Timeline Automotive Cybersecurity
ISO/SAE 21434 supersedes SAE J3061TMand is “State-of-the-Art” for all new Developments and all Modifications
Einleitende Klauseln der ISO/SAE 21434
Klausel 1: Anwendungsbereich
- ISO/SAE 21434 gilt für serienmäßige E/E-Systeme für Straßenfahrzeuge.
- Dies schließt deren Komponenten und Schnittstellen ein.
- Sie gilt für alle Komponenten, mit deren Entwicklung oder Änderung nach der Veröffentlichung des Dokuments begonnen wurde.
- Der Standard spezifiziert Anforderungen für das Cybersecurity-Risikomanagement
- Sie befasst sich mit dem gesamten Produktlebenszyklus von der Konzeptphase bis zur Stilllegung sowie mit den damit verbundenen organisatorischen Aspekten.
- Sie definiert auch eine gemeinsame Sprache für die Kommunikation und das Management von Cybersicherheitsrisiken.
Relevante Safety & Security Standards für die Automobilindustrie
NORMATIVE REFERENZEN
- Auf die folgenden Dokumente wird im Text so verwiesen, dass ihr Inhalt ganz oder teilweise
Anforderungen des vorliegenden Dokuments darstellen. Bei datierten Verweisen gilt nur die angegebene Ausgabe. Bei undatierten Verweisen gilt die letzte Ausgabe des referenzierten Dokuments (einschließlich aller Änderungen)
gültig. - ISO 26262-3:2018, Straßenfahrzeuge – Funktionale Sicherheit – Teil 3: Konzeptphase
Verbindung mit der ISO 26262:2018
- Einige Begriffe werden aus der ISO 26262 in abgewandelter Form verwendet, z.B. „Item“
- Die ISO 26262 dient als Beispiel dafür, wie die geforderte Unabhängigkeit für Cybersicherheitsaudits oder –bewertungen implementiert werden kann
- ISO 26262 ist die erforderliche Quelle, um die sicherheitsrelevanten Auswirkungen zu erkennen
WICHTIG: Die in der ISO 26262 definierten Items und das in der ISO/SAE 21434 definierte Item können
unterschiedlich sein
Klausel 4: Allgemeine Erwägungen
- Die Anwendung von ISO/SAE 21434 ist auf Cybersecurity relevante Teile und Komponenten eines Serien-Straßenfahrzeugs-Fahrzeugs
- Sie schließt Aftermarket- und Serviceteile ein
- Systeme außerhalb des Fahrzeugs können berücksichtigt werden, sind aber nicht im Geltungsbereich
- Das Cybersicherheitsmanagement gilt in der gesamten Lieferkette
Klausel 5: Organisatorisches Cybersicherheitsmanagement
Zielsetzung
- Definition einer Cybersicherheitspolitik und die organisatorischen Regeln und Prozesse für Cybersicherheit
- Zuweisung der Verantwortlichkeiten und die entsprechenden Befugnisse, die für die Durchführung der Cybersicherheitsaktivitäten erforderlich sind
- Unterstützung bei der Umsetzung der Cybersicherheit
- Verwalte des Cybersicherheitsrisiko
- Einführung und Aufrechterhaltung einer Cybersicherheitskultur
- Unterstützung und Verwaltung des Austauschs von Cybersicherheitsinformationen
- Einrichtung und Pflege von Managementsysteme
- den Nachweis erbringen, dass die verwendeten Werkzeuge die Cybersicherheit nicht beeinträchtigen Cybersicherheitsaudits
Erforderliche Arbeitsprodukte
- Cybersicherheitsstrategie zugehörige Regeln und Verfahren
- Nachweise für Kompetenz, Management und Bewusstsein
- Nachweise von Managementsystemen und Toolmanagement
- Organisatorischer Bericht zum Cybersecurity-Audit