Yeni TISAX® etiketleri: dikkat edilmesi gerekenler

İÇERİK

• Değişen koşullar - yeni gereksinimler
• Yeni TISAX® Availability ve Confidentiality etiketleri neden tanıtıldı?
• Bir bakışta yeni TISAX® etiketleri
• Şirketlerin hangi  TISAX®  etiketlerine ihtiyacı var?
• Değerlendirme hedefleri, etiketler ve değerlendirme seviyeleri - farklılıkların hızlı bir açıklaması
• Eski ISA kataloğuna göre sertifikalar için bir GAP analizi gereklidir
• Yeni  TISAX®  etiketleri - Sonuç
• DQS güvenilir ortağınızdır

Değişen koşullar - yeni gereksinimler

ENX Associacion'un TISAX® (Trusted Information Security Assessment Exchange) sertifikası ile tedarikçiler ve hizmet sağlayıcılar, ilgili taraflara sağlam bir bilgi güvenliği yönetim sistemine sahip olduklarını kanıtlarlar. Şimdiye kadar bu sertifika, özellikle endüstriyel casusluğu ve istenmeyen sızıntıları önlemek amacıyla kullanılıyordu. Ancak, dünya çapında artan fidye yazılımı saldırıları göz önüne alındığında, değerli ticari sırların yanı sıra, sektörün arızalara açık tedarik zincirlerinin de daha iyi korunması gerekiyor.

Otomotiv endüstrisinde de yeni tehdit durumuna uyum sağlamak için, 1 Nisan 2024 tarihinden itibaren yeni ISA Kataloğu 6.0 geçerli olacaktır. Bu kapsamda, TISAX® değerlendirmelerinde de değişiklikler yapılacaktır. En dikkat çekici değişiklik, eski bilgi güvenliği etiketinin yerini alan, gizlilik ve kullanılabilirlik için iki yeni TISAX etiketi olmasıdır.

Yeni TISAX® Availability ve Confidentiality etiketleri neden tanıtıldı?

Tedarikçiler ve hizmet sağlayıcılar, otomotiv üreticilerinin geliştirme ve üretim süreçlerine yakından dahil olurlar - ancak bazen çok farklı rolleri yerine getirirler: Bazı şirketlere son derece hassas bilgiler emanet edilir, ancak sonuçta gerçek üretimde daha fazla yer almazlar. Diğerleri ise araç üretimi için temelde önemli bileşenler tedarik etmekte ancak devreye alan şirketin ticari sırları hakkında hiçbir bilgiye sahip olmamaktadır.

Bu farklı rolleri daha iyi yansıtmak için eski "information security " etiketi"availability" ve"confidential" olmak üzere iki yeni etikete ayrılmıştır. Tedarikçiler ve hizmet sağlayıcılar artık ISA katalog 6.0'ın tüm gerekliliklerini karşılamak zorunda değildir, çünkü her etiket yalnızca bir alt kümeyi temsil etmektedir. Bu ayrım, şirketler üzerindeki yükü azaltmayı ve denetim sürecini daha verimli hale getirmeyi amaçlamaktadır.

Bununla birlikte, Bilgi Güvenliği Değerlendirmesi (ISA) kataloğunun, değişen tehdit ortamı göz önüne alındığında birkaç ek gereklilik içerecek şekilde genişletildiği unutulmamalıdır. Sırları korumanın yanı sıra, fidye yazılım saldırıları nedeniyle giderek daha fazla risk altında olan teslimat - anahtar kelime: tam zamanında üretim - kabiliyeti de sağlanmalıdır. Bu nedenle yeni gereklilikler, OT sistemleri için daha sağlam koruyucu önlemler de içermektedir.

Bir bakışta yeni TISAX^® etiketleri

Ticari sırlar veya kişisel veriler gibi hassas bilgilerin emanet edildiği şirketler için artık "Confidential" ve "Strictly Confidential" etiketleri bulunmaktadır. "High Availability" ve "Very High Availability" etiketleri, şirketin teslimat kabiliyetinde önemli bir rol oynayan tedarikçilere yöneliktir.

Yeni TISAX® etiketleri için uygulanması gereken önlemler - temel gerekliliklere ek olarak - ISA değerlendirme kataloğu 6.0'da açıkça belirtilmiştir: "C" ile gizlilik için, "A" ile kullanılabilirlik için. Birçok gereklilik her iki harfle de işaretlenmiştir ve bu nedenle her iki yeni etiket için de geçerlidir.

"Confidential"

"Confidential" etiketi, yetkisiz ifşası itibar kaybı, cezai kovuşturma veya mali zarar gibi önemli olumsuz sonuçlar doğurabilecek gizli bilgilerin korunmasına odaklanır.

ISA kataloğunun kontrollerinde, "Yüksek koruma ihtiyaçları için ek gereklilikler" sütununda 28 özel gereklilik tanımlanmış ve bu etiket için yerine getirilmesi gereken "C" ile işaretlenmiştir.

Aşağıdaki kontroller, uygulama çabaları nedeniyle özel bir ilgiyi hak etmektedir (gereksinimler parantez içinde):

• 3.1.3 (Yazıcı, öğütücü, kamera veya kağıt gibi destekleyici cihazlardaki bilgilerin korunması ve güvenli bir şekilde imha edilmesi)
• 3.1.4 (Mobil cihazlarda verilerin şifrelenmesi)
• 5.1.1 (Özellikle harici veri işleme için sözleşmeler, şartnameler, güvenceler yoluyla kendi verileri üzerindeki kontrolün yasal olarak korunması)
• 5.1.2 (Bilgi için dijital taşıma yollarının şifrelenmesi)

Burada bahsedilen kontroller "A" ile değil sadece "C" ile işaretlenmiştir. Bu da sadece gizlilikle ilgili oldukları anlamına gelmektedir. Dolayısıyla, bu gerekliliklerin, sadece kullanılabilirliği etiketlemeyi amaçlayan bir denetim sürecinde yerine getirilmesi gerekmeyecektir.

“Strictly Confidential”

"Strictly Confidential" etiketi, yetkisiz ifşası ciddi itibar kaybı, ağır cezai sonuçlar veya çok yüksek mali kayıplar gibi yıkıcı ve hatta hayatı tehdit edici sonuçlar doğurabilecek, kesinlikle gizli ve sır niteliğindeki bilgilerin korunmasına odaklanır.

ISA anketinin kontrollerinde, "Çok yüksek koruma ihtiyaçları için ek gereklilikler" sütununda dokuz özel gereklilik tanımlanmış ve "Confidential" etiketi için olanlara ek olarak bu etiket için yerine getirilmesi gereken "C" ile işaretlenmiştir.

Aşağıdaki kontroller, uygulama çabaları nedeniyle özel dikkat gerektirmektedir:

• 1.6.1 (Bilgi güvenliği olaylarını yönetmek için düzenli tatbikatlar yapmak ve kanıt sağlamak)
• 4.1.2 (Çok yüksek koruma gereksinimleri olan bilgilere erişim için iki faktörlü kimlik doğrulama - veya daha yüksek -)
• 4.2.1 (Özellikle yüksek koruma gereksinimleri olan bilgilerin şifrelenmesi; atanan erişim haklarının uygunluk açısından üç ayda bir gözden geçirilmesi)
• 5.1.2 (Dijital taşıma için bilgi içeriğinin şifrelenmesi)
• 5.2.4 (Özellikle yüksek koruma gereksinimleri olan bilgilere erişimin kaydedilmesi)
• 5.2.8 (Depolama ve yedekleme için alternatif konumlara sahip veri yedekleme konsepti)
• 5.3.1 (Şirket içinde veya müşteri için geliştirilen yazılımların güvenliğinin kontrol edilmesi - uygulama sırasında, değişiklik durumunda ve düzenli aralıklarla)

Ayrıca, kullanılabilirlik için etiketlerdeki net ayrıma dikkat etmek de önemlidir: Özellikle, burada 4.1.2, 4.2.1, 5.1.2 ve 5.2.4 numaralı kontroller için listelenen gereklilikler sadece "C" ile işaretlenmiştir. Bu da sadece "Strictly Confidential" etiketi için bir denetim süreciyle ilgili oldukları anlamına gelir.

"High Availability"

Şirketler, kendi ürün veya hizmetlerinin kullanılabilirliği bağımlı şirketlerin üretim veya teslimat kapasitesini doğrudan etkiliyorsa ve arızalar önemli hasara yol açıyorsa "High Availability" etiketine ihtiyaç duyarlar. Yaygın örnekler, üretim malzemelerinin tam zamanında tedarikçileri veya hemen değiştirilemeyen son derece uzmanlaşmış hizmet veya hammadde tedarikçileridir.

ISA kataloğu 6.0'ın kontrollerinde, "Yüksek koruma ihtiyaçları için ek gereklilikler" sütununda "A" ile işaretlenen ve bu nedenle bu etiket için yerine getirilmesi gereken 36 gereklilik tanımlanmıştır.

Aşağıdaki kontroller uygulama çalışmalarında özel dikkat gerektirmektedir:

• 1.6.3 (Kriz durumları için hazırlık: Kriz senaryoları, irtibatlar, iletişim stratejisi, düzenli kriz simülasyonu)
• 5.2.8 (Yedeklerin korunması gibi dahili tehditlerden ve uygun SLA'lar aracılığıyla harici hizmet kesintilerinden kaynaklanan kesintileri önlemeye yönelik tedbirler)
• 5.2.9 (Yedekleme ve kurtarma konsepti: yedeklerin düzenli kontrolü ve test kurtarma)
• 5.3.2 (Ağ trafiğinin izlenmesi, merkezi hizmetlerin kullanılabilirlik analizleri)

Burada bahsedilen gereklilikler yalnızca "A" ile işaretlenmiştir, yani yalnızca kullanılabilirlikle ilgilidirler. Bu nedenle, yalnızca gizliliği etiketlemeyi amaçlayan bir denetim sürecinde karşılanmaları gerekmez.

"Very High Availability"

Şirketler, kendi ürün veya hizmetlerinin kısa vadeli kullanılabilirliğinin bağımlı şirketlerin üretim veya teslimat kapasitesini ciddi şekilde etkilemesi ve arızaların önemli hasara yol açması durumunda "Very High Availability" etiketine ihtiyaç duyarlar. Bunun tipik bir örneği, arızaları çok uzun bir yeniden başlatma süresiyle birlikte hızlı ve kapsamlı bir üretim kesintisine yol açacak olan tam zamanında tedarikçilerdir.

ISA kataloğunun kontrollerinde, "Çok yüksek koruma ihtiyaçları için ek gereklilikler" sütununda 13 gereklilik tanımlanmıştır. Bu gereklilikler "A" ile işaretlenmiştir ve bu nedenle "High Availability" etiketi için olanlara ek olarak bu etiket için de yerine getirilmelidir.

Aşağıdaki kontroller, uygulama çabaları nedeniyle özel dikkat gerektirmektedir:

• 1.6.1 (Bilgi güvenliği olaylarını yönetmek için düzenli tatbikatlar yapmak ve kanıt sağlamak
• 1.6.2 (Nadir görülen bilgi güvenliği olaylarının bile gerçekleştirilmesi)
• 1.6.3 (Kriz durumlarını yönetmek için düzenli tatbikatlar yapmak ve kanıt sunmak)
• 5.2.6 (OT/endüstriyel kontrol sistemlerini dikkate alarak BT sistemlerinin düzenli tam otomatik sistem analizi)
• 5.2.8 (Depolama ve yedekleme için alternatif konumlara sahip veri yedekleme konsepti; kendi acil durum planlarının dış hizmet sağlayıcıların acil durum planlarıyla koordinasyonu; iş süreçlerini sürdürmek için depolama ve yedeklemeler için yedek sistemler ve yedek konumlarla yedekleme stratejileri)
• 5.2.9 (Veri yedekleme konseptinin düzenli olarak test edilmesi; coğrafi olarak dağıtılmış yedekleme konumları; teknik olarak değiştirilemez yedeklemelerle mümkün olduğunca izole edilmiş yedekleme sistemleri)
• 5.3.1 (Şirket içinde veya müşteri için geliştirilen yazılımların güvenliğinin kontrol edilmesi - uygulama sırasında, değişiklik durumunda ve düzenli aralıklarla)

Burada listelenen 1.6.2, 1.6.3, 5.2.6 ve 5.2.9 numaralı kontrollerin gereklilikleri yalnızca "Very High Availability" etiketi için bir denetim süreci sırasında kontrol edilir ve bu nedenle gizlilik için TISAX etiketi ile ilgili değildir.

Genel olarak, "Availability" için iki etiket, üretim yeteneklerinin (OT) korunmasına odaklanmayı artırır. Şirketin OT üretici tavsiyeleri, OT riskleri ve OT ağları için güvenlik önlemleri ve OT yönetimi hakkındaki dahili bilgisi denetimde daha fazla dikkat çekecektir.

Şirketlerin hangi TISAX^® etiketlerine ihtiyacı var?

Uygulamada hangi etiketlerin gerekli olduğu sorusu doğal olarak her şeyden önce bir şirketin tedarik zincirindeki rolüne bağlıdır. Tedarik zincirinin her aşamasında şirketler kendilerine hangi tedarikçilere bağımlı olduklarını ve hangi tedarikçilere hassas bilgilerin emanet edildiğini sormalıdır.

Buna göre, TISAX®'ın her aşamada gerektirdiği tedarikçi yönetimi, tedarik zincirinde kademeli olarak rol-spesifik etiket gereksinimlerine yol açar. Bir tedarikçinin gereksinimlere uygunluğunu kanıtlamak için mevcut etiketlere başvurabileceği değişim mekanizması burada özellikle yararlıdır. Değerlendirmelerin sonuçları ilgili tüm tarafların erişimine sunulabilir.

Bir şirketin gizlilik ya da kullanılabilirlik etiketine ihtiyaç duymamasına rağmen profilaktik olarak her iki yeni etiketi de talep ettiğini varsayalım. Bu durumda, potansiyel olarak önemli ölçüde yüksek uygulama maliyetleri göz önüne alındığında, rollerin karşılıklı olarak anlaşılması konusunda kesinlikle başka bir tartışma yapmaya değer.
TISAX etiketi ile değerlendirme seviyeleri arasındaki bağlantı da dikkate alınmalıdır: "Very high availability" ve "Strictly confidential" etiketleri yalnızca seviye 3'teki bir değerlendirmeyle, yani yerinde bir değerlendirmeyle verilebilir.

Değerlendirme hedefleri, etiketler ve değerlendirme seviyeleri - farklılıkların hızlı bir açıklaması

Önceki bölümde, burada kısaca açıklayacağımız ve birbirlerinden ayırt edeceğimiz birkaç terim kullandık:

• TISAX^® değerlendirme hedefi: Tedarikçiler, üretim ortaklarının spesifikasyonlarına dayanarak, denetimde hangi gereklilikleri yerine getirmeleri gerektiğini belirlemek için değerlendirme hedeflerini kullanırlar.
• TISAX^® etiketi: Bir denetimden geçtikten sonra şirketler, gereklilikleri yerine getirdiklerinin teyidi olarak TISAX® veri tabanında seçilen değerlendirme hedefi için TISAX^® etiketini alırlar.
• TISAX^® Seviyesi: Gerekliliklerin yerine getirilmesi, değerlendirme seviyesine bağlı olarak farklı şekilde değerlendirilir. Seviye 1 tamamen bir öz değerlendirmedir. Seviye 2'de, öz değerlendirmeler, uzaktan görüşmelerle desteklenen bir dış denetçi tarafından inandırıcılık açısından kontrol edilir. Seviye 3'te denetçi etkinliği yerinde kontrol eder.

Eski ISA kataloğuna göre sertifikalar için bir GAP analizi gereklidir

Eski "Info" etiketi altında hala sertifikalı olan şirketler için önemlidir:

• Geçiş aşamasını mümkün olduğunca karmaşık hale getirmemek için, "Info High" etiketine sahip şirketlere, son kullanma tarihlerine kadar otomatik olarak "Confidential" ve "High Availability" etiketleri atanmıştır.
• Benzer şekilde "Info Very High" etiketi de "Strictly Confidential" ve "Very High Availability" etiketlerine dönüştürülmüştür.

Bu aynı zamanda 1 Nisan'dan önce teklifleri kabul edilen denetim süreçleri ve sonraki kapsam genişletmeleri için de geçerlidir ve her ikisi de eski ISA kataloğu 5.1 uyarınca yürütülmeye devam edebilir.

Ancak, ilgili şirketlerin üç yıl geçerli olan TISAX etiketlerinin süresi dolduğunda, o zaman geçerli olan ISA denetim kataloğuna uygun olarak belgelendirilmeleri gerektiği unutulmamalıdır. Yeni sertifikasyon, eski etiketin süresi dolar dolmaz hazır olmalıdır. Bu nedenle sorumlulara, bilgi güvenliği yönetim sisteminde (BGYS) yapılacak ayarlamaları zamanında uygulamak ve bir sonraki TISAX® denetimine hazırlıklı olmak için erken bir aşamada bir boşluk analizi yapmaları tavsiye edilir.

Bu boşluk analizi için ENX Derneği, ISA 5.1 ve ISA 6.0 arasındaki tüm değişikliklerin listelendiği ve kırmızıyla işaretlendiği özel bir gereksinim kataloğu sağlamıştır. Bu, şirketlerin bir bakışta hangi yeni gerekliliklerin eklendiğini görmelerini sağlar. Dikkate alınması gerekenler: Bu yardımcı bir belgedir. Denetim için şirketler her zaman ENX web sitesinden ISA denetim kataloğunun en son sürümünü indirmelidir.

Aşağıdaki değişiklikler özellikle dikkat çekicidir:

• Yeni Kontrol 1.3.4, örneğin lisans yönetimi için yeni yazılıma yatırım yapılmasını gerektirebilir.
• Kapsamlı bir şekilde değiştirilen Kontrol 1.6.1 ve 1.6.2 artık koordineli ve düzenli olarak test edilmiş bir olay müdahalesi gerektirmektedir.
• Kontrol 3.1.2'nin yerini kriz yönetimi, iş sürekliliği yönetimi ve veri yedekleme ile ilgili bir dizi yeni gereklilik getiren yeni kontroller 1.6.3, 5.2.8 ve 5.2.9 almıştır.

Yeni TISAX^® etiketleri - Sonuç

Gizlilik ve kullanılabilirlik için yeni etiketler, denetimler artık role özel olarak gerçekleştirildiği için gelecekte TISAX^® sertifikasyonunda daha fazla verimlilik sağlayacaktır. Bu, tedarikçilerin ve hizmet sağlayıcıların artık katalogdaki her gerekliliği uygulamak zorunda olmadığı anlamına gelir. Bununla birlikte, kullanılabilirlik etiketi için gizlilikten daha fazla gereksinimin karşılanması gerektiği dikkat çekmektedir. Bunun nedeni, mevcut ISA kataloğunun tüm kontrollerine dahil edilmiş olan teslimat kabiliyetinin sağlanması ve OT ortamlarının güvenliğinin sağlanmasına yönelik yeni odak noktasıdır.

Gözden geçirilmiş ve kısmen genişletilmiş katalog, bazıları yalnızca biraz çaba ve ilgili teslim süresi ile karşılanabilecek birkaç yeni gereksinim de içermektedir. Bu nedenle, eski kataloğa göre sertifikaları olan şirketler için erken bir boşluk analizi yapılması tavsiye edilmektedir, çünkü bu şirketler yeni etiketleri bilgi güvenliği için eski etiketin otomatik olarak dönüştürülmesi yoluyla "sadece" almışlardır.

Geçmişte etiketlerini dönüşümlü örnekleme prosedürünün (Rotating SGA) bir parçası olarak almış olan müşteriler için özel zorluklar ortaya çıkmaktadır. Maliyet nedenleriyle bu şirketler, etiket geçerliliğinin son yılında gerçek örnekleme prosedürüne (numune bazlı SGA) geçmek istemektedir. Bu nedenle, etiketi sorunsuz bir şekilde uzatabilmek için üçüncü yılda Dönen SGA Değerlendirmesini tamamlamaları, BGYS'lerini yeni ISA kataloğuna dönüştürmeleri ve etiketin süresi dolmadan önce Örneğe Dayalı SGA Değerlendirmesini tamamlamaları gerekmektedir.

DQS güvenilir ortağınızdır

TISAX^® - tıpkı Araç Siber Güvenliği için ENX VCS gibi - ENX Derneği tarafından geliştirilmiştir. DQS, ENX tarafından bir değerlendirme hizmeti sağlayıcısı olarak onaylanmıştır ve bu nedenle dünya çapında değerlendirmeler gerçekleştirebilir - ve ayrıca kendisi de TISAX®  sertifikalıdır. Ve TISAX^® denetçilerimizin çoğu aynı zamanda uluslararası bilgi güvenliği standardı ISO 27001 için de akredite olduğundan, her iki standardı da aynı anda ve daha az ek çaba ile değerlendirebiliriz. Sizinle konuşmak için sabırsızlanıyoruz.

Not: TISAX® 'a erişim, ENX portalında çevrimiçi olarak gerçekleştirilmesi gereken katılımcı kaydı yoluyla sağlanır. Bu, DQS gibi onaylı bir değerlendirme hizmeti sağlayıcısını görevlendirebilmenin ön koşuludur.

Güven ve uzmanlık

Metinlerimiz ve broşürlerimiz yalnızca standart uzmanlarımız veya uzun süredir görev yapan denetçilerimiz tarafından yazılmaktadır. Metin içeriği veya yazarımıza sunduğumuz hizmetler hakkında herhangi bir sorunuz varsa, lütfen bizimle iletişime geçin.