Нові етикетки TISAX®: на що звернути увагу

• Змінилися умови - нові вимоги
• Чому були введені нові етикетки TISAX^® "Доступність" і "Конфіденційність"?
• Коротко про нові етикетки TISAX^®
• Які етикетки TISAX^® потрібні компаніям
• Цілі оцінки, етикетки та рівні оцінки - коротке пояснення відмінностей
• Для сертифікації за старим каталогом ISA необхідний GAP-аналіз
• Нові етикетки TISAX^® - Висновок
• DQS - ваш надійний партнер

Для чого були введені нові мітки TISAX^® "Доступність" і "Конфіденційність"?

Постачальники та постачальники послуг беруть активну участь у розробці та виробничих процесах автовиробників, але іноді виконують дуже різні ролі: Деяким компаніям довіряють дуже конфіденційну інформацію, але в кінцевому підсумку вони не мають жодного відношення до фактичного виробництва. Інші постачають принципово важливі компоненти для виробництва транспортних засобів, але не мають жодного уявлення про бізнес-таємниці компанії-замовника.

Щоб краще відобразити ці різні ролі, старий термін "інформаційна безпека" був розділений на два нових - "доступність" і "конфіденційність". Постачальникам і провайдерам послуг більше не обов'язково відповідати всім вимогам каталогу ISA 6.0, оскільки кожна мітка представляє лише підмножину. Такий поділ покликаний зменшити навантаження на компанії та зробити процес аудиту більш ефективним.

Однак слід зазначити, що каталог "Оцінка інформаційної безпеки" (ISA) було розширено, щоб включити кілька додаткових вимог з огляду на зміну ландшафту загроз. На додаток до захисту секретів, слід також забезпечити можливість доставки (ключове слово: виробництво "точно в термін") оскільки це все частіше піддається ризику атак з використанням програм-вимагачів. Тому нові вимоги також включають більш надійні захисні заходи для OT-систем (Operational Technology системи - це апаратне та програмне забезпечення, яке використовується для моніторингу та управління пристроями, процесами та інфраструктурою в промислових умовах). 

Коротко про нові етикетки TISAX^®

Для компаній, яким довірено конфіденційну інформацію, тобто комерційну таємницю або персональні дані, тепер існують мітки "Конфіденційно" і "Суворо конфіденційно". Позначки "Висока доступність" та "Дуже висока доступність" призначені для постачальників, які відіграють важливу роль у здатності компанії здійснювати поставки.

Заходи, які необхідно вжити для отримання нових етикеток TISAX^® - на додаток до основних вимог - чітко визначені в каталозі оцінки ISA 6.0: Для конфіденційності - літерою "С" (Сonfidentially), для доступності - літерою "А" (Availability). Багато вимог позначені обома літерами і, отже, застосовуються до обох нових етикеток.

"Конфіденційно"

Гриф "Конфіденційно" призначений для захисту конфіденційної інформації, несанкціоноване розголошення якої може мати значні негативні наслідки, такі як втрата репутації, кримінальне переслідування або фінансові збитки.

У засобах контролю каталогу ISA в колонці "Додаткові вимоги для високих потреб у захисті" визначено 28 специфічних вимог, позначених літерою "С", які повинні бути виконані для отримання цієї етикетки.

Наступні елементи керування заслуговують на особливу увагу через складність їх реалізації (вимоги в дужках):

• 3.1.3 (Захищати та безпечно знищувати інформацію на допоміжних пристроях, таких як принтери, шредери, камери або папір)
• 3.1.4 (Шифрування даних на мобільних пристроях)
• 5.1.1 (Правовий захист контролю над власними даними за допомогою контрактів, специфікацій, гарантій, особливо для зовнішньої обробки даних)
• 5.1.2 (Шифрування цифрових маршрутів передачі інформації)

Згадані тут засоби контролю позначені лише літерою "С", а не "А". Це означає, що вони стосуються лише конфіденційності. Таким чином, ці вимоги не повинні виконуватися в процесі аудиту, який має на меті лише позначити наявність інформації.

"Суворо конфіденційно"

Гриф "Суворо конфіденційно" призначений для захисту суворо конфіденційної та секретної інформації, несанкціоноване розголошення якої може мати катастрофічні або навіть небезпечні для життя наслідки, такі як серйозна шкода репутації, серйозні кримінальні наслідки або дуже високі фінансові втрати.

У контрольних пунктах опитувальника ISA в колонці "Додаткові вимоги для дуже високих потреб у захисті" визначено дев'ять специфічних вимог, позначених літерою "С", які мають бути виконані для цього грифа - на додаток до тих, що стосуються грифа "Конфіденційно".

Наступні заходи контролю вимагають особливої уваги через складність їх виконання:

• 1.6.1 (Проведення та надання доказів проведення регулярних навчань з управління інцидентами інформаційної безпеки)
• 4.1.2 (Двофакторна автентифікація - або вище - для доступу до інформації з дуже високими вимогами до захисту)
• 4.2.1 (Шифрування інформації з особливо високими вимогами до захисту; щоквартальна перевірка призначених прав доступу на відповідність)
• 5.1.2 (Шифрування змісту інформації для цифрової передачі)
• 5.2.4 (Реєстрація доступу до інформації з особливо високими вимогами до захисту)
• 5.2.8 (Концепція резервного копіювання даних з альтернативними місцями для зберігання та резервного копіювання)
• 5.3.1 (Перевірка безпеки програмного забезпечення, розробленого власними силами або для замовника - під час впровадження, у разі змін та через регулярні проміжки часу).

Важливо також відзначити чітку відмінність від етикеток доступності: Зокрема, вимоги, перелічені тут для контролів 4.1.2, 4.2.1, 5.1.2 та 5.2.4, позначені лише літерою "С". Це означає, що вони стосуються лише процесу аудиту грифу "Суворо конфіденційно".

"Висока доступність"

Компанії вимагають маркування "Висока доступність", якщо доступність їхніх власних продуктів або послуг безпосередньо впливає на виробничі або постачальницькі можливості залежних компаній, а збої призводять до значних збитків. Поширеними прикладами є постачальники виробничих матеріалів "точно в строк" або вузькоспеціалізовані постачальники послуг чи сировини, які не можуть бути швидко замінені.

У контролях каталогу ISA 6.0 в колонці "Додаткові вимоги для високих потреб захисту" визначено 36 вимог, які позначені літерою "А" і тому повинні бути виконані для цього маркування.

Наступні елементи управління вимагають особливої уваги при впровадженні:

• 1.6.3 (Підготовка до кризових ситуацій: Кризові сценарії, контакти, комунікаційна стратегія, регулярне моделювання кризових ситуацій)
• 5.2.8 (Заходи для запобігання збоїв, спричинених внутрішніми загрозами - наприклад, захист резервних копій - та зовнішніми перебоями у наданні послуг, наприклад, за допомогою відповідних SLA)
• 5.2.9 (Концепція резервного копіювання та відновлення: регулярна перевірка резервних копій та тестове відновлення)
• 5.3.2 (Моніторинг мережевого трафіку, аналіз доступності центральних служб)

Вимоги, згадані тут, позначені лише літерою "А", тобто вони стосуються лише доступності. Тому їх не потрібно виконувати в процесі аудиту, який має на меті лише маркування конфіденційності.

"Дуже висока доступність"

Компанії вимагають маркування "Дуже висока доступність", якщо короткострокова доступність їхніх власних продуктів або послуг серйозно впливає на виробничі потужності або можливості доставки залежних компаній, а збої призводять до значних збитків. Типовим прикладом є постачальники "точно в термін", відмова яких призведе до швидкої та масштабної зупинки виробництва з дуже тривалим часом перезапуску.

В елементах управління каталогу ISA в колонці "Додаткові вимоги для дуже високих потреб у захисті" визначено 13 вимог. Ці вимоги позначені літерою "А" і, отже, повинні бути виконані для цієї мітки - на додаток до вимог для мітки "Висока доступність".

Наступні елементи контролю потребують особливої уваги через складність їх виконання:

• 1.6.1 (Проведення та надання доказів регулярних навчань з управління інцидентами інформаційної безпеки
• 1.6.2 (Виконання навіть рідкісних типів інцидентів інформаційної безпеки)
• 1.6.3 (Проведення та надання доказів проведення регулярних навчань з управління кризовими ситуаціями)
• 5.2.6 (Регулярний повністю автоматизований системний аналіз ІТ-систем з урахуванням систем управління ОТ/промислового контролю)
• 5.2.8 (Концепція резервного копіювання даних з альтернативними місцями для зберігання та резервного копіювання; координація власних планів на випадок надзвичайних ситуацій з планами на випадок надзвичайних ситуацій зовнішніх постачальників послуг; стратегії резервного копіювання з системами заміни та місцями заміни для зберігання та резервного копіювання для підтримки бізнес-процесів)
• 5.2.9 (Регулярне тестування концепції резервного копіювання даних; географічно розподілені місця резервного копіювання; максимально ізольовані системи резервного копіювання з технічно незмінними резервними копіями)
• 5.3.1 (Перевірка безпеки програмного забезпечення, розробленого власними силами або для замовника - під час впровадження, у разі внесення змін та через регулярні проміжки часу)

Вимоги контролів 1.6.2, 1.6.3, 5.2.6 та 5.2.9, перелічених тут, перевіряються лише в процесі аудиту для отримання мітки "Дуже висока доступність" і, отже, не стосуються мітки TISAX щодо конфіденційності.

Як правило, два знаки "Доступності" підвищують увагу до підтримки виробничих потужностей (OT). Під час аудиту більше уваги буде приділено внутрішнім знанням компанії щодо рекомендацій виробників ОТ, ризиків ОТ та заходів безпеки для мереж ОТ, а також управлінню ОТ.

Які етикетки TISAX^® потрібні компаніям

Питання про те, які етикетки потрібні на практиці, природно, залежить насамперед від ролі компанії в ланцюгу поставок. На кожному етапі ланцюга поставок компанії повинні запитати себе, від яких постачальників вони залежать і яким постачальникам довіряють конфіденційну інформацію.

Відповідно, управління постачальниками, якого вимагає TISAX^® на кожному етапі, призводить до того, що вимоги до етикеток, що відповідають певним ролям, каскадом поширюються вниз по ланцюгу постачання. Механізм обміну, в якому постачальник може посилатися на існуючі етикетки для підтвердження відповідності вимогам, є особливо корисним тут. Результати оцінювання можуть бути доступні будь-якій зацікавленій стороні.

Припустімо, що компанія профілактично вимагає обидва нові маркування, навіть якщо немає потреби в маркуванні конфіденційності або доступності. У такому випадку, безумовно, варто ще раз обговорити взаєморозуміння ролей з огляду на потенційно значно вищі витрати на впровадження.
Необхідно також взяти до уваги зв'язок між етикеткою TISAX та рівнями оцінювання: Етикетки "Дуже висока доступність" і "Суворо конфіденційно" можуть бути присвоєні тільки за результатами оцінки на рівні 3, тобто за результатами оцінки на місці.

Цілі оцінювання, етикетки та рівні оцінювання - коротке пояснення відмінностей

У попередньому розділі ми використовували кілька термінів, які ми коротко пояснимо і відрізнятимемо один від одного тут:

• Мета оцінки TISAX^®: на основі специфікацій своїх партнерів-виробників постачальники використовують цілі оцінки, щоб визначити, які вимоги вони повинні виконати під час аудиту.
• Етикетка TISAX^®: Після проходження аудиту компанії отримують знак TISAX^® за обраною метою оцінки в базі даних TISAX^® як підтвердження того, що вони виконали вимоги.
• Рівень TISAX^®: Виконання вимог оцінюється по-різному в залежності від рівня оцінки. Рівень 1 - це суто самооцінка. На рівні 2 самооцінка перевіряється на достовірність зовнішнім аудитором, що доповнюється дистанційними інтерв'ю. На рівні 3 аудитор перевіряє ефективність на місці.

Для сертифікації за старим каталогом ISA необхідний GAP-аналіз

Важливо для компаній, які все ще сертифіковані за старим лейблом "Info":

• Щоб зробити перехідний етап якомога простішим, компаніям з етикеткою "Info High" автоматично присвоєно етикетки "Confidential" та "High Availability" до закінчення терміну їх дії.
• Аналогічно, гриф "Info Very High" було перетворено на грифи "Strictly Confidential" та "Strictly Confidential".

Це також стосується процесів аудиту, пропозиції щодо яких були прийняті до 1 квітня, а також подальшого розширення обсягу робіт, які все ще можуть проводитися відповідно до старого каталогу МСА 5.1.

Однак слід зазначити, що відповідні компанії повинні бути сертифіковані відповідно до чинного на той час каталогу аудиту МСА після закінчення терміну дії їхніх етикеток TISAX, які дійсні протягом трьох років. Нова сертифікація повинна бути доступна, як тільки закінчується термін дії старої етикетки. Тому відповідальним особам рекомендується провести аналіз прогалин (GAP-аналіз) на ранній стадії, щоб вчасно внести корективи в систему управління інформаційною безпекою (СУІБ) і бути готовими до наступного аудиту TISAX^®.

Для такого аналізу прогалин Асоціація ENX створила спеціальний каталог вимог, в якому перераховані і позначені червоним кольором всі зміни між ISA 5.1 і ISA 6.0. Це дозволяє компаніям одразу побачити, які нові вимоги були додані. Що потрібно взяти до уваги: Це допоміжний документ. Для проведення аудиту компанії завжди повинні завантажувати останню версію каталогу з аудиту МСА з веб-сайту ENX.

Наступні зміни особливо помітні:

• Новий Контроль 1.3.4 може вимагати інвестицій у нове програмне забезпечення, наприклад, для управління ліцензіями.
• Значно модифіковані контролі 1.6.1 і 1.6.2 тепер вимагають скоординованого і регулярно перевіреного реагування на інциденти.
• Елемент управління 3.1.2 замінено новими елементами управління 1.6.3, 5.2.8 і 5.2.9, які накладають ряд нових вимог щодо врегулювання кризових ситуацій, управління безперервністю бізнесу та резервного копіювання даних.

Нові етикетки TISAX^® - Висновок

Нові етикетки конфіденційності та доступності повинні забезпечити більшу ефективність сертифікації TISAX^® в майбутньому, оскільки аудити тепер проводяться на основі конкретних ролей. Це означає, що постачальникам і постачальникам послуг більше не потрібно виконувати всі вимоги каталогу. Однак помітно, що для етикетки доступності потрібно виконати більше вимог, ніж для конфіденційності. Це пов'язано з новим акцентом на забезпеченні можливості доставки та захищеності середовищ відкритого доступу, який було включено в усі засоби контролю поточного каталогу ISA.

Переглянутий і частково розширений каталог також містить кілька нових вимог, деякі з яких можуть бути виконані лише за певних зусиль і відповідного часу. Тому компаніям, які мають сертифікати за старим каталогом, рекомендується завчасно провести аналіз прогалин, оскільки вони "лише" отримали нові знаки шляхом автоматичної конвертації старого знаку з інформаційної безпеки.

Особливі проблеми виникають у клієнтів, які отримали свої етикетки в минулому в рамках процедури ротаційної вибірки (Rotating SGA). З міркувань економії ці компанії хотіли б перейти на фактичну процедуру вибірки (SGA на основі зразків) в останній рік дії етикетки. Тому вони повинні завершити оцінку Rotating SGA на третій рік, адаптувати свою СУІБ до нового каталогу ISA і завершити оцінку SGA на основі зразків до закінчення терміну дії етикетки, щоб мати можливість безперешкодно продовжити термін її дії.

DQS - ваш надійний партнер

TISAX^® - як і ENX VCS для кібербезпеки транспортних засобів - був розроблений асоціацією ENX. DQS схвалений ENX як постачальник послуг з оцінки і тому може проводити оцінку по всьому світу - а також сам сертифікований за стандартом TISAX^®. А оскільки багато наших аудиторів TISAX^® також акредитовані за міжнародним стандартом інформаційної безпеки ISO 27001, ми можемо оцінювати обидва стандарти одночасно і з меншими додатковими зусиллями. Ми з нетерпінням чекаємо на спілкування з вами.

Примітка: Доступ до TISAX^® здійснюється за допомогою реєстрації учасника, яка повинна бути проведена онлайн на порталі ENX. Це є необхідною умовою для того, щоб мати можливість доручити проведення оцінювання затвердженому постачальнику послуг з оцінювання, такому як DQS.

Довіра та досвід

Наші тексти та брошури написані виключно нашими експертами зі стандартів або аудиторами з велиуим досвідом. Якщо у вас виникли запитання щодо змісту тексту або наших послуг, будь ласка, зв'яжіться з нами.