Nowe etykiety TISAX®: na co zwrócić uwagę

• Zmienione warunki - nowe wymagania
• Dlaczego wprowadzono nowe etykiety ^TISAX® Dostępność i Poufność?
• Nowe etykiety ^TISAX® w skrócie
• Jakich etykiet ^TISAX® potrzebują firmy
• Cele oceny, etykiety i poziomy oceny - szybkie wyjaśnienie różnic
• W przypadku certyfikacji zgodnie ze starym katalogiem ISA wymagana jest analiza GAP.
• Nowe etykiety ^TISAX - Wnioski
• DQS jest niezawodnym partnerem

Dlaczego wprowadzono nowe etykiety ^TISAX® Dostępność i Poufność?

Dostawcy i usługodawcy są ściśle zaangażowani w procesy rozwojowe i produkcyjne producentów samochodów - ale czasami pełnią bardzo różne role: Niektórym firmom powierza się bardzo wrażliwe informacje, ale ostatecznie nie są one zaangażowane w rzeczywistą produkcję. Inne dostarczają fundamentalnie ważne komponenty do produkcji pojazdów, ale nie mają wglądu w tajemnice biznesowe firmy zlecającej.

Aby lepiej odzwierciedlić te różne role, stara etykieta "bezpieczeństwo informacji" została podzielona na dwie nowe etykiety -"dostępność" i"poufność". Dostawcy i usługodawcy nie muszą już koniecznie spełniać wszystkich wymagań katalogu ISA 6.0, ponieważ każda etykieta reprezentuje tylko podzbiór. Podział ten ma na celu zmniejszenie obciążenia firm i usprawnienie procesu audytu.

Należy jednak zauważyć, że katalog oceny bezpieczeństwa informacji (ISA) został rozszerzony o kilka dodatkowych wymagań, biorąc pod uwagę zmieniony krajobraz zagrożeń. Oprócz ochrony tajemnic, należy również zapewnić zdolność do dostarczania - słowo kluczowe: produkcja just-in-time - ponieważ jest to coraz bardziej zagrożone atakami ransomware. W związku z tym nowe wymagania obejmują również solidniejsze środki ochronne dla systemów OT.

Nowe etykiety ^TISAX® w skrócie

Dla firm, którym powierzono wrażliwe informacje, tj. tajemnice handlowe lub dane osobowe, dostępne są teraz etykiety "Poufne" i "Ściśle poufne". Etykiety "Wysoka dostępność" i "Bardzo wysoka dostępność" są przeznaczone dla dostawców, którzy odgrywają istotną rolę w zdolności firmy do realizacji dostaw.

Środki, które należy wdrożyć w przypadku nowych etykiet TISAX® - oprócz podstawowych wymagań - są wyraźnie oznaczone w katalogu oceny ISA 6.0: Dla poufności literą "C", dla dostępności literą "A". Wiele wymagań jest oznaczonych obiema literami i dlatego mają one zastosowanie do obu nowych etykiet.

"Poufne"

Etykieta "Poufne" koncentruje się na ochronie informacji poufnych, których nieautoryzowane ujawnienie może mieć poważne negatywne konsekwencje, takie jak utrata reputacji, postępowanie karne lub szkody finansowe.

W kontrolach katalogu ISA, w kolumnie "Dodatkowe wymagania dla wysokich potrzeb ochrony" zdefiniowano 28 konkretnych wymagań oznaczonych literą "C", które muszą zostać spełnione dla tej etykiety.

Poniższe kontrole zasługują na szczególną uwagę ze względu na wysiłek włożony w ich wdrożenie (wymagania w nawiasach):

• 3.1.3 (Ochrona i bezpieczne usuwanie informacji na urządzeniach pomocniczych, takich jak drukarki, niszczarki, kamery lub papier)
• 3.1.4 (Szyfrowanie danych na urządzeniach mobilnych)
• 5.1.1 (Ochrona prawna kontroli nad własnymi danymi poprzez umowy, specyfikacje, zapewnienia, zwłaszcza w przypadku zewnętrznego przetwarzania danych)
• 5.1.2 (Szyfrowanie cyfrowych ścieżek transportu informacji)

Wymienione tutaj kontrole są oznaczone literą "C", a nie "A". Oznacza to, że są one istotne tylko dla poufności. Wymogi te nie muszą być zatem spełnione w procesie audytu, który ma na celu jedynie oznaczenie dostępności.

"Ściśle poufne"

Etykieta "Ściśle poufne" koncentruje się na ochronie ściśle poufnych i tajnych informacji, których nieuprawnione ujawnienie może mieć katastrofalne lub nawet zagrażające życiu konsekwencje, takie jak poważne szkody dla reputacji, poważne konsekwencje karne lub bardzo wysokie straty finansowe.

W kontrolach kwestionariusza ISA w kolumnie "Dodatkowe wymagania dotyczące bardzo wysokiej ochrony" zdefiniowano dziewięć konkretnych wymagań oznaczonych literą "C", które muszą zostać spełnione dla tej etykiety - oprócz tych dla etykiety "Poufne".

Poniższe kontrole wymagają szczególnej uwagi ze względu na ich wysiłek związany z wdrożeniem:

• 1.6.1 (Przeprowadzanie i dostarczanie dowodów regularnych ćwiczeń w zakresie zarządzania incydentami związanymi z bezpieczeństwem informacji)
• 4.1.2 (uwierzytelnianie dwuskładnikowe - lub wyższe - w przypadku dostępu do informacji o bardzo wysokich wymaganiach w zakresie ochrony)
• 4.2.1 (Szyfrowanie informacji o szczególnie wysokich wymaganiach w zakresie ochrony; kwartalny przegląd przydzielonych praw dostępu pod kątem ich adekwatności)
• 5.1.2 (Szyfrowanie treści informacji do transportu cyfrowego)
• 5.2.4 (Rejestrowanie dostępu do informacji o szczególnie wysokich wymaganiach w zakresie ochrony)
• 5.2.8 (Koncepcja tworzenia kopii zapasowych danych z alternatywnymi lokalizacjami przechowywania i przechowywania kopii zapasowych)
• 5.3.1 (Sprawdzanie bezpieczeństwa oprogramowania opracowanego wewnętrznie lub dla klienta - podczas wdrażania, w przypadku zmian i w regularnych odstępach czasu).

Należy również zwrócić uwagę na wyraźne rozróżnienie od etykiet dotyczących dostępności: W szczególności wymagania wymienione tutaj dla kontroli 4.1.2, 4.2.1, 5.1.2 i 5.2.4 są oznaczone tylko literą "C". Oznacza to, że są one istotne tylko dla procesu audytu dla etykiety "Ściśle poufne".

"Wysoka dostępność"

Firmy wymagają etykiety "Wysoka dostępność", jeśli dostępność ich własnych produktów lub usług ma bezpośredni wpływ na zdolność produkcyjną lub dostawczą zależnych firm, a awarie prowadzą do znacznych szkód. Typowymi przykładami są dostawcy materiałów produkcyjnych just-in-time lub wysoce wyspecjalizowani dostawcy usług lub surowców, których nie można szybko zastąpić.

W kontrolach katalogu ISA 6.0 zdefiniowano 36 wymagań w kolumnie "Dodatkowe wymagania dotyczące wysokich potrzeb w zakresie ochrony", które są oznaczone literą "A" i dlatego muszą być spełnione dla tej etykiety.

Następujące kontrole wymagają szczególnej uwagi podczas wdrażania:

• 1.6.3 (Przygotowanie do sytuacji kryzysowych: Scenariusze kryzysowe, kontakty, strategia komunikacji, regularne symulacje sytuacji kryzysowych)
• 5.2.8 (Środki zapobiegające zakłóceniom spowodowanym zagrożeniami wewnętrznymi - takimi jak ochrona kopii zapasowych - i awariami usług zewnętrznych, np. poprzez odpowiednie umowy SLA)
• 5.2.9 (Koncepcja tworzenia kopii zapasowych i odzyskiwania danych: regularne sprawdzanie kopii zapasowych i testowe odzyskiwanie danych)
• 5.3.2 (Monitorowanie ruchu sieciowego, analizy dostępności usług centralnych)

Wymienione tutaj wymagania są oznaczone tylko literą "A", tj. są istotne tylko dla dostępności. Dlatego nie muszą być spełnione w procesie audytu, który ma na celu jedynie oznaczenie poufności.

"Bardzo wysoka dostępność"

Firmy wymagają etykiety "Bardzo wysoka dostępność", jeśli krótkoterminowa dostępność ich własnych produktów lub usług ma poważny wpływ na zdolność produkcyjną lub dostawczą zależnych firm, a awarie prowadzą do znacznych szkód. Typowym przykładem są dostawcy Just-in-Time, których awaria skutkowałaby szybkim i rozległym przestojem produkcji z bardzo długim czasem ponownego uruchomienia.

W kontrolkach katalogu ISA zdefiniowano 13 wymagań w kolumnie "Dodatkowe wymagania dla bardzo wysokich potrzeb w zakresie ochrony". Wymagania te są oznaczone literą "A" i dlatego muszą być spełnione dla tej etykiety - oprócz tych dla etykiety "Wysoka dostępność".

Poniższe kontrole wymagają szczególnej uwagi ze względu na wysiłek związany z ich wdrożeniem:

• 1.6.1 (Prowadzenie i dostarczanie dowodów regularnych ćwiczeń w zakresie zarządzania incydentami związanymi z bezpieczeństwem informacji
• 1.6.2 (Przeprowadzanie nawet rzadkich rodzajów incydentów związanych z bezpieczeństwem informacji)
• 1.6.3 (Prowadzenie i udokumentowanie regularnych ćwiczeń w zakresie zarządzania sytuacjami kryzysowymi)
• 5.2.6 (Regularna, w pełni zautomatyzowana analiza systemów IT, z uwzględnieniem OT/przemysłowych systemów kontroli)
• 5.2.8 (Koncepcja tworzenia kopii zapasowych danych z alternatywnymi lokalizacjami przechowywania i przechowywania kopii zapasowych; koordynacja własnych planów awaryjnych z planami awaryjnymi zewnętrznych dostawców usług; strategie tworzenia kopii zapasowych z systemami zastępczymi i zastępczymi lokalizacjami przechowywania i tworzenia kopii zapasowych w celu utrzymania procesów biznesowych)
• 5.2.9 (Regularne testowanie koncepcji tworzenia kopii zapasowych danych; geograficznie rozmieszczone lokalizacje kopii zapasowych; systemy tworzenia kopii zapasowych, które są maksymalnie odizolowane z technicznie niezmiennymi kopiami zapasowymi)
• 5.3.1 (Sprawdzanie bezpieczeństwa oprogramowania opracowanego wewnętrznie lub dla klienta - podczas wdrażania, w przypadku zmian i w regularnych odstępach czasu).

Wymienione tutaj wymagania kontroli 1.6.2, 1.6.3, 5.2.6 i 5.2.9 są sprawdzane tylko podczas procesu audytu dla etykiety "Bardzo wysoka dostępność" i dlatego nie są istotne dla etykiety poufności TISAX.

Ogólnie rzecz biorąc, dwie etykiety "Dostępność" zwiększają nacisk na utrzymanie zdolności produkcyjnych (OT). Wewnętrzna wiedza firmy na temat zaleceń producenta OT, zagrożeń OT i środków bezpieczeństwa dla sieci OT oraz zarządzania OT będzie przedmiotem większej uwagi podczas audytu.

Jakich etykiet ^TISAX® potrzebują firmy

Pytanie, które etykiety są potrzebne w praktyce, zależy oczywiście przede wszystkim od roli firmy w łańcuchu dostaw. Na każdym etapie łańcucha dostaw firmy muszą zadać sobie pytanie, od których dostawców są zależne i którym dostawcom powierzają wrażliwe informacje.

W związku z tym zarządzanie dostawcami wymagane przez TISAX® na każdym etapie prowadzi do kaskadowania wymagań dotyczących etykiet specyficznych dla roli w łańcuchu dostaw. Szczególnie przydatny jest tutaj mechanizm wymiany, w którym dostawca może odwołać się do istniejących etykiet, aby udowodnić zgodność z wymaganiami. Wyniki oceny mogą zostać udostępnione każdej zainteresowanej stronie.

Załóżmy, że firma profilaktycznie żąda obu nowych etykiet, mimo że nie ma potrzeby stosowania etykiety poufności lub dostępności. W takim przypadku zdecydowanie warto przeprowadzić kolejną dyskusję na temat wzajemnego zrozumienia ról ze względu na potencjalnie znacznie wyższe koszty wdrożenia.
Należy również wziąć pod uwagę związek między etykietą TISAX a poziomami oceny: Etykiety "Bardzo wysoka dostępność" i "Ściśle poufne" mogą być przyznane tylko w ramach oceny na poziomie 3, tj. w ramach oceny na miejscu.

Cele oceny, etykiety i poziomy oceny - krótkie wyjaśnienie różnic

W poprzedniej sekcji użyliśmy kilku terminów, które tutaj pokrótce wyjaśnimy i rozróżnimy:

• Cel oceny ^TISAX®: w oparciu o specyfikacje swoich partnerów produkcyjnych, dostawcy wykorzystują cele oceny do określenia wymagań, które muszą spełnić podczas audytu.
• Etykieta ^TISAX®: Po przejściu audytu firmy otrzymują etykietę TISAX® dla wybranego celu oceny w bazie danych ^TISAX® jako potwierdzenie, że spełniły wymagania.
• Poziom ^TISAX®: Spełnienie wymagań jest oceniane w różny sposób w zależności od poziomu oceny. Poziom 1 to wyłącznie samoocena. Na poziomie 2 samoocena jest sprawdzana pod kątem wiarygodności przez zewnętrznego audytora, uzupełniona zdalnymi wywiadami. Na poziomie 3 audytor sprawdza skuteczność na miejscu.

W przypadku certyfikacji według starego katalogu ISA wymagana jest analiza GAP

Ważne dla firm, które są nadal certyfikowane pod starą etykietą "Info":

• Aby uczynić fazę przejściową tak nieskomplikowaną, jak to tylko możliwe, firmom z etykietą "Info High" automatycznie przypisano etykiety "Confidential" i "High Availability" do daty ich wygaśnięcia.
• Podobnie etykieta "Info Very High" została przekształcona w etykiety "Ściśle poufne" i "Bardzo wysoka dostępność".

Dotyczy to również procesów audytu, których oferty zostały zaakceptowane przed 1 kwietnia, oraz późniejszych rozszerzeń zakresu, z których oba mogą być nadal przeprowadzane zgodnie ze starym katalogiem ISA 5.1.

Należy jednak zauważyć, że odpowiednie firmy muszą zostać certyfikowane zgodnie z obowiązującym wówczas katalogiem audytów IS A po wygaśnięciu ich etykiet TISAX, które są ważne przez trzy lata. Nowa certyfikacja musi być dostępna natychmiast po wygaśnięciu starej etykiety. Osobom odpowiedzialnym zaleca się zatem przeprowadzenie analizy luk na wczesnym etapie, aby wdrożyć zmiany w systemie zarządzania bezpieczeństwem informacji (ISMS) w odpowiednim czasie i przygotować się do następnego audytu ^TISAX®.

Na potrzeby analizy luk, Stowarzyszenie ENX udostępniło dedykowany katalog wymagań, w którym wszystkie zmiany pomiędzy ISA 5.1 i ISA 6.0 zostały wymienione i oznaczone kolorem czerwonym. Pozwala to firmom zobaczyć, które nowe wymagania zostały dodane na pierwszy rzut oka. Co należy wziąć pod uwagę: Jest to dokument pomocniczy. Na potrzeby audytu spółki powinny zawsze pobierać najnowszą wersję katalogu audytowego ISA ze strony internetowej ENX.

Szczególnie zauważalne są następujące zmiany:

• Nowa Kontrola 1.3.4 może wymagać inwestycji w nowe oprogramowanie, na przykład do zarządzania licencjami.
• Szeroko zmodyfikowane kontrole 1.6.1 i 1.6.2 wymagają teraz skoordynowanej i regularnie testowanej reakcji na incydenty.
• Kontrolę 3.1.2 zastąpiono nowymi kontrolami 1.6.3, 5.2.8 i 5.2.9, które nakładają szereg nowych wymogów dotyczących postępowania w sytuacjach kryzysowych, zarządzania ciągłością działania i tworzenia kopii zapasowych danych.

Nowe etykiety ^TISAX® - podsumowanie

Nowe etykiety dotyczące poufności i dostępności powinny zapewnić większą wydajność certyfikacji ^TISAX® w przyszłości, ponieważ audyty są teraz przeprowadzane na podstawie roli. Oznacza to, że dostawcy i usługodawcy nie muszą już wdrażać wszystkich wymagań zawartych w katalogu. Można jednak zauważyć, że w przypadku etykiety dostępności należy spełnić więcej wymagań niż w przypadku poufności. Wynika to z nowego nacisku na zapewnienie możliwości dostarczania i zabezpieczenia środowisk OT, które zostały uwzględnione we wszystkich kontrolach obecnego katalogu ISA.

Zmieniony i częściowo rozszerzony katalog zawiera również kilka nowych wymagań, z których niektóre można spełnić tylko przy pewnym wysiłku i odpowiednim czasie realizacji. W związku z tym zaleca się wczesną analizę luk dla firm posiadających certyfikaty zgodne ze starym katalogiem, ponieważ otrzymały one "tylko" nowe etykiety poprzez automatyczną konwersję starej etykiety bezpieczeństwa informacji.

Szczególne wyzwania pojawiają się w przypadku klientów, którzy w przeszłości otrzymywali swoje etykiety w ramach procedury rotacyjnego pobierania próbek (Rotating SGA). Ze względu na koszty firmy te chciałyby przejść na rzeczywistą procedurę pobierania próbek (SGA oparte na próbkach) w ostatnim roku ważności etykiety. W związku z tym muszą ukończyć rotacyjną ocenę SGA w trzecim roku, przekonwertować swój ISMS na nowy katalog ISA i ukończyć ocenę SGA opartą na próbkach przed wygaśnięciem etykiety, aby móc ją płynnie przedłużyć.

DQS to niezawodny partner

^TISAX® - podobnie jak ENX VCS dla cyberbezpieczeństwa pojazdów - został opracowany przez Stowarzyszenie ENX. DQS jest zatwierdzony przez ENX jako dostawca usług oceny i dlatego może przeprowadzać oceny na całym świecie - a także sam posiada ^certyfikat TISAX®. A ponieważ wielu naszych ^audytorówTISAX® jest również akredytowanych w zakresie międzynarodowego standardu bezpieczeństwa informacji ISO 27001, możemy oceniać oba standardy w tym samym czasie i przy mniejszym dodatkowym wysiłku. Zapraszamy do kontaktu.

Uwaga: Dostęp do ^TISAX® odbywa się poprzez rejestrację uczestników, którą należy przeprowadzić online na portalu ENX. Jest to warunek wstępny, aby móc zlecić zatwierdzonemu dostawcy usług oceny, takiemu jak DQS.

Zaufanie i wiedza specjalistyczna

Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. norm lub wieloletnich audytorów. Jeśli masz jakiekolwiek pytania dotyczące treści tekstu lub naszych usług dla autora, skontaktuj się z nami.