如何根据ISO21434网络安全标准确定安全目标
发布时间: 2022-05-26 17:55 点击:
如何根据ISO21434网络安全标准确定安全目标
网络安全目标是在产品概念阶段确定的安全需求。每个目标都与一个或多个威胁场景相关联。它们应该是在产品开发阶段就明确的安全概念的一部分。安全目标是基于已确定减少的风险而建立的。风险及其处理决策(比如降低风险)是TARA的主要结果。
网络安全目标的作用
DIS列出了安全目标与以下的关系:
#网络安全目标是分配给每一项的
#网络安全目标是降低资产风险的
#网络安全目标是定位危害场景的,并是通过它们导致威胁场景的间接参考
#网络安全目标是通过网络安全需求实现的
通过这些关系,安全目标可以作为资产、危害场景和网络安全需求之间的核心链接要素。但是,我们应该记得,在执行 TARA 时还没有创建安全目标。因此,ISO示例出(详见标准附录G)创建了一系列要素。
ISO21434将整个第 9.4 节称为“网络安全目标”。该部分将目标和声明列为其工作产品。这些主要是基于已识别的风险和确定的处理方法。为了获得这些风险和处理方法,它要求按照第8条的规定执行TARA。
与安全异同之处
术语网络安全目标与术语安全目标非常一致,因为它是在ISO26262中引入的。尽管在安全和安全域之间重复使用的流程或工具不起作用(它们的性质非常不同),但这两个领域的目标都是高级的关于时间概念要求。对安全的一个主要区别是,安全控制与具体的实现细节紧密交织在一起。因此,安全控制的实施需要重新分析系统的安全性。特别是需要考虑与控件一起引入的资产。虽然分层安全要求在 V 模型流程中运行良好,但对控件的强烈依赖性使安全流程具有迭代性质。因此,安全目标在安全过程中的作用与安全目标对安全过程的作用不同。
中國中鴻實業有限公司旗下:中鸿认证服务 www.cnqr.org
1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核
1.年薪10-35万:诚聘专兼职审核员(全国/符合条件可免费定向培养);诚聘专职咨询老师/专职市场专员;
2.全国诚招ISO认证代理人(个人级/企业级),转发信息即佣金,免费培训;
3.本年度ISO内审员免费培训开始了,每月免费名额有限,从速预计。