Nové etikety TISAX®: co je třeba zvážit

• Změněné podmínky - nové požadavky
• Proč byly zavedeny nové štítky Dostupnost a Důvěrnost TISAX®?
• Přehled nových štítků TISAX®
• Které štítky TISAX®  společnosti potřebují
• Cíle hodnocení, štítky a úrovně hodnocení - stručné vysvětlení rozdílů
• Pro certifikaci podle starého katalogu ISA je vyžadována analýza GAP
• Nové štítky TISAX® - Závěr
• DQS je váš spolehlivý partner

Proč byly zavedeny nové štítky TISAX® Dostupnost a Důvěrné?

Dodavatelé a poskytovatelé služeb jsou úzce zapojeni do vývojových a výrobních procesů výrobců automobilů - někdy však plní velmi odlišné role: Některé společnosti mají svěřeny velmi citlivé informace, ale nakonec se již na skutečné výrobě nepodílejí. Jiné dodávají zásadně důležité komponenty pro výrobu vozidel, ale nemají žádný vhled do obchodních tajemství zadavatele.

Aby se tyto rozdílné role lépe odrážely, bylo staré označení "bezpečnost informací" rozděleno na dvě nová označení -"dostupnost" a"důvěrné". Dodavatelé a poskytovatelé služeb již nemusí nutně splňovat všechny požadavky katalogu ISA 6.0, protože každý štítek představuje pouze jejich podmnožinu. Cílem tohoto rozdělení je snížit zátěž společností a zefektivnit proces auditu.

Je však třeba poznamenat, že katalog ISA (Information Security Assessment) byl vzhledem ke změněnému prostředí hrozeb rozšířen o několik dalších požadavků. Kromě ochrany tajemství by měla být zajištěna také schopnost dodávek - klíčové slovo: just-in-time produkce -, která je stále více ohrožena útoky ransomwaru. Nové požadavky proto zahrnují také robustnější ochranná opatření pro OT systémy.

Přehled nových štítků TISAX®

Pro společnosti, kterým byly svěřeny citlivé informace, tj. obchodní tajemství nebo osobní údaje, jsou nyní k dispozici štítky "Důvěrné" a "Přísně důvěrné". Štítky "Vysoká dostupnost" a "Velmi vysoká dostupnost" jsou určeny pro dodavatele, kteří hrají zásadní roli při zajišťování dodávek společnosti.

Opatření, která musí být zavedena pro nové štítky TISAX® - kromě základních požadavků - jsou jasně vyznačena v katalogu hodnocení ISA 6.0: Pro důvěrnost s "C", pro dostupnost s "A". Mnohé požadavky jsou označeny oběma písmeny, a proto se vztahují na obě nové značky.

"Důvěrné"

Označení "Důvěrné" se zaměřuje na ochranu důvěrných informací, jejichž neoprávněné vyzrazení může mít značné negativní důsledky, jako je ztráta pověsti, trestní stíhání nebo finanční škody.

V kontrolách katalogu ISA je ve sloupci "Další požadavky pro vysoké potřeby ochrany" definováno 28 specifických požadavků označených písmenem "C", které musí být pro toto označení splněny.

Následující kontroly si zaslouží zvláštní pozornost vzhledem k náročnosti jejich provádění (požadavky v závorkách):

• 3.1.3 (Chraňte a bezpečně likvidujte informace na podpůrných zařízeních, jako jsou tiskárny, skartovačky, fotoaparáty nebo papír).
• 3.1.4 (Šifrování dat na mobilních zařízeních)
• 5.1.1 (Právní ochrana kontroly nad vlastními údaji prostřednictvím smluv, specifikací, ujištění, zejména pro externí zpracování údajů)
• 5.1.2 (Šifrování digitálních přenosových cest pro informace)

Zde uvedené kontroly jsou označeny pouze písmenem "C", nikoliv "A". To znamená, že se týkají pouze důvěrnosti. Tyto požadavky by proto nemusely být splněny v rámci procesu auditu, jehož cílem je pouze označení dostupnosti.

"Přísně důvěrné"

Označení "Přísně důvěrné" se zaměřuje na ochranu přísně důvěrných a tajných informací, jejichž neoprávněné vyzrazení může mít katastrofální nebo dokonce život ohrožující důsledky, jako je vážné poškození pověsti, závažné trestní následky nebo velmi vysoké finanční ztráty.

V kontrolách dotazníku ISA je ve sloupci "Dodatečné požadavky pro velmi vysoké potřeby ochrany" definováno devět specifických požadavků označených písmenem "C", které musí být pro toto označení splněny - navíc k požadavkům pro označení "Důvěrné".

Následující kontroly vyžadují zvláštní pozornost vzhledem k náročnosti jejich provádění:

• 1.6.1 (Provádějte a doložte pravidelná cvičení pro zvládání incidentů v oblasti bezpečnosti informací)
• 4.1.2 (Dvoufaktorová autentizace - nebo vyšší - pro přístup k informacím s velmi vysokými požadavky na ochranu)
• 4.2.1 (Šifrování informací s obzvláště vysokými požadavky na ochranu; čtvrtletní přezkoumání přidělených přístupových práv z hlediska vhodnosti)
• 5.1.2 (Šifrování obsahu informací pro digitální přenos)
• 5.2.4 (Protokolování přístupu k informacím se zvlášť vysokými požadavky na ochranu)
• 5.2.8 (Koncepce zálohování dat s alternativními místy pro ukládání a zálohování)
• 5.3.1 (Kontrola bezpečnosti softwaru vyvinutého ve firmě nebo pro zákazníka - během implementace, v případě změn a v pravidelných intervalech).

Podstatné je také upozornit na jasné odlišení od štítků pro dostupnost: Konkrétně požadavky uvedené zde u kontrol 4.1.2, 4.2.1, 5.1.2 a 5.2.4 jsou označeny pouze písmenem "C". To znamená, že jsou relevantní pouze pro proces auditu pro označení "Přísně důvěrné".

"Vysoká dostupnost"

Společnosti vyžadují označení "Vysoká dostupnost", pokud dostupnost jejich vlastních produktů nebo služeb přímo ovlivňuje výrobní nebo dodací schopnosti závislých společností a jejich selhání vede ke značným škodám. Běžnými příklady jsou dodavatelé výrobních materiálů typu just-in-time nebo vysoce specializovaní dodavatelé služeb či surovin, které nelze okamžitě nahradit.

V kontrolách katalogu ISA 6.0 je ve sloupci "Dodatečné požadavky pro vysoké potřeby ochrany" definováno 36 požadavků, které jsou označeny písmenem "A", a proto musí být pro toto označení splněny.

Následující kontroly vyžadují zvláštní pozornost při implementačním úsilí:

• 1.6.3 (Příprava na krizové situace: Krizové scénáře, kontakty, komunikační strategie, pravidelná simulace krizových situací).
• 5.2.8 (Opatření k prevenci narušení způsobených interními hrozbami - např. ochrana záloh - a výpadky externích služeb, např. prostřednictvím vhodných smluv o poskytování služeb)
• 5.2.9 (Koncepce zálohování a obnovy: pravidelná kontrola záloh a testování obnovy)
• 5.3.2 (Monitorování síťového provozu, analýzy dostupnosti centrálních služeb)

Zde uvedené požadavky jsou označeny pouze písmenem "A", tj. týkají se pouze dostupnosti. Proto nemusí být splněny v procesu auditu, jehož cílem je pouze označení důvěrnosti.

"Velmi vysoká dostupnost"

Společnosti vyžadují označení "Velmi vysoká dostupnost", pokud krátkodobá dostupnost jejich vlastních produktů nebo služeb vážně ovlivňuje výrobní nebo dodavatelskou schopnost závislých společností a výpadky vedou ke značným škodám. Typickým příkladem jsou just-in-time dodavatelé, jejichž výpadek by vedl k rychlému a rozsáhlému zastavení výroby s velmi dlouhou dobou opětovného spuštění.

V kontrolách katalogu ISA je ve sloupci "Dodatečné požadavky pro velmi vysoké potřeby ochrany" definováno 13 požadavků. Tyto požadavky jsou označeny písmenem "A", a proto musí být pro toto označení splněny - navíc k požadavkům pro označení "Vysoká dostupnost".

Následující kontroly vyžadují zvláštní pozornost vzhledem k náročnosti jejich implementace:

• 1.6.1 (Provádění a doložení pravidelných cvičení pro zvládání incidentů v oblasti bezpečnosti informací.
• 1.6.2 (Provádění i vzácných typů incidentů v oblasti bezpečnosti informací)
• 1.6.3 (Provádění a poskytování důkazů o pravidelných cvičeních na zvládání krizových situací)
• 5.2.6 (Pravidelná plně automatizovaná systémová analýza informačních systémů s přihlédnutím k OT/průmyslovým kontrolním systémům)
• 5.2.8 (Koncepce zálohování dat s alternativními místy pro ukládání a zálohování; koordinace vlastních havarijních plánů s havarijními plány externích poskytovatelů služeb; strategie zálohování s náhradními systémy a náhradními místy pro ukládání a zálohování pro zachování obchodních procesů)
• 5.2.9 (Pravidelné testování koncepce zálohování dat; geograficky rozmístěné lokality pro zálohování; co nejvíce izolované zálohovací systémy s technicky neměnnými zálohami)
• 5.3.1 (Kontrola bezpečnosti softwaru vyvinutého ve vlastní režii nebo pro zákazníka - během implementace, v případě změn a v pravidelných intervalech)

Zde uvedené požadavky kontrol 1.6.2, 1.6.3, 5.2.6 a 5.2.9 se kontrolují pouze během procesu auditu pro označení "velmi vysoká dostupnost", a proto nejsou relevantní pro označení TISAX pro důvěrnost.

Obecně platí, že oba štítky pro "Dostupnost" zvyšují důraz na zachování produkčních schopností (OT). Interním znalostem společnosti o doporučeních výrobců OT, rizicích OT a bezpečnostních opatřeních pro sítě OT a řízení OT bude při auditu věnována větší pozornost.

Které štítky TISAX® společnosti potřebují

Otázka, které štítky jsou v praxi potřeba, přirozeně závisí především na roli společnosti v dodavatelském řetězci. V každé fázi dodavatelského řetězce si společnosti musí položit otázku, na kterých dodavatelích jsou závislé a kterým dodavatelům jsou svěřeny citlivé informace.

Řízení dodavatelů vyžadované systémem TISAX® v každé fázi proto vede ke kaskádovitému šíření požadavků na štítky specifické pro danou roli v dodavatelském řetězci. Zde je obzvláště užitečný mechanismus výměny, v němž se dodavatel může odvolat na existující štítky, aby prokázal splnění požadavků. Výsledky posouzení lze zpřístupnit kterékoli zainteresované straně.

Předpokládejme, že společnost preventivně požaduje oba nové štítky, přestože štítek důvěrnosti nebo dostupnosti není potřeba. V takovém případě rozhodně stojí za to vést další diskusi o vzájemném chápání rolí s ohledem na potenciálně výrazně vyšší náklady na implementaci.
Je třeba vzít v úvahu také souvislost mezi označením TISAX a úrovněmi hodnocení: Značky "Velmi vysoká dostupnost" a "Přísně důvěrné" lze udělit pouze na základě posouzení na úrovni 3, tj. na základě posouzení na místě.

Cíle posuzování, štítky a úrovně posuzování - stručné vysvětlení rozdílů

V předchozí části jsme použili několik pojmů, které zde stručně vysvětlíme a vzájemně odlišíme:

• Cíl posouzení ^TISAX®: na základě specifikací svých výrobních partnerů dodavatelé pomocí cílů posouzení určují, které požadavky musí při auditu splnit.
• Štítek ^TISAX®: Po úspěšném absolvování auditu obdrží společnosti v databázi ^TISAX® štítek TISAX® pro vybraný cíl hodnocení jako potvrzení, že splnily požadavky.
• Úroveň ^TISAX®: Splnění požadavků se posuzuje odlišně v závislosti na úrovni hodnocení. Úroveň 1 je čistě sebehodnocení. Na úrovni 2 je věrohodnost sebehodnocení kontrolována externím auditorem a doplněna rozhovory na dálku. Na úrovni 3 kontroluje auditor účinnost na místě.

Pro certifikaci podle starého katalogu ISA je vyžadována analýza GAP.

Důležité pro společnosti, které jsou stále certifikovány podle starého označení "Info":

• Aby byla přechodná fáze co nejméně komplikovaná, byly společnostem se štítkem "Info High" automaticky přiděleny štítky "Confidential" a "High Availability", a to až do doby vypršení jejich platnosti.
• Podobně byl štítek "Info Very High" přeměněn na štítky "Přísně důvěrné" a "Velmi vysoká dostupnost".

To se týká i auditních procesů, jejichž nabídky byly přijaty před 1. dubnem, a následných rozšíření rozsahu, přičemž oba tyto procesy mohou být nadále prováděny podle starého katalogu ISA 5.1.

Je však třeba poznamenat, že příslušné společnosti musí být certifikovány v souladu s tehdy platným katalogem auditů ISA, jakmile vyprší platnost jejich štítků TISAX, které jsou platné po dobu tří let. Nová certifikace musí být k dispozici, jakmile vyprší platnost starého štítku. Odpovědným osobám se proto doporučuje provést analýzu nedostatků včas, aby mohly včas provést úpravy systému řízení bezpečnosti informací (ISMS) a připravit se na další audit ^TISAX®.

Pro tuto analýzu mezer poskytlo sdružení ENX speciální katalog požadavků, v němž jsou uvedeny a červeně označeny všechny změny mezi verzemi ISA 5.1 a ISA 6.0. Díky tomu mohou společnosti na první pohled zjistit, které nové požadavky byly přidány. Co je třeba vzít v úvahu: Jedná se o pomocný dokument. Pro účely auditu by si společnosti měly vždy stáhnout nejnovější verzi katalogu auditů ISA z webových stránek ENX.

Zejména jsou patrné následující změny:

• Nová kontrola 1.3.4 může vyžadovat investice do nového softwaru, například pro správu licencí.
• Rozsáhle upravené kontroly 1.6.1 a 1.6.2 nyní vyžadují koordinovanou a pravidelně testovanou reakci na incidenty.
• Kontrola 3.1.2 byla nahrazena novými kontrolami 1.6.3, 5.2.8 a 5.2.9, které ukládají řadu nových požadavků týkajících se řešení krizových situací, řízení kontinuity provozu a zálohování dat.

Nové štítky TISAX® - závěr

Nové štítky pro důvěrnost a dostupnost by měly v budoucnu zajistit větší efektivitu certifikace ^TISAX®, protože audity se nyní provádějí podle jednotlivých rolí. To znamená, že dodavatelé a poskytovatelé služeb již nemusí implementovat všechny požadavky uvedené v katalogu. Je však patrné, že pro označení dostupnosti je třeba splnit více požadavků než pro označení důvěrnosti. To je způsobeno novým zaměřením na zajištění schopnosti dodávek a zabezpečení prostředí OT, které bylo zahrnuto do všech kontrol současného katalogu ISA.

Revidovaný a částečně rozšířený katalog obsahuje také několik nových požadavků, z nichž některé lze splnit pouze s určitým úsilím a odpovídajícím časovým předstihem. Proto se společnostem s certifikací podle starého katalogu doporučuje včasná analýza nedostatků, protože nové štítky získaly "pouze" automatickou konverzí starého štítku pro bezpečnost informací.

Zvláštní problémy vznikají u zákazníků, kteří v minulosti obdrželi své etikety v rámci postupu rotačního vzorkování (Rotating SGA). Z nákladových důvodů by tyto společnosti chtěly v posledním roce platnosti štítku přejít na skutečný postup odběru vzorků (SGA na základě vzorků). Proto musí ve třetím roce dokončit posouzení rotačního postupu SGA, převést svůj systém ISMS na nový katalog ISA a dokončit posouzení SGA na základě vzorků před vypršením platnosti štítku, aby mohly bezproblémově prodloužit platnost štítku.

DQS je váš spolehlivý partner

^TISAX® - stejně jako ENX VCS pro kybernetickou bezpečnost vozidel - byl vyvinut sdružením ENX. Společnost DQS je schválena sdružením ENX jako poskytovatel služeb posuzování, a proto může provádět posuzování po celém světě - a je také sama certifikována pro systém ^TISAX®. A protože mnoho našich ^{auditorů TISAX®}je akreditováno také pro mezinárodní normu pro bezpečnost informací ISO 27001, můžeme posuzovat obě normy současně a s menším dodatečným úsilím. Těšíme se na rozhovor s vámi.

Poznámka: Přístup do systému ^TISAX® je možný prostřednictvím registrace účastníka, kterou je třeba provést online na portálu ENX. To je předpokladem pro to, abyste mohli pověřit schváleného poskytovatele služeb posuzování, jako je DQS.

Důvěra a odborné znalosti

Naše texty a brožury píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Máte-li jakékoli dotazy k obsahu textů nebo k našim službám pro jejich autora, kontaktujte nás.