Why Automotive SPICE Tools
Warum schreiben wir über Tools
2021-10-04

Automotive SPICE for Cybersecurity in Verbindung mit einem Cybersecurity Management System

Automotive SPICE for Cybersecurity

Politik, ISO und Audit/Assessment

Die Politik hat Forderungen aus der UN R155 in den verschiedenen Rechtsräumen Europa, China und USA in nationales Recht umgesetzt. Nebst den Unterschieden haben alle gemeinsam, dass die Einführung eines Cybersecurity Management Systems bis Anfang des 3. Quartals 2022 für alle neuen Kfz-Typzulassung gefordert wird.

Mit ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ wurde 2021 eine Norm geschaffen, die sowohl die hierarchische Organisationsstruktur der OEMs mit ihren TIERs als auch den Produktlebenszyklus von der Konzeption eines Fahrzeugs bis zur Stilllegung widerspiegelt.

In Zukunft müssen die OEMs die Einhaltung nachweisen. Die Norm ISO/SAE 21434 beschreibt, was getan werden sollte, die Umsetzung in einem bewährten Verfahren muss jedoch bescheinigt werden. Die ISO PAS 5112 „Guidelines for auditing cybersecurity engeneering“ wird nicht rechtzeitig fertig gestellt. Darum hat der VDA QMC das Rotbuch „Automotive Cybersecurity Management System Audit“ (ACSMS Audit) herausgegeben. Somit wurde bis zur Fertigstellung der ISO PAS 5112 ein Maßstab für ein ACSMS Audit geschaffen. Auf Organisationsebene können somit OEMs einen Nachweis für ihr Cybersecurity Management System erbringen.

Automotive SPICE betrachtet ausschließlich Entwicklungsprozesse. Das neue Process Assessment Model (PAM) „Cybersecurity for Automotive SPICE” stellt in sechs neuen Prozessen ein Plugin für ASPICE Assessments dar. Der neue Kurs „intacs™ certified Automotive SPICE® Cybersecurity“ bildet Lead Assessoren für die Bewertung der neuen Praktiken aus.

Cyberscurity Regulation Law ISO and Audit

TARA, Vuneribility DB und Cybersecurity Claim

In der Funktionalen Sicherheit ist die HARA (Hazard Analysis and Risk Assessment) bekannt. Im Safety Case wird die Umsetzung der Risikoanalyse der Fahrzeugkomponente bescheinigt.

Die TARA (Thread Analysis and Risk Assessment) beschäftigt sich mit den Werten, die schützenswert sind, mögliche Bedrohungsszenarien, die Evaluierung von potentiellen Schäden, Angriffspfaden und deren Durchführbarkeit. Daraus ergeben sich Risikobewertungen, die in Aktivitäten zur Risikoreduzierung führen.

Der Cybersecurity Claim bescheinigt, dass im Projekt die Cybersecurity Threads analysiert wurden und deren Risiken in geeigneter Weise minimiert wurden.

Im Cybersecurity Management System muss eine Datenbank für Schwachstellen (Vunereability DB) geführt werden, welche das Monitoring aller Fahrzeugkomponenten in Verbindung mit den Cybersecurity Claims ermöglicht.

Verhältnis Automotive SPICE for Cybersecurity zum Cybersecurity Management System

Die Verantwortung für Cybersecurity liegt klar beim OEM. Dieser gibt die Verantwortung in Teilen weiter an die Zulieferer. Durch den Aufbau des Cybersecurity Management Systems bei dem OEM und seinen Lieferanten werden Bedrohungen in den verschiedenen Hierarchiestufen und Produktzyklus systematisch ausgewertet und systematisch minimiert.

Mit dem Prozess ACQ.2/ACQ.4 werden die Zulieferer in ihrer Verantwortung zu Cybersecurity überprüft und der Austausch für den Cybersecurity Claim relevante Daten ausgetauscht. MAN.7 definiert Aktivitäten des Cybersecurity Risiko Managements. Mit den SEC.x Prozessen werden die Bedrohungen im Projekt analysiert und die Umsetzung der Abwehrmaßnahmen verifiziert und validiert.

Fazit

Assessments mit dem Cybersecurity for Automotive SPICE PAM bewerten ISO 21434 konforme Prozesse, welche Rückschlüsse auf die Systematik der Bedrohungsanalyse (TARA) und des Cybersecurity Claims erlauben.

 

intacs™ Training for the Automotive SPICE® for Cybersecurity Model

Das neue Prozessassessmentmodell (PAM) „Automotive SPICE® for Cybersecurity“ bietet eine Erweiterung von Automotive SPICE um sechs neue Prozesse. Der neue Kurs „intacs™ certified Automotive SPICE® Cybersecurity“ soll Assessoren auf das Assessment der neuen Prozesse vorbereiten.

Read more about the training

SPICE Booklet with Cybersecurity Model

We have already included the Automotive SPICE for Cybersecurity PAM into our SPICE Booklet

Download SPICE Booklet

Automotive SPICE Assessment Skope

SPICE-BOOKLET-2021-11