Yeni ISA Kataloğu 6.0 - TISAX Denetimlerinde Nisan 2024 İtibarıyla Geçerli

İÇERİK

Artan tehditler sebebiyle ISA kataloğunda yapılan düzenlemeler

"Availability" etiketi: Üretim tesislerini genişletme

"Confidentiality" etiketi: Hassas bilgilerin korunması

Yeni gereklilikler TISAX^® denetimi için ne anlama geliyor?

ISO 27001 ve IEC 62443 ile sağlam bir temel

ISA kataloğu 6.0 değişiklikleri 2024: Sonuç

TISAX 6.0 - Arka plan

Artan tehditler sebebiyle ISA kataloğunda yapılan düzenlemeler

Tedarik zincirlerinin büyük önemi ve karmaşıklığı göz önüne alındığında, uçtan uca bilgi paylaşımı ve siber güvenlik otomotiv endüstrisinde kilit rol oynamaktadır. Sonuçta, tedarikçiler geliştirme ve üretim süreçleriyle yakından ilgilidir. Bu da genellikle son derece hassas bilgilere erişimleri olduğu ve yüksek düzeyde esnekliğe sahip olmaları gerektiği anlamına geliyor. Jeopolitik zorluklar ve tedarik zincirinin giderek dijitalleşmesi ve ağa bağlanması, bilgi güvenliği için artan risklere yol açmaktadır.

Bu dinamiklerin bir sonucu olarak, mevcut ISA kataloğu 5.1 güncellenmiştir. ISA Kataloğu Versiyon 6.0, 16 Ekim 2023 tarihinde İngilizce olarak yayınlanmış ve indirilmeye hazır hale getirilmiştir.

Yeni ISA soru kataloğu 6.0, TISAX^® için önemli bir kilometre taşını işaret etmektedir. Bu, TISAX^® ACAR 2.2 yönetmeliklerinde belirtilen belgelendirme kuruluşları için gerekliliklerde düzenlemelere yol açmaktadır. ISA 6.0 kataloğunun ana dili olarak İngilizce'ye geçiş, küresel bakış açısının ve küresel çalışma gruplarında gereklilikler kataloğunu daha da geliştirmek için gösterilen ortak çabaların altını çizmektedir.

"Information Security" etiketinin yerini yeni etiketler alıyor

Bilgi Güvenliği Değerlendirmesi (ISA) kataloğu 6.0'daki ana değişiklikler "Information Security" modülü ve TISAX^®'ın etiket sistemi ile ilgilidir. Gelecekte, "Information Security" etiketinin yerini "Availability" ve "Confidentiality" etiketleri alacaktır.

ISA kataloğu 6.0'da "Availability" etiketi: Üretim tesislerini genişletme

Yeni ISA kataloğu "Availability high" ve "Availability very high" etiketleri ile daha spesifik hale getirilmiştir. Sonuç olarak, OT (Operasyonel Teknoloji) sistemleri gelecekteki denetimler için daha fazla odak noktası haline gelecektir.

Endüstriyel Otomasyon Kontrol Sistemleri (IACS) ve bunların ağları gibi üretim ortamlarının giderek daha fazla ağa bağlanması, bilgi güvenliği için bir dizi yeni zorlukla sonuçlanmaktadır. Üretim tesisleri, çok sayıda özel teknoloji ve protokole sahip son derece kapsamlı ağları içermektedir.

Birçok açıdan Bilgi Teknolojileri sistemlerinden temelde farklılık gösterirler: Üretim ortamları genellikle uzun yıllar boyunca çalışacak şekilde tasarlanır ve bir kez sorunsuz şekilde çalışmaya başladıklarında, düzenli bakım ve onarım çalışmaları dışında mümkün olduğunca müdahale edilmeden bırakılırlar. Bu durum, örneğin eski işletim sistemlerinin, iletişim protokollerinin veya şifreleme algoritmalarının hala birçok bileşende kullanıldığı anlamına gelir.

Uzun bir süre boyunca otomatik yama ve güncelleme süreçleri istenmedi ya da en azından eleştirel bir gözle bakıldı. Karmaşık üretim sürecinin senkronizasyondan çıkabileceği ve önemli ekonomik kayıplara neden olabileceği korkusu çok büyüktü. Çok sayıda çalışanın erişim sağlayabildiği büyük ölçekli, dağıtık sistemler ve iletişim ağları aynı zamanda çok sayıda fiziksel saldırı noktası da sunmaktadır.

Otomatik üretim sistemlerinin güvenilirliği ve kullanılabilirliği sadece iş perspektifinden değil, aynı zamanda süreçteki sapmalar önemli hasara ve mali kayıplara neden olabileceği için de son derece önemlidir.

Tüm bu Operasyonel Teknoloji'ye özgü hususları ISA kataloğu 6.0'a entegre etmek için ENX ve VDA kendilerini uluslararası geçerliliği olan IEC 62443 standartlar serisine ve özellikle alt bölüm 2-1'e yönlendirmiştir.

"Confidentiality" etiketi: Hassas bilgilerin korunması

Bir şirkete hassas bilgiler emanet edilmişse, bu bilgileri uygun şekilde koruyabileceğini kanıtlamalıdır. "Confidentiality high" veya "Confidentiality strict" etiketleri, ISA Catalog 6.0'ın bu koruma hedefine katkıda bulunan gereklilikleri seçmek için kullanılır.

Yeni gereklilikler TISAX^® denetimi için ne anlama geliyor?

Yeni etiketler, bir tedarikçinin tedarik zincirinde oynadığı olası rollere uygun denetime izin verir. Bir tedarikçi tedarik zinciri için özellikle önemli olarak tanımlanmışsa, güvenilirliğini kanıtlamak için "Availability" etiketini kullanabilir. Bir tedarikçiye özellikle hassas bilgiler emanet edilmişse, bu bilgileri korumak için uygun önlemleri aldığını kanıtlamak için "Confidentiality" etiketini kullanabilir. Bir tedarikçi her iki rol için de sorumluluk üstleniyorsa, her iki etiket için de denetlenebilir.

Her iki etiket için de aynı temel gereklilikler karşılanmalıdır. Buna ek olarak, her bir etiket için yüksek ve çok yüksek koruma ihtiyaçları için özel gereklilikler vardır. Bu da denetimin etikete bağlı olarak gerçekleştirileceği anlamına gelmektedir.

^TISAX® veri tabanında da etiket sistemine geçiş yapılacaktır. Gelecekte, "Information Security high" etiketinin yerini "Availability high" ve "Confidentiality high" etiketleri alacaktır. Aynı durum, gelecekte "Availability very high" ve "Confidentiality strict" etiketleri ile değiştirilecek olan "Information Security very high" etiketi için de geçerlidir. Bu, TISAX^® platformunda zaten bir "Information Security" etiketine sahip olan tüm katılımcılar için otomatik olarak gerçekleşecektir.

Yukarıda açıklanan çeşitli denetimlerin temel amacı, şirketlerin ISA anketi 6.0'ın yalnızca kendileriyle ilgili olan gerekliliklerini karşılamalarını sağlamaktır. Aynı zamanda, Operasyonel Teknoloji sistemlerinin artık TISAX^® Bilgi Teknolojileri sistemleri için genel olarak gerekli olana benzer bir şekilde yönetime tabi olması gerektiğinden, üretim tesisleri için yeni zorluklar ortaya çıkmaktadır.

Bu nedenle şirketleri, kendi durumlarına bağlı olarak, bilgi güvenliği yönetim sisteminde sıkılaştırılması gereken konular ve daha fazla maliyete yol açabilecek ek gereklilikler beklemelidir.

ISA Catalog 6.0'daki yeni gereklilikler

• Güvenlik ve operasyonel süreklilik: Operasyonel Teknoloji, Endüstriyel Otomasyon Kontrol Sistemleri gibi otomatik sistemlerin merkezi öneme sahip olduğu üretim tesislerinde çok önemli bir rol oynamaktadır. Bu sistemlerin kullanılabilirliğini sağlamak sadece üretkenlikle ilgili değil, aynı zamanda güvenlikle de ilgilidir. Çalışanlar genellikle bu otomatik sistemlere yakın mesafede çalışır ve her türlü arıza ciddi bir güvenlik riski oluşturabilir. Örneğin, yanlış kalibre edilmiş Operasyonel Teknoloji sensörleri veya kontrolleri insanları ve değerli ekipmanları riske atabilir.
• Risk yönetimi: Operasyonel Teknoloji'nin kapsama dahil edilmesiyle birlikte, şirketlerin bu sistemlerle ilişkili belirli riskleri göz önünde bulundurması gerekir. Operasyonel Teknoloji sistemleri, ortaya çıkan risklere etkili bir şekilde karşı konulabilecek şekilde düzenlenmeli, sınıflandırılmalı ve izlenmelidir. Bu görevler için sorumlu kişiler atanmalıdır.
• Erişim kontrolü: Servis sağlayıcıların bakım amacıyla Operasyonel Teknoloji ağlarına erişimi kritik bir konudur. Operasyonel Teknoloji sistemlerinin güvenliğini ve bütünlüğünü korumak için uygun erişim kontrolleri ve ayrıntılı protokoller şarttır.
• Personel yeterliliği: Operasyonel Teknoloji sistemlerinin işletilmesinden sorumlu personel yeterli eğitim almış, yetkin ve işletmenin potansiyel risklerinin farkında olmalıdır. Hassas pozisyonlar için geçmiş kontrolleri de dahil olmak üzere personel hususları, bu sistemlerin kritikliği nedeniyle çok önemlidir.
• Yaşam Döngüsü Yönetimi: Operasyonel Teknoloji sistemlerinin onarım, nakliye ve bertaraf dahil olmak üzere yaşam döngüleri boyunca etkin yönetimi, yerel cihaz verileri ve erişimiyle ilişkili riskleri en aza indirmek için kritik öneme sahiptir.
• Güvenlik önlemleri: Operasyonel Teknoloji, anti-virüs yazılımı, güvenlik duvarları veya açık arayüzlerin ve hizmetlerin azaltılması gibi sağlam güvenlik çözümleriyle potansiyel saldırılardan korunmalıdır.
• Denetimler ve güvenlik açığı değerlendirmesi: Operasyonel Teknoloji sistemlerinin üreticinin spesifikasyonlarına uygun olarak sıkılaştırılmasını kontrol etmek ve bilinen güvenlik açıklarını belirlemek için düzenli teknik sistem denetimleri gereklidir.
• Ağ segmentasyonu: Ağlar, Bilgi Teknolojileri ve Operasyonel Teknoloji ortamlarını birbirlerinden korumak için amaca ve riske göre uygun şekilde bölümlere ayrılmalıdır.
• Yedekleme ve kurtarma: Operasyonel Teknoloji sistemlerinde iş sürekliliğini sağlamak için kapsamlı yedekleme ve kurtarma planları gereklidir.
• Hizmet seviyeleri ve izleme: Operasyonel Teknoloji ağ hizmetleri için uygun hizmet seviyeleri ve kullanılabilirlik tanımları mevcut olmalı ve sürekli olarak izlenmelidir.
• Harici sağlayıcılar: Harici hizmet sağlayıcıların Operasyonel Teknoloji cihazlarını kullanması halinde, erişim ve cihazda depolanan diğer bilgilere ilişkin bilgi güvenliği seviyesi harici sağlayıcı için düzenlenmelidir.

ISO 27001 ve IEC 62443 ile sağlam bir temel

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, bazı sektörlerde zaten yasal bir gerekliliktir. Birçok sektörde, hizmet veya benzer anlaşmaların imzalanması için resmi veya gayri resmi olarak uygunluk şartı aranır.

ISA anketi 6.0 da bu standarda dayandığından, sertifikalı bir bilgi güvenliği yönetim sistemi zaten TISAX^® denetimi için iyi bir temel oluşturur. Ancak TISAX^®, ISO 27001'in detaylı "shall" ve "should" gereklilikleri ile yüksek veya çok yüksek seviyede koruma için ek gereklilikler içeren özel bir uygulamasını gerektirir.

ISO 27001'e ek olarak, IEC 62443 standardı ve bunun sonucunda ISA kataloğundaki yeni gereklilikler güçlü bir temel sağlar. Standardın 2. alt bölümü endüstriyel siber güvenliğe uygun bir yönetim sisteminin yapısını açıklamaktadır. Alt bölüm 2-1, diğer hususların yanı sıra, endüstriyel otomasyon ve kontrol sistemleri için güvenlik programı oluşturulmasını kapsamaktadır.

Bu alanları hazırlarken IEC (Uluslararası Elektroteknik Komisyonu), süreçlerinin ve mekanizmalarının çoğu kontrol sistemlerine de uygulanabilen ISO 27001 standardı tarafından yönlendirilmiştir. Bu, endüstriyel iletişim ağları ile otomasyon ve kontrol sistemlerinin (IACS) denetime dahil edildiği anlamına gelir.

ISA Katalog 6.0: Kullanıcılar için önemli tarihler

ISA denetim kataloğu 6.0'a geçiş 1 Nisan 2024 tarihinde gerçekleşecektir. Bir TISAX^® değerlendirmesini 31 Mart'a kadar ve 31 Mart dahil olmak üzere yaptıran herkes eski ISA kataloğu 5.1'e göre denetlenmeye devam edebilir. 1 Nisan 2024'ten itibaren yaptırılan değerlendirmeler yalnızca ISA kataloğunun yeni 6.0 versiyonuna uygun olarak gerçekleştirilebilir.

Bu bir yandan değerlendirmenin Nisan 2024'ten itibaren daha karmaşık olacağı anlamına gelirken, diğer yandan artan güvenlik seviyesi şirketiniz için faydalı olacaktır. Yeni TISAX^® etiketine duyulan güvenin artmasından faydalanmak için yeni gerekliliklere erken bir aşamada hazırlanmanız ve bunları bilinçli bir şekilde uygulamanız önemlidir.

Düzeltici Faaliyet Planı Değerlendirmeleri, Takipler, Kapsam Genişletme Değerlendirmeleri veya Basitleştirilmiş Grup Değerlendirmeleri gibi mevcut değerlendirmelere dayanan tüm denetim faaliyetleri, orijinal değerlendirmenin yapıldığı ISA versiyonuna uygun olarak yürütülmeye devam edecektir.

ISA Katalog 6.0 Değişiklikleri: Sonuç

ISA Catalog 6.0'ın yayınlanması, gelişen otomotiv standartları ve uygunluk dünyasında önemli bir rol üstlenmektedir. Bu güncelleme, otomotiv endüstrisinde mükemmelliğe, hassasiyete ve bilgi güvenliğinin artan önemine olan bağlılığın devamını temsil etmektedir. Değişen Availability ve Confidentiality etiketlerinin tanıtılması ve Operasyonel Teknoloji sistemlerini içeren daha geniş bir kapsamla, otomotiv endüstrisi daha yüksek kalite ve güvenlik standartlarına doğru gelişmeye devam ediyor.

DQS, ENX onaylı bir denetim ve değerlendirme kuruluşudur ve bu nedenle dünya çapında TISAX^®  denetimleri gerçekleştirebilir. Uluslararası bilgi güvenliği standardı ISO 27001 için de onaylı TISAX^® denetçilerimiz bulunmaktadır. Bu, her iki standardın da DQS tarafından aynı anda ve daha az ek çaba ile değerlendirilebileceği anlamına gelir.

Not: TISAX^® denetim süreciniz, ENX portalında çevrimiçi olarak katılımcı kaydı gerçekleştirmenizle başlar. Kaydınızı tamamlayarak DQS'i değerlendirme kuruluşu olarak seçebilirsiniz.

TISAX^® 6.0 - Arka plan bilgileri

TISAX^®, Alman Otomotiv Endüstrisi Birliği tarafından geliştirilen VDA ISA kataloğuna dayanmaktadır; esasen "kontroller" olarak adlandırılan, bilgi güvenliği standardı ISO 27001'in Ek A'sındaki referans önlemlere dayanan ve otomotive özgü diğer gereksinimlere uyarlanan kapsamlı bir ankettir.

Bilgi güvenliği standardı revize edilmiş ve 25 Ekim 2022 tarihinde yeni ISO 27001:2022 olarak yayınlanmıştır. Özellikle Ek A revizyondan etkilenmiştir. ISA versiyon 6.0 ile yeni kontrollere uygun bir uyarlama da yapılmıştır.

TISAX^® öncelikle (katılımcı) bir otomotiv üreticisi ile işbirliği için belirli bir bilgi güvenliği ve kullanılabilirlik düzeyi göstermek isteyen veya buna ihtiyaç duyan şirketlere yöneliktir. Merkezi Frankfurt am Main ve Paris'te bulunan ENX Derneği, prosedürün uygulanmasından ve izlenmesinden sorumludur. ENX, Avrupalı otomotiv üreticileri, tedarikçileri ve aralarında Alman ENX kurucusu Alman Otomotiv Endüstrisi Birliği'nin de bulunduğu dört ulusal otomotiv derneğinden oluşan bir birliktir.

Güven ve uzmanlık

Blog metinlerimiz ve kitapçıklarımız yalnızca standart uzmanlarımız veya deneyimli denetçilerimiz tarafından yazılmaktadır. Metin içeriği veya sunduğumuz hizmetler hakkında herhangi bir sorunuz varsa, lütfen bizimle iletişime geçin.