Gerenciamento de requisitos Tamanho e tendências do mercado de segurança cibernética
Corte em 2021, o mercado global de segurança cibernética de gerenciamento de requisitos estava crescendo a um ritmo constante. De acordo com um relatório da MarketsandMarkets, o tamanho do mercado foi estimado em US$ 5.8 bilhões em 2020 e deve crescer para US$ 11.8 bilhões até 2025, a uma taxa composta de crescimento anual (CAGR) de 15.3% durante o período de previsão.
O relatório citou vários fatores que impulsionam o crescimento do mercado de segurança cibernética de gerenciamento de requisitos, incluindo a crescente demanda por soluções de segurança devido ao número crescente de ataques cibernéticos, a adoção crescente de soluções baseadas em nuvem e o uso crescente da Internet das Coisas. (IoT) e traga seu próprio dispositivo (BYOD). Além disso, o relatório observou que a crescente adoção de tecnologias de inteligência artificial (IA) e aprendizado de máquina (ML) para segurança cibernética também estava contribuindo para o crescimento do mercado.
Em termos de tendências, o relatório destacou que há um foco crescente na integração dos requisitos de segurança cibernética ao ciclo de vida de desenvolvimento de software (SDLC) e a necessidade de as organizações garantirem a conformidade com os padrões e regulamentos do setor. O relatório também observou que há uma tendência para o uso de ferramentas automatizadas para gerenciamento de requisitos e segurança cibernética, pois essas ferramentas podem ajudar as organizações a economizar tempo e reduzir erros.
Eletrônica do Amanhã
O Plano de Ação Global para Saúde Mental da Eletrônica do Amanhã feira mostra as últimas tecnologias e tendências da indústria eletrônica, com foco em sistemas embarcados, desenvolvimento de software e segurança cibernética. O evento atrai expositores e participantes de todo o mundo e oferece uma oportunidade para os profissionais da indústria fazerem contatos, trocarem ideias e aprenderem sobre novos produtos e tecnologias.
A feira normalmente apresenta uma variedade de exposições, seminários e workshops que abordam tópicos como Internet das Coisas (IoT), inteligência artificial (IA), aprendizado de máquina (ML), robótica, automação e muito mais. Além disso, o evento oferece oportunidades para que os participantes se conectem com especialistas da área, assistam a demonstrações de produtos e participem de atividades práticas.
Visure Solutions no EOT 2023, Dinamarca
Com o rápido avanço da tecnologia nas indústrias, a segurança cibernética tornou-se uma necessidade crucial para proteger os ativos de uma organização contra ataques maliciosos. Para garantir a conformidade com os padrões e regulamentos do setor e, ao mesmo tempo, proteger contra possíveis vulnerabilidades de segurança, o gerenciamento de requisitos é essencial. Isso ajuda as organizações a economizar tempo e dinheiro enquanto fornecem produtos de software seguros e compatíveis.
O gerenciamento eficaz de requisitos é crítico para qualquer organização que busca garantir a segurança e a conformidade de seus produtos ou serviços. Nas especificações de requisitos de software, os requisitos de segurança cibernética devem ser integrados para abordar questões de autenticação, autorização, integridade de dados e controle de acesso. Ao fazer isso, as organizações podem evitar erros dispendiosos resultantes da falta de atenção aos detalhes em relação às práticas recomendadas de segurança.
A segurança cibernética é uma grande preocupação para sistemas embarcados, abrangendo toda a tecnologia e operações usadas para proteger dispositivos e suas plataformas e redes contra ataques cibernéticos ou hackers. As equipes de desenvolvimento de sistemas embarcados já conhecem muitos conceitos e técnicas para mitigar riscos de segurança, como regras de codificação, RTOS dedicados, técnicas de criptografia, análise estática e dinâmica e muito mais. No entanto, um aspecto frequentemente negligenciado é o gerenciamento e a rastreabilidade de requisitos.
Embora os padrões de segurança como IEC 62443 / ISA Secure exijam gerenciamento e rastreamento de requisitos de segurança durante todo o ciclo de vida do desenvolvimento e teste, muitos engenheiros não têm certeza de como cumprir com eficiência esses requisitos e quais tipos de verificações e processos se aplicam ao gerenciamento de requisitos.
Portanto, Micaël Martins, líder de vendas europeu da Visure, fez uma apresentação completa sobre “Como escrever e gerenciar requisitos para projetos integrados de segurança cibernética” no Electronics of Tomorrow 2023 na Dinamarca.
Por que o gerenciamento de requisitos é tão importante na segurança incorporada e nos padrões de proteção
O gerenciamento de requisitos é particularmente importante no contexto de padrões de proteção e segurança incorporados devido à natureza crítica dos sistemas envolvidos. Aqui está o porquê:
- Conformidade com as Normas: Padrões de segurança e proteção incorporados, como ISO 26262 para sistemas automotivos ou IEC 61508 para sistemas de controle industrial, definem requisitos rigorosos para garantir a segurança desses sistemas. O gerenciamento de requisitos ajuda a capturar, documentar e gerenciar esses requisitos específicos de padrões, garantindo a conformidade durante todo o ciclo de vida do desenvolvimento.
- Identificação e Mitigação de Riscos: Os padrões de proteção e segurança incorporados exigem uma compreensão completa dos riscos potenciais e suas estratégias de mitigação. O gerenciamento de requisitos ajuda a identificar e avaliar os riscos de proteção e segurança, permitindo o desenvolvimento de requisitos apropriados para lidar com esses riscos. Também permite a rastreabilidade entre riscos, requisitos e soluções implementadas, garantindo que as medidas de segurança e proteção sejam implementadas adequadamente.
- Rastreabilidade e Responsabilidade: Sistemas críticos de segurança exigem rastreabilidade e responsabilidade para cada requisito. O gerenciamento de requisitos garante que os requisitos de segurança e proteção sejam rastreados adequadamente desde suas origens até os estágios de design, implementação e teste. Essa rastreabilidade ajuda a demonstrar a conformidade com os padrões, facilita o gerenciamento de mudanças e permite uma análise de impacto eficaz quando modificações ou atualizações são necessárias.
- Verificação e validação: Os padrões de proteção e segurança incorporados exigem processos extensivos de verificação e validação para garantir que os sistemas atendam aos requisitos especificados. O gerenciamento de requisitos apóia o planejamento e a execução dessas atividades, fornecendo requisitos claros e testáveis, facilitando a identificação de técnicas adequadas de verificação e validação e permitindo o estabelecimento de rastreabilidade entre testes e requisitos.
- Mudar a gestão: Os padrões de proteção e segurança geralmente passam por atualizações e revisões para lidar com ameaças emergentes e avanços do setor. O gerenciamento eficaz de requisitos permite que as organizações se adaptem a essas mudanças, incorporando novos requisitos de forma eficiente, atualizando requisitos existentes e gerenciando o impacto no processo de desenvolvimento. Ele garante que os aspectos de segurança e proteção dos sistemas embarcados permaneçam atualizados e alinhados com os padrões em evolução.
- Documentação e Audibilidade: Padrões de proteção e segurança incorporados geralmente exigem documentação abrangente para demonstrar conformidade. O gerenciamento de requisitos garante que todos os requisitos, juntamente com seus fundamentos associados, evidências de verificação e validação e histórico de mudanças, sejam devidamente documentados. Esta documentação oferece suporte a auditorias, avaliações e conformidade regulatória, fornecendo evidências de devida diligência e adesão aos padrões de segurança e proteção.
No domínio dos padrões de segurança e proteção incorporados, o gerenciamento eficaz de requisitos é crucial para garantir a conformidade, mitigar riscos, manter a rastreabilidade, dar suporte à verificação e validação, gerenciar alterações e fornecer documentação auditável. Ele desempenha um papel vital no desenvolvimento e manutenção de sistemas embarcados robustos, seguros e protegidos.
Gerenciamento de requisitos e padrões incorporados
O gerenciamento de requisitos é muito importante quando se trata de padrões de segurança e proteção incorporados, como ISO 26262 e ISO 61508. Vamos explorar a importância do gerenciamento de requisitos em cada um desses padrões:
ISO 26262 (Segurança funcional para sistemas automotivos):
ISO 26262 é um padrão internacional para segurança funcional em sistemas automotivos. Ele descreve os requisitos para garantir a segurança dos sistemas elétricos e eletrônicos dentro dos veículos. Veja por que o gerenciamento de requisitos é crucial na conformidade com a ISO 26262:
- Captura e gerenciamento de requisitos de segurança: O gerenciamento de requisitos permite a identificação, documentação e gerenciamento de requisitos de segurança específicos para sistemas automotivos. Ele garante que os requisitos relacionados à segurança sejam devidamente capturados, analisados e documentados para orientar o processo de desenvolvimento.
- Rastreabilidade e análise de impacto: A ISO 26262 requer rastreabilidade entre requisitos de segurança, elementos do sistema e atividades de verificação. O gerenciamento de requisitos facilita a rastreabilidade ao estabelecer vínculos claros entre requisitos de segurança, elementos de design, artefatos de implementação e resultados de verificação. Essa rastreabilidade permite análise de impacto, gerenciamento de mudanças e rastreamento eficaz de decisões relacionadas à segurança durante todo o ciclo de vida do desenvolvimento.
- Avaliação e mitigação de riscos: A ISO 26262 exige a identificação, avaliação e mitigação de riscos de segurança em sistemas automotivos. O gerenciamento de requisitos suporta a análise de riscos potenciais, sua associação com requisitos de segurança e a formulação de medidas apropriadas de mitigação de riscos. Ele garante que os requisitos de segurança abordem os riscos identificados e que sua eficácia seja avaliada durante o processo de desenvolvimento.
- Planejamento de verificação e validação: O gerenciamento eficaz de requisitos auxilia no planejamento de atividades de verificação e validação de acordo com os requisitos da ISO 26262. Ele ajuda a definir os testes, casos de teste e critérios de aceitação necessários com base nos requisitos de segurança. Ao estabelecer uma relação clara entre requisitos e atividades de verificação, o gerenciamento de requisitos garante que os requisitos de segurança sejam adequadamente testados e validados.
- Gerenciamento de mudanças e controle de configuração: O gerenciamento de requisitos desempenha um papel crítico no gerenciamento de mudanças e na manutenção do controle de configuração, que são aspectos vitais da conformidade com a ISO 26262. Ele garante que as mudanças nos requisitos de segurança sejam adequadamente avaliadas, documentadas e comunicadas. Além disso, ajuda a manter a integridade da linha de base dos requisitos e a gerenciar o controle de versão ao longo do processo de desenvolvimento.
ISO 61508 (Segurança funcional de sistemas elétricos/eletrônicos/eletrônicos programáveis relacionados à segurança):
ISO 61508 é um padrão que aborda a segurança funcional em vários setores, incluindo sistemas de controle industrial. Veja por que o gerenciamento de requisitos é essencial para a conformidade com a ISO 61508:
- Documentação e gerenciamento de requisitos: A ISO 61508 enfatiza a necessidade de documentação abrangente de requisitos e gerenciamento eficaz. O gerenciamento de requisitos permite a captura, organização e manutenção dos requisitos de segurança, garantindo que sejam bem documentados e gerenciados durante todo o ciclo de vida do desenvolvimento do sistema.
- Rastreabilidade e validação: A ISO 61508 requer rastreabilidade entre requisitos de segurança, artefatos de design e atividades de verificação. O gerenciamento de requisitos facilita o estabelecimento de links de rastreabilidade, garantindo que cada requisito seja atendido por elementos de design apropriados e que as atividades de verificação necessárias sejam planejadas e executadas.
- Análise de risco e redução de risco: A ISO 61508 exige a identificação, análise e redução de riscos associados a sistemas relacionados à segurança. O gerenciamento de requisitos suporta a análise de riscos, sua associação com requisitos de segurança e a formulação de medidas de redução de riscos. Ele garante que os requisitos de segurança abordem adequadamente os riscos identificados e que sua eficácia seja avaliada durante o processo de desenvolvimento.
- Controle de configuração e gerenciamento de mudanças: O gerenciamento de requisitos ajuda a manter o controle de configuração e gerenciar mudanças, que são essenciais para a conformidade com a ISO 61508. Ele garante que as mudanças nos requisitos de segurança sejam adequadamente avaliadas, documentadas e controladas. Isso garante que a linha de base dos requisitos de segurança seja preservada e que quaisquer alterações sejam gerenciadas e comunicadas adequadamente.
- Planejamento de verificação e validação: O gerenciamento eficaz de requisitos auxilia no planejamento de atividades de verificação e validação com base nos requisitos de segurança especificados na ISO 61508. Ele ajuda a definir os testes necessários, casos de teste e critérios de aceitação derivados dos requisitos de segurança. Ao estabelecer uma relação clara entre os requisitos e as atividades de verificação, o gerenciamento de requisitos garante que os requisitos de segurança sejam exaustivamente testados e validados, de acordo com os requisitos da ISO 61508.
- Desenvolvimento de caso de segurança: A ISO 61508 enfatiza o desenvolvimento de um caso de segurança, que é um argumento estruturado apoiado por evidências, demonstrando que os requisitos de segurança foram tratados adequadamente. O gerenciamento de requisitos desempenha um papel crucial ao fornecer a documentação, rastreabilidade e evidências necessárias para apoiar o desenvolvimento do caso de segurança, garantindo que ele esteja alinhado com os requisitos e objetivos especificados pela norma.
- Auditoria e conformidade: A ISO 61508 exige que as organizações demonstrem conformidade com os requisitos da norma. O gerenciamento eficaz de requisitos garante que os requisitos de segurança sejam bem documentados, gerenciados adequadamente e rastreáveis durante todo o processo de desenvolvimento. Essa documentação e rastreabilidade fornecem evidências auditáveis de conformidade, dando suporte a auditorias e avaliações externas.
Padrões de gerenciamento de requisitos e aviônicos
O gerenciamento de requisitos desempenha um papel crítico na conformidade com os padrões de aviônicos, como ARP 4754 e DO-178. Vamos explorar a importância do gerenciamento de requisitos em cada um desses padrões:
ARP 4754 (Diretrizes para Desenvolvimento de Aeronaves Civis e Sistemas):
O ARP 4754 fornece orientação para o desenvolvimento de aeronaves civis e sistemas, incluindo requisitos para avaliação e certificação de segurança. Veja como o gerenciamento de requisitos é essencial para conformidade com ARP 4754:
- Captura e rastreabilidade de requisitos: O gerenciamento eficaz de requisitos garante que todos os requisitos aplicáveis, incluindo requisitos funcionais, de desempenho e de segurança, sejam capturados, documentados e devidamente vinculados aos elementos de projeto correspondentes e atividades de verificação. Essa rastreabilidade permite uma compreensão clara de como cada requisito é atendido ao longo do processo de desenvolvimento.
- Avaliação e análise de segurança: O ARP 4754 exige a identificação e análise de perigos potenciais e o desenvolvimento de requisitos de segurança para mitigar esses perigos. O gerenciamento de requisitos facilita a análise dos requisitos relacionados à segurança, sua associação com perigos identificados e a formulação de medidas de segurança apropriadas. Isso ajuda a garantir que os requisitos de segurança abordem adequadamente os perigos identificados e que sua eficácia seja avaliada durante a avaliação de segurança.
- Gerenciamento de mudanças e controle de configuração: O gerenciamento de requisitos oferece suporte ao gerenciamento de mudanças nos requisitos, o que é crucial na conformidade com o ARP 4754. Ele permite a avaliação, documentação e controle de alterações para garantir que os requisitos críticos de segurança e os elementos de design associados sejam gerenciados adequadamente. O controle de configuração garante que a linha de base dos requisitos seja mantida durante todo o processo de desenvolvimento, permitindo a rastreabilidade e preservando a integridade do projeto do sistema.
- Planejamento de verificação e validação: O gerenciamento eficaz de requisitos auxilia no planejamento de atividades de verificação e validação de acordo com os requisitos ARP 4754. Ele ajuda a definir os testes, casos de teste e critérios de aceitação necessários com base nos requisitos. Ao estabelecer a rastreabilidade entre requisitos e atividades de verificação, o gerenciamento de requisitos garante que todos os requisitos sejam adequadamente testados e validados, apoiando os objetivos gerais de segurança e certificação.
- Documentação de certificação: ARP 4754 requer documentação abrangente para apoiar o processo de certificação. O gerenciamento de requisitos garante que todos os requisitos, juntamente com seus fundamentos associados, evidências de verificação e histórico de mudanças, sejam devidamente documentados. Essa documentação fornece evidências auditáveis de conformidade, facilitando o processo de certificação e revisões regulatórias.
DO-178 (Considerações de Software na Certificação de Sistemas e Equipamentos Aerotransportados):
DO-178 é um padrão que fornece orientação para o desenvolvimento de software aerotransportado. Ele se concentra nos aspectos de software de sistemas aviônicos. Veja por que o gerenciamento de requisitos é crucial para a conformidade com a DO-178:
- Análise e alocação de requisitos: O gerenciamento de requisitos facilita a análise e alocação de requisitos de sistema de alto nível para requisitos de software. Ele garante que os requisitos de software sejam adequadamente derivados, capturados e documentados, alinhando-se com os objetivos gerais do sistema.
- Rastreabilidade e análise de impacto: O DO-178 requer rastreabilidade entre requisitos de software, artefatos de design, atividades de verificação e casos de teste. O gerenciamento de requisitos permite o estabelecimento de links de rastreabilidade, garantindo que cada requisito de software seja tratado por elementos de design apropriados e que as atividades de verificação necessárias sejam planejadas e executadas. Essa rastreabilidade permite análise de impacto, gerenciamento de mudanças e rastreamento eficaz de decisões relacionadas a software.
- Gerenciamento de mudanças e controle de configuração: O gerenciamento de requisitos ajuda a gerenciar mudanças nos requisitos de software. Ele garante que as mudanças sejam devidamente avaliadas, documentadas e comunicadas e que seu impacto no design e verificação do software seja gerenciado de forma eficaz. O controle de configuração garante que a linha de base dos requisitos de software seja mantida, suportando a rastreabilidade e preservando a integridade do software durante todo o processo de desenvolvimento.
- Planejamento de verificação e validação: O gerenciamento eficaz de requisitos auxilia no planejamento de atividades de verificação e validação com base nos requisitos de software especificados no DO-178. Ele ajuda a definir os testes necessários, casos de teste e critérios de aceitação derivados dos requisitos de software. Ao estabelecer a rastreabilidade entre requisitos e atividades de verificação, o gerenciamento de requisitos garante que os requisitos de software sejam exaustivamente testados e validados, de acordo com os requisitos DO-178. Ele suporta o desenvolvimento de um plano abrangente de verificação e validação que atende a todos os requisitos de software.
- Testes baseados em requisitos: DO-178 enfatiza a importância do teste baseado em requisitos, onde cada requisito é rastreado para um ou mais casos de teste. O gerenciamento de requisitos permite o estabelecimento de links de rastreabilidade entre os requisitos de software e os casos de teste correspondentes. Isso garante que todos os requisitos sejam testados adequadamente e que a cobertura do teste esteja alinhada com os requisitos de software especificados.
- Documentação de certificação: O DO-178 requer extensa documentação para dar suporte ao processo de certificação de software. O gerenciamento de requisitos garante que todos os requisitos de software, juntamente com sua lógica associada, evidência de verificação e histórico de mudanças, sejam devidamente documentados. Esta documentação fornece evidências auditáveis de conformidade e suporta as atividades de certificação, como auditorias e revisões.
- Qualificação da ferramenta: A DO-178 também trata da qualificação de ferramentas utilizadas no processo de desenvolvimento. O gerenciamento de requisitos desempenha um papel na qualificação de ferramentas, garantindo que as ferramentas usadas para gerenciamento de requisitos e rastreabilidade atendam aos objetivos apropriados de qualificação de ferramentas definidos pelo DO-178. Isso inclui verificar se as ferramentas capturam, gerenciam e rastreiam com precisão os requisitos durante todo o ciclo de vida do desenvolvimento.
Custo Relativo de Corrigir um Erro nos Requisitos
O custo de corrigir um erro nos requisitos pode variar dependendo de vários fatores. Aqui estão alguns fatores que podem influenciar o custo relativo:
- Fase do projeto: O custo de corrigir um erro de requisitos pode ser significativamente menor se o erro for identificado e corrigido no início do ciclo de vida do projeto, como durante a fase de coleta e análise de requisitos. Por outro lado, se o erro for descoberto em fases posteriores do desenvolvimento ou após a implementação do produto, o custo de corrigi-lo pode ser muito maior, pois pode exigir retrabalho, alterações de design ou até mesmo recalls de produtos.
- Magnitude do erro: A gravidade e o impacto do erro de requisitos também afetam o custo de corrigi-lo. Pequenos erros ou inconsistências podem ser relativamente fáceis e baratos de corrigir, enquanto grandes erros que afetam funcionalidades críticas ou requisitos de segurança podem ser significativamente mais caros de resolver.
- Impacto nas atividades a jusante: Erros de requisitos podem ter um efeito cascata nas atividades de desenvolvimento subsequentes. Se o erro se propagar pelas fases de projeto, codificação e teste, pode resultar em retrabalho e atrasos significativos, levando ao aumento dos custos. Além disso, se o erro passar despercebido até os estágios posteriores do projeto, poderá exigir modificações nos componentes, interfaces ou arquitetura do sistema existentes, aumentando ainda mais o custo da correção.
- Processo de descoberta e correção: O custo de corrigir um erro de requisitos depende da eficiência e eficácia do processo de descoberta e correção. Se o erro for identificado por meio de revisões completas, inspeções ou atividades de validação, ele pode ser tratado com antecedência, reduzindo o custo. Por outro lado, se o erro não for detectado até que cause problemas no campo, o custo de resolvê-lo pode ser muito maior, possivelmente envolvendo suporte ao cliente, recalls de produtos ou ramificações legais.
- Processos e cultura organizacional: A maturidade dos processos de gerenciamento de requisitos de uma organização e sua cultura em torno da qualidade e prevenção de erros também desempenham um papel. Organizações com práticas robustas de gerenciamento de requisitos, incluindo revisões por pares, portões de qualidade e rastreabilidade, têm maior probabilidade de detectar e corrigir erros antecipadamente, minimizando os custos associados.
Vale a pena notar que prevenir erros de requisitos em primeiro lugar por meio de gerenciamento de requisitos eficaz, envolvimento de partes interessadas e atividades de validação é normalmente mais econômico do que corrigir erros depois que eles se propagaram em estágios subsequentes de desenvolvimento ou produção. Investir em análise completa de requisitos, revisões e processos de verificação pode ajudar a identificar e corrigir erros antecipadamente, reduzindo o custo geral e o impacto no projeto.
Padrões Integrados de Segurança e Proteção
Os padrões de segurança e proteção incorporados desempenham um papel crucial para garantir a operação confiável e segura dos sistemas incorporados. Esses padrões fornecem diretrizes e requisitos para o desenvolvimento, implementação e validação de sistemas embarcados seguros e críticos para a segurança. Aderindo a esses padrões, as organizações podem mitigar riscos, aumentar a segurança do sistema e proteger contra ameaças de segurança. Vamos explorar os padrões de segurança e proteção incorporados com mais detalhes:
Padrões de segurança incorporados
Os padrões de segurança incorporados desempenham um papel crucial na garantia da operação segura de sistemas incorporados em vários setores. Aqui estão alguns dos principais padrões de segurança incorporados em diferentes domínios:
Aeroespacial (ECSS):
Os padrões ECSS (Cooperação Européia para Padronização Espacial) são amplamente utilizados na indústria aeroespacial. Eles cobrem vários aspectos de segurança e confiabilidade para sistemas espaciais. Por exemplo, o ECSS-Q-ST-30C se concentra no gerenciamento de segurança e na garantia do produto, enquanto o ECSS-E-ST-40C aborda os requisitos de engenharia de sistema.
Aviônicos (DO-178C, DO-254, DO-278, DO-160):
Os padrões de aviônicos são essenciais para o desenvolvimento de software e hardware críticos para a segurança na indústria da aviação.
- DO-178C (Considerações de Software em Sistemas Aerotransportados e Certificação de Equipamentos) fornece diretrizes para o desenvolvimento de software aerotransportado, incluindo os processos de verificação e validação.
- O DO-254 (Design Assurance Guidance for Airborne Electronic Hardware) concentra-se no desenvolvimento e certificação de hardware eletrônico aerotransportado, incluindo circuitos integrados, FPGAs e outros componentes eletrônicos.
- DO-278 (Software Integrity Assurance) aborda os aspectos de software de sistemas de gerenciamento de tráfego aéreo, incluindo requisitos para desenvolvimento e verificação de software.
- DO-160 (Condições ambientais e procedimentos de teste para equipamentos aerotransportados) especifica os requisitos de testes ambientais para equipamentos aerotransportados, garantindo sua robustez contra fatores ambientais.
Automotivo (ISO 26262):
ISO 26262 é um padrão amplamente reconhecido para segurança funcional na indústria automotiva. Ele fornece diretrizes para o desenvolvimento de sistemas elétricos e eletrônicos relacionados à segurança em veículos. A ISO 26262 abrange todo o ciclo de vida do desenvolvimento automotivo, incluindo análise de perigos, avaliação de riscos e requisitos de segurança.
Automação Industrial (IEC 61508):
IEC 61508 é um padrão geral para segurança funcional em sistemas elétricos, eletrônicos e eletrônicos programáveis em vários setores, incluindo automação industrial. Ele fornece uma estrutura para gerenciar a segurança funcional em todo o ciclo de vida de um sistema, incluindo identificação de perigos, avaliação de riscos e níveis de integridade de segurança (SIL).
Dispositivos médicos (IEC 13485, IEC 60601-1, IEC 62304/82304):
Os dispositivos médicos exigem conformidade com padrões de segurança específicos para garantir a segurança do paciente e a conformidade regulamentar.
- IEC 13485 é um padrão para o sistema de gerenciamento de qualidade de dispositivos médicos. Ele fornece diretrizes para o design, desenvolvimento, produção e pós-produção de dispositivos médicos.
- IEC 60601-1 é um padrão para segurança e desempenho essencial de equipamentos médicos elétricos. Ele aborda os requisitos de segurança elétrica e mecânica para dispositivos médicos.
- IEC 62304 e IEC 82304 são normas voltadas especificamente para software em dispositivos médicos. Eles fornecem orientação para os processos de ciclo de vida do software, incluindo requisitos, design, implementação, teste e manutenção.
Ferrovias (EN 50126/8/9, EN 50657):
Os sistemas ferroviários exigem o cumprimento de normas de segurança específicas da indústria.
- EN 50126, EN 50128 e EN 50129 formam um conjunto de normas para o setor ferroviário. A EN 50126 abrange o ciclo de vida geral do sistema, a EN 50128 se concentra no software e a EN 50129 aborda os requisitos de segurança para sistemas de sinalização.
- A EN 50657 fornece diretrizes para a segurança funcional de sistemas elétricos e eletrônicos usados em aplicações ferroviárias.
Esses padrões ajudam a garantir a segurança e a confiabilidade dos sistemas embarcados em seus respectivos setores, fornecendo diretrizes e requisitos para processos de desenvolvimento, validação e certificação. A conformidade com esses padrões é essencial para atender aos requisitos de segurança específicos do setor e garantir a operação segura de sistemas embarcados.
Padrões de segurança incorporados:
Os padrões de segurança incorporados desempenham um papel crítico na garantia da segurança e da resiliência dos sistemas incorporados contra possíveis ameaças e vulnerabilidades. Esses padrões fornecem diretrizes e práticas recomendadas para a implementação de medidas de segurança robustas durante o desenvolvimento, implantação e manutenção de sistemas embarcados. Vamos explorar alguns dos principais padrões de segurança incorporados em diferentes domínios:
Aviônicos (DO-326A):
DO-326A é um padrão que se concentra nos aspectos de segurança da aeronavegabilidade para sistemas e componentes de aeronaves. Ele fornece orientação para o desenvolvimento de um programa de segurança, realização de avaliações de segurança e implementação de controles de segurança em sistemas aviônicos. O DO-326A complementa os padrões relacionados à segurança, como DO-178C e DO-254 na indústria da aviação.
Automotivo (ISO-21434):
ISO-21434 é um padrão lançado recentemente que aborda a segurança cibernética na indústria automotiva. Ele fornece diretrizes e requisitos para a implementação de processos de segurança cibernética em todo o ciclo de vida do produto automotivo, incluindo avaliação de risco, análise de ameaças, requisitos de segurança e validação. A ISO-21434 visa aumentar a resiliência dos sistemas automotivos contra ameaças cibernéticas e proteger a integridade e a segurança dos veículos.
Automação Industrial (IEC-62443 – ISA Secure):
IEC-62443, também conhecido como ISA Secure, é uma série abrangente de padrões desenvolvidos especificamente para segurança de sistemas de controle e automação industrial (IACS). Abrange vários aspectos da segurança do IACS, incluindo arquitetura de rede, gerenciamento de segurança, fortalecimento do sistema, práticas de codificação segura e resposta a incidentes. A IEC-62443 fornece uma abordagem sistemática para proteger sistemas industriais contra ameaças cibernéticas e garantir sua disponibilidade, integridade e confidencialidade.
Produto Geral (ISO-15408 - Critérios Comuns):
ISO-15408, também conhecido como Common Criteria (CC), é um padrão internacional para avaliação e certificação da segurança de produtos de tecnologia da informação, incluindo sistemas embarcados. Ele fornece uma estrutura para avaliar os recursos e funções de segurança dos produtos com base em requisitos de segurança predefinidos. Critérios comuns permitem que as organizações avaliem e comparem os recursos de segurança de diferentes produtos, garantindo que atendam a objetivos de segurança específicos.
TI (ISO-27001/x):
ISO-27001 é um padrão amplamente adotado para sistemas de gerenciamento de segurança da informação (ISMS). Embora não seja específico para sistemas embarcados, ele fornece uma estrutura abrangente para gerenciar riscos de segurança em organizações, incluindo a proteção de sistemas embarcados. A ISO-27001 inclui um conjunto de controles e melhores práticas para a implementação de um sistema eficaz de gerenciamento de segurança da informação.
A ISO-27001 é acompanhada por outras normas da série ISO/IEC 27000, como a ISO-27002, que fornece diretrizes para a implementação de controles de segurança específicos. Esses padrões podem ser aproveitados no desenvolvimento e implantação de sistemas embarcados seguros.
Esses padrões de segurança incorporados desempenham um papel vital em orientar as organizações na implementação de medidas de segurança, avaliações de risco e controles para proteger os sistemas incorporados de possíveis ameaças. A conformidade com esses padrões ajuda a garantir a confidencialidade, integridade e disponibilidade dos sistemas embarcados, protegendo-os contra violações de segurança e acesso não autorizado.
Cibersegurança para Aviônicos e Automotivo, Análise de Risco e Rastreabilidade
Segurança cibernética para aviônicos e automotivos:
A segurança cibernética é de extrema importância nas indústrias de aviônicos e automotivos devido à crescente complexidade e conectividade de sistemas embarcados. Os sistemas aviônicos e automotivos estão se tornando mais interconectados, integrando recursos como comunicação sem fio, sistemas de infoentretenimento e sistemas avançados de assistência ao motorista (ADAS). Essa conectividade expõe esses sistemas a possíveis ameaças à segurança cibernética, incluindo acesso não autorizado, violações de dados e ataques mal-intencionados.
Para abordar a segurança cibernética em aviônicos e sistemas automotivos, foram desenvolvidos padrões e estruturas específicos do setor, como DO-326A para aviônicos e ISO-21434 para automotivo. Esses padrões fornecem orientação sobre a condução de avaliações de risco, definição de requisitos de segurança, implementação de controles de segurança e estabelecimento de processos para o desenvolvimento e manutenção seguros de sistemas embarcados.
Análise de risco:
A análise de risco é um aspecto fundamental da segurança cibernética. Envolve a identificação de riscos e vulnerabilidades potenciais, avaliando sua probabilidade e impacto e priorizando-os para mitigação. No contexto de sistemas aviônicos e automotivos, a análise de risco ajuda a identificar as possíveis ameaças à segurança cibernética e seu impacto potencial na segurança do sistema, funcionalidade e privacidade do usuário.
O processo de análise de risco geralmente envolve as seguintes etapas:
- Identificação de ameaças: Identificar potenciais ameaças e vulnerabilidades que podem ser exploradas para comprometer a segurança do sistema. Isso inclui considerar ameaças internas e externas, como ataques mal-intencionados, vulnerabilidades de software e adulteração física.
- Avaliação de vulnerabilidade: Avaliar as vulnerabilidades e fraquezas do sistema que podem ser exploradas por ameaças identificadas. Isso envolve a avaliação da postura de segurança do sistema, incluindo software, hardware, rede e interfaces de comunicação.
- Avaliação de probabilidade: Avaliar a probabilidade de ocorrência de cada ameaça identificada. Isso envolve a consideração de fatores como a exposição do sistema a possíveis ameaças, a sofisticação de possíveis invasores e dados históricos ou tendências.
- Análise de impacto: Analisar as possíveis consequências e o impacto de ataques bem-sucedidos ou violações de segurança no sistema, incluindo riscos de segurança, perdas financeiras, danos à reputação e preocupações com a privacidade do usuário.
- Priorização de risco: Priorizar os riscos com base em sua probabilidade e impacto para determinar as áreas críticas que requerem atenção imediata e esforços de mitigação.
Rastreabilidade:
A rastreabilidade é essencial para garantir a segurança e a integridade dos sistemas aviônicos e automotivos. Refere-se à capacidade de rastrear e documentar os relacionamentos e dependências entre vários elementos do sistema, incluindo requisitos, artefatos de design, código de implementação e casos de teste. A rastreabilidade fornece uma visão transparente de como os requisitos de segurança são implementados ao longo do ciclo de vida do desenvolvimento do sistema.
No contexto da segurança cibernética, a rastreabilidade ajuda a:
- Rastreabilidade de Requisitos: Vincular requisitos de segurança a requisitos de sistema de nível superior e especificações de projeto para garantir que as medidas de segurança sejam definidas e implementadas adequadamente.
- Rastreabilidade do projeto: Rastreando os recursos e controles de segurança desde a fase de projeto até a fase de implementação, garantindo que o sistema seja construído em conformidade com os requisitos de segurança definidos.
- Rastreabilidade de teste: Estabelecer a rastreabilidade entre os casos de teste de segurança e os requisitos de segurança correspondentes e elementos de design para verificar a eficácia dos controles de segurança e garantir uma cobertura de teste abrangente.
A rastreabilidade ajuda a identificar possíveis lacunas, inconsistências ou falta de medidas de segurança durante o processo de desenvolvimento do sistema. Também facilita auditorias, avaliações de vulnerabilidade e futuras atualizações ou modificações do sistema, fornecendo uma compreensão clara das medidas de segurança implementadas.
Definindo requisitos de segurança cibernética
DO-326A
DO-326A, a “Especificação do Processo de Segurança de Aeronavegabilidade”, fornece orientação para abordar a segurança cibernética em sistemas aviônicos. Embora o DO-326A se concentre principalmente no aspecto de aeronavegabilidade, ele fornece orientação sobre a definição de requisitos de segurança cibernética para sistemas aviônicos. A norma enfatiza a importância de conduzir avaliações de risco, identificar objetivos de segurança e desenvolver um plano de segurança que inclua requisitos de segurança específicos.
O principal objetivo do DO-326A é garantir a segurança dos sistemas de aeronaves contra ameaças cibernéticas. Reconhece que os sistemas da aviação estão cada vez mais interconectados e suscetíveis a ataques cibernéticos, que podem comprometer a segurança, a integridade e a disponibilidade das aeronaves.
O DO-326A sugere as seguintes considerações ao definir os requisitos de segurança cibernética:
- Identificar ativos críticos e componentes do sistema que precisam de proteção contra ameaças de segurança cibernética.
- Estabelecer objetivos de segurança e níveis de tolerância a riscos.
- Definição de requisitos de segurança relacionados à comunicação segura, controles de acesso, segurança de software e práticas de desenvolvimento seguro.
- Incorporar controles de segurança que abordam riscos específicos identificados durante o processo de avaliação de riscos.
- Garantir a compatibilidade e interoperabilidade das medidas de segurança cibernética com os sistemas e arquiteturas de aeronaves existentes.
- Fornecer rastreabilidade entre os requisitos de segurança cibernética e outros artefatos do sistema.
O DO-326A destaca a importância de adaptar os requisitos de segurança cibernética com base nas características do sistema, contexto operacional e ameaças potenciais. Ele incentiva as organizações a adotar uma abordagem sistemática para definir e implementar os requisitos de segurança cibernética, alinhando-se com outros padrões e melhores práticas relevantes.
ISO 21434
ISO 21434 é um padrão internacional intitulado “Veículos Rodoviários – Engenharia de Segurança Cibernética”. Ele fornece diretrizes e requisitos para gerenciar riscos de segurança cibernética na indústria automotiva. O padrão visa garantir a segurança e a resiliência dos sistemas automotivos contra ameaças cibernéticas durante todo o seu ciclo de vida.
A ISO 21434 reconhece a crescente conectividade e complexidade dos sistemas automotivos, incluindo sistemas avançados de assistência ao motorista (ADAS), sistemas de infoentretenimento e comunicação veículo a veículo. Esses avanços trazem novos desafios e riscos de segurança cibernética que precisam ser abordados para proteger a integridade, segurança e privacidade dos veículos e seus ocupantes.
Quando se trata de definir os requisitos de segurança cibernética, a ISO 21434 oferece orientações e considerações valiosas:
- Avaliação de risco: A ISO 21434 enfatiza a realização de uma avaliação de risco abrangente para identificar possíveis ameaças à segurança cibernética e vulnerabilidades específicas de sistemas automotivos. Isso inclui considerar possíveis impactos na segurança, privacidade e funcionalidade do sistema.
- Objetivos de segurança: A norma enfatiza a definição de objetivos de segurança claros e mensuráveis com base nos riscos identificados e na tolerância a riscos da organização. Esses objetivos devem estar alinhados com o nível de proteção desejado e com os requisitos específicos do sistema automotivo.
- Requisitos de segurança: A ISO 21434 orienta as organizações na definição de requisitos de segurança específicos para sistemas automotivos. Esses requisitos abrangem vários aspectos, como protocolos de comunicação segura, práticas seguras de desenvolvimento de software, mecanismos de controle de acesso, criptografia, detecção de intrusão e resposta a incidentes.
- Segurança por Design: A ISO 21434 promove a integração de considerações de segurança ao longo de todo o ciclo de vida do desenvolvimento, seguindo uma abordagem de “segurança desde o design”. Isso inclui considerar aspectos de segurança durante a arquitetura do sistema, seleção de componentes, processos de desenvolvimento e interfaces.
- Conformidade e Auditoria: A ISO 21434 enfatiza a importância da conformidade com os regulamentos e padrões relevantes. Ele incentiva as organizações a definir os requisitos de segurança cibernética que se alinham com os padrões e as melhores práticas específicas do setor. A norma também destaca a necessidade de processos de auditoria e verificação para garantir a conformidade com os requisitos definidos.
- Colaboração e compartilhamento de informações: A ISO 21434 incentiva a colaboração e o compartilhamento de informações entre as partes interessadas envolvidas no desenvolvimento, fabricação e manutenção de sistemas automotivos. Isso promove uma abordagem holística para a segurança cibernética e permite a troca de conhecimentos e melhores práticas.
Seguindo a orientação fornecida pela ISO 21434, as organizações da indústria automotiva podem definir requisitos robustos de segurança cibernética que abordam os desafios e riscos exclusivos associados aos sistemas automotivos. Esses requisitos servem como base para projetar, implementar e verificar a eficácia das medidas de segurança cibernética em sistemas automotivos, ajudando a aprimorar a postura geral de segurança e a resiliência dos veículos.
Requisitos de Visão Plataforma ALM
Com suas ferramentas sofisticadas, a Visure Solutions permite que as empresas desenvolvam melhores produtos/serviços rapidamente, mantendo o controle e a conformidade com todos os regulamentos. Ele também ajuda as organizações a reduzir o tempo de colocação no mercado, melhorar os padrões de qualidade, aumentar a eficiência operacional e acelerar o tempo de colocação no mercado de forma eficaz. Além disso, oferece uma variedade de soluções específicas para setores como automotivo, aeroespacial e de defesa, telecomunicações e eletrônicos, tecnologia médica, energia e serviços públicos e financeiro. Isso torna mais fácil para as empresas acessarem os conhecimentos de que precisam sem ter que investir em recursos adicionais ou treinar pessoal. Visure Solutions é a ferramenta perfeita para ajudar as empresas a obter o máximo de seu ciclo de vida de entrega de produtos e serviços.
Lista de verificação automatizada do Visure torna mais fácil gerenciar a conformidade sem todo o incômodo manual de acompanhar tudo, para que você possa se concentrar no que é importante. Dessa forma, você pode basear seu design e melhoria de seu processo de revisão em torno dessas listas de verificação, que são conhecidas por serem mais confiáveis.
Ou seja, ao utilizar nosso produto, você poderá aumentar a produtividade e o alinhamento entre os membros da equipe. Isso é feito por meio de recursos como rastreabilidade de ponta a ponta, reutilização de requisitos para diferentes projetos e medição da qualidade dos requisitos com IA – tudo automaticamente.
Na Visure, também entendemos como é difícil para as organizações de tecnologia de energia acompanhar a era digital e, ao mesmo tempo, usar ferramentas legadas. É por isso que tornamos nossa prioridade incluir recursos fáceis de importar e exportar de ferramentas legadas, como IBM DOORs, bem como um recurso de migração simples.
Além disso, com o Visure você pode utilizar os melhores recursos de importação e exportação do MS Office Word e Excel. Você também pode promover a colaboração em toda a cadeia de suprimentos usando o ReqIF for Data Exchange, um padrão internacional.
Ao acessar esses recursos e integrações com soluções de alto nível do setor, você pode economizar tempo evitando a necessidade de retrabalhar manualmente os requisitos por meio de várias interações de ida e volta. Este processo é sem perdas e sem duplicatas. Com nossa plataforma, você pode verificar se todos os requisitos são atendidos, independentemente de sua origem.
O Visure também ajuda a simplificar o processo de construção de produtos complexos e de alta qualidade na indústria de petróleo e gás com requisitos verificados e validados para ajudá-lo a cumprir os requisitos regulamentares aplicáveis, combinando análise de risco e gerenciamento de requisitos em uma única solução.
A utilização do modo de falha e análise de efeitos (FMEA) permite estimar com precisão o risco associado às métricas de FMEA. Depois de identificar os riscos com suas ferramentas de análise de risco, você pode importar os resultados para o Visure e vincular os requisitos de alto risco a eles.
Essa plataforma ajuda as organizações a economizar tempo e dinheiro, além de garantir que seus projetos estejam em conformidade com os padrões do setor. Ele fornece um conjunto abrangente de recursos que capacitam as equipes a rastrear e monitorar rapidamente as alterações ao longo do processo de desenvolvimento. Além disso, ajuda a garantir a conformidade com órgãos e normas reguladoras, permitindo que as empresas de petróleo e gás se mantenham competitivas no mercado atual. O Visure Requirements ALM Platform é uma ferramenta inestimável para qualquer organização que busca agilizar processos e garantir que todos os requisitos do projeto sejam atendidos.