本系列文章是亚远景科技结合ASPICE for Cybersecurity Guideline,对ASPICE for Cybersecurity进行的一些标准解读和应用说明,希望向更多的人明晰化标准的一些要求,也帮助推动标准在行业的发展。
当前推出的ASPICE for Cybersecurity标准中新增加了6个过程,分别是
ACQ.2 Supplier Request and Selection
MAN.7 Cybersecurity Risk Management
SEC.1 Cybersecurity Requirements Elicitation
SEC.2 Cybersecurity Implementation
SEC.3 Risk Treatment Verification
风险处理的验证;
SEC.4 Risk Treatment Validation
风险处理的确认。
目前已经解读了前4个过程,还没有看过的朋友可以点击上方标题前往阅读。
本篇要讲解的过程是:
SEC.3.Risk Treatment Verification 风险处理的验证
阅读时间约为9分钟(含有独家解读),建议收藏并关注我们
风险处理的验证过程概述
风险处理验证过程的目的是确认设计的实现和组件的集成能够符合网络安全需求、改进的架构设计和详细设计。
风险处理验证过程确保网络安全控制的实现是符合相应的网络安全需求、相应的架构设计和详细设计的。
而网络安全控制在大多数情况下是由功能或非功能需求以及相应的架构设计和详细设计来承载的。它们是实现网络安全需求的详细解决方案。
风险处理验证过程的目的仅仅是证明其实现是满足这些需求和规定的设计的,这个过程提供了证据证明这些措施的执行是正确的。
从某种意义上说,这个验证过程不能衡量已经规定和实施了的措施是否正确,即它不能提供任何证据直接证明某网络安全目标对于降低其相应的网络安全风险的适用性。
而网络安全目标的适用性和相应降低预期风险的解决方案的有效性都将在SEC.4风险处理确认过程的范围内。
验证(verification)过程是证明设计实现,而不证明安全目标的实现,也就是安全风险的有效减缓,而后续的SEC.4确认(Validation)过程将专注于安全目标的实现。
评级建议
(1)风险处理验证策略Risk treatment verification strategy
网络安全需求是一个系统和/或软件特别要具备的特性,它们的验证将在不同的集成级别中执行,如软件单元、集成软件或一个完全集成的系统。
网络安全验证可能包括:
静态软件分析
软件单元测试
软件集成和合格性测试
系统集成和合格性测试
一般来说,所有的验证活动都遵循一个文档化的风险处理验证策略,这好比ASPICE中各个验证于测试过程的策略性文件,往往包括以下几方面:
a) 验证范围的定义,包括被验证的工作产品或过程;
b) 关于关于验证和测试的具体要求(例如,网络安全相关的利益相关者的协议、ISO/SAE21434、代码指标、MISRA、测试覆盖范围)的定义
c) 验证和评审的方法和工具的定义
d) 标识未指定功能的方法的定义
e) 测试用例和测试数据开发方法的定义(例如,开发正反面测试、等价测试用例等)
f) 对验证活动的回归策略的定义
g) 关于每种验证方法的验证或测试环境的定义
h) 准入准出和验证通过的标准的定义
i) 处理失败的测试和验证结果的方法
注:(i)是指问题解决管理(SUP.9)
建议和规则:
[SEC.3.RL.1]If the risk treatment verification strategy does not cover all aspects above, the indicator BP1 cannot be rated F.
解读:如果风险处理验证策略没有涵盖上述所有方面,则指标BP1不能被评为F。
[SEC.3.RL.2]If the risk treatment verification strategy does not cover aspects b, c, d, the indicator BP1 cannot be rated higher than P.
解读:如果风险处理验证策略不包括b、c、d等方面,则指标BP1的评分不能高于P。
[SEC.3.RL.3]If the verification specifications are not based on cybersecurity requirements,architectural design, and the detailed design, the indicator BP2 must not be rated higher than P.
解读:如果验证规范不基于网络安全需求、架构设计和详细设计,则指标BP2的等级不得高于P。
整个SEC.3的过程都可以类比ASPICE的SWE.4/5/6,SYS.4/5这几个测试验证过程,在实施中,可以考虑单独成文的制作一份网络安全相关设计的验证策略文件,以明晰各类验证和测试的方式方法,也可以选择在原本已有的SWE.4/5/6,SYS.4/5等测试验证过程策略中,针对性的对各自过程所需验证的网络安全控制手段进行测试验证的补充性说明,如,在常见的SWE.4的单元验证策略中,往往会定义MISRA C的规范作为其静态验证准则,加入网络安全相关的开发工作后,可以考虑加入其他网络安全相关的编码规范,如CERT C等等。
相关内容:
BP1:“Develop a risk treatment verification strategy” “制定风险处理验证策略”
Output WP08-52:Test plan测试计划
Output WP19-10:Verification strategy 验证策略
评级一致性
下图显示了SEC.3 各BP以及其他流程之间的关系:
这些关系被用作在以下子章节中定义的评级规则和建议的基础。
评级还应考虑可追溯性和一致性、总结和沟通以及策略和计划的一般方面。请参考VDA ASPICE GUIDELINE(第一版)了解更多信息。
(1)SEC.3内部的评级一致性Rating consistency within SEC.3
在SEC.3的范围内以下BP之间有相互关系:
BP2:制定风险处理验证的规范Develop specification for risk treatment verification
[SEC.3.RL.4]If the indicator for developing the verification strategy (BP1) is downrated due to missing or inadequate definitions of methods for test case and test data development, the indicator BP2 shall be downrated.
解读:如果由于测试用例和测试数据开发方法的定义缺失或不充分,导致验证策略的指标(BP1)被下调,则指标BP2应被下调。
BP3:执行验证活动Perform verification activities
[SEC.3.RL.5]If the indicator for developing the verification specification (BP2) is downrated, the indicator BP3 cannot be rated higher.
解读:如果制定验证规范(BP2)的指标下调,则指标BP3不能更高。
(2)对第1级其他流程的评级一致性Rating consistency to other processes at Level 1
SEC.2的以下BP与其他流程有关系:
BP2:制定风险处理验证规范Develop specification for risk treatment verification
[SEC.3.RC.1]If the BP1 for SEC.1 or SEC.2 is downrated, this should be in line with the rating of the indicator BP2.
解读:如果SEC.1或SEC.2的BP1被降级,则BP2的评级需与之拉齐。
关于亚远景科技
上海亚远景信息科技有限公司是国内汽车行业咨询及评估领军机构之一,深耕于ASPICE、ISO26262功能安全、ISO21434网络安全领域,拥有10年以上的行业经验,专精于咨询、评估及培训服务,广受全球车厂及供应商赞誉,客户好评率行业领先。坚持以“探索、研发、融合”引领创新发展,秉持“用心服务、专业技术、合作发展”的理念,不断以新技术新模式为客户提供更有效更敏捷的服务。