TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer

Сертифікація TISAX®



TISAX® Assessment - Інформаційна безпека в автомобільній промисловості

Ви автомобільний постачальник або постачальник послуг? Тоді вам потрібно довести доступність ваших послуг або безпеку конфіденційної інформації, яку ви отримуєте. Ви також повинні надати докази правильного поводження з прототипами. Як учасник процесу TISAX®, це можливо через відповідну оцінку, яку потрібно проводити лише кожні три роки. Сертифікація TISAX® дійсна для всіх галузей і визначає вимоги до інформаційної безпеки вашої компанії.

Взаємне визнання між усіма учасниками TISAX®

Постачальники та постачальники послуг мають більшої довіри до вашої аудованої компанії

Оцінка на сертифікацію TISAX® проводиться лише раз на три роки

Економія часу та витрат завдяки участі в мережі TISAX®

Основна інформація про оцінку TISAX®

TISAX® є загальноприйнятою процедурою оцінки та обміну для автомобільного сектора. Він базується на анкеті ISA (Information Security Assessment – Оцінка безпеки інформації) розробленій робочою групою VDA «Інформаційна безпека», яка у свою чергу базується на ключових аспектах міжнародного стандарту ISO/IEC 27001 і була розширена, щоб включити модель зрілості.

ISA також посилається на ISO/SAE 62443-2-1 для промислових систем управління для автоматизації та моніторингу промислових виробничих потужностей (IACS) і операційних технологій (OT).
Крім того, відповідальні органи Німецької асоціації автомобільної промисловості (VDA) створили умови для створення спільного механізму оцінки та обміну під назвою TISAX® (Trusted Information Security Assessment eXchange). TISAX® є зареєстрованою торговою маркою ENX Association. Асоціація європейських виробників автомобілів, автомобільних постачальників та автомобільних асоціацій стежить за якістю оцінок TISAX® та контролює схвалення постачальників аудиторських послуг TISAX®.

Наразі понад 10 000 місць оцінено відповідно до TISAX®, що робить цей стандарт другим за популярністю набором правил інформаційної безпеки в усьому світі після ISO 27001. VDA та ENX створили міжнародні робочі групи для TISAX® та каталогу ISA для розробки стандарт далі. Водночас це сприяє тіснішій співпраці зі світовою автомобільною промисловістю. З TISAX 6.0 восени 2023 року було опубліковано оновлену форму процедури оцінки та обміну.

Business11.png

TISAX® 2.2 – обов’язковий з 1 квітня 2024 р. – Примітки щодо переходу

Оцінки TISAX®, які були замовлені до 31 березня 2024 року, можна виконувати відповідно до старої версії ISA 5.1. Початкові або ресертифікаційні оцінки, призначені з 1 квітня 2024 року, проводитимуться виключно відповідно до нової процедури TISAX® відповідно до каталогу ISA 6.0. Аудиторська діяльність, яка залежить від існуючих аудитів, наприклад оцінка плану коригувальних дій, подальша оцінка, оцінка розширення обсягу або безперервна спрощена групова оцінка, продовжуватиме виконуватися відповідно до версії, за якою проводився початковий аудит.
Інформацію про ключові зміни в новій ISA 6.0 можна знайти в нашому блозі «Новий каталог ISA 6.0»

Новий каталог ISA 6.0 є важливою віхою для TISAX®. Каталог оцінок призводить до коригування вимог до постачальників аудиту, які були визначені в правилах TISAX® ACAR 2.2. Зміна основної мови на англійську підкреслює глобальну перспективу та спільні зусилля для всесвітнього розвитку. Плануються подальші переклади TISAX VDA 6.0.

Найважливіші зміни в новому каталозі ISA 6.0:
Зміни захисних етикеток:

  • Позначку безпеки інформації замінено на позначки доступності та конфіденційності. Залежно від вашої ролі в ланцюжку постачання, доступність та/або конфіденційність можуть мати відношення до вас.
  • Існуючу мітку "Information Security High" («Висока безпека інформації») буде замінено комбінованими мітками "Availability High" («Висока доступність») і "Confidentiality High" («Висока конфіденційність»). Те саме стосується наявної позначки "Information Security Very High" («Дуже висока інформаційна безпека»). Його буде замінено на "Availability very high" («Дуже висока доступність») і "Confidentiality strict" («Сувора конфіденційність»).
  • Обидві мітки мають відповідати однаковому набору базових вимог. Крім того, кожна етикетка має особливі вимоги щодо високих і дуже високих потреб у захисті. Процес оцінки керується етикетками, враховуючи вашу роль у ланцюжку постачання. Тому варто перевірити у ваших клієнтів, які ярлики відповідають вашій ролі.

Підвищена увага до інформаційної безпеки та систем OT у ланцюжку постачання

  • Відповідні компанії в ланцюжку постачання повинні відповідати вимогам «високої доступності» або «дуже високої доступності».
  • Акцент на системах операційних технологій (OT) у виробництві та інших областях в оцінці TISAX®.
  • Посилання на IEC 62443-2-1 і нові вимоги каталогу ISA сприяють зосередженню на OT.
  • Включення промислових систем зв'язку та управління (IACS - Industrial Communication and Control Systems).
  • Компанії цієї категорії повинні продемонструвати належний захист конфіденційних даних під час розробки та виробництва.
  • Багато вимог збігаються з "Високою чутливістю" або "Дуже високою чутливістю".
  • Компанії в ланцюжку постачання, які не мають особливого значення, але яким довірено конфіденційну інформацію, повинні продемонструвати, що цю інформацію можна належним чином захистити.
  • Мітки "High Confidentiality" («Висока конфіденційність») або "Strict Confidentiality" («Сувора конфіденційність») використовуються для вибору вимог TISAX®, які сприяють цій меті захисту.
  • Основна мета вибіркової оцінки, описаної вище, полягає в тому, щоб компанії відповідали лише тим вимогам каталогу ISA, які стосуються їх ролі.

Нові виклики для виробничих компаній
- Системи OT повинні підлягати управлінню, подібному до того, яке зазвичай вимагається для IT-систем TISAX®.
- У результаті OT в управлінні активами ідентифікується з його конкретними ризиками, аналізується на потенційну вразливість, керується компетентними співробітниками, підпорядковується СУІБ-сумісним процесам для дистанційного обслуговування та іншим найкращим практикам управління.

 

Technology32.png

Чому оцінка TISAX® корисна для моєї компанії?

Як постачальник послуг або комплектуючих в автомобільній промисловості, ви повинні довести своїм клієнтам, що ви дотримуєтеся вимог інформаційної безпеки. До цього часу ці оцінки в основному проводили самі виробники. Зареєстровані учасники мережі TISAX® тепер можуть вибрати постачальника аудиторських послуг через загальну онлайн-платформу та подати запит на оцінку. Переваги для компаній переважають недоліки:

  • Можна уникнути повторюваних і множинних оцінок різними клієнтами
  • Визнання оцінок інформаційної безпеки між компаніями для учасників TISAX®
  • Надійність результатів завдяки гармонізованому каталогу тестів VDA ISA
  • Зміцнення довіри до перевірених компаній з маркою TISAX®

Після успішного оцінювання ви отримаєте етикетку TISAX® на онлайн-платформі TISAX®. Цей ярлик можна порівняти з сертифікатом і служить для зміцнення довіри до вашої компанії та підтвердження ваших зусиль із забезпечення інформаційної безпеки.

Contact-us18.png

Як працює TISAX®?

У TISAX® учасники можуть грати дві різні ролі: «Споживач інформації» (пасивний), наприклад, виробник, який хотів би отримувати інформацію про постачальника, та «Розповсюджувач інформації» (активний), наприклад, постачальник запчастин або постачальник послуг, який хотів би пройти аудит на придатність для одержання замовлень від виробників.

Компанія також може взяти на себе обидві ролі учасників. Будь-хто, хто бажає брати участь у TISAX® як постачальник інформації, повинен виконати наступні чотири основні кроки:

  1. Зареєструйтесь на сайті www.enx.com/TISAX.
  2. Виберіть ухваленого ENX постачальника послуг аудиту, наприклад DQS.
  3. Пройдіть оцінку TISAX®
  4. Обмін результатами аудиту на онлайн-платформі TISAX®.

Якщо компанія зацікавлена у ваших результатах TISAX®, вона може зареєструватися в ENX як «Споживач інформації». Ви можете вирішити для кожного Споживача інформації, чи бажаєте ви ділитися з ним своїм поточним статусом TISAX®.

Business28.png

Як працює оцінка TISAX®?

Перш ніж розпочати оцінювання TISAX®, ваша компанія повинна визначити чітку область застосування. Це включає в себе рівень оцінювання, який визначає конкретні вимоги до оцінювання. Ці вимоги можуть включати забезпечення «доступності» виробничих потужностей, гарантування «конфіденційності» довіреної інформації або забезпечення «прототипів частин» і «особистих даних». Ці базові критерії застосовуються до всіх сайтів у межах області застосування.
Основна проблема полягає в тому, щоб об’єднати сайти зі схожими вимогами в єдину область застосування. DQS може надати цінні вказівки до проектування щодо того, чи має це бути одна комплексна область чи кілька областей. В принципі, є перевага для об’єднання сайтів в одну область це може скоротити зусилля аудиту, якщо всі сайти працюють в рамках централізованої СУІБ.

Спочатку ви обираєте затвердженого постачальника аудиторських послуг. Потім відбувається початковий етап, перегляд документів (самооцінка, а не на місці) та наступне оцінювання (рівень 2: не на місці, рівень 3: на місці).
Будь ласка, зверніть увагу: існує альтернативний метод проведення оцінки на Рівні оцінки 2. Замість перевірки правдоподібності ваш постачальник аудиторських послуг проводить повну дистанційну оцінку. Цей метод іноді називають «Рівень оцінювання 2.5». Перевага Рівня оцінювання 2.5 полягає в тому, що цей підхід методологічно сумісний з Рівнем оцінювання 3. Таким чином, можна оновити до повного іспиту Рівня оцінювання 3 пізніше з керованим зусиллям.

Результати аудиту TISAX® фіксуються в проміжному звіті. У разі виявлення невідповідностей узгоджуються заходи, які необхідно вжити. У разі необхідності виконання заходів визначається в узгоджений термін. Ця процедура гарантує ефективне та швидке вирішення всіх виявлених проблем.

Після усунення невідповідностей виконується перевірка ефективності, щоб підтвердити усунення невідповідностей і оцінити загальну ефективність вжитих коригувальних дій.

Остаточний результат буде опубліковано онлайн на порталі ENX®. Потім вашу компанію буде вказано як учасника процесу TISAX® із відповідним ярликом тестування. На відміну від інших сертифікатів, сертифіката TISAX® не існує.

Banking13.png

Скільки коштує оцінка TISAX®?

Скільки коштує оцінка TISAX®?

Два важливі фактори впливають на обсяг усієї оцінки, а отже і на витрати. Оцінки можливі на основі розширеної, стандартної чи обмеженої сфери застосування. Ваше рішення щодо сфери застосування має бути добре підготовленим і визначеним бажаними цілями захисту, а також розміром вашої компанії.

Наприклад, цілі захисту стосуються того, чи хочете ви включити в оцінку такі теми, як захист прототипу або захист даних. Якщо ви хочете взяти участь у процедурі TISAX®, якомога раніше зверніться до DQS, вашого затвердженого постачальника аудиторських послуг. Тільки так ми можемо визначити правильний розрахунок для обсягу оцінки і надати вам надійну пропозицію щодо вартості вашої сертифікації TISAX®.

Business2.png

Що ви можете очікувати від нас

  • DQS є затвердженим постачальником аудиторських послуг Асоціації ENX
  • Додавання цінності про інформаційну безпеку у вашій організації
  • Акредитація на всі відповідні норми в автомобільній промисловості
  • Досвідчені в галузі аудитори та експерти в цій галузі
  • Більше 35 років досвіду в сертифікації систем і процесів менеджменту
  • Сертифікати з міжнародним визнанням
  • Персональну, постійну підтримку від наших спеціалістів - на регіональному, національному та міжнародному рівні
  • Індивідуальні пропозиції з гнучкими умовами договору без прихованих витрат

Запит пропозицій

Ірина Поліщук

Ми будемо раді надати вам індивідуальну пропозицію для процесу TISAX®.

Ваш запит