Lo standard ISO 21434 indica i requisiti per il sistema di gestione della sicurezza informatica (CSMS), la cui conformità è prova della sicurezza informatica dei veicoli smart di nuova omologazione.
Collegata al Regolamento n. 155 UNECE, la norma è opera della International Organization for Standardization (ISO) e della Society of Automobile Engineers (SAE); da qui la denominazione esatta ISO/SAE 21434 – Road Vehicles Cybersecurity Engineering.
Fondamenti della ISO 21434
Lo standard ISO 21434 si applica ai sistemi elettrici ed elettronici (E/E) dei veicoli stradali di produzione in serie, compresi il software e i relativi componenti e interfacce.
Nonostante questa norma non prescriva alcun requisito tecnico o tecnologia relativa alla sicurezza informatica, è la guida per la sicurezza complessiva dei sistemi di guida, perchè:
- specifica i requisiti per la gestione dei rischi di cybersecurity
- tratta il tema del ciclo di vita del prodotto, dalla fase di concept alla dismissione, compresi gli aspetti necessari all’OEM per raggiungere la conformità dal punto di vista organizzativo
- definisce un linguaggio comune per gestire il rischio di sicurezza informatica all’interno della supply chain
Quando si applica la ISO 21434
L’applicazione dello standard ISO 21434 vale propriamente per il veicolo, nel senso che il sistema esterno al veicolo dovrà essere considerato interfaccia, al di fuori quindi del campo della ISO 21434.
Inoltre, l’applicazione è limitata a elementi e componenti rilevanti per la sicurezza informatica, ed include il post-vendita e le parti di ricambio, come indicato nell’Allegato D: rilevanza per la sicurezza informatica.
Quindi, rientrano nei componenti presi in esame dalla ISO 21434:
- Gateway
- Sistemi di infotainment
- Sensori
- Videocamere
- Sistemi di sicurezza
- Sistemi di comunicazione in genere
Al contrario, si considerano parti dell’interfaccia, ricordiamo, ad oggi esterni al campo di applicazione dello standard:
- Dispositivi di archiviazione esterna
- Server di back-end
- Sistemi di connettività
- Applicazioni di diagnostica e manutenzione
A queste ultime parti possono essere applicati standard diversi, come ad esempio la IEC 62443, la ISO 27001, o la NIST.
Il ciclo di vita della sicurezza secondo ISO 21434
Il ciclo di vita, ai fini del sistema di gestione ISO 21434, evidenzia la centralità degli aspetti legati all’organizzazione per garantire la cybersecurity dei prodotti finali.
Così come altri standard di sicurezza informatica si focalizzano sui ruoli e le responsabilità degli OEM, anche la ISO 21434 enfatizza largamente questo tema, dedicando ampie sezioni a:
- Governance della sicurezza informatica
- Fornitura delle risorse
- Cultura della sicurezza informatica
- Procedure di cybersecurity
- Condivisione delle informazioni
Il ragionamento e l’applicazione dietro al ciclo di vita della sicurezza ISO 21434 sono riassunti nello schema qui sotto.
Clicca sull’immagine per ingrandire
Hai bisogno di supporto per un progetto che prevede l’applicazione dello standard ISO 21434?
Torna all'elenco degli articoli