ГОСТ Р ИСО 26262-2-2020 Дорожные транспортные средства. Функциональная безопасность. Часть 2. Менеджмент функциональной безопасности

Приложение Е
(справочное)

Руководящие указания о возможном взаимодействии функциональной безопасности с кибербезопасностью

E.1 Цели

Чтобы рассмотреть возможное неблагоприятное воздействие кибербезопасности на достижение функциональной безопасности, настоящее приложение дает представление о возможных взаимодействиях между действиями по функциональной безопасности и кибербезопасности, которые вместе способствуют суммарному достижению безопасности для Э/Э систем.

Цель состоит в том, чтобы раскрыть эту проблему с точки зрения функциональной безопасности, а не дать представление о достижении кибербезопасности. Взаимодействие между процессами разработки функциональной безопасности и кибербезопасности зависит от организации и области применения проекта, поэтому методы реализации или техническое содержание такого взаимодействия не рассматриваются. Разработчики могут определить наиболее подходящий подход для реализации этого взаимодействия.

E.2 Общие положения

В рамках функциональной безопасности рассматриваются систематические и случайные сбои, которые приводят к некорректному функционированию Э/Э систем, однако кибербезопасность решает проблемы, связанные с преднамеренным несанкционированным внешним воздействием на Э/Э систему.

Для достижения функциональной безопасности представляет большой интерес соответствующая информация от кибербезопасности, которая может отрицательно повлиять на функциональную безопасность или может поддержать достижение функциональной безопасности.

Примечание - См. также SAE J3061, ИСО/МЭК 27001 и ИСО/МЭК 15408.

E.3 Возможное взаимодействие между функциональной безопасностью и кибербезопасностью

E.3.1 Менеджмент функциональной безопасности

Взаимодействие менеджмента функциональной безопасности с менеджментом кибербезопасности может включать:

- планы и этапы реализации кибербезопасности, чтобы рассмотреть зависимости, которые могут влиять на планирование действий по обеспечению безопасности, например для разработки программного обеспечения, выбора инструментальных средств, языков программирования и рекомендаций;

- координацию менеджмента действий по контролю в процессе эксплуатации для кибербезопасности и функциональной безопасности, включая отчетность об инцидентах, их отслеживание и принятие решения по ним, чтобы дать возможность передавать информацию о связанных с безопасностью инцидентах в области кибербезопасности системам функциональной безопасности.

E.3.2 Этап разработки концепции

На этапе разработки концепции взаимодействие может включать:

- рассмотрение угроз кибербезопасности в качестве угроз для функциональной безопасности для обеспечения полноты анализа опасностей и оценки рисков, а также достижения целей безопасности;

- функциональная безопасность может предоставить информацию об опасностях и связанных с ними рисках, чтобы идентифицировать угрозы для кибербезопасности;

- стратегии безопасности в киберпространстве или контрмеры, связанные с функционированием Э/Э систем, в случае обнаружения нарушения защиты, чтобы определить возможное влияние на достижение цели безопасности или на концепцию безопасности.

E.3.3 Разработка нового изделия

При разработке нового изделия взаимодействие может включать:

- техническую информацию, связанную с разработкой и реализацией стратегий безопасности в киберпространстве или контрмер для Э/Э систем, чтобы определить возможные влияния на концепцию технической безопасности и проектирование системы;

- информацию о разработке кибербезопасности в части программного обеспечения и аппаратных средств, чтобы определить возможные влияния на достижение требований безопасности программного обеспечения и аппаратных средств, а также на ограничения проекта, такие как независимость;

- предоставленную от разработчиков систем функциональной безопасности информацию, связанную с разработкой и реализацией мер по обеспечению безопасности, чтобы передать ограничения функциональной безопасности, которые могут относиться к кибербезопасности;

- согласование действий по безопасности и кибербезопасности для анализа возможного влияния кибербезопасности на функциональную безопасность. Анализ безопасности может также учесть влияние стратегий кибербезопасности и контрмер;

- контрмеры кибербезопасности, определенные для снижения систематических отказов, чтобы определить их возможное влияние на функциональную безопасность, например на методы, необходимые для разработки мер по обеспечению безопасности, которые также используются и для кибербезопасности.

E.3.4 Производство и эксплуатация

На этапах производства и эксплуатации взаимодействие может включать: