KIBER- ÉS INFORMÁCIÓBIZTONSÁGI CSOMAG
Az ISO/SAE 21434 szabvány: A járműipari kiberbiztonság új korszakának alapja
Autóipari kiberbiztonság
A modern autóiparban a kiberbiztonság egyre nagyobb szerepet kap, mivel az autók egyre inkább összekapcsolódnak a hálózattal és egyre bonyolultabb technológiákat alkalmaznak. Az ISO/SAE 21434 szabvány célja, hogy átfogó útmutatást nyújtson a járművek kiberbiztonsági kezelési folyamataira vonatkozóan, biztosítva ezzel a járművek integritását, bizalmasságát és rendelkezésre állását. Kiberbiztonsági szolgáltatásaink kiemelik az ISO/SAE 21434 szabvány jelentőségét, célkitűzéseit, valamint alkalmazási területeit, különös tekintettel az UN R155 és UN R156 előírásokra is.
Az UN R155 és UN R156 szerepe
Az UN R155 és UN R156 rendeletek az ENSZ EGB (Európai Gazdasági Bizottság) szabályozási keretének részei, amelyek célja a járművek kiberbiztonsági és szoftverfrissítési követelményeinek meghatározása:
– UN R155 (Kiberbiztonsági és kiberbiztonsági irányítási rendszer): Ez a rendelet előírja a járműgyártók számára, hogy kiberbiztonsági irányítási rendszert (CSMS) vezessenek be, amely biztosítja a járművek védelmét a kiberfenyegetésekkel szemben a teljes élettartamuk során. Ennek eléréséhez a legcélszerűbb az ISO 21434-es követelményeket alkalmazni.
– UN R156 (Szoftverfrissítési folyamatok és irányítási rendszer): Ez a rendelet meghatározza a járművek szoftverfrissítési folyamatait és követelményeit, biztosítva ezzel a szoftverek biztonságos és hatékony frissítését.
Ezek a rendeletek a jármű és járműalkatrészek homologizációjának is meghatározó követelményei.
Az ISO/SAE 21434 szabvány és az UN R155, UN R156 rendeletek együtt biztosítják a járművek átfogó kiberbiztonsági és szoftverkezelési keretrendszerét, amely elengedhetetlen a modern járművek biztonságos üzemeltetéséhez.
A szabvány célkitűzései
Az ISO/SAE 21434 szabvány fő célkitűzései közé tartozik:
– Kiberbiztonsági kockázatok kezelése: A szabvány útmutatást nyújt a kiberbiztonsági kockázatok azonosítására, értékelésére és kezelésére a jármű teljes élettartama során.
– Biztonsági követelmények meghatározása: Meghatározza a járművek biztonsági követelményeit, biztosítva ezzel a megfelelő védelmi intézkedések alkalmazását.
– Fejlesztési folyamatok integrálása: Előírja a kiberbiztonsági szempontok integrálását a járműfejlesztési folyamatokba, beleértve a tervezést, fejlesztést, tesztelést és karbantartást.
– Kiberbiztonsági kultúra előmozdítása: Elősegíti a kiberbiztonsági tudatosság növelését és a kiberbiztonsági kultúra kialakítását az autóipari szervezetekben.
Alkalmazási területek
Az ISO/SAE 21434 szabvány alkalmazási területei széleskörűek, kiterjednek a járműipar különböző szegmenseire:
– Járműgyártók: A szabvány iránymutatást nyújt a járműgyártók számára a kiberbiztonsági követelmények integrálására a járműtervezési és fejlesztési folyamatokba.
– Beszállítók: A beszállítók számára biztosítja a megfelelő kiberbiztonsági követelmények betartását a járműalkatrészek és rendszerek fejlesztése során.
– Szolgáltatók: Az olyan szolgáltatók számára, mint a telematikai szolgáltatók és a szoftverfejlesztők, a szabvány előírja a kiberbiztonsági intézkedések bevezetését a nyújtott szolgáltatásokban.
– Hatóságok: A szabvány alapot nyújt a nemzeti és nemzetközi kiberbiztonsági szabályozások kidolgozásához és alkalmazásához.
Az ISO/SAE 21434 szerinti tanúsítás megszerzéséhez egy vállalatnak általában a következő lépéseket kell követnie, amelyeket a QTICS Automotive Zrt. mindenre kiterjedő konzultációs és tanúsítási feladatokkal támogat:
-
Gap elemzés: A vállalat azonosítja jelenlegi kiberbiztonsági gyakorlatait és folyamatait, majd összehasonlítja azokat az ISO/SAE 21434 előírásaival. Ez segít azonosítani azokat az esetleges hiányosságokat, amelyeket meg kell oldani a tanúsítás előtt.
-
Képzés és tájékoztatás: A dolgozók képzést és tájékoztató programokat kapnak annak érdekében, hogy megértsék az ISO/SAE 21434 fontosságát és követelményeit. Ez biztosítja, hogy mindenki a vállalatnál tisztában legyen a kiberbiztonsági intézkedésekkel.
-
Bevezetés: A vállalat megkezdi a szükséges kiberbiztonsági intézkedések és gyakorlatok bevezetését az ISO/SAE 21434 irányelvei alapján. Ez lehetővé teszi a kiberbiztonsági eszközök telepítését, a szoftverek frissítését és az incidenskezelési tervek kialakítását.
-
Dokumentáció: Készül egy részletes dokumentáció az összes kiberbiztonsági folyamatról és intézkedésről, amit a tanúsítási audit során felülvizsgálnak.
-
Belső audit: A vállalat belső auditot végez annak érdekében, hogy értékelje a kiberbiztonsági intézkedések hatékonyságát és az ISO/SAE 21434-nek való megfelelést.
-
Előaudit: Az előaudit célja az, hogy felmérje a szervezet felkészültségét a hivatalos tanúsítási auditra. Az előzetes értékelés során azonosított problémákat megoldják.
-
Tanúsítási audit: Az akkreditált tanúsító szervezet végzi el a hivatalos tanúsítási auditot. Az auditor felülvizsgálja a vállalat dokumentációját, folyamatait és gyakorlatait annak érdekében, hogy ellenőrizze az ISO/SAE 21434-nek való megfelelést.
-
Hibajavító intézkedések: Ha az audit során nem-megfelelőségek merülnek fel, a vállalatnak korrekciós intézkedéseket kell tennie azok kezelésére.
-
Akkreditált tanúsítvány: Ha a vállalat teljesíti az ISO/SAE 21434 követelményeit, akkor megkapja az akkreditált tanúsítványt. A tanúsítvány érvényessége 3 éves időtartamra szól, és rendszeres (éves) felügyeleti auditok kerülnek végrehajtásra annak érdekében, hogy a folyamatos megfelelést az akkreditált tanúsítóhely ellenőrizze és igazolja.
Konklúzió
Az ISO/SAE 21434 szabvány bevezetése mérföldkő az autóipari kiberbiztonság területén. Az átfogó iránymutatások és követelmények révén biztosítja a járművek védelmét a kiberfenyegetésekkel szemben, elősegítve ezzel a biztonságos és megbízható járművek fejlesztését és üzemeltetését. Az ISO/SAE 21434 és az UN R155, UN R156 rendeletek együttes alkalmazása kulcsfontosságú a járműipari szereplők számára, hogy megfeleljenek a globális kiberbiztonsági elvárásoknak és szabályozásoknak, ezzel növelve versenyképességüket és biztonsági szintjüket a globális piacon.
A QTICS Automotive Plc. képzési, tanácsadási, megfelelőség értékelési, alkatrész típusjóváhagyási/jármű homologizációs és tanúsítási szolgáltatásokat nyújt a kiberbiztonsági megfeleléshez a fenti szabványok és előírások szerint.
Kapcsolódó információ- és kiberbiztonsági szolgáltatások:
· A GDPR (General Data Protection Regulation) az Európai Unió által bevezetett adatvédelmi rendelet, amely szabályozza a személyes adatok kezelését és védelmét. Európában először mi vagyunk képesek akkreditáltan tanúsítani a GDPR-t (Europrivacy tanúsítás).
· Az ISO/IEC 27001 egy nemzetközi szabvány, amely az információbiztonsági rendszerek általános követelményeit tartalmazza. Ehhez nyújtunk képzési, tanácsadási és tanúsítási szolgáltatásokat.
· A TISAX (Trusted Information Security Assessment Exchange) a német VDA (Német Gépjárműipari Szövetség) követelményén alapuló egyetlen autóipariág-specifikus biztonsági keretrendszer az információbiztonság értékeléséhez. A bevezetéshez, működtetéshez szükséges képzési és tanácsadási szolgáltatásokat nyújtjuk.
· A NIS2 (Network and Information Systems) irányelv európai uniós szabályozás a kiberbiztonsági képességek egységesítésére a szervezetek védelmének erősítésére, amely Magyarországon is kötelező érvényű. Tanácsadási szolgáltatásainkon keresztül megvalósítjuk a NIS2 megfeleléshez szükséges kiberbiztonsági követelményeket, és biztosítjuk a szükséges képzést a munkatársaknak.
Az IEC 62443 az ipari vezérlőrendszerek védelmére vonatkozó szabvány és a leghatékonyabb kiberbiztonsági megoldás az ipar 4.0 számára. A termelési eszközök fokozott összekapcsolhatóságával (IIoT) új veszélyek jelennek meg, amelyeket be kell vonni a hagyományos kockázatkezelési folyamatokba. Az ipari automatizálási vezérlőrendszer-alkatrészek gyártójának (beszállítójának) a termékfejlesztési folyamatokba be kell építenie az IEC 62443 szerinti biztonsági követelmények figyelembevételét. Képzési, tanácsadási és tanúsítási szolgáltatásaink az industrial control system-ek kiberbiztonsági megfelelésének zálogai.
RÁCZ PÉTER | MÁTYUS PÉTER | NOVÁK TAMÁS |
Sales vezető | Ügyvezető igazgató | Üzletfejlesztési vezető |
+36 30 164 2072 | +36 30 968 3655 | +36 30 322 2013 |
peter.racz@qtics.group | peter.matyus@qtics.group | tamas.novak@qtics.group |