Novi katalog ISA 6.0 velja od 1. aprila 2024

VSEBINA

Zaradi vse večjih groženj so potrebne prilagoditve kataloga ISA

Oznaka "razpoložljivost": razširitev na proizvodne objekte

Oznaka "zaupnost": zaščita občutljivih informacij

Kaj nove zahteve pomenijo za prihodnjo revizijo ^TISAX®?

ISO 27001 in IEC 62443 kot trdna podlaga

Spremembe kataloga ISA 6.0 do leta 2024: Zaključek

TISAX 6.0 - ozadje

Vse večje grožnje zahtevajo prilagoditve kataloga ISA

Zaradi velikega pomena in zapletenosti dobavnih verig ima celovita informacijska in kibernetska varnost v avtomobilski industriji ključno vlogo. Navsezadnje so dobavitelji tesno vključeni v razvojne in proizvodne procese. To pomeni, da imajo pogosto dostop do zelo občutljivih in občutljivih informacij - zato morajo imeti visoko raven odpornosti. Geopolitične napetosti ter vse večja digitalizacija in mreženje dobavne verige povzročajo vse večja tveganja za informacijsko varnost.

Zaradi te dinamike je bil posodobljen obstoječi katalog VDA ISA 5.1. Različica 6.0 je bila objavljena v angleščini 16. oktobra 2023 in je na voljo za prenos.

Novi katalog vprašanj ISA 6.0 pomeni pomemben mejnik za ^TISAX®. To vodi do prilagoditev zahtev za izvajalce revizij, določenih v pravilniku ^TISAX® ACAR 2.2. Prehod na angleščino kot glavni jezik kataloga ISA 6.0 poudarja globalno perspektivo in skupna prizadevanja za nadaljnji razvoj kataloga zahtev v globalnih delovnih skupinah.

Nove oznake nadomeščajo znano oznako "informacijska varnost"

Glavne spremembe v katalogu ocenjevanja informacijske varnosti (ISA) 6.0 zadevajo modul "Informacijska varnost" in z njim povezan sistem nalepk ^TISAX®. V prihodnje bosta znano oznako "Informacijska varnost" v celoti nadomestili dve oznaki "Razpoložljivost" in "Zaupnost".

Oznaka "Razpoložljivost" v katalogu ISA 6.0: razširitev na proizvodne zmogljivosti

V novem katalogu ISA sta oznaki "Razpoložljivost visoka" in "Razpoložljivost zelo visoka" postali bolj specifični. Posledično bodo sistemi OT (operativne tehnologije) v prihodnje bolj v ospredju revizij.

Vse večja povezanost proizvodnih okolij, tj. sistemov za nadzor industrijske avtomatizacije (IACS) in njihovih omrežij, povzroča številne nove izzive za informacijsko varnost. Proizvodni obrati obsegajo izjemno obsežna omrežja s številnimi specializiranimi tehnologijami in protokoli.

V številnih pogledih se bistveno razlikujejo od sistemov IT: Proizvodna okolja so na splošno zasnovana za večletno delovanje, in ko začnejo nemoteno delovati, so razen rednega vzdrževanja in popravil čim manj motena. To pomeni, da se na primer pri številnih komponentah še vedno uporabljajo zastareli operacijski sistemi, komunikacijski protokoli ali šifrirni algoritmi.

Procesi samodejnega popravljanja in posodabljanja so bili dolgo časa nezaželeni ali vsaj kritično obravnavani. Prevelik je bil strah, da bi se zapleten proizvodni proces lahko izjalovil in povzročil veliko gospodarsko škodo. Obsežni, porazdeljeni sistemi in komunikacijska omrežja, do katerih lahko dostopajo številni zaposleni, ponujajo tudi številne fizične točke napada.

Zanesljivost in razpoložljivost avtomatiziranih proizvodnih sistemov nista izjemno pomembni le s poslovnega vidika, temveč tudi zato, ker lahko odstopanja v procesu povzročijo precejšnjo škodo in finančne izgube.

Da bi vse te vidike, specifične za OT, vključili v katalog ISA 6.0, sta se ENX in VDA usmerila v mednarodno veljavno serijo standardov IEC 62443 in zlasti v pododdelek 2-1.

Oznaka "Zaupnost": Zaščita občutljivih informacij

Če so podjetju zaupani občutljivi podatki, mora dokazati, da lahko te podatke ustrezno zaščiti. Z oznakama "Zaupnost visoka" ali "Zaupnost stroga" se izberejo tiste zahteve kataloga ISA 6.0, ki prispevajo k temu cilju varovanja.

Kaj to pomeni za prihodnjo revizijo ^TISAX®?

Novi oznaki omogočata revizijo glede na možne vloge, ki jih ima dobavitelj v dobavni verigi. Če je bil dobavitelj opredeljen kot posebej pomemben za dobavno verigo, lahko uporabi oznako "Razpoložljivost", da dokaže svojo zanesljivost. Če so dobavitelju zaupane posebej občutljive informacije, lahko uporabi oznako "Zaupnost", da dokaže, da je sprejel ustrezne previdnostne ukrepe za zaščito teh informacij. Če dobavitelj prevzame odgovornost za obe vlogi, se lahko revidira za oba znaka.

Za obe oznaki je treba izpolniti isti sklop osnovnih zahtev. Poleg tega za vsako oznako obstajajo posebne zahteve za visoke in zelo visoke potrebe po zaščiti. To pomeni, da se revizija izvede glede na oznako.

V podatkovni zbirki ^TISAX® bo izveden tudi prehod sistema oznak. V prihodnosti bosta oznako "Visoka varnost informacij" nadomestili dve združeni oznaki "Visoka razpoložljivost" in "Visoka zaupnost". Enako velja za oznako "Informacijska varnost zelo visoka", ki jo bosta v prihodnosti nadomestili oznaki "Razpoložljivost zelo visoka" in "Zaupnost stroga". To se bo samodejno zgodilo za vse udeležence, ki že imajo oznako "informacijska varnost" v platformi ^TISAX®.

Glavni namen zgoraj opisanih selektivnih revizij je zagotoviti, da morajo podjetja izpolnjevati le tiste zahteve iz vprašalnika ISA 6.0, ki so zanje pomembne. Hkrati se za proizvodna podjetja pojavljajo novi izzivi, saj morajo biti OT sistemi zdaj podvrženi upravljanju na podoben način, kot se že na splošno zahteva za IT sisteme ^TISAX®.

Odvisno od posameznega primera morajo zato podjetja pričakovati dodatne zahteve, ki jih je treba zaostriti v sistemu upravljanja informacijske varnosti (ISMS) in lahko povzročijo večje stroške.

Nove zahteve v različici 6.0

• Varnost in neprekinjeno delovanje: OT ima ključno vlogo v proizvodnih obratih, v katerih so avtomatizirani sistemi, kot je IAKS, osrednjega pomena. Zagotavljanje razpoložljivosti teh sistemov ni povezano le s produktivnostjo, temveč tudi z varnostjo. Zaposleni pogosto delajo v neposredni bližini teh avtomatiziranih sistemov, zato lahko kakršna koli okvara predstavlja resno varnostno tveganje. Na primer, nepravilno umerjeni senzorji ali krmilniki OT lahko ogrozijo ljudi in dragoceno opremo.
• Upravljanje tveganj: Z vključitvijo OT v področje uporabe morajo podjetja upoštevati posebna tveganja, povezana s temi sistemi. Sisteme OT je treba urejati, razvrščati in spremljati tako, da je mogoče učinkovito preprečevati nastajajoča tveganja. Za te naloge je treba imenovati odgovorne osebe.
• Nadzor dostopa: Dostop ponudnikov storitev do omrežij OT za namene vzdrževanja je kritično vprašanje. Ustrezen nadzor dostopa in podrobni protokoli so bistveni za ohranjanje varnosti in celovitosti sistemov OT.
• Usposobljenost osebja: Osebje, odgovorno za delovanje OT sistemov, mora biti ustrezno usposobljeno, kompetentno in se mora zavedati morebitnih tveganj delovanja. Zaradi kritičnosti teh sistemov so ključni kadrovski vidiki, vključno s preverjanjem preteklosti za občutljiva delovna mesta.
• Upravljanje življenjskega cikla: Učinkovito upravljanje sistemov OT v njihovem življenjskem ciklu, vključno s popravilom, prevozom in odstranitvijo, je ključnega pomena za zmanjšanje tveganj, povezanih s podatki in dostopom do lokalnih naprav.
• Varnostni ukrepi: OT je treba pred morebitnimi napadi zaščititi z zanesljivimi varnostnimi rešitvami, kot so protivirusna programska oprema, požarni zidovi ali omejitev odprtih vmesnikov in storitev.
• Revizije in ocena ranljivosti: Potrebne so redne tehnične revizije sistemov, da se preveri, ali so OT sistemi utrjeni v skladu s specifikacijami proizvajalca, in da se ugotovijo znane ranljivosti.
• Segmentacija omrežja: Omrežja je treba ustrezno segmentirati glede na namen in tveganje - tudi za medsebojno zaščito okolij IT in OT.
• Varnostno kopiranje in obnovitev: Celoviti načrti varnostnega kopiranja in obnovitve so bistveni za zagotavljanje neprekinjenega poslovanja sistemov OT.
• Ravni storitev in spremljanje: Za omrežne storitve OT je treba vzpostaviti ustrezne ravni storitev in opredelitve razpoložljivosti ter jih nenehno spremljati.
• Zunanji ponudniki: Če zunanji ponudniki storitev uporabljajo OT naprave, je treba za zunanje ponudnike urediti raven informacijske varnosti glede dostopa in drugih informacij, shranjenih na napravi.

ISO 27001 in IEC 62443 kot trdna podlaga

Sistem ISMS v skladu s standardom ISO 27001 je v nekaterih reguliranih panogah že zakonska zahteva. V številnih panogah je uradno ali neuradno tudi osnovna zahteva za skladnost pri sklepanju sporazumov o storitvah ali podobnih sporazumov.

Ker na tem standardu temelji tudi vprašalnik ISA 6.0, je certificiran sistem upravljanja informacijske varnosti že dobra podlaga za revizijo ^TISAX®. Vendar pa ^TISAX® zahteva posebno izvajanje sistema ISMS s podrobnimi zahtevami "mora" in "mora" ter dodatnimi zahtevami za visoko ali zelo visoko raven zaščite.

Poleg sistema ISMS zagotavljajo trdno podlago tudi standard IEC 62443 in iz njega izhajajoče nove zahteve v katalogu ISA. V pododdelku 2 standarda je opisana struktura sistema upravljanja za industrijsko kibernetsko varnost. Podrazdelek 2-1 med drugim zajema vzpostavitev varnostnega programa za industrijsko avtomatizacijo in nadzorne sisteme.

Pri oblikovanju teh področij se je IEC (Mednarodna komisija za elektrotehniko) ponovno zgledovala po standardu ISO 27001, katerega številne procese in mehanizme je mogoče uporabiti tudi za nadzorne sisteme. To pomeni, da so v revizijo vključena industrijska komunikacijska omrežja ter sistemi za avtomatizacijo in nadzor (IACS).

Katalog ISA 6.0: Kateri roki veljajo za uporabnike?

Prehod na revizijski katalog ISA 6.0 bo izveden 1. aprila 2024. Vsi, ki naročijo presojo TISAX® do vključno 31. marca, lahko še vedno opravijo presojo v skladu s starim katalogom ISA 5.1. Ocene, naročene od 1. aprila prihodnje leto, se lahko izvajajo le v skladu z novo različico kataloga ISA 6.0.

Po eni strani to pomeni, da bo ocenjevanje od aprila 2024 dalje bolj zapleteno, po drugi strani pa se bo povečana raven varnosti vašemu podjetju izplačala. Pomembno je, da se na nove zahteve pripravite že zgodaj in jih vestno izvajate, da boste lahko izkoristili večje zaupanje v novo oznako ^TISAX®.

Vse revizijske dejavnosti, ki so odvisne od obstoječih presoj, kot so presoje načrta korektivnih ukrepov, nadaljnje presoje, presoje razširitve področja uporabe ali presoje poenostavljenih skupin, se bodo še naprej izvajale v skladu z različico standarda ISA, po kateri je bila izvedena prvotna presoja.

Katalog ISA 6.0 Spremembe 2024: Sklep:

Izdaja kataloga ISA 6.0 je pomemben dogodek v razvijajočem se svetu avtomobilskih standardov in skladnosti. Ta posodobitev predstavlja nadaljnjo zavezanost odličnosti, natančnosti in vse večjemu pomenu informacijske varnosti v avtomobilski industriji. Z uvedbo spremenjenih oznak zaupnosti in razpoložljivosti ter širšim področjem uporabe, ki zajema sisteme operativne tehnologije (OT), se avtomobilski sektor še naprej razvija v smeri višjih standardov kakovosti in varnosti.

Družba DQS je s strani ENX-a potrjena kot ponudnik storitev ocenjevanja, zato lahko izvaja ocene ^TISAX® po vsem svetu. Imamo presojevalce ^TISAX®, ki so odobreni tudi za mednarodni standard za informacijsko varnost ISO 27001. To pomeni, da lahko DQS oceni oba standarda hkrati in z manj dodatnega napora. Veselimo se pogovora z vami.

Opomba: Dostop do sistema ^TISAX® je mogoč prek registracije udeležencev, ki jo je treba opraviti prek spleta na portalu ENX. To je predpogoj za to, da lahko pooblastite pooblaščenega ponudnika storitev ocenjevanja, kot je DQS.

^TISAX® 6.0 - osnovne informacije

^TISAX® temelji na katalogu VDA ISA, ki ga je razvilo nemško združenje avtomobilske industrije (VDA), obsežnem vprašalniku, ki v osnovi temelji na tako imenovanih "kontrolah", referenčnih ukrepih iz Priloge A standarda za informacijsko varnost ISO 27001, in je prilagojen drugim specifičnim zahtevam avtomobilske industrije.

Standard za informacijsko varnost je bil medtem revidiran in 25. oktobra 2022 objavljen kot novi standard ISO/IEC 27001:2022. Revizija je vplivala zlasti na Prilogo A. Z različico 6.0 standarda ISA je bila izvedena tudi ustrezna prilagoditev novim kontrolam.

^TISAX® je namenjen predvsem podjetjem, ki želijo ali morajo dokazati določeno raven varnosti in razpoložljivosti informacij za sodelovanje s (sodelujočim) avtomobilskim proizvajalcem. Za izvajanje in spremljanje postopka je odgovorno združenje ENX s sedežem v Frankfurtu na Majni in Parizu. ENX je združenje evropskih avtomobilskih proizvajalcev, dobaviteljev in štirih nacionalnih avtomobilskih združenj, vključno z nemškim ustanoviteljem združenja ENX VDA.

Zaupanje in strokovno znanje

Naša besedila in brošure pišejo izključno naši strokovnjaki za standarde ali dolgoletni presojevalci. Če imate vprašanja o vsebini besedila ali naših storitvah za avtorja, se obrnite na nas.