Nový katalóg ISA 6.0 platný od 1. apríla 2024

OBSAH

Rastúce hrozby si vyžadujú úpravy katalógu ISA

Označenie "dostupnosť": rozšírenie na výrobné zariadenia

Označenie "Dôvernosť": ochrana citlivých informácií

Čo znamenajú nové požiadavky pre budúci audit ^TISAX®?

ISO 27001 a IEC 62443 ako pevný základ

Zmeny v katalógu ISA 6.0 2024: Záver

TISAX 6.0 - pozadie

Rastúce hrozby si vyžadujú úpravy katalógu ISA

Vzhľadom na veľký význam a zložitosť dodávateľských reťazcov zohráva komplexná informačná a kybernetická bezpečnosť v automobilovom priemysle kľúčovú úlohu. Dodávatelia sú predsa úzko zapojení do vývojových a výrobných procesov. To znamená, že často majú prístup k veľmi citlivým a citlivým informáciám - a musia mať vysokú úroveň odolnosti. Geopolitické napätie a rastúca digitalizácia a sieťové prepojenie dodávateľského reťazca vedú k zvyšovaniu rizík pre bezpečnosť informácií.

V dôsledku tejto dynamiky bol aktualizovaný existujúci katalóg VDA ISA 5.1. Verzia 6.0 bola vydaná v anglickom jazyku 16. októbra 2023 a sprístupnená na stiahnutie.

Nový katalóg otázok ISA 6.0 predstavuje významný míľnik pre ^TISAX®. To vedie k úpravám požiadaviek na poskytovateľov auditu stanovených v predpisoch ^TISAX® ACAR 2.2. Prechod na angličtinu ako hlavný jazyk katalógu otázok ISA 6.0 zdôrazňuje globálnu perspektívu a spoločné úsilie o ďalší rozvoj katalógu požiadaviek v globálnych pracovných skupinách.

Nové označenia nahrádzajú známe označenie "bezpečnosť informácií"

Hlavné zmeny v katalógu požiadaviek na posudzovanie informačnej bezpečnosti (ISA) 6.0 sa týkajú modulu "Informačná bezpečnosť" a súvisiaceho systému štítkov od spoločnosti ^TISAX®. V budúcnosti bude známy štítok "Bezpečnosť informácií" úplne nahradený dvoma štítkami "Dostupnosť" a "Dôvernosť".

Štítok "Dostupnosť" v katalógu ISA 6.0: rozšírenie na výrobné zariadenia

V novom katalógu ISA sa upresnili štítky "Dostupnosť vysoká" a "Dostupnosť veľmi vysoká". V dôsledku toho sa systémy OT (prevádzkové technológie) stanú v budúcnosti predmetom väčšieho záujmu auditov.

Rastúce sieťové prepojenie výrobných prostredí, t. j. riadiacich systémov priemyselnej automatizácie (IACS) a ich sietí, má za následok množstvo nových výziev pre informačnú bezpečnosť. Výrobné zariadenia pokrývajú mimoriadne rozsiahle siete s množstvom špecializovaných technológií a protokolov.

V mnohých aspektoch sa zásadne líšia od systémov IT: Výrobné prostredia sú spravidla navrhnuté na dlhoročnú prevádzku a po ich bezproblémovom fungovaní sa ponechávajú čo najmenej rušené s výnimkou pravidelnej údržby a opráv. To znamená, že v mnohých komponentoch sa stále používajú napríklad zastarané operačné systémy, komunikačné protokoly alebo šifrovacie algoritmy.

Dlhý čas boli automatické opravné a aktualizačné procesy nežiaduce alebo prinajmenšom vnímané kriticky. Boli príliš veľké obavy, že by sa komplexný výrobný proces mohol dostať zo synchronizácie a spôsobiť značné hospodárske straty. Rozsiahle distribuované systémy a komunikačné siete, ku ktorým má prístup mnoho zamestnancov, ponúkajú aj viacero fyzických bodov útoku.

Spoľahlivosť a dostupnosť automatizovaných výrobných systémov sú mimoriadne dôležité nielen z obchodného hľadiska, ale aj preto, že odchýlky v procese môžu spôsobiť značné škody a finančné straty.

S cieľom začleniť všetky tieto špecifické aspekty OT do katalógu ISA 6.0 sa ENX a VDA orientovali na medzinárodne platný rad noriem IEC 62443 a najmä na podkapitolu 2-1.

Označenie "Dôvernosť": Ochrana citlivých informácií

Ak sú spoločnosti zverené citlivé informácie, musí preukázať, že dokáže tieto informácie primerane chrániť. Označenia "Dôvernosť vysoká" alebo "Dôvernosť prísna" sa používajú na výber tých požiadaviek katalógu ISA 6.0, ktoré prispievajú k tomuto cieľu ochrany.

Čo to znamená pre budúci audit ^TISAX®?

Nové štítky umožňujú auditovať podľa možných úloh, ktoré dodávateľ zohráva v dodávateľskom reťazci. Ak bol dodávateľ identifikovaný ako obzvlášť dôležitý pre dodávateľský reťazec, môže na preukázanie svojej spoľahlivosti použiť označenie "Dostupnosť". Ak sú dodávateľovi zverené obzvlášť citlivé informácie, môže použiť označenie "Dôvernosť" na preukázanie, že prijal primerané opatrenia na ochranu týchto informácií. Ak dodávateľ prevezme zodpovednosť za obe úlohy, môže byť auditovaný pre obe značky.

Pre obe značky musí byť splnený rovnaký súbor základných požiadaviek. Okrem toho pre každú značku existujú špecifické požiadavky na vysokú a veľmi vysokú potrebu ochrany. To znamená, že audit sa vykonáva v závislosti od značky.

Prechod systému štítkov sa vykoná aj v databáze ^TISAX®. V budúcnosti bude označenie "Vysoká bezpečnosť informácií" nahradené dvoma kombinovanými označeniami "Vysoká dostupnosť" a "Vysoká dôvernosť". To isté platí pre štítok "Bezpečnosť informácií veľmi vysoká", ktorý bude v budúcnosti nahradený štítkami "Dostupnosť veľmi vysoká" a "Dôvernosť prísna". Stane sa tak automaticky v prípade všetkých účastníkov, ktorí už majú v platforme ^TISAX® označenie "Bezpečnosť informácií".

Hlavným účelom vyššie opísaných selektívnych auditov je zabezpečiť, aby spoločnosti museli spĺňať len tie požiadavky dotazníka ISA 6.0, ktoré sú pre ne relevantné. Zároveň vznikajú nové výzvy pre výrobné spoločnosti, pretože OT systémy musia teraz podliehať riadeniu podobným spôsobom, aký sa už všeobecne vyžaduje pre IT systémy ^TISAX®.

V závislosti od konkrétneho prípadu musia preto spoločnosti počítať s ďalšími požiadavkami, ktoré je potrebné sprísniť v systéme riadenia informačnej bezpečnosti (ISMS) a ktoré môžu viesť k vyšším nákladom.

Nové požiadavky vo verzii 6.0

• Bezpečnosť a kontinuita prevádzky: OT zohráva kľúčovú úlohu vo výrobných zariadeniach, v ktorých majú automatizované systémy, ako napríklad IACS, zásadný význam. Zabezpečenie dostupnosti týchto systémov sa netýka len produktivity, ale aj bezpečnosti. Zamestnanci často pracujú v tesnej blízkosti týchto automatizovaných systémov a akákoľvek porucha by mohla predstavovať vážne bezpečnostné riziko. Napríklad nesprávne kalibrované snímače alebo ovládacie prvky OT môžu ohroziť ľudí a cenné zariadenia.
• Riadenie rizík: So zahrnutím OT do rozsahu pôsobnosti musia spoločnosti zvážiť špecifické riziká spojené s týmito systémami. Systémy OT by mali byť regulované, klasifikované a monitorované tak, aby bolo možné účinne čeliť vznikajúcim rizikám. Na tieto úlohy musia byť určené zodpovedné osoby.
• Kontrola prístupu: Prístup poskytovateľov služieb do sietí OT na účely údržby je kritickou otázkou. Správne riadenie prístupu a podrobné protokoly sú nevyhnutné na zachovanie bezpečnosti a integrity OT systémov.
• Odborná spôsobilosť personálu: Personál zodpovedný za prevádzku OT systémov musí byť primerane vyškolený, kompetentný a vedomý si potenciálnych rizík prevádzky. Vzhľadom na kritickosť týchto systémov sú kľúčové personálne aspekty vrátane preverovania minulosti na citlivých pozíciách.
• Riadenie životného cyklu: Účinná správa OT systémov počas ich životného cyklu vrátane opráv, prepravy a likvidácie je rozhodujúca na minimalizáciu rizík spojených s údajmi a prístupom k miestnym zariadeniam.
• Bezpečnostné opatrenia: OT musia byť chránené pred potenciálnymi útokmi pomocou spoľahlivých bezpečnostných riešení, ako je antivírusový softvér, firewally alebo obmedzenie otvorených rozhraní a služieb.
• Audity a hodnotenie zraniteľnosti: Pravidelné technické audity systémov sú potrebné na kontrolu zabezpečenia OT systémov v súlade so špecifikáciami výrobcu a na identifikáciu známych zraniteľností.
• Segmentácia siete: Siete by mali byť vhodne segmentované podľa účelu a rizika - aj na vzájomnú ochranu prostredí IT a OT.
• Zálohovanie a obnova: Komplexné plány zálohovania a obnovy sú nevyhnutné na zabezpečenie kontinuity prevádzky OT systémov.
• Úrovne služieb a monitorovanie: Pre sieťové služby OT musia byť zavedené a priebežne monitorované vhodné úrovne služieb a definície dostupnosti.
• Externí poskytovatelia: Ak externí poskytovatelia služieb používajú zariadenia OT, musí byť pre externého poskytovateľa upravená úroveň bezpečnosti informácií, pokiaľ ide o prístup a iné informácie uložené v zariadení.

ISO 27001 a IEC 62443 ako pevný základ

Systém ISMS v súlade s normou ISO 27001 je už v niektorých regulovaných odvetviach zákonnou požiadavkou. V mnohých odvetviach je to oficiálne alebo neoficiálne aj základná požiadavka na dodržiavanie predpisov pri uzatváraní zmlúv o poskytovaní služieb alebo podobných zmlúv.

Keďže dotazník ISA 6.0 je tiež založený na tejto norme, certifikovaný systém riadenia bezpečnosti informácií už tvorí dobrý základ pre audit ^TISAX®. ^TISAX® však vyžaduje špecifickú implementáciu ISMS s podrobnými požiadavkami "má sa" a "malo by sa", plus ďalšie požiadavky na vysokú alebo veľmi vysokú úroveň ochrany.

Okrem ISMS poskytuje spoľahlivý základ aj norma IEC 62443 a z nej vyplývajúce nové požiadavky v katalógu ISA. V pododdiele 2 normy sa opisuje štruktúra systému riadenia priemyselnej kybernetickej bezpečnosti. Pododdiel 2-1 sa okrem iného zaoberá vytvorením bezpečnostného programu pre priemyselné automatizačné a riadiace systémy.

Pri vypracúvaní týchto oblastí sa IEC (Medzinárodná elektrotechnická komisia) opäť riadila normou ISO 27001, ktorej mnohé procesy a mechanizmy možno uplatniť aj na riadiace systémy. To znamená, že do auditu sú zahrnuté priemyselné komunikačné siete a systémy automatizácie a riadenia (IACS).

Katalóg ISA 6.0: Aké lehoty platia pre používateľov?

Prechod na katalóg auditov ISA 6.0 sa uskutoční 1. apríla 2024. Každý, kto si objedná posúdenie TISAX® do 31. marca vrátane, môže byť stále auditovaný podľa starého katalógu ISA 5.1. Hodnotenia zadané od 1. apríla budúceho roka sa môžu vykonávať len podľa novej verzie katalógu ISA 6.0.

Na jednej strane to znamená, že posudzovanie bude od apríla 2024 zložitejšie, ale na druhej strane sa zvýšená úroveň bezpečnosti vašej spoločnosti oplatí. Je dôležité, aby ste sa na nové požiadavky včas pripravili a svedomito ich implementovali, aby ste mohli využívať výhody zvýšenej dôveryhodnosti nového označenia ^TISAX®.

Všetky audítorské činnosti, ktoré závisia od existujúcich posúdení, ako sú posúdenia plánu nápravných opatrení, následné posúdenia, posúdenia rozšírenia rozsahu alebo zjednodušené skupinové posúdenia, sa budú naďalej vykonávať v súlade s verziou ISA, podľa ktorej bolo vykonané pôvodné posúdenie.

Katalóg ISA 6.0 Zmeny a doplnenia 2024: Záver

Vydanie katalógu ISA 6.0 je významnou udalosťou vo vyvíjajúcom sa svete automobilových noriem a zhody. Táto aktualizácia predstavuje pokračujúci záväzok k dokonalosti, presnosti a rastúcemu významu informačnej bezpečnosti v automobilovom priemysle. Zavedením zmenených značiek dôvernosti a dostupnosti a širším rozsahom zahŕňajúcim systémy operačných technológií (OT) sa automobilový sektor naďalej vyvíja smerom k vyšším štandardom kvality a bezpečnosti.

SpoločnosťDQS je schválená spoločnosťou ENX ako poskytovateľ služieb posudzovania, a preto môže vykonávať posudzovanie ^TISAX® na celom svete. Máme audítorov ^TISAX®, ktorí sú schválení aj pre medzinárodnú normu pre bezpečnosť informácií ISO 27001. To znamená, že spoločnosť DQS môže posudzovať obe normy súčasne a s menším dodatočným úsilím. Tešíme sa na rozhovor s vami.

Poznámka: Prístup do systému ^TISAX® je možný prostredníctvom registrácie účastníka, ktorá sa musí vykonať online na portáli ENX. Je to nevyhnutný predpoklad na to, aby ste mohli poveriť schváleného poskytovateľa hodnotiacich služieb, akým je spoločnosť DQS.

^TISAX® 6.0 - základné informácie

^TISAX® vychádza z katalógu VDA ISA, ktorý vyvinulo nemecké Združenie automobilového priemyslu (VDA), komplexného dotazníka, ktorý je v podstate založený na tzv. kontrolných mechanizmoch, referenčných opatreniach z prílohy A normy ISO 27001 o bezpečnosti informácií, a je prispôsobený ďalším špecifickým požiadavkám automobilového priemyslu.

Norma informačnej bezpečnosti bola medzitým revidovaná a 25. októbra 2022 zverejnená ako nová norma ISO/IEC 27001:2022. Revízia sa týka najmä prílohy A. Príslušné prispôsobenie novým kontrolám bolo vykonané aj s verziou 6.0 ISA.

^TISAX® je určený predovšetkým spoločnostiam, ktoré chcú alebo potrebujú preukázať určitú úroveň bezpečnosti a dostupnosti informácií pre spoluprácu s (zúčastneným) výrobcom automobilov. Za implementáciu a monitorovanie postupu je zodpovedné združenie ENX so sídlom vo Frankfurte nad Mohanom a v Paríži. ENX je združenie európskych výrobcov automobilov, dodávateľov a štyroch národných automobilových združení vrátane nemeckého zakladateľa ENX VDA.

Dôvera a odborné znalosti

Naše texty a brožúry píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu textu alebo našich služieb pre autora, kontaktujte nás.