datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

امنیت سایبری خودرو: قوانین اجباری جدید

Holger Schmeken

DQS Expert for Information Security
دسامبر ۰۶ , ۲۰۲۲
# TISAX (امنیت اطلاعات در صنعت خودرو)

صنعت خودرو با یک تغییر پارادایم اساسی مواجه است: با سرعت سریع دیجیتالی شدن، سیستم های کنترل الکترونیکی، اجزای هوشمند، سیستم های تعبیه شده و رابط های API راه خود را به خودروها پیدا می کنند - آنها را قدرتمندتر، ایمن تر و هوشمندتر از همیشه می کند. . با این حال، وابستگی فزاینده به الکترونیک نیز خطراتی را در بر دارد. بنابراین وقت آن است که نگاهی دقیق تر به استانداردهای جدید داشته باشیم - همچنین از دیدگاه ممیز.

محتوا

 

  • چرا امنیت سایبری خودرو؟
  • امنیت سایبری در صنعت خودرو به چه معناست؟
  • مثال عملی: اثرات یک حمله
  • امنیت فناوری اطلاعات و به روز رسانی نرم افزار خودرو
  • چه کسانی تحت تأثیر مقررات جدید هستند؟
  • امنیت سایبری UNECE مطابق R 155
  • سیستم مدیریت امنیت سایبری (CSMS) چیست؟
  • به روز رسانی نرم افزار UNECE طبق R 156 چه چیزی را تنظیم می کند؟
  • آیا امنیت سایبری در صنعت خودرو قابل تایید است؟
  • ISO/SAE 21434 به عنوان تقویت کننده شهرت
  • Excursus: سایر مقررات مهم خودرو
  • چک لیست برای الزامات امنیت خودرو UNECE
  • صدور گواهینامه با DQS
  •  

چرا امنیت سایبری خودرو؟

امنیت سایبری خودرو چالش کنونی برای تولیدکنندگان خودرو است. هر رابط و مؤلفه ارتباطی اضافی یک نقطه حمله بالقوه برای مجرمان سایبری است. پتانسیل آسیب دستکاری به سرعت در حال افزایش است، به عنوان مثال با توجه به وسایل نقلیه با کنترل خودکار یا عملکردهای رانندگی و ترمز با کنترل الکترونیکی.

 

به همین دلیل، سازمان ملل متحد در حال حاضر چارچوب اساسی امنیت سایبری خودرو را با دو مقررات جدید تعریف می کند. اینها امنیت سایبری UNECE (UN R 155) است که مستقیماً به استاندارد جدید ISO/SAE 21434 اشاره دارد و به روز رسانی نرم افزار UNECE (UN R 156). از ژوئیه 2022 این مقررات برای انواع خودروهای جدید اجباری خواهد شد. بنابراین صنعت خودرو با چالش های بزرگی مواجه است - به خصوص که بسیاری از سازندگان تجهیزات اصلی (OEM) و تامین کنندگان از مقررات جدید به عنوان بسیار کلی انتقاد می کنند. در اینجا، تمایل گسترده ای برای توصیه های ملموس برای عمل به عنوان یک ریل محافظ الزام آور وجود دارد.

 

چرا امنیت سایبری خودرو؟

امنیت سایبری خودرو چالش کنونی برای تولیدکنندگان خودرو است. هر رابط و مؤلفه ارتباطی اضافی یک نقطه حمله بالقوه برای مجرمان سایبری است. پتانسیل آسیب دستکاری به سرعت در حال افزایش است، به عنوان مثال با توجه به وسایل نقلیه با کنترل خودکار یا عملکردهای رانندگی و ترمز با کنترل الکترونیکی.

 

به همین دلیل، سازمان ملل متحد در حال حاضر چارچوب اساسی امنیت سایبری خودرو را با دو مقررات جدید تعریف می کند. اینها امنیت سایبری UNECE (UN R 155) است که مستقیماً به استاندارد جدید ISO/SAE 21434 اشاره دارد و به روز رسانی نرم افزار UNECE (UN R 156). از ژوئیه 2022 این مقررات برای انواع خودروهای جدید اجباری خواهد شد. بنابراین صنعت خودرو با چالش های بزرگی مواجه است - به خصوص که بسیاری از سازندگان تجهیزات اصلی (OEM) و تامین کنندگان از مقررات جدید به عنوان بسیار کلی انتقاد می کنند. در اینجا، تمایل گسترده ای برای توصیه های ملموس برای عمل به عنوان یک ریل محافظ الزام آور وجود دارد.

ISO 27001 - کلاسیک برای امنیت اطلاعات

ISO/IEC 27001 استاندارد بین المللی پیشرو برای معرفی یک سیستم مدیریت جامع برای امنیت اطلاعات است.

چرا به امنیت سایبری خودرو نیاز داریم؟

وسایل نقلیه متصل: این به معنای سیستم‌های کمکی نوآورانه، رانندگی (تا حدی) خودمختار، تولید شبکه‌ای شامل تامین‌کنندگان، خودروهای متصل با سرویس‌های متصل است - دیجیتالی‌سازی تقریباً در هر زمینه‌ای از صنعت خودروسازی به وضوح احساس می‌شود و به سرعت در حال پیشرفت است. اما افزایش اتصال در نهایت به معنای کد بیشتر و بیشتر است و این کد می تواند به طرق مختلف در معرض خطر قرار گیرد. به هر حال، خودروهای مدرن دارای 150 واحد کنترل الکترونیکی و حدود 100 میلیون خط کد هستند که انتظار می‌رود تا سال 2030 سه برابر شود. میزان نرم‌افزار موجود در خودروهای امروزی در حال حاضر چهار برابر یک جت جنگنده است.

 

نه تنها از زمان همه‌گیری کرونا و افزایش حملات سایبری مرتبط با آن، باید توجه ویژه‌ای به امنیت فناوری اطلاعات یا امنیت سایبری خودرو شود. یک وسیله نقلیه باید بتواند ایمنی عملکردی خود را همیشه تضمین کند. پتانسیل آسیب حملات سایبری به خودروهای هوشمند بسیار زیاد است. سناریوهای وحشتناک حملات با حجم زیاد ("تمام ترمزهای الکترونیکی در خودروهای سازنده به طور همزمان توسط حمله هکرها فلج می شوند.") باید در نظر گرفته شود. آنچه در اینجا مورد نیاز است مفاهیم امنیتی دقیق و مؤثر است.

 

مثال عملی: اثرات یک حمله

در سال 2015، دو کارشناس فناوری اطلاعات آمریکایی تأثیر بالقوه هک روی یک جیپ چروکی را نشان دادند. آنها سیستم Uconnect را که ترکیبی از بسیاری از عملکردهای الکترونیکی خودرو از سرگرمی تا ناوبری است، به خطر انداختند. همچنین به عنوان یک رابط برای دستگاه های تلفن همراه عمل می کند و در صورت درخواست یک نقطه اتصال WLAN را باز می کند - به عبارت دیگر، یک آدرس IP دارد. این دو هکر برای نشان دادن مهارت های خود از یک روزنامه نگار دعوت کردند که مدت کوتاهی بعد مجبور شد با از دست دادن کنترل وسیله نقلیه، بدون قدرت تماشا کند.

 

هکرها از فاصله بیش از 1000 کیلومتری ابتدا تهویه مطبوع و رادیو را از طریق لپ تاپ خود روشن کردند. سپس آب برف پاک کن را روی شیشه جلو پاشیدند و در نهایت به سادگی موتور را خاموش کردند - در وسط یک بزرگراه بین ایالتی (معادل بزرگراه اروپایی). پس از اولین اثبات آسیب پذیری های جدی در زیرساخت فناوری اطلاعات وسایل نقلیه، آنها حتی کمی فراتر رفتند. آنها در یک پارکینگ خالی نشان دادند که حتی می توانند روی فرمان تأثیر بگذارند یا ترمزها را نادیده بگیرند. پیامدهای این امر فراخوانی 1.4 میلیون خودرو و جریمه 105 میلیون دلاری بود.

 

 

امنیت فناوری اطلاعات و به روز رسانی نرم افزار خودرو
امروزه، اقدامات انتخابی دیگر برای محافظت کلی از وسایل نقلیه کافی نیست. در عوض، رویکردهای سیستماتیک و استراتژیک مورد نیاز است که الزامات روشنی را برای محدوده، عملکرد و ممیزی یک سیستم امنیتی مشخص کند. رویکرد استراتژیک باید کل چرخه عمر محصول را پوشش دهد. در اینجا، به عنوان مثال، تمرکز باید بر روی در دسترس بودن طولانی مدت به روز رسانی های نرم افزاری یا یکپارچه سازی کل زنجیره تامین باشد.

برای ایجاد چارچوب مناسب برای امنیت سایبری خودرو، مجمع جهانی هماهنگ سازی مقررات خودرو کمیسیون اقتصادی سازمان ملل متحد برای اروپا (UNECE) برای اولین بار در تابستان 2020 دو مقررات الزام آور را تصویب کرد. تحت اختصارات UNECE R 155 و UNECE منتشر شد. R 156، قوانین مربوط به امنیت فناوری اطلاعات و به‌روزرسانی‌های نرم‌افزاری در وسایل نقلیه است و بنابراین ارتباط نزدیکی با هم دارند.

 

این مقررات در ابتدای سال 2021 لازم الاجرا شد. از ژوئیه 2022، انطباق برای انواع خودروهای جدید اجباری خواهد بود. سازندگانی که نتوانند الزامات را برآورده کنند، با عدم ثبت انواع خودروهای مربوطه مواجه خواهند شد. در نهایت، از ژوئیه 2024، این مقررات برای تمام خودروهای تازه تولید شده اعمال خواهد شد.

مقررات اساساً مستلزم اجرای اقدامات در چهار زمینه است:

  • مدیریت خطرات سایبری برای وسایل نقلیه
  • حفاظت از وسایل نقلیه بر اساس رویکرد امنیتی به طراحی برای کاهش خطرات در طول زنجیره ارزش
  • شناسایی و دفاع در برابر حملات در سراسر ناوگان خودرو
  • ارائه به روز رسانی نرم افزار از نظر امنیتی و معرفی مبنای قانونی برای به روز رسانی های هوایی (O.T.A.) نرم افزار خودرو

امنیت سایبری خودرو: قوانین جدید بر چه کسانی تأثیر می گذارد؟

مقررات سازمان ملل در درجه اول در مورد الزام سازندگان خودرو به اجرای الزامات جدید صحبت می کند. با این حال، این شامل نظارت و ممیزی امنیت سایبری در سراسر زنجیره تامین برای نشان دادن اجرای مقررات در هر زمان است. بنابراین سازنده موظف به نظارت بر تامین کنندگان است. و بنابراین به احتمال زیاد تامین کنندگان خود را ملزم به اجرای استانداردهای جدید نیز خواهد کرد.

این دو مقررات برای خودروهای سواری، وانت، کامیون‌ها و اتوبوس‌ها اعمال می‌شود، مشروط بر اینکه مجهز به عملکردهای رانندگی خودکار باشند. این دسته همچنین شامل انواع جدیدی از غلاف های خودکار، شاتل ها یا وسایل نقلیه مشابه می شود. علاوه بر این، این مقررات در مورد تریلرهایی که حداقل یک واحد کنترل الکترونیکی دارند نیز اعمال می شود.

امنیت سایبری UNECE تحت R 155 چه چیزی را پوشش می دهد؟

UNECE R 155 الزاماتی را برای محافظت از وسایل نقلیه در برابر حملات سایبری تعریف می کند. نکته کلیدی در اینجا پیاده سازی سیستم مدیریت امنیت سایبری (CSMS) در تمام شرکت هایی است که وسایل نقلیه را در بازار عرضه می کنند. نکته جالب این است که این الزام دیدگاه تولیدکنندگان را تغییر می دهد. فعالیت های توسعه آنها دیگر با شروع تولید (SOP) به پایان نمی رسد. درعوض، یک تعهد مستمر برای بررسی سیستم های ایمنی در کل چرخه عمر یک وسیله نقلیه، از جمله هر گونه پیشرفت لازم وجود دارد.

به این ترتیب، قانونگذار ماهیت بسیار پویای توسعه نرم افزار و تضمین نرم افزار را در نظر می گیرد. علاوه بر این، سیستم مدیریت برای اطمینان از انطباق با الزامات ایمنی در طول زنجیره تامین در نظر گرفته شده است. با توجه به این واقعیت که تامین کنندگان در حال حاضر بیش از 70 درصد از حجم نرم افزار را تشکیل می دهند، کار آسانی نیست.

مقررات سازمان ملل متحد شماره 155 - مقررات یکسان در مورد تأیید وسایل نقلیه با توجه به امنیت سایبری و سیستم مدیریت امنیت سایبری [2021/387]. متن آیین نامه را می توانید در اینجا ببینید.

برای اطمینان از امنیت سرتاسری علیرغم این پیچیدگی ها - از توسعه گرفته تا وسیله نقلیه تمام شده در جاده - مهم است که به یک CSMS به طور کلی فکر کنید. علاوه بر این، وسایل نقلیه باید بر اساس رویکرد امنیتی طراحی شوند. هدف این است که از همان ابتدا دروازه مهاجمان را تا حد امکان کوچک نگه داریم.

 

سیستم مدیریت امنیت سایبری (CSMS) چیست؟

ویژگی های کلیدی CSMS عبارتند از:

 

مدیریت ریسک: یک سازمان از فرآیندهایی برای شناسایی، ارزیابی و کاهش خطرات ناشی از تهدیدات سایبری استفاده می کند.

مدیریت ریسک کل چرخه عمر محصول - از توسعه تا مرحله عملیاتی در مشتری نهایی را پوشش می دهد.

نظارت بر آسیب پذیری های جدید و حملات شناخته شده برای پاسخگویی با به روز رسانی های جدید.

امکان ارزیابی مستقل توسط یک موسسه آزمایشی معتبر را فراهم می کند.

نکته مثبت مهم در عمل: سیستم‌بندی امنیت سایبری که با معرفی CSMS به وجود می‌آید، شرکت‌ها را ملزم می‌کند که به موضوع امنیت اطلاعات به شیوه‌ای ریسک‌محور رسیدگی کنند.

"سیستم مدیریت امنیت سایبری (CSMS) به یک رویکرد سیستماتیک و مبتنی بر ریسک برای ایجاد فرآیندهای سازمانی، مسئولیت ها و حاکمیت در مدیریت ریسک های مربوط به تهدیدات سایبری برای وسایل نقلیه و محافظت از وسایل نقلیه در برابر حملات سایبری اشاره دارد.

منبع: مجله رسمی اتحادیه اروپا در R 155

این شامل تعریف و ارزیابی کامل ریسک ها و تفکر در مورد احتمال وقوع آنها می شود. این ارزیابی ریسک یک نقطه شروع قوی برای کاهش آسیب بالقوه خاص تا سطح قابل قبول فراهم می کند - یک رویکرد اثبات شده و عملی.

امنیت سایبری خودرو: UNECE R 156 چه چیزی را تنظیم می کند؟

از آنجایی که خودروهای کاملاً خودمختار نیز در آینده قابل پیش‌بینی در ترافیک شرکت خواهند کرد، حفظ نرم‌افزار وسیله نقلیه به‌طور مناسب و به‌روز نگه داشتن آن برای همیشه، به‌عنوان مثال، از طریق رفع اشکال یا به‌روزرسانی، اهمیت اساسی دارد. بنابراین R 156 معرفی و بهره برداری از یک سیستم مدیریت به روز رسانی نرم افزاری (SUMS) سازگار با استاندارد را برای همه خودروها تجویز می کند. در نظر گرفته شده است که امنیت دائمی را در کل چرخه عمر یک وسیله نقلیه فراهم کند.

حتی پس از سال‌ها یا دهه‌ها، هنوز باید بتوان به‌روزرسانی‌ها را با خیال راحت و قابل اعتماد نصب کرد. علاوه بر این، R 156 پایه و اساس قانونی به‌روزرسانی‌های به اصطلاح «Over-the-Air» (O.T.A.) را ایجاد می‌کند، که این امکان را برای خودروها فراهم می‌کند که در هر زمان و بدون توجه به موقعیت مکانی آنها، در کوتاه‌مدت به‌روزرسانی شوند.

مقررات سازمان ملل متحد شماره 156 - مقررات یکسان در مورد تأیید وسایل نقلیه موتوری با توجه به به روز رسانی نرم افزار و سیستم مدیریت به روز رسانی نرم افزار [2021/388]. متن آیین نامه را می توانید در اینجا ببینید.

در مقایسه، تولیدکنندگان کنونی تلفن همراه اطمینان چندانی در مورد اینکه چه تعداد از نسل‌های نرم‌افزاری آینده را پشتیبانی خواهند کرد یا در چه دوره‌های زمانی دستگاه‌های قدیمی‌تر همچنان با به‌روزرسانی‌های امنیتی ارائه خواهند شد، نمی‌دهند. اگر تولیدکنندگان تلفن همراه که تمایل زیادی به فناوری اطلاعات دارند، بخواهند هر چه زودتر از چالش‌های چرخه عمر محصولات خود اجتناب کنند، این به وضوح چالش‌های مرتبط با فناوری اطلاعات را نشان می‌دهد که صنعت خودرو در حال حاضر با چرخه عمر طولانی محصول خود با آن مواجه است.

 

آیا امنیت سایبری معاصر در صنعت خودرو قابل تایید است؟

طبق مقررات اتحادیه اروپا، تولیدکنندگان باید همیشه از عملکرد سیستم های مدیریت خود اطمینان حاصل کنند و وضعیت همه نرم افزارهای خود را به طور گسترده مستند کنند.

برای ارائه یک استاندارد قابل تایید برای عملکرد یک CSMS، سازمان بین المللی استاندارد (ISO) به همراه انجمن مهندسین خودرو (SAE)، ISO/SAE 21434 را در آگوست 2021 منتشر کردند. در محافل حرفه ای، ISO/SAE 21434 انتظار می رود مبنایی به رسمیت شناخته شده توسط مقامات تایید برای اجرای یک سیستم مدیریت امنیت سایبری در یک سازنده خودرو فراهم کند.

انجمن صنعت خودرو آلمان (VDA) یک مبنای آزمایش تکمیلی برای این استاندارد ایجاد کرده است که یک سازنده خودرو می تواند از آن برای ممیزی CSMS تامین کننده یا ارائه دهنده خدمات مهندسی خود استفاده کند. به این ترتیب، CSMS سازنده می‌تواند تأثیر مثبتی از نظر مقررات UNECE تا سطح تأمین‌کننده داشته باشد.

برای صدور گواهینامه یک سیستم مدیریت به روز رسانی نرم افزار، ISO 24089 به استاندارد تبدیل می شود. با این حال، طراحی هنوز در این مقطع زمانی (ژانویه 2022) باز است.

تمایز از TISAX®

درست است که TISAX® یک روش آزمایشی برای امنیت اطلاعات در صنعت خودروسازی است. و مانند گواهینامه، تحقق شرایط از طریق ارزیابی قابل اثبات است. با این حال، TISAX® در درجه اول برای ارائه دهندگان خدمات یا تامین کنندگان در صنعت خودرو است که باید به مشتریان خود ثابت کنند که الزامات امنیتی اطلاعات خاصی را برآورده می کنند. یک مثال، مدیریت امن داده ها و اطلاعاتی است که به عنوان مثال توسط مشتری برای یک فرآیند توسعه و تولید به تامین کننده ارائه می شود. ISO/SAE 21434، از سوی دیگر، تولیدکنندگان خودرو، یعنی سازندگان تجهیزات اصلی (OEM) را هدف قرار داده است.

ISO/SAE 21434 به عنوان تقویت کننده شهرت

رویکرد ISO 21434، مشابه سیستم های مدیریت رایج مانند ISO 27001، اجرای فرآیندها و رویه ها را با در نظر گرفتن ریسک های شناسایی شده می طلبد.

 

هدف اعلام شده این استاندارد اطمینان از ایمنی تمام سیستم های الکترونیکی الکتریکی و بالاتر از همه، پردازش داده ها در طول چرخه عمر محصول یک وسیله نقلیه، درست تا زمانی که در اختیار دارد، است. با انجام این کار، هدف آن تبدیل شدن به یک استاندارد کیفیت تثبیت شده و الزام آور برای امنیت سایبری در بخش خودرو است.

ISO/SAE 21434:2021 - وسایل نقلیه جاده ای - مهندسی امنیت سایبری - تاریخ صدور 08-2021. استاندارد از وب سایت ISO در دسترس است.

برای برآورده کردن این رویکرد جامع، استاندارد یک CSMS را برای حوزه‌های طراحی امنیتی، توسعه محصول، نگهداری محصول، تشخیص ریسک، کاهش خطر، دفع محصول و فرآیندهای جاری مرتبط تعریف می‌کند. همچنین شامل مقررات مربوط به مسئولیت ها در مورد توسعه محصول توزیع شده بین تولید کنندگان و تامین کنندگان، بدون تجویز فن آوری ها یا راه حل های خاص به صورت مشخص است.

سازندگان و تامین کنندگان خودرو نباید اجرای ISO 21434 را به عنوان بار اضافی برای تجارت روزانه خود بدانند. برعکس، گواهینامه ها ارزش افزوده واقعی را در بسیاری از زمینه ها ارائه می دهند - کلمات کلیدی: بیمه سایبری، مسئولیت سایبری و شهرت بازار. در نتیجه، گاهی اوقات حتی می توانند به یک مزیت رقابتی تبدیل شوند. از این گذشته، امنیت فناوری اطلاعات پیشرفته که توسط کارشناسان مستقل تایید شده و حفاظت از داده‌های تایید شده به طور فزاینده‌ای به عنوان ویژگی‌های کیفیت مهم در صنعت در نظر گرفته می‌شوند.

Excursus: سایر مقررات مهم خودرو

 

IATF 16949

صنعت خودرو متعهد به کیفیت فرآیند عالی، فرآیندهای بهبود مستمر، بالاترین استانداردها و نوآوری است. IATF 16949 استاندارد سیستم های مدیریت کیفیت تامین کنندگان در صنعت خودرو است.

کیفیت در صنعت خودرو

آیا به دنبال دسترسی به بازار به صنعت خودرو هستید یا می خواهید آن را به عنوان یک تامین کننده برتر به دست آورید؟ سازندگان خودرو از شما انتظار دارند که مدرک معناداری برای توانایی کیفیت خود ارائه دهید: گواهی مطابق با IATF 16949.

TISAX®

TISAX® یک روش آزمایش و تبادل متداول برای بخش خودرو است. بر اساس پرسشنامه "ISA - ارزیابی امنیت اطلاعات" که توسط انجمن صنعت خودرو آلمان (VDA) تهیه شده است. این به نوبه خود شامل جنبه های اساسی استاندارد بین المللی ISO/IEC 27001 است و آنها را با یک مدل بلوغ گسترش می دهد.

TISAX® - امنیت اطلاعات در صنعت خودرو

به عنوان یک ارائه دهنده خدمات یا تامین کننده در صنعت خودرو، باید به مشتریان خود ثابت کنید که الزامات امنیت اطلاعات را رعایت می کنید.

ISO 26262

اجرای استاندارد برای اطمینان از ایمنی عملکرد یک سیستم با قطعات الکتریکی یا الکترونیکی در یک وسیله نقلیه موتوری در نظر گرفته شده است. استاندارد از دوازده قسمت تشکیل شده است. بخش 1: واژگان، بخش 2: مدیریت ایمنی عملکردی، بخش 3: فاز مفهومی، بخش 4: توسعه محصول در سطح سیستم، بخش 5: توسعه محصول در سطح سخت افزار، بخش 6: توسعه محصول در سطح نرم افزار، بخش 7: تولید، بهره برداری، سرویس و از کار انداختن، بخش 8: فرآیندهای پشتیبانی، قسمت 9: سطح یکپارچگی ایمنی خودرو (ASIL) تجزیه و تحلیل مبتنی بر ایمنی و محور، قسمت 10: دستورالعمل‌های مربوط به ISO 26262، قسمت 11: دستورالعمل‌های اعمال ISO 26262 برای نیمه‌هادی‌ها و قسمت 12: سازگاری برای موتور سیکلت.

ISO 26262-1 (bis 12): 2018-12 - وسایل نقلیه جاده ای - ایمنی عملکردی. استانداردها از وب سایت ISO در دسترس هستند.

چک لیست ها: آیا الزامات UNECE Automotive Security را برآورده می کنید؟

فهرست الزامات UNECE گسترده است و در نگاه اول می تواند بسیار زیاد باشد. سه چک لیست زیر باید یک نمای کلی از مقررات به شما ارائه دهد - و اولین تصور را از اینکه آیا سیستم های مدیریت موجود شما قبلاً با مقررات UNECE مطابقت دارد یا خیر.

بر اساس مقررات UNECE در مورد امنیت سایبری و سیستم های مدیریت امنیت سایبری، برای دریافت تاییدیه نوع، سازندگان باید شرایط زیر را رعایت کنند.

الزامات سیستم های مدیریت امنیت سایبری.

 

  • یک CSMS وجود دارد و می تواند در مراحل توسعه، تولید و پس از تولید وسایل نقلیه جاده ای اعمال شود.
  • تجزیه و تحلیل ارزیابی ریسک انجام می شود و به هدف خود عمل می کند.
  • اقدامات کاهش خطر شناسایی شده است.
  • کارکرد کاهش ریسک از طریق آزمایش قابل تأیید است.
  • اقداماتی برای شناسایی و دفاع در برابر حملات سایبری وجود دارد.
  • پزشکی قانونی داده های روشی، تجزیه و تحلیل حملات موفق را امکان پذیر می کند.
  • اقداماتی برای حمایت از ظرفیت نظارت برای تهدیدات، آسیب‌پذیری‌ها و حملات سایبری مرتبط وجود دارد.
  • سازنده خودرو حداقل سالی یک بار به مرجع تایید گزارش می دهد.

بر اساس مقررات UNECE در مورد به روز رسانی نرم افزار و سیستم های مدیریت به روز رسانی نرم افزار، برای دریافت تاییدیه نوع، تولید کنندگان باید شرایط زیر را رعایت کنند.

 

سیستم های مدیریت به روز رسانی نرم افزار مورد نیاز

 

  • یک سیستم مدیریت به‌روزرسانی نرم‌افزار وجود دارد و می‌توان آن را برای وسایل نقلیه جاده‌ای اعمال کرد.
  • سازنده به طور کامل به روز رسانی ها را مستند می کند.
  • مکانیسم تحویل به‌روزرسانی از دستکاری محافظت می‌شود و می‌توان از صحت و صحت به‌روزرسانی‌ها اطمینان داشت.
  • شماره های شناسایی نرم افزار یا نسخه های نرم افزار از تغییرات غیرمجاز محافظت می شوند.
  • شماره شناسایی نرم افزار از طریق یک رابط از وسیله نقلیه قابل خواندن است.

 

الزامات به‌روزرسانی‌های نرم‌افزاری از طریق هوا

 

  • در صورت عدم موفقیت به‌روزرسانی، یک تابع بازیابی وجود دارد.
  • نرم افزار فقط زمانی به روز می شود که قدرت کافی در دسترس باشد.
  • اجرای ایمن به روز رسانی ها را می توان تضمین کرد.
  • کاربران از هر به روز رسانی و زمان تکمیل آن مطلع می شوند.
  • به‌روزرسانی‌ها فقط زمانی اجرا می‌شوند که وسیله نقلیه بتواند این کار را انجام دهد (به عنوان مثال، برخی از به‌روزرسانی‌ها را نمی‌توان در حین رانندگی انجام داد).
  • در صورت نیاز به مکانیک به کاربران اطلاع داده می شود.

دوره را برای صدور گواهینامه موفق با DQS تنظیم کنید

امنیت اطلاعات و حفاظت از داده ها مسائل پیچیده ای هستند که بسیار فراتر از امنیت فناوری اطلاعات هستند. آنها جنبه های فنی، سازمانی و زیرساختی را در بر می گیرند و الزامات قانونی را لمس می کنند. یک سیستم مدیریت امنیت اطلاعات (ISMS) مطابق با ISO/IEC 27001 برای اقدامات حفاظتی موثر مناسب است، و این می تواند به طور ایده آل توسط یک سیستم مدیریت اطلاعات حریم خصوصی (PIMS) مطابق با ISO/IEC 27701 تکمیل شود. ISO 21434، به نوبه خود ، می تواند مبنایی برای سیستم مدیریت امنیت سایبری (CSMS) باشد که به زودی توسط مقامات صدور مجوز مورد نیاز است.

DQS متخصص شما برای ممیزی و صدور گواهینامه سیستم ها و فرآیندهای مدیریتی است. با محصولات ما برای صنعت خودرو، مانند مدیریت کیفیت مطابق با IATF 16949 یا حفاظت از نمونه اولیه در تامین کنندگان مطابق با TISAX®، ما و حسابرسان ما قبلاً دانش گسترده ای در صنعت به دست آورده ایم. با بیش از 35 سال تجربه و دانش 2500 حسابرس در سراسر جهان، ما شریک معتبر صدور گواهینامه شما هستیم و به تمام سوالات مربوط به حفاظت از داده ها و امنیت اطلاعات پاسخ می دهیم.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

ما با کمال میل به سوالات شما پاسخ خواهیم داد

الزامات صدور گواهینامه ISO 27001، ISO 27701، IATF 16949 یا ارزیابی TISAX چیست؟ و چقدر باید انتظار تلاش داشته باشید؟ دریابید. رایگان و بدون تعهد.

ما مشتاقانه منتظر صحبت کردن با شما
نویسنده
Holger Schmeken

Product Manager for TISAX® and VCS, Auditor for ISO/IEC 27001, Expert for Software Engineering with more than 30 years of experience, and Deputy Information Security Officer. Holger Schmeken holds a Master's in Business Informatics and has extended audit competence for Critical Infrastructures in Germany (KRITIS).

سوالی دارید؟

ما اینجا برای شما هستیم.
ارتباط با ما