Должны ли вы предоставлять доказательства безопасности предоставляемой вам информации в соответствии с требованиями "Оценки информационной безопасности VDA" (VDA ISA)? Наш эксперт по стандартам Андре Зекель дает ответы на важные вопросы о TISAX® - процедуре совместного тестирования и обмена информацией в автомобильной промышленности. Круг компаний, которых это касается, шире, чем, возможно, предполагалось вначале. Помимо классического поставщика первого уровня, сертификация TISAX® все чаще требуется и от поставщиков других подуровней - а также от поставщиков услуг, например, в области обработки данных или рекламы, то есть от компаний-партнеров автомобильной промышленности в самом широком смысле.
КОНТЕНТ
- Что означает TISAX®?
- Каковы преимущества TISAX®?
- Кто осуществляет мониторинг TISAX®?
- Что такое уровень оценки?
- Является ли TISAX®также для непроизводственных компаний?
- Сертификация TISAX® без требований заказчика?
- Является ли содержание TISAX® аналогом ISO 27001?
- Является лиомбинированный аудит TISAX® и ISO 27001 рекомендуется?
- Как определить объем оценки TISAX®?
- Сколько времени занимают отдельные оценки?
- Что такое крупные и мелкие несоответствия?
- Заменит ли TISAX® защиту прототипов VDA?
- Что DQS может сделать для меня?
Что означает TISAX®?
TISAX® - Trusted Information Security Assessment eXchange (Доверительный обмен оценками информационной безопасности)
TISAX® - это общая процедура оценки и обмена информацией для автомобильного сектора. Она основана на вопроснике по информационной безопасности (ISA - Information Security Assessment), разработанном рабочей группой VDA "Информационная безопасность", который впервые был использован компаниями-членами Немецкой ассоциации автомобильной промышленности (VDA) для аудита поставщиков и поставщиков услуг, на предприятиях которых обрабатывается конфиденциальная информация. Версия 5.0 вопросника VDA ISA доступна с июля 2020 года. С 1 октября 2020 года эта версия является обязательной для всех новых TISAX®-оценок.
Кроме того, TISAX® основан на основных требованиях международно признанного стандарта по информационной безопасности: ISO 27001. Он применим во всех отраслях промышленности и определяет требования, правила и методы обеспечения безопасности информации в компании. В своих требованиях стандарт выходит за рамки защиты технических систем ИТ и включает все корпоративные активы, заслуживающие защиты, например, помещения, средства контроля безопасности и архивы. Другими словами: ISO 27001 обеспечивает защиту всей информации, представляющей ценность для организации.
Каковы преимущества TISAX®?
- TISAX® создает единый уровень информационной безопасности в автомобильной промышленности
- Результаты оценки признаются всеми участниками TISAX®, что повышает доверие к компаниям, прошедшим аудит.
- Ненужные дублирующие и многочисленные аудиты исключены благодаря взаимному признанию в сети TISAX®.
- Оценка для сертификации TISAX® проводится только раз в три года, что экономит время и деньги.
Кто осуществляет мониторинг TISAX®?
TISAX® является зарегистрированной торговой маркой Ассоциации ENX, расположенной во Франкфурте-на-Майне и Париже. Ей, как нейтральному органу, поручено внедрение TISAX®. ENX - это ассоциация европейских производителей автомобилей, поставщиков и четырех национальных автомобильных ассоциаций, включая VDA, которые основали ENX в 2000 году. Ассоциация ENX следит за качеством внедрения и выдает одобрение поставщикам услуг по оценке в соответствии со строгой процедурой. DQS входит в список ENX в качестве утвержденного поставщика услуг по аудиту и может проводить оценки по всему миру. Наши эксперты всегда готовы ответить на ваши вопросы.
Чтобы добиться взаимного признания оценок участниками, ENX заключает соответствующие контракты со всеми утвержденными поставщиками аудиторских услуг, а также с участниками сети TISAX®. Благодаря стандартизации и контролю качества ENX добивается общего признания результатов оценки всеми участниками. Это позволяет избежать ненужного дублирования и многочисленных оценок.
Вопросы и ответы о TISAX®: Что такое уровень оценки?
TISAX® различает три уровня оценки (требования к защите) в зависимости от требуемой защиты: нормальный (уровень 1), высокий (уровень 2) и очень высокий (уровень 3). От этого зависит метод аудита и усилия по аудиту.
Уровень 1: Самооценка без проверки правдоподобности, обычно только для внутренних целей. Эти результаты оценки имеют лишь ограниченное значение и не используются в TISAX®.
Уровень 2: Проверка правдоподобности вашей самооценки поставщиком аудиторских услуг, таким как DQS. Эти аудиты информационной безопасности обычно проводятся в форме телефонной конференции, а не на месте - если только не применяется одна из целей аудита защиты прототипа или если вы явно не попросите об этом.
Уровень 3: Проверка достоверности вашей самооценки поставщиком аудиторских услуг путем проведения углубленного, всестороннего аудита на месте.
Является ли внедрение TISAX® обязательным и для непроизводственных компаний?
Ответ на этот вопрос зависит от контекста вашего бизнеса: Нужно ли вам внедрять TISAX® или нет, зависит от вашего OEM (производителя оригинального оборудования), или от того, требуют ли они от вас такого подтверждения информационной безопасности. Если производитель автомобилей специально не обращается к вам, или вы не видите изменений в T&C, рекомендуется подождать и посмотреть. В прошлом компании связывались с производителем комплектного оборудования по поводу требований для дальнейшего сотрудничества в случае необходимости. Однако, конечно, вы сами должны активно выяснять у своих партнеров в автомобильной промышленности.
Имеет ли смысл стремиться к сертификации TISAX® даже без требований заказчика?
Проактивный подход к теме информационной безопасности в наши дни имеет большой смысл, и не только для поставщиков в автомобильной промышленности. Если ваш OEM-производитель (пока) не указал, какой знак TISAX® ожидается от вас, хорошей идеей будет продемонстрировать уровень 3 (Уровень оценки 3: очень высокий уровень информационной безопасности). Таким образом, вы будете готовы ко всем будущим требованиям без необходимости дублировать работу. Кроме того, всемирно признанный стандарт ISO/IEC 27001 предлагает хорошее, межотраслевое введение в информационную безопасность.
ISO 27001 - Система менеджмента информационной безопасности
Целостная система управления в соответствии со стандартом ISO ★ Эффективная реализация процесса управления рисками ★ Постоянное повышение уровня безопасности
Является ли содержание TISAX® аналогом ISO 27001?
Каталог оценки TISAX® заимствован из международного стандарта ISO 27001 и опирается на определенные в нем "средства контроля" (меры). Они описывают, как могут быть реализованы соответствующие требования (должен, должен), как должны быть обеспечены процессы и какие инструменты могут быть использованы. Ключевое различие между этими двумя стандартами заключается в том, что TISAX® требует достижения определенного уровня зрелости.
Рекомендуется ли проводить комбинированный аудит TISAX® и ISO 27001?
Комбинированный аудит определенно возможен и может быть проведен DQS в любое время. Все аудиторы TISAX® в DQS также являются авторизованными аудиторами по ISO 27001, что означает, что обе оценки информационной безопасности могут быть проведены одновременно без особых дополнительных усилий.
"Система TISAX® впервые предлагает возможность обеспечения единого уровня информационной безопасности во всей автомобильной промышленности, основываясь на надежном фундаменте анкеты VDA и принципах ISO 27001".
Должен ли я быть сертифицирован по ISO 27001 перед использованием TISAX®?
Ответ на этот вопрос: нет. Потому что нет требования, что сертифицированная система управления информационной безопасностью в соответствии с ISO 27001 уже должна существовать. Для оценки TISAX® вам необходимо лишь доказать, что вы работаете в соответствии с системой управления информационной безопасностью и что соответствующие процессы и процедуры стабильно внедрены в компании. Эта оценка проводится аудитором, который также использует документы для присвоения уровня зрелости.
Каковы преимущества того, что у вас уже есть сертификат ISO 27001?
Если вы уже можете предоставить доказательства наличия сертификата ISO 27001, это, конечно, всегда является преимуществом. Хотя бы потому, что для TISAX® выдолжны доказать, что у вас внедрен менеджмент информационной безопасности, а оба свода правил имеют схожий охват.
"Цифровизация автомобильной промышленности: Количество приложений и данных в автомобилях растет, а вместе с ним растут поверхности атак и потенциал ущерба в области информационной безопасности".
Но обратите внимание: определение области аудита TISAX® может отличаться от определения, необходимого для сертификации по ISO 27001. Основополагающие концепции не идентичны. Для крупных организаций также может быть рассмотрена возможность регистрации нескольких областей аудита.
Является ли "определение процесса" ISO 9001 аналогом TISAX®?
Ответ на этот вопрос - "да". В принципе, определение и структура процессов в соответствующих наборах правил всегда одинаковы. В каталоге оценки TISAX® также совершенно конкретно указано, на основе каких элементов управления должны определяться KPI, а на основе каких - нет. Создание KPI подкрепляется примерами обеспечения информационной безопасности в автомобильной промышленности. Поэтому ознакомление с вопросником VDA ISA помогает получить первоначальное представление.
Рекомендуется ли при внедрении TISAX® иметь ответственного за информационную безопасность?
Не обязательно, чтобы лицо, ответственное за внедрение TISAX®, было из ИТ-отдела. Однако, поскольку речь идет о процессах, поддерживаемых ИТ, некоторые знания в области ИТ, безусловно, являются преимуществом.
Как определить область оценки TISAX®?
ENX предлагает стандартную область применения, которая принята 90% всех участников TISAX®. Стандартная область оценки предопределена и не может быть изменена. Если в процессе подготовки к аттестации вы обнаружите, что стандартная область применения не подходит, вы можете скорректировать область применения экзамена при определенных обстоятельствах. В отдельных случаях OEM-производители могут потребовать расширенную область применения. Однако такие особые случаи редки и будут подробно обсуждаться с вами соответствующим ОЕМ. Как правило, стандартного объема обследования достаточно. Он является основой для оценки TISAX® и принимается всеми участниками.
Достаточно ли одного объема оценки для всех объектов?
Единый объем оценки, охватывающий все объекты, имеет свои преимущества, но также и недостатки.
Преимущества
- Только один результат проверки, один отчет о проверке, один срок годности
- Снижение затрат, так как центральные процессы, процедуры и ресурсы необходимо оценивать только один раз
Недостатки
- Результат аудита доступен только после оценки всех объектов
- Результат аудита зависит от прохождения аудита всеми объектами, т.е. если только один объект не пройдет аудит, вы не получите положительный результат аудита.
Можно ли изолировать область оценки, например, для "сотрудников, критически важных для безопасности"?
ENX отвечает на этот вопрос в отношении TISAX® однозначно: Все сотрудники, которые вступают в контакт с конфиденциальной информацией автомобильной промышленности, должны быть включены в сферу охвата. Это также может быть, например, оператор станка, который работает с планом строительства заказчика. Ваша компания должна сама определить, какие сотрудники вовлечены в процессы, имеющие отношение к информационной безопасности.
Правда ли, что при использовании ENX сначала необходимо подать заявку на проведение аудита TISAX® и только после этого можно выбрать поставщика аудита?
Да, это верно. После регистрации на сайте www.enx.com/tisax/ и утверждения объема оценки компанией ENX вы получите список всех утвержденных поставщиков услуг по оценке. Однако вы также можете заранее ознакомиться с этим списком на сайте ENX. Компания DQS входит в список поставщиков услуг в ENX и может проводить оценку по всему миру. Для получения вопросов и ответов по информационной безопасности в автомобильной промышленности, пожалуйста, обращайтесь к нашим специалистам.
Имеет ли вообще смысл проводить исследование, если уровень зрелости слишком низок?
Если в ходе самооценки вы определили, что вашей компании еще есть над чем работать в области информационной безопасности, запрос на оценку пока не имеет смысла. Рекомендуется сначала устранить выявленные пробелы, а затем рассмотреть возможность проведения аудита.
Сколько времени занимают индивидуальные оценки?
Ответ на вопрос о продолжительности индивидуальных оценок зависит от размера вашей компании и командировок, связанных с аудитом ваших объектов. Для среднего размера компании достаточно 2-3 дней на объекте для проведения оценки.
Сколько времени требуется для того, чтобы компания была признана сертифицированной?
Весь процесс аудита TISAX® может занять максимум девять месяцев. Он начинается с первоначального аудита и заканчивается последним последующим аудитом. Если процесс оценки не может быть завершен в течение указанного срока, вы не получите знак TISAX®.
Оценка TISAX®
Мы также будем рады ответить на ваши вопросы при личной встрече.
Без обязательств и бесплатно.
Если ваша компания соответствует всем критериям или имеет лишь незначительные несоответствия, отчет об оценке передается в ENX. Как только он будет принят, вы получите свой (временный) знак TISAX®. Если имеются серьезные несоответствия, которые должны быть сначала устранены, этикетка действительна с того дня, когда несоответствие считается устраненным.
Вопросы и ответы о TISAX®: Что такое этикетки TISAX®?
Этикетки являются результатом процесса оценки и обобщают ваш результат. Они иерархически связаны друг с другом. То есть, если вы получаете определенную метку, вы автоматически получаете "метки ниже" ее. Этикетки можно просмотреть только на портале ENX. Срок их действия обычно составляет три года.
Что такое крупные и мелкие несоответствия?
Крупное несоответствие - это когда несоответствие вызывает сомнения в общей эффективности вашей системы управления информационной безопасностью или когда оно вызывает значительные риски информационной безопасности. Это происходит, например, если требуется двухфакторная идентификация, а она еще не внедрена.
Незначительное несоответствие существует, например, если несоответствие не ставит под сомнение общую эффективность вашей системы управления информационной безопасностью и не создает значительного риска для информационной безопасности в автомобильной промышленности. Например, единичные или спорадические ошибки и недостатки внедрения.
Должен ли я также представить доказательства эффективности отдельных мер?
Ответ - "да". После того, как вы составите каталог мер и внедрите их, их эффективность будет проверена. По этой причине процесс сертификации также предусматривает период в девять месяцев.
Как я могу определить количество сотрудников "заранее"?
А именно: Как определить точное количество сотрудников заранее, если дополнительные сотрудники могут быть наняты только после подписания контракта с нашим клиентом?
Диапазон, в котором классифицируются сотрудники для TISAX® , значительно больше, чем для международного стандарта ISO 27001. TISAX® классифицирует количество сотрудников, например, в диапазоне 0-50, 51-150 и т.д. Таким образом, если вы примерно знаете, сколько новых сотрудников будет нанято, вы можете поместить себя в соответствующий диапазон.
Сколько документов должно быть в наличии, чтобы соответствовать TISAX®?
Здесь невозможно сделать общее заявление. Это всегда зависит от размера и деятельности вашей компании. Теоретически, вы можете охватить все в одном документе, если у вас есть четкий обзор. Однако рекомендуется создать несколько документов, охватывающих смежные темы.
Заменит ли TISAX® защиту прототипов VDA?
Поскольку TISAX® включает в себя отдельный модуль для защиты прототипов, в котором гораздо более подробно описываются отдельные критерии, чем это было раньше, можно предположить, что в долгосрочной перспективе TISAX® заменит предыдущие своды правил по информационной безопасности в автомобильной промышленности. В настоящее время, однако, по-прежнему действует прототип защиты VDA версии 3.0 от 2018 года.
Вопросы и ответы о TISAX® - Что DQS может сделать для меня?
DQS входит в список ENX в качестве утвержденного поставщика аудиторских услуг и может проводить оценки по всему миру. Все наши аудиторы TISAX ®также являются утвержденными аудиторами международного стандарта ISO 27001, что означает, что оба стандарта могут быть оценены DQS одновременно и без особых дополнительных усилий. Наши эксперты будут рады ответить на ваши вопросы об информационной безопасности в автомобильной промышленности. Мы с нетерпением ждем возможности пообщаться с вами.
У вас есть вопросы?
Свяжитесь с нами!
Без обязательств и бесплатно.
Экспертиза и доверие
Наши технические статьи пишутся исключительно нашими штатными экспертами по стандартам и многолетними аудиторами. Если у вас есть какие-либо вопросы относительно содержания или наших авторов, пожалуйста, свяжитесь с нами.
Информационный бюллетень DQS
Andre Saeckel
Менеджер по продуктам DQS в области управления информационной безопасностью. В качестве эксперта по стандартам в области информационной безопасности и каталога безопасности ИТ (критические инфраструктуры) Андре Сэккель отвечает, в частности, за следующие стандарты и отраслевые стандарты: ISO 27001, ISIS12, ISO 20000-1, KRITIS и TISAX (информационная безопасность в автомобильной промышленности). Он также является членом рабочей группы ISO/IEC JTC 1/SC 27/WG 1 в качестве национального делегата Немецкого института стандартизации DIN.