Правовое регулирование безопасности
Регулирование
Существующее международное регулирование в сфере автомобильной кибербезопасности

UN Regulations
WP29, ECE155, ECE156 — Правила ООН о единообразных положениях, касающихся официального утверждения транспортных средств в отношении кибербезопасности и их систем управления кибербезопасностью.
Требования предписывают получение сертификата соответствия для компании и Vehicle Type Approval для каждой модели автомобиля.
Без этих сертификатов с 2024 года продавать ТС в ряде стран будет невозможно.

ISO 21434
ISO/SAE 21434 «Дорожные транспортные средства – Инженерия кибербезопасности», предписывает комплекс мер автопроизводителям. Наша команда участвовала в разработке стандарта в качестве члена Комитета ISO/TC22/SC32/WG11
Стандарт во многом является основой для UN ECE 155. Без внедрения процессов предписываемых стандартов невозможно получить сертификаты соответствия.
Внедрение требований стандарта обязательно для сертификации.
Нормативные акты носят обязательный характер
Регуляторы уже знают о преимуществах системы обнаружения вторжений, которые составляют основу автомобильной кибербезопасности.
Ведущие автопроизводители уже внедряют требования стандарта и регламента с 2021 года
Ключевые требования
обеспечить управление кибер-рисками (Cybersecurity-risk management)
внедрение SDLC и безопасной разработки (secure-by-design)
мониторинг инцидентов и уязвимостей, а также реагирование на них
внедрение безопасных процессов обновления (OTA)
Ключевые страны-участники

ЕС

Япония

Турция

Россия

Австралия

Южная Африка
Процесс внедрения требований

*
CSMS – Cyber Security Management System (сертификат, подтверждающий наличие системы управления кибербезопасности у ОЕМ)
VTA – Vehicle Type Approval (сертификат, подтверждающий то, что автомобиль разработан с учётом требований кибербезопасности (SDLC).
Мы предполагаем, что в России и Таможенном Союзе, требования ООН будут адаптированы в формате Технического Регламента Таможенного Союза в 2023 году.
Процесс внедрения требований
Разработка правил ООН
2019
Начало разработки Правил под эпидой ООН
Правоприменение
Январь 2021
Публикация правил ООН и вступление в силу
Июнь 2021
Япония и Южная Корея ограничивают рынок компаний без CSMS
Июль 2022
ЕС ограничивает доступ компаний без CSMS
Июль 2024
ЕС ограничивает доступ на рынок для компаний без VTA
*
CSMS – Cyber Security Management System (сертификат, подтверждающий наличие системы управления кибербезопасности у ОЕМ)
VTA – Vehicle Type Approval (сертификат, подтверждающий то, что автомобиль разработан с учётом требований кибербезопасности (SDLC).
Мы предполагаем, что в России и Таможенном Союзе, требования ООН будут адаптированы в формате Технического Регламента Таможенного Союза в 2023 году.
Требования правил ЕЭК ООН
Внедрение процессов управления кибербезопасностью в рамках разработки автомобилей:
В пункте 7.2.2.1. Правил ЕЭК ООН 155 указывается требование к автопроизводителям внедрить процесс безопасной разработки на Этап разработки, этапе производства и этапе постпродакшна. В целом, автопроизводитель может брать образцы построения этих процессов из рекомендаций стандарта ИСО 21434:2021.
Внедрение процессов управления ИБ и кибер-рисками компании в целом:
Пункт 7.2.2.2. раздел А указывает на необходимость автопроизводителя проводить риск-менеджмент, подготовив необходимую документацию (например провести Threat Analysis and Risk Assessment в соответствии с требованиями ИСО 21434:2021).
Внедрение мониторинга инцидентов и уязвимостей, а также реагирование на них
Пункт 7.2.2.4 указывает на необходимость проведения постоянного мониторинга инцидентов и уязвимостей транспортных средств и ИТ экосистемы в целом. Именно для реализации этого требования Правил ООН, нами был разработан AutoVisor-SIEM (гиперссылка на страницу на сайте).
Внедрение процессов управления кибербезопасностью в рамках разработки автомобилей:
В пункте 7.2.2.1. Правил ЕЭК ООН 155 указывается требование к автопроизводителям внедрить процесс безопасной разработки на Этап разработки, этапе производства и этапе постпродакшна. В целом, автопроизводитель может брать образцы построения этих процессов из рекомендаций стандарта ИСО 21434:2021.
Внедрение процессов управления ИБ и кибер-рисками компании в целом:
Пункт 7.2.2.2. раздел А указывает на необходимость автопроизводителя проводить риск-менеджмент, подготовив необходимую документацию (например провести Threat Analysis and Risk Assessment в соответствии с требованиями ИСО 21434:2021).
Внедрение мониторинга инцидентов и уязвимостей, а также реагирование на них
Пункт 7.2.2.4 указывает на необходимость проведения постоянного мониторинга инцидентов и уязвимостей транспортных средств и ИТ экосистемы в целом. Именно для реализации этого требования Правил ООН, нами был разработан AutoVisor-SIEM (гиперссылка на страницу на сайте).
Внедрить процесс детекции кибератак
В пункте 7.3.7. указывается на необходимость автопроизводителя реализовать комплекс мер, направленных на обнаружение и предотвращение информационных атак на транспортные средства, проводить мониторинг событий безопасности и проводить расследования по результатам инцидентов. Для реализации требований Правил ЕЭК ООН 155 в этой части, нами был разработан AutoVisor-IDS (гиперссылка) – Система обнаружения кибератак, которая может передавать данные для анализа в AutoVisor-SIEM (гиперссылка)
Внедрение безопасных процессов обновления
Отдельное внимание уделено вопросам организации процесса безопасного обновления. Так, Таблица B2 в приложении к Правилам ЕЭК ООН полностью посвящена описанию Мер по устранению угроз, связанных с «Процессом обновления» (OTA). Более подробная информация по мерам кибербезопасности, которые необходимо предпринять при построении процесса обновления программного обеспечения описаны в пункте 9.3. Правил ЕЭК ООН 156.
Выполнение требований Правил подтверждаются двумя документами:
Сертификат CSMS – Cyber Security Management System (сертификат, подтверждающий наличие системы управления кибербезопасности у ОЕМ). Сертификат выдаётся на OEM в целом и действует в течение 3-х лет.
Сертификат VTA – Vehicle Type Approval (сертификат, подтверждающий то, что автомобиль разработан с учётом требований кибербезопасности (SDLC). Сертификат выдаётся на весь срок «жизни» каждой отдельной модели.