Electronic of Tomorrow (EOT) 2023, Danmark

Danmark Maj 9, 2023 9:00 CEST Betalt

Indholdsfortegnelse

Kravstyring Cybersikkerhed Markedsstørrelse og -tendenser

Cutoff i 2021 voksede det globale cybersikkerhedsmarked for kravstyring i en konstant hastighed. Ifølge en rapport fra MarketsandMarkets blev markedsstørrelsen anslået til at være USD 5.8 milliarder i 2020 og forventedes at vokse til USD 11.8 milliarder i 2025 ved en sammensat årlig vækstrate (CAGR) på 15.3 % i prognoseperioden.

Rapporten citerede flere faktorer, der driver væksten af ​​cybersikkerhedsmarkedet for kravstyring, herunder den stigende efterspørgsel efter sikkerhedsløsninger på grund af det stigende antal cyberangreb, den voksende anvendelse af cloud-baserede løsninger og den stigende brug af tingenes internet (IoT) og Bring Your Own Device (BYOD) politikker. Derudover bemærkede rapporten, at den stigende anvendelse af kunstig intelligens (AI) og maskinlæringsteknologier (ML) til cybersikkerhed også bidrog til væksten på markedet.

Med hensyn til tendenser fremhævede rapporten, at der var et stigende fokus på at integrere cybersikkerhedskrav i softwareudviklingslivscyklussen (SDLC) og behovet for, at organisationer sikrer overholdelse af industristandarder og regler. Rapporten bemærkede også, at der var en tendens til brug af automatiserede værktøjer til kravstyring og cybersikkerhed, da disse værktøjer kunne hjælpe organisationer med at spare tid og reducere fejl.

Morgendagens elektronik

Morgendagens elektronik messen viser de nyeste teknologier og trends inden for elektronikindustrien med fokus på indlejrede systemer, softwareudvikling og cybersikkerhed. Arrangementet tiltrækker udstillere og deltagere fra hele verden og giver branchefolk mulighed for at netværke, udveksle ideer og lære om nye produkter og teknologier.

Morgendagens elektronik

Messen byder typisk på en række udstillinger, seminarer og workshops, der dækker emner som Internet of Things (IoT), kunstig intelligens (AI), machine learning (ML), robotik, automatisering og mere. Derudover giver begivenheden mulighed for, at deltagere kan komme i kontakt med eksperter på området, deltage i produktdemonstrationer og deltage i praktiske aktiviteter.

Visure Solutions ved EOT 2023, Danmark

Med den hurtige udvikling af teknologi i industrier er cybersikkerhed blevet en afgørende nødvendighed for at beskytte en organisations aktiver mod ondsindede angreb. For at sikre overholdelse af industristandarder og -regulativer og samtidig beskytte mod potentielle sikkerhedssårbarheder, er kravstyring afgørende. Dette hjælper organisationer med at spare tid og penge, mens de leverer sikre og kompatible softwareprodukter.

Effektiv kravstyring er afgørende for enhver organisation, der søger at sikre sikkerheden og overholdelse af sine produkter eller tjenester. I softwarekravspecifikationerne bør cybersikkerhedskrav integreres for at løse problemer med autentificering, autorisation, dataintegritet og adgangskontrol. Ved at gøre det kan organisationer undgå dyre fejltagelser som følge af manglende opmærksomhed på detaljer vedrørende bedste sikkerhedspraksis.

Cybersikkerhed er en stor bekymring for indlejrede systemer, og omfatter al teknologi og operationer, der bruges til at beskytte enheder og deres platforme og netværk mod cyberangreb eller hacking. Udviklingsteams for indlejrede systemer kender allerede mange koncepter og teknikker til at afbøde sikkerhedsrisici, såsom kodningsregler, dedikeret RTOS, kryptografiteknikker, statisk og dynamisk analyse og mere. Et aspekt, der dog ofte overses, er kravstyring og sporbarhed.

Selvom sikkerhedsstandarder som IEC 62443 / ISA Secure kræver styring og sporing af sikkerhedskrav gennem hele udviklings- og testlivscyklussen, er mange ingeniører usikre på, hvordan de effektivt overholder disse krav, og hvilke typer af kontroller og processer, der gælder for kravstyring. 

Derfor, Micaël Martins, europæisk salgsleder hos Visure, holdt et grundigt oplæg vedr "Sådan skrives og administreres krav til indlejrede cybersikkerhedsprojekter" ved morgendagens elektronik 2023 i Danmark. 

Hvorfor kravstyring er så vigtig i indlejrede sikkerheds- og sikkerhedsstandarder

Kravstyring er særlig vigtig i forbindelse med indlejrede sikkerheds- og sikkerhedsstandarder på grund af den kritiske karakter af de involverede systemer. Her er hvorfor:

  1. Overholdelse af standarder: Indlejrede sikkerheds- og sikkerhedsstandarder, såsom ISO 26262 for bilsystemer eller IEC 61508 for industrielle kontrolsystemer, definerer strenge krav til sikring af disse systemers sikkerhed. Kravstyring hjælper med at indfange, dokumentere og administrere disse standardspecifikke krav, hvilket sikrer overholdelse gennem hele udviklingens livscyklus.
  2. Risikoidentifikation og begrænsning: Indlejrede sikkerheds- og sikkerhedsstandarder kræver en grundig forståelse af potentielle risici og deres afbødningsstrategier. Kravstyring hjælper med at identificere og vurdere sikkerheds- og sikkerhedsrisici, hvilket giver mulighed for at udvikle passende krav til at håndtere disse risici. Det muliggør også sporbarhed mellem risici, krav og de implementerede løsninger, hvilket sikrer, at sikkerheds- og sikkerhedsforanstaltninger er tilstrækkeligt implementeret.
  3. Sporbarhed og ansvarlighed: Sikkerhedskritiske systemer kræver sporbarhed og ansvarlighed for hvert krav. Kravstyring sikrer, at sikkerheds- og sikkerhedskrav spores korrekt fra deres oprindelse til design-, implementerings- og teststadierne. Denne sporbarhed hjælper med at demonstrere overholdelse af standarder, letter ændringsstyring og muliggør effektiv konsekvensanalyse, når ændringer eller opdateringer er påkrævet.
  4. Bekræftelse og validering: Indlejrede sikkerheds- og sikkerhedsstandarder kræver omfattende verifikations- og valideringsprocesser for at sikre, at systemerne opfylder de specificerede krav. Kravstyring understøtter planlægningen og udførelsen af ​​disse aktiviteter ved at stille klare og testbare krav, lette identifikation af passende verifikations- og valideringsteknikker og muliggøre etablering af sporbarhed mellem test og krav.
  5. Forandringsledelse: Sikkerheds- og sikkerhedsstandarder gennemgår ofte opdateringer og revisioner for at imødegå nye trusler og industrifremskridt. Effektiv kravstyring gør det muligt for organisationer at tilpasse sig disse ændringer ved effektivt at inkorporere nye krav, opdatere eksisterende krav og styre påvirkningen af ​​udviklingsprocessen. Det sikrer, at sikkerheds- og sikkerhedsaspekterne af de indlejrede systemer forbliver ajourførte og tilpasset de nye standarder.
  6. Dokumentation og hørbarhed: Indlejrede sikkerheds- og sikkerhedsstandarder kræver ofte omfattende dokumentation for at påvise overholdelse. Kravstyring sikrer, at alle krav sammen med deres tilhørende begrundelse, verifikations- og valideringsbeviser og ændringshistorik er korrekt dokumenteret. Denne dokumentation understøtter revisioner, vurderinger og overholdelse af lovgivning og giver bevis for due diligence og overholdelse af sikkerheds- og sikkerhedsstandarder.

Inden for indlejrede sikkerheds- og sikkerhedsstandarder er effektiv kravstyring afgørende for at sikre overholdelse, mindske risici, opretholde sporbarhed, understøtte verifikation og validering, administrere ændringer og levere auditerbar dokumentation. Det spiller en afgørende rolle i at udvikle og vedligeholde robuste, sikre og sikre indlejrede systemer.

Requirements Management & Embedded Standards

Kravstyring er meget vigtig, når det kommer til indlejrede sikkerheds- og sikkerhedsstandarder såsom ISO 26262 og ISO 61508. Lad os undersøge betydningen af ​​kravstyring i hver af disse standarder:

ISO 26262 (Functional Safety for Automotive Systems):

ISO 26262 er en international standard for funktionel sikkerhed i bilsystemer. Den skitserer krav til sikring af sikkerheden af ​​elektriske og elektroniske systemer i køretøjer. Her er grunden til, at kravstyring er afgørende for overholdelse af ISO 26262:

  1. Registrering og styring af sikkerhedskrav: Kravstyring muliggør identifikation, dokumentation og styring af sikkerhedskrav, der er specifikke for bilsystemer. Det sikrer, at sikkerhedsrelaterede krav er korrekt fanget, analyseret og dokumenteret for at guide udviklingsprocessen.
  2. Sporbarhed og konsekvensanalyse: ISO 26262 kræver sporbarhed mellem sikkerhedskrav, systemelementer og verifikationsaktiviteter. Kravstyring letter sporbarhed ved at etablere klare forbindelser mellem sikkerhedskrav, designelementer, implementeringsartefakter og verifikationsresultater. Denne sporbarhed muliggør konsekvensanalyse, ændringsstyring og effektiv sporing af sikkerhedsrelaterede beslutninger gennem hele udviklingens livscyklus.
  3. Risikovurdering og reduktion: ISO 26262 kræver identifikation, vurdering og begrænsning af sikkerhedsrisici i bilsystemer. Kravstyring understøtter analysen af ​​potentielle risici, deres sammenhæng med sikkerhedskrav og formuleringen af ​​passende risikobegrænsende foranstaltninger. Det sikrer, at sikkerhedskrav adresserer identificerede risici, og at deres effektivitet evalueres under udviklingsprocessen.
  4. Planlægning af verifikation og validering: Effektiv kravstyring hjælper med at planlægge verifikations- og valideringsaktiviteter i henhold til ISO 26262-kravene. Det hjælper med at definere de nødvendige tests, testcases og acceptkriterier baseret på sikkerhedskrav. Ved at etablere et klart forhold mellem krav og verifikationsaktiviteter sikrer kravstyring, at sikkerhedskravene er tilstrækkeligt testet og valideret.
  5. Ændringsstyring og konfigurationskontrol: Kravstyring spiller en afgørende rolle i styring af ændringer og opretholdelse af konfigurationskontrol, som er vitale aspekter af ISO 26262-overholdelse. Det sikrer, at ændringer i sikkerhedskravene evalueres, dokumenteres og kommunikeres korrekt. Derudover hjælper det med at opretholde integriteten af ​​kravenes baseline og administrere versionskontrol gennem hele udviklingsprocessen.

ISO 61508 (Funktionel sikkerhed for elektriske/elektroniske/programmerbare elektroniske sikkerhedsrelaterede systemer):

ISO 61508 er en standard, der omhandler funktionel sikkerhed i forskellige industrier, herunder industrielle kontrolsystemer. Her er grunden til, at kravstyring er afgørende for overholdelse af ISO 61508:

  1. Krav dokumentation og styring: ISO 61508 understreger behovet for omfattende kravdokumentation og effektiv styring. Kravstyring gør det muligt at registrere, organisere og vedligeholde sikkerhedskrav, hvilket sikrer, at de er veldokumenterede og administreres gennem hele systemudviklingens livscyklus.
  2. Sporbarhed og validering: ISO 61508 kræver sporbarhed mellem sikkerhedskrav, designartefakter og verifikationsaktiviteter. Kravstyring letter etableringen af ​​sporbarhedslinks, hvilket sikrer, at hvert krav er imødekommet af passende designelementer, og at de nødvendige verifikationsaktiviteter planlægges og udføres.
  3. Risikoanalyse og risikoreduktion: ISO 61508 kræver identifikation, analyse og reduktion af risici forbundet med sikkerhedsrelaterede systemer. Kravstyring understøtter analysen af ​​risici, deres sammenhæng med sikkerhedskrav og formuleringen af ​​risikoreducerende foranstaltninger. Det sikrer, at sikkerhedskravene i tilstrækkelig grad adresserer identificerede risici, og at deres effektivitet evalueres under udviklingsprocessen.
  4. Konfigurationskontrol og ændringsstyring: Kravstyring hjælper med at vedligeholde konfigurationskontrol og administrere ændringer, som er afgørende for overholdelse af ISO 61508. Det sikrer, at ændringer i sikkerhedskravene evalueres, dokumenteres og kontrolleres korrekt. Dette sikrer, at sikkerhedskravens baseline bevares, og at eventuelle ændringer administreres og kommunikeres korrekt.
  5. Planlægning af verifikation og validering: Effektiv kravstyring hjælper med at planlægge verifikations- og valideringsaktiviteter baseret på sikkerhedskravene specificeret i ISO 61508. Det hjælper med at definere de nødvendige tests, testcases og acceptkriterier afledt af sikkerhedskravene. Ved at etablere et klart forhold mellem krav og verifikationsaktiviteter sikrer kravstyring, at sikkerhedskravene er grundigt testet og valideret i overensstemmelse med ISO 61508-kravene.
  1. Udvikling af sikkerhedstilfælde: ISO 61508 lægger vægt på udviklingen af ​​en sikkerhedssag, som er et struktureret argument understøttet af beviser, der viser, at sikkerhedskravene er blevet behandlet tilstrækkeligt. Kravstyring spiller en afgørende rolle i at levere den nødvendige dokumentation, sporbarhed og bevis for at understøtte udviklingen af ​​sikkerhedstilfælde og sikre, at den stemmer overens med de krav og mål, der er specificeret af standarden.
  2. Revision og overholdelse: ISO 61508 kræver, at organisationer demonstrerer overholdelse af standardens krav. Effektiv kravstyring sikrer, at sikkerhedskravene er veldokumenterede, korrekt styret og sporbare gennem hele udviklingsprocessen. Denne dokumentation og sporbarhed giver revisionsbevis for overholdelse og understøtter eksterne revisioner og vurderinger.

Krav Management & Avionics Standarder

Kravstyring spiller en afgørende rolle i overholdelse af flyelektronikstandarder såsom ARP 4754 og DO-178. Lad os undersøge betydningen af ​​kravstyring i hver af disse standarder:

ARP 4754 (retningslinjer for udvikling af civile fly og systemer):

ARP 4754 giver vejledning til udvikling af civile fly og systemer, herunder krav til sikkerhedsvurdering og certificering. Her er, hvordan kravstyring er afgørende for overholdelse af ARP 4754:

  1. Krav til registrering og sporbarhed: Effektiv kravstyring sikrer, at alle gældende krav, herunder funktions-, ydeevne- og sikkerhedskrav, er fanget, dokumenteret og korrekt forbundet med de tilsvarende designelementer og verifikationsaktiviteter. Denne sporbarhed giver mulighed for en klar forståelse af, hvordan hvert krav er opfyldt gennem hele udviklingsprocessen.
  2. Sikkerhedsvurdering og analyse: ARP 4754 kræver identifikation og analyse af potentielle farer og udvikling af sikkerhedskrav for at afbøde disse farer. Kravstyring letter analysen af ​​sikkerhedsrelaterede krav, deres sammenhæng med identificerede farer og formuleringen af ​​passende sikkerhedsforanstaltninger. Det hjælper med at sikre, at sikkerhedskravene i tilstrækkelig grad adresserer de identificerede farer, og at deres effektivitet evalueres under sikkerhedsvurderingen.
  3. Ændringsstyring og konfigurationskontrol: Kravstyring understøtter håndteringen af ​​ændringer af krav, hvilket er afgørende i ARP 4754 compliance. Det muliggør evaluering, dokumentation og kontrol af ændringer for at sikre, at sikkerhedskritiske krav og tilhørende designelementer administreres korrekt. Konfigurationskontrol sikrer, at kravenes baseline opretholdes gennem hele udviklingsprocessen, hvilket muliggør sporbarhed og bevarer systemdesignets integritet.
  4. Planlægning af verifikation og validering: Effektiv kravstyring hjælper med at planlægge verifikations- og valideringsaktiviteter i henhold til ARP 4754-kravene. Det hjælper med at definere de nødvendige tests, testcases og acceptkriterier baseret på kravene. Ved at etablere sporbarhed mellem krav og verifikationsaktiviteter sikrer kravstyring, at alle krav er tilstrækkeligt testet og valideret, hvilket understøtter de overordnede sikkerheds- og certificeringsmål.
  5. Certificeringsdokumentation: ARP 4754 kræver omfattende dokumentation for at understøtte certificeringsprocessen. Kravstyring sikrer, at alle krav sammen med deres tilhørende begrundelse, verifikationsbeviser og ændringshistorik er korrekt dokumenteret. Denne dokumentation giver revisionsbevis for overholdelse, letter certificeringsprocessen og lovmæssige gennemgange.

DO-178 (Softwareovervejelser i luftbårne systemer og udstyrscertificering):

DO-178 er en standard, der giver vejledning til udvikling af luftbåren software. Det fokuserer på softwareaspekterne af flyelektroniksystemer. Her er grunden til kravstyring er afgørende for DO-178-overholdelse:

  1. Kravanalyse og tildeling: Kravstyring letter analysen og allokeringen af ​​systemkrav på højt niveau til softwarekrav. Det sikrer, at softwarekravene er korrekt udledt, fanget og dokumenteret, i overensstemmelse med de overordnede systemmål.
  2. Sporbarhed og konsekvensanalyse: DO-178 kræver sporbarhed mellem softwarekrav, designartefakter, verifikationsaktiviteter og testcases. Kravstyring gør det muligt at etablere sporbarhedslinks, hvilket sikrer, at hvert softwarekrav adresseres af passende designelementer, og at de nødvendige verifikationsaktiviteter planlægges og udføres. Denne sporbarhed muliggør konsekvensanalyse, ændringsstyring og effektiv sporing af softwarerelaterede beslutninger.
  3. Ændringsstyring og konfigurationskontrol: Kravstyring hjælper med at administrere ændringer af softwarekrav. Det sikrer, at ændringer evalueres, dokumenteres og kommunikeres korrekt, og at deres indvirkning på softwaredesignet og -verifikationen styres effektivt. Konfigurationskontrol sikrer, at basislinjen for softwarekravene opretholdes, hvilket understøtter sporbarhed og bevarer softwarens integritet gennem hele udviklingsprocessen.
  4. Planlægning af verifikation og validering: Effektiv kravstyring hjælper med at planlægge verifikations- og valideringsaktiviteter baseret på softwarekravene specificeret i DO-178. Det hjælper med at definere de nødvendige tests, testcases og acceptkriterier afledt af softwarekravene. Ved at etablere sporbarhed mellem krav og verifikationsaktiviteter sikrer kravstyring, at softwarekravene er grundigt testet og valideret i overensstemmelse med DO-178 kravene. Det understøtter udviklingen af ​​en omfattende verifikations- og valideringsplan, der imødekommer alle softwarekrav.
  1. Kravbaseret test: DO-178 understreger vigtigheden af ​​kravbaseret test, hvor hvert krav spores til en eller flere testcases. Kravstyring muliggør etablering af sporbarhedsforbindelser mellem softwarekrav og tilsvarende testcases. Dette sikrer, at alle krav er korrekt testet, og testdækningen stemmer overens med de specificerede softwarekrav.
  2. Certificeringsdokumentation: DO-178 kræver omfattende dokumentation for at understøtte softwarecertificeringsprocessen. Kravstyring sikrer, at alle softwarekrav sammen med deres tilhørende begrundelse, verifikationsbeviser og ændringshistorik er korrekt dokumenteret. Denne dokumentation giver reviderbart bevis for overholdelse og understøtter certificeringsaktiviteterne, såsom audits og anmeldelser.
  3. Værktøjskvalifikation: DO-178 omhandler også kvalificering af værktøjer, der bruges i udviklingsprocessen. Kravstyring spiller en rolle i værktøjskvalificering ved at sikre, at de værktøjer, der bruges til kravstyring og sporbarhed, opfylder de relevante værktøjskvalifikationsmål defineret af DO-178. Dette inkluderer at verificere, at værktøjerne nøjagtigt fanger, administrerer og sporer krav gennem hele udviklingens livscyklus.

Relative omkostninger ved at rette en fejl i krav

Omkostningerne ved at rette en fejl i krav kan variere afhængigt af forskellige faktorer. Her er nogle faktorer, der kan påvirke de relative omkostninger:

  1. Fase af projektet: Omkostningerne ved at rette en kravfejl kan være væsentligt lavere, hvis fejlen identificeres og korrigeres tidligt i projektets livscyklus, såsom under kravindsamlings- og analysefasen. På den anden side, hvis fejlen opdages under senere udviklingsstadier eller efter at produktet er blevet implementeret, kan omkostningerne ved at rette den være meget højere, da det kan kræve omarbejde, designændringer eller endda produkttilbagekaldelser.
  2. Fejlens størrelse: Kravfejlens alvor og virkning påvirker også omkostningerne ved at rette den. Mindre fejl eller uoverensstemmelser kan være relativt nemme og billige at udbedre, mens større fejl, der påvirker kritiske funktionaliteter eller sikkerhedskrav, kan være betydeligt dyrere at løse.
  3. Indvirkning på downstream-aktiviteter: Kravfejl kan have en afsmittende effekt på efterfølgende udviklingsaktiviteter. Hvis fejlen forplanter sig gennem design-, kodnings- og testfaserne, kan det resultere i betydelig omarbejdelse og forsinkelser, hvilket fører til øgede omkostninger. Derudover, hvis fejlen forbliver ubemærket indtil senere faser af projektet, kan det kræve ændringer af eksisterende komponenter, grænseflader eller systemarkitektur, hvilket yderligere øger omkostningerne ved korrektion.
  4. Opdagelses- og rettelsesproces: Omkostningerne ved at rette en kravfejl afhænger af effektiviteten og effektiviteten af ​​opdagelses- og rettelsesprocessen. Hvis fejlen identificeres gennem grundige anmeldelser, inspektioner eller valideringsaktiviteter, kan den løses tidligere, hvilket reducerer omkostningerne. Omvendt, hvis fejlen forbliver uopdaget, indtil den forårsager problemer i marken, kan omkostningerne ved at løse den være meget højere, hvilket potentielt kan involvere kundesupport, produkttilbagekaldelser eller juridiske konsekvenser.
  5. Organisatoriske processer og kultur: Modenheden af ​​en organisations kravstyringsprocesser og dens kultur omkring kvalitet og fejlforebyggelse spiller også en rolle. Organisationer med robust kravhåndteringspraksis, herunder peer reviews, kvalitetsgates og sporbarhed, er mere tilbøjelige til at fange og rette fejl tidligt, hvilket minimerer de tilknyttede omkostninger.
Requirements Management Solution

Det er værd at bemærke, at forebyggelse af kravfejl i første omgang gennem effektiv kravstyring, interessentinddragelse og valideringsaktiviteter typisk er mere omkostningseffektivt end at rette fejl, efter at de har spredt sig til efterfølgende udviklings- eller produktionsstadier. Investering i grundige kravanalyse, gennemgange og verifikationsprocesser kan hjælpe med at identificere og adressere fejl tidligt, hvilket reducerer de samlede omkostninger og indvirkning på projektet.

Indlejrede sikkerheds- og sikkerhedsstandarder

Indlejrede sikkerheds- og sikkerhedsstandarder spiller en afgørende rolle for at sikre pålidelig og sikker drift af indlejrede systemer. Disse standarder giver retningslinjer og krav til udvikling, implementering og validering af sikkerhedskritiske og sikre indlejrede systemer. Ved at overholde disse standarder kan organisationer mindske risici, forbedre systemsikkerheden og beskytte mod sikkerhedstrusler. Lad os udforske indlejrede sikkerheds- og sikkerhedsstandarder mere detaljeret:

Indlejrede sikkerhedsstandarder

Indlejrede sikkerhedsstandarder spiller en afgørende rolle for at sikre sikker drift af indlejrede systemer i forskellige industrier. Her er nogle vigtige indlejrede sikkerhedsstandarder i forskellige domæner:

TestManagement

Luftfart (ECSS):

ECSS-standarder (European Cooperation for Space Standardization) er meget udbredt i luft- og rumfartsindustrien. De dækker forskellige aspekter af sikkerhed og pålidelighed for rumsystemer. For eksempel fokuserer ECSS-Q-ST-30C på styring af sikkerhed og produktsikring, mens ECSS-E-ST-40C adresserer kravene til systemudvikling.

Flyelektronik (DO-178C, DO-254, DO-278, DO-160):

Flyelektronikstandarder er afgørende for udviklingen af ​​sikkerhedskritisk software og hardware i luftfartsindustrien.

  • DO-178C (Software Considerations in Airborne Systems and Equipment Certification) giver retningslinjer for udvikling af luftbåren software, herunder verifikations- og valideringsprocesser.
  • DO-254 (Design Assurance Guidance for Airborne Electronic Hardware) fokuserer på udvikling og certificering af luftbåren elektronisk hardware, herunder integrerede kredsløb, FPGA'er og andre elektroniske komponenter.
  • DO-278 (Software Integrity Assurance) behandler softwareaspekterne af lufttrafikstyringssystemer, herunder krav til softwareudvikling og verifikation.
  • DO-160 (Environmental Conditions and Test Procedures for Airborne Equipment) specificerer miljøtestkravene for luftbårent udstyr, hvilket sikrer deres robusthed over for miljøfaktorer.

Automotive (ISO 26262):

ISO 26262 er en bredt anerkendt standard for funktionel sikkerhed i bilindustrien. Den giver retningslinjer for udvikling af sikkerhedsrelaterede elektriske og elektroniske systemer i køretøjer. ISO 26262 dækker hele bilindustriens livscyklus, inklusive fareanalyse, risikovurdering og sikkerhedskrav.

Industriel automation (IEC 61508):

IEC 61508 er en generel standard for funktionel sikkerhed i elektriske, elektroniske og programmerbare elektroniske systemer i forskellige industrier, herunder industriel automation. Det giver en ramme for styring af funktionel sikkerhed på tværs af hele livscyklussen af ​​et system, herunder fareidentifikation, risikovurdering og sikkerhedsintegritetsniveauer (SIL).

Medicinsk udstyr (IEC 13485, IEC 60601-1, IEC 62304/82304):

Medicinsk udstyr kræver overholdelse af specifikke sikkerhedsstandarder for at sikre patientsikkerhed og lovoverholdelse.

  • IEC 13485 er en standard for kvalitetsstyringssystemet for medicinsk udstyr. Det giver retningslinjer for design, udvikling, produktion og efterproduktion af medicinsk udstyr.
  • IEC 60601-1 er en standard for sikkerhed og væsentlig ydeevne af medicinsk elektrisk udstyr. Den omhandler elektriske og mekaniske sikkerhedskrav til medicinsk udstyr.
  • IEC 62304 og IEC 82304 er standarder, der er specifikt fokuseret på software i medicinsk udstyr. De giver vejledning til softwarens livscyklusprocesser, herunder krav, design, implementering, test og vedligeholdelse.

Jernbaner (EN 50126/8/9, EN 50657):

Jernbanesystemer kræver overholdelse af sikkerhedsstandarder, der er specifikke for industrien.

  • EN 50126, EN 50128 og EN 50129 udgør et sæt standarder for jernbanesektoren. EN 50126 dækker den overordnede systemlivscyklus, EN 50128 fokuserer på software, og EN 50129 omhandler sikkerhedskravene til signalsystemer.
  • EN 50657 giver retningslinjer for den funktionelle sikkerhed af elektriske og elektroniske systemer, der anvendes i jernbaneapplikationer.

Disse standarder hjælper med at sikre sikkerheden og pålideligheden af ​​indlejrede systemer i deres respektive brancher, og de giver retningslinjer og krav til udviklings-, validerings- og certificeringsprocesser. Overholdelse af disse standarder er afgørende for at opfylde branchespecifikke sikkerhedskrav og sikre sikker drift af indlejrede systemer.

Indlejrede sikkerhedsstandarder:

Indlejrede sikkerhedsstandarder spiller en afgørende rolle i at sikre sikkerheden og modstandsdygtigheden af ​​indlejrede systemer mod potentielle trusler og sårbarheder. Disse standarder giver retningslinjer og bedste praksis for implementering af robuste sikkerhedsforanstaltninger i hele udviklingen, implementeringen og vedligeholdelsen af ​​indlejrede systemer. Lad os undersøge nogle vigtige indlejrede sikkerhedsstandarder i forskellige domæner:

Requirements Management & Embedded Standards

Flyelektronik (DO-326A):

DO-326A er en standard, der fokuserer på sikkerhedsaspekterne af luftdygtighed for flysystemer og komponenter. Det giver vejledning til udvikling af et sikkerhedsprogram, udførelse af sikkerhedsvurderinger og implementering af sikkerhedskontroller i flyelektroniksystemer. DO-326A supplerer sikkerhedsrelaterede standarder såsom DO-178C og DO-254 i luftfartsindustrien.

Automotive (ISO-21434):

ISO-21434 er en nyligt udgivet standard, der omhandler cybersikkerhed i bilindustrien. Det giver retningslinjer og krav til implementering af cybersikkerhedsprocesser gennem hele bilproduktets livscyklus, herunder risikovurdering, trusselsanalyse, sikkerhedskrav og validering. ISO-21434 har til formål at øge modstandsdygtigheden af ​​bilsystemer mod cybertrusler og beskytte køretøjers integritet og sikkerhed.

Industriel automation (IEC-62443 – ISA Secure):

IEC-62443, også kendt som ISA Secure, er en omfattende serie af standarder, der er specielt udviklet til sikkerhed for industriel automation og kontrolsystemer (IACS). Den dækker forskellige aspekter af IACS-sikkerhed, herunder netværksarkitektur, sikkerhedsstyring, systemhærdning, sikker kodningspraksis og hændelsesrespons. IEC-62443 giver en systematisk tilgang til beskyttelse af industrielle systemer mod cybertrusler og sikring af deres tilgængelighed, integritet og fortrolighed.

Generelt produkt (ISO-15408 – Fælles kriterier):

ISO-15408, også kendt som Common Criteria (CC), er en international standard til evaluering og certificering af informationsteknologiprodukters sikkerhed, herunder indlejrede systemer. Det giver en ramme for vurdering af sikkerhedsfunktioner og -funktioner af produkter baseret på foruddefinerede sikkerhedskrav. Fælles kriterier giver organisationer mulighed for at evaluere og sammenligne sikkerhedsfunktionerne for forskellige produkter og sikre, at de opfylder specifikke sikkerhedsmål.

IT (ISO-27001/x):

ISO-27001 er en udbredt standard for informationssikkerhedsstyringssystemer (ISMS). Selvom det ikke er specifikt for indlejrede systemer, giver det en omfattende ramme for styring af sikkerhedsrisici i organisationer, herunder beskyttelse af indlejrede systemer. ISO-27001 omfatter et sæt kontroller og bedste praksis for implementering af et effektivt informationssikkerhedsstyringssystem.

ISO-27001 er ledsaget af andre standarder i ISO/IEC 27000-serien, såsom ISO-27002, som giver retningslinjer for implementering af specifikke sikkerhedskontroller. Disse standarder kan udnyttes i udviklingen og implementeringen af ​​sikre indlejrede systemer.

Disse indlejrede sikkerhedsstandarder spiller en afgørende rolle i at vejlede organisationer i implementeringen af ​​sikkerhedsforanstaltninger, risikovurderinger og kontroller for at beskytte indlejrede systemer mod potentielle trusler. Overholdelse af disse standarder hjælper med at sikre fortroligheden, integriteten og tilgængeligheden af ​​indlejrede systemer og beskytter dem mod sikkerhedsbrud og uautoriseret adgang.

Cybersikkerhed for flyelektronik og biler, risikoanalyse og sporbarhed

Cybersikkerhed for flyelektronik og biler:

Cybersikkerhed er af yderste vigtighed i flyelektronik- og bilindustrien på grund af den stigende kompleksitet og tilslutningsmuligheder af indlejrede systemer. Flyelektronik og bilsystemer bliver mere forbundne og integrerer funktioner som trådløs kommunikation, infotainmentsystemer og avancerede førerassistentsystemer (ADAS). Denne forbindelse udsætter disse systemer for potentielle cybersikkerhedstrusler, herunder uautoriseret adgang, databrud og ondsindede angreb.

For at adressere cybersikkerhed i flyelektronik og bilsystemer er der udviklet industrispecifikke standarder og rammer, såsom DO-326A for flyelektronik og ISO-21434 for bilindustrien. Disse standarder giver vejledning om udførelse af risikovurderinger, definition af sikkerhedskrav, implementering af sikkerhedskontroller og etablering af processer til sikker udvikling og vedligeholdelse af indlejrede systemer.

Risikoanalyse:

Risikoanalyse er et grundlæggende aspekt af cybersikkerhed. Det involverer at identificere potentielle risici og sårbarheder, vurdere deres sandsynlighed og virkning og prioritere dem med henblik på afbødning. I forbindelse med flyelektronik og bilsystemer hjælper risikoanalyse med at identificere de potentielle cybersikkerhedstrusler og deres potentielle indvirkning på systemsikkerhed, funktionalitet og brugernes privatliv.

Risikoanalyseprocessen omfatter typisk følgende trin:

  1. Trusselsidentifikation: Identifikation af potentielle trusler og sårbarheder, der kan udnyttes til at kompromittere systemets sikkerhed. Dette inkluderer at overveje både interne og eksterne trusler, såsom ondsindede angreb, softwaresårbarheder og fysisk manipulation.
  2. Sårbarhedsvurdering: Vurdering af systemets sårbarheder og svagheder, der kunne udnyttes af identificerede trusler. Dette involverer evaluering af systemets sikkerhedsposition, herunder software, hardware, netværk og kommunikationsgrænseflader.
  3. Sandsynlighedsvurdering: Vurdering af sandsynligheden for hver identificeret trussel. Dette involverer overvejelse af faktorer såsom systemets eksponering for potentielle trusler, sofistikeringen af ​​potentielle angribere og historiske data eller tendenser.
  4. Konsekvensanalyse: Analyse af de potentielle konsekvenser og indvirkningen af ​​vellykkede angreb eller sikkerhedsbrud på systemet, herunder sikkerhedsrisici, økonomiske tab, skade på omdømme og bekymringer om brugernes privatliv.
  5. Risikoprioritering: Prioritering af risici baseret på deres sandsynlighed og virkning for at bestemme de kritiske områder, der kræver øjeblikkelig opmærksomhed og afbødende indsats.

Sporbarhed:

Sporbarhed er afgørende for at sikre sikkerheden og integriteten af ​​flyelektronik og bilsystemer. Det refererer til evnen til at spore og dokumentere relationer og afhængigheder mellem forskellige systemelementer, herunder krav, designartefakter, implementeringskode og testcases. Sporbarhed giver et gennemsigtigt overblik over, hvordan sikkerhedskrav implementeres gennem hele systemudviklingens livscyklus.

I forbindelse med cybersikkerhed hjælper sporbarhed med:

  1. Krav Sporbarhed: Sammenkædning af sikkerhedskrav til systemkrav på højere niveau og designspecifikationer for at sikre, at sikkerhedsforanstaltningerne er korrekt defineret og implementeret.
  2. Design sporbarhed: Sporing af sikkerhedsfunktioner og kontroller fra designfasen til implementeringsfasen, sikring af, at systemet er bygget i overensstemmelse med de definerede sikkerhedskrav.
  3. Test af sporbarhed: Etablering af sporbarhed mellem sikkerhedstestsager og de tilsvarende sikkerhedskrav og designelementer for at verificere effektiviteten af ​​sikkerhedskontroller og sikre omfattende testdækning.

Sporbarhed hjælper med at identificere potentielle huller, uoverensstemmelser eller manglende sikkerhedsforanstaltninger under systemudviklingsprocessen. Det letter også revisioner, sårbarhedsvurderinger og fremtidige systemopdateringer eller ændringer ved at give en klar forståelse af de implementerede sikkerhedsforanstaltninger.

Definition af cybersikkerhedskrav

DO-326A

DO-326A, "Airworthiness Security Process Specification", giver vejledning til adressering af cybersikkerhed i flyelektroniksystemer. Mens DO-326A primært fokuserer på luftdygtighedsaspektet, giver den vejledning i at definere cybersikkerhedskrav for flyelektroniksystemer. Standarden understreger vigtigheden af ​​at udføre risikovurderinger, identificere sikkerhedsmål og udvikle en sikkerhedsplan, der omfatter specifikke sikkerhedskrav.

Hovedformålet med DO-326A er at sikre sikkerheden af ​​flysystemer mod cybertrusler. Den anerkender, at luftfartssystemer i stigende grad er indbyrdes forbundne og modtagelige for cyberangreb, hvilket kan kompromittere flyets sikkerhed, integritet og tilgængelighed.

DO-326A foreslår følgende overvejelser, når de definerer krav til cybersikkerhed:

  1. Identifikation af kritiske aktiver og systemkomponenter, der har brug for beskyttelse mod cybersikkerhedstrusler.
  2. Etablering af sikkerhedsmål og risikotoleranceniveauer.
  3. Definition af sikkerhedskrav relateret til sikker kommunikation, adgangskontrol, softwaresikkerhed og sikker udviklingspraksis.
  4. Inkorporerer sikkerhedskontroller, der adresserer specifikke risici identificeret under risikovurderingsprocessen.
  5. Sikring af kompatibilitet og interoperabilitet af cybersikkerhedsforanstaltninger med eksisterende systemer og flyarkitekturer.
  6. Giver sporbarhed mellem cybersikkerhedskrav og andre systemartefakter.

DO-326A fremhæver vigtigheden af ​​at skræddersy krav til cybersikkerhed baseret på systemets karakteristika, operationelle kontekst og potentielle trusler. Det tilskynder organisationer til at vedtage en systematisk tilgang til at definere og implementere cybersikkerhedskrav, tilpasset andre relevante standarder og bedste praksis.

ISO 21434

ISO 21434 er en international standard med titlen "Road vehicles - Cybersecurity engineering." Det giver retningslinjer og krav til håndtering af cybersikkerhedsrisici i bilindustrien. Standarden har til formål at sikre sikkerheden og modstandsdygtigheden af ​​bilsystemer mod cybertrusler gennem hele deres livscyklus.

ISO 21434 anerkender den stigende tilslutning og kompleksitet af bilsystemer, herunder avancerede førerassistentsystemer (ADAS), infotainmentsystemer og køretøj-til-bil-kommunikation. Disse fremskridt medfører nye cybersikkerhedsudfordringer og -risici, der skal håndteres for at beskytte integriteten, sikkerheden og privatlivets fred for køretøjer og deres passagerer.

Når det kommer til at definere cybersikkerhedskrav, tilbyder ISO 21434 værdifuld vejledning og overvejelser:

  1. Risikovurdering: ISO 21434 lægger vægt på at udføre en omfattende risikovurdering for at identificere potentielle cybersikkerhedstrusler og sårbarheder, der er specifikke for bilsystemer. Dette omfatter overvejelse af potentielle indvirkninger på sikkerhed, privatliv og systemfunktionalitet.
  2. Sikkerhedsmål: Standarden lægger vægt på at definere klare og målbare sikkerhedsmål baseret på de identificerede risici og organisationens risikotolerance. Disse mål bør stemme overens med det ønskede beskyttelsesniveau og de specifikke krav til bilsystemet.
  3. Sikkerhedskrav: ISO 21434 vejleder organisationer i at definere specifikke sikkerhedskrav til bilsystemer. Disse krav dækker forskellige aspekter såsom sikre kommunikationsprotokoller, sikker softwareudviklingspraksis, adgangskontrolmekanismer, kryptografi, indtrængningsdetektion og hændelsesrespons.
  4. Sikkerhed ved design: ISO 21434 fremmer integrationen af ​​sikkerhedshensyn gennem hele udviklingens livscyklus, efter en "security by design"-tilgang. Dette omfatter overvejelse af sikkerhedsaspekter under systemarkitektur, komponentvalg, udviklingsprocesser og grænseflader.
  5. Overholdelse og revision: ISO 21434 understreger vigtigheden af ​​overholdelse af relevante regler og standarder. Det tilskynder organisationer til at definere cybersikkerhedskrav, der stemmer overens med branchespecifikke standarder og bedste praksis. Standarden fremhæver også behovet for revisions- og verifikationsprocesser for at sikre overholdelse af definerede krav.
  6. Samarbejde og informationsdeling: ISO 21434 tilskynder til samarbejde og informationsdeling mellem interessenter involveret i udvikling, fremstilling og vedligeholdelse af bilsystemer. Dette fremmer en holistisk tilgang til cybersikkerhed og giver mulighed for udveksling af viden og bedste praksis.

Ved at følge vejledningen fra ISO 21434 kan organisationer i bilindustrien definere robuste cybersikkerhedskrav, der adresserer de unikke udfordringer og risici forbundet med bilsystemer. Disse krav tjener som grundlag for at designe, implementere og verificere effektiviteten af ​​cybersikkerhedsforanstaltninger i bilsystemer, hvilket hjælper med at forbedre køretøjernes overordnede sikkerhedsposition og modstandsdygtighed.

Visure Krav ALM Platform

Med sine sofistikerede værktøjer gør Visure Solutions virksomheder i stand til hurtigt at udvikle bedre produkter/tjenester, samtidig med at de bevarer kontrollen og overholder alle regler. Det hjælper også organisationer med at reducere time-to-market, forbedre kvalitetsstandarder, øge driftseffektiviteten og fremskynde time-to-market effektivt. Derudover tilbyder det en række sektorspecifikke løsninger til industrier som bilindustrien, rumfart og forsvar, telekommunikation og elektronik, medicinsk teknologi, energi og forsyningsselskaber og finans. Dette gør det nemt for virksomheder at få adgang til den ekspertise, de har brug for, uden at skulle investere i yderligere ressourcer eller træne personale. Visure Solutions er det perfekte værktøj til at hjælpe virksomheder med at få mest muligt ud af deres produkt- og servicelevetidscyklus.

Visures automatiserede tjekliste gør det nemt at administrere overholdelse uden alt det manuelle besvær holde styr på alt, så du kan fokusere på det, der er vigtigt. På denne måde kan du basere dit design og forbedring af din anmeldelsesproces omkring disse tjeklister, som er kendt for at være mere pålidelige.

Med andre ord, ved at bruge vores produkt, vil du være i stand til at øge produktiviteten og tilpasningen blandt teammedlemmer. Dette gøres gennem funktioner som ende-til-ende sporbarhed, genbrug af krav til forskellige projekter og måling af kvaliteten af ​​krav med AI – alt sammen automatisk.

Hos Visure forstår vi også, hvor svært det er for energiteknologiske organisationer at følge med i den digitale tidsalder og samtidig bruge ældre værktøjer. Det er derfor, vi har gjort det til en prioritet for os at inkludere funktioner, der er lette at importere og eksportere fra ældre værktøjer såsom IBM DOOR'er samt en simpel migreringsfunktion.

Ydermere kan du med Visure udnytte de bedste import- og eksportfunktioner fra MS Office Word & Excel. Du kan også fremme samarbejde på tværs af forsyningskæden ved at bruge ReqIF for Data Exchange - en international standard.

Ved at få adgang til disse funktioner og integrationer med top-tier industriløsninger kan du spare tid ved at undgå behovet for manuelt at omarbejde kravene gennem flere rundtursinteraktioner. Denne proces er tabsfri og dubletter fri. Med vores platform kan du verificere, at alle krav er opfyldt, uanset hvor de kommer fra.

Visure hjælper også med at forenkle processen med at bygge komplekse produkter af høj kvalitet i olie- og gasindustrien med verificerede og validerede krav for at hjælpe dig med at overholde gældende lovkrav ved at kombinere risikoanalyse og kravstyring i en enkelt løsning.

Ved at bruge Failure Mode and Effects Analysis (FMEA) kan du præcist estimere risikoen forbundet med FMEA-målinger. Når du har identificeret risiciene med dine risikoanalyseværktøjer, kan du importere resultaterne til Visure og knytte højrisikokrav til dem videre.

Denne platform hjælper organisationer med at spare tid og penge, samtidig med at den sikrer, at deres projekter overholder industristandarder. Det giver en omfattende suite af funktioner, der giver teams mulighed for hurtigt at spore og overvåge ændringer gennem hele udviklingsprocessen. Derudover hjælper det med at sikre overholdelse af regulerende organer og standarder, hvilket giver olie- og gasselskaber mulighed for at forblive konkurrencedygtige på dagens marked. Visure Requirements ALM Platform er et uvurderligt værktøj for enhver organisation, der ønsker at strømline processer og sikre, at alle projektkrav er opfyldt.

Glem ikke at dele dette opslag!

IBM Rational Doors Software
Application Lifecycle Management Tool

Se Visure in Action

Udfyld formularen nedenfor for at få adgang til din demo