この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、国家標準化団体 (ISO メンバー団体) の世界的な連合体です。国際規格の作成作業は通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。政府および非政府の国際機関も ISO と連携してこの作業に参加しています。 ISO は、電気技術の標準化に関するあらゆる事項について国際電気標準会議 (IEC) と緊密に協力しています。
この文書の開発に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令第 1 Part に記載されています。特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part の編集規則に従って起草されました ( www.iso.org/directives を参照)
ISO は、この文書の実装に特許の使用が含まれる可能性があることに注意を促しています。 ISO は、請求された特許権に関する証拠、有効性、または適用可能性に関していかなる立場もとりません。この文書の発行日の時点で、ISO はこの文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents で入手可能な特許データベースから取得できる最新の情報を表していない可能性があることに注意してください。 ISO は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html
この文書は、ISO/TC 20 技術委員会、航空機および宇宙船、 SC 14 分科会、宇宙システムおよび運用によって作成されました。
導入
サイバーセキュリティは、世界中で異なる意味で使用される広範な用語です。サイバーセキュリティは、情報がコンピュータ、ストレージ、ネットワーク内でデジタル形式である場合の、組織または製品に関連する情報セキュリティ リスクの管理に関係します。情報セキュリティの制御、方法、技術の多くは、サイバー リスクの管理に適用できます。
宇宙は重要な分野であり、もはや各国政府当局だけが管轄するものではありません。宇宙は本質的に危険な環境で運用されているため、安全で成功した運用を確保するには、宇宙システムに関わるサイバーセキュリティのリスクを他の種類のリスクと並行して理解し、管理する必要があります。
過去 10 年間で、宇宙の脆弱性は急速に増大しました。宇宙組織へのサイバー侵入が起こり始め、関係者は宇宙資産のサイバー防御ニーズをより認識するようになります。インシデント、さらにはサイバー戦争や紛争を防止または予測するには、さまざまな対策を講じる必要があります。宇宙システムはすでにさまざまな種類の攻撃を受けています。それに加えて、宇宙商業化 (NewSpace) の到来により、サイバーセキュリティへの懸念が高まっています。
この文書は、システム エンジニア、プロジェクト マネージャー、ソフトウェア エンジニア、宇宙専門家が宇宙システムにおけるサイバーセキュリティに対処する方法に関する要件と推奨事項を利用できるようにすることを目的としています。
システム エンジニア、プロジェクト マネージャー、ソフトウェア エンジニアが主な焦点となります。聴衆には、安全エンジニア、品質管理者、宇宙システムに関連する情報の利用、保護、維持、廃棄を担当するすべての関係者も含まれます。
このドキュメント:
- サイバーセキュリティに貢献する最小限必要な製品保証活動のために、システムライフサイクルの観点に基づいたセキュリティアプローチを提供します。
- 関連するサイバーセキュリティ管理の要件と推奨事項に関する基本概念を示します。
- 宇宙システムに適用されるシステムエンジニアリングの管理に関する要件と推奨事項を提供し、このテーマに関する既存のプロセスの最小限のセットを定義し、このテーマに関する国際合意に達することを目指しています。
この文書では、宇宙システムのサイバーセキュリティの次の側面を強調します。
- サイバーセキュリティの概要。
- サイバーセキュリティの一般原則。
- ポリシー、慣行、および責任。
- サイバーセキュリティの要件。
- サイバーセキュリティプロセス。
- サイバーセキュリティ文化。
1 スコープ
この文書は、宇宙システムにおけるサイバーセキュリティの管理に使用される要件と推奨事項を定義します。宇宙システムには、有人および無人の宇宙船、発射装置、ペイロード、実験、地上設備、およびその他の宇宙施設が含まれます。
この文書では、サイバーセキュリティを管理するためのプロセス、手法、責任、事故やインシデントを防止および軽減する方法について説明します。
この文書では、システム エンジニアリングの活動について説明し、セキュリティ エンジニアリングの要件と推奨事項を提供します。この文書は、宇宙分野がすべての宇宙製品、サービス、およびプロジェクトのサイバーセキュリティに関連するシステムエンジニアリングの問題を管理するために取り組むための共通の参考資料を確立します。
この文書では、システム エンジニアリング プロセスや関連するプロジェクト管理プロセス、サイバーセキュリティの詳細な要件やプロセスについては詳しく説明しません。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 10795, 宇宙システム — プログラム管理と品質 — 語彙
- ISO 14300-1, 宇宙システム — プログラム管理 — Part 1: プロジェクトの構築
- ISO 14300-2, 宇宙システム — プログラム管理 — Part 2: 製品保証
- ISO 17666, 宇宙システム - リスク管理
- ISO 18676, 宇宙システム — システムエンジニアリングの管理のためのガイドライン
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と用語
3 用語、定義、および略語
3.1 用語と定義
この文書の目的のために、ISO 10795, ISO/IEC 27000, および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1.1
サイバーセキュリティ
機密性、完全性、および可用性の侵害に関連するリスクが生涯を通じて許容可能なレベルに維持される程度にwhere 情報およびシステムがアクセス、使用、開示、中断、変更、または破壊などの不正な活動から保護されている状態。サイクル
[出典:IEC 81001-5-1:2021, 3.30]
3.1.2
システムエンジニアリング
システムの原理と概念、科学的、技術的、管理的手法を使用して、工学的システムの実現、使用、廃止を成功させるための学際的かつ統合的なアプローチ
[出典:ISO/IEC/IEEE 15288:2023, 3.50]
3.2 略語
| ベビーベッド | 市販の既製 |
| ゴッツ | 政府の既成品 |
| モッツ | 改造された既製 |
| pa | 製品保証 |
| se | システムエンジニアリング |
| スタンプ | システム理論的な事故モデルとプロセス |
| STPA | システム理論プロセス分析 |
参考文献
| 1 | ISO/IEC/IEEE 15288:2023, システムおよびソフトウェア エンジニアリング — システム ライフ サイクル プロセス |
| 2 | IEC 81001-5-1:2021, 医療ソフトウェアおよび医療 IT システムの安全性、有効性、セキュリティ - Part 5-1: セキュリティ - 製品ライフサイクルにおける活動 |
| 3 | 2020 年 9 月 4 日の宇宙政策指令 – 5, 宇宙システムのサイバーセキュリティ原則。連邦官報/ Vol.85, No. 176/ 2020年9月10日/ 大統領文書。アメリカ。 |
| 4 | Scholl M, Suloway , 商用衛星運用のためのサイバーセキュリティ入門。 (国立標準技術研究所、メリーランド州ゲイサーズバーグ)、NIST 機関間報告書または内部報告書 (IR) NIST IR 827 https://doi.org/10.6028/NIST.IR.8270 |
| 5 | RTCA DO-326A 2014 年 8 月。第 3 章、耐空性セキュリティ プロセス仕様。 |
| 6 | ECSS E ST 10C, 2009 年 3 月 6 日、欧州宇宙標準化協力、システムエンジニアリング一般要件、ESA/ESTEC Noordwijk。 |
| 7 | ECSS-E-ST-80C DIR, 宇宙製品保証 - 宇宙システムのライフサイクルにおけるセキュリティ |
| 8 | SP, 2007, 610S, rev 1, 2007 年 12 月、 NASA SE ハンドブック、アメリカ航空宇宙局、システム エンジニアリング ハンドブック。 |
| 9 | Aero BNAE RG, 000 77 Ed 12/2005, Bureau de Normalization de l'Aéronautique et de L'Espace, プログラムの管理 - システム エンジニアリングの管理ガイド、パリ。 |
| 10 | EIA 632A, Electronic Industries Alliance, システムエンジニアリングのプロセス、米国、2021 年 1 月。 |
| 11 | NASA, 2019 年 6 月、ジェット推進研究所のサイバーセキュリティ管理と監視。航空宇宙局。 |
| 12 | NASA 7150.2B, 手順要件 (NPR) NASA ソフトウェア エンジニアリング要件、第 3 章、セクション 3.16, ソフトウェア セキュリティ。 |
| 13 | ハンドブック STPA, 2018 年 3 月 -システム理論プロセス分析 - マサチューセッツ工科大学 MIエアロアストロ部門。ナンシー・レブソン。 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of ISO document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
ISO draws attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents . ISO shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 20, Aircraft and space vehicles, Subcommittee SC 14, Space systems and operations.
Introduction
Cybersecurity is a broad term used differently through the world. Cybersecurity concerns managing information security risks related to the organizations or products when information is in digital form in computers, storage and networks. Many of the information security controls, methods, and techniques can be applied to manage cyber risks.
Space is a critical sector that is no longer the domain of only national government authorities. Space is an inherently risky environment in which to operate, so cybersecurity risks involving space systems must be understood and managed alongside other types of risks to ensure safe and successful operations.
Over the past decade, space vulnerabilities have grown fast. Cyber intrusions into space organization start to happen, making the interested parts more aware of the cyber defence needs of space assets. A range of measures must be made available to prevent or anticipate an incident, or even a cyber war or conflict. Space systems already suffered from different kinds of attacks. Besides that, with the advent of space commercialization (NewSpace), there are increasingly cybersecurity concerns.
This document intends to make available to system engineers, project managers, software engineers, and space professionals requirements and recommendations about how to deal with cybersecurity in space systems.
System engineers, project managers and software engineers are the primary focus. The audience also includes safety engineers, quality managers and all the stakeholders in charge of making available, protecting, maintaining and disposing of any information related to space systems.
This document:
- provides a security approach under system life cycle perspective for the minimum required product assurance activities that contribute to cybersecurity;
- presents basic concepts, on pertinent cybersecurity management requirements and recommendations.
- provides requirements and recommendations for the management of the systems engineering applied to space systems and intends to define the minimum set of existing processes on the subject, seeking to reach an international agreement on the topic.
This document emphasizes the following aspects of the cybersecurity for space systems:
- Cybersecurity overview;
- Cybersecurity general principles;
- Policies, practices and responsibilities;
- Requirements for cybersecurity;
- Cybersecurity process;
- Cybersecurity culture.
1 Scope
This document defines requirements and recommendations to be used for the management of cybersecurity in space systems. Space systems include manned and unmanned spacecraft, launcher, payload, experiment, ground equipment and any other space facilities.
This document describes the processes, techniques, and responsibilities for managing the cybersecurity, ways to prevent and mitigate accidents and incidents.
This document addresses systems engineering activities and provides requirements and recommendations for security engineering. This document establishes a common reference for the space sector to work to manage the systems engineering issues related to cybersecurity for all space products, services and projects.
This document doesn't describe in detail the systems engineering processes or related project management processes, or detailed requirements or processes for cybersecurity.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 10795, Space systems — Programme management and quality — Vocabulary
- ISO 14300-1, Space systems — Programme management — Part 1: Structuring of a project
- ISO 14300-2, Space systems — Programme management — Part 2: Product assurance
- ISO 17666, Space systems — Risk management
- ISO 18676, Space systems — Guidelines for the management of systems engineering
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
3 Terms, definitions and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 10795, ISO/IEC 27000 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1.1
cybersecurity
state where information and systems are protected from unauthorized activities, such as access, use, disclosure, disruption, modification, or destruction to a degree that the related risks to violation of confidentiality, integrity, and availability are maintained at an acceptable level throughout the life cycle
[SOURCE:IEC 81001-5-1:2021, 3.30]
3.1.2
systems engineering
transdisciplinary and integrative approach to enable the successful realization, use, and retirement of engineered systems using systems principles and concepts and scientific, technological and management methods
[SOURCE:ISO/IEC/IEEE 15288:2023, 3.50]
3.2 Abbreviated terms
| COTS | commercial off-the-shelf |
| GOTS | government off-the-shelf |
| MOTS | modified off-the-shelf |
| pa | product assurance |
| se | systems engineering |
| STAMP | system-theoretic accident model and processes |
| STPA | system theoretic process analysis |
Bibliography
| 1 | ISO/IEC/IEEE 15288:2023, Systems and software engineering — System life cycle processes |
| 2 | IEC 81001-5-1:2021, Health software and health IT systems safety, effectiveness and security - Part 5-1: Security - Activities in the product life cycle |
| 3 | Space Policy Directive–5 of September 4, 2020, Cybersecurity Principles for Space Systems. Federal Register/ Vol. 85, No. 176/ September 10, 2020/ Presidential Documents. USA. |
| 4 | Scholl M, Suloway T (2023), Introduction to Cybersecurity for Commercial Satellite Operations. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) NIST IR 8270. https://doi.org/10.6028/NIST.IR.8270 |
| 5 | RTCA DO-326A August 2014. Chapter 3, Airworthiness Security Process Specification . |
| 6 | ECSS E ST 10C, 6 March 2009, European Cooperation for Space Standardization, System engineering general requirements, ESA/ESTEC Noordwijk. |
| 7 | ECSS-E-ST-80C DIR1 (2024), Space Product assurance - Security in space systems lifecycles |
| 8 | SP, 2007, 610S, rev 1, Dec 2007, NASA SE Handbook, National Aeronautics and Space Administration, Systems Engineering Handbook. |
| 9 | Aero BNAE RG, 000 77 Ed 12/2005, Bureau de Normalisation de l’Aéronautique et de L’Espace, Management the programme – Guide for the management of the System Engineering, Paris. |
| 10 | EIA 632A, Electronic Industries Alliance, Processes for engineering a system, USA, January 2021. |
| 11 | NASA, June 2019, Cybersecurity Management and Oversight at the Jet Propulsion Laboratory. National Aeronautics and Space Administration. |
| 12 | NASA 7150.2B, Procedural Requirements (NPR) NASA Software Engineering Requirements, Chapter 3, Section 3.16, Software Security. |
| 13 | Handbook STPA, March 2018 - System-Theoretic Process Analysis - Massachusetts Institute of Technology MIT. Aeroastro Department. Nancy Leveson. |