Nowy katalog ISA 6.0 ważny od 1 kwietnia 2024 r.

TREŚĆ

Rosnące zagrożenia wymagają dostosowania katalogu ISA

Etykieta "Dostępność": rozszerzenie na zakłady produkcyjne

Etykieta "Poufność": ochrona informacji wrażliwych

Co nowe wymagania oznaczają dla przyszłego audytu ^TISAX®?

ISO 27001 i IEC 62443 jako solidna podstawa

Zmiany w katalogu ISA 6.0 do 2024 r: Podsumowanie

TISAX 6.0 - tło

Rosnące zagrożenia wymagają dostosowania katalogu ISA

Ze względu na duże znaczenie i złożoność łańcuchów dostaw, kompleksowe bezpieczeństwo informacji i cyberbezpieczeństwo odgrywa kluczową rolę w przemyśle motoryzacyjnym. W końcu dostawcy są ściśle zaangażowani w procesy rozwoju i produkcji. Oznacza to, że często mają dostęp do bardzo wrażliwych, poufnych informacji - i muszą mieć wysoki poziom odporności. Napięcia geopolityczne oraz rosnąca cyfryzacja i usieciowienie łańcucha dostaw prowadzą do coraz większych zagrożeń dla bezpieczeństwa informacji.

W konsekwencji tej dynamiki istniejący katalog VDA ISA 5. 1 został zaktualizowany. Wersja 6.0 została opublikowana w języku angielskim 16 października 2023 r. i udostępniona do pobrania.

Nowy katalog pytań ISA 6.0 stanowi znaczący kamień milowy dla ^TISAX®. Prowadzi to do dostosowania wymagań dla dostawców usług audytorskich określonych w przepisach ^TISAX® ACAR 2.2. Przejście na język angielski jako główny język katalogu ISA 6.0 podkreśla globalną perspektywę i wspólne wysiłki na rzecz dalszego rozwoju katalogu wymagań w globalnych grupach roboczych.

Nowe etykiety zastępują znaną etykietę "bezpieczeństwo informacji"

Główne zmiany w katalogu oceny bezpieczeństwa informacji (ISA) 6.0 dotyczą modułu "Bezpieczeństwo informacji" i związanego z nim systemu etykiet ^TISAX®. W przyszłości znana etykieta "Bezpieczeństwo informacji" zostanie całkowicie zastąpiona dwiema etykietami "Dostępność" i "Poufność".

Etykieta "Dostępność" w katalogu ISA 6.0: rozszerzenie na zakłady produkcyjne

W nowym katalogu ISA etykiety "Dostępność wysoka" i "Dostępność bardzo wysoka" zostały uszczegółowione. W rezultacie systemy OT (Operational Technology) staną się bardziej przedmiotem przyszłych audytów.

Rosnące usieciowienie środowisk produkcyjnych, tj. systemów sterowania automatyką przemysłową (IACS) i ich sieci, powoduje szereg nowych wyzwań dla bezpieczeństwa informacji. Zakłady produkcyjne obejmują niezwykle rozległe sieci z wieloma wyspecjalizowanymi technologiami i protokołami.

Pod wieloma względami różnią się one zasadniczo od systemów IT: Środowiska produkcyjne są zazwyczaj projektowane tak, aby działały przez wiele lat, a gdy już działają sprawnie, pozostawia się je w możliwie niezakłóconym stanie, z wyjątkiem regularnych prac konserwacyjnych i naprawczych. Oznacza to, że na przykład przestarzałe systemy operacyjne, protokoły komunikacyjne lub algorytmy szyfrowania są nadal używane w wielu komponentach.

Przez długi czas automatyczne procesy łatania i aktualizacji były niepożądane lub przynajmniej postrzegane krytycznie. Istniała zbyt duża obawa, że złożony proces produkcyjny może zostać niezsynchronizowany i spowodować znaczne straty ekonomiczne. Wielkoskalowe, rozproszone systemy i sieci komunikacyjne, do których dostęp może uzyskać wielu pracowników, oferują również wiele fizycznych punktów ataku.

Niezawodność i dostępność zautomatyzowanych systemów produkcyjnych są niezwykle ważne nie tylko z perspektywy biznesowej, ale także dlatego, że odchylenia w procesie mogą powodować znaczne szkody i straty finansowe.

Aby zintegrować wszystkie te specyficzne dla OT aspekty z katalogiem ISA 6.0, ENX i VDA skupiły się na obowiązującej na całym świecie serii norm IEC 62443, a w szczególności na podsekcji 2-1.

Etykieta "Poufność": Ochrona informacji wrażliwych

Jeśli firmie powierzono poufne informacje, musi ona udowodnić, że jest w stanie odpowiednio je chronić. Etykiety "Poufność wysoka" lub "Poufność ścisła" służą do wyboru tych wymagań ISA Catalog 6.0, które przyczyniają się do osiągnięcia tego celu ochrony.

Co to oznacza dla przyszłego audytu ^TISAX®?

Nowe etykiety umożliwiają audytowanie zgodnie z możliwymi rolami, jakie dostawca odgrywa w łańcuchu dostaw. Jeśli dostawca został zidentyfikowany jako szczególnie ważny dla łańcucha dostaw, może użyć etykiety "Dostępność", aby udowodnić swoją niezawodność. Jeśli dostawcy powierzono szczególnie wrażliwe informacje, może on użyć etykiety "Poufność", aby udowodnić, że podjął odpowiednie środki ostrożności w celu ochrony tych informacji. Jeśli dostawca przyjmuje odpowiedzialność za obie role, może zostać poddany audytowi pod kątem obu etykiet.

Ten sam zestaw podstawowych wymagań musi być spełniony dla obu etykiet. Ponadto dla każdej etykiety istnieją szczególne wymagania dotyczące wysokiego i bardzo wysokiego poziomu ochrony. Oznacza to, że audyt jest przeprowadzany w zależności od etykiety.

Przejście systemu etykiet zostanie również dokonane w bazie danych ^TISAX®. W przyszłości etykieta "Wysoki poziom bezpieczeństwa informacji" zostanie zastąpiona dwiema połączonymi etykietami "Wysoka dostępność" i "Wysoka poufność". To samo dotyczy etykiety "Bezpieczeństwo informacji bardzo wysokie", która w przyszłości zostanie zastąpiona etykietami "Dostępność bardzo wysoka" i "Poufność ścisła". Nastąpi to automatycznie dla wszystkich uczestników, którzy posiadają już etykietę "bezpieczeństwo informacji" na platformie ^TISAX®.

Głównym celem opisanych powyżej selektywnych audytów jest zapewnienie, że firmy muszą spełniać tylko te wymagania kwestionariusza ISA 6.0, które są dla nich istotne. Jednocześnie pojawiają się nowe wyzwania dla firm produkcyjnych, ponieważ systemy OT muszą teraz podlegać zarządzaniu w sposób podobny do tego, który jest już ogólnie wymagany dla systemów informatycznych ^TISAX®.

W zależności od indywidualnego przypadku, firmy muszą zatem spodziewać się dodatkowych wymagań, które muszą zostać zaostrzone w systemie zarządzania bezpieczeństwem informacji (ISMS) i mogą prowadzić do większych kosztów.

Nowe wymagania w wersji 6.0

• Bezpieczeństwo i ciągłość operacyjna: OT odgrywa kluczową rolę w zakładach produkcyjnych, w których zautomatyzowane systemy, takie jak IACS, mają kluczowe znaczenie. Zapewnienie dostępności tych systemów to nie tylko kwestia produktywności, ale także bezpieczeństwa. Pracownicy często pracują w bezpośredniej bliskości tych zautomatyzowanych systemów, a każdy rodzaj awarii może stanowić poważne zagrożenie dla bezpieczeństwa. Na przykład nieprawidłowo skalibrowane czujniki OT lub elementy sterujące mogą stanowić zagrożenie dla ludzi i cennego sprzętu.
• Zarządzanie ryzykiem: Wraz z włączeniem OT w zakres, firmy muszą rozważyć konkretne zagrożenia związane z tymi systemami. Systemy OT powinny być regulowane, klasyfikowane i monitorowane w taki sposób, aby można było skutecznie przeciwdziałać pojawiającym się zagrożeniom. Do tych zadań należy wyznaczyć osoby odpowiedzialne.
• Kontrola dostępu: Dostęp usługodawców do sieci OT w celach konserwacyjnych jest kwestią krytyczną. Właściwa kontrola dostępu i szczegółowe protokoły są niezbędne do utrzymania bezpieczeństwa i integralności systemów OT.
• Kompetencje personelu: Personel odpowiedzialny za obsługę systemów OT musi być odpowiednio przeszkolony, kompetentny i świadomy potencjalnych zagrożeń związanych z ich obsługą. Względy kadrowe, w tym sprawdzanie przeszłości na wrażliwych stanowiskach, mają kluczowe znaczenie ze względu na krytyczność tych systemów.
• Zarządzanie cyklem życia: Skuteczne zarządzanie systemami OT przez cały cykl ich życia, w tym naprawa, transport i utylizacja, ma kluczowe znaczenie dla zminimalizowania ryzyka związanego z lokalnymi danymi urządzeń i dostępem do nich.
• Środki bezpieczeństwa: OT muszą być chronione przed potencjalnymi atakami za pomocą solidnych rozwiązań bezpieczeństwa, takich jak oprogramowanie antywirusowe, zapory ogniowe lub ograniczenie otwartych interfejsów i usług.
• Audyty i ocena podatności: Wymagane są regularne audyty techniczne systemów w celu sprawdzenia zahartowania systemów OT zgodnie ze specyfikacjami producenta i zidentyfikowania znanych luk w zabezpieczeniach.
• Segmentacja sieci: Sieci powinny być odpowiednio segmentowane w zależności od celu i ryzyka - również w celu ochrony środowisk IT i OT przed sobą nawzajem.
• Tworzeniekopii zapasowych i odzyskiwanie danych: Kompleksowe plany tworzenia kopii zapasowych i odzyskiwania danych są niezbędne do zapewnienia ciągłości działania systemów OT.
• Poziomyusług i monitorowanie: Odpowiednie poziomy usług i definicje dostępności muszą być wdrożone i stale monitorowane dla usług sieciowych OT.
• Dostawcy zewnętrzni: Jeśli zewnętrzni dostawcy usług korzystają z urządzeń OT, poziom bezpieczeństwa informacji w zakresie dostępu i innych informacji przechowywanych na urządzeniu musi być regulowany dla dostawcy zewnętrznego.

ISO 27001 i IEC 62443 jako solidna podstawa

SZBI zgodny z normą ISO 27001 jest już wymogiem prawnym w niektórych branżach podlegających regulacjom. W wielu branżach jest to również oficjalnie lub nieoficjalnie podstawowy wymóg zgodności przy zawieraniu umów o świadczenie usług lub podobnych.

Ponieważ kwestionariusz ISA 6.0 jest również oparty na tym standardzie, certyfikowany system zarządzania bezpieczeństwem informacji stanowi już dobrą podstawę do audytu ^TISAX®. ^TISAX® wymaga jednak konkretnego wdrożenia ISMS ze szczegółowymi wymaganiami "musi" i "powinien" oraz dodatkowymi wymaganiami dotyczącymi wysokiego lub bardzo wysokiego poziomu ochrony.

Oprócz ISMS, norma IEC 62443 i wynikające z niej nowe wymagania w katalogu ISA stanowią solidną podstawę. Podsekcja 2 normy opisuje strukturę systemu zarządzania cyberbezpieczeństwem przemysłowym. Podsekcja 2-1 obejmuje między innymi ustanowienie programu bezpieczeństwa dla automatyki przemysłowej i systemów sterowania.

Podczas opracowywania tych obszarów IEC (Międzynarodowa Komisja Elektrotechniczna) ponownie kierowała się normą ISO 27001, której wiele procesów i mechanizmów można również zastosować do systemów sterowania. Oznacza to, że audytem objęte są przemysłowe sieci komunikacyjne oraz systemy automatyki i sterowania (IACS).

ISA Catalog 6.0: Jakie terminy obowiązują użytkowników?

Przejście na katalog audytów ISA 6.0 nastąpi 1 kwietnia 2024 roku. Każdy, kto zleci ocenę TISAX® do 31 marca włącznie, może nadal podlegać audytowi zgodnie ze starym katalogiem ISA 5.1. Oceny zlecone od 1 kwietnia przyszłego roku mogą być przeprowadzane wyłącznie zgodnie z nową wersją 6.0 katalogu ISA.

Z jednej strony oznacza to, że ocena będzie bardziej złożona od kwietnia 2024 r., ale z drugiej strony zwiększony poziom bezpieczeństwa będzie opłacalny dla Twojej firmy. Ważne jest, aby przygotować się na nowe wymagania na wczesnym etapie i wdrożyć je sumiennie, aby skorzystać ze zwiększonego zaufania do nowej etykiety ^TISAX®.

Wszystkie działania audytowe, które zależą od istniejących ocen, takich jak oceny planu działań naprawczych, działania następcze, oceny rozszerzenia zakresu lub uproszczone oceny grupowe, będą nadal przeprowadzane zgodnie z wersją ISA, zgodnie z którą przeprowadzono pierwotną ocenę.

ISA Katalog 6.0 Zmiany 2024: Wnioski

Wydanie Katalogu ISA 6.0 jest znaczącym wydarzeniem w ewoluującym świecie standardów motoryzacyjnych i zgodności. Aktualizacja ta reprezentuje ciągłe zaangażowanie w doskonałość, precyzję i rosnące znaczenie bezpieczeństwa informacji w branży motoryzacyjnej. Wraz z wprowadzeniem zmienionych etykiet poufności i dostępności oraz szerszego zakresu obejmującego systemy technologii operacyjnych (OT), sektor motoryzacyjny nadal ewoluuje w kierunku wyższych standardów jakości i bezpieczeństwa.

DQS jest zatwierdzony przez ENX jako dostawca usług oceny i dlatego może przeprowadzać oceny ^TISAX® na całym świecie. Mamy audytorów ^TISAX®, którzy są również zatwierdzeni dla międzynarodowego standardu bezpieczeństwa informacji ISO 27001. Oznacza to, że oba standardy mogą być oceniane przez DQS w tym samym czasie i przy mniejszym dodatkowym wysiłku. Zapraszamy do kontaktu.

Uwaga: Dostęp do ^TISAX® odbywa się poprzez rejestrację uczestników, którą należy przeprowadzić online na portalu ENX. Jest to warunek wstępny, aby móc zlecić zatwierdzonemu dostawcy usług oceny, takiemu jak DQS.

^TISAX® 6.0 - informacje ogólne

^TISAX® opiera się na katalogu VDA ISA opracowanym przez Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA), kompleksowym kwestionariuszu, który zasadniczo opiera się na tak zwanych "kontrolach", środkach referencyjnych z załącznika A do normy bezpieczeństwa informacji ISO 27001 i jest dostosowany do innych wymagań specyficznych dla branży motoryzacyjnej.

Norma bezpieczeństwa informacji została zmieniona i opublikowana jako nowa norma ISO/IEC 27001:2022 w dniu 25 października 2022 roku. Zmiana dotyczy w szczególności załącznika A. Odpowiednie dostosowanie do nowych kontroli zostało również wprowadzone w wersji ISA 6.0.

^TISAX® jest skierowany przede wszystkim do firm, które chcą lub muszą wykazać pewien poziom bezpieczeństwa i dostępności informacji w ramach współpracy z (uczestniczącym) producentem samochodów. Stowarzyszenie ENX, z siedzibą we Frankfurcie nad Menem i Paryżu, jest odpowiedzialne za wdrażanie i monitorowanie procedury. ENX jest stowarzyszeniem europejskich producentów motoryzacyjnych, dostawców i czterech krajowych stowarzyszeń motoryzacyjnych, w tym niemieckiego założyciela ENX - VDA.

Zaufanie i wiedza specjalistyczna

Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. norm lub wieloletnich audytorów. Jeśli masz jakiekolwiek pytania dotyczące treści tekstu lub naszych usług dla autora, skontaktuj się z nami.