Novi ISA katalog 6.0 važi od 1. aprila 2024

SADRŽAJ

Povećani rizici zahtevaju prilagođavanje ISA kataloga

"Dostupnost" oznaka: proširenje na proizvodne pogone

"Poverljivost" oznaka: zaštita osetljivih informacija

Šta novi zahtevi znače za buduće TISAX^® audite?

ISO 27001 i IEC 62443 kao čvrsta podloga

ISA katalog 6.0 izmene 2024: Zaključak

TISAX 6.0 - pozadina

Povećani rizici zahtevaju prilagođavanje ISA kataloga

S obzirom na veliki značaj i složenost lanaca nabavke, krajnje informacije i sajber sigurnost igraju ključnu ulogu u automobilskoj industriji. Uostalom, dobavljači su usko uključeni u razvojne i proizvodne procese. To znači da često imaju pristup poverljivim i osetljivim informacijama - i moraju imati visok nivo otpornosti. Geopolitičke tenzije i sve veća digitalizacija i umrežavanje lanca nabavke dovode do povećanja rizika za bezbednost informacija.

Kao posledica ove dinamike, postojeći VDA ISA katalog 5.1 je ažuriran. Verzija 6.0 objavljena je na engleskom 16. oktobra 2023. i dostupna za preuzimanje.

Novi ISA katalog pitanja 6.0 označava značajnu prekretnicu za TISAX^®. Ovo dovodi do prilagođavanja zahteva za pružaoce audita utvrđenih u TISAX® ACAR 2.2 propisima. Prelazak na engleski kao glavni jezik ISA 6.0 kataloga naglašava globalnu perspektivu i zajedničke napore za dalji razvoj kataloga zahteva u globalnim radnim grupama.

Nove oznake menjaju poznatu oznaku "bezbednost informacija" 

Glavne promene u katalogu Sudita bezbednosti informacija -  Information Security Assessment  (ISA) 6.0 odnose se na modul "Informaciona bezbednost" i pripadajući sistem oznaka iz TISAX®-a. U budućnosti će poznata oznaka "bezbednost informacija" biti potpuno zamenjena s dve oznake "Dostupnost" i "Poverljivost".

"Dostupnost" oznaka u ISA katalogu 6.0: proširenje na proizvodne pogone

U novom ISA katalogu oznake "Visoka dostupnost" i "Vrlo visoka dostupnost" su precizirane. Kao rezultat toga, OT (operativna tehnologija) sistemi će postati glavni fokus za buduće audite.

Sve veće umrežavanje proizvodnih okruženja, tj. Sistemi upravljanja industrijske automatizacije ( Industrial Automation Control Systems = IACS) i njihove mreže, rezultira nizom novih izazova za bezbednost informacija. Proizvodni pogoni obuhvataju izuzetno široke mreže sa mnoštvom specijalizovanih tehnologija i protokola.

U mnogim aspektima, oni se fundamentalno razlikuju od IT sistema: Proizvodna okruženja su generalno dizajnirana da rade dugi niz godina i kada neometano rade, ostavljena su što je više moguće neometana osim za redovno održavanje i popravke. To znači da se zastareli operativni sistemi, komunikacioni protokoli ili algoritmi za šifriranje, na primer, još uvek koriste na mnogim komponentama.

Dugo vremena, procesi automatskih zakrpa i ažuriranja bili su nepoželjni ili su se barem gledali kritički. Strah je bio prevelik da bi složeni proizvodni proces mogao ispasti iz sinhronizacije i uzrokovati značajne ekonomske gubitke. Veliki, distribuirani sistemi i komunikacione mreže, kojima mnogi zaposleni mogu pristupiti, takođe se prepoznaju kao moguće višestruke fizičke tačke napada.

Pouzdanost i dostupnost automatizovanih proizvodnih sistema nisu izuzetno važni samo iz poslovne perspektive, već i zbog toga što odstupanja u procesu mogu prouzrokovati značajne štete i finansijske gubitke.

Da bi integrisali sve ove OT-specifične aspekte u ISA katalog 6.0, ENX i VDA su se orijentisali na međunarodno važeću IEC 62443 seriju standarda, a posebno na pododeljak 2-1.

"Poverljivost" oznaka: Zaštita osetljivih informacija

Ako je kompaniji poverena osjetljiva informacija, ona mora dokazati sposobnost da može zaštititi te informacije na odgovarajući način. Oznake "Visoka poverljivost" ili "Stroga poverljivost" koriste se za odabir onih zahteva ISA kataloga 6.0 koji doprinose ovom cilju zaštite.

Šta ovo znači za buduće TISAX^® audite?

Nove oznake omogućavaju audit prema mogućim ulogama koje dobavljač ima u lancu nabavke. Ako je dobavljač identifikovan kao posebno važan za lanac snabdijevanja, on može koristiti oznaku „Dostupnost“ da dokaže svoju pouzdanost. Ako su dobavljaču poverene posebno osetljive informacije, on može koristiti oznaku "Poverljivost" da dokaže da je preduzeo odgovarajuće mere predostrožnosti za zaštitu ovih informacija. Ako dobavljač preuzme odgovornost za obe uloge, može se izvršiti audit za obe oznake.

Isti skup osnovnih zahteva mora biti ispunjen za obe oznake. Osim toga, postoje specifični zahtevi za visoke i vrlo visoke potrebe zaštite za svaku oznaku. To znači da se audit vrši zavisno od oznake.

Tranzicija sistema oznaka će se takođe izvršiti u bazi podataka TISAX®. Ubuduće će oznaka "IT bezbednost visoka" biti zamenjena sa dve kombinovane oznake "Dostupnost visoka" i "Visoka poverljivost". Isto važi i za oznaku "IT bezbednost veoma visoka", koja će u budućnosti biti zamenjena oznakama "Veoma visoka dostupnost" i "Stroga poverljivost". Ovo će se desiti automatski za sve učesnike koji već imaju oznaku „bezbednost informacija“ na TISAX® platformi.

Glavna svrha gore opisanih selektivnih audita je osiguranje da kompanije moraju ispuniti samo zahteve ISA upitnika 6.0 koji su relevantni za njih. Istovremeno se pojavljuju novi izazovi za proizvodne kompanije, jer OT sistemi sada moraju biti predmet upravljanja na sličan način kao što je već potrebno za TISAX^® IT sisteme.

Zavisno od pojedinačnih slučaja, kompanije stoga moraju očekivati dodatne zahteve koje je potrebno pooštriti u sistemu upravljanja bezbednošću informacija (ISMS) i koji mogu dovesti do većih troškova.

Novi zahtevi u verziji 6.0

• Bezbednost i kontinuitet rada: OT igra ključnu ulogu u proizvodnim pogonima u kojima su automatizovani sistemi kao što je IACS od centralne važnosti. Osiguravanje dostupnosti ovih sistema ne odnosi se samo na produktivnost, već i na bezbednost. Zaposleni često rade u neposrednoj blizini ovih automatizovanih sistema, a bilo kakav kvar može predstavljati ozbiljan bezbednosni rizik. Na primer, neispravno kalibrisani OT senzori ili kontrole mogu ugroziti i ljude i vrednu opremu.
• Upravljanje rizikom: Uz uključivanje OT-a u opseg, kompanije treba da razmotre specifične rizike povezane sa ovim sistemima. OT sistemi treba da budu regulisani, klasifikovani i praćeni na takav način da se mogu efikasno suprotstaviti novonastalim rizicima. Za ove poslove moraju biti imenovana odgovorna lica.
• Kontrola pristupa: Pristup provajdera usluga OT mrežama za potrebe održavanja je kritično pitanje. Odgovarajuće kontrole pristupa i detaljni protokoli su neophodni za održavanje sigurnosti i integriteta OT sistema.
• Kompetencije osoblja: Osoblje odgovorno za rad OT sistema mora biti adekvatno obučeno, kompetentno i svesno potencijalnih rizika rada. Analize podataka o osoblju, uključujući provere prošlosti za osetljive pozicije, su presudna zbog kritičnosti ovih sistema.
• Upravljanje životnim ciklusom: Efektivno upravljanje OT sistemima tokom njihovog životnog ciklusa, uključujući popravku, transport i odlaganje, ključno je za minimiziranje rizika povezanih s lokalnim podacima i pristupom uređaju.
• Sigurnosne mere: OT mora biti zaštićen od potencijalnih napada robusnim sigurnosnim rešenjima, kao što su antivirus softver, firewall ili smanjenje otvorenih interfejsa i usluga.
• Auditi i analiza ranjivosti: Potrebni su redovni tehnički auditi sistema kako bi se proverilo očvršćavanje OT sistema u skladu sa specifikacijama proizvođača i identifikovale poznate ranjivosti.
• Segmentacija mreže: Mreže bi trebalo da budu na odgovarajući način segmentirane u skladu sa svrhom i rizikom – takođe kako bi zaštitile IT i OT okruženja jedna od druge.
• Back-up i oporavak: Sveobuhvatni planovi sigurnosnog kopiranja (back-up) i oporavka su od suštinskog značaja za osiguranje kontinuiteta poslovanja u OT sistemima.
• Nivoi usluga i praćenje: Odgovarajući nivoi usluga i definicije dostupnosti moraju biti postavljeni i kontinuirano nadgledani za OT mrežne usluge.
• Eksterni provajderi: Ako eksterni provajderi usluga koriste OT uređaje, nivo sigurnosti informacija u vezi sa pristupom i drugim informacijama pohranjenim na uređaju mora biti regulisan za eksternog provajdera.

ISO 27001 i IEC 62443 kao čvrsta podloga

ISMS u skladu sa ISO 27001 je već zakonski zahtev u nekim regulisanim industrijama. U mnogim industrijama, to je takođe službeno ili nezvanično osnovni zahtev usaglašenosti za sklapanje ugovora ili sličnih sporazuma.

Kako je ISA upitnik 6.0 takođe zasnovan na ovom standardu, sertifikovani sistem upravljanja bezbednošću informacija već predstavlja dobru osnovu za TISAX^® audit. Međutim, TISAX® zahteva specifičnu implementaciju ISMS-a s detaljnim zahtevima "trebalo bi" i "mora", plus dodatnim zahtevima za visok ili vrlo visok nivo zaštite.

Pored ISMS-a, standard IEC 62443 i rezultirajući novi zahtevi u ISA katalogu pružaju robusnu osnovu. Pododeljak 2 standarda opisuje strukturu sistema upravljanja za industrijsku sajber sigurnost. Pododeljak 2-1 pokriva, između ostalog, uspostavljanje sigurnosnog programa za industrijsku automatizaciju i sisteme upravljanja.

Prilikom izrade ovih oblasti, IEC (Međunarodna elektrotehnička komisija) se ponovo rukovodila standardom ISO 27001, čiji se mnogi procesi i mehanizmi mogu primeniti i na sisteme upravljanja. To znači da su industrijske komunikacione mreže i sistemi automatizacije i kontrole (IACS) uključeni u audit.

ISA Katalog 6.0: Koji su rokovi za korisnike?

Prelazak na ISA katalog 6.0 održaće se 1. aprila 2024. Svako ko se prijavi za TISAX® audit  do 31. marta i dalje se može izvršiti provera prema starom ISA katalogu 5.1. Auditi zakazani od 1. aprila ove godine mogu se sprovoditi samo u skladu s novom verzijom 6.0 ISA kataloga.

S jedne strane, to znači da će ocena biti složenija od aprila 2024. godine, ali s druge strane, povećani nivo sigurnosti će se isplatiti vašoj kompaniji. Važno je da se pripremite za nove zahteve u ranoj fazi i da ih savesno implementirate kako biste imali koristi od povećanog poverenja u novu TISAX® oznaku.

Sve audit aktivnosti koje zavise od postojećih ocena, kao što su ocene plana korektivnih akcija, naknadne aktivnosti, ocene proširenja obima ili pojednostavljene grupne ocene, nastaviće se u skladu s verzijom ISA prema kojoj je izvršena originalna ocena.

ISA Katalog 6.0 Izmene 2024: Zaključak

Izdavanje ISA kataloga 6.0 značajan je događaj u svetu automobilskih standarda i usaglašenosti koja se razvija. Ovo ažuriranje predstavlja kontinuiranu posvećenost izvrsnosti, preciznosti i sve većoj važnosti bezbednosti informacija u automobilskoj industriji. Sa uvođenjem izmenjenih oznaka poverljivosti i dostupnosti i širim opsegom koji obuhvata sisteme operativne tehnologije (OT), automobilski sektor nastavlja da se razvija prema višim standardima kvaliteta i bezbednosti.

DQS je odobren od strane ENX-a kao provajder usluga audita i stoga može izvršiti TISAX^® ocene širom svijeta. Imamo TISAX® auditore koji su takođe odobreni za međunarodni standard za bezbednost informacija ISO 27001. To znači da DQS može oceniti oba standarda u isto vreme i uz manje dodatnih napora, kao integrisan menedžment sistem. Radujemo se razgovoru s vama.

Napomena: Pristup TISAX®-u je putem registracije učesnika, koja se mora izvršiti online na ENX portalu. Ovo je preduslov da se može angažovati odobreni provajder usluga sertifikacije i auditiranja kao što je DQS.

TISAX^® 6.0 - pozadina

TISAX® je baziran na VDA ISA katalogu koji je razvilo Nemačko udruženje automobilske industrije (VDA), sveobuhvatan upitnik koji se u suštini temelji na tzv. "kontrolama", referentnim merama iz Aneksa A standarda bezbednosti informacija ISO 27001, a prilagođen je drugim zahtevima specifičnim za automobilsku industriju.

Standard bezbednosti informacija je od tada revidiran i objavljen kao novi ISO/IEC 27001:2022 25. oktobra 2022. Aneks A je posebno pogođen pomenutom revizijom. Odgovarajuće prilagođavanje novim kontrolama je takođe napravljeno sa ISA verzijom 6.0.

TISAX® je prvenstveno namenjen kompanijama koje žele ili treba da pokažu određeni nivo bezbednosti informacija i dostupnosti za saradnju sa (odabranim) proizvođačem automobila. ENX Asocijacija, sa sedištem u Frankfurtu na Majni i Parizu, odgovoran je za implementaciju i praćenje procedure. ENX je udruženje evropskih proizvođača automobila, dobavljača i četiri nacionalna automobilska udruženja, uključujući nemačkog osnivača ENX-a VDA.

Poverenje i stručnost

Naše tekstove i brošure pišu isključivo naši eksperti za standarde ili auditori sa dugogodišnjim iskustvom . Ako imate pitanja o tekstualnom sadržaju ili našim uslugama za našeg autora, kontaktirajte DQS tim.