SAE J3061-2021 PDF

Полное наименование и описание

SAE J3061 — Cybersecurity Guidebook for Cyber-Physical Vehicle Systems. Рекомендательная практика (recommended practice) SAE International, дающая руководство по организации процессов кибербезопасности для электронных и программно-управляемых компонентов транспортных средств и их жизненного цикла.

Аннотация

Документ описывает рамочный процессный подход к обеспечению кибербезопасности автотранспортных средств: от концепции и проектирования через валидацию, производство и эксплуатацию до утилизации. Включает методические указания по анализу угроз и рисков, примеры шаблонов рабочих продуктов и обзор доступных методов и инструментов (включая примеры контроля безопасности и ссылки на внешние рекомендации). J3061 служил основой для дальнейшей стандартизации инженерии кибербезопасности в автомобильной отрасли.

Общая информация

• Статус: Stabilized (рекомендательная практика, действующая редакция 2021).
• Дата публикации: 15 декабря 2021 (редакция J3061_202112; первоначально выпущен в январе 2016).
• Организация-издатель: SAE International.
• ICS / категории: применимо к разделам «Дорожные транспортные средства / инженерия» и «Информационные технологии — безопасность»: для дорожных транспортных средств обычно используется ICS 43.040; вопросы ИТ‑безопасности относятся к 35.030.
• Редакция / версия: J3061_202112 (2021 Edition); историческая редакция J3061_201601 (2016).
• Количество страниц: 129 страниц (2021 edition).

Область применения

Руководство предназначено для производителей (OEM), поставщиков компонент и систем (Tier‑1/Tier‑2), инженерных команд и организаций, внедряющих процессы разработки и эксплуатации электронных/программных систем в транспортных средствах. Подходит для использования при построении корпоративных процессов кибербезопасности, интеграции требований в цикл разработки продукта и при подготовке рабочих продуктов, необходимых для оценки и управления рисками на протяжении всего жизненного цикла автомобиля.

Ключевые темы и требования

• Процессный фреймворк кибербезопасности, адаптируемый под организационные процессы и привязанный к стадиям жизненного цикла продукта.
• Методики анализа угроз и рисков (TARA — Threat Analysis and Risk Assessment), модели угроз и оценка уязвимостей.
• Связи между функциональной безопасностью (ISO 26262) и кибербезопасностью; управление взаимодействием safety & security.
• Рекомендации по инструментам и методам верификации/валидации, примеры рабочих продуктов и шаблонов.
• Примеры контролей безопасности и указания по их применению (в т.ч. обзор соответствующих контролей, частично основанных на NIST SP 800‑53 в приложениях руководства).
• Управление организацией кибербезопасности: роли, ответственность, процессы мониторинга, инцидент‑менеджмент и улучшение процессов.

Основные положения и содержание приложений подробно перечислены в тексте руководства.

Применение и пользователи

Практическое применение — выстраивание корпоративного Cybersecurity Management (процессов и рабочих продуктов) на уровне проектов и предприятия, формирование требований для поставщиков, проведение TARA, подготовка рабочей документации для аудитов и сертификаций. Основные пользователи: инженеры по кибербезопасности, системные и архитектурные инженеры, менеджеры по качеству и соответствию, руководители проектов и отделы по управлению жизненным циклом продукта.

Связанные стандарты

Ключевые связанные документы и нормативы: ISO/SAE 21434 (Road vehicles — Cybersecurity engineering), который развивает и формализует требования инженерии кибербезопасности и воспринимается как преемник/детализация J3061; требования UNECE WP.29 (R155 — CSMS и R156 — SUMS) по управлению кибербезопасностью и обновлениям ПО; ISO 26262 (функциональная безопасность) для согласования safety/security; ссылки на NIST SP 800‑53 в приложениях J3061.

Ключевые слова

кибербезопасность, автомобиль, J3061, жизненный цикл, TARA, угроза, риск, процессный фреймворк, ISO/SAE 21434, CSMS, SUMS, поставщики, OEM.

FAQ

В: Что это за стандарт?

О: SAE J3061 — рекомендательное руководство (guidebook / recommended practice) по кибербезопасности для кибер‑физических систем транспортных средств, представляющее процессный подход к обеспечению безопасности на протяжении всего жизненного цикла.

В: Что он регулирует?

О: J3061 не задаёт обязательных технических требований, а описывает процессный и методологический каркас: анализ угроз и рисков, формирование требований безопасности, управление жизненным циклом, рабочие продукты и примерные контролы. Руководство даёт практические рекомендации для внедрения процессов кибербезопасности.

В: Кто обычно использует?

О: OEM‑производители, системные и программные интеграторы, поставщики автокомпонентов, инженеры по кибербезопасности, команды по качеству и соответствию, а также консультанты по безопасности и интеграторы процессов.

В: Он актуален или заменён?

О: J3061 остаётся важным руководством и исторической отправной точкой, однако международная формализация требований к инженерии кибербезопасности оформлена в ISO/SAE 21434:2021; ISO/SAE 21434 широко рассматривается как последующее/более формальное развитие инженерных требований, применимых для соответствия нормативам типа UNECE R155/R156. При реализации текущих программ соответствия рекомендуется учитывать именно ISO/SAE 21434 совместно с положениями UNECE.

В: Это часть серии?

О: J3061 — самостоятельное руководство, но оно тесно связано с другими документами и стандартами отрасли (ISO/SAE 21434, ISO 26262, NIST‑рекомендации, а также с регуляторными требованиями UNECE WP.29). Многие организации используют J3061 совместно с этими стандартами для выработки корпоративных процессов.

В: Какие ключевые слова?

О: автомобильная кибербезопасность, жизненный цикл, TARA, процессный фреймворк, SAE J3061, ISO/SAE 21434, CSMS, SUMS, поставщики, OEM.