Warum schreiben wir über Tools
2021-10-04
Automotive SPICE für Cybersicherheit auf den Punkt gebracht
2022-01-24Automotive SPICE for Cybersecurity in Verbindung mit einem Cybersecurity Management System
Politik, ISO und Audit/Assessment
Die Politik hat Forderungen aus der UN R155 in den verschiedenen Rechtsräumen Europa, China und USA in nationales Recht umgesetzt. Nebst den Unterschieden haben alle gemeinsam, dass die Einführung eines Cybersecurity Management Systems bis Anfang des 3. Quartals 2022 für alle neuen Kfz-Typzulassung gefordert wird.
Mit ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ wurde 2021 eine Norm geschaffen, die sowohl die hierarchische Organisationsstruktur der OEMs mit ihren TIERs als auch den Produktlebenszyklus von der Konzeption eines Fahrzeugs bis zur Stilllegung widerspiegelt.
In Zukunft müssen die OEMs die Einhaltung nachweisen. Die Norm ISO/SAE 21434 beschreibt, was getan werden sollte, die Umsetzung in einem bewährten Verfahren muss jedoch bescheinigt werden. Die ISO PAS 5112 „Guidelines for auditing cybersecurity engeneering“ wird nicht rechtzeitig fertig gestellt. Darum hat der VDA QMC das Rotbuch „Automotive Cybersecurity Management System Audit“ (ACSMS Audit) herausgegeben. Somit wurde bis zur Fertigstellung der ISO PAS 5112 ein Maßstab für ein ACSMS Audit geschaffen. Auf Organisationsebene können somit OEMs einen Nachweis für ihr Cybersecurity Management System erbringen.
Automotive SPICE betrachtet ausschließlich Entwicklungsprozesse. Das neue Process Assessment Model (PAM) „Cybersecurity for Automotive SPICE” stellt in sechs neuen Prozessen ein Plugin für ASPICE Assessments dar. Der neue Kurs „intacs™ certified Automotive SPICE® Cybersecurity“ bildet Lead Assessoren für die Bewertung der neuen Praktiken aus.
TARA, Vuneribility DB und Cybersecurity Claim
In der Funktionalen Sicherheit ist die HARA (Hazard Analysis and Risk Assessment) bekannt. Im Safety Case wird die Umsetzung der Risikoanalyse der Fahrzeugkomponente bescheinigt.
Die TARA (Thread Analysis and Risk Assessment) beschäftigt sich mit den Werten, die schützenswert sind, mögliche Bedrohungsszenarien, die Evaluierung von potentiellen Schäden, Angriffspfaden und deren Durchführbarkeit. Daraus ergeben sich Risikobewertungen, die in Aktivitäten zur Risikoreduzierung führen.
Der Cybersecurity Claim bescheinigt, dass im Projekt die Cybersecurity Threads analysiert wurden und deren Risiken in geeigneter Weise minimiert wurden.
Im Cybersecurity Management System muss eine Datenbank für Schwachstellen (Vunereability DB) geführt werden, welche das Monitoring aller Fahrzeugkomponenten in Verbindung mit den Cybersecurity Claims ermöglicht.
Verhältnis Automotive SPICE for Cybersecurity zum Cybersecurity Management System
Die Verantwortung für Cybersecurity liegt klar beim OEM. Dieser gibt die Verantwortung in Teilen weiter an die Zulieferer. Durch den Aufbau des Cybersecurity Management Systems bei dem OEM und seinen Lieferanten werden Bedrohungen in den verschiedenen Hierarchiestufen und Produktzyklus systematisch ausgewertet und systematisch minimiert.
Mit dem Prozess ACQ.2/ACQ.4 werden die Zulieferer in ihrer Verantwortung zu Cybersecurity überprüft und der Austausch für den Cybersecurity Claim relevante Daten ausgetauscht. MAN.7 definiert Aktivitäten des Cybersecurity Risiko Managements. Mit den SEC.x Prozessen werden die Bedrohungen im Projekt analysiert und die Umsetzung der Abwehrmaßnahmen verifiziert und validiert.
Fazit
Assessments mit dem Cybersecurity for Automotive SPICE PAM bewerten ISO 21434 konforme Prozesse, welche Rückschlüsse auf die Systematik der Bedrohungsanalyse (TARA) und des Cybersecurity Claims erlauben.
intacs™ Training for the Automotive SPICE® for Cybersecurity Model
Das neue Prozessassessmentmodell (PAM) „Automotive SPICE® for Cybersecurity“ bietet eine Erweiterung von Automotive SPICE um sechs neue Prozesse. Der neue Kurs „intacs™ certified Automotive SPICE® Cybersecurity“ soll Assessoren auf das Assessment der neuen Prozesse vorbereiten.
SPICE Booklet with Cybersecurity Model
We have already included the Automotive SPICE for Cybersecurity PAM into our SPICE Booklet
