首个汽车信息安全ISO国际标准正式发布ISOSAE21434

首个汽车信息安全ISO国际标准正式发布ISO-SAE21434

／导读／

2021年8月31日，ISO国际标准化组织正式发布了ISO／SAE21434：Roadvehicles－Cybersecurityengineering（道路车辆信息安全工程）标准，该标准定义了针对所有车载电子系统、车辆部件、车载软件及外部网络的网络信息安全工程设计实践／做法。

标准发布

ISO／SAE21434概述

ISO／SAE21434概览

对汽车原始设备制造商和开发商的影响

ISO／SAE21434要求制造商和开发商进行风险评估。在识别风险之前，厂商需要知道是什么导致了风险。评估将识别可能容易受到攻击的任何组件、API或软件功能。完成评估后，应识别漏洞。

对汽车开发商和制造商的影响是，他们可以生产在发布前经过测试的应用程序和组件，这有利于驾驶员和他们的安全。

标准也与其他框架一起工作：在ISO／SAE21434的情况下，NISTSP－800—30和StAMARDISO／IEC31010可用于使用尝试和测试的方法建立风险评估的基础。

ISO／SAE21434：2021标准简介

（一）标准一般信息

（二）标准的目的

本文件阐述了道路车辆电气和电子（E／E）系统工程中的信息安全观点。通过确保对信息安全的适当考虑，本文件旨在使电子／电子系统工程跟上最先进的技术和不断发展的攻击方法。

（三）本文件的组织

图1给出了标准文档结构的概述。图1的元素没有规定各个主题的执行顺序。标准文件概述

第4条（一般注意事项）仅供参考，包括本文件中道路车辆信息安全工程方法的背景和观点。

第5条（组织信息安全管理）包括组织信息安全政策、规则和流程的信息安全管理和规范。

第7条（分布式信息安全活动）包括在客户和供应商之间分配信息安全活动责任的要求。

第8条（持续信息安全活动）包括为持续风险评估提供信息的活动，并定义了在信息安全支持结束前电子／电子系统的脆弱性管理（vulnerabilitymanagement）。

第9条（概念）包括确定项目信息安全风险、信息安全目标和信息安全要求的活动。

第10条（产品开发）包括定义信息安全规范、实施和验证信息安全要求的活动。

第11条（信息安全验证）包括车辆级项目的信息安全验证。

第14条（结束信息安全支持及报废）包括结束项目或组件支持和报废的信息安全考虑因素。

第15条（威胁分析和风险评估方法）包括模块化的分析和评估方法，以确定信息安全风险的程度，从而采取措施。

条款和工作成果被分配唯一标识符，由两个字母的缩写（“RQ”表示要求，“RC”表示建议，“PM”表示许可，“WP”表示工作成果）组成，后跟两个数字，用连字符分隔。第一个数字表示该条款，第二个数字分别表示该条款的条款或工作成果的连续顺序。例如，［RQ－05－14］指第5条中的第14条规定，这是一项要求。

（四）标准目录

标准目录（参考译文）

Foreword前言

Introduction介绍

1Scope1范围

2Normativereferences2规范性引用文件

3Terms，definitionsandabbreviatedterms3术语、定义和缩略语

3．1Termsanddefinitions3．1术语和定义

3．2Abbreviatedterms3．2缩略语

4Generalconsiderations4总体考虑

5Organizationalcybersecuritymanagement5组织信息安全管理

5．1General5．1通则

5．2Objectives5．2目标

5．3Inputs5．3输入

5．4Requirementsandrecommendations5．4要求和建议

5．5Workproducts5．5工作产品（成果）

6．1General6．1通则

6．2Objectives6．2目标

6．3Inputs6．3输入

6．4Requirementsandrecommendations6．4要求和建议

6．5Workproducts6．5工作成果

7Distributedcybersecurityactivities7．分布式信息安全活动

7．1General7．1通则

7．2Objectives7．2目标

7．3Inputs7．3输入

7．4Requirementsandrecommendations7．4要求和建议

7．5Workproducts7．5工作成果

8Continualcybersecurityactivities8持续信息安全活动

8．1General8．1通则

8．2Objectives8．2目标

8．3Cybersecuritymonitoring8．3信息安全监控

8．4Cybersecurityeventevaluation8．4信息安全事件评估

8．5Vulnerabilityanalysis8．5漏洞分析

8．6Vulnerabilitymanagement8．6漏洞管理

9Concept9概念

9．1General9．1通则

9．2Objectives9．2目标

9．3Itemdefinition9．3项目定义

9．4Cybersecuritygoals9．4信息安全目标

9．5Cybersecurityconcept9．5信息安全概念

10Productdevelopment10产品开发

10．1General10．1通则

10．2Objectives10．2目标

10．3Inputs10．3输入

10．4Requirementsandrecommendations10．4要求和建议

10．5Workproducts10．5工作产品

11Cybersecurityvalidation11信息安全验证

11．1General11．1通则

11．2Objectives11．2目标

11．3Inputs11．3输入

11．4Requirementsandrecommendations11．4要求和建议

11．5Workproducts11．5工作产品

12Production12生产

12．1General12．1通则

12．2Objectives12．2目标

12．3Inputs12．3输入

12．4Requirementsandrecommendations12．4要求和建议

12．5Workproducts12．5工作产品

13Operationsandmaintenance13运行和维护

13．1General13．1通则

13．2Objectives13．2目标

13．3Cybersecurityincidentresponse13．3信息安全事件响应

13．4Updates13．4更新

14Endofcybersecuritysupportanddecommissioning14信息安全支持结束和报废

14．1General14．1通则

14．2Objectives14．2目标

14．3Endofcybersecuritysupport14．3信息安全支持结束

14．4Decommissioning14．4报废

15Threatanalysisandriskassessmentmethods15威胁分析和风险评估方法

15．1General15．1通则

15．2Objectives15．2目标

15．3Assetidentification15．3资产识别

15．4Threatscenarioidentification15．4威胁场景识别

15．5Impactrating15．5影响等级

15．6Attackpathanalysis15．6攻击路径分析

15．7Attackfeasibilityrating15．7攻击可行性等级

15．8Riskvaluedetermination15．8风险值确定

15．9Risktreatmentdecision15．9风险处理决策

AnnexASummaryofcybersecurityactivitiesandworkproducts附录A信息安全活动和工作成果概述

A．1GeneralA．1概述

A．2OverviewofcybersecurityactivitiesandworkproductsA．2信息安全活动和工作成果概述

AnnexBExamplesofcybersecurityculture附录B信息安全文化示例

AnnexCExampleofcybersecurityinterfaceagreementtemplate附录C信息安全接口协议模板示例

C．1GeneralC．1概述

C．2ExampletemplateC．2示例模板附录

D．1GeneralD．1总则

D．2MethodsD．2方法

AnnexECybersecurityassurancelevels附件E网络安全保证分级

E．1GeneralE．1总则

E．2DeterminingaCALE．2确定CAL

E．3UsingaCALE．3使用CAL

AnnexFGuidelinesforimpactrating附件F影响评级指南

F．1GeneralF．1总则

F．2ImpactratingforsafetydamageF．2安全损伤的冲击等级

F．3ImpactratingforfinancialdamageF．3财务损失的影响评级

F．4ImpactratingforoperationaldamageF．4操作损伤的冲击等级

F．5ImpactratingforprivacydamageF．5隐私损害的影响评级附录

AnnexGGuidelinesforattackfeasibilityratingG攻击可行性评级指南

G．1GeneralG．1概述

G．2Guidelinesfortheattackpotential－basedapproachG．2基于攻击潜力的方法指南

G．3GuidelinesfortheCVSS－basedapproachG．3基于CVSS的方法指南

G．4Guidelinesfortheattackvector－basedapproachG．4基于攻击向量的方法指南

AnnexHExamplesofapplicationofTARAmethods–headlampsystem附录HTARA方法应用示例－前照灯系统

H．1GeneralH．1通则

H．2ExampleactivitiesforconceptphaseofaheadlampsystemH．2前照灯系统概念阶段的活动示例

BIBLIOGRAPHY参考文献

（五）图目录

图目录（参考译文）

Figure1—Overviewofthisdocument图1－本文件概述

Figure2—Overallcybersecurityriskmanagement图2－总体信息安全风险管理

Figure4—Cybersecuritygovernance图4－信息安全治理

Figure5—Integrationofoff－the－shelfandout－of－contextcomponents图5－现有组件和非关联组件的集成

Figure6—Reuseanalysisexamples图6－重用分析示例

Figure8—Usecasesforcustomer／supplierrelationshipsinthesupplychain图8－供应链中客户／供应商关系的用例

Figure9—ExampleofproductdevelopmentactivitiesintheV－model图9－V型模型中的产品开发活动示例

FigureC．1—Exampleofacybersecurityinterfaceagreementtemplate图C．1－信息安全接口协议模板示例

FigureE．1—RelationshipbetweenaCALandrisk图E．1－CAL和风险之间的关系

FigureH．1—Interactionsinconceptphase图H．1－概念阶段的交互

FigureH．2—Exampleofitemboundaryandpreliminaryarchitectureoftheheadlampsystem图H．2－项目边界和初步架构－前照灯系统

（六）表目录

表目录（参考译文）

TableG．2—SpecialistexpertiseG．2－专家专业知识

TableG．3—KnowledgeoftheitemorcomponentG．3－项目或组件知识

TableG．4—WindowofopportunityG．4－机会窗口

TableG．5—EquipmentG．5－设备

TableG．6—ExampleaggregationofattackpotentialG．6－潜在攻击聚合示例

TableG．7—ExampleattackpotentialmappingG．7－潜在攻击映射示例

TableG．8—ExampleCVSSexploitabilitymappingG．8－CVSS可利用性映射示例

TableG．9—Attackvector－basedapproachG．9－基于攻击向量的方法

TableH．1—ExampledescriptionoftheoperationalenvironmentH．1－操作环境的示例说明

TableH．2—ExamplelistofassetsanddamagescenariosH．2－资产和损害场景的示例列表

TableH．3—ExampleofimpactratingsfordamagescenariosH．3－损害场景的影响评级示例

TableH．4—ExamplethreatscenariosH．4－威胁场景示例

TableH．5—ExampleattackpathsforthreatscenariosH．5－威胁场景的攻击路径示例

TableH．6—Examplesofattackfeasibilityratingwiththeattackvector－basedapproachH．6－基于攻击向量方法的攻击可行性示例评级

TableH．7—Examplesofattackfeasibilityratingwiththeattackpotential－basedapproachH．7－基于攻击潜力方法的攻击可行性评级示例

TableH．8—RiskmatrixexampleH．8－风险矩阵示例

TableH．9—ExamplesofdeterminedriskvaluesH．9－确定的风险值示例

TableH．10—ExampletranslationofimpactandattackfeasibilitytonumericalvaluesH．10－影响和攻击可行性转换为数值的示例

(七）部分标准内容（译文仅供参考）：

1．范围本文件规定了有关道路车辆电气和电子（E／E：electricalandelectronic）系统（包括其部件和接口）的概念、产品开发、生产、操作、维护和报废的信息安全风险管理（cybersecurityriskmanagement）工程要求。

定义了一个框架，其中包括信息安全流程的要求以及沟通和管理信息安全风险的通用语言。

本文件适用于在本文件出版后开始开发或修改的系列生产道路车辆E／E系统，包括其部件和接口。

2．规范性引用文件ISO26262－3：2018，Roadvehicles—Functionalsafety—Part3：Conceptphase（道路车辆－功能安全－第3部分：概念阶段）

3．术语、定义和缩写术语／Terms，definitionsandabbreviatedterms

3．1术语和定义在本文件中，适用以下术语和定义。

3．1．1

architecturaldesign

representationthatallowsforidentificationofcomponents（3．1．7），theirboundaries，interfacesandinteractions

3．1．2

asset

objectthathasvalue，orcontributestovalue

Note1toentry：Anassethasoneormorecybersecurityproperties（3．1．20）whosecompromisecanleadtooneormoredamagescenarios（3．1．22）．

3．1．3

attackfeasibility

attributeofanattackpath（3．1．4）describingtheeaseofsuccessfullycarryingoutthecorrespondingsetofactions

3．1．4

attackpath

attack

setofdeliberateactionstorealizeathreatscenario（3．1．33）

3．1．5

attacker

person，group，ororganizationthatcarriesoutanattackpath（3．1．4）

3．1．6

audit

examinationofaprocesstodeterminetheextenttowhichtheprocessobjectivesareachieved

［SOURCE：ISO26262－1：2018［1］，3．5，modified—Thephrase“withregardto”wassubstitutedby＂todeterminetheextenttowhich＂and＂areachieved＂wasadded．］

3．1．7

component

partthatislogicallyandtechnicallyseparable

3．1．8

customer

personororganizationthatreceivesaserviceorproduct

［SOURCE：ISO9000：2015［2］，3．2．4，modified—Thephrase“couldordoesreceive”wasreplacedby“receives”，thephrase“thatisintendedfororrequiredbythispersonororganization”wasomitted，andtheexampleandnote1toentrywereomitted．］

3．1．9

cybersecurity

roadvehiclecybersecurity

conditioninwhichassets（3．1．2）aresufficientlyprotectedagainstthreatscenarios（3．1．33）toitems（3．1．25）ofroadvehicles，theirfunctionsandtheirelectricalorelectroniccomponents（3．1．7）

Note1toentry：Inthisdocument，forthesakeofbrevity，thetermcybersecurityisusedinsteadofroadvehiclecybersecurity．

3．1．10

cybersecurityassessment

judgementofcybersecurity（3．1．9）

3．1．11

cybersecuritycase

structuredargumentsupportedbyevidencetostatethatrisks（3．1．29）arenotunreasonable

3．1．12

cybersecurityclaim

statementaboutarisk（3．1．29）

Note1toentry：Thecybersecurityclaimcanincludeajustificationforretainingorsharingtherisk．

3．1．13

cybersecurityconcept

cybersecurityrequirementsoftheitem（3．1．25）andrequirementsontheoperationalenvironment（3．1．26），withassociatedinformationoncybersecuritycontrols（3．1．14）

3．1．14

cybersecuritycontrol

measurethatismodifyingrisk（3．1．29）

［SOURCE：ISO31000：2018［3］，3．8，modified—Theword＂cybersecurity＂wasaddedtotheterm，thephrase“maintainsand／or”wasdeleted，thenotestoentryweredeleted．］

3．1．15

cybersecurityevent

cybersecurityinformation（3．1．18）thatisrelevantforanitem（3．1．25）orcomponent（3．1．7）

3．1．16

cybersecuritygoal

concept－levelcybersecurityrequirementassociatedwithoneormorethreatscenarios（3．1．33）

3．1．17

cybersecurityincident

situationinthefieldthatcaninvolvevulnerability（3．1．38）exploitation

3．1．18

cybersecurityinformation

informationwithregardtocybersecurity（3．1．9）forwhichrelevanceisnotyetdetermined

3．1．19

cybersecurityinterfaceagreement

agreementbetweencustomer（3．1．8）andsupplierconcerningdistributedcybersecurityactivities（3．1．23）

3．1．20

cybersecurityproperty

attributethatcanbeworthprotecting

Note1toentry：Attributesincludeconfidentiality，integrityand／oravailability．

3．1．21

cybersecurityspecification

cybersecurityrequirementsandcorrespondingarchitecturaldesign（3．1．1）

3．1．22

damagescenario

adverseconsequenceinvolvingavehicleorvehiclefunctionandaffectingaroaduser（3．1．31）

3．1．23

distributedcybersecurityactivities

cybersecurityactivitiesfortheitem（3．1．25）orcomponent（3．1．7）whoseresponsibilitiesaredistributedbetweencustomer（3．1．8）andsupplier

3．1．24

impact

estimateofmagnitudeofdamageorphysicalharmfromadamagescenario（3．1．22）

3．1．25

item

componentorsetofcomponents（3．1．7）thatimplementsafunctionatthevehiclelevel

Note1toentry：Asystemcanbeanitemifitimplementsafunctionatthevehiclelevel，otherwiseitisacomponent．

［SOURCE：ISO26262－1：2018［1］，3．8，modified—Theterm“system”hasbeenreplacedby“component”，thephrases“towhichISO26262isapplied”and“orpartofafunction”havebeenomittedandtheNote1toentryhasbeenreplaced．］

3．1．26

operationalenvironment

contextconsideringinteractionsinoperationaluse

Note1toentry：Operationaluseofanitem（3．1．25）oracomponent（3．1．7）canincludeuseinavehiclefunction，inproduction，and／orinserviceandrepair．

3．1．27

out－of－context

notdevelopedinthecontextofaspecificitem（3．1．25）

EXAMPLE：

Processingunitwithassumedcybersecurityrequirementstobeintegratedindifferentitems．

3．1．28

penetrationtesting

cybersecuritytestinginwhichreal－worldattacksaremimickedtoidentifywaystocompromisecybersecuritygoals（3．1．16）

3．1．29

risk

cybersecurityrisk

effectofuncertaintyonroadvehiclecybersecurity（3．1．9）expressedintermsofattackfeasibility（3．1．3）andimpact（3．1．24）

3．1．30

riskmanagement

coordinatedactivitiestodirectandcontrolanorganizationwithregardtorisk（3．1．29）

［SOURCE：ISO31000：2018［3］，3．2］

3．1．31

roaduser

personwhousesaroad

Passenger，pedestrian，cyclist，motorist，orvehicleowner．

3．1．32

tailor，verb

toomitorperformanactivityinadifferentmannercomparedtoitsdescriptioninthisdocument

3．1．33

threatscenario

potentialcauseofcompromiseofcybersecurityproperties（3．1．20）ofoneormoreassets（3．1．2）inordertorealizeadamagescenario（3．1．22）

3．1．34

triage

analysistodeterminetherelevanceofcybersecurityinformation（3．1．18）toanitem（3．1．25）orcomponent（3．1．7）

3．1．35

trigger

criterionfortriage（3．1．34）

3．1．36

validation

confirmation，throughtheprovisionofobjectiveevidence，thatthecybersecuritygoals（3．1．16）oftheitem（3．1．25）areadequateandareachieved

［SOURCE：ISO／IEC／IEEE15288：2015［4］，4．1．53，modified—Thephrase“requirementsforaspecificintendeduseorapplicationhavebeenfulfilled”hasbeenreplacedby“cybersecuritygoalsoftheitemareadequateandareachieved”，note1toentryhasbeenomitted．］

3．1．37

verification

confirmation，throughtheprovisionofobjectiveevidence，thatspecifiedrequirementshavebeenfulfilled

［SOURCE：ISO／IEC／IEEE15288：2015［4］，4．1．54，modified—Thenote1toentryhasbeenomitted．］

3．1．38

vulnerability

weakness（3．1．40）thatcanbeexploitedaspartofanattackpath（3．1．4）

［SOURCE：ISO／IEC27000：2018［5］，3．77，modified—Thephrase“ofanassetorcontrol”hasbeenomitted；thephrase“byoneormorethreats”hasbeenreplacedby“aspartofanattackpath”．］

3．1．39

vulnerabilityanalysis

systematicidentificationandevaluationofvulnerabilities（3．1．38）

3．1．40

weakness

defectorcharacteristicthatcanleadtoundesirablebehaviour

EXAMPLE1：Missingrequirementorspecification．

EXAMPLE2：Architecturalordesignflaw，includingincorrectdesignofasecurityprotocol．

EXAMPLE3：Implementationweakness，includinghardwareandsoftwaredefect，incorrectimplementationofasecurityprotocol．

EXAMPLE4：Flawintheoperationalprocessorprocedure，includingmisuseandinadequateusertraining．

EXAMPLE5：Useofanoutdatedordeprecatedfunction，includingcryptographicalgorithms．

3．2缩略语

缩略语标准原文英文仅供参考

CALcybersecurityassurancelevel信息安全保障级别

CVSScommonvulnerabilityscoringsystem通用脆弱性评分系统

E／Eelectricalandelectronic电气和电子

ECUelectroniccontrolunit电子控制单元

OBDon－boarddiagnostic车载诊断

OEMoriginalequipmentmanufacturer原始设备制造商

PMpermission许可

RCrecommendation推荐

RQrequirement要求

RASICresponsible，accountable，supporting，informed，consulted责任、负责、支持、知情、咨询