Правовое регулирование безопасности

Регулирование

Существующее международное регулирование в сфере автомобильной кибербезопасности

UN Regulations

WP29, ECE155, ECE156 — Правила ООН о единообразных положениях, касающихся официального утверждения транспортных средств в отношении кибербезопасности и их систем управления кибербезопасностью.

Требования предписывают получение сертификата соответствия для компании и Vehicle Type Approval для каждой модели автомобиля.

Без этих сертификатов с 2024 года продавать ТС в ряде стран будет невозможно.

ISO 21434

ISO/SAE 21434 «Дорожные транспортные средства – Инженерия кибербезопасности», предписывает комплекс мер автопроизводителям. Наша команда участвовала в разработке стандарта в качестве члена Комитета ISO/TC22/SC32/WG11

Стандарт во многом является основой для UN ECE 155. Без внедрения процессов предписываемых стандартов невозможно получить сертификаты соответствия.

Внедрение требований стандарта обязательно для сертификации.
r
N

Нормативные акты носят обязательный характер

N

Регуляторы уже знают о преимуществах системы обнаружения вторжений, которые составляют основу автомобильной кибербезопасности.

N

Ведущие автопроизводители уже внедряют требования стандарта и регламента с 2021 года

Ключевые требования

N

обеспечить управление кибер-рисками (Cybersecurity-risk management)

N

внедрение SDLC и безопасной разработки (secure-by-design)

N

мониторинг инцидентов и уязвимостей, а также реагирование на них

N

внедрение безопасных процессов обновления (OTA)

Ключевые страны-участники

ЕС

Япония

Турция

Россия

Австралия

Южная Африка

Процесс внедрения требований

*

CSMSCyber Security Management System (сертификат, подтверждающий наличие системы управления кибербезопасности у ОЕМ)

VTAVehicle Type Approval (сертификат, подтверждающий то, что автомобиль разработан с учётом требований кибербезопасности (SDLC).

Мы предполагаем, что в России и Таможенном Союзе, требования ООН будут адаптированы в формате Технического Регламента Таможенного Союза в 2023 году.

Процесс внедрения требований

Разработка правил ООН

2019

Начало разработки Правил под эпидой ООН

7

Правоприменение

Январь 2021

Публикация правил ООН и вступление в силу

7

Июнь 2021

Япония и Южная Корея ограничивают рынок компаний без CSMS

7

Июль 2022

ЕС ограничивает доступ компаний без CSMS

7

Июль 2024

ЕС ограничивает доступ на рынок для компаний без VTA

*

CSMSCyber Security Management System (сертификат, подтверждающий наличие системы управления кибербезопасности у ОЕМ)

VTAVehicle Type Approval (сертификат, подтверждающий то, что автомобиль разработан с учётом требований кибербезопасности (SDLC).

Мы предполагаем, что в России и Таможенном Союзе, требования ООН будут адаптированы в формате Технического Регламента Таможенного Союза в 2023 году.

Требования правил ЕЭК ООН

Внедрение процессов управления кибербезопасностью в рамках разработки автомобилей:
В пункте 7.2.2.1. Правил ЕЭК ООН 155 указывается требование к автопроизводителям внедрить процесс безопасной разработки на Этап разработки, этапе производства и этапе постпродакшна. В целом, автопроизводитель может брать образцы построения этих процессов из рекомендаций стандарта ИСО 21434:2021.

Внедрение процессов управления ИБ и кибер-рисками компании в целом:
Пункт 7.2.2.2. раздел А указывает на необходимость автопроизводителя проводить риск-менеджмент, подготовив необходимую документацию (например провести Threat Analysis and Risk Assessment в соответствии с требованиями ИСО 21434:2021).

Внедрение мониторинга инцидентов и уязвимостей, а также реагирование на них
Пункт 7.2.2.4 указывает на необходимость проведения постоянного мониторинга инцидентов и уязвимостей транспортных средств и ИТ экосистемы в целом. Именно для реализации этого требования Правил ООН, нами был разработан AutoVisor-SIEM (гиперссылка на страницу на сайте).

Внедрение процессов управления кибербезопасностью в рамках разработки автомобилей:

В пункте 7.2.2.1. Правил ЕЭК ООН 155 указывается требование к автопроизводителям внедрить процесс безопасной разработки на Этап разработки, этапе производства и этапе постпродакшна. В целом, автопроизводитель может брать образцы построения этих процессов из рекомендаций стандарта ИСО 21434:2021.

Внедрение процессов управления ИБ и кибер-рисками компании в целом:

Пункт 7.2.2.2. раздел А указывает на необходимость автопроизводителя проводить риск-менеджмент, подготовив необходимую документацию (например провести Threat Analysis and Risk Assessment в соответствии с требованиями ИСО 21434:2021).

Внедрение мониторинга инцидентов и уязвимостей, а также реагирование на них

Пункт 7.2.2.4 указывает на необходимость проведения постоянного мониторинга инцидентов и уязвимостей транспортных средств и ИТ экосистемы в целом. Именно для реализации этого требования Правил ООН, нами был разработан AutoVisor-SIEM (гиперссылка на страницу на сайте).

Внедрить процесс детекции кибератак

В пункте 7.3.7. указывается на необходимость автопроизводителя реализовать комплекс мер, направленных на обнаружение и предотвращение информационных атак на транспортные средства, проводить мониторинг событий безопасности и проводить расследования по результатам инцидентов. Для реализации требований Правил ЕЭК ООН 155 в этой части, нами был разработан AutoVisor-IDS (гиперссылка) – Система обнаружения кибератак, которая может передавать данные для анализа в AutoVisor-SIEM (гиперссылка)

Внедрение безопасных процессов обновления

Отдельное внимание уделено вопросам организации процесса безопасного обновления. Так, Таблица B2 в приложении к Правилам ЕЭК ООН  полностью посвящена описанию Мер по устранению угроз, связанных с «Процессом обновления» (OTA). Более подробная информация по мерам кибербезопасности, которые необходимо предпринять при построении процесса обновления программного обеспечения описаны в пункте 9.3. Правил ЕЭК ООН 156.

Выполнение требований Правил подтверждаются двумя документами:

Сертификат CSMS – Cyber Security Management System (сертификат, подтверждающий наличие системы управления кибербезопасности у ОЕМ). Сертификат выдаётся на OEM в целом и действует в течение 3-х лет.

Сертификат VTA – Vehicle Type Approval (сертификат, подтверждающий то, что автомобиль разработан с учётом требований кибербезопасности (SDLC). Сертификат выдаётся на весь срок «жизни» каждой отдельной модели.

Мы готовы направить вам стандарт ISO/SAE 21434:2021,  ISO/PAS 5112:2022 и Правила ЕЭК ООН 155. Для получения документов, пожалуйста заполните форму обратной связи с указанием того, какой именно вам нужен документ и email, на который вы хотели бы получить письмо от нас.