Nove TISAX® oznake: šta treba uzeti u obzir

• Izmenjeni uslovi - novi zahtevi
• Zašto su ovedene nove TISAX^® oznake Dostupnost i Poverljivost?
• Nove TISAX^® oznake na prvi pogled
• Koje TISAX^® oznake su potrebne kompanijama
• Ciljevi ocene, oznake i nivoi ocene - kratko objašnjenje razlika
• Za sertifikacije u skladu sa starim ISA katalogom, potrebna je GAP analiza
• Nove TISAX^® oznake - Zaključak
• DQS je vaš pouzdan partner

Zašto su uvedene nove TISAX^® oznake Dostupnost i Poverljivost?

Dobavljači i pružaoci usluga usko su uključeni u razvoj i proizvodne procese proizvođača automobila – ali ponekad imaju vrlo različite uloge: Nekim kompanijama su poverene vrlo osetljive informacije, ali na kraju nemaju dalje uključenje u stvarnu proizvodnju. Drugi isporučuju suštinski važne komponente za proizvodnju vozila, ali nemaju uvid u poslovnu tajnu kompanije koja ih je pustila u rad.

Kako bi bolje odražavali ove različite uloge, stara oznaka "bezbednost informacija" podeljena je na dvije nove oznake - "dostupnost" i "poverljivo". Dobavljači i pružaoci usluga više ne moraju nužno ispunjavati sve zahteve ISA kataloga 6.0, jer svaka oznaka predstavlja samo podskup. Ova podela ima za cilj da smanji opterećenje kompanijama i učini proces audita efikasnijim.

Međutim, treba napomenuti da je katalog ocene bezbednosti informacija (ISA) proširen kako bi uključio nekoliko dodatnih zahteva s obzirom na promenjen krajolik pretnji. Osim zaštite tajni, treba osigurati i mogućnost isporuke - ključna riječ: proizvodnja u pravom trenutku, jer je ovo sve više izloženo riziku od napada ransomware-a. Novi zahtevi, stoga, uključuju i robusnije zaštitne mere za OT sisteme.

Nove TISAX^® oznake na prvi pogled

Za kompanije kojima su poverene osetljive informacije, odnosno poslovne tajne ili lični podaci, sada postoje oznake "Poverljivo" i "Strogo poverljivo". Oznake "Visoka dostupnost" i "Vrlo visoka dostupnost" namenjene su dobavljačima koji igraju ključnu ulogu u sposobnosti kompanije da isporuči.

Mere koje se moraju implementirati za nove TISAX® oznake - pored osnovnih zahteva - jasno su označene u ISA katalogu procjene 6.0: Za poverljivo s "C", za dostupnost sa "A". Mnogi zahtevi su označeni sa oba slova i stoga se primjenjuju na obe nove oznake.

"Poverljivo" 

Oznaka "Poverljivo" fokusira se na zaštitu poverljivih informacija, čije neovlašćeno otkrivanje može imati značajne negativne posledice poput gubitka ugleda, krivičnog gonjenja ili finansijske štete.

U kontrolama ISA kataloga definisano je 28 specifičnih zahteva u koloni "Dodatni zahtevi za potrebe visoke zaštite" i označeni sa "C", koji moraju biti ispunjeni za ovu oznaku.

Sledeće kontrole zaslužuju posebnu pažnju zbog napora u implementaciji (zahtevi u zagradama): 

• 3.1.3 (Zaštita i bezbedno odlaganje informacija na pratećim uređajima kao što su štampači, šrederi, kamere ili papir)
• 3.1.4 (Šifriranje podataka na mobilnim uređajima)
• 5.1.1 (Pravna zaštita kontrole nad vlastitim podacima kroz ugovore, specifikacije, garancije, posebno za eksternu obradu podataka)
• 5.1.2 (Šifriranje digitalnih transportnih ruta za informacije)

Kontrole koje se ovde spominju su označene samo sa "C", a ne sa "A". To znači da su oni relevantni samo za poverljivost. Ovi zahtevi, stoga, ne bi morali biti ispunjeni u procesu audita koji ima za cilj samo označavanje dostupnosti.

"Strogo poverljivo" 

Oznaka "Strogo poverljivo" fokusira se na zaštitu strogo poverljivih i tajnih informacija, čije neovlašćeno otkrivanje može imati katastrofalne ili čak opasne po život posljedice kao što su ozbiljna šteta po reputaciju, teške kaznene posledice ili vrlo visoki finansijski gubici.

U kontrolama ISA upitnika devet specifičnih zahteva definisano je u koloni "Dodatni zahtevi za vrlo visoke potrebe zaštite" i označeni sa "C", koji moraju biti ispunjeni za ovu oznaku - pored onih za "Poverljivo" oznaku.

Sljedeće kontrole zahtevaju posebnu pažnju zbog napora u implementaciji:

• 6.1 (Sprovođenje i pružanje dokaza o redovnim vežbama za upravljanje incidentima bezbednosti informacija)
• 4.1.2 (Dvofaktorska autentifikacija - ili viša - za pristup informacijama s vrlo visokim zahtevima zaštite)
• 4.2.1 (Šifriranje informacija sa posebno visokim zahtevima zaštite; tromesečni pregled dodeljenih prava pristupa radi usaglašenosti)
• 5.1.2 (Šifriranje sadržaja informacija za digitalni transport)
• 5.2.4 (Evidentiranje pristupa informacijama sa posebno visokim zahtevima zaštite)
• 5.2.8 (Koncept bezbedonosne kopije podataka s alternativnim lokacijama za čuvanje i sigurnosno arhiviranje)
• 5.3.1 (Provera bezbednosti softvera razvijenog u kompaniji ili za kupca - tokom implementacije, u slučaju promena i u redovnim intervalima)

Takođe je bitno uočiti jasnu razliku od oznaka za dostupnost: Konkretno, ovde navedeni zahtevi za kontrole 4.1.2, 4.2.1, 5.1.2 i 5.2.4 označeni su samo sa "C". To znači da su relevantni samo za proces audita za oznaku "Strogo poverljivo".

"Visoka dostupnost" 

Kompanije zahtevaju oznaku "Visoka dostupnost" ako dostupnost njihovih vlastitih proizvoda ili usluga direktno utiče na sposobnost proizvodnje ili isporuke zavisnih kompanija, a kvarovi dovode do znatne štete. Uobičajeni primeri su pravovremeni dobavljači materijala za proizvodnju ili visoko specijalizovani dobavljači usluga ili sirovina koji se ne mogu zameniti odmah.

U kontrolama ISA kataloga 6.0 u koloni "Dodatni zahtevi za potrebe visoke zaštite" definisano je 36 zahteva koji su označeni sa "A" i stoga moraju biti ispunjeni za ovu oznaku.

Sljedeće kontrole zahtevaju posebnu pažnju u implementaciji:

• 1.6.3 (Priprema za krizne situacije: krizni scenariji, kontakti, strategija komunikacije, redovna simulacija kriza)
• 5.2.8 (Mere za sprečavanje poremećaja uzrokovanih internim pretnjama - kao što je zaštita rezervnih kopija - i prekidima eksternih usluga, npr. putem odgovarajućih SLA)
• 5.2.9 (Koncept sigurnosne kopije i oporavka: redovna provera sigurnosnih kopija i testiranje oporavka)
• 5.3.2 (Praćenje mrežnog saobraćaja, analize dostupnosti centralnih usluga)

Ovdje navedeni zahtevi označeni su samo sa "A", odnosno relevantni su samo za dostupnost. Stoga, oni ne moraju biti ispunjeni u procesu audita koji ima za cilj samo označavanje poverljivosti.

"Veoma visoka dostupnost" 

Kompanije zahtevaju oznaku "Vrlo visoka dostupnost" ako kratkoročna dostupnost njihovih vlastitih proizvoda ili usluga ozbiljno utiče na sposobnost proizvodnje ili isporuke zavisnih kompanija i kvarovi dovode do znatne štete. Tipičan primer su dobavljači u realnom vremenu, čiji bi neuspeh rezultirao brzim i opsežnim gašenjem proizvodnje s vrlo dugim vremenom ponovnog pokretanja.

U kontrolama ISA kataloga definisano je 13 zahteva u koloni "Dodatni zahtevi za vrlo visoke potrebe zaštite". Ovi zahtevi su označeni sa "A" i stoga moraju biti ispunjeni za ovu oznaku - pored onih za oznaku "Visoka dostupnost".

Sledeće kontrole zahtevaju posebnu pažnju zbog napora u implementaciji:

• 1.6.1 (Sprovođenje i pružanje dokaza o redovnim vežbama za upravljanje incidentima bezbednosti informacija
• 1.6.2 (Izvođenje čak i retkih vrsta incidenata u bezbednosti informacija)
• 1.6.3 (Sprovesti i pružiti dokaze o redovnim vežbama za upravljanje kriznim situacijama)
• 5.2.6 (Redovna potpuno automatizovana sistemska analiza IT sistema, uzimajući u obzir OT/industrijske sisteme upravljanja)
• 5.2.8 (Koncept bezbednosne kopije podataka s alternativnim lokacijama za skladištenje i sigurnosne kopije; koordinacija vlastitih planova za nepredviđene situacije sa planovima vanrednih situacija eksternih pružaoca usluga; strategije sigurnosnog kopiranja sa zamenskim sistemima i zamenskim lokacijama za skladištenje i sigurnosne kopije za održavanje poslovnih procesa)
• 5.2.9 (Redovno testiranje koncepta sigurnosne kopije podataka; geografski raspoređene sigurnosne lokacije; rezervni sistemi koji su što je moguće izolovaniji sa tehnički nepromenjivim sigurnosnim kopijama)
• 5.3.1 (Provera bezbednosti softvera razvijenog u kompaniji ili za kupca - tokom implementacije, u slučaju promena i u redovnim intervalima)

Ovde navedeni zahtevi kontrola 1.6.2, 1.6.3, 5.2.6 i 5.2.9 proveravaju se samo tokom procesa audita za oznaku „Vrlo visoka dostupnost“ i stoga nisu relevantni za oznaku TISAX radi poverljivosti.

Generalno, dve oznake za "Dostupnost" povećavaju fokus na održavanje proizvodnih mogućnosti (OT). Interno znanje kompanije o preporukama proizvođača OT-a, OT rizicima i sigurnosnim merama za OT mreže,  menadžment OT-a će dobiti veću pažnju u auditu.

Koje TISAX^® oznake su potrebne kompaniji

Pitanje koje su oznake potrebne u praksi prirodno zavisi pre svega od uloge kompanije u lancu snabdevanja. U svakoj fazi lanca snabdevanja, kompanije se moraju zapitati od kojih dobavljača zavise i kojim dobavljačima su poverene osetljive informacije.

Shodno tome, upravljanje dobavljačima koje zahteva TISAX® u svakoj fazi dovodi do zahteva za oznake specifičnih za ulogu koji se kaskadno spuštaju niz lanac nabavke. Mehanizam razmene, u kojem se dobavljač može pozvati na postojeće oznake kako bi dokazao usaglašenost sa zahtevima, ovde je posebno koristan. Rezultati ocena mogu biti dostupni bilo kojoj zainteresovanoj strani.

Pretpostavimo da kompanija profilaktički zahteva obe nove oznake, iako nema potrebe za oznakom poverljivosti ili dostupnosti. U tom slučaju svakako vredi još jedna rasprava o međusobnom razumevanju uloga s obzirom na potencijalno značajno veće troškove implementacije.

Veza između oznake TISAX i nivoa audita takođe se mora uzeti u obzir: Oznake „Veoma visoka dostupnost” i „Strogo poverljivo” mogu se dodeliti samo kroz audit na nivou 3, tj. kroz audit na licu mesta.

Ciljevi audita, oznake i nivoi audita- kratko objašnjenje razlika

U prethodnom odeljku koristili smo nekoliko pojmova koje ćemo ukratko objasniti i razlikovati jedne od drugih:

• TISAX® cilj audita: na osnovu specifikacija svojih proizvodnih partnera, dobavljači koriste ciljeve audita kako bi odredili koje zahteve moraju ispuniti u auditu.
• TISAX® oznaka: Nakon prolaska audita, kompanije dobijaju oznaku TISAX® za odabrani cilj audita u TISAX® bazi podataka kao potvrdu da su ispunile zahteve.
• TISAX® nivo: Ispunjenost zahteva se različito ocenjuje u zavisnosti od nivoa provere. Nivo 1 je samo samo-ocena. Na nivou 2, eksterni auditor proverava verodostojnost samo-ocene, dopunjen intervjuima na daljinu. Na nivou 3, auditor proverava efikasnost na licu mesta.

Za sertifikacije u skladu sa starim ISA katalogom, potrebna je GAP analiza

Važno za kompanije koje su još uvijek sertifikovane pod starom oznakom "Info":

• Kako bi faza tranzicije bila što jednostavnija, kompanijama s oznakom "Visoka info" su automatski dodeljene oznake "Poverljivo" i "Visoka dostupnost" do datuma njihovog isteka.
• Slično, oznaka "Vrlo visoka info" je pretvorena u oznake "Strogo poverljivo" i "Vrlo visoka dostupnost".

Ovo se takođe odnosi na procese audita čije su ponude prihvaćene pre 1. aprila i naknadna proširenja obima, a oba se i dalje mogu obavljati u skladu sa starim ISA katalogom 5.1.

Međutim, treba napomenuti da relevantne kompanije moraju biti sertifikovane u skladu s tada važećim ISA katalogom audita nakon što im isteknu TISAX oznake, koje važe tri godine. Nova potvrda mora biti dostupna čim stara oznaka istekne. Stoga se odgovornim osobama savetuje da u ranoj fazi izvrše GAP analizu kako bi na vreme implementirali prilagođavanja sistema upravljanja bezbednošću informacija (ISMS) i bili spremni za sledeći TISAX® audit.

Za ovu GAP analizu, ENX asocijacija je obezbedila namenski katalog zahteva u kome su sve promene između ISA 5.1 i ISA 6.0 navedene i označene crvenom bojom. Ovo omogućava kompanijama da na prvi pogled vide koji su novi zahtevi dodati. Šta treba uzeti u obzir: Ovo je pomoćni dokument. Za audit, kompanije uvijek treba da preuzmu najnoviju verziju ISA kataloga audita sa ENX web stranice.

Posebno su uočljive sljedeće promene:

• Nova kontrola 1.3.4 može zahtevati ulaganje u novi softver, na primer za upravljanje licencama.
• Opsežno izmenjene kontrole 1.6.1 i 1.6.2 sada zahtevaju koordinisan i redovno testiran odgovor na incident.
• Kontrola 3.1.2 zamenjena je novim kontrolama 1.6.3, 5.2.8 i 5.2.9, koje nameću niz novih zahteva u pogledu postupanja u kriznim situacijama, upravljanja kontinuitetom poslovanja i sigurnosne kopije podataka.

Nove TISAX^® oznake - Zaključak

Nove oznake za poverljivost i dostupnost trebalo bi da osiguraju veću efikasnost u TISAX® sertifikaciji u budućnosti, budući da se auditi sada sprovode na osnovu specifičnih uloga. To znači da dobavljači i pružaoci usluga više ne moraju implementirati sve zahteve iz kataloga. Međutim, primetno je da se za oznaku dostupnosti mora ispuniti više zahteva nego za poverljivost. To je zbog novog fokusa na osiguravanju mogućnosti isporuke i osiguravanja OT okruženja, što je uključeno u sve kontrole trenutnog ISA kataloga.

Revidirani i delimično prošireni katalog sadrži i nekoliko novih zahteva, od kojih se neki mogu ispuniti samo uz određeni trud i odgovarajuće vreme isporuke. Stoga se rana GAP analiza preporučuje kompanijama sa sertifikatima po starom katalogu, jer su nove oznake dobile „samo“ kroz automatsku konverziju stare oznake za bezbednost informacija.

Posebni izazovi nastaju za kupce koji su svoje oznake dobili u prošlosti kao deo rotirajuće procedure uzorkovanja (Rotirajući SGA). Iz razloga troškova, ove kompanije žele da pređu na stvarnu proceduru uzorkovanja (SGA na osnovu uzorka) u poslednjoj godini važenja oznake. Stoga moraju završiti rotirajuću SGA ocenu u trećoj godini, pretvoriti svoj ISMS u novi ISA katalog i završiti SGA ocjenu na osnovu uzorka pre isteka oznake kako bi mogli neometano proširiti oznaku.

DQS je vaš pouzdan partner

TISAX® - baš kao ENX VCS za sajber bezbednost vozila - razvilo je ENX Udruženje. DQS je odobren od strane ENX-a kao provajder usluga ocenjivanja i stoga može sprovoditi audite širom sveta - a takođe je i sam TISAX®-sertifikovan. A pošto su mnogi naši TISAX® auditori takođe akreditovani za međunarodni standard za bezbednost informacija ISO 27001, možemo da ocenimo oba standarda u isto vreme i uz manje dodatnih napora. Radujemo se razgovoru s vama.

Napomena: Pristup TISAX®-u je putem registracije učesnika, koja se mora izvršiti online na ENX portalu. Ovo je preduslov da se može angažovati odobreni provajder usluga audita kao što je DQS.

Poverenje i stručnost

Naše tekstove i brošure pišu isključivo naši eksperti za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama koja biste uputili našem autoru, kontaktirajte nas bez ustručavanja.