Nové etikety TISAX®: čo treba zvážiť

• Zmenené podmienky - nové požiadavky
• Prečo boli zavedené nové štítky Dostupnosť a Dôvernosť  TISAX® ?
• Prehľad nových štítkov TISAX® 
• Ktoré štítky TISAX® spoločnosti potrebujú
• Ciele hodnotenia, štítky a úrovne hodnotenia - stručné vysvetlenie rozdielov
• Pri certifikácii podľa starého katalógu ISA sa vyžaduje analýza GAP
• Nové štítky TISAX®  - Záver
• Spoločnosť DQS je váš spoľahlivý partner

Prečo boli zavedené nové označenia TISAX® Dostupnosť a Dôvera?

Dodávatelia a poskytovatelia služieb sú úzko zapojení do vývojových a výrobných procesov výrobcov automobilov - niekedy však plnia veľmi odlišné úlohy: Niektoré spoločnosti majú zverené veľmi citlivé informácie, ale v konečnom dôsledku sa na skutočnej výrobe ďalej nepodieľajú. Iné dodávajú zásadne dôležité komponenty pre výrobu vozidiel, ale nemajú možnosť nahliadnuť do obchodných tajomstiev zadávateľa.

Aby sa tieto rozdielne úlohy lepšie zohľadnili, staré označenie "bezpečnosť informácií" sa rozdelilo na dve nové označenia -"dostupnosť" a"dôverné". Dodávatelia a poskytovatelia služieb už nemusia nevyhnutne spĺňať všetky požiadavky katalógu ISA 6.0, pretože každá značka predstavuje len ich podmnožinu. Cieľom tohto rozdelenia je znížiť záťaž spoločností a zefektívniť proces auditu.

Treba však poznamenať, že katalóg hodnotenia informačnej bezpečnosti (ISA) bol vzhľadom na zmenené prostredie hrozieb rozšírený o niekoľko ďalších požiadaviek. Okrem ochrany tajomstiev by sa mala zabezpečiť aj schopnosť dodávať - kľúčové slovo: just-in-time produkcia -, pretože tá je čoraz viac ohrozená útokmi ransomvéru. Nové požiadavky preto zahŕňajú aj robustnejšie ochranné opatrenia pre OT systémy.

Nové štítky TISAX® v skratke

Pre spoločnosti, ktorým boli zverené citlivé informácie, t. j. obchodné tajomstvo alebo osobné údaje, sú teraz k dispozícii štítky "Dôverné" a "Prísne dôverné". Štítky "Vysoká dostupnosť" a "Veľmi vysoká dostupnosť" sú určené pre dodávateľov, ktorí zohrávajú zásadnú úlohu pri zabezpečovaní dodávok spoločnosti.

Opatrenia, ktoré sa musia zaviesť pre nové štítky TISAX® - okrem základných požiadaviek - sú jasne vyznačené v katalógu hodnotenia ISA 6.0: Pre dôvernosť s "C", pre dostupnosť s "A". Mnohé požiadavky sú označené oboma písmenami, a preto sa vzťahujú na obe nové značky.

"Dôverné"

Označenie "Dôverné" sa zameriava na ochranu dôverných informácií, ktorých neoprávnené zverejnenie môže mať značné negatívne dôsledky, ako je strata dobrého mena, trestné stíhanie alebo finančné škody.

V kontrolách katalógu ISA je v stĺpci "Dodatočné požiadavky pre vysoké potreby ochrany" definovaných 28 špecifických požiadaviek označených písmenom "C", ktoré musia byť splnené pre toto označenie.

Nasledujúce kontroly si zaslúžia osobitnú pozornosť vzhľadom na náročnosť ich realizácie (požiadavky v zátvorkách):

• 3.1.3 (Chráňte a bezpečne likvidujte informácie na podporných zariadeniach, ako sú tlačiarne, skartovačky, fotoaparáty alebo papier)
• 3.1.4 (Šifrovanie údajov v mobilných zariadeniach)
• 5.1.1 (Právna ochrana kontroly nad vlastnými údajmi prostredníctvom zmlúv, špecifikácií, záruk, najmä v prípade externého spracovania údajov)
• 5.1.2 (Šifrovanie digitálnych dopravných trás pre informácie)

Uvedené kontroly sú označené len písmenom "C", nie písmenom "A". To znamená, že sú relevantné len pre dôvernosť. Tieto požiadavky by preto nemuseli byť splnené v procese auditu, ktorého cieľom je len označenie dostupnosti.

"Prísne dôverné"

Označenie "Prísne dôverné" sa zameriava na ochranu prísne dôverných a tajných informácií, ktorých neoprávnené prezradenie môže mať katastrofálne alebo dokonca život ohrozujúce následky, napríklad vážne poškodenie dobrého mena, vážne trestnoprávne následky alebo veľmi vysoké finančné straty.

V kontrolách dotazníka ISA je v stĺpci "Dodatočné požiadavky pre veľmi vysoké potreby ochrany" definovaných deväť špecifických požiadaviek označených písmenom "C", ktoré musia byť splnené pre toto označenie - okrem požiadaviek pre označenie "Dôverné".

Nasledujúce kontroly si vyžadujú osobitnú pozornosť vzhľadom na náročnosť ich vykonávania:

• 1.6.1 (Vykonávanie a poskytovanie dôkazov o pravidelných cvičeniach na riadenie incidentov v oblasti bezpečnosti informácií)
• 4.1.2 (Dvojfaktorová autentifikácia - alebo vyššia - pre prístup k informáciám s veľmi vysokými požiadavkami na ochranu)
• 4.2.1 (Šifrovanie informácií s mimoriadne vysokými požiadavkami na ochranu; štvrťročná kontrola primeranosti pridelených prístupových práv)
• 5.1.2 (Šifrovanie obsahu informácií pri digitálnom prenose)
• 5.2.4 (Zaznamenávanie prístupu k informáciám s obzvlášť vysokými požiadavkami na ochranu)
• 5.2.8 (Koncepcia zálohovania údajov s alternatívnymi miestami na ukladanie a zálohovanie)
• 5.3.1 (Kontrola bezpečnosti softvéru vyvinutého vo vlastnej réžii alebo pre zákazníka - počas implementácie, v prípade zmien a v pravidelných intervaloch)

Podstatné je tiež upozorniť na jasné odlíšenie od štítkov pre dostupnosť: Konkrétne sú tu uvedené požiadavky na kontroly 4.1.2, 4.2.1, 5.1.2 a 5.2.4 označené len písmenom "C". To znamená, že sú relevantné len pre proces auditu pre označenie "Prísne dôverné".

"Vysoká dostupnosť"

Spoločnosti vyžadujú označenie "Vysoká dostupnosť", ak dostupnosť ich vlastných výrobkov alebo služieb priamo ovplyvňuje výrobnú alebo dodávateľskú schopnosť závislých spoločností a poruchy vedú k značným škodám. Bežnými príkladmi sú dodávatelia výrobných materiálov typu just-in-time alebo vysoko špecializovaní dodávatelia služieb alebo surovín, ktoré nie je možné okamžite nahradiť.

V kontrolách katalógu ISA 6.0 je v stĺpci "Dodatočné požiadavky pre vysoké potreby ochrany" definovaných 36 požiadaviek, ktoré sú označené písmenom "A", a preto musia byť pre toto označenie splnené.

Nasledujúce kontroly si vyžadujú osobitnú pozornosť pri implementačnom úsilí:

• 1.6.3 (Príprava na krízové situácie: Krízové scenáre, kontakty, komunikačná stratégia, pravidelná simulácia krízových situácií)
• 5.2.8 (Opatrenia na predchádzanie narušeniam spôsobeným internými hrozbami - ako je ochrana záloh - a výpadkom externých služieb, napr. prostredníctvom vhodných zmlúv SLA)
• 5.2.9 (Koncepcia zálohovania a obnovy: pravidelná kontrola záloh a testovanie obnovy)
• 5.3.2 (Monitorovanie sieťovej prevádzky, analýzy dostupnosti centrálnych služieb)

Uvedené požiadavky sú označené len písmenom "A", t. j. týkajú sa len dostupnosti. Preto ich nie je potrebné splniť v procese auditu, ktorého cieľom je len označenie dôvernosti.

"Veľmi vysoká dostupnosť"

Spoločnosti vyžadujú označenie "Veľmi vysoká dostupnosť", ak krátkodobá dostupnosť ich vlastných produktov alebo služieb vážne ovplyvňuje výrobnú alebo dodávateľskú schopnosť závislých spoločností a poruchy vedú k značným škodám. Typickým príkladom sú just-in-time dodávatelia, ktorých zlyhanie by malo za následok rýchle a rozsiahle zastavenie výroby s veľmi dlhým časom opätovného spustenia.

V kontrolách katalógu ISA je v stĺpci "Dodatočné požiadavky pre veľmi vysoké potreby ochrany" definovaných 13 požiadaviek. Tieto požiadavky sú označené písmenom "A", a preto musia byť splnené pre toto označenie - okrem požiadaviek pre označenie "Vysoká dostupnosť".

Nasledujúce kontroly si vyžadujú osobitnú pozornosť vzhľadom na náročnosť ich implementácie:

• 1.6.1 (Vykonávanie a poskytovanie dôkazov o pravidelných cvičeniach na riadenie incidentov v oblasti informačnej bezpečnosti
• 1.6.2 (Vykonávanie aj zriedkavých typov incidentov informačnej bezpečnosti)
• 1.6.3 (Vykonávanie a poskytovanie dôkazov o pravidelných cvičeniach na riadenie krízových situácií)
• 5.2.6 (Pravidelná plne automatizovaná systémová analýza informačných systémov so zohľadnením OT/priemyselných kontrolných systémov)
• 5.2.8 (Koncepcia zálohovania údajov s alternatívnymi miestami na ukladanie a uchovávanie záloh; koordinácia vlastných havarijných plánov s havarijnými plánmi externých poskytovateľov služieb; stratégie zálohovania s náhradnými systémami a náhradnými miestami na ukladanie a uchovávanie záloh s cieľom zachovať obchodné procesy)
• 5.2.9 (Pravidelné testovanie koncepcie zálohovania údajov; geograficky rozmiestnené miesta zálohovania; čo najizolovanejšie záložné systémy s technicky nemennými zálohami)
• 5.3.1 (Kontrola bezpečnosti softvéru vyvinutého vo vlastnej réžii alebo pre zákazníka - počas implementácie, v prípade zmien a v pravidelných intervaloch)

Požiadavky kontrol 1.6.2, 1.6.3, 5.2.6 a 5.2.9, ktoré sú tu uvedené, sa kontrolujú len počas procesu auditu pre značku "veľmi vysoká dostupnosť", a preto nie sú relevantné pre značku TISAX pre dôvernosť.

Vo všeobecnosti sa pri dvoch označeniach pre "dostupnosť" zvyšuje dôraz na zachovanie výrobných schopností (OT). Interným znalostiam spoločnosti o odporúčaniach výrobcu OT, rizikách OT a bezpečnostných opatreniach pre siete OT a riadeniu OT sa pri audite venuje väčšia pozornosť.

Ktoré štítky TISAX® spoločnosti potrebujú

Otázka, ktoré štítky sú v praxi potrebné, prirodzene závisí predovšetkým od úlohy spoločnosti v dodávateľskom reťazci. V každej fáze dodávateľského reťazca si spoločnosti musia položiť otázku, od ktorých dodávateľov sú závislé a ktorým dodávateľom sú zverené citlivé informácie.

Preto riadenie dodávateľov, ktoré vyžaduje systém TISAX® na každom stupni, vedie k požiadavkám na označovanie špecifickým pre jednotlivé úlohy, ktoré sa kaskádovito šíria dodávateľským reťazcom. Mimoriadne užitočný je tu mechanizmus výmeny, v ktorom sa dodávateľ môže odvolávať na existujúce štítky na preukázanie súladu s požiadavkami. Výsledky posúdenia môžu byť k dispozícii ktorejkoľvek zainteresovanej strane.

Predpokladajme, že spoločnosť profylakticky požaduje obe nové označenia, hoci označenie dôvernosti alebo dostupnosti nie je potrebné. V takom prípade sa určite oplatí viesť ďalšiu diskusiu o vzájomnom chápaní úloh vzhľadom na potenciálne výrazne vyššie náklady na implementáciu.
Treba tiež zohľadniť súvislosť medzi označením TISAX a úrovňami posudzovania: Značky "Veľmi vysoká dostupnosť" a "Prísne dôverné" možno udeliť len prostredníctvom posúdenia na úrovni 3, t. j. prostredníctvom posúdenia na mieste.

Ciele posudzovania, značky a úrovne posudzovania - stručné vysvetlenie rozdielov

V predchádzajúcej časti sme použili niekoľko pojmov, ktoré tu stručne vysvetlíme a navzájom odlíšime:

• Cieľ hodnotenia TISAX® : na základe špecifikácií svojich výrobných partnerov dodávatelia používajú ciele hodnotenia na určenie požiadaviek, ktoré musia splniť pri audite.
• Štítok TISAX® : Po úspešnom absolvovaní auditu dostanú spoločnosti v databáze TISAX®  pre vybraný cieľ hodnotenia značku TISAX® ako potvrdenie, že splnili požiadavky.
• Úroveň TISAX® : Splnenie požiadaviek sa hodnotí odlišne v závislosti od úrovne hodnotenia. Úroveň 1 je výlučne samohodnotenie. Na úrovni 2 sa hodnovernosť samohodnotenia kontroluje externým audítorom, pričom sa dopĺňa rozhovormi na diaľku. Na úrovni 3 audítor kontroluje účinnosť na mieste.

Pri certifikácii podľa starého katalógu ISA sa vyžaduje analýza GAP

Dôležité pre spoločnosti, ktoré sú stále certifikované podľa starého označenia "Info":

• Aby bola prechodná fáza čo najmenej komplikovaná, spoločnostiam s označením "Info High" boli automaticky pridelené označenia "Confidential" a "High Availability" až do dátumu ich platnosti.
• Podobne aj označenie "Info Very High" bolo zmenené na označenie "Prísne dôverné" a "Veľmi vysoká dostupnosť".

Týka sa to aj audítorských procesov, ktorých ponuky boli prijaté pred 1. aprílom, a následných rozšírení rozsahu, pričom obidva tieto procesy sa môžu naďalej vykonávať v súlade so starým katalógom ISA 5.1.

Je však potrebné poznamenať, že príslušné spoločnosti musia byť certifikované v súlade s vtedy platným katalógom auditov ISA po skončení platnosti ich označení TISAX, ktoré sú platné tri roky. Nová certifikácia musí byť k dispozícii hneď po skončení platnosti starej značky. Zodpovedným osobám sa preto odporúča, aby včas vykonali analýzu nedostatkov, aby mohli včas vykonať úpravy systému riadenia bezpečnosti informácií (ISMS) a pripraviť sa na ďalší audit ^TISAX®.

Na účely tejto analýzy nedostatkov poskytlo združenie ENX špeciálny katalóg požiadaviek, v ktorom sú všetky zmeny medzi ISA 5.1 a ISA 6.0 uvedené a označené červenou farbou. Vďaka tomu môžu spoločnosti na prvý pohľad vidieť, ktoré nové požiadavky boli pridané. Čo je potrebné vziať do úvahy: Ide o pomocný dokument. Na účely auditu by si spoločnosti mali vždy stiahnuť najnovšiu verziu katalógu auditov ISA z webovej stránky ENX.

Pozornosť si zasluhujú najmä nasledujúce zmeny:

• Nová kontrola 1.3.4 môže vyžadovať investície do nového softvéru, napríklad na správu licencií.
• Rozsiahle upravené kontroly 1.6.1 a 1.6.2 teraz vyžadujú koordinovanú a pravidelne testovanú reakciu na incidenty.
• Kontrola 3.1.2 bola nahradená novými kontrolami 1.6.3, 5.2.8 a 5.2.9, ktoré ukladajú množstvo nových požiadaviek týkajúcich sa riešenia krízových situácií, riadenia kontinuity činností a zálohovania údajov.

Nové značky TISAX®  - záver

Nové štítky pre dôvernosť a dostupnosť by mali v budúcnosti zabezpečiť väčšiu efektívnosť certifikácie TISAX®, keďže audity sa teraz vykonávajú na základe konkrétnych úloh. To znamená, že dodávatelia a poskytovatelia služieb už nemusia implementovať všetky požiadavky uvedené v katalógu. Je však badateľné, že v prípade označenia dostupnosti je potrebné splniť viac požiadaviek ako v prípade označenia dôvernosti. Je to spôsobené novým zameraním na zabezpečenie schopnosti dodávok a zabezpečenie prostredí OT, ktoré boli zahrnuté do všetkých kontrol súčasného katalógu ISA.

Revidovaný a čiastočne rozšírený katalóg obsahuje aj niekoľko nových požiadaviek, z ktorých niektoré sa dajú splniť len s určitým úsilím a zodpovedajúcim časom realizácie. Preto sa spoločnostiam s certifikátmi podľa starého katalógu odporúča včasná analýza nedostatkov, pretože nové značky získali "len" automatickou konverziou starej značky pre informačnú bezpečnosť.

Osobitné problémy vznikajú pre zákazníkov, ktorí v minulosti dostali svoje etikety v rámci postupu rotačného odberu vzoriek (Rotating SGA). Z nákladových dôvodov by tieto spoločnosti chceli v poslednom roku platnosti etikety prejsť na skutočný postup odberu vzoriek (SGA na základe vzoriek). Preto musia v treťom roku dokončiť hodnotenie rotujúceho SGA, previesť svoj ISMS na nový katalóg ISA a dokončiť hodnotenie SGA na základe vzoriek pred uplynutím platnosti štítku, aby mohli bezproblémovo predĺžiť platnosť štítku.

DQS je váš spoľahlivý partner

TISAX® - rovnako ako ENX VCS pre kybernetickú bezpečnosť vozidiel - bol vyvinutý združením ENX. Spoločnosť DQS je schválená združením ENX ako poskytovateľ hodnotiacich služieb, a preto môže vykonávať hodnotenia na celom svete - a sama je tiež certifikovaná systémom TISAX® . A keďže mnohí z našich audítorov TISAX® sú akreditovaní aj pre medzinárodnú normu pre bezpečnosť informácií ISO 27001, môžeme posudzovať obe normy súčasne a s menším dodatočným úsilím. Tešíme sa na rozhovor s vami.

Poznámka: Prístup do systému TISAX®  je možný prostredníctvom registrácie účastníka, ktorú je potrebné vykonať online na portáli ENX. Je to nevyhnutný predpoklad na to, aby ste mohli poveriť schváleného poskytovateľa služieb posudzovania, ako je DQS.

Dôvera a odborné znalosti

Naše texty a brožúry píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu textov alebo našich služieb pre nášho autora, kontaktujte nás.