Bedeutung und Beziehung zu anderen Sicherheitsstandards wie SAE J3061TM, ISO PAS 5112, ACSMS, Automotive SPICE® für Cybersecurity, ISO/IEC 27001, UNECE, ISO/IEC 31000, EU-GDPR, ISO 26262, TISAX, GSR, ...
Motivation für den Standard
Einbettung und Korrelation zu ähnlichen Bereichen, wie der funktionalen Sicherheit
Überblick
Erläuterung der Ausbildungsstruktur / Gruppierung der Themen
Die Abschnitte (Kapitel) und ihre Ziele/Inhalte werden erläutert
Einführung
Erläuterung der ersten vier Ordnungskapitel des Standards
Geltungsbereich
Referenzen: Liste der Normen einschließlich der Erfahrungen von Kugler Maag Cie hinsichtlich der Bewertung der Relevanz
Begriffe und Definitionen: Beispiele, Beziehung zueinander
Beziehung zur ISO 31000 Risikomanagement
Interaktion mit Funktionssicherheit
Cybersecurity-Management
Allgemeiner Überblick und Fokus von Sicherheits-Managementsystemen: ISO/IEC 27001, TISAX, UNECE, QMS, RMS
Ziele und Anforderungen an ein übergreifendes Cybersecurity-Management | Beispiele für die Umsetzung | organisatorische Verantwortlichkeiten | Definition eines CSMS (Cybersecurity-Managementsystem) und Bezug zu ISMS (Information Cybersecurity-Managementsystem)
Ziele und Anforderungen an ein projektbezogenes Cybersecurity-Management | Beispiele im Zusammenhang mit dem übergeordneten Cybersecurity-Management
Kugler Maag Cie hat Erfahrungen mit der Implementierung von effizienten und effektiven Cybersecurity-Managementsystemen in Organisationen
Wiederholung
Festigung des Lernstoffs
Verteilte Cybersecurity-Aktivitäten
Wie können Lieferant und Kunde zusammenarbeiten? | Beispiel für ein Cybersecurity Schnittstellenabkommen (CIA)
Beispiele für das Erreichen von Zielen für kontinuierliche Cybersecurity-Aktivitäten
Lebenszyklus
Konzeptphase: von der Objektdefinition zum Security-Konzept, Definition von Cybersecurity-Zielen, Ableitung von Cybersecurity-Anforderungen
Produktentwicklung und Validierung: Beziehung zum V-Modell, Aktivitäten auf der linken und rechten Seite des Entwicklungs-Vs | Berücksichtigung von System-, Software- und Hardwareentwicklung | Verifizierung und Validierung
Nachentwicklungsphasen: Anforderungen für Produktion (z.B. TARA-Verfeinerung), Betrieb und Wartung (z.B. SW-OTA) und Stilllegung (z.B. TARA-Verfeinerung für Logistik) | Betrieb und Wartung (Incident Management und Updates) | Stilllegung
Anhänge
Inhalt, Zweck und Ziele der 8 Anhänge werden erläutert: Zusammenfassung der Arbeitsprodukte, Beispiele für eine gute Cybersecurity-Kultur (mit Praxisbeispielen), Tabellen zur Bestimmung von Angriffsmöglichkeiten werden erläutert, ...
Zusammenwirken mit anderen Standards
Berührungspunkte mit dem Standard zur funktionalen Sicherheit ISO 26262, Entwicklungsschnittstellen zwischen Funktionssicherheit und Cybersecurity. Berührungspunkte innerhalb des V-Modells und des Managements
Kombination von Methoden zur Erzielung von Synergieeffekten. Z.B. HARA und TARA: Wie kann man zusammen arbeiten? Sicherheits-FMEA vs. Sicherheits-FMEA, ...
Wiederholung
Festigung des Lernstoffs
Methoden der Risikobewertung
Vorstellung der sieben Schritte zur Durchführung einer Risikobewertung, von der Asset-Identifikation bis zur Entscheidung über die Risikobestimmung | Kennenlernen der Bewertungstabellen für Angriffsmöglichkeit und Schadensabschätzung | Erstellung einer Risikomatrix | Parameter und Inhalt der Angriffsmöglichkeit | Kennenlernen verschiedener Begriffe wie Schadensszenario, Bedrohungsszenario, Angriffspfad, Angriff
Beispiel für die Durchführung einer TARA | Netzwerk von Arbeitsprodukten und Abhängigkeiten
KMC XLS-TARA-Vorlage wird jedem Teilnehmer zur Verfügung gestellt
Übungen zu den verschiedenen Schritten der Risikoanalyse
UNECE WP.29 Regelung Nr. [155] (CSMS); Nr. [156] (SUMS)
Zielsetzung und Motivation; GSR (General Safety Regulation)
Auslegung und Schnittstelle zu ISO/SAE 21434
Regelung für die Homologation: Managementsysteme
CSMS, SUMS, RXSWIN, SW OTA
Regelung für die Homologation: Typenzulassung
Risikoanalyse, Anhang 5: Bedrohungen und potenzielle Angriffe