ISA Catalog 6.0 mới có hiệu lực từ ngày 1/4/2024

Các mối đe dọa ngày càng tăng, yêu cầu điều chỉnh danh mục ISA

Trước tầm quan trọng và sự phức tạp to lớn của chuỗi cung ứng, thông tin đầu cuối và an ninh mạng đóng một vai trò quan trọng trong ngành công nghiệp ô tô. Suy cho cùng, các nhà cung cấp đều tham gia chặt chẽ vào quá trình phát triển và sản xuất. Điều này có nghĩa là họ thường có quyền truy cập vào những thông tin nhạy cảm, có tính nhạy cảm cao - và phải có khả năng phục hồi cao. Căng thẳng địa chính trị và quá trình số hóa và kết nối mạng ngày càng tăng của chuỗi cung ứng đang dẫn đến rủi ro về an ninh thông tin ngày càng tăng.

Do những động lực này, danh mục VDA ISA 5.1 hiện có đã được cập nhật. Phiên bản 6.0 được phát hành bằng tiếng Anh vào ngày 16 tháng 10 năm 2023 và có sẵn để tải xuống.

Danh mục câu hỏi ISA 6.0 mới đánh dấu một cột mốc quan trọng cho TISAX®. Điều này dẫn đến những điều chỉnh trong các yêu cầu đối với nhà cung cấp dịch vụ đánh giá được nêu trong quy định TISAX® ACAR 2.2. Việc chuyển sang tiếng Anh làm ngôn ngữ chính của danh mục ISA 6.0 nhấn mạnh quan điểm toàn cầu và những nỗ lực chung để phát triển hơn nữa danh mục yêu cầu trong các nhóm làm việc toàn cầu.

Nhãn mới Thay thế nhãn "Bảo mật thông tin" quen thuộc

Những thay đổi chính trong danh mục Đánh giá An toàn Thông tin (ISA) 6.0 liên quan đến mô-đun "Bảo mật Thông tin" và hệ thống nhãn liên quan từ TISAX®. Trong tương lai, nhãn “Bảo mật thông tin” quen thuộc sẽ được thay thế hoàn toàn bằng hai nhãn “Tính sẵn sàng ” và “Tính bảo mật”.

Nhãn "Tính sẵn sàng" trong danh mục ISA 6.0: mở rộng cho cơ sở sản xuất

Trong danh mục ISA mới, các nhãn "Tính sẵn sàng cao" và "Tính sẵn sàng rất cao" đã được cụ thể hóa hơn. Do đó, hệ thống OT (Công nghệ vận hành) sẽ trở thành trọng tâm hơn cho các cuộc đánh giá trong tương lai.

Mạng lưới môi trường sản xuất ngày càng tăng, tức là Hệ thống điều khiển tự động hóa công nghiệp (IACS) và mạng của chúng, dẫn đến một số thách thức mới đối với bảo mật thông tin. Các cơ sở sản xuất có mạng lưới cực kỳ rộng lớn với vô số công nghệ và giao thức chuyên dụng.

Ở nhiều khía cạnh, chúng khác biệt cơ bản với các hệ thống CNTT: Môi trường sản xuất thường được thiết kế để hoạt động trong nhiều năm và một khi chúng hoạt động trơn tru, chúng sẽ được giữ ở trạng thái yên tĩnh nhất có thể ngoại trừ công việc bảo trì và sửa chữa thường xuyên. Điều này có nghĩa là các hệ điều hành, giao thức truyền thông hoặc thuật toán mã hóa đã lỗi thời vẫn đang được sử dụng trên nhiều thành phần.

Trong một thời gian dài, quá trình vá lỗi và cập nhật tự động không được mong muốn hoặc ít nhất được xem xét một cách nghiêm túc. Nỗi lo sợ quá lớn là quy trình sản xuất phức tạp có thể không đồng bộ và gây ra tổn thất kinh tế đáng kể. Các hệ thống phân tán và mạng truyền thông quy mô lớn mà nhiều nhân viên có thể truy cập cũng tạo ra nhiều điểm tấn công vật lý.

Độ tin cậy và tính sẵn có của hệ thống sản xuất tự động không chỉ cực kỳ quan trọng từ góc độ kinh doanh mà còn vì những sai lệch trong quy trình có thể gây ra thiệt hại và tổn thất tài chính đáng kể.

Để tích hợp tất cả các khía cạnh dành riêng cho OT này vào danh mục ISA 6.0, ENX và VDA đã tự định hướng theo loạt tiêu chuẩn IEC 62443 có giá trị quốc tế và đặc biệt là Mục 2-1.

Nhãn "Tính bảo mật": Bảo vệ thông tin nhạy cảm

Nếu một công ty được giao phó thông tin nhạy cảm, công ty đó phải chứng minh rằng công ty có thể bảo vệ thông tin này một cách thích hợp. Nhãn "Tính bảo mật cao" hoặc "Tính bảo mật nghiêm ngặt" được sử dụng để chọn các yêu cầu của ISA Catalog 6.0 góp phần vào mục tiêu bảo vệ này.

Điều này có ý nghĩa gì đối với cuộc đánh giá TISAX® trong tương lai?

Các nhãn mới cho phép kiểm tra theo vai trò có thể có của nhà cung cấp trong chuỗi cung ứng. Nếu một nhà cung cấp được xác định là đặc biệt quan trọng đối với chuỗi cung ứng, nhà cung cấp đó có thể sử dụng nhãn "Tính sẵn có" để chứng minh độ tin cậy của mình. Nếu nhà cung cấp được giao phó thông tin đặc biệt nhạy cảm, nhà cung cấp đó có thể sử dụng nhãn "Bảo mật" để chứng minh rằng họ đã thực hiện các biện pháp phòng ngừa thích hợp để bảo vệ thông tin này. Nếu nhà cung cấp chịu trách nhiệm về cả hai vai trò thì nhà cung cấp đó có thể được kiểm tra đối với cả hai nhãn.

Cả hai nhãn đều phải đáp ứng các yêu cầu cơ bản giống nhau. Ngoài ra, còn có những yêu cầu cụ thể về nhu cầu bảo vệ cao và rất cao đối với từng nhãn. Điều này có nghĩa là việc đánh giá được thực hiện tùy thuộc vào nhãn.

Quá trình chuyển đổi hệ thống nhãn cũng sẽ được thực hiện trong cơ sở dữ liệu TISAX®. Trong tương lai, nhãn “Tính bảo mật thông tin cao” sẽ được thay thế bằng hai nhãn kết hợp “Tính sẵn sàng cao” và “Độ tin cậy cao”. Điều tương tự cũng áp dụng cho nhãn "Bảo mật thông tin rất cao", nhãn này sẽ được thay thế bằng nhãn "Tính sẵn sàng rất cao" và "Bảo mật nghiêm ngặt" trong tương lai. Điều này sẽ tự động xảy ra đối với tất cả những người tham gia đã được gắn nhãn "Tính bảo mật thông tin" trong nền tảng TISAX®.

Mục đích chính của kiểm toán chọn lọc được mô tả ở trên là để đảm bảo rằng các công ty chỉ phải đáp ứng các yêu cầu của bảng câu hỏi ISA 6.0 có liên quan đến họ. Đồng thời, những thách thức mới nảy sinh đối với các công ty sản xuất, vì hệ thống OT giờ đây phải chịu sự quản lý theo cách tương tự như yêu cầu chung đối với hệ thống CNTT TISAX®.

Do đó, tùy thuộc vào từng trường hợp cụ thể, các công ty phải dự kiến những yêu cầu bổ sung cần được thắt chặt trong hệ thống quản lý an ninh thông tin (ISMS) và có thể dẫn đến chi phí lớn hơn.

Những yêu cầu mới ở phiên bản 6.0

• An toàn và Vận hành liên tục: Hệ thống Công nghệ vận hành đóng một vai trò quan trọng trong các cơ sở sản xuất, nơi các hệ thống tự động như IACS là trung tâm. Việc đảm bảo tính sẵn sàng của các hệ thống này không chỉ liên quan đến hiệu quả mà còn về an toàn. Nhân viên thường làm việc gần các hệ thống tự động này và bất kỳ sự cố nào cũng có thể gây ra rủi ro an toàn nghiêm trọng. Ví dụ, các cảm biến hoặc bộ điều khiển OT được hiệu chỉnh không chính xác có thể gây nguy hiểm cho cá nhân và thiết bị có giá trị.
• Quản lý rủi ro: Khi đưa OT vào phạm vi đánh giá, các công ty phải xem xét các rủi ro cụ thể liên quan đến các hệ thống này. Hệ thống OT cần được quản lý, phân loại và giám sát để giải quyết hiệu quả các rủi ro mới nổi. Phải phân công người chịu trách nhiệm cho những công việc này.
• Kiểm soát quyền truy cập: Quyền truy cập vào mạng OT của các nhà cung cấp dịch vụ để bảo trì là mối quan tâm hàng đầu. Kiểm soát truy cập thích hợp và nhật ký chi tiết là điều cần thiết để duy trì tính bảo mật và tính toàn vẹn của hệ thống OT.
• Năng lực nhân sự: Nhân viên chịu trách nhiệm vận hành hệ thống OT phải được đào tạo phù hợp, có năng lực và được thông báo về những rủi ro tiềm ẩn khi vận hành. Những cân nhắc về nhân sự, bao gồm việc kiểm tra lý lịch đối với các vị trí nhạy cảm, trở nên quan trọng do tầm quan trọng của các hệ thống này.
• Quản lý vòng đời: Việc quản lý hiệu quả các hệ thống OT trong suốt vòng đời của chúng, bao gồm cả việc sửa chữa, thải bỏ và vận chuyển, là rất quan trọng để giảm thiểu rủi ro liên quan đến quyền truy cập và dữ liệu thiết bị cục bộ.
• Các biện pháp bảo mật: OT phải được bảo vệ trước các cuộc tấn công tiềm ẩn thông qua giải pháp bảo mật mạnh mẽ, chẳng hạn như phần mềm chống vi-rút, tường lửa và giảm thiểu các giao diện và dịch vụ bị lộ.
• Kiểm tra và đánh giá lỗ hổng: Cần phải kiểm tra hệ thống nội bộ thường xuyên để kiểm tra độ cứng của hệ thống OT và xác định các lỗ hổng đã biết.
• Phân khúc mạng lưới : Các mạng phải được phân khúc hợp lý theo mục đích để bảo vệ môi trường CNTT và OT khỏi nhau.
• Sao lưu và khôi phục: Các kế hoạch sao lưu và khôi phục toàn diện là cần thiết để đảm bảo tính liên tục trong hoạt động và bảo vệ dữ liệu trong hệ thống OT.
• Giám sát và cấp độ dịch vụ: Phải có sẵn các cấp độ dịch vụ phù hợp và định nghĩa về tính sẵn có và được giám sát liên tục đối với các dịch vụ mạng OT.
• Nhà cung cấp bên ngoài: Nếu nhà cung cấp dịch vụ bên ngoài sử dụng thiết bị OT, thì việc bảo mật thông tin liên quan đến tài khoản truy cập và thông tin khác được lưu trữ trên thiết bị phải được quy định đối với nhà cung cấp bên ngoài.

ISO 27001 và IEC 62443 là nền tảng vững chắc

ISMS theo ISO 27001 đã là yêu cầu pháp lý trong một số ngành được quy định. Trong nhiều ngành, đây cũng chính thức hoặc không chính thức là một yêu cầu tuân thủ cơ bản để ký kết dịch vụ hoặc các thỏa thuận tương tự.

Vì bảng câu hỏi ISA 6.0 cũng dựa trên tiêu chuẩn này nên hệ thống quản lý bảo mật thông tin được chứng nhận đã tạo cơ sở tốt cho hoạt động đánh giá TISAX®. Tuy nhiên, TISAX® yêu cầu triển khai ISMS cụ thể với các yêu cầu chi tiết "phải" và "nên" cùng với các yêu cầu bổ sung về mức độ bảo vệ cao hoặc rất cao.

Ngoài ISMS, tiêu chuẩn IEC 62443 và các yêu cầu mới trong danh mục ISA cung cấp cơ sở vững chắc. Phần 2 của tiêu chuẩn mô tả cấu trúc của hệ thống quản lý an ninh mạng công nghiệp. Mục 2-1 đề cập đến việc thiết lập chương trình bảo mật cho các hệ thống điều khiển và tự động hóa công nghiệp.

Khi soạn thảo các lĩnh vực này, IEC (Ủy ban Kỹ thuật Điện Quốc tế) một lần nữa được hướng dẫn bởi tiêu chuẩn ISO 27001, nhiều quy trình và cơ chế trong số đó cũng có thể được áp dụng cho các hệ thống điều khiển. Điều này có nghĩa là các mạng truyền thông công nghiệp và hệ thống điều khiển và tự động hóa (IACS) đều được đưa vào cuộc đánh giá.

ISA Catalog 6.0: Mốc thời gian áp dụng ?

Việc chuyển đổi sang danh mục ISA 6.0 sẽ diễn ra vào ngày 01/04/2024. Bất kỳ tổ chức được ủy quyền đánh giá TISAX® cho đến ngày 31/03 vẫn có thể được đánh giá theo danh mục ISA 5.1 cũ. Các đánh giá được thực hiện từ ngày 1 tháng 4 năm sau chỉ có thể được thực hiện theo phiên bản 6.0 mới của danh mục ISA.

Một mặt, điều này có nghĩa là việc đánh giá sẽ phức tạp hơn kể từ tháng 4 năm 2024, nhưng mặt khác, mức độ bảo mật được tăng lên sẽ có giá trị cho công ty của bạn. Điều quan trọng là bạn phải chuẩn bị cho các yêu cầu mới ở giai đoạn đầu và thực hiện chúng một cách tận tâm để được hưởng lợi từ sự tin cậy ngày càng tăng đối với nhãn TISAX® mới.

Tất cả các hoạt động đánh giá phụ thuộc vào các đánh giá hiện có, chẳng hạn như Đánh giá Kế hoạch Hành động Khắc phục, Theo dõi, Đánh giá Mở rộng Phạm vi hoặc Đánh giá Nhóm Đơn giản hóa, sẽ tiếp tục được thực hiện theo phiên bản ISA mà đánh giá ban đầu được thực hiện.

ISA Catalog 6.0 sửa đổi năm 2024: Kết luận

Việc phát hành ISA Catalog 6.0 là một sự kiện quan trọng trong thế giới ngày càng phát triển của các tiêu chuẩn và tuân thủ ô tô. Bản cập nhật này thể hiện cam kết liên tục về sự xuất sắc, độ chính xác và tầm quan trọng ngày càng tăng của bảo mật thông tin trong ngành ô tô. Với sự ra đời của các nhãn bảo mật và sẵn sàng đã thay đổi cũng như phạm vi rộng hơn bao gồm các hệ thống Công nghệ vận hành (OT), lĩnh vực ô tô tiếp tục phát triển theo hướng tiêu chuẩn cao hơn về chất lượng và bảo mật.

DQS được ENX phê duyệt là nhà cung cấp dịch vụ đánh giá và do đó có thể thực hiện các đánh giá TISAX® trên toàn thế giới. Chúng tôi có các chuyên gia đánh giá TISAX® cũng được phê duyệt theo tiêu chuẩn quốc tế về bảo mật thông tin ISO 27001. Điều này có nghĩa là cả hai tiêu chuẩn này có thể được DQS đánh giá cùng một lúc và không tốn nhiều công sức hơn. Chúng tôi mong được nói chuyện với bạn.

Lưu ý: Việc truy cập TISAX® được thực hiện thông qua đăng ký người tham gia, việc này phải được thực hiện trực tuyến trên cổng ENX. Đây là điều kiện tiên quyết để có thể ủy quyền cho một nhà cung cấp dịch vụ đánh giá được phê duyệt như DQS.

Thông tin cơ bản về TISAX® 6.0

TISAX® dựa trên danh mục VDA ISA do Hiệp hội Công nghiệp Ô tô Đức (VDA) phát triển, một bảng câu hỏi toàn diện về cơ bản dựa trên cái gọi là "các biện pháp kiểm soát", các biện pháp tham khảo từ Phụ lục A của tiêu chuẩn bảo mật thông tin ISO 27001 và được điều chỉnh cho phù hợp với các yêu cầu cụ thể khác của ô tô.

Tiêu chuẩn bảo mật thông tin kể từ đó đã được sửa đổi và công bố là ISO/IEC 27001:2022 mới vào ngày 25/10/2022. Đặc biệt, Phụ lục A bị ảnh hưởng bởi bản sửa đổi. Việc điều chỉnh tương ứng cho các điều khiển mới cũng đã được thực hiện với ISA phiên bản 6.0.

TISAX® chủ yếu nhắm đến các công ty muốn hoặc cần chứng minh mức độ bảo mật và sẵn sàng thông tin nhất định để hợp tác với một nhà sản xuất ô tô (tham gia). Hiệp hội ENX, có trụ sở tại Frankfurt am Main và Paris, chịu trách nhiệm thực hiện và giám sát quy trình. ENX là hiệp hội gồm các nhà sản xuất, nhà cung cấp ô tô châu Âu và bốn hiệp hội ô tô quốc gia, trong đó có VDA, người sáng lập ENX của Đức.

Niềm tin và Kiến thức chuyên môn

Các bài viết và tài liệu quảng cáo của chúng tôi được viết độc quyền bởi các Chuyên gia tiêu chuẩn hoặc Kĩ thuật viên lâu năm của DQS. Nếu bạn có bất kỳ câu hỏi nào về nội dung văn bản hoặc dịch vụ của chúng tôi dành cho tác giả, vui lòng liên hệ với Đội ngũ DQS.