Nove TISAX® oznake: šta treba uzeti u obzir

• Izmjenjeni uslovi - novi zahtjevi
• Zašto su ovedene nove TISAX^® oznake Dostupnost i Povjerljivost?
• Nove TISAX^® oznake na prvi pogled
• Koje TISAX^® oznake kompanije trebaju
• Ciljevi procjene, oznake i nivoi procjene - kratko objašnjenje razlika
• Za certifikacije u skladu sa starim ISA katalogom, potrebna je GAP analiza
• Nove TISAX^® oznake - Zaključak
• DQS je vaš pouzdan partner

Zašto su uvedene nove TISAX^® oznake Dostupnost i Povjerljivost?

Dobavljači i pružaoci usluga usko su uključeni u razvoj i proizvodne procese proizvođača automobila – ali ponekad imaju vrlo različite uloge: Nekim kompanijama su povjerene vrlo osjetljive informacije, ali na kraju nemaju dalje uključenje u stvarnu proizvodnju. Drugi isporučuju suštinski važne komponente za proizvodnju vozila, ali nemaju uvid u poslovnu tajnu kompanije koja ih je pustila u rad.

Kako bi bolje odražavali ove različite uloge, stara oznaka "informacijska sigurnost" podijeljena je na dvije nove oznake - "dostupnost" i "povjerljivo". Dobavljači i pružaoci usluga više ne moraju nužno ispunjavati sve zahtjeve ISA kataloga 6.0, jer svaka oznaka predstavlja samo podskup. Ova podjela ima za cilj da smanji opterećenje kompanijama i učini proces audita efikasnijim.

Međutim, treba napomenuti da je katalog procjene sigurnosti informacija (ISA) proširen kako bi uključio nekoliko dodatnih zahtjeva s obzirom na promijenjen krajolik prijetnji. Osim zaštite tajni, treba osigurati i mogućnost isporuke - ključna riječ: proizvodnja u pravom trenutku, jer je ovo sve više izloženo riziku od napada ransomware-a. Novi zahtjevi, stoga, uključuju i robusnije zaštitne mjere za OT sisteme.

Nove TISAX^® oznake na prvi pogled

Za kompanije kojima su povjerene osjetljive informacije, odnosno poslovne tajne ili lični podaci, sada postoje oznake "Povjerljivo" i "Strogo povjerljivo". Oznake "Visoka dostupnost" i "Vrlo visoka dostupnost" namijenjene su dobavljačima koji igraju ključnu ulogu u sposobnosti kompanije da isporuči.

Mjere koje se moraju implementirati za nove TISAX® oznake - pored osnovnih zahtjeva - jasno su označene u ISA katalogu procjene 6.0: Za povjerljivo s "C", za dostupnost sa "A". Mnogi zahtjevi su označeni sa oba slova i stoga se primjenjuju na obje nove oznake.

"Povjerljivo" 

Oznaka "Povjerljivo" fokusira se na zaštitu povjerljivih informacija, čije neovlašteno otkrivanje može imati značajne negativne posljedice poput gubitka ugleda, krivičnog gonjenja ili finansijske štete.

U kontrolama ISA kataloga definisano je 28 specifičnih zahtjeva u koloni "Dodatni zahtjevi za potrebe visoke zaštite" i označeni sa "C", koji moraju biti ispunjeni za ovu oznaku.

Sljedeće kontrole zaslužuju posebnu pažnju zbog napora u implementaciji (zahtjevi u zagradama): 

• 3.1.3 (Zaštita i sigurno odlaganje informacija na pratećim uređajima kao što su štampači, šrederi, kamere ili papir)
• 3.1.4 (Šifriranje podataka na mobilnim uređajima)
• 5.1.1 (Pravna zaštita kontrole nad vlastitim podacima kroz ugovore, specifikacije, jamstva, posebno za eksternu obradu podataka)
• 5.1.2 (Šifriranje digitalnih transportnih ruta za informacije)

Kontrole koje se ovdje spominju su označene samo sa "C", a ne sa "A". To znači da su oni relevantni samo za povjerljivost. Ovi zahtjevi, stoga, ne bi morali biti ispunjeni u procesu audita koji ima za cilj samo označavanje dostupnosti.

"Strogo povjerljivo" 

Oznaka "Strogo povjerljivo" fokusira se na zaštitu strogo povjerljivih i tajnih informacija, čije neovlašteno otkrivanje može imati katastrofalne ili čak opasne po život posljedice kao što su ozbiljna šteta po reputaciju, teške kaznene posljedice ili vrlo visoki finansijski gubici.

U kontrolama ISA upitnika devet specifičnih zahtjeva definisano je u koloni "Dodatni zahtjevi za vrlo visoke potrebe zaštite" i označeni sa "C", koji moraju biti ispunjeni za ovu oznaku - pored onih za "Povjerljivo" oznaku.

Sljedeće kontrole zahtijevaju posebnu pažnju zbog napora u implementaciji:

• 1.6.1 (Provođenje i pružanje dokaza o redovnim vježbama za upravljanje incidentima sigurnosti informacija)
• 4.1.2 (Dvofaktorska autentifikacija - ili viša - za pristup informacijama s vrlo visokim zahtjevima zaštite)
• 4.2.1 (Šifriranje informacija sa posebno visokim zahtjevima zaštite; tromjesečni pregled dodijeljenih prava pristupa radi prikladnosti)
• 5.1.2 (Šifriranje sadržaja informacija za digitalni transport)
• 5.2.4 (Evidentiranje pristupa informacijama sa posebno visokim zahtjevima zaštite)
• 5.2.8 (Koncept sigurnosne kopije podataka s alternativnim lokacijama za pohranu i sigurnosnu pohranu)
• 5.3.1 (Provjera sigurnosti softvera razvijenog u kompaniji ili za kupca - tokom implementacije, u slučaju promjena i u redovnim intervalima)

Takođe je bitno uočiti jasnu razliku od oznaka za dostupnost: Konkretno, ovdje navedeni zahtjevi za kontrole 4.1.2, 4.2.1, 5.1.2 i 5.2.4 označeni su samo sa "C". To znači da su relevantni samo za proces audita za oznaku "Strogo povjerljivo".

"Visoka dostupnost" 

Kompanije zahtijevaju oznaku "Visoka dostupnost" ako dostupnost njihovih vlastitih proizvoda ili usluga direktno utiče na sposobnost proizvodnje ili isporuke zavisnih kompanija, a kvarovi dovode do znatne štete. Uobičajeni primjeri su pravovremeni dobavljači materijala za proizvodnju ili visoko specijalizirani dobavljači usluga ili sirovina koji se ne mogu zamijeniti odmah.

U kontrolama ISA kataloga 6.0 u koloni "Dodatni zahtjevi za potrebe visoke zaštite" definisano je 36 zahtjeva koji su označeni sa "A" i stoga moraju biti ispunjeni za ovu oznaku.

Sljedeće kontrole zahtijevaju posebnu pažnju u implementaciji:

• 1.6.3 (Priprema za krizne situacije: krizni scenariji, kontakti, komunikacijska strategija, redovna simulacija kriza)
• 5.2.8 (Mjere za sprječavanje poremećaja uzrokovanih internim prijetnjama - kao što je zaštita rezervnih kopija - i prekidima vanjskih usluga, npr. putem odgovarajućih SLA)
• 5.2.9 (Koncept sigurnosne kopije i oporavka: redovna provjera sigurnosnih kopija i testiranje oporavka)
• 5.3.2 (Praćenje mrežnog saobraćaja, analize dostupnosti centralnih usluga)

Ovdje navedeni zahtjevi označeni su samo sa "A", odnosno relevantni su samo za dostupnost. Stoga, oni ne moraju biti ispunjeni u procesu audita koji ima za cilj samo označavanje povjerljivosti.

"Veoma visoka dostupnost" 

Kompanije zahtijevaju oznaku "Vrlo visoka dostupnost" ako kratkoročna dostupnost njihovih vlastitih proizvoda ili usluga ozbiljno utječe na sposobnost proizvodnje ili isporuke zavisnih kompanija i kvarovi dovode do znatne štete. Tipičan primjer su dobavljači u realnom vremenu, čiji bi neuspjeh rezultirao brzim i opsežnim gašenjem proizvodnje s vrlo dugim vremenom ponovnog pokretanja.

U kontrolama ISA kataloga definisano je 13 zahtjeva u koloni "Dodatni zahtjevi za vrlo visoke potrebe zaštite". Ovi zahtjevi su označeni sa "A" i stoga moraju biti ispunjeni za ovu oznaku - pored onih za oznaku "Visoka dostupnost".

Sljedeće kontrole zahtijevaju posebnu pažnju zbog napora u implementaciji:

• 1.6.1 (Provođenje i pružanje dokaza o redovnim vježbama za upravljanje incidentima sigurnosti informacija
• 1.6.2 (Izvođenje čak i rijetkih vrsta incidenata u informacijskoj sigurnosti)
• 1.6.3 (Provesti i pružiti dokaze o redovnim vježbama za upravljanje kriznim situacijama)
• 5.2.6 (Redovna potpuno automatizirana sistemska analiza IT sistema, uzimajući u obzir OT/industrijske sisteme upravljanja)
• 5.2.8 (Koncept sigurnosne kopije podataka s alternativnim lokacijama za skladištenje i sigurnosne kopije; koordinacija vlastitih planova za nepredviđene situacije sa planovima vanrednih situacija vanjskih pružatelja usluga; strategije sigurnosnog kopiranja sa zamjenskim sistemima i zamjenskim lokacijama za skladištenje i sigurnosne kopije za održavanje poslovnih procesa)
• 5.2.9 (Redovno testiranje koncepta sigurnosne kopije podataka; geografski raspoređene sigurnosne lokacije; rezervni sistemi koji su što je moguće izoliraniji sa tehnički nepromjenjivim sigurnosnim kopijama)
• 5.3.1 (Provjera sigurnosti softvera razvijenog u kompaniji ili za kupca - tokom implementacije, u slučaju promjena i u redovnim intervalima)

Ovdje navedeni zahtjevi kontrola 1.6.2, 1.6.3, 5.2.6 i 5.2.9 provjeravaju se samo tokom procesa audita za oznaku „Vrlo visoka dostupnost“ i stoga nisu relevantni za oznaku TISAX radi povjerljivosti.

Generalno, dvije oznake za "Dostupnost" povećavaju fokus na održavanje proizvodnih mogućnosti (OT). Interno znanje kompanije o preporukama proizvođača OT-a, OT rizicima i sigurnosnim mjerama za OT mreže, te menadžment OT-a će dobiti veću pažnju u auditu.

Koje TISAX^® oznake kompanije trebaju

Pitanje koje su oznake potrebne u praksi prirodno ovisi prije svega o ulozi kompanije u lancu snabdijevanja. U svakoj fazi lanca snabdijevanja, kompanije se moraju zapitati od kojih dobavljača zavise i kojim dobavljačima su povjerene osjetljive informacije.

Shodno tome, upravljanje dobavljačima koje zahtijeva TISAX® u svakoj fazi dovodi do zahtjeva za oznake specifičnih za ulogu koji se kaskadno spuštaju niz lanac nabavke. Mehanizam razmjene, u kojem se dobavljač može pozvati na postojeće oznake kako bi dokazao usklađenost sa zahtjevima, ovdje je posebno koristan. Rezultati procjena mogu biti dostupni bilo kojoj zainteresoranoj strani.

Pretpostavimo da kompanija profilaktički zahtijeva obje nove oznake, iako nema potrebe za oznakom povjerljivosti ili dostupnosti. U tom slučaju svakako vrijedi još jedna rasprava o međusobnom razumijevanju uloga s obzirom na potencijalno značajno veće troškove implementacije.

Veza između oznake TISAX i nivoa procjene također se mora uzeti u obzir: Oznake „Veoma visoka dostupnost” i „Strogo poverljivo” mogu se dodijeliti samo kroz procjenu na nivou 3, tj. kroz procjenu na licu mjesta.

Ciljevi procjene, oznake i nivoi procjene - kratko objašnjenje razlika

U prethodnom odjeljku koristili smo nekoliko pojmova koje ćemo ukratko objasniti i razlikovati jedni od drugih:

• TISAX® cilj procjene: na osnovu specifikacija svojih proizvodnih partnera, dobavljači koriste ciljeve procjene kako bi odredili koje zahtjeve moraju ispuniti u auditu.
• TISAX® oznaka: Nakon prolaska audita, kompanije dobijaju oznaku TISAX® za odabrani cilj procjene u TISAX® bazi podataka kao potvrdu da su ispunile zahtjeve.
• TISAX® nivo: Ispunjenost zahtjeva se različito ocjenjuje u zavisnosti od nivoa provjere. Nivo 1 je samo samoprocjena. Na nivou 2, eksterni auditor provjerava vjerodostojnost samoprocjene, dopunjen intervjuima na daljinu. Na nivou 3, auditor provjerava efikasnost na licu mjesta.

Za certifikacije u skladu sa starim ISA katalogom, potrebna je GAP analiza

Važno za kompanije koje su još uvijek certificirane pod starom oznakom "Info":

• Kako bi faza tranzicije bila što jednostavnija, kompanijama s oznakom "Visoka info" su automatski dodijeljene oznake "Povjerljivo" i "Visoka dostupnost" do datuma njihovog isteka.
• Slično, oznaka "Vrlo visoka info" je pretvorena u oznake "Strogo povjerljivo" i "Vrlo visoka dostupnost".

Ovo se također odnosi na procese audita čije su ponude prihvaćene prije 1. aprila i naknadna proširenja opsega, a oba se i dalje mogu obavljati u skladu sa starim ISA katalogom 5.1.

Međutim, treba napomenuti da relevantne kompanije moraju biti certificirane u skladu s tada važećim ISA katalogom audita nakon što im isteku TISAX oznake, koje vrijede tri godine. Nova potvrda mora biti dostupna čim stara oznaka istekne. Stoga se nadležnima savjetuje da u ranoj fazi izvrše GAP analizu kako bi na vrijeme implementirali prilagođavanja sistema upravljanja sigurnošću informacija (ISMS) i bili spremni za sljedeći TISAX® audit.

Za ovu GAP analizu, ENX asocijacija je obezbijedila namjenski katalog zahtjeva u kome su sve promjene između ISA 5.1 i ISA 6.0 navedene i označene crvenom bojom. Ovo omogućava kompanijama da na prvi pogled vide koji su novi zahtjevi dodani. Šta treba uzeti u obzir: Ovo je pomoćni dokument. Za audit, kompanije uvijek trebaju preuzeti najnoviju verziju ISA kataloga audita sa ENX web stranice.

Posebno su uočljive sljedeće promjene:

• Nova kontrola 1.3.4 može zahtjevati ulaganje u novi softver, na primer za upravljanje licencama.
• Opsežno izmijenjene kontrole 1.6.1 i 1.6.2 sada zahtijevaju koordinisan i redovno testiran odgovor na incident.
• Kontrola 3.1.2 zamijenjena je novim kontrolama 1.6.3, 5.2.8 i 5.2.9, koje nameću niz novih zahtjeva u pogledu postupanja u kriznim situacijama, upravljanja kontinuitetom poslovanja i sigurnosne kopije podataka.

Nove TISAX^® oznake - Zaključak

Nove oznake za povjerljivost i dostupnost trebale bi osigurati veću efikasnost u TISAX® certifikaciji u budućnosti, budući da se auditi sada provode na osnovu specifičnih uloga. To znači da dobavljači i pružaoci usluga više ne moraju implementirati sve zahtjeve iz kataloga. Međutim, primjetno je da se za oznaku dostupnosti mora ispuniti više zahtjeva nego za povjerljivost. To je zbog novog fokusa na osiguravanju mogućnosti isporuke i osiguravanja OT okruženja, što je uključeno u sve kontrole trenutnog ISA kataloga.

Revidirani i djelimično prošireni katalog sadrži i nekoliko novih zahtjeva, od kojih se neki mogu ispuniti samo uz određeni trud i odgovarajuće vrijeme isporuke. Stoga se rana GAP analiza preporučuje kompanijama sa certifikatima po starom katalogu, jer su nove oznake dobile „samo“ kroz automatsku konverziju stare otnake za sigurnost informacija

Posebni izazovi nastaju za kupce koji su svoje oznake primili u prošlosti kao dio rotirajuće procedure uzorkovanja (Rotirajući SGA). Iz razloga troškova, ove kompanije žele da pređu na stvarnu proceduru uzorkovanja (SGA na osnovu uzorka) u posljednjoj godini važenja oznake. Stoga moraju završiti rotirajuću SGA procjenu u trećoj godini, pretvoriti svoj ISMS u novi ISA katalog i završiti SGA procjenu na osnovu uzorka prije isteka oznake kako bi mogli neometano proširiti oznaku.

DQS je vaš pouzdan partner

TISAX® - baš kao ENX VCS za sajber sigurnost vozila - razvilo je ENX Udruženje. DQS je odobren od strane ENX-a kao provajder usluga ocjenjivanja i stoga može provoditi procjene širom svijeta - a također je i sam TISAX®-certificiran. A pošto su mnogi naši TISAX® auditori također akreditovani za međunarodni standard za informacionu sigurnost ISO 27001, možemo da procjenimo oba standarda u isto vrijeme i uz manje dodatnih napora. Radujemo se razgovoru s vama.

Napomena: Pristup TISAX®-u je putem registracije učesnika, koja se mora izvršiti online na ENX portalu. Ovo je preduslov da se može angažovati odobreni provajder usluga procjene kao što je DQS.

Povjerenje i ekspertiza

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, kontaktirajte nas.