在这篇博客中,我们回顾了“为什么在需求管理系统中存储网络安全风险管理项目是有意义的”网络研讨会。
在本次网络研讨会中,“为什么将网络安全风险管理项目存储在需求管理系统中是有意义的”,了解新汽车网络安全标准ISO 21434的核心——威胁和风险分析(TARA)的实施。
许多公司目前使用电子表格来开发tara,这在管理跨分布式团队和生产线变体的大型需求集时可能具有挑战性。在本次网络研讨会中,我们将研究为什么需求管理系统(RMS)非常适合管理TARA工作产品,并且可以对跨团队管理这些数据、支持遵从性审计和评估产生重大影响。开云足球app下载官网最新版
与会者将深入了解TARA的复杂性,以及正确的工具解决方案如何在跨团队管理这些数据、支持合规性审计和评估方面发挥作用。
关键外卖:
- 威胁和风险分析(TARA)是ISO 21434汽车网络安全标准的核心
- TARA概述
- 实施TARAs时符合ISO 21434要求
- 为什么RMS非常适合管理tara
以下是我们网络研讨会的简短文字记录和录音。
为什么在需求管理系统中存储网络安全风险管理项目是有意义的
凯文种植:谢谢你,朱丽叶。好吧。我先看一下议程然后直接进入21434。我将从一个高层次的介绍开始,然后进入我们今天主题的焦点,即威胁和风险分析,这是21434的核心,也被称为塔拉。然后对使用RMS或需求管理工具来管理TARA进行论证。然后Steve会接手讨论在Jama软件中会是什么样子并总结一些在Jama中管理tara的关键点与一些传统方法相比。开云官网入口下载手机版开云官网手机网页版入口然后我们会有时间提问。
有了这些,这将是21434的高层次概述。我有一种感觉,你们中有些人已经在网络安全领域工作了一段时间,有些人只是刚刚接触这个术语。所以,我想把这个作为接下来讨论的基础。
首先,21434是多少?它是开发网络安全系统的汽车行业标准。经过几年的审查,它于2021年8月被批准为开发网络安全系统的方法。就标准本身而言,它是结构化的,并使用了许多与功能安全标准ISO 26262相同的术语。如果你熟悉功能安全,那么这个标准的组织方式就会很有意义。一些术语,如项目定义,概念阶段,网络安全目标,甚至塔拉与功能安全术语类似,如功能安全概念,功能安全目标,或HARA,危害和风险分析。所以,这只是你学习新标准时的一个参考点。就其范围而言,它涵盖或适用于乘用车和货车。
所以和ISO 262有点不同,乘客包括公共汽车,商业的或非商业的。我认为甚至三脚架和其他类型的摩托车混合动力设备或车辆也在范围内。它适用于批量生产,它使用的生命周期从请求产开云足球app下载官网最新版品报价开始。我将对此进行一点定义并一直讲到网络安全支持的最后。所以,就像功能安全一样,我们不是在谈论支持风险和危险,在这种情况下,攻击者的威胁导致了SOP,但它远远不止于此。事实上,在1434年,他们不再使用SOP或生产开始这个术语,这在任何汽车产品开发计划中都是一个关键的里程碑,他们称这个里程开云足球app下载官网最新版碑为后开发阶段的发布。
相关:功能安全(FuSA)解释:标准和合规性在确保关键系统安全中的重要作用
种植:我想在这个问题上停留一会儿,因为它提出了一个非常重要的观点,它与我们将要讨论的关于TARA的内容非常相关。发布到开发后。因此,汽车行业正经历着巨大的变化,原始设备制造商希望或正在成为移动提供商,而服务将在汽车发布后出售。其中一些服务在汽车出售时甚至无法想象。这与汽车行业五年前的情况截然不同。该标准认识到这一点,并将其与另一个重要概念结合起来,即网络安全世界、威胁环境、用于攻击车辆的技术和工具都在不断变化。因此,在投入生产的时候,假设受到保护的东西,比如一组开云足球app下载官网最新版加密密钥或通信总线,可能在五年内比汽车发布时更容易受到攻击,因为新技术,新方法,新技巧,新黑客,以及其他被发现的东西。
所以,这是一个重要的概念,因为它为我们的想法提供了信息,我们将把塔拉作为一个活生生的文件,作为一个活生生的资产,从概念阶段开始,从项目或汽车系统的高层架构开始。并且一直延伸到网络安全支持的生命周期结束,也就是10到15年之后。现在,21434既有开发网络安全系统的要求,就是我在右边展示给你们的,但它也有流程要求。为此,要根据21434对过程进行审计,并对项目的结果进行评估。评估部分对我们的讨论很重要,因为当我们考虑塔拉及其部分或塔拉的项目时,我们必须考虑我们需要留下什么证据来通过评估,这是非常重要的考虑因素。
相关:道路车辆网络安全和风险管理指南:第1部分
种植:因此,我们对过程进行审计,然后对最终结果进行评估。以上就是对21434的简要概述。如果你还记得关于21434的任何东西,除了TARA,你希望你能记得这一点,是为了管理由于恶意攻击车辆或车辆数据的保密性,完整性和可用性而对道路使用者造成损害的不合理风险。让我稍微解释一下。不合理的风险,当你进入一辆车,当你驾驶一辆车,你就承担了一些风险。但这种风险不包括以每小时70英里的速度在高速公路上行驶,右转时汽车向左行驶,或者晚上在高速公路上行驶时车头灯熄灭。它适用于道路使用者。这是指使用道路的人,司机,乘客和周围的人。
所有这些都是我们如何根据262定义威胁的范围,然后减轻恶意攻击,因为……这是网络方面的问题。那么什么受到了攻击,我们在保护什么呢?我们要保护车辆系统,功能,数据等等。我们根据它们的属性、保密性、完整性和可用性来称呼它们为资产。可能会有更多的财产,那是我们要保护的中情局。为什么网络是如此热门的话题?嗯,我想说有几个原因,但这里有两个主要的原因。在我幻灯片的左边,联网汽车的出现与自动驾驶功能相结合。我不打算把所有的数据都看一遍,但联网汽车已经出现了。从2021年的20亿美元增长到2026年的53亿美元。 And the connected car is accessible via the internet, accessible via Bluetooth and other network interfaces, which all result in attack services. It also has a lot more software.
要观看整个网络研讨会,请访问
为什么存储网络安全风险管理项目有意义
在需求管理系统内部
![[网络研讨会回顾]欧盟医疗器械法规(MDR)和体外器械法规(IVDR)概述](https://content.cdntwrk.com/mediaproxy?url=https%3A%2F%2Fwww.gotfaux.com%2Fmedia%2F2023%2F04%2FBLOG-RECAP-Medical-Device-Webinar-Social-Image.png&size=1&version=1682006802&sig=1361cc9d7874231c89ed372d630e7528&default=hubs%2Ftilebg-blogs.jpg)
