Electronic of Tomorrow (EOT) 2023, Данія

Denmark Травень 9, 2023 9:00 CEST Платна

Зміст

Управління вимогами Розмір і тенденції ринку кібербезпеки

Наприкінці 2021 року глобальний ринок кібербезпеки з управління вимогами зростав постійними темпами. Згідно зі звітом MarketsandMarkets, розмір ринку оцінювався в 5.8 мільярда доларів США в 2020 році та, як очікується, зросте до 11.8 мільярда доларів США до 2025 року при середньорічному темпі зростання (CAGR) 15.3% протягом прогнозованого періоду.

У звіті наведено кілька факторів, що сприяють зростанню ринку кібербезпеки з управління вимогами, зокрема зростаючий попит на рішення безпеки через зростання кількості кібератак, зростання впровадження хмарних рішень і все більше використання Інтернету речей. Політики (IoT) і Bring Your Own Device (BYOD). Крім того, у звіті зазначається, що зростаюче впровадження технологій штучного інтелекту (AI) і машинного навчання (ML) для кібербезпеки також сприяє зростанню ринку.

Що стосується тенденцій, у звіті підкреслюється, що зростає увага до інтеграції вимог кібербезпеки в життєвий цикл розробки програмного забезпечення (SDLC), а також потреби організацій у забезпеченні дотримання галузевих стандартів і правил. У звіті також зазначено, що існує тенденція до використання автоматизованих інструментів для управління вимогами та кібербезпеки, оскільки ці інструменти можуть допомогти організаціям заощадити час і зменшити кількість помилок.

Електроніка завтра

Команда Електроніка завтра Торговий ярмарок демонструє новітні технології та тенденції в галузі електроніки з акцентом на вбудовані системи, розробку програмного забезпечення та кібербезпеку. Подія приваблює експонентів і відвідувачів з усього світу та надає професіоналам галузі можливість спілкуватися, обмінюватися ідеями та дізнаватися про нові продукти та технології.

Електроніка завтра

Ярмарок зазвичай включає різноманітні виставки, семінари та майстер-класи, які охоплюють такі теми, як Інтернет речей (IoT), штучний інтелект (AI), машинне навчання (ML), робототехніка, автоматизація тощо. Крім того, подія пропонує учасникам можливість поспілкуватися з експертами в галузі, відвідати демонстрації продуктів і взяти участь у практичних заходах.

Visure Solutions на EOT 2023, Данія

Зі швидким розвитком технологій у галузях кібербезпека стала надзвичайно важливою необхідністю для захисту активів організації від зловмисних атак. Щоб забезпечити відповідність галузевим стандартам і нормам, водночас захищаючи від потенційних вразливостей безпеки, керування вимогами має важливе значення. Це допомагає організаціям економити час і гроші, надаючи безпечні та сумісні програмні продукти.

Ефективне управління вимогами має вирішальне значення для будь-якої організації, яка прагне забезпечити безпеку та відповідність своїх продуктів або послуг. У специфікаціях вимог до програмного забезпечення необхідно включити вимоги до кібербезпеки для вирішення питань автентифікації, авторизації, цілісності даних і контролю доступу. Роблячи це, організації можуть уникнути дорогих помилок, спричинених недостатньою увагою до деталей щодо найкращих практик безпеки.

Кібербезпека є основною проблемою для вбудованих систем, охоплюючи всі технології та операції, що використовуються для захисту пристроїв, їхніх платформ і мереж від кібератак або злому. Команди розробників вбудованих систем уже знають багато концепцій і методів пом’якшення ризиків безпеці, таких як правила кодування, спеціальна RTOS, методи криптографії, статичний і динамічний аналіз тощо. Однак одним аспектом, який часто забувають, є управління вимогами та відстеження.

Незважаючи на те, що стандарти безпеки, такі як IEC 62443 / ISA Secure, вимагають керування та відстеження вимог безпеки протягом життєвого циклу розробки та тестування, багато інженерів не знають, як ефективно відповідати цим вимогам і які типи перевірок і процесів застосовуються до керування вимогами. 

Таким чином, Мікаель Мартінс, керівник європейських продажів Visure, виступив із детальною презентацією «Як писати та керувати вимогами до вбудованих проектів кібербезпеки» на Electronics of Tomorrow 2023 у Данії. 

Чому керування вимогами є таким важливим у вбудованих стандартах безпеки та безпеки

Управління вимогами є особливо важливим у контексті вбудованих стандартів безпеки через критичний характер задіяних систем. Ось чому:

  1. Відповідність стандартам: Вбудовані стандарти безпеки, такі як ISO 26262 для автомобільних систем або IEC 61508 для промислових систем керування, визначають суворі вимоги щодо забезпечення безпеки та безпеки цих систем. Управління вимогами допомагає фіксувати, документувати та керувати цими вимогами, що стосуються стандартів, забезпечуючи відповідність протягом усього життєвого циклу розробки.
  2. Виявлення та пом'якшення ризиків: Вбудовані стандарти безпеки вимагають глибокого розуміння потенційних ризиків і стратегій їх зменшення. Управління вимогами допомагає ідентифікувати та оцінювати ризики безпеки та безпеки, дозволяючи розробити відповідні вимоги для усунення цих ризиків. Це також дає змогу відстежувати ризики, вимоги та впроваджені рішення, забезпечуючи належне впровадження заходів безпеки та безпеки.
  3. Відстеження та підзвітність: Критично важливі для безпеки системи вимагають відстеження та звітності для кожної вимоги. Управління вимогами гарантує належне відстеження вимог безпеки та захисту від їх походження до етапів проектування, реалізації та тестування. Ця відстежуваність допомагає продемонструвати відповідність стандартам, полегшує керування змінами та забезпечує ефективний аналіз впливу, коли потрібні модифікації чи оновлення.
  4. Перевірка та підтвердження: Вбудовані стандарти безпеки та безпеки вимагають широких процесів перевірки та валідації, щоб забезпечити відповідність систем визначеним вимогам. Управління вимогами підтримує планування та виконання цих заходів, надаючи чіткі вимоги, які можна перевірити, сприяючи ідентифікації відповідних методів верифікації та валідації та створюючи можливість відстеження між тестами та вимогами.
  5. Управління змінами: Стандарти безпеки та безпеки часто оновлюються та переглядаються, щоб усунути нові загрози та досягнення галузі. Ефективне управління вимогами дозволяє організаціям адаптуватися до цих змін шляхом ефективного включення нових вимог, оновлення існуючих вимог і управління впливом на процес розробки. Це гарантує, що аспекти безпеки та захисту вбудованих систем залишаються сучасними та відповідають стандартам, що розвиваються.
  6. Документація та чутність: Вбудовані стандарти безпеки та безпеки часто вимагають повної документації для демонстрації відповідності. Управління вимогами гарантує, що всі вимоги разом із пов’язаним з ними обґрунтуванням, доказами перевірки та перевірки та історією змін належним чином задокументовані. Ця документація підтримує перевірки, оцінки та дотримання нормативних вимог, надаючи докази належної обачності та дотримання стандартів безпеки та безпеки.

У сфері вбудованих стандартів безпеки та захисту ефективне керування вимогами має вирішальне значення для забезпечення відповідності, зниження ризиків, підтримки відстеження, підтримки верифікації та валідації, керування змінами та надання документації, що підлягає перевірці. Він відіграє важливу роль у розробці та підтримці надійних, безпечних і захищених вбудованих систем.

Управління вимогами та вбудовані стандарти

Управління вимогами є дуже важливим, коли мова йде про вбудовані стандарти безпеки та безпеки, такі як ISO 26262 та ISO 61508. Давайте дослідимо значення управління вимогами в кожному з цих стандартів:

ISO 26262 (Функціональна безпека для автомобільних систем):

ISO 26262 — це міжнародний стандарт функціональної безпеки в автомобільних системах. Він окреслює вимоги щодо забезпечення безпеки електричних та електронних систем транспортних засобів. Ось чому управління вимогами має вирішальне значення для відповідності ISO 26262:

  1. Захоплення та управління вимогами безпеки: Керування вимогами дозволяє ідентифікувати, документувати та керувати вимогами безпеки, специфічними для автомобільних систем. Це гарантує, що вимоги, пов’язані з безпекою, належним чином фіксуються, аналізуються та документуються для керівництва процесом розробки.
  2. Відстеження та аналіз впливу: ISO 26262 вимагає простежуваності між вимогами безпеки, елементами системи та діяльністю з перевірки. Управління вимогами полегшує відстеження шляхом встановлення чітких зв’язків між вимогами безпеки, елементами дизайну, артефактами впровадження та результатами перевірки. Ця відстежуваність дає змогу аналізувати вплив, керувати змінами та ефективно відстежувати рішення, пов’язані з безпекою, протягом життєвого циклу розробки.
  3. Оцінка та зменшення ризиків: ISO 26262 вимагає визначення, оцінки та зменшення ризиків безпеки в автомобільних системах. Управління вимогами підтримує аналіз потенційних ризиків, їх зв’язок із вимогами безпеки та формулювання відповідних заходів із зменшення ризиків. Він гарантує, що вимоги безпеки стосуються визначених ризиків і що їх ефективність оцінюється в процесі розробки.
  4. Планування перевірки та підтвердження: Ефективне управління вимогами допомагає у плануванні перевірки та валідації відповідно до вимог ISO 26262. Це допомагає визначити необхідні випробування, тестові випадки та критерії прийнятності на основі вимог безпеки. Встановлюючи чіткий зв’язок між вимогами та діяльністю з верифікації, управління вимогами гарантує, що вимоги безпеки належним чином перевірені та підтверджені.
  5. Управління змінами та контроль конфігурації: Управління вимогами відіграє вирішальну роль в управлінні змінами та збереженні контролю конфігурації, що є життєво важливими аспектами відповідності ISO 26262. Це гарантує, що зміни до вимог безпеки належним чином оцінюються, документуються та повідомляються. Крім того, це допомагає підтримувати цілісність базових вимог і керувати контролем версій протягом усього процесу розробки.

ISO 61508 (Функціональна безпека електричних/електронних/програмованих електронних систем безпеки):

ISO 61508 — це стандарт, який стосується функціональної безпеки в різних галузях промисловості, включаючи промислові системи керування. Ось чому управління вимогами є важливим для відповідності ISO 61508:

  1. Вимоги до документації та управління: ISO 61508 підкреслює необхідність комплексної документації вимог та ефективного управління. Керування вимогами дозволяє фіксувати, організовувати та підтримувати вимоги безпеки, гарантуючи, що вони добре задокументовані та керовані протягом життєвого циклу розробки системи.
  2. Простежуваність і перевірка: ISO 61508 вимагає відстеження між вимогами безпеки, артефактами проектування та діяльністю з перевірки. Управління вимогами полегшує встановлення зв’язків простежуваності, забезпечуючи відповідність кожної вимоги відповідними елементами проекту та планування та виконання необхідних заходів перевірки.
  3. Аналіз ризиків і зниження ризиків: ISO 61508 вимагає визначення, аналізу та зменшення ризиків, пов’язаних із системами безпеки. Управління вимогами підтримує аналіз ризиків, їх зв'язок із вимогами безпеки та формулювання заходів щодо зменшення ризиків. Це гарантує, що вимоги безпеки належним чином спрямовані на виявлені ризики та що їх ефективність оцінюється в процесі розробки.
  4. Контроль конфігурації та управління змінами: Керування вимогами допомагає підтримувати контроль конфігурації та керувати змінами, які є важливими для відповідності ISO 61508. Це забезпечує належну оцінку, документування та контроль змін до вимог безпеки. Це гарантує, що базові вимоги безпеки зберігаються, а будь-які зміни належним чином керуються та повідомляються.
  5. Планування перевірки та підтвердження: Ефективне управління вимогами допомагає у плануванні перевірки та валідації на основі вимог безпеки, визначених у ISO 61508. Це допомагає визначити необхідні випробування, тестові приклади та критерії прийнятності, виведені з вимог безпеки. Встановлюючи чіткий зв’язок між вимогами та діяльністю з перевірки, управління вимогами гарантує, що вимоги безпеки ретельно перевірені та підтверджені відповідно до вимог ISO 61508.
  1. Розробка обґрунтування безпеки: ISO 61508 наголошує на розробці обґрунтування безпеки, яке є структурованим аргументом, підтвердженим доказами, що демонструє належне виконання вимог безпеки. Управління вимогами відіграє вирішальну роль у забезпеченні необхідної документації, можливості відстеження та доказів для підтримки розробки обґрунтування безпеки, гарантуючи, що воно відповідає вимогам і цілям, визначеним стандартом.
  2. Аудит і відповідність: ISO 61508 вимагає від організацій продемонструвати відповідність вимогам стандарту. Ефективне управління вимогами гарантує, що вимоги безпеки добре задокументовані, належним чином керовані та простежуються протягом усього процесу розробки. Ця документація та можливість відстеження забезпечують перевірку доказів відповідності, підтримуючи зовнішні аудити та оцінки.

Управління вимогами та стандарти авіоніки

Управління вимогами відіграє вирішальну роль у дотриманні стандартів авіоніки, таких як ARP 4754 і DO-178. Давайте дослідимо важливість управління вимогами в кожному з цих стандартів:

ARP 4754 (Керівництво з розробки цивільних літаків і систем):

ARP 4754 містить вказівки щодо розробки цивільних літаків і систем, включаючи вимоги до оцінки безпеки та сертифікації. Ось як керування вимогами є важливим для відповідності ARP 4754:

  1. Збір вимог і відстеження: Ефективне управління вимогами гарантує, що всі застосовні вимоги, включаючи функціональні вимоги, вимоги до продуктивності та безпеки, фіксуються, документуються та належним чином пов’язуються з відповідними елементами проекту та діями з перевірки. Ця відстежуваність дозволяє чітко зрозуміти, як кожна вимога задовольняється протягом усього процесу розробки.
  2. Оцінка та аналіз безпеки: ARP 4754 передбачає ідентифікацію та аналіз потенційних небезпек і розробку вимог безпеки для пом’якшення цих небезпек. Управління вимогами полегшує аналіз вимог, пов’язаних з безпекою, їх зв’язок із ідентифікованими небезпеками та формулювання відповідних заходів безпеки. Це допомагає гарантувати, що вимоги безпеки адекватно враховують ідентифіковані небезпеки та що їх ефективність оцінюється під час оцінки безпеки.
  3. Управління змінами та контроль конфігурації: Керування вимогами підтримує керування змінами вимог, що має вирішальне значення для відповідності ARP 4754. Це дає змогу оцінювати, документувати та контролювати зміни, щоб забезпечити належне керування критично важливими вимогами щодо безпеки та пов’язаними з ними елементами проекту. Контроль конфігурації гарантує, що базові вимоги зберігаються протягом усього процесу розробки, забезпечуючи відстеження та зберігаючи цілісність конструкції системи.
  4. Планування перевірки та підтвердження: Ефективне управління вимогами допомагає у плануванні перевірки та валідації відповідно до вимог ARP 4754. Це допомагає визначити необхідні тести, тестові випадки та критерії прийнятності на основі вимог. Встановлюючи відстежуваність між вимогами та діяльністю з перевірки, управління вимогами гарантує, що всі вимоги належним чином перевірені та підтверджені, підтримуючи загальні цілі безпеки та сертифікації.
  5. Сертифікаційна документація: ARP 4754 вимагає повної документації для підтримки процесу сертифікації. Управління вимогами забезпечує належне документування всіх вимог разом із пов’язаним з ними обґрунтуванням, доказами перевірки та історією змін. Ця документація надає докази відповідності, що підлягають аудиту, полегшуючи процес сертифікації та регулятивні перевірки.

DO-178 (Програмне забезпечення для сертифікації бортових систем і обладнання):

DO-178 — це стандарт, який містить вказівки щодо розробки бортового програмного забезпечення. Він зосереджений на аспектах програмного забезпечення систем авіоніки. Ось чому керування вимогами має вирішальне значення для відповідності DO-178:

  1. Аналіз вимог і розподіл: Управління вимогами полегшує аналіз і віднесення системних вимог високого рівня до програмних вимог. Це гарантує, що вимоги до програмного забезпечення належним чином визначені, зафіксовані та задокументовані, узгоджуючи їх із загальними цілями системи.
  2. Відстеження та аналіз впливу: DO-178 вимагає відстеження між вимогами до програмного забезпечення, артефактами дизайну, діями перевірки та тестовими випадками. Управління вимогами дає змогу встановити зв’язки відстеження, гарантуючи, що кожна вимога до програмного забезпечення відповідає відповідним елементам дизайну та що необхідні дії з перевірки плануються та виконуються. Ця відстежуваність дає змогу аналізувати вплив, керувати змінами та ефективно відстежувати рішення, пов’язані з програмним забезпеченням.
  3. Управління змінами та контроль конфігурації: Керування вимогами допомагає керувати змінами вимог до програмного забезпечення. Це гарантує, що зміни належним чином оцінюються, документуються та повідомляються, а також що їхній вплив на дизайн програмного забезпечення та перевірку є ефективним. Контроль конфігурації забезпечує дотримання базових вимог до програмного забезпечення, підтримуючи відстежуваність і зберігаючи цілісність програмного забезпечення протягом усього процесу розробки.
  4. Планування перевірки та підтвердження: Ефективне управління вимогами допомагає у плануванні перевірки та валідації на основі вимог до програмного забезпечення, зазначених у DO-178. Це допомагає визначити необхідні тести, тестові випадки та критерії прийнятності, виведені з вимог програмного забезпечення. Встановлюючи відстежуваність між вимогами та діями перевірки, управління вимогами гарантує, що вимоги до програмного забезпечення ретельно перевірені та перевірені відповідно до вимог DO-178. Він підтримує розробку комплексного плану верифікації та підтвердження, який відповідає всім вимогам програмного забезпечення.
  1. Тестування на основі вимог: DO-178 підкреслює важливість тестування на основі вимог, де кожна вимога відстежується до одного або кількох тестових випадків. Керування вимогами дає змогу встановлювати зв’язки відстеження між вимогами до програмного забезпечення та відповідними тестовими прикладами. Це гарантує, що всі вимоги перевірені належним чином, а тестове покриття відповідає вказаним вимогам до програмного забезпечення.
  2. Сертифікаційна документація: DO-178 вимагає обширної документації для підтримки процесу сертифікації програмного забезпечення. Управління вимогами забезпечує належне документування всіх вимог до програмного забезпечення разом із пов’язаним з ними обґрунтуванням, доказами перевірки та історією змін. Ця документація надає докази відповідності, що підлягають аудиту, і підтримує діяльність із сертифікації, наприклад аудити та перегляди.
  3. Кваліфікація інструменту: DO-178 також стосується кваліфікації інструментів, які використовуються в процесі розробки. Управління вимогами відіграє важливу роль у кваліфікації інструменту, гарантуючи, що інструменти, які використовуються для управління вимогами та відстеження, відповідають відповідним цілям кваліфікації інструменту, визначеним DO-178. Це включає перевірку того, що інструменти точно фіксують, керують і відстежують вимоги протягом життєвого циклу розробки.

Відносна вартість виправлення помилки у вимогах

Вартість виправлення помилки у вимогах може відрізнятися залежно від різних факторів. Ось деякі фактори, які можуть вплинути на відносну вартість:

  1. Стадія проекту: Вартість виправлення помилки вимог може бути значно нижчою, якщо помилку виявлено та виправлено на ранній стадії життєвого циклу проекту, наприклад, на етапі збору й аналізу вимог. З іншого боку, якщо помилку виявлено на пізніх стадіях розробки або після впровадження продукту, вартість її виправлення може бути набагато вищою, оскільки може знадобитися переробка, зміни дизайну або навіть відкликання продукту.
  2. Величина помилки: Серйозність і вплив помилки вимог також впливають на вартість її виправлення. Незначні помилки або невідповідності може бути відносно легко і недорого виправити, тоді як серйозні помилки, які впливають на критичні функції або вимоги безпеки, можуть бути значно дорожчими.
  3. Вплив на подальшу діяльність: Помилки у вимогах можуть негативно вплинути на подальшу діяльність із розробки. Якщо помилка поширюється на етапах проектування, кодування та тестування, це може призвести до значної переробки та затримок, що призведе до збільшення витрат. Крім того, якщо помилка залишається непоміченою до наступних етапів проекту, це може вимагати модифікації наявних компонентів, інтерфейсів або архітектури системи, що ще більше збільшує вартість виправлення.
  4. Процес виявлення та виправлення: Вартість виправлення помилки вимог залежить від ефективності та результативності процесу виявлення та виправлення. Якщо помилку виявлено під час ретельних перевірок, перевірок або валідації, її можна усунути раніше, зменшивши витрати. І навпаки, якщо помилка залишається непоміченою, доки вона не спричинить проблеми на місці, вартість її усунення може бути набагато вищою, потенційно включаючи підтримку клієнтів, відкликання продуктів або юридичні наслідки.
  5. Організаційні процеси та культура: Зрілість процесів управління вимогами організації та її культура щодо якості та запобігання помилкам також відіграють важливу роль. Організації з надійною практикою управління вимогами, включаючи експертні перевірки, контроль якості та відстеження, з більшою ймовірністю виявлять і виправлять помилки на ранній стадії, мінімізуючи відповідні витрати.
Рішення для управління вимогами

Варто зазначити, що запобігання помилкам у вимогах, перш за все, за допомогою ефективного управління вимогами, залучення зацікавлених сторін і діяльності з перевірки, як правило, економічно ефективніше, ніж виправлення помилок після того, як вони поширилися на наступних етапах розробки або виробництва. Інвестиції в ретельний аналіз вимог, перегляди та процеси перевірки можуть допомогти виявити та усунути помилки на ранній стадії, зменшивши загальну вартість і вплив на проект.

Вбудовані стандарти безпеки

Стандарти вбудованої безпеки відіграють вирішальну роль у забезпеченні надійної та безпечної роботи вбудованих систем. Ці стандарти містять вказівки та вимоги щодо розробки, впровадження та перевірки важливих для безпеки та безпечних вбудованих систем. Дотримуючись цих стандартів, організації можуть зменшити ризики, підвищити безпеку системи та захистити від загроз безпеки. Давайте детальніше розглянемо вбудовані стандарти безпеки:

Вбудовані стандарти безпеки

Стандарти вбудованої безпеки відіграють вирішальну роль у забезпеченні безпечної роботи вбудованих систем у різних галузях промисловості. Ось деякі основні вбудовані стандарти безпеки в різних областях:

Тестовий менеджмент

Аерокосмічна (ECSS):

Стандарти ECSS (Європейське співробітництво з космічної стандартизації) широко використовуються в аерокосмічній промисловості. Вони охоплюють різні аспекти безпеки та надійності космічних систем. Наприклад, ECSS-Q-ST-30C зосереджується на управлінні безпекою та гарантією продукту, тоді як ECSS-E-ST-40C відповідає вимогам до системної інженерії.

Авіоніка (DO-178C, DO-254, DO-278, DO-160):

Стандарти авіоніки мають вирішальне значення для розробки критично важливого для безпеки програмного та апаратного забезпечення в авіаційній промисловості.

  • DO-178C (Програмне забезпечення для сертифікації бортових систем і обладнання) надає вказівки щодо розробки бортового програмного забезпечення, включаючи процеси верифікації та перевірки.
  • DO-254 (Design Assurance Guidance for Airborne Electronic Hardware) фокусується на розробці та сертифікації бортового електронного обладнання, включаючи інтегральні схеми, FPGA та інші електронні компоненти.
  • DO-278 (Забезпечення цілісності програмного забезпечення) розглядає аспекти програмного забезпечення систем управління повітряним рухом, включаючи вимоги до розробки та перевірки програмного забезпечення.
  • DO-160 (Умови навколишнього середовища та процедури випробувань бортового обладнання) визначає вимоги до екологічних випробувань бортового обладнання, гарантуючи його стійкість до факторів зовнішнього середовища.

Автомобільний (ISO 26262):

ISO 26262 є широко визнаним стандартом функціональної безпеки в автомобільній промисловості. Він містить рекомендації щодо розробки пов’язаних із безпекою електричних та електронних систем у транспортних засобах. ISO 26262 охоплює весь життєвий цикл розробки автомобілів, включаючи аналіз небезпек, оцінку ризиків і вимоги безпеки.

Промислова автоматизація (IEC 61508):

IEC 61508 — це загальний стандарт функціональної безпеки в електричних, електронних і програмованих електронних системах у різних галузях промисловості, включаючи промислову автоматизацію. Він забезпечує основу для управління функціональною безпекою протягом усього життєвого циклу системи, включаючи ідентифікацію небезпеки, оцінку ризику та рівні повноти безпеки (SIL).

Медичні пристрої (IEC 13485, IEC 60601-1, IEC 62304/82304):

Медичні пристрої вимагають дотримання певних стандартів безпеки, щоб гарантувати безпеку пацієнтів і відповідність нормативним вимогам.

  • IEC 13485 є стандартом для системи управління якістю медичних виробів. У ньому містяться вказівки щодо проектування, розробки, виробництва та пост-виробництва медичних пристроїв.
  • IEC 60601-1 — це стандарт безпеки та основних характеристик медичного електричного обладнання. У ньому розглядаються вимоги щодо електричної та механічної безпеки медичних пристроїв.
  • IEC 62304 і IEC 82304 — це стандарти, спеціально спрямовані на програмне забезпечення в медичних пристроях. Вони містять вказівки щодо процесів життєвого циклу програмного забезпечення, включаючи вимоги, проектування, впровадження, тестування та обслуговування.

Залізниці (EN 50126/8/9, EN 50657):

Залізничні системи вимагають дотримання стандартів безпеки, характерних для галузі.

  • EN 50126, EN 50128 і EN 50129 утворюють набір стандартів для залізничного сектору. EN 50126 охоплює загальний життєвий цикл системи, EN 50128 зосереджується на програмному забезпеченні, а EN 50129 стосується вимог безпеки для систем сигналізації.
  • EN 50657 надає вказівки щодо функціональної безпеки електричних та електронних систем, які використовуються на залізниці.

Ці стандарти допомагають забезпечити безпеку та надійність вбудованих систем у відповідних галузях, надаючи вказівки та вимоги до процесів розробки, валідації та сертифікації. Відповідність цим стандартам має важливе значення для виконання галузевих вимог безпеки та забезпечення безпечної роботи вбудованих систем.

Вбудовані стандарти безпеки:

Стандарти вбудованої безпеки відіграють вирішальну роль у забезпеченні безпеки та стійкості вбудованих систем проти потенційних загроз і вразливостей. Ці стандарти містять вказівки та найкращі практики для впровадження надійних заходів безпеки під час розробки, розгортання та обслуговування вбудованих систем. Давайте розглянемо деякі ключові вбудовані стандарти безпеки в різних областях:

Управління вимогами та вбудовані стандарти

Авіоніка (DO-326A):

DO-326A — це стандарт, який зосереджується на аспектах безпеки льотної придатності систем і компонентів літака. У ньому містяться вказівки щодо розробки програми безпеки, проведення оцінок безпеки та впровадження засобів контролю безпеки в системах авіоніки. DO-326A доповнює стандарти безпеки, такі як DO-178C і DO-254 в авіаційній промисловості.

Автомобільний (ISO-21434):

ISO-21434 — це нещодавно випущений стандарт, який стосується кібербезпеки в автомобільній промисловості. У ньому містяться вказівки та вимоги щодо впровадження процесів кібербезпеки протягом життєвого циклу автомобільної продукції, включаючи оцінку ризиків, аналіз загроз, вимоги безпеки та перевірку. ISO-21434 має на меті підвищити стійкість автомобільних систем до кіберзагроз і захистити цілісність і безпеку транспортних засобів.

Промислова автоматизація (IEC-62443 – ISA Secure):

IEC-62443, також відомий як ISA Secure, є комплексною серією стандартів, спеціально розроблених для безпеки систем промислової автоматизації та управління (IACS). Він охоплює різні аспекти безпеки IACS, включаючи мережеву архітектуру, управління безпекою, зміцнення системи, безпечні методи кодування та реагування на інциденти. IEC-62443 забезпечує систематичний підхід до захисту промислових систем від кіберзагроз і забезпечення їх доступності, цілісності та конфіденційності.

Загальний продукт (ISO-15408 – Загальні критерії):

ISO-15408, також відомий як Common Criteria (CC), є міжнародним стандартом для оцінки та сертифікації безпеки продуктів інформаційних технологій, включаючи вбудовані системи. Він забезпечує структуру для оцінки характеристик безпеки та функцій продуктів на основі попередньо визначених вимог безпеки. Загальні критерії дозволяють організаціям оцінювати та порівнювати можливості безпеки різних продуктів, гарантуючи, що вони відповідають певним цілям безпеки.

IT (ISO-27001/x):

ISO-27001 є широко поширеним стандартом для систем управління інформаційною безпекою (ISMS). Незважаючи на те, що він не стосується вбудованих систем, він забезпечує комплексну структуру для управління ризиками безпеки в організаціях, включаючи захист вбудованих систем. ISO-27001 включає набір засобів контролю та найкращих практик для впровадження ефективної системи управління інформаційною безпекою.

ISO-27001 супроводжується іншими стандартами серії ISO/IEC 27000, такими як ISO-27002, який надає вказівки щодо впровадження певних заходів безпеки. Ці стандарти можна використовувати при розробці та розгортанні захищених вбудованих систем.

Ці вбудовані стандарти безпеки відіграють важливу роль у керуванні організаціями у впровадженні заходів безпеки, оцінки ризиків і засобів контролю для захисту вбудованих систем від потенційних загроз. Відповідність цим стандартам допомагає забезпечити конфіденційність, цілісність і доступність вбудованих систем, захищаючи їх від порушень безпеки та несанкціонованого доступу.

Кібербезпека для авіоніки та автомобілів, аналіз ризиків і відстеження

Кібербезпека для авіоніки та автомобілів:

Кібербезпека є надзвичайно важливою для авіоніки та автомобільної промисловості через зростаючу складність і підключення вбудованих систем. Авіоніка та автомобільні системи стають все більш взаємопов’язаними, об’єднуючи такі функції, як бездротовий зв’язок, інформаційно-розважальні системи та передові системи допомоги водієві (ADAS). Це підключення наражає ці системи на потенційні загрози кібербезпеці, включаючи несанкціонований доступ, витік даних і зловмисні атаки.

Для забезпечення кібербезпеки в авіоніці та автомобільних системах були розроблені галузеві стандарти та рамки, такі як DO-326A для авіоніки та ISO-21434 для автомобілів. Ці стандарти містять вказівки щодо проведення оцінки ризиків, визначення вимог безпеки, впровадження заходів безпеки та встановлення процесів для безпечної розробки та обслуговування вбудованих систем.

Аналіз ризику:

Аналіз ризиків є фундаментальним аспектом кібербезпеки. Це передбачає визначення потенційних ризиків і вразливостей, оцінку їхньої ймовірності та впливу, а також визначення пріоритетів для їх пом’якшення. У контексті авіоніки та автомобільних систем аналіз ризиків допомагає визначити потенційні загрози кібербезпеці та їхній потенційний вплив на безпеку системи, функціональність і конфіденційність користувачів.

Процес аналізу ризику зазвичай включає такі кроки:

  1. Ідентифікація загрози: Виявлення потенційних загроз і вразливостей, які можуть бути використані для порушення безпеки системи. Це включає розгляд як внутрішніх, так і зовнішніх загроз, таких як зловмисні атаки, уразливість програмного забезпечення та фізичне втручання.
  2. Оцінка вразливості: Оцінка вразливостей і слабких місць системи, які можуть бути використані ідентифікованими загрозами. Це передбачає оцінку стану безпеки системи, включаючи програмне забезпечення, апаратне забезпечення, мережу та інтерфейси зв’язку.
  3. Оцінка ймовірності: Оцінка ймовірності виникнення кожної ідентифікованої загрози. Це передбачає врахування таких факторів, як уразливість системи до потенційних загроз, досвідченість потенційних зловмисників, історичні дані чи тенденції.
  4. Аналіз впливу: Аналіз потенційних наслідків і впливу успішних атак або порушень безпеки на систему, включно з ризиками безпеки, фінансовими втратами, репутаційною шкодою та проблемами конфіденційності користувачів.
  5. Пріоритезація ризиків: Пріоритезація ризиків на основі їхньої ймовірності та впливу для визначення критичних областей, які потребують негайної уваги та зусиль для пом’якшення.

Простежуваність:

Відстеження має важливе значення для забезпечення безпеки та цілісності авіоніки та автомобільних систем. Це стосується здатності відстежувати та документувати зв’язки та залежності між різними елементами системи, включаючи вимоги, артефакти дизайну, код реалізації та тестові приклади. Відстеження забезпечує прозоре уявлення про те, як реалізуються вимоги безпеки протягом життєвого циклу розробки системи.

У контексті кібербезпеки відстеження допомагає:

  1. Вимоги Відстеження: Пов’язування вимог безпеки з системними вимогами вищого рівня та специфікаціями дизайну, щоб забезпечити належне визначення та впровадження заходів безпеки.
  2. Простежуваність конструкції: Відстеження функцій безпеки та елементів керування від етапу проектування до етапу впровадження, гарантуючи, що система побудована відповідно до визначених вимог безпеки.
  3. Тестування простежуваності: Встановлення відстеження між випадками тестування безпеки та відповідними вимогами безпеки та елементами дизайну для перевірки ефективності засобів контролю безпеки та забезпечення повного охоплення тестуванням.

Простежуваність допомагає виявити потенційні прогалини, невідповідності або відсутні заходи безпеки під час процесу розробки системи. Це також полегшує перевірки, оцінки вразливостей і майбутні оновлення або модифікації системи, забезпечуючи чітке розуміння застосованих заходів безпеки.

Визначення вимог до кібербезпеки

ДО-326А

DO-326A, «Специфікація процесу безпеки льотної придатності», надає вказівки щодо забезпечення кібербезпеки в системах авіоніки. Хоча DO-326A зосереджується насамперед на аспекті льотної придатності, він надає вказівки щодо визначення вимог до кібербезпеки для систем авіоніки. Стандарт наголошує на важливості проведення оцінки ризиків, визначення цілей безпеки та розробки плану безпеки, який включає конкретні вимоги безпеки.

Головне завдання DO-326A — забезпечити безпеку систем літака від кіберзагроз. Він визнає, що авіаційні системи все більше взаємопов’язані та вразливі до кібератак, які можуть поставити під загрозу безпеку, цілісність та доступність літака.

DO-326A пропонує такі міркування при визначенні вимог до кібербезпеки:

  1. Визначення критичних активів і системних компонентів, які потребують захисту від загроз кібербезпеці.
  2. Встановлення цілей безпеки та рівнів стійкості до ризику.
  3. Визначення вимог безпеки, пов’язаних із захищеним зв’язком, контролем доступу, безпекою програмного забезпечення та методами безпечної розробки.
  4. Включення заходів безпеки, спрямованих на конкретні ризики, виявлені під час процесу оцінки ризиків.
  5. Забезпечення сумісності та сумісності заходів кібербезпеки з існуючими системами та архітектурою літальних апаратів.
  6. Забезпечення відстеження між вимогами кібербезпеки та іншими системними артефактами.

DO-326A підкреслює важливість адаптації вимог до кібербезпеки на основі характеристик системи, операційного контексту та потенційних загроз. Він заохочує організації застосовувати систематичний підхід до визначення та впровадження вимог кібербезпеки, узгоджуючи їх з іншими відповідними стандартами та найкращими практиками.

ISO 21434

ISO 21434 — це міжнародний стандарт під назвою «Дорожні транспортні засоби — розробка кібербезпеки». Він надає вказівки та вимоги щодо управління ризиками кібербезпеки в автомобільній промисловості. Стандарт спрямований на забезпечення безпеки та стійкості автомобільних систем проти кіберзагроз протягом усього життєвого циклу.

ISO 21434 визнає зростаючу зв’язність і складність автомобільних систем, включаючи передові системи допомоги водієві (ADAS), інформаційно-розважальні системи та зв’язок між транспортними засобами. Ці досягнення породжують нові виклики та ризики кібербезпеки, які необхідно вирішити, щоб захистити цілісність, безпеку та конфіденційність транспортних засобів та їхніх пасажирів.

Коли справа доходить до визначення вимог кібербезпеки, ISO 21434 пропонує цінні вказівки та міркування:

  1. Оцінка ризику: ISO 21434 наголошує на проведенні комплексної оцінки ризиків для виявлення потенційних загроз кібербезпеці та вразливостей, характерних для автомобільних систем. Це включає врахування потенційного впливу на безпеку, конфіденційність і функціональність системи.
  2. Цілі безпеки: Стандарт наголошує на визначенні чітких і вимірюваних цілей безпеки на основі ідентифікованих ризиків і толерантності організації до ризику. Ці цілі повинні узгоджуватися з бажаним рівнем захисту та конкретними вимогами автомобільної системи.
  3. Вимоги безпеки: ISO 21434 керує організаціями у визначенні конкретних вимог безпеки для автомобільних систем. Ці вимоги охоплюють різні аспекти, такі як безпечні протоколи зв’язку, захищені методи розробки програмного забезпечення, механізми контролю доступу, криптографія, виявлення вторгнень і реагування на інциденти.
  4. Безпека за проектом: ISO 21434 сприяє інтеграції міркувань безпеки протягом усього життєвого циклу розробки, дотримуючись підходу «безпека за проектом». Це включає врахування аспектів безпеки під час архітектури системи, вибору компонентів, процесів розробки та інтерфейсів.
  5. Відповідність та аудит: ISO 21434 підкреслює важливість дотримання відповідних правил і стандартів. Він заохочує організації визначати вимоги до кібербезпеки, які відповідають галузевим стандартам і найкращим практикам. Стандарт також підкреслює необхідність проведення процесів аудиту та верифікації для забезпечення відповідності визначеним вимогам.
  6. Співпраця та обмін інформацією: ISO 21434 заохочує співпрацю та обмін інформацією між зацікавленими сторонами, залученими до розробки, виробництва та обслуговування автомобільних систем. Це сприяє цілісному підходу до кібербезпеки та дозволяє обмінюватися знаннями та передовим досвідом.

Дотримуючись вказівок, наданих ISO 21434, організації в автомобільній промисловості можуть визначити надійні вимоги до кібербезпеки, які відповідають унікальним викликам і ризикам, пов’язаним з автомобільними системами. Ці вимоги служать основою для розробки, впровадження та перевірки ефективності заходів кібербезпеки в автомобільних системах, допомагаючи підвищити загальну безпеку та стійкість транспортних засобів.

Вимоги до Visure Платформа ALM

Завдяки своїм складним інструментам Visure Solutions дозволяє компаніям швидко розробляти кращі продукти/послуги, зберігаючи контроль і дотримуючись усіх правил. Це також допомагає організаціям скоротити час виходу на ринок, покращити стандарти якості, підвищити операційну ефективність і ефективно прискорити час виходу на ринок. Крім того, він пропонує низку галузевих рішень для таких галузей, як автомобільна, аерокосмічна та оборонна промисловість, телекомунікації та електроніка, медичні технології, енергетика та комунальні послуги, а також фінанси. Це полегшує підприємствам доступ до необхідного досвіду без необхідності інвестувати в додаткові ресурси чи навчання персоналу. Рішення Visure — це ідеальний інструмент, який допоможе компаніям отримати максимальну віддачу від життєвого циклу доставки продуктів і послуг.

Автоматичний контрольний список Visure дозволяє легко керувати відповідністю без ручного клопоту, відстежувати все, тож ви можете зосередитися на важливому. Таким чином, ви можете базувати свій дизайн і вдосконалювати процес рецензування на цих контрольних списках, які, як відомо, є більш надійними.

Іншими словами, використовуючи наш продукт, ви зможете підвищити продуктивність і злагодженість членів команди. Це досягається за допомогою таких функцій, як наскрізне відстеження, повторне використання вимог для різних проектів і вимірювання якості вимог за допомогою штучного інтелекту – все це автоматично.

У Visure ми також розуміємо, наскільки важко енергетичним технологічним організаціям йти в ногу з цифровою епохою, використовуючи застарілі інструменти. Ось чому ми зробили нашим пріоритетом включити функції легкого імпорту та експорту із застарілих інструментів, таких як IBM DOORs, а також просту функцію міграції.

Крім того, з Visure ви можете використовувати найкращі функції імпорту та експорту з MS Office Word і Excel. Ви також можете сприяти співпраці по всьому ланцюгу постачання, використовуючи міжнародний стандарт ReqIF для обміну даними.

Отримавши доступ до цих функцій та інтеграції з галузевими рішеннями найвищого рівня, ви можете заощадити час, уникаючи необхідності вручну переробляти вимоги за допомогою кількох взаємодій. Цей процес без втрат і дублікатів. За допомогою нашої платформи ви можете переконатися, що всі вимоги виконуються, незалежно від того, звідки вони надходять.

Visure також допомагає спростити процес створення складних і високоякісних продуктів у нафтовій і газовій промисловості за допомогою перевірених і підтверджених вимог, які допоможуть вам відповідати застосовним нормативним вимогам шляхом поєднання аналіз ризику і управління вимогами в одному рішенні.

Використання аналізу відмов і наслідків (FMEA) дозволяє точно оцінити ризик, пов’язаний з показниками FMEA. Коли ви визначите ризики за допомогою інструментів аналізу ризиків, ви зможете імпортувати результати в Visure і зв’язати вимоги високого ризику з ними.

Ця платформа допомагає організаціям економити час і гроші, а також гарантує, що їхні проекти відповідають галузевим стандартам. Він надає повний набір функцій, які дають змогу командам швидко відстежувати та контролювати зміни протягом усього процесу розробки. Крім того, це допомагає забезпечити відповідність регуляторним органам і стандартам, дозволяючи нафтогазовим компаніям залишатися конкурентоспроможними на сучасному ринку. Visure Requirements ALM Platform — це безцінний інструмент для будь-якої організації, яка прагне оптимізувати процеси та забезпечити виконання всіх вимог проекту.

Не забудьте поділитися цим постом!