Nuevo Catálogo ISA 6.0 válido a partir del 1 de abril de 2024

CONTENIDO

Las crecientes amenazas requieren ajustes en el catálogo de ISA

Etiqueta "Disponibilidad": ampliación a las instalaciones de producción

Etiqueta "Confidencialidad": protección de información sensible

¿Qué significan los nuevos requisitos para una futura TISAX? ^® ¿auditoría?

ISO 27001 e IEC 62443 como base sólida

Cambios del catálogo ISA 6.0 2024: Conclusión

TISAX 6.0 - antecedentes

Las crecientes amenazas requieren ajustes en el catálogo de ISA

En vista de la gran importancia y complejidad de las cadenas de suministro, la información de extremo a extremo y la ciberseguridad desempeñan un papel clave en la industria automotriz. Al fin y al cabo, los proveedores participan estrechamente en los procesos de desarrollo y producción. Esto significa que a menudo tienen acceso a información muy sensible y sensible y deben tener un alto nivel de resiliencia. Las tensiones geopolíticas y la creciente digitalización y creación de redes de la cadena de suministro están generando riesgos cada vez mayores para la seguridad de la información.

Como consecuencia de esta dinámica, la actual  Catálogo VDA ISA 5.1 Ha sido actualizado. La versión 6.0 se publicó en inglés el 16 de octubre de 2023 y estuvo disponible para su descarga.

El nuevo catálogo de preguntas ISA 6.0 marca un hito importante para  tisax ^® . Esto conduce a ajustes en los requisitos para los proveedores de auditoría establecidos en la TISAX. ^® Normativa ACAR 2.2. El cambio al inglés como idioma principal del catálogo ISA 6.0 subraya la perspectiva global y los esfuerzos conjuntos para desarrollar aún más el catálogo de requisitos en grupos de trabajo globales.

Nuevas etiquetas reemplazan la conocida etiqueta de "seguridad de la información"

Los principales cambios en el catálogo ISA 6.0 se refieren al módulo "Seguridad de la información" y al sistema de etiquetas asociado de TISAX. ^® . En el futuro, la conocida etiqueta "Seguridad de la información" será completamente reemplazada por las dos etiquetas "Disponibilidad" y "Confidencialidad".

Etiqueta "Disponibilidad" en el catálogo ISA 6.0: ampliación a las instalaciones de producción

En el nuevo catálogo de ISA se han específico las etiquetas “Disponibilidad alta” y “Disponibilidad muy alta”. Como resultado, los sistemas OT (tecnología operativa) se convertirán en un foco de atención para futuras auditorías.

La creciente interconexión de entornos de producción, es decir, los sistemas de control de automatización industrial (IACS) y sus redes, genera una serie de nuevos desafíos para la seguridad de la información. Las instalaciones de producción abarcan redes extremadamente extensas con una multitud de tecnologías y protocolos especializados.

En muchos aspectos, se diferencian fundamentalmente de los sistemas de TI: los entornos de producción generalmente están diseñados para funcionar durante muchos años y, una vez que funcionan sin problemas, se dejan lo más tranquilos posible, excepto para los trabajos regulares de mantenimiento y reparación. Esto significa que en muchos componentes todavía se utilizan sistemas operativos, protocolos de comunicación o algoritmos de cifrado obsoletos.

Durante mucho tiempo, los procesos automáticos de parches y actualizaciones no eran deseables o al menos se consideraban críticamente. Era demasiado grande el temor de que el complejo proceso de producción pudiera desincronizarse y causar pérdidas económicas considerables. Los sistemas distribuidos y las redes de comunicación a gran escala, a los que muchos empleados pueden acceder, también ofrecen múltiples puntos físicos de ataque.

La fiabilidad y disponibilidad de los sistemas de producción automatizados no sólo son extremadamente importantes desde el punto de vista empresarial, sino también porque las desviaciones en el proceso pueden causar daños y pérdidas financieras considerables.

Para integrar todos estos aspectos específicos de OT en el catálogo ISA 6.0, ENX y VDA se han orientado a la serie de normas IEC 62443, válida internacionalmente, y en particular a la subsección 2-1.

Etiqueta "Confidencialidad": Protección de información sensible

Si a una empresa se le confía información confidencial, debe demostrar que puede protegerla adecuadamente. Las etiquetas "Confidencialidad alta" o "Confidencialidad estricta" se utilizan para seleccionar aquellos requisitos del Catálogo ISA 6.0 que contribuyen a este objetivo de protección.

¿Qué significa esto para una futura TISAX? ^® ¿auditoría?

Las nuevas etiquetas permiten auditar según los posibles roles que desempeña un proveedor en la cadena de suministro. Si un proveedor ha sido identificado como particularmente importante para la cadena de suministro, puede utilizar la etiqueta "Disponibilidad" para demostrar su fiabilidad. Si a un proveedor se le confía información especialmente sensible, puede utilizar la etiqueta "Confidencialidad" para demostrar que ha tomado las precauciones adecuadas para proteger esta información. Si un proveedor asume la responsabilidad de ambos roles, puede ser auditado para ambas etiquetas.

Se debe cumplir el mismo conjunto de requisitos básicos para ambas etiquetas. Además, existen requisitos específicos para necesidades de protección alta y muy alta para cada etiqueta. Esto significa que la auditoría se realiza en función de la etiqueta.

También se realizará una transición del sistema de etiquetas en el TISAX ^® base de datos. En el futuro, la etiqueta "Seguridad de la información alta" será reemplazada por las dos etiquetas combinadas "Disponibilidad alta" y "Confidencialidad alta". Lo mismo se aplica a la etiqueta "Seguridad de la información muy alta", que en el futuro será sustituida por las etiquetas "Disponibilidad muy alta" y "Confidencialidad estricta". Esto sucederá automáticamente para todos los participantes que ya tengan una etiqueta de "seguridad de la información" en el TISAX. ^® plataforma.

El objetivo principal de las auditorías selectivas descritas anteriormente es garantizar que las empresas sólo tengan que cumplir los requisitos del cuestionario ISA 6.0 que sean relevantes para ellas. Al mismo tiempo, surgen nuevos desafíos para las empresas manufactureras, ya que los sistemas OT ahora deben estar sujetos a una gestión similar a la que ya se requiere generalmente para  tisax ^® Sistemas informáticos.

Por lo tanto, dependiendo de cada caso, las empresas deben contar con requisitos adicionales que deben reforzarse en el sistema de gestión de seguridad de la información (SGSI) y que pueden generar mayores gastos.

Nuevos requisitos en la versión 6.0

• Seguridad y continuidad operativa : La OT desempeña un papel crucial en las instalaciones de producción en las que los sistemas automatizados como el IACS son de vital importancia. Garantizar la disponibilidad de estos sistemas no es sólo una cuestión de productividad, sino también de seguridad. Los empleados suelen trabajar muy cerca de estos sistemas automatizados y cualquier tipo de mal funcionamiento podría suponer un grave riesgo para la seguridad. Por ejemplo, los sensores o controles OT mal calibrados pueden poner en riesgo a personas y equipos valiosos.
• Gestión de riesgos : Con la inclusión de OT en el alcance, las empresas deben considerar los riesgos específicos asociados con estos sistemas. Los sistemas OT deben regularse, clasificarse y monitorearse de tal manera que los riesgos emergentes puedan contrarrestarse de manera efectiva. Para estas tareas deberán designarse personas responsables.
• Control de acceso : El acceso de los proveedores de servicios a las redes OT con fines de mantenimiento es una cuestión crítica. Los controles de acceso adecuados y los protocolos detallados son esenciales para mantener la seguridad y la integridad de los sistemas OT.
• Competencia del personal : El personal responsable de la operación de los sistemas OT debe estar adecuadamente capacitado, ser competente y consciente de los riesgos potenciales de la operación. Las consideraciones de personal, incluidas las verificaciones de antecedentes para puestos sensibles, son cruciales debido a la importancia de estos sistemas.
• Gestión del ciclo de vida : La gestión eficaz de los sistemas OT durante todo su ciclo de vida, incluida la reparación, el transporte y la eliminación, es fundamental para minimizar los riesgos asociados con el acceso y los datos de los dispositivos locales.
• Medidas de seguridad : La OT debe estar protegida de posibles ataques mediante soluciones de seguridad sólidas, como software antivirus, cortafuegos o la reducción de interfaces y servicios abiertos.
• Auditorías y evaluación de vulnerabilidades : Se requieren auditorías técnicas periódicas del sistema para verificar el refuerzo de los sistemas OT de acuerdo con las especificaciones del fabricante e identificar vulnerabilidades conocidas.
• Segmentación de red : Las redes deben segmentarse adecuadamente según el propósito y el riesgo, también para proteger los entornos de TI y OT entre sí.
• Copia de seguridad y recuperación : Los planes integrales de respaldo y recuperación son esenciales para garantizar la continuidad del negocio en los sistemas OT.
• Niveles de servicio y seguimiento. : Se deben implementar niveles de servicio y definiciones de disponibilidad adecuados y monitorearlos continuamente para los servicios de red OT.
• Proveedores externos : Si los proveedores de servicios externos utilizan dispositivos OT, el nivel de seguridad de la información relativa al acceso y otra información almacenada en el dispositivo debe estar regulado para el proveedor externo.

ISO 27001 e IEC 62443 como base sólida

Un SGSI de acuerdo con  ISO 27001 ya es un requisito legal en algunas industrias reguladas. En muchos sectores, también es, oficial o extraoficialmente, un requisito de cumplimiento básico para celebrar acuerdos de servicio o similares.

Dado que el cuestionario ISA 6.0 también se basa en este estándar, un sistema de gestión de seguridad de la información certificado ya constituye una buena base para una  tisax ^® auditoría . Sin embargo, TISAX ^® requiere una implementación específica del SGSI con requisitos detallados de "deberá" y "debería", además de requisitos adicionales para un nivel de protección alto o muy alto.

Además del ISMS, el estándar IEC 62443 y los nuevos requisitos resultantes del catálogo ISA proporcionan una base sólida. El apartado 2 de la norma describe la estructura de un sistema de gestión de ciberseguridad industrial. La subsección 2-1 cubre, entre otras cosas, el establecimiento de un programa de seguridad para los sistemas de control y automatización industrial.

Al redactar estas áreas, la IEC (Comisión Electrotécnica Internacional) volvió a guiarse por la norma ISO 27001, muchos de cuyos procesos y mecanismos también pueden aplicarse a los sistemas de control. Esto significa que las redes de comunicaciones industriales y los sistemas de control y automatización (IACS) están incluidos en la auditoría.

Catálogo ISA 6.0: ¿Qué plazos aplican para los usuarios?

El cambio al catálogo de auditoría ISA 6.0 se producirá el 1 de abril de 2024. Cualquiera que encargue un  Evaluación TISAX® hasta el 31 de marzo inclusive aún pueden ser auditados según el antiguo catálogo ISA 5.1. Las evaluaciones encargadas a partir del 1 de abril del próximo año sólo podrán realizarse de acuerdo con la nueva versión 6.0 del catálogo ISA.

Esto significa, por un lado, que la evaluación será más compleja a partir de abril de 2024, pero, por otro lado, el mayor nivel de seguridad valdrá la pena para su empresa. Es importante que se prepare para los nuevos requisitos desde el principio y los implemente concienzudamente para beneficiarse de una mayor confianza en el nuevo TISAX. ^® etiqueta.

Todas las actividades de auditoría que dependen de evaluaciones existentes, tales como Evaluaciones de Planes de Acción Correctivas, Seguimientos, Evaluaciones de Ampliación de Alcance o Evaluaciones Grupales Simplificadas, continuarán realizándose de acuerdo con la versión de la NIA según la cual se realizó la evaluación original.

Enmiendas al Catálogo ISA 6.0 2024: Conclusión

El lanzamiento del Catálogo ISA 6.0 es un evento importante en el mundo en evolución de los estándares y el cumplimiento de las normas automotrices. Esta actualización representa un compromiso continuo con la excelencia, la precisión y la creciente importancia de  seguridad de información en la industria automotriz. Con la introducción de etiquetas modificadas de confidencialidad y disponibilidad y un alcance más amplio que abarca los sistemas de tecnología operativa (OT), el sector automotriz continúa evolucionando hacia estándares más altos de calidad y seguridad.

DQS está aprobado por ENX como proveedor de servicios de evaluación y, por lo tanto, puede realizar  tisax ^® evaluaciones mundial. Disponemos de TISAX. ^® Auditores que también están aprobados por el estándar internacional de seguridad de la información  ISO 27001 . Esto significa que DQS puede evaluar ambos estándares al mismo tiempo y con menos esfuerzo adicional. Esperamos hablar con usted.

Nota : Acceso a TISAX ^® es a través del registro de participantes, que deberá realizarse online en el Portal ENX . Este es el requisito previo para poder contratar a un proveedor de servicios de evaluación autorizado como DQS.

tisax ^® 6.0 - información general

tisax ^® se basa en el catálogo VDA ISA desarrollado por la Asociación Alemana de la Industria Automotriz (VDA ), un cuestionario completo que se basa esencialmente en los llamados "controles", las medidas de referencia del Anexo A de la norma de seguridad de la información ISO 27001, y está adaptado a otros requisitos específicos del automóvil.

Desde entonces, el estándar de seguridad de la información ha sido revisado y publicado como el  nueva norma ISO/IEC 27001:2022 el 25 de octubre de 2022. El Anexo A en particular se ve afectado por la revisión. También se ha realizado la correspondiente adaptación a los nuevos controles con ISA versión 6.0.

tisax ^® está dirigido principalmente a empresas que desean o necesitan demostrar un cierto nivel de seguridad y disponibilidad de la información para una colaboración con un fabricante de automóviles (participante). El Asociación ENX , con sede en Frankfurt am Main y París, es responsable de la implementación y seguimiento del procedimiento. ENX es una asociación de fabricantes y proveedores de automóviles europeos y cuatro asociaciones automotrices nacionales, incluida la VDA, fundadora alemana de ENX.

Confianza y experiencia

Nuestros textos y folletos están escritos exclusivamente por nuestros expertos en normas o auditores de larga data. Si tiene alguna pregunta sobre el contenido del texto o nuestros servicios a nuestro autor, contáctenos.