножиною специфікацій VCS. Це означає, що всі вимоги двох стандартів ISO можна знайти в співвідношенні 1:1 в ENX VCS (Vehicle Cyber Security).

Однак, у порівнянні з аудитами ISO, ENX VCS забезпечує порівнянну модель процедур. Для того, щоб забезпечити порівнянність процесів у всьому світі для всіх постачальників послуг з аудиту, ENX також опублікувала спеціальні "Критерії та вимоги до постачальників послуг з аудиту" (ACAR VCS 1.0 -  "Audit Provider Criteria & Assessment Requirements") та обов'язковий каталог аудиту VCSA 1.0 на момент запуску програми. Вони включають, серед іншого:

• Організаційний аудит положень CSMS (насамперед, аудит документів та процесів),
• Створення ризик-орієнтованої вибірки проектів, які стосуються кібербезпеки компонентів,
• Вибірка проектів використовується для перевірки того, чи положення CSMS послідовно застосовуються в проектах VCS. Вона включає, наприклад, інтерв'ю з членами команди інженерів та аналіз результатів їхньої роботи.

Стандартизовані компетенції

ACAR також визначає стандартизовані на глобальному рівні вимоги до компетенцій та описи ролей аудиторів та експертів:

• Провідний аудитор VCS
• Експерт VCS

Знання експерта VCS завжди повинні бути представлені в команді аудиторів VCS. На етапі інтерв'ю експерт бере на себе розмову з інженерними командами, щоб зробити можливим професійне оцінювання діяльності та результатів роботи.

Рольовий аудит

У традиціях TISAX^®, ENX VCS також розглядає різні ролі, які постачальники можуть відігравати в наданні компонентів, що мають відношення до кібербезпеки, у вигляді нової системи маркування VCS. Таким чином, постачальник повинен відповідати лише тим вимогам каталогу оцінки VCSA, які відповідають його ролі:

• Розробка VCS
• Виробництво VCS
• Експлуатація та обслуговування VCS

Порівнянність зусиль

Маркування ENX VCS дійсне протягом трьох років і не вимагає наглядових аудитів. На відміну від цього, аудити відповідно до ISO/SAE 21434 вимагають (ре-)сертифікаційного аудиту протягом трьох років і двох щорічних наглядових аудитів з відповідними витратами на відрядження.

Гнучкість

На відміну від стандарту ISO, ENX VCS також обіцяє більшу гнучкість при адаптації до нових вимог. Положення ACAR зазвичай підлягають обов'язковому перегляду раз на рік, що має бути виконано всіма постачальниками послуг з аудиту VCS.

Висновок: ENX VCS як розумний спосіб визначити курс

Таким чином, програма аудиту ENX VCS дає змогу глобально покращити впровадження аудиту відповідно до вимог стандартів ISO/SAE 21434 та ISO/PAS 5112. Підвищена глобальна порівнянність нової етикетки забезпечує значно більшу довіру до сертифікації та виконання вимог кібербезпеки, передбачених Резолюцією ООН R 155.

DQS: ваш надійний партнер у сфері сертифікації

Як один з найдосвідченіших німецьких постачальників послуг з сертифікації систем менеджменту, DQS співпрацює з ENX протягом багатьох років, а також брав безпосередню участь у розробці нової програми аудиту. Протягом тривалого періоду розробки, що передував публікації програми, DQS отримав цінний досвід у великій кількості пробних аудитів і, отже, ідеально підготовлений до проведення аудиту вашої CSMS на основі специфікацій VCS.

Скористайтеся знаннями наших експертів і дізнайтеся все, що вам потрібно про ENX VCS та її значення для вашої компанії. Маючи більш ніж 35-річний досвід і ноу-хау 2 500 аудиторів по всьому світу, ми є вашим компетентним партнером по сертифікації і надаємо відповіді на всі питання, пов'язані із захистом даних та інформаційною безпекою.