Electronic of Tomorrow (EOT) 2023, Дания

Дания 9 мая 2023 9:00 CEST оплату

Содержание

Управление требованиями Объем рынка кибербезопасности и тенденции

В 2021 году глобальный рынок кибербезопасности управления требованиями рос стабильными темпами. Согласно отчету MarketsandMarkets, размер рынка оценивался в 5.8 млрд долларов США в 2020 году и, как ожидается, вырастет до 11.8 млрд долларов США к 2025 году при совокупном годовом темпе роста (CAGR) в 15.3% в течение прогнозируемого периода.

В отчете упоминается несколько факторов, способствующих росту рынка кибербезопасности для управления требованиями, в том числе растущий спрос на решения для обеспечения безопасности из-за роста числа кибератак, растущее внедрение облачных решений и более широкое использование Интернета вещей. (IoT) и политики использования собственных устройств (BYOD). Кроме того, в отчете отмечается, что растущее внедрение технологий искусственного интеллекта (ИИ) и машинного обучения (МО) для кибербезопасности также способствует росту рынка.

Что касается тенденций, в отчете подчеркивается растущее внимание к интеграции требований кибербезопасности в жизненный цикл разработки программного обеспечения (SDLC) и необходимость для организаций обеспечивать соблюдение отраслевых стандартов и правил. В отчете также отмечается тенденция к использованию автоматизированных инструментов для управления требованиями и кибербезопасности, поскольку эти инструменты могут помочь организациям сэкономить время и уменьшить количество ошибок.

Электроника завтрашнего дня

The Электроника завтрашнего дня Выставка демонстрирует новейшие технологии и тенденции в электронной промышленности с акцентом на встроенные системы, разработку программного обеспечения и кибербезопасность. Мероприятие привлекает экспонентов и посетителей со всего мира и дает возможность профессионалам отрасли пообщаться, обменяться идеями и узнать о новых продуктах и ​​технологиях.

Электроника завтрашнего дня

На выставке обычно представлены различные выставки, семинары и мастер-классы, посвященные таким темам, как Интернет вещей (IoT), искусственный интеллект (AI), машинное обучение (ML), робототехника, автоматизация и многое другое. Кроме того, мероприятие предлагает участникам возможность пообщаться с экспертами в этой области, посетить демонстрации продуктов и принять участие в практических мероприятиях.

Visure Solutions на выставке EOT 2023, Дания

С быстрым развитием технологий в отраслях кибербезопасность стала жизненно важной необходимостью для защиты активов организации от злонамеренных атак. Для обеспечения соответствия отраслевым стандартам и нормативам при одновременной защите от потенциальных уязвимостей безопасности необходимо управление требованиями. Это помогает организациям экономить время и деньги, предоставляя безопасные и совместимые программные продукты.

Эффективное управление требованиями имеет решающее значение для любой организации, стремящейся обеспечить безопасность и соответствие требованиям своих продуктов или услуг. В спецификации требований к программному обеспечению должны быть интегрированы требования кибербезопасности для решения вопросов аутентификации, авторизации, целостности данных и контроля доступа. Поступая таким образом, организации могут избежать дорогостоящих ошибок, возникающих из-за недостаточного внимания к деталям в отношении передовых методов обеспечения безопасности.

Кибербезопасность является серьезной проблемой для встраиваемых систем, охватывающей все технологии и операции, используемые для защиты устройств, их платформ и сетей от кибератак или взлома. Команды разработчиков встраиваемых систем уже знакомы со многими концепциями и методами снижения рисков безопасности, такими как правила кодирования, выделенная ОСРВ, методы криптографии, статический и динамический анализ и многое другое. Однако одним из аспектов, который часто упускается из виду, является управление требованиями и отслеживаемость.

Несмотря на то, что стандарты безопасности, такие как IEC 62443 / ISA Secure, требуют управления и отслеживания требований безопасности на протяжении всего жизненного цикла разработки и тестирования, многие инженеры не знают, как эффективно соблюдать эти требования и какие типы проверок и процессов применяются для управления требованиями. 

Следовательно, Микаэль Мартинс, руководитель отдела продаж Visure в Европе, выступил с подробной презентацией «Как писать требования для встроенных проектов кибербезопасности и управлять ими» на выставке Electronics of Tomorrow 2023 в Дании. 

Почему управление требованиями так важно во встроенных стандартах безопасности и безопасности

Управление требованиями особенно важно в контексте встроенных стандартов безопасности и защиты из-за критического характера задействованных систем. Вот почему:

  1. Соответствие стандартам: Встроенные стандарты безопасности и защиты, такие как ISO 26262 для автомобильных систем или IEC 61508 для промышленных систем управления, определяют строгие требования к обеспечению безопасности и надежности этих систем. Управление требованиями помогает фиксировать, документировать и управлять этими стандартными требованиями, обеспечивая соответствие на протяжении всего жизненного цикла разработки.
  2. Выявление и снижение рисков: Встроенные стандарты безопасности требуют глубокого понимания потенциальных рисков и стратегий их снижения. Управление требованиями помогает выявлять и оценивать риски безопасности и защиты, позволяя разрабатывать соответствующие требования для устранения этих рисков. Это также позволяет отслеживать риски, требования и реализованные решения, гарантируя адекватное выполнение мер безопасности и защиты.
  3. Отслеживаемость и подотчетность: Критически важные для безопасности системы требуют прослеживаемости и подотчетности для каждого требования. Управление требованиями обеспечивает надлежащее отслеживание требований безопасности и защиты от их происхождения до этапов проектирования, реализации и тестирования. Эта прослеживаемость помогает продемонстрировать соответствие стандартам, упрощает управление изменениями и обеспечивает эффективный анализ последствий, когда требуются модификации или обновления.
  4. Верификация и валидация: Встроенные стандарты безопасности и защиты требуют обширных процессов проверки и проверки, чтобы гарантировать, что системы соответствуют заданным требованиям. Управление требованиями поддерживает планирование и выполнение этих действий, предоставляя четкие и проверяемые требования, облегчая идентификацию подходящих методов проверки и проверки и позволяя установить прослеживаемость между тестами и требованиями.
  5. Управление изменениями: Стандарты безопасности и защиты часто обновляются и пересматриваются для устранения новых угроз и отраслевых достижений. Эффективное управление требованиями позволяет организациям адаптироваться к этим изменениям за счет эффективного включения новых требований, обновления существующих требований и управления влиянием на процесс разработки. Это гарантирует, что аспекты безопасности встроенных систем остаются актуальными и согласуются с развивающимися стандартами.
  6. Документация и слышимость: Встроенные стандарты безопасности и защиты часто требуют подробной документации для демонстрации соответствия. Управление требованиями гарантирует, что все требования вместе с их обоснованием, доказательствами проверки и проверки, а также историей изменений должным образом задокументированы. Эта документация поддерживает аудиты, оценки и соответствие нормативным требованиям, предоставляя доказательства должной осмотрительности и соблюдения стандартов безопасности и защиты.

В области встроенных стандартов безопасности и защиты эффективное управление требованиями имеет решающее значение для обеспечения соответствия, снижения рисков, обеспечения прослеживаемости, поддержки проверки и проверки, управления изменениями и предоставления документации, подлежащей аудиту. Он играет жизненно важную роль в разработке и обслуживании надежных, безопасных и защищенных встроенных систем.

Управление требованиями и встроенные стандарты

Управление требованиями очень важно, когда речь идет о встроенных стандартах безопасности, таких как ISO 26262 и ISO 61508. Давайте рассмотрим значение управления требованиями в каждом из этих стандартов:

ISO 26262 (Функциональная безопасность автомобильных систем):

ISO 26262 — это международный стандарт функциональной безопасности автомобильных систем. В нем излагаются требования по обеспечению безопасности электрических и электронных систем транспортных средств. Вот почему управление требованиями имеет решающее значение для соответствия стандарту ISO 26262:

  1. Захват и управление требованиями безопасности: Управление требованиями позволяет идентифицировать, документировать и управлять требованиями безопасности, характерными для автомобильных систем. Это гарантирует, что требования, связанные с безопасностью, должным образом фиксируются, анализируются и документируются для управления процессом разработки.
  2. Отслеживаемость и анализ воздействия: ISO 26262 требует прослеживаемости между требованиями безопасности, элементами системы и действиями по проверке. Управление требованиями облегчает прослеживаемость, устанавливая четкие связи между требованиями безопасности, элементами проекта, артефактами реализации и результатами проверки. Эта прослеживаемость позволяет проводить анализ воздействия, управление изменениями и эффективное отслеживание решений, связанных с безопасностью, на протяжении всего жизненного цикла разработки.
  3. Оценка и снижение рисков: ISO 26262 требует идентификации, оценки и снижения рисков безопасности в автомобильных системах. Управление требованиями поддерживает анализ потенциальных рисков, их связь с требованиями безопасности и формулирование соответствующих мер по снижению рисков. Он обеспечивает соответствие требований безопасности выявленным рискам и оценку их эффективности в процессе разработки.
  4. Планирование верификации и валидации: Эффективное управление требованиями помогает планировать действия по проверке и валидации в соответствии с требованиями ISO 26262. Он помогает определить необходимые тесты, тестовые примеры и критерии приемки на основе требований безопасности. Устанавливая четкую взаимосвязь между требованиями и действиями по проверке, управление требованиями обеспечивает адекватное тестирование и подтверждение требований безопасности.
  5. Управление изменениями и контроль конфигурации: Управление требованиями играет решающую роль в управлении изменениями и поддержании контроля над конфигурацией, что является жизненно важным аспектом соответствия стандарту ISO 26262. Это гарантирует, что изменения в требованиях безопасности должным образом оцениваются, документируются и доводятся до сведения. Кроме того, это помогает поддерживать целостность базовых требований и управлять контролем версий на протяжении всего процесса разработки.

ISO 61508 (Функциональная безопасность электрических/электронных/программируемых электронных систем, связанных с безопасностью):

ISO 61508 — это стандарт, который касается функциональной безопасности в различных отраслях, включая промышленные системы управления. Вот почему управление требованиями необходимо для соответствия стандарту ISO 61508:

  1. Требования к документации и управлению: ISO 61508 подчеркивает необходимость всеобъемлющей документации по требованиям и эффективного управления. Управление требованиями позволяет собирать, систематизировать и поддерживать требования безопасности, гарантируя, что они хорошо документированы и управляются на протяжении всего жизненного цикла разработки системы.
  2. Отслеживаемость и проверка: ISO 61508 требует прослеживаемости между требованиями безопасности, артефактами проектирования и действиями по проверке. Управление требованиями облегчает установление связей прослеживаемости, гарантируя, что каждое требование удовлетворяется соответствующими элементами дизайна, а необходимые действия по проверке планируются и выполняются.
  3. Анализ рисков и снижение рисков: ISO 61508 предписывает идентификацию, анализ и снижение рисков, связанных с системами, связанными с безопасностью. Управление требованиями поддерживает анализ рисков, их связь с требованиями безопасности и формулирование мер по снижению рисков. Это гарантирует, что требования безопасности должным образом учитывают выявленные риски и что их эффективность оценивается в процессе разработки.
  4. Контроль конфигурации и управление изменениями: Управление требованиями помогает поддерживать контроль конфигурации и управлять изменениями, что необходимо для соответствия стандарту ISO 61508. Это гарантирует, что изменения в требованиях безопасности должным образом оцениваются, документируются и контролируются. Это гарантирует, что базовый уровень требований безопасности будет сохранен, а любые изменения будут соответствующим образом управляться и доводиться до сведения.
  5. Планирование верификации и валидации: Эффективное управление требованиями помогает планировать действия по проверке и валидации на основе требований безопасности, указанных в ISO 61508. Оно помогает определить необходимые тесты, тестовые случаи и критерии приемки, полученные из требований безопасности. Устанавливая четкую взаимосвязь между требованиями и действиями по проверке, управление требованиями обеспечивает тщательное тестирование и проверку требований безопасности в соответствии с требованиями ISO 61508.
  1. Разработка обоснования безопасности: В ISO 61508 особое внимание уделяется разработке обоснования безопасности, которое представляет собой структурированный аргумент, подкрепленный доказательствами, демонстрирующий, что требования безопасности были адекватно учтены. Управление требованиями играет решающую роль в обеспечении необходимой документации, прослеживаемости и доказательств для поддержки разработки обоснования безопасности, обеспечивая его соответствие требованиям и целям, указанным в стандарте.
  2. Аудит и соответствие: ISO 61508 требует от организаций демонстрации соответствия требованиям стандарта. Эффективное управление требованиями гарантирует, что требования безопасности хорошо документированы, должным образом управляются и отслеживаются на протяжении всего процесса разработки. Эта документация и прослеживаемость обеспечивают проверяемое свидетельство соответствия, поддерживающее внешние аудиты и оценки.

Управление требованиями и стандарты авионики

Управление требованиями играет решающую роль в соблюдении стандартов авионики, таких как ARP 4754 и DO-178. Давайте рассмотрим важность управления требованиями в каждом из этих стандартов:

ARP 4754 (Руководство по разработке гражданских самолетов и систем):

ARP 4754 содержит руководство по разработке гражданских самолетов и систем, включая требования к оценке безопасности и сертификации. Вот как управление требованиями необходимо для соответствия ARP 4754:

  1. Сбор требований и отслеживание: Эффективное управление требованиями гарантирует, что все применимые требования, включая функциональные требования, требования к производительности и безопасности, зафиксированы, задокументированы и должным образом связаны с соответствующими элементами проекта и действиями по проверке. Эта прослеживаемость позволяет четко понять, как каждое требование удовлетворяется на протяжении всего процесса разработки.
  2. Оценка и анализ безопасности: ARP 4754 требует выявления и анализа потенциальных опасностей и разработки требований безопасности для снижения этих опасностей. Управление требованиями облегчает анализ требований, связанных с безопасностью, их связь с выявленными опасностями и формулирование соответствующих мер безопасности. Это помогает гарантировать, что требования безопасности должным образом учитывают выявленные опасности и что их эффективность оценивается во время оценки безопасности.
  3. Управление изменениями и контроль конфигурации: Управление требованиями поддерживает управление изменениями требований, что имеет решающее значение для соответствия ARP 4754. Это позволяет оценивать, документировать и контролировать изменения, чтобы обеспечить надлежащее управление критически важными для безопасности требованиями и соответствующими элементами конструкции. Управление конфигурацией гарантирует, что базовый уровень требований поддерживается на протяжении всего процесса разработки, обеспечивая прослеживаемость и сохраняя целостность конструкции системы.
  4. Планирование верификации и валидации: Эффективное управление требованиями помогает планировать действия по проверке и валидации в соответствии с требованиями ARP 4754. Он помогает определить необходимые тесты, тестовые примеры и критерии приемки на основе требований. Устанавливая прослеживаемость между требованиями и действиями по проверке, управление требованиями гарантирует, что все требования должным образом проверены и проверены, поддерживая общие цели безопасности и сертификации.
  5. Сертификационная документация: ARP 4754 требует исчерпывающей документации для поддержки процесса сертификации. Управление требованиями обеспечивает надлежащее документирование всех требований вместе с их обоснованием, доказательствами проверки и историей изменений. Эта документация предоставляет проверяемые доказательства соответствия, облегчая процесс сертификации и проверки регулирующими органами.

DO-178 (Программное обеспечение при сертификации бортовых систем и оборудования):

DO-178 — это стандарт, который содержит рекомендации по разработке бортового программного обеспечения. Основное внимание уделяется программным аспектам систем авионики. Вот почему управление требованиями имеет решающее значение для соответствия DO-178:

  1. Анализ и распределение требований: Управление требованиями облегчает анализ и сопоставление системных требований высокого уровня с требованиями к программному обеспечению. Это гарантирует, что требования к программному обеспечению правильно сформулированы, зафиксированы и задокументированы в соответствии с общими целями системы.
  2. Отслеживаемость и анализ воздействия: DO-178 требует прослеживаемости между требованиями к программному обеспечению, артефактами проектирования, действиями по проверке и тестовыми примерами. Управление требованиями позволяет установить каналы прослеживаемости, гарантируя, что каждое требование к программному обеспечению удовлетворяется соответствующими элементами дизайна, а также планирование и выполнение необходимых действий по проверке. Эта прослеживаемость позволяет проводить анализ воздействия, управление изменениями и эффективное отслеживание решений, связанных с программным обеспечением.
  3. Управление изменениями и контроль конфигурации: Управление требованиями помогает управлять изменениями в требованиях к программному обеспечению. Это гарантирует, что изменения должным образом оцениваются, документируются и сообщаются, а их влияние на разработку и проверку программного обеспечения эффективно управляется. Управление конфигурацией гарантирует, что базовый уровень требований к программному обеспечению поддерживается, поддерживая прослеживаемость и сохраняя целостность программного обеспечения на протяжении всего процесса разработки.
  4. Планирование верификации и валидации: Эффективное управление требованиями помогает планировать действия по проверке и валидации на основе требований к программному обеспечению, указанных в DO-178. Он помогает определить необходимые тесты, тестовые примеры и критерии приемлемости, полученные на основе требований к программному обеспечению. Устанавливая прослеживаемость между требованиями и действиями по проверке, управление требованиями обеспечивает тщательное тестирование и проверку требований к программному обеспечению в соответствии с требованиями DO-178. Он поддерживает разработку комплексного плана проверки и валидации, учитывающего все требования к программному обеспечению.
  1. Тестирование на основе требований: DO-178 подчеркивает важность тестирования на основе требований, когда каждое требование прослеживается до одного или нескольких тестовых случаев. Управление требованиями позволяет установить прослеживаемость между требованиями к программному обеспечению и соответствующими тестовыми примерами. Это гарантирует, что все требования должным образом протестированы, а покрытие тестами соответствует заданным требованиям к программному обеспечению.
  2. Сертификационная документация: DO-178 требует обширной документации для поддержки процесса сертификации программного обеспечения. Управление требованиями гарантирует, что все требования к программному обеспечению, а также связанное с ними обоснование, свидетельства проверки и история изменений должным образом задокументированы. Эта документация предоставляет проверяемые доказательства соответствия и поддерживает действия по сертификации, такие как аудиты и обзоры.
  3. Квалификация инструмента: DO-178 также касается квалификации инструментов, используемых в процессе разработки. Управление требованиями играет роль в квалификации инструментов, гарантируя, что инструменты, используемые для управления требованиями и прослеживаемости, соответствуют соответствующим целям квалификации инструментов, определенным в DO-178. Это включает в себя проверку того, что инструменты точно фиксируют, управляют и отслеживают требования на протяжении всего жизненного цикла разработки.

Относительная стоимость исправления ошибки в требованиях

Стоимость исправления ошибки в требованиях может варьироваться в зависимости от различных факторов. Вот некоторые факторы, которые могут повлиять на относительную стоимость:

  1. Стадия проекта: Затраты на исправление ошибки в требованиях могут быть значительно ниже, если ошибка выявляется и исправляется на ранних этапах жизненного цикла проекта, например, на этапе сбора и анализа требований. С другой стороны, если ошибка обнаруживается на более поздних этапах разработки или после того, как продукт был внедрен, стоимость ее исправления может быть намного выше, поскольку может потребоваться доработка, изменение конструкции или даже отзыв продукта.
  2. Величина ошибки: Серьезность и последствия ошибки требований также влияют на стоимость ее исправления. Незначительные ошибки или несоответствия могут быть относительно легко и недорого исправлены, в то время как устранение серьезных ошибок, влияющих на важные функции или требования безопасности, может быть значительно более дорогостоящим.
  3. Воздействие на последующие виды деятельности: Ошибки в требованиях могут оказать влияние на последующую деятельность по разработке. Если ошибка распространяется на этапах проектирования, кодирования и тестирования, это может привести к значительным доработкам и задержкам, что приведет к увеличению затрат. Кроме того, если ошибка остается незамеченной до более поздних этапов проекта, может потребоваться модификация существующих компонентов, интерфейсов или архитектуры системы, что еще больше увеличивает стоимость исправления.
  4. Процесс обнаружения и исправления: Стоимость исправления ошибки требований зависит от эффективности и действенности процесса обнаружения и исправления. Если ошибка выявляется в результате тщательных анализов, инспекций или действий по проверке, ее можно устранить раньше, что снизит затраты. И наоборот, если ошибка остается незамеченной до тех пор, пока она не вызовет проблемы в полевых условиях, стоимость ее устранения может быть намного выше, что может включать поддержку клиентов, отзыв продукции или юридические последствия.
  5. Организационные процессы и культура: Зрелость процессов управления требованиями организации и ее культура в отношении качества и предотвращения ошибок также играют роль. Организации с надежными методами управления требованиями, включая экспертную оценку, контроль качества и отслеживаемость, с большей вероятностью выявляют и исправляют ошибки на раннем этапе, сводя к минимуму связанные с этим затраты.
Решение для управления требованиями

Стоит отметить, что предотвращение ошибок в требованиях в первую очередь за счет эффективного управления требованиями, взаимодействия с заинтересованными сторонами и мероприятий по проверке, как правило, более рентабельно, чем исправление ошибок после того, как они распространились на последующие этапы разработки или производства. Инвестирование в тщательный анализ требований, обзоры и процессы проверки могут помочь выявить и устранить ошибки на раннем этапе, снизив общую стоимость и влияние на проект.

Встроенные стандарты безопасности

Встроенные стандарты безопасности и защиты играют решающую роль в обеспечении надежной и безопасной работы встроенных систем. Эти стандарты содержат рекомендации и требования для разработки, внедрения и проверки критически важных с точки зрения безопасности и защищенных встраиваемых систем. Придерживаясь этих стандартов, организации могут снижать риски, повышать безопасность системы и защищаться от угроз безопасности. Давайте рассмотрим встроенные стандарты безопасности и защиты более подробно:

Встроенные стандарты безопасности

Встроенные стандарты безопасности играют решающую роль в обеспечении безопасной работы встроенных систем в различных отраслях промышленности. Вот некоторые ключевые встроенные стандарты безопасности в различных областях:

Управление тестами

Аэрокосмическая промышленность (ECSS):

Стандарты ECSS (Европейское сотрудничество по космической стандартизации) широко используются в аэрокосмической отрасли. Они охватывают различные аспекты безопасности и надежности космических систем. Например, ECSS-Q-ST-30C ориентирован на управление безопасностью и обеспечением качества продукции, а ECSS-E-ST-40C отвечает требованиям системной инженерии.

Авионика (ДО-178С, ДО-254, ДО-278, ДО-160):

Стандарты авионики имеют решающее значение для разработки критически важного для безопасности программного и аппаратного обеспечения в авиационной отрасли.

  • DO-178C (Вопросы программного обеспечения при сертификации бортовых систем и оборудования) содержит рекомендации по разработке бортового программного обеспечения, включая процессы проверки и проверки.
  • DO-254 (Руководство по обеспечению проектирования бортового электронного оборудования) посвящен разработке и сертификации бортового электронного оборудования, включая интегральные схемы, ПЛИС и другие электронные компоненты.
  • DO-278 (обеспечение целостности программного обеспечения) касается программных аспектов систем управления воздушным движением, включая требования к разработке и проверке программного обеспечения.
  • DO-160 (Условия окружающей среды и процедуры испытаний бортового оборудования) определяет требования к испытаниям бортового оборудования в условиях окружающей среды, обеспечивая их устойчивость к факторам окружающей среды.

Автомобильная промышленность (ИСО 26262):

ISO 26262 — широко признанный стандарт функциональной безопасности в автомобильной промышленности. Он содержит рекомендации по разработке связанных с безопасностью электрических и электронных систем в транспортных средствах. ISO 26262 охватывает весь жизненный цикл разработки автомобилей, включая анализ опасностей, оценку рисков и требования безопасности.

Промышленная автоматизация (МЭК 61508):

IEC 61508 — это общий стандарт функциональной безопасности электрических, электронных и программируемых электронных систем в различных отраслях, включая промышленную автоматизацию. Он обеспечивает основу для управления функциональной безопасностью на протяжении всего жизненного цикла системы, включая идентификацию опасностей, оценку рисков и уровни полноты безопасности (SIL).

Медицинские устройства (МЭК 13485, МЭК 60601-1, МЭК 62304/82304):

Медицинские устройства требуют соблюдения определенных стандартов безопасности для обеспечения безопасности пациентов и соблюдения нормативных требований.

  • IEC 13485 — это стандарт системы управления качеством медицинских изделий. Он содержит рекомендации по проектированию, разработке, производству и последующему производству медицинских устройств.
  • IEC 60601-1 — это стандарт безопасности и основных характеристик медицинского электрического оборудования. В нем рассматриваются требования к электрической и механической безопасности для медицинских устройств.
  • IEC 62304 и IEC 82304 — это стандарты, специально ориентированные на программное обеспечение в медицинских устройствах. Они предоставляют руководство по процессам жизненного цикла программного обеспечения, включая требования, проектирование, внедрение, тестирование и обслуживание.

Железные дороги (EN 50126/8/9, EN 50657):

Железнодорожные системы требуют соблюдения стандартов безопасности, характерных для отрасли.

  • EN 50126, EN 50128 и EN 50129 образуют набор стандартов для железнодорожного сектора. EN 50126 охватывает весь жизненный цикл системы, EN 50128 посвящен программному обеспечению, а EN 50129 касается требований безопасности для систем сигнализации.
  • EN 50657 содержит рекомендации по функциональной безопасности электрических и электронных систем, используемых на железных дорогах.

Эти стандарты помогают обеспечить безопасность и надежность встроенных систем в соответствующих отраслях, предоставляя рекомендации и требования для процессов разработки, проверки и сертификации. Соблюдение этих стандартов необходимо для соблюдения отраслевых требований безопасности и обеспечения безопасной работы встроенных систем.

Встроенные стандарты безопасности:

Стандарты безопасности встроенных систем играют решающую роль в обеспечении безопасности и устойчивости встроенных систем к потенциальным угрозам и уязвимостям. Эти стандарты содержат рекомендации и рекомендации по внедрению надежных мер безопасности при разработке, развертывании и обслуживании встроенных систем. Давайте рассмотрим некоторые ключевые встроенные стандарты безопасности в разных областях:

Управление требованиями и встроенные стандарты

Авионика (DO-326A):

DO-326A — это стандарт, который фокусируется на аспектах безопасности летной годности авиационных систем и компонентов. Он содержит руководство по разработке программы безопасности, проведению оценок безопасности и внедрению мер безопасности в системах авионики. DO-326A дополняет стандарты безопасности, такие как DO-178C и DO-254 в авиационной отрасли.

Автомобильная промышленность (ИСО-21434):

ISO-21434 — это недавно выпущенный стандарт, касающийся кибербезопасности в автомобильной промышленности. В нем содержатся рекомендации и требования по внедрению процессов кибербезопасности на протяжении всего жизненного цикла автомобильной продукции, включая оценку рисков, анализ угроз, требования безопасности и проверку. ISO-21434 направлен на повышение устойчивости автомобильных систем к киберугрозам и защиту целостности и безопасности транспортных средств.

Промышленная автоматизация (IEC-62443 — ISA Secure):

IEC-62443, также известный как ISA Secure, представляет собой обширную серию стандартов, специально разработанных для безопасности систем промышленной автоматизации и управления (IACS). Он охватывает различные аспекты безопасности IACS, включая сетевую архитектуру, управление безопасностью, укрепление системы, методы безопасного кодирования и реагирование на инциденты. IEC-62443 обеспечивает системный подход к защите промышленных систем от киберугроз и обеспечению их доступности, целостности и конфиденциальности.

Общий продукт (ISO-15408 — общие критерии):

ISO-15408, также известный как Common Criteria (CC), представляет собой международный стандарт для оценки и сертификации безопасности продуктов информационных технологий, включая встроенные системы. Он обеспечивает основу для оценки характеристик и функций безопасности продуктов на основе предварительно определенных требований безопасности. Общие критерии позволяют организациям оценивать и сравнивать возможности безопасности различных продуктов, гарантируя, что они соответствуют конкретным целям безопасности.

ИТ (ИСО-27001/х):

ISO-27001 — это широко принятый стандарт для систем управления информационной безопасностью (ISMS). Хотя это и не относится к встроенным системам, оно обеспечивает комплексную основу для управления рисками безопасности в организациях, включая защиту встроенных систем. ISO-27001 включает в себя набор средств контроля и лучших практик для внедрения эффективной системы управления информационной безопасностью.

ISO-27001 дополняется другими стандартами серии ISO/IEC 27000, такими как ISO-27002, в котором содержатся рекомендации по реализации определенных мер безопасности. Эти стандарты можно использовать при разработке и развертывании защищенных встроенных систем.

Эти встроенные стандарты безопасности играют жизненно важную роль, помогая организациям внедрять меры безопасности, оценку рисков и средства контроля для защиты встроенных систем от потенциальных угроз. Соответствие этим стандартам помогает обеспечить конфиденциальность, целостность и доступность встроенных систем, защищая их от нарушений безопасности и несанкционированного доступа.

Кибербезопасность для авионики и автомобилей, анализ рисков и отслеживание

Кибербезопасность для авионики и автомобилестроения:

Кибербезопасность имеет первостепенное значение в авионике и автомобильной промышленности из-за растущей сложности и возможности подключения встроенных систем. Авионика и автомобильные системы становятся все более взаимосвязанными, объединяя такие функции, как беспроводная связь, информационно-развлекательные системы и усовершенствованные системы помощи водителю (ADAS). Такое подключение подвергает эти системы потенциальным угрозам кибербезопасности, включая несанкционированный доступ, утечку данных и злонамеренные атаки.

Для обеспечения кибербезопасности в авионике и автомобильных системах были разработаны отраслевые стандарты и структуры, такие как DO-326A для авионики и ISO-21434 для автомобилей. Эти стандарты содержат руководство по проведению оценки рисков, определению требований безопасности, внедрению мер безопасности и установлению процессов для безопасной разработки и обслуживания встроенных систем.

Анализ риска:

Анализ рисков является фундаментальным аспектом кибербезопасности. Он включает в себя выявление потенциальных рисков и уязвимостей, оценку их вероятности и воздействия, а также определение их приоритетности для смягчения последствий. В контексте авионики и автомобильных систем анализ рисков помогает выявить потенциальные угрозы кибербезопасности и их потенциальное влияние на безопасность системы, функциональность и конфиденциальность пользователей.

Процесс анализа рисков обычно включает следующие этапы:

  1. Идентификация угрозы: Выявление потенциальных угроз и уязвимостей, которые могут быть использованы для нарушения безопасности системы. Это включает рассмотрение как внутренних, так и внешних угроз, таких как вредоносные атаки, уязвимости программного обеспечения и физическое вмешательство.
  2. Оценка уязвимости: Оценка уязвимостей и слабых мест системы, которые могут быть использованы выявленными угрозами. Это включает в себя оценку состояния безопасности системы, включая программное обеспечение, оборудование, сеть и коммуникационные интерфейсы.
  3. Оценка вероятности: Оценка вероятности возникновения каждой выявленной угрозы. Это включает в себя рассмотрение таких факторов, как подверженность системы потенциальным угрозам, изощренность потенциальных злоумышленников, а также исторические данные или тенденции.
  4. Анализ воздействия: Анализ потенциальных последствий и влияния успешных атак или нарушений безопасности на систему, включая риски безопасности, финансовые потери, ущерб для репутации и проблемы с конфиденциальностью пользователей.
  5. Приоритизация рисков: Приоритизация рисков на основе их вероятности и воздействия для определения критических областей, требующих немедленного внимания и усилий по смягчению последствий.

прослеживаемости:

Отслеживаемость необходима для обеспечения безопасности и целостности авионики и автомобильных систем. Это относится к способности отслеживать и документировать отношения и зависимости между различными элементами системы, включая требования, артефакты проектирования, код реализации и тестовые примеры. Отслеживаемость обеспечивает прозрачное представление о том, как требования безопасности реализуются на протяжении всего жизненного цикла разработки системы.

В контексте кибербезопасности прослеживаемость помогает:

  1. Отслеживаемость требований: Связывание требований безопасности с системными требованиями более высокого уровня и проектными спецификациями для обеспечения правильного определения и реализации мер безопасности.
  2. Отслеживаемость дизайна: Отслеживание функций безопасности и элементов управления от этапа проектирования до этапа внедрения, чтобы убедиться, что система построена в соответствии с определенными требованиями безопасности.
  3. Тестирование прослеживаемости: Установление прослеживаемости между тестовыми примерами безопасности и соответствующими требованиями безопасности и элементами дизайна для проверки эффективности мер безопасности и обеспечения всестороннего охвата тестированием.

Прослеживаемость помогает выявить потенциальные пробелы, несоответствия или отсутствующие меры безопасности в процессе разработки системы. Это также облегчает аудит, оценку уязвимости и будущие обновления или модификации системы, обеспечивая четкое понимание реализованных мер безопасности.

Определение требований кибербезопасности

ДО-326А

DO-326A, «Спецификация процесса обеспечения летной годности», содержит рекомендации по обеспечению кибербезопасности в системах авионики. Хотя в DO-326A основное внимание уделяется аспекту летной годности, в нем содержатся рекомендации по определению требований кибербезопасности для систем авионики. В стандарте подчеркивается важность проведения оценки рисков, определения целей безопасности и разработки плана обеспечения безопасности, включающего конкретные требования безопасности.

Основной задачей DO-326A является обеспечение безопасности систем самолета от киберугроз. Он признает, что авиационные системы становятся все более взаимосвязанными и уязвимыми для кибератак, которые могут поставить под угрозу безопасность, целостность и доступность самолетов.

DO-326A предлагает следующие соображения при определении требований кибербезопасности:

  1. Выявление критически важных активов и компонентов системы, которые нуждаются в защите от угроз кибербезопасности.
  2. Установление целей безопасности и уровней терпимости к риску.
  3. Определение требований безопасности, связанных с безопасной связью, контролем доступа, безопасностью программного обеспечения и методами безопасной разработки.
  4. Включение средств контроля безопасности, направленных на устранение конкретных рисков, выявленных в процессе оценки рисков.
  5. Обеспечение совместимости и функциональной совместимости мер кибербезопасности с существующими системами и архитектурами самолетов.
  6. Обеспечение прослеживаемости между требованиями кибербезопасности и другими артефактами системы.

DO-326A подчеркивает важность адаптации требований к кибербезопасности с учетом характеристик системы, условий эксплуатации и потенциальных угроз. Он призывает организации применять системный подход к определению и внедрению требований кибербезопасности в соответствии с другими соответствующими стандартами и передовым опытом.

стандартами качества ISO 21434

ISO 21434 — это международный стандарт «Дорожные транспортные средства — техника кибербезопасности». Он содержит рекомендации и требования по управлению рисками кибербезопасности в автомобильной промышленности. Стандарт направлен на обеспечение безопасности и устойчивости автомобильных систем к киберугрозам на протяжении всего их жизненного цикла.

ISO 21434 признает растущую связь и сложность автомобильных систем, включая усовершенствованные системы помощи водителю (ADAS), информационно-развлекательные системы и связь между транспортными средствами. Эти достижения создают новые проблемы и риски в области кибербезопасности, которые необходимо решать для защиты целостности, безопасности и конфиденциальности транспортных средств и их пассажиров.

Когда дело доходит до определения требований к кибербезопасности, ISO 21434 предлагает ценные рекомендации и соображения:

  1. Оценка рисков: В ISO 21434 особое внимание уделяется проведению всесторонней оценки рисков для выявления потенциальных угроз кибербезопасности и уязвимостей, характерных для автомобильных систем. Это включает в себя рассмотрение потенциального воздействия на безопасность, конфиденциальность и функциональность системы.
  2. Цели безопасности: В стандарте делается упор на определение четких и измеримых целей безопасности на основе выявленных рисков и устойчивости организации к рискам. Эти цели должны соответствовать желаемому уровню защиты и конкретным требованиям автомобильной системы.
  3. Требования безопасности: ISO 21434 помогает организациям определять конкретные требования безопасности для автомобильных систем. Эти требования охватывают различные аспекты, такие как безопасные протоколы связи, безопасные методы разработки программного обеспечения, механизмы контроля доступа, криптография, обнаружение вторжений и реагирование на инциденты.
  4. Безопасность по дизайну: ISO 21434 способствует интеграции соображений безопасности на протяжении всего жизненного цикла разработки в соответствии с подходом «безопасность по замыслу». Это включает в себя рассмотрение аспектов безопасности при архитектуре системы, выборе компонентов, процессах разработки и интерфейсах.
  5. Соблюдение требований и аудит: ISO 21434 подчеркивает важность соблюдения соответствующих правил и стандартов. Он побуждает организации определять требования к кибербезопасности, соответствующие отраслевым стандартам и передовым практикам. Стандарт также подчеркивает необходимость процессов аудита и проверки для обеспечения соответствия установленным требованиям.
  6. Сотрудничество и обмен информацией: ISO 21434 поощряет сотрудничество и обмен информацией между заинтересованными сторонами, участвующими в разработке, производстве и обслуживании автомобильных систем. Это способствует целостному подходу к кибербезопасности и позволяет обмениваться знаниями и передовым опытом.

Следуя рекомендациям стандарта ISO 21434, организации автомобильной промышленности могут определить надежные требования к кибербезопасности, которые учитывают уникальные проблемы и риски, связанные с автомобильными системами. Эти требования служат основой для разработки, внедрения и проверки эффективности мер кибербезопасности в автомобильных системах, помогая повысить общий уровень безопасности и отказоустойчивость транспортных средств.

Платформа ALM для требований Visure

Благодаря своим сложным инструментам Visure Solutions позволяет компаниям быстро разрабатывать более качественные продукты/услуги, сохраняя при этом контроль и соблюдая все нормативные требования. Это также помогает организациям сократить время выхода на рынок, улучшить стандарты качества, повысить операционную эффективность и эффективно сократить время выхода на рынок. Кроме того, он предлагает ряд отраслевых решений для таких отраслей, как автомобильная, аэрокосмическая и оборонная, телекоммуникации и электроника, медицинские технологии, энергетика и коммунальные услуги, а также финансы. Это позволяет компаниям легко получить доступ к необходимым им знаниям без необходимости вкладывать средства в дополнительные ресурсы или обучение персонала. Visure Solutions — идеальный инструмент, помогающий предприятиям максимально эффективно использовать жизненный цикл своих продуктов и услуг.

Автоматизированный контрольный список Visure позволяет легко управлять соответствием без ручного труда, отслеживать все, чтобы вы могли сосредоточиться на том, что важно. Таким образом, вы можете основывать свой дизайн и улучшать процесс проверки на этих контрольных списках, которые, как известно, более надежны.

Другими словами, используя наш продукт, вы сможете повысить производительность и согласованность между членами команды. Это достигается с помощью таких функций, как сквозная прослеживаемость, повторное использование требований для разных проектов и измерение качества требований с помощью ИИ — все автоматически.

В Visure мы также понимаем, насколько сложно энергетическим технологическим организациям идти в ногу с цифровым веком, используя при этом устаревшие инструменты. Вот почему мы сделали своим приоритетом включение функций простого импорта и экспорта из устаревших инструментов, таких как IBM DOOR, а также функцию простой миграции.

Кроме того, с Visure вы можете использовать лучшие функции импорта и экспорта из MS Office Word и Excel. Вы также можете способствовать сотрудничеству по всей цепочке поставок, используя ReqIF для обмена данными — международный стандарт.

Получив доступ к этим функциям и интеграции с отраслевыми решениями высшего уровня, вы можете сэкономить время, избегая необходимости вручную перерабатывать требования посредством многочисленных двусторонних взаимодействий. Этот процесс без потерь и без дубликатов. С нашей платформой вы можете убедиться, что все требования соблюдены, откуда бы они ни исходили.

Visure также помогает упростить процесс создания сложных и высококачественных продуктов в нефтегазовой отрасли с проверенными и подтвержденными требованиями, чтобы помочь вам соответствовать применимым нормативным требованиям, сочетая анализ риска и управление требованиями в одном решении.

Использование анализа видов и последствий отказов (FMEA) позволяет точно оценить риск, связанный с показателями FMEA. После того как вы определите риски с помощью инструментов анализа рисков, вы можете импортировать результаты в Visure и связать требования с высоким риском с ними.

Эта платформа помогает организациям экономить время и деньги, а также обеспечивает соответствие их проектов отраслевым стандартам. Он предоставляет полный набор функций, позволяющих командам быстро отслеживать и отслеживать изменения в процессе разработки. Кроме того, это помогает обеспечить соответствие регулирующим органам и стандартам, позволяя нефтегазовым компаниям оставаться конкурентоспособными на современном рынке. Платформа ALM для требований Visure — бесценный инструмент для любой организации, стремящейся оптимизировать процессы и обеспечить выполнение всех требований проекта.

Не забудьте поделиться этим постом!

Программное обеспечение IBM Rational Doors
Инструмент управления жизненным циклом приложений

Смотреть Visure в действии

Заполните форму ниже, чтобы получить доступ к демо-версии