Правовое регулирование безопасности

Регулирование

Существующее международное регулирование в сфере автомобильной кибербезопасности

Появившиеся в 2021 году Правила ЕЭК ООН 155 и стандарт ISO 21434 создали новую парадигму для автопроизводителей и поставщиков комплектующих. Ещё до их появления ряд автопроизводителей озаботился вопросами кибербезопасности транспорта и начал разрабатывать и внедрять так называемые best practice, касающиеся разработки, выпуска и пост продажного обеспечения безопасности автомобиля.

Требования и рекомендации именно к этим этапам и описываются в нормативных документах. Если стандарт ИСО описывает то, как должна выглядеть процедура обеспечения безопасности довольно детально, то Правила ЕЭК ООН 155 ограничиваются лишь общими формулировками и ссылками на стандарт. Таким образом эти документы дополняют друг друга. При этом, рекомендательный характер текста Стандарта компенсируется обязательностью выполнения требований Правил.

В Правилах ЕЭК ООН 155 описаны необходимые условия для получения и сам порядок получения следующих документов:
сертификат об одобрении типа транспортного средства – Vehicle Type Approval (для каждой модели автомобиля на весь срок жизненного цикла модели автомобиля)

сертификат, подтверждающий внедрение системы управления кибербезопасностью (CSMS Certificate – выдаётся производителю на 3 года)

Без получения этих сертификатов возможность продажи автомобилей в странах, присоединившихся к Всемирному форуму для согласования правил в области транспортных средств (WP.29), будет ограничена.

UN Regulations

WP29, ECE155, ECE156 — Правила ООН о единообразных положениях, касающихся официального утверждения транспортных средств в отношении кибербезопасности и их систем управления кибербезопасностью.

Требования предписывают получение сертификата соответствия для компании и Vehicle Type Approval для каждой модели автомобиля.

Без этих сертификатов с 2024 года продавать ТС в ряде стран будет невозможно.

ISO 21434

ISO/SAE 21434 «Дорожные транспортные средства – Инженерия кибербезопасности», предписывает комплекс мер автопроизводителям. Наша команда участвовала в разработке стандарта в качестве члена Комитета ISO/TC22/SC32/WG11.

Стандарт во многом является основой для UN ECE 155. Без внедрения процессов предписываемых стандартов невозможно получить сертификаты соответствия.

Внедрение требований стандарта обязательно для сертификации.
Однако стоит отметить, что нюансы того, как должны реализовываться руководящие принципы и процессы, всё-таки изложены в нормативной документации. В дополнение к стандарту ISO 21434 в 2022 году был выпущен стандарт ISO/PAS 5112:2022 Road vehicles — Guidelines for auditing cybersecurity engineering, который описывает порядок проведения тестирования безопасности автомобилей.

Так как наша команда, участвует в разработке международных стандартов в рамках комитета ISO/TC 22/SC 32 и является полноправным его членом, то мы также владеем информацией о ряде дополнительных стандартов, работа над которыми началась в 2022 г. и публикация которых запланирована на 2023-2027 годы, включая такие документы как: ISO/IEC AWI 5888, ISO/SAE PAS 8475, ISO/SAE PWI 8477.

Отметим, что стандарт ISO 21434 не единственный международный стандарт, который регламентирует вопросы автомобильной кибербезопасности. На площадке ISO мы участвуем в разработке сразу нескольких стандартов, которые детализируют его требования и затрагивают непокрытые вопросы.
Стандарты перечислены в таблице ниже:

ISO
Название
Статус
Описание
ISO SAE 21434:2021
Road vehicles. Cybersecurity engineering
Опубликован в 2021
Общий стандарт о стандарт по информационной и кибербезопасности разработки и производства дорожных транспортных средств
ISO PAS 5112:2022
Road vehicles. Guidelines for auditing cybersecurity engineering
Опубликован в 2022
Стандарт раскрывает методологию проведения аудита кибербезопасности компании, выполнение которого предписывается ISO 21434
ISO SAE PWI 8477
Road vehicles. Cybersecurity verification and validation
В работе
Стандарт раскрывает методологию верификации и валидации кибербезопасности, реализация которых предписывается ISO 21434
ISO/SAE AWI PAS 8475
Road vehicles. Cybersecurity Assurance Levels (CAL) and Targeted Attack Feasibility (TAF)
В работе
Стандарт раскрывает методологию работы с управлением рисками и определением уровней обеспечения кибербезопасности
ISO PAS 8800
Road vehicles. Safety and artificial intelligence
В работе
Стандарт раскрывает процесс того как должна обеспечиваться функциональная безопасность искусственного интеллекта в ТС
ISO TR 4804:2020
Road vehicles. Safety and cybersecurity for automated driving systems. Design, verification and validation
Опубликован в 2020
Стандарт является предшественником ISO 21434, в связи с выходом которого утратил актуальность. Будет заменён разрабатываемым стандартом ISO/CD TS 5083. Стандарт заложил основу методологии и глоссария в автомобильной кибербезопасности
ISO CD TS 5083
Road vehicles. Safety for automated driving systems. Design, verification and validation
В работе
Стандарт раскрывает методологию обеспечения функциональной и кибер безопасности для ТС 3-го и 4-го уровня автоматизации
ISO IEC 5888
Information security, cybersecurity and privacy protection. Security requirements and evaluation activities for connected vehicle devices
В работе
Стандарт устанавливает требования к безопасности и реализации мероприятий по оценке безопасности подключенных транспортных устройств в соответствии с требованиями стандарта ISO/IEC 15408. Определяет процедуру разработки точных требований к безопасности и мероприятий по объективной оценке состояния безопасности
ISO 24089:2022
Road vehicles – Software update engineering
Опубликован в 2022
Стандарт описывает процесс и методологию разработки систем обновления программного обеспечения, уделяя внимание и тому, как сделать процесс обновлений кибербезопасным

Мы готовы стать вашим надёжным партнёром в вопросе реализации требований стандартов и правил.

r
N

Нормативные акты носят обязательный характер

N

Регуляторы уже знают о преимуществах системы обнаружения вторжений, которые составляют основу автомобильной кибербезопасности.

N

Ведущие автопроизводители уже внедряют требования стандарта и регламента с 2021 года

Ключевые требования

N

обеспечить управление кибер-рисками (Cybersecurity-risk management)

N

внедрение SDLC и безопасной разработки (secure-by-design)

N

мониторинг инцидентов и уязвимостей, а также реагирование на них

N

внедрение безопасных процессов обновления (OTA)

Как соответствовать требованиям стандартов и правил?

Как уже упоминалась ранее, действие Стандарта и Правил распространяется на автопроизводителей. В связи с тем, что автопроизводителям предписывается разделять зоны ответственности с поставщиками комплектующих, то для таких поставщиков регулирование тоже является актуальным. Но как понять производителю транспортных средств, должен ли он внедрять у себя процессы, предписываемые регулированием? Отвечая на этот вопрос, мы подготовили наглядную таблицу, где сопоставили различные категории транспортных средств и применяемое к ним регулирование:
Категории ТС в соответствии с Техническим Регламентом Таможенного Союза 018/2011 «О безопасности колёсных транспортных средств»:

Мы готовы стать вашим надёжным партнёром в вопросе реализации требований стандартов и правил.

Регулирование на национальном уровне

Подходы к регулированию

КИТАЙ

ИНДИЯ

США

ЕВРОПА

ЯПОНИЯ

РОССИЯ

Cтандарты нашей работы

Наша компания в сотрудничестве с различными автопроизводителями реализует работу VSOC (Vehicle Security Operational Center). Мы помогаем организовать и обеспечить непрерывный мониторинг киберугроз, а также помогаем автопроизводителям реализовывать иные требования регуляторных документов.

В целом, если говорить о том, что мы предлагаем рынку в связи с регуляторными требованиями, уместно привести следующую таблицу, соотносящую пункты требований стандартов и Правил ЕЭК ООН 155 и наши продукты и услуги.

Этап проекта
Подраздел этапа
Требования Правил ЕЭК ООН 155
Рекомендации стандарта ISO 21434:2021
Иное
Создание процессов обеспечения кибербезопасности
Анализ существующих процессов ОЕМ
п. 7.2.2.
Раздел 5 и 6
ISO/PAS 5112
Создание процессов обеспечения кибербезопасности
TARA-анализ
п. 7.3.3.
Раздел 15
-
Создание процессов обеспечения кибербезопасности
Разработка правил безопасного проектирования
п. 7.3.8.
п. 10.4.
ISO/IEC AWI 5888
Создание процессов обеспечения кибербезопасности
Отладка взаимоотношений с поставщиками компонентов
п. 7.2.2.5 и п. 7.3.2
Раздел 7 и п. 3.1.19
-
Создание процессов обеспечения кибербезопасности
Разработка концепции кибербезопасности
п. 7.2.2.3
п. 9.5
-
Тестирование кибербезопасности
Проверка выполнения правил безопасного проектирования
п. 7.2.2.2. (d)
Раздел 11
ISO/SAE PWI 8477
Тестирование кибербезопасности
Тестирование компонентов ТС на проникновение
п. 7.2.2.2. (с & e), п. 7.3.3.
п. 8.5.
ISO/SAE PWI 8477
Тестирование кибербезопасности
Подготовка рекомендаций по устранению выявленных уязвимостей и повышению уровня защищённости
п. 7.3.3.
п. 8.6.
ISO/SAE PWI 8477
Внедрение средств защиты и управления
AutoVisor-IDS
п. 7.3.4, п. 7.3.5, п. 7.3.7. (a)
Технически нейтрален
-
Внедрение средств защиты и управления
AutoVisor-SIEM
п. 7.2.2.2. (g & h), п. 7.2.2.4, п. 7.3.7. (b & c), п. 7.4
Раздел 8 Continual cybersecurity activities
-
Внедрение средств защиты и управления
AutoVisor-TARA
п. 7.3.3.
Раздел 15
-

Требования правил ЕЭК ООН

Внедрение процессов управления кибербезопасностью в рамках разработки автомобилей:
В пункте 7.2.2.1. Правил ЕЭК ООН 155 указывается требование к автопроизводителям внедрить процесс безопасной разработки на Этап разработки, этапе производства и этапе постпродакшна. В целом, автопроизводитель может брать образцы построения этих процессов из рекомендаций стандарта ИСО 21434:2021.

Внедрение процессов управления ИБ и кибер-рисками компании в целом:
Пункт 7.2.2.2. раздел А указывает на необходимость автопроизводителя проводить риск-менеджмент, подготовив необходимую документацию (например провести Threat Analysis and Risk Assessment в соответствии с требованиями ИСО 21434:2021).

Внедрение мониторинга инцидентов и уязвимостей, а также реагирование на них
Пункт 7.2.2.4 указывает на необходимость проведения постоянного мониторинга инцидентов и уязвимостей транспортных средств и ИТ экосистемы в целом. Именно для реализации этого требования Правил ООН, нами был разработан AutoVisor-SIEM (гиперссылка на страницу на сайте).

Внедрение процессов управления кибербезопасностью в рамках разработки автомобилей:

В пункте 7.2.2.1. Правил ЕЭК ООН 155 указывается требование к автопроизводителям внедрить процесс безопасной разработки на Этап разработки, этапе производства и этапе постпродакшна. В целом, автопроизводитель может брать образцы построения этих процессов из рекомендаций стандарта ИСО 21434:2021.

Внедрение процессов управления ИБ и кибер-рисками компании в целом:

Пункт 7.2.2.2. раздел А указывает на необходимость автопроизводителя проводить риск-менеджмент, подготовив необходимую документацию (например провести Threat Analysis and Risk Assessment в соответствии с требованиями ИСО 21434:2021).

Внедрение мониторинга инцидентов и уязвимостей, а также реагирование на них

Пункт 7.2.2.4 указывает на необходимость проведения постоянного мониторинга инцидентов и уязвимостей транспортных средств и ИТ экосистемы в целом. Именно для реализации этого требования Правил ООН, нами был разработан AutoVisor-SIEM (гиперссылка на страницу на сайте).

Внедрить процесс детекции кибератак

В пункте 7.3.7. указывается на необходимость автопроизводителя реализовать комплекс мер, направленных на обнаружение и предотвращение информационных атак на транспортные средства, проводить мониторинг событий безопасности и проводить расследования по результатам инцидентов. Для реализации требований Правил ЕЭК ООН 155 в этой части, нами был разработан AutoVisor-IDS (гиперссылка) – Система обнаружения кибератак, которая может передавать данные для анализа в AutoVisor-SIEM (гиперссылка)

Внедрение безопасных процессов обновления

Отдельное внимание уделено вопросам организации процесса безопасного обновления. Так, Таблица B2 в приложении к Правилам ЕЭК ООН  полностью посвящена описанию Мер по устранению угроз, связанных с «Процессом обновления» (OTA). Более подробная информация по мерам кибербезопасности, которые необходимо предпринять при построении процесса обновления программного обеспечения описаны в пункте 9.3. Правил ЕЭК ООН 156.

Выполнение требований Правил подтверждаются двумя документами:

Сертификат CSMS – Cyber Security Management System (сертификат, подтверждающий наличие системы управления кибербезопасности у ОЕМ). Сертификат выдаётся на OEM в целом и действует в течение 3-х лет.

Сертификат VTA – Vehicle Type Approval (сертификат, подтверждающий то, что автомобиль разработан с учётом требований кибербезопасности (SDLC). Сертификат выдаётся на весь срок «жизни» каждой отдельной модели.

Мы готовы направить вам стандарт ISO/SAE 21434:2021,  ISO/PAS 5112:2022 и Правила ЕЭК ООН 155. Для получения документов, пожалуйста заполните форму обратной связи с указанием того, какой именно вам нужен документ и email, на который вы хотели бы получить письмо от нас.