Nový katalog ISA 6.0 platný od 1. dubna 2024.

OBSAH

Rostoucí hrozby vyžadují úpravy katalogu ISA

Označení "dostupnost": rozšíření na výrobní zařízení

Štítek "Důvěrnost": ochrana citlivých informací

Co nové požadavky znamenají pro budoucí audit ^TISAX®?

ISO 27001 a IEC 62443 jako pevný základ

Změny v katalogu ISA 6.0 2024: Závěr

TISAX 6.0 - pozadí

Rostoucí hrozby vyžadují úpravy katalogu ISA

Vzhledem k velkému významu a složitosti dodavatelských řetězců hraje v automobilovém průmyslu klíčovou roli komplexní informační a kybernetická bezpečnost. Koneckonců dodavatelé jsou úzce zapojeni do vývojových a výrobních procesů. To znamená, že mají často přístup k vysoce citlivým a citlivým informacím - a musí mít vysokou úroveň odolnosti. Geopolitické napětí a rostoucí digitalizace a propojení dodavatelského řetězce vedou ke zvyšování rizik pro bezpečnost informací.

V důsledku této dynamiky byl aktualizován stávající katalog VDA ISA 5.1. Verze 6.0 byla vydána v angličtině 16. října 2023 a zpřístupněna ke stažení.

Nový katalog otázek ISA 6.0 představuje významný milník pro ^TISAX®. To vede k úpravám požadavků na poskytovatele auditu stanovených v předpisech ^TISAX® ACAR 2.2. Přechod na angličtinu jako hlavní jazyk katalogu otázek ISA 6.0 podtrhuje globální perspektivu a společné úsilí o další rozvoj katalogu požadavků v globálních pracovních skupinách.

Nové označení nahrazuje známé označení "bezpečnost informací"

Hlavní změny v katalogu posuzování bezpečnosti informací (ISA) 6.0 se týkají modulu "Bezpečnost informací" a souvisejícího systému štítků od společnosti ^TISAX®. V budoucnu bude známý štítek "Bezpečnost informací" zcela nahrazen dvěma štítky "Dostupnost" a "Důvěrnost".

Štítek "Dostupnost" v katalogu ISA 6.0: rozšíření na výrobní zařízení

V novém katalogu ISA byly upřesněny štítky "Dostupnost vysoká" a "Dostupnost velmi vysoká". V důsledku toho se v budoucnu při auditech více zaměříme na systémy OT (provozní technologie).

Rostoucí propojení výrobních prostředí, tj. řídicích systémů průmyslové automatizace (IACS) a jejich sítí, má za následek řadu nových výzev pro bezpečnost informací. Výrobní zařízení pokrývají extrémně rozsáhlé sítě s množstvím specializovaných technologií a protokolů.

V mnoha ohledech se zásadně liší od systémů IT: Výrobní prostředí jsou zpravidla navržena na dlouholetý provoz, a jakmile jednou bez problémů fungují, jsou ponechána pokud možno bez zásahu, s výjimkou pravidelné údržby a oprav. To znamená, že se v mnoha komponentách stále používají zastaralé operační systémy, komunikační protokoly nebo například šifrovací algoritmy.

Dlouhou dobu byly automatické procesy oprav a aktualizací nežádoucí nebo přinejmenším kriticky vnímané. Příliš se obávalo, že by se složitý výrobní proces mohl vymknout ze synchronizace a způsobit značné ekonomické ztráty. Rozsáhlé distribuované systémy a komunikační sítě, k nimž má přístup mnoho zaměstnanců, nabízejí také mnoho fyzických bodů útoku.

Spolehlivost a dostupnost automatizovaných výrobních systémů jsou nesmírně důležité nejen z obchodního hlediska, ale také proto, že odchylky v procesu mohou způsobit značné škody a finanční ztráty.

Aby bylo možné všechny tyto specifické aspekty OT začlenit do katalogu ISA 6.0, orientovaly se společnosti ENX a VDA na mezinárodně platnou řadu norem IEC 62443 a zejména na pododdíl 2-1.

Označení "Důvěrnost": Ochrana citlivých informací

Pokud jsou podniku svěřeny citlivé informace, musí prokázat, že je schopen tyto informace náležitě chránit. Označení "Důvěrnost vysoká" nebo "Důvěrnost přísná" slouží k výběru těch požadavků katalogu ISA 6.0, které přispívají k tomuto cíli ochrany.

Co to znamená pro budoucí audit ^TISAX®?

Nové štítky umožňují auditovat podle možných rolí, které dodavatel hraje v dodavatelském řetězci. Pokud byl dodavatel identifikován jako obzvláště důležitý pro dodavatelský řetězec, může k prokázání své spolehlivosti použít štítek "Dostupnost". Pokud jsou dodavateli svěřeny zvláště citlivé informace, může použít štítek "Důvěrnost", aby prokázal, že přijal vhodná opatření k ochraně těchto informací. Pokud dodavatel přebírá odpovědnost za obě role, může být auditován pro oba štítky.

Pro oba štítky musí být splněn stejný soubor základních požadavků. Kromě toho existují pro každý štítek specifické požadavky na vysokou a velmi vysokou potřebu ochrany. To znamená, že audit se provádí v závislosti na označení.

V databázi ^TISAX® bude rovněž proveden přechod systému štítků. V budoucnu bude štítek "Vysoká bezpečnost informací" nahrazen dvěma kombinovanými štítky "Vysoká dostupnost" a "Vysoká důvěrnost". Totéž platí pro štítek "Bezpečnost informací velmi vysoká", který bude v budoucnu nahrazen štítky "Dostupnost velmi vysoká" a "Důvěrnost přísná". K tomu dojde automaticky u všech účastníků, kteří již mají v platformě ^TISAX® štítek "Bezpečnost informací".

Hlavním účelem výše popsaných selektivních auditů je zajistit, aby společnosti musely plnit pouze ty požadavky dotazníku ISA 6.0, které se jich týkají. Zároveň pro výrobní společnosti vznikají nové výzvy, protože OT systémy musí nyní podléhat řízení podobným způsobem, jaký je již obecně vyžadován pro IT systémy ^TISAX®.

V závislosti na konkrétním případu proto musí společnosti počítat s dalšími požadavky, které je třeba zpřísnit v systému řízení bezpečnosti informací (ISMS) a které mohou vést k vyšším nákladům.

Nové požadavky ve verzi 6.0

• Bezpečnost a kontinuita provozu: OT hraje klíčovou roli ve výrobních závodech, v nichž mají automatizované systémy, jako je IACS, zásadní význam. Zajištění dostupnosti těchto systémů není jen o produktivitě, ale také o bezpečnosti. Zaměstnanci často pracují v těsné blízkosti těchto automatizovaných systémů a jakákoli porucha by mohla představovat vážné bezpečnostní riziko. Například nesprávně kalibrované OT senzory nebo ovládací prvky mohou ohrozit lidi i cenné vybavení.
• Řízení rizik: V souvislosti se zahrnutím OT do oblasti působnosti musí společnosti zvážit specifická rizika spojená s těmito systémy. Systémy OT by měly být regulovány, klasifikovány a monitorovány tak, aby bylo možné účinně čelit vznikajícím rizikům. Pro tyto úkoly musí být určeny odpovědné osoby.
• Řízení přístupu: Přístup poskytovatelů služeb do sítí OT za účelem údržby je kritickou otázkou. Správné řízení přístupu a podrobné protokoly jsou nezbytné pro zachování bezpečnosti a integrity systémů OT.
• Způsobilost personálu: Personál odpovědný za provoz OT systémů musí být náležitě vyškolen, kompetentní a musí si být vědom potenciálních rizik provozu. Vzhledem ke kritičnosti těchto systémů jsou zásadní personální aspekty, včetně prověřování citlivých pozic.
• Řízení životního cyklu: Účinná správa OT systémů po celou dobu jejich životního cyklu, včetně oprav, přepravy a likvidace, je zásadní pro minimalizaci rizik spojených s lokálními daty a přístupem k zařízením.
• Bezpečnostní opatření: OT je třeba chránit před potenciálními útoky pomocí robustních bezpečnostních řešení, jako je antivirový software, firewally nebo omezení otevřených rozhraní a služeb.
• Audity a hodnocení zranitelnosti: Pravidelné technické audity systémů jsou nutné ke kontrole zabezpečení systémů OT v souladu se specifikacemi výrobce a k identifikaci známých zranitelností.
• Segmentace sítě: Sítě by měly být vhodně segmentovány podle účelu a rizika - také proto, aby se prostředí IT a OT navzájem chránila.
• Zálohování a obnova: Komplexní plány zálohování a obnovy jsou nezbytné pro zajištění kontinuity provozu OT systémů.
• Úrovně služeb a monitorování: Pro síťové služby OT musí být zavedeny a průběžně monitorovány vhodné úrovně služeb a definice dostupnosti.
• Externí poskytovatelé: Pokud externí poskytovatelé služeb používají zařízení OT, musí být pro externího poskytovatele upravena úroveň zabezpečení informací týkající se přístupu a dalších informací uložených v zařízení.

ISO 27001 a IEC 62443 jako pevný základ

Systém ISMS v souladu s normou ISO 27001 je již v některých regulovaných odvětvích zákonným požadavkem. V mnoha odvětvích je také oficiálně nebo neoficiálně základním požadavkem na shodu při uzavírání smluv o poskytování služeb nebo podobných smluv.

Vzhledem k tomu, že dotazník ISA 6.0 vychází rovněž z této normy, tvoří certifikovaný systém řízení bezpečnosti informací již dobrý základ pro audit ^TISAX®. ^TISAX® však vyžaduje konkrétní implementaci ISMS s podrobnými požadavky "musí" a "měl by" a navíc další požadavky na vysokou nebo velmi vysokou úroveň ochrany.

Kromě ISMS poskytuje solidní základ norma IEC 62443 a z ní vyplývající nové požadavky v katalogu ISA. Pododdíl 2 normy popisuje strukturu systému řízení průmyslové kybernetické bezpečnosti. Pododdíl 2-1 se mimo jiné zabývá vytvořením bezpečnostního programu pro průmyslové automatizační a řídicí systémy.

Při přípravě těchto oblastí se IEC (Mezinárodní elektrotechnická komise) opět řídila normou ISO 27001, jejíž mnohé postupy a mechanismy lze aplikovat i na řídicí systémy. To znamená, že do auditu jsou zahrnuty průmyslové komunikační sítě a automatizační a řídicí systémy (IACS).

Katalog ISA 6.0: Jaké lhůty platí pro uživatele?

Přechod na katalog auditů ISA 6.0 se uskuteční 1. dubna 2024. Každý, kdo si objedná posouzení TISAX® do 31. března včetně, může být stále auditován podle starého katalogu ISA 5.1. Posouzení zadaná od 1. dubna příštího roku mohou být prováděna pouze podle nové verze katalogu ISA 6.0.

Na jedné straně to znamená, že posuzování bude od dubna 2024 složitější, ale na druhé straně se zvýšená úroveň zabezpečení vaší společnosti vyplatí. Je důležité, abyste se na nové požadavky včas připravili a svědomitě je zavedli, abyste mohli těžit ze zvýšené důvěry v nové označení ^TISAX®.

Veškeré auditní činnosti, které jsou závislé na stávajících posouzeních, jako jsou posouzení plánu nápravných opatření, následná opatření, posouzení rozšíření rozsahu nebo zjednodušená skupinová posouzení, budou nadále prováděny v souladu s verzí ISA, podle které bylo provedeno původní posouzení.

Katalog ISA 6.0 Změny 2024: Závěr

Vydání Katalogu ISA 6.0 je významnou událostí ve vyvíjejícím se světě automobilových norem a shody. Tato aktualizace představuje pokračující závazek k dokonalosti, přesnosti a rostoucímu významu bezpečnosti informací v automobilovém průmyslu. Se zavedením změněných značek důvěrnosti a dostupnosti a širšího rozsahu zahrnujícího systémy provozních technologií (OT) se automobilový sektor nadále vyvíjí směrem k vyšším standardům kvality a bezpečnosti.

Společnost DQS je schválena společností ENX jako poskytovatel služeb posuzování, a proto může provádět posuzování ^TISAX® po celém světě. Máme auditory ^TISAX®, kteří jsou rovněž schváleni pro mezinárodní normu pro bezpečnost informací ISO 27001. To znamená, že obě normy může DQS posuzovat současně a s menším dodatečným úsilím. Těšíme se na rozhovor s vámi.

Poznámka: Přístup do systému ^TISAX® je možný prostřednictvím registrace účastníka, kterou je třeba provést online na portálu ENX. To je předpokladem pro to, abyste mohli pověřit schváleného poskytovatele služeb hodnocení, jako je DQS.

^TISAX® 6.0 - základní informace

^TISAX® vychází z katalogu VDA ISA, který vyvinulo německé Sdružení automobilového průmyslu (VDA), komplexního dotazníku, který v podstatě vychází z tzv. kontrolních mechanismů, referenčních opatření z přílohy A normy ISO 27001 pro bezpečnost informací, a je přizpůsoben dalším specifickým požadavkům automobilového průmyslu.

Norma bezpečnosti informací byla mezitím revidována a 25. října 2022 zveřejněna jako nová norma ISO/IEC 27001:2022. Revize se týká zejména přílohy A. Odpovídající přizpůsobení novým kontrolám bylo provedeno také u verze 6.0 ISA.

^TISAX® je určen především společnostem, které chtějí nebo potřebují prokázat určitou úroveň zabezpečení a dostupnosti informací pro spolupráci s (účastnícím se) výrobcem automobilů. Za provádění a monitorování postupu odpovídá sdružení ENX se sídlem ve Frankfurtu nad Mohanem a v Paříži. ENX je sdružení evropských výrobců automobilů, dodavatelů a čtyř národních sdružení automobilového průmyslu, včetně německého zakladatele ENX VDA.

Důvěra a odborné znalosti

Naše texty a brožury píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Máte-li jakékoli dotazy k obsahu textů nebo k našim službám pro jejich autora, kontaktujte nás.