Novi ISA katalog 6.0 važi od 1. aprila 2024

SADRŽAJ

Povećane prijetnje zahtjevaju prilagođavanje ISA kataloga

"Dostupnost" oznaka: proširenje na proizvodne pogone

"Povjerljivost" oznaka: zaštita osjetljivih informacija

Šta novi zahtjevi znače za buduće TISAX^® audite?

ISO 27001 i IEC 62443 kao čvrsta podloga

ISA katalog 6.0 izmjene 2024: Zaključak

TISAX 6.0 - pozadina

Povećane prijetnje zahtijevaju prilagođavanje ISA kataloga

S obzirom na veliki značaj i složenost lanaca nabavke, krajnje informacije i sajber sigurnost igraju ključnu ulogu u automobilskoj industriji. Uostalom, dobavljači su usko uključeni u razvojne i proizvodne procese. To znači da često imaju pristup visoko osjetljivim, osjetljivim informacijama - i moraju imati visok nivo otpornosti. Geopolitičke tenzije i sve veća digitalizacija i umrežavanje lanca opskrbe dovode do povećanja rizika za sigurnost informacija.

Kao posljedica ove dinamike, postojeći VDA ISA katalog 5.1 je ažuriran. Verzija 6.0 objavljena je na engleskom 16. oktobra 2023. i dostupna za preuzimanje.

Novi ISA katalog pitanja 6.0 označava značajnu prekretnicu za TISAX^®. Ovo dovodi do prilagođavanja zahtjeva za pružaoce audita utvrđenih u TISAX® ACAR 2.2 propisima. Prelazak na engleski kao glavni jezik ISA 6.0 kataloga naglašava globalnu perspektivu i zajedničke napore da se dalje razvije katalog zahtjeva u globalnim radnim grupama.

Nove oznake mijanjaju poznatu oznaku "sigurnost informacija" 

Glavne promjene u katalogu Procjene sigurnosti informacija (ISA) 6.0 odnose se na modul "Informacijska sigurnost" i pripadajući sistem oznaka iz TISAX®-a. U budućnosti će poznata oznaka "Informacijska sigurnost" biti potpuno zamijenjena s dvije oznake "Dostupnost" i "Povjerljivost".

"Dostupnost" oznaka u ISA katalogu 6.0: proširenje na proizvodne pogone

U novom ISA katalogu oznake "Visoka dostupnost" i "Vrlo visoka dostupnost" su precizirane. Kao rezultat toga, OT (operativna tehnologija) sistemi će postati više fokus za buduće audite.

Sve veće umrežavanje proizvodnih okruženja, tj. Sistemi upravljanja industrijske automatizacije (IACS) i njihove mreže, rezultira nizom novih izazova za sigurnost informacija. Proizvodni pogoni obuhvataju izuzetno široke mreže sa mnoštvom specijalizovanih tehnologija i protokola.

U mnogim aspektima, oni se fundamentalno razlikuju od IT sistema: Proizvodna okruženja su generalno dizajnirana da rade dugi niz godina i kada neometano rade, ostavljena su što je više moguće neometana osim za redovno održavanje i popravke. To znači da se zastarjeli operativni sistemi, komunikacijski protokoli ili algoritmi za šifriranje, na primjer, još uvijek koriste na mnogim komponentama.

Dugo vremena, procesi automatskih zakrpa i ažuriranja bili su nepoželjni ili su se barem gledali kritički. Strah je bio prevelik da bi složeni proizvodni proces mogao ispasti iz sinhronizacije i uzrokovati znatne ekonomske gubitke. Veliki, distribuirani sistemi i komunikacijske mreže, kojima mnogi zaposleni mogu pristupiti, također nude višestruke fizičke tačke napada.

Pouzdanost i dostupnost automatizovanih proizvodnih sistema nisu izuzetno važni samo iz poslovne perspektive, već i zbog toga što odstupanja u procesu mogu prouzrokovati značajne štete i finansijske gubitke.

Da bi integrisali sve ove OT-specifične aspekte u ISA katalog 6.0, ENX i VDA su se orijentisali na međunarodno važeću IEC 62443 seriju standarda, a posebno na pododeljak 2-1.

"Povjerljivost" oznaka: Zaštita osjetljivih informacija

Ako je kompaniji povjerena osjetljiva informacija, ona mora dokazati da može zaštititi te informacije na odgovarajući način. Oznake "Visoka povjerljivost" ili "Stroga povjerljivost" koriste se za odabir onih zahtjeva ISA kataloga 6.0 koji doprinose ovom cilju zaštite.

Šta ovo znači za buduće TISAX^® audite?

Nove oznake omogućavaju audit prema mogućim ulogama koje dobavljač ima u lancu nabavke. Ako je dobavljač identifikovan kao posebno važan za lanac snabdijevanja, on može koristiti oznaku „Dostupnost“ da dokaže svoju pouzdanost. Ako su dobavljaču povjerene posebno osjetljive informacije, on može koristiti oznaku "Povjerljivost" da dokaže da je poduzeo odgovarajuće mjere predostrožnosti za zaštitu ovih informacija. Ako dobavljač preuzme odgovornost za obje uloge, može se izvršiti audit za obje oznake.

Isti skup osnovnih zahtjeva mora biti ispunjen za obje oznake. Osim toga, postoje specifični zahtjevi za visoke i vrlo visoke potrebe zaštite za svaku oznaku. To znači da se audit vrši ovisno o oznaci.

Tranzicija sistema oznaka će se također izvršiti u bazi podataka TISAX®. Ubuduće će oznaka "Informacijska sigurnost visoka" biti zamijenjena sa dvije kombinovane oznake "Dostupnost visoka" i "Visoka povjerljivost". Isto važi i za oznaku "Informaciona sigurnost veoma visoka", koja će u budućnosti biti zamenjena oznakama "Veoma visoka dostupnost" i "Stroga poverljivost". Ovo će se desiti automatski za sve učesnike koji već imaju oznaku „sigurnost informacija“ na TISAX® platformi.

Glavna svrha gore opisanih selektivnih audita je osigurati da kompanije moraju ispuniti samo zahtjeve ISA upitnika 6.0 koji su relevantni za njih. Istovremeno se pojavljuju novi izazovi za proizvodne kompanije, jer OT sistemi sada moraju biti predmet upravljanja na sličan način kao što je već općenito potrebno za TISAX^® IT sisteme.

Ovisno o pojedinačnom slučaju, kompanije stoga moraju očekivati dodatne zahtjeve koje je potrebno pooštriti u sistemu upravljanja sigurnošću informacija (ISMS) i koji mogu dovesti do većih troškova.

Novi zahtjevi u verziji 6.0

• Sigurnost i kontinuitet rada: OT igra ključnu ulogu u proizvodnim pogonima u kojima su automatizovani sistemi kao što je IACS od centralne važnosti. Osiguravanje dostupnosti ovih sistema ne odnosi se samo na produktivnost, već i na sigurnost. Zaposleni često rade u neposrednoj blizini ovih automatiziranih sistema, a bilo kakav kvar može predstavljati ozbiljan sigurnosni rizik. Na primjer, neispravno kalibrisani OT senzori ili kontrole mogu ugroziti ljude i vrijednu opremu.
• Upravljanje rizikom: Uz uključivanje OT-a u opseg, kompanije treba da razmotre specifične rizike povezane sa ovim sistemima. OT sistemi treba da budu regulisani, klasifikovani i praćeni na takav način da se mogu efikasno suprotstaviti novonastalim rizicima. Za ove poslove moraju biti imenovana odgovorna lica.
• Kontrola pristupa: Pristup provajdera usluga OT mrežama za potrebe održavanja je kritično pitanje. Odgovarajuće kontrole pristupa i detaljni protokoli su neophodni za održavanje sigurnosti i integriteta OT sistema.
• Kompetencije osoblja: Osoblje odgovorno za rad OT sistema mora biti adekvatno obučeno, kompetentno i svjesno potencijalnih rizika rada. Razmišljanja o osoblju, uključujući provjere prošlosti za osjetljive pozicije, su presudna zbog kritičnosti ovih sistema.
• Upravljanje životnim ciklusom: Učinkovito upravljanje OT sistemima tokom njihovog životnog ciklusa, uključujući popravku, transport i odlaganje, ključno je za minimiziranje rizika povezanih s lokalnim podacima i pristupom uređaja.
• Sigurnosne mjere: OT mora biti zaštićen od potencijalnih napada robusnim sigurnosnim rješenjima, kao što su antivirusni softver, firewall ili smanjenje otvorenih sučelja i usluga.
• Auditi i procjena ranjivosti: Potrebni su redovni tehnički auditi sistema kako bi se provjerilo očvršćavanje OT sistema u skladu sa specifikacijama proizvođača i identificirale poznate ranjivosti.
• Segmentacija mreže: Mreže bi trebale biti na odgovarajući način segmentirane u skladu sa svrhom i rizikom – također kako bi zaštitile IT i OT okruženja jedna od druge.
• Back-up i oporavak: Sveobuhvatni planovi sigurnosnog kopiranja (back-up) i oporavka su od suštinskog značaja za osiguranje kontinuiteta poslovanja u OT sistemima.
• Nivoi usluga i praćenje: Odgovarajući nivoi usluga i definicije dostupnosti moraju biti postavljeni i kontinuirano nadgledani za OT mrežne usluge.
• Eksterni provajderi: Ako eksterni provajderi usluga koriste OT uređaje, nivo sigurnosti informacija u vezi sa pristupom i drugim informacijama pohranjenim na uređaju mora biti regulisan za eksternog provajdera.

ISO 27001 i IEC 62443 kao čvrsta podloga

ISMS u skladu sa ISO 27001 je već zakonski zahtjev u nekim regulisanim industrijama. U mnogim industrijama, to je također službeno ili neslužbeno osnovni zahtjev usklađenosti za sklapanje usluga ili sličnih ugovora.

Kako je ISA upitnik 6.0 također zasnovan na ovom standardu, certificirani sistem upravljanja sigurnošću informacija već predstavlja dobru osnovu za TISAX^® audit. Međutim, TISAX® zahtijeva specifičnu implementaciju ISMS-a s detaljnim zahtjevima "treba" i "mora", plus dodatnim zahtjevima za visok ili vrlo visok nivo zaštite.

Pored ISMS-a, standard IEC 62443 i rezultirajući novi zahtjevi u ISA katalogu pružaju robusnu osnovu. Pododjeljak 2 standarda opisuje strukturu sistema upravljanja za industrijsku sajber sigurnost. Pododjeljak 2-1 pokriva, između ostalog, uspostavljanje sigurnosnog programa za industrijsku automatizaciju i sisteme upravljanja.

Prilikom izrade ovih oblasti, IEC (Međunarodna elektrotehnička komisija) se ponovo rukovodila standardom ISO 27001, čiji se mnogi procesi i mehanizmi mogu primjeniti i na sisteme upravljanja. To znači da su industrijske komunikacione mreže i sistemi automatizacije i kontrole (IACS) uključeni u audit.

ISA Katalog 6.0: Koji su rokovi za korisnike?

Prelazak na ISA katalog 6.0 održat će se 1. aprila 2024. Svako ko naruči TISAX® procjenu do 31. marta i dalje se može izvršiti revizija prema starom ISA katalogu 5.1. Procjene naručene od 1. aprila ove godine mogu se provoditi samo u skladu s novom verzijom 6.0 ISA kataloga.

S jedne strane, to znači da će procjena biti složenija od aprila 2024. godine, ali s druge strane, povećani nivo sigurnosti će se isplatiti vašoj kompaniji. Važno je da se pripremite za nove zahtjeve u ranoj fazi i da ih savjesno implementirate kako biste imali koristi od povećanog povjerenja u novu TISAX® oznaku.

Sve audit aktivnosti koje zavise od postojećih procjena, kao što su procjene plana korektivnih akcija, naknadne aktivnosti, procjene proširenja obima ili pojednostavljene grupne procjene, nastavit će se provoditi u skladu s verzijom ISA prema kojoj je izvršena originalna procjena.

ISA Katalog 6.0 Izmjene 2024: Zaključak

Izdavanje ISA kataloga 6.0 značajan je događaj u svijetu automobilskih standarda i usklađenosti koja se razvija. Ovo ažuriranje predstavlja kontinuiranu posvećenost izvrsnosti, preciznosti i sve većoj važnosti sigurnosti informacija u automobilskoj industriji. Sa uvođenjem promijenjenih oznaka povjerljivosti i dostupnosti i širim opsegom koji obuhvata sisteme operativne tehnologije (OT), automobilski sektor nastavlja da se razvija prema višim standardima kvalitete i sigurnosti.

DQS je odobren od strane ENX-a kao provajder usluga procene i stoga može izvršiti TISAX^® procjene širom svijeta. Imamo TISAX® auditore koji su također odobreni za međunarodni standard za sigurnost informacija ISO 27001. To znači da DQS može procijeniti oba standarda u isto vrijeme i uz manje dodatnih napora. Radujemo se razgovoru s vama.

Napomena: Pristup TISAX®-u je putem registracije učesnika, koja se mora izvršiti online na ENX portalu. Ovo je preduslov da se može angažovati odobreni provajder usluga procjene kao što je DQS.

TISAX^® 6.0 - pozadina

TISAX® je baziran na VDA ISA katalogu koji je razvilo Njemačko udruženje automobilske industrije (VDA), sveobuhvatan upitnik koji se u suštini temelji na tzv. "kontrolama", referentnim mjerama iz Aneksa A standarda sigurnosti informacija ISO 27001, a prilagođen je drugim zahtjevima specifičnim za automobilsku industriju.

Standard sigurnosti informacija je od tada revidiran i objavljen kao novi ISO/IEC 27001:2022 25. oktobra 2022. Aneks A je posebno pogođen revizijom. Odgovarajuće prilagođavanje novim kontrolama je također napravljeno sa ISA verzijom 6.0.

TISAX® je prvenstveno namijenjen kompanijama koje žele ili trebaju pokazati određeni nivo sigurnosti informacija i dostupnosti za saradnju sa (sudjelujućim) proizvođačem automobila. ENX Asocijacija, sa sjedištem u Frankfurtu na Majni i Parizu, odgovoran je za implementaciju i praćenje procedure. ENX je udruženje evropskih proizvođača automobila, dobavljača i četiri nacionalna automobilska udruženja, uključujući njemačkog osnivača ENX-a VDA.

Povjerenje i ekspertiza

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, kontaktirajte nas.