Startseite » Blog DE » Cyber Security Assurance Level – Einfach verstehen!

Cyber Security Assurance Level – Einfach verstehen!

Der Cyber Security Assurance Level (CAL) ist ein Schema gemäß der ISO/SAE 21434, das dazu dient, Risiken im Zusammenhang mit Bedrohungen zu bewerten. Innerhalb des Cyber Security Management Systems nach ISO/SAE 21434 nimmt das CAL eine herausragende Position ein und erstreckt sich über den gesamten Prozess. Lassen Sie uns nun näher auf den Cyber Security Assurance Level und seine Rolle eingehen.

Wie ist der Cyber Security Assurance Level (CAL) definiert?

Hacker running towards security

Die ISO/SAE 21434 definiert den Cyber Security Assurance Level folgendermaßen:

Risiko Level
Cyber Security Assurance Level (CAL)
Niedrig (1)
CAL1
Mittel (2)
CAL2
Hoch (3)
CAL3
Sehr Hoch (4)
CAL4

Der Cyber Security Assurance Level (CAL) ist im Wesentlichen eine Zuordnung von Risiken zu den entsprechenden CAL-Stufen. Im weiteren Verlauf des Cyber Security Management Systems (CSMS) wird der CAL in sämtlichen Aktivitäten, die für die Cyber-Sicherheit relevant sind, wiederverwendet. Er dient zur Identifikation von relevanten Komponenten im gesamten Prozess. Der CAL entspricht in gewisser Weise dem ASIL (Automotive Safety Integrity Level) aus der ISO 26262, wobei der Unterschied darin besteht, dass sich der CAL nicht auf die Safety, sondern auf die Cyber Security bezieht.

Zu welchem Zeitpunkt wird der CAL ermittelt?

car driving towads his goal cyber security plan

Während der Analyse von Asset Analyse und der Bedrohungsanalyse sowie Risikobewertung (TARA) werden Schadensszenarien, Angriffswege, Bedrohungen und die zugehörigen anfänglichen Risiken identifiziert. Hierbei kommt der Cyber Security Assurance Level (CAL) zum Einsatz. Gemäß der in der obigen Tabelle festgelegten Zuordnung wird das anfängliche Risiko dem entsprechenden CAL zugeordnet. Jedes Risiko erfordert die Umsetzung geeigneter Maßnahmen zur Risikominderung, und der CAL unterstützt die Nachverfolgbarkeit dieser Maßnahmen von der Spezifikation bis hin zur Verifikation und Validierung.

Wie wirkt sich der CAL auf den Software Development Life Cycle aus?

CVE Score

Wie bereits erwähnt, dient der Cyber Security Assurance Level (CAL) zur Gewährleistung der Nachverfolgbarkeit der jeweiligen Maßnahmen. Die Anforderungen, die aus diesen Maßnahmen resultieren, müssen zunächst auf Systemebene im Cyber Security Concept spezifiziert werden. Um die Cyber Security-Anforderungen zu identifizieren, ist eine Zuordnung zu den entsprechenden CALs erforderlich. Sobald die Software- und Hardware-Domänen ihre Anforderungen aus dem Cyber Security Concept ableiten, wird das passende CAL weitervererbt, um sicherzustellen, dass die Anforderungen dem richtigen CAL zugeordnet sind. Dies ist von entscheidender Bedeutung, da die Testmaßnahmen davon abhängen.

Wie wirkt sich der CAL auf die Verifikation und Validierung aus?

Highway to 2027

Nach der Spezifikationsphase ist jeder Anforderung ein CAL zugewiesen. Anhand des CAL werden die passenden Verifikations- und Validierungsmaßnahmen definiert. Die ISO/SAE 21434 nennt als Beispiel folgendes:

Method
CAL1
CAL2
CAL3
CAL4
Static Code Analysis
T1
T1
T2
T2
Functional Testing
T1
T1
T2
T2
Vulnerability Scanning
T1
T1
T1
T1
Fuzz Testing
-
T1
T2
T2
Penetration Testing
-
-
T1
T2
Beispiel für Testmethoden nach CAL. Tabelle E.4 aus der ISO/SAE 21434.

T1 umfasst Tests mit verkürzter Testdauer oder in verkürzten Testszenarien, während T2 Tests mit verlängerter Testdauer oder in erweiterten Testszenarien beinhaltet. Anders ausgedrückt könnte man T1 als Basis-Tests und T2 als Erweiterte Tests bezeichnen.

Fazit

Der Cyber Security Assurance Level (CAL) gemäß ISO/SAE 21434 bewertet Risiken in Bezug auf Bedrohungen und nimmt innerhalb des Cyber Security Management Systems eine zentrale Rolle ein. Definiert in CAL-Stufen (1 bis 4), wird der CAL während der Asset- und Bedrohungsanalyse sowie Risikobewertung ermittelt. Er dient der Identifikation und Zuordnung von Risiken zu den entsprechenden Stufen. Der CAL beeinflusst den gesamten Software Development Life Cycle, von der Spezifikation über die Ableitung von Anforderungen bis zur Verifikation und Validierung. Die Zuweisung des CAL beeinflusst auch die Auswahl von Verifikations- und Validierungsmethoden, wobei niedrigere CALs mit kürzeren Testzeiten (T1) und höhere CALs mit längeren Testzeiten (T2) in Verbindung stehen.

Nach oben scrollen
WordPress Cookie Plugin von Real Cookie Banner