Аудит VCS: Кібербезпека за стандартом ENX

Аудит VCS - кібербезпека транспортних засобів в автомобільній промисловості

Ви розробляєте, виробляєте або відповідаєте за довгострокове обслуговування компонентів VCS, які інтегровані в архітектуру кібербезпеки транспортного засобу? Якщо так, то вам потрібно продемонструвати, що ви відповідаєте гарантованим за контрактом вимогам ISA/SAE 21434 протягом усього життєвого циклу транспортного засобу.

Як учасник програми VCS, ви можете зробити це за допомогою відповідних аудитів, які повинні проводитися кожні три роки протягом усього терміну дії ваших контрактних зобов'язань. Сертифікація VCS застосовується в усіх галузях промисловості та визначає вимоги до вашої системи управління кібербезпекою (CSMS - Cyber Security Management System) протягом усіх відповідних життєвих циклів ваших компонентів VCS. Передумовою аудиту VCS є наявність системи управління інформаційною безпекою (ISMS) відповідно до TISAX® та системи управління якістю (QMS - Quality Management System).

Взаємне визнання між усіма учасниками VCS

Постачальники комплектуючих, обладнання та послуг отримують більше довіри до вашої компанії, що пройшла аудит

Сертифікаційний аудит VCS проводиться лише кожні три роки

Членство в мережі VCS економить час і гроші

Основна інформація про аудит VCS

VCS - це загальна програма аудиту та обміну досвідом для компаній автомобільної промисловості. Вона базується на опитувальнику Vehicle Cyber Security Audit (VCSA). VCS є міжнародно стандартизованою програмою аудиту та реалізує основні аспекти міжнародних стандартів ISO/SAE 21434 та ISO/PAS 5112 для систем управління кібербезпекою (CSMS).

Згідно з Резолюцією ООН № 155, виробники дорожніх транспортних засобів зобов'язані брати на себе відповідальність за кібербезпеку своїх транспортних засобів. У цьому контексті кібербезпека відноситься до безпеки та надійності всіх ІТ-компонентів транспортного засобу. На відміну від суто електронних або фізично керованих компонентів, компоненти VCS керуються програмним забезпеченням. Це дозволяє автомобілю динамічно адаптувати свою поведінку в залежності від водія і навколишнього середовища, самостійно паркуватися або ініціювати екстрене гальмування. Дротові рішення, які вже давно використовуються в авіації, дозволяють створювати нові дизайнерські рішення для пасажирських салонів, легше маневрувати в центрі міста завдяки більшим кутам повороту керма на низьких швидкостях (steer-by-wire) або повністю автоматичним стоянковим гальмам (brake-by-wire).

Подібно до TISAX®, VCS має механізм обміну результатами аудитів ENX VCS. VCS - це механізм аудиту Асоціації ENX. Асоціації європейських автовиробників, автомобільних постачальників і автомобільних асоціацій, яка стежить за якістю VCS-аудитів і контролює затвердження постачальників послуг VCS-аудиту.

Показати менше

Які переваги аудиту VCS для вашої компанії?

Як провайдер послуг або постачальник компонентів VCS, ви берете на себе відповідальність перед виробниками за певні види діяльності, які визначають кібербезпеку компонентів. Завдяки аудиту VCS ви не лише отримуєте підтвердження відповідності від DQS, але й активно берете участь в управлінні ризиками. Зокрема, щодо дуже довгострокових зобов'язань, ми можемо допомогти вам переконатися, що ваші заходи є адекватними в довгостроковій перспективі. У минулому такі аудити в основному проводилися самими виробниками. Зареєстровані учасники мережі VCS можуть вибрати постачальника аудиторських послуг і замовити аудит VCS через спільну онлайн-платформу. Переваги для компаній переважають недоліки:

Можна уникнути дублюючих та багаторазових аудитів різними клієнтами, заощаджуючи час та гроші.
Визнання аудитів між компаніями для учасників VCS.
Надійні результати завдяки гармонізованому каталогу аудитів VCSA, який забезпечує послідовний процес аудиту.
Підвищення довіри до вашої організації, що пройшла аудит, завдяки одній або декільком етикеткам VCS "Розробка VCS", "Виробництво VCS" або "Експлуатація та технічне обслуговування VCS".

Після успішного проходження аудиту ви отримаєте свої етикетки VCS на онлайн-платформі VCS. Ці етикетки можна порівняти з сертифікатами, вони слугують для підтвердження вашої спроможності як постачальника VCS.

Показати менше

Як працює VCS?

У VCS учасники можуть грати дві різні ролі: "Споживач інформації" (пасивна), наприклад, виробник, який хоче отримати інформацію про постачальника, і "Постачальник інформації" (активна), наприклад, постачальник VCS або постачальник послуг, який хоче пройти аудит на відповідність, щоб отримувати замовлення від виробників.

Компанія також може взяти на себе обидві ролі учасника. Будь-хто, хто бажає взяти участь у VCS як інформаційний постачальник, повинен зробити наступні чотири основні кроки:

1. Зареєструватися на сайті www.enx.com/VCS

2. Вибрати схваленого ENX постачальника аудиторських послуг, такого як DQS

3. Пройти аудит ENX VCS

4. Розмістити результати аудиту на онлайн-платформі VCS

Якщо компанія зацікавлена у ваших результатах VCS, вона може зареєструватися в ENX як "Споживач інформації". Для кожного "Споживача інформації" ви можете вирішити, чи хочете ви поділитися з ним вашим поточним статусом VCS.

Показати менше

Як працює аудит VCS?

Перш ніж розпочати аудит VCS, ваша компанія повинна чітко визначити сферу його проведення. Це включає визначення того, за які види діяльності у сфері VCS відповідає ваша компанія. Якщо це діяльність з розробки VCS, ви повинні виконати вимоги "Розробка VCS". Якщо ваша компанія відповідає за безпечне виробництво та базову конфігурацію компонентів VCS, ви повинні відповідати вимогам розділу "Виробництво VCS". Якщо ваша компанія відповідає за довгострокову експлуатацію та обслуговування компонентів VCS, ви повинні відповідати вимогам розділу "Експлуатація та обслуговування VCS".

Аудит центральної системи управління кібербезпекою (CSMS) буде проводитися на майданчику, який в першу чергу контролює CSMS. Ефективність центральної CSMS перевіряється на майданчиках, де виконується діяльність CSMS, пов'язана з VCS. Таким чином, всі місця, де здійснюється ця розподілена діяльність з надання послуг VCS, включаються в сферу аудиту. Однак, під час аудиту робиться вибірка проектів VCS, щоб визначити, які саме об'єкти фактично включаються до аудиту. В принципі, всі об'єкти, про які йде мова, повинні мати дійсну етикетку ^TISAX® на момент проведення аудиту.

На першому кроці ви обираєте DQS як затвердженого постачальника послуг з аудиту.
На другому етапі проводиться стартова зустріч, на якій усі відповідальні сторони ознайомлюються з очікуваннями аудиторської групи.
На третьому етапі ви проводите самооцінку центральної CSMS за допомогою каталогу аудиту VCSA та складаєте пакет документів, на які є посилання в каталозі, і надаєте його аудиторській групі.
На четвертому етапі провідний аудитор проводить перевірку всіх наданих документів.
На п'ятому етапі ваша центральна CSMS проходить аудит та оцінюється на відповідність вимогам VCSA.
На шостому етапі на основі критеріїв ризику відбирається випадкова вибірка ваших проектів VCS.
На сьомому етапі проводиться аудит відібраних проектів VCS, щоб переконатися, що вимоги CSMS були виконані. Це здійснюється шляхом аудиту керівників проектних груп та перевірки робочих продуктів, які вимагаються стандартом ISO/SAE 21434.

Результати аудиту ENX VCS фіксуються в проміжному звіті. У разі виявлення невідповідностей узгоджуються заходи, які необхідно впровадити. У разі необхідності, реалізація заходів визначається протягом узгодженого періоду. Ця процедура гарантує, що всі виявлені невідповідності усуваються ефективно та оперативно.

Після усунення невідповідностей проводиться аналіз ефективності, щоб підтвердити усунення невідповідностей і оцінити загальну ефективність вжитих коригувальних заходів.

Остаточний результат буде опублікований онлайн на порталі ENX^®. Після цього ваша компанія буде внесена до списку учасників процесу VCS з відповідними позначками.

Скільки коштує аудит VCS?

Необхідні мітки VCS визначають, які конкретні розділи VCSA перевіряються: розробка VCS, виробництво VCS, експлуатація та обслуговування VCS. Як наслідок, точна кількість днів аудиту, необхідних для аудиту VCS, буде відрізнятися від організації до організації. Навіть під час аудиту можуть знадобитися додаткові дні аудиту. Це, у свою чергу, впливає на обсяг аудиту і, отже, на вартість.

Загальна кількість проектів VCS визначає мінімальний розмір вибірки. Це визначає, які проектні команди в яких місцях будуть перевірені.

Що ви можете очікувати від нас

DQS є затвердженим постачальником аудиторських послуг Асоціації ENX
Поглиблене розуміння інформаційної безпеки вашої організації
Акредитації за всіма відповідними автомобільними стандартами
Досвідчені аудитори та експерти з автомобільної промисловості та інформаційної безпеки
Понад 35 років досвіду в сертифікації систем управління та процесів
Персональна, безперебійна підтримка від наших фахівців - на регіональному, національному та міжнародному рівнях
Індивідуальні пропозиції з гнучкими умовами контракту та без прихованих витрат