Content

Motivation

Geschichte des Standards ISO/SAE 21434, Ziele, Zweck und Anwendungsbereich
Struktur: Klauseln, Ziele, Anforderungen, Arbeitsprodukte, Anhänge, ...
Bedeutung und Beziehung zu anderen Sicherheitsstandards wie SAE J3061TM, ISO PAS 5112, ACSMS, Automotive SPICE^® für Cybersecurity, ISO/IEC 27001, UNECE, ISO/IEC 31000, EU-GDPR, ISO 26262, TISAX, GSR, ...
Motivation für den Standard
Einbettung und Korrelation zu ähnlichen Bereichen, wie der funktionalen Sicherheit

Überblick

Einführung

Erläuterung der ersten vier Ordnungskapitel des Standards
Geltungsbereich
Referenzen: Liste der Normen einschließlich der Erfahrungen von Kugler Maag Cie hinsichtlich der Bewertung der Relevanz
Begriffe und Definitionen: Beispiele, Beziehung zueinander
Beziehung zur ISO 31000 Risikomanagement
Interaktion mit Funktionssicherheit

Cybersecurity-Management

Allgemeiner Überblick und Fokus von Sicherheits-Managementsystemen: ISO/IEC 27001, TISAX, UNECE, QMS, RMS
Ziele und Anforderungen an ein übergreifendes Cybersecurity-Management | Beispiele für die Umsetzung | organisatorische Verantwortlichkeiten | Definition eines CSMS (Cybersecurity-Managementsystem) und Bezug zu ISMS (Information Cybersecurity-Managementsystem)
Ziele und Anforderungen an ein projektbezogenes Cybersecurity-Management | Beispiele im Zusammenhang mit dem übergeordneten Cybersecurity-Management
Kugler Maag Cie hat Erfahrungen mit der Implementierung von effizienten und effektiven Cybersecurity-Managementsystemen in Organisationen

Wiederholung

Verteilte Cybersecurity-Aktivitäten

Wie können Lieferant und Kunde zusammenarbeiten? | Beispiel für ein Cybersecurity Schnittstellenabkommen (CIA)

Kontinuierliche Cybersecurity-Aktivitäten

Präsentation der laufenden Aktivitäten: Cybersecurity Monitoring | Event Management | Vulnerability Analysis | Vulnerability Management
Beispiele für das Erreichen von Zielen für kontinuierliche Cybersecurity-Aktivitäten

Lebenszyklus

Konzeptphase: von der Objektdefinition zum Security-Konzept, Definition von Cybersecurity-Zielen, Ableitung von Cybersecurity-Anforderungen
Produktentwicklung und Validierung: Beziehung zum V-Modell, Aktivitäten auf der linken und rechten Seite des Entwicklungs-Vs | Berücksichtigung von System-, Software- und Hardwareentwicklung | Verifizierung und Validierung
Nachentwicklungsphasen: Anforderungen für Produktion (z.B. TARA-Verfeinerung), Betrieb und Wartung (z.B. SW-OTA) und Stilllegung (z.B. TARA-Verfeinerung für Logistik) | Betrieb und Wartung (Incident Management und Updates) | Stilllegung

Anhänge

Inhalt, Zweck und Ziele der 8 Anhänge werden erläutert: Zusammenfassung der Arbeitsprodukte, Beispiele für eine gute Cybersecurity-Kultur (mit Praxisbeispielen), Tabellen zur Bestimmung von Angriffsmöglichkeiten werden erläutert, ...

Zusammenwirken mit anderen Standards

Berührungspunkte mit dem Standard zur funktionalen Sicherheit ISO 26262, Entwicklungsschnittstellen zwischen Funktionssicherheit und Cybersecurity. Berührungspunkte innerhalb des V-Modells und des Managements
Kombination von Methoden zur Erzielung von Synergieeffekten. Z.B. HARA und TARA: Wie kann man zusammen arbeiten? Sicherheits-FMEA vs. Sicherheits-FMEA, ...

Wiederholung

Methoden der Risikobewertung

Vorstellung der sieben Schritte zur Durchführung einer Risikobewertung, von der Asset-Identifikation bis zur Entscheidung über die Risikobestimmung | Kennenlernen der Bewertungstabellen für Angriffsmöglichkeit und Schadensabschätzung | Erstellung einer Risikomatrix | Parameter und Inhalt der Angriffsmöglichkeit | Kennenlernen verschiedener Begriffe wie Schadensszenario, Bedrohungsszenario, Angriffspfad, Angriff
Beispiel für die Durchführung einer TARA | Netzwerk von Arbeitsprodukten und Abhängigkeiten
KMC XLS-TARA-Vorlage wird jedem Teilnehmer zur Verfügung gestellt

Übungen zu den verschiedenen Schritten der Risikoanalyse

UNECE WP.29 Regelung Nr. [155] (CSMS); Nr. [156] (SUMS)