Novo Catálogo ISA 6.0 válido a partir de 1 de abril de 2024

CONTEÚDO

Ameaças crescentes exigem ajustes no catálogo ISA

Etiqueta "Disponibilidade": extensão às instalações de produção

Rótulo de "Confidencialidade": proteção de informações sensíveis

O que significam os novos requisitos para uma futura auditoria ^TISAX®?

ISO 27001 e IEC 62443 como uma base sólida

O catálogo ISA 6.0 muda em 2024: Conclusão

TISAX 6.0 - antecedentes

Ameaças crescentes exigem ajustes no catálogo ISA

Tendo em conta a grande importância e complexidade das cadeias de abastecimento, a segurança informática e cibernética de ponta a ponta desempenha um papel fundamental na indústria automóvel. Afinal de contas, os fornecedores estão intimamente envolvidos nos processos de desenvolvimento e produção. Isto significa que têm frequentemente acesso a informações altamente sensíveis e delicadas - e devem ter um elevado nível de resiliência. As tensões geopolíticas e a crescente digitalização e ligação em rede da cadeia de fornecimento estão a conduzir a riscos crescentes para a segurança da informação.

Como consequência desta dinâmica, o atual catálogo VDA ISA 5.1 foi atualizado. A versão 6.0 foi publicada em inglês a 16 de outubro de 2023 e disponibilizada para transferência.

O novo catálogo de perguntas ISA 6.0 representa um marco significativo para o ^TISAX®. Isto leva a ajustes nos requisitos para os prestadores de serviços de auditoria estabelecidos nos regulamentos do ^TISAX® ACAR 2.2. A mudança para o inglês como língua principal do catálogo ISA 6.0 sublinha a perspetiva global e os esforços conjuntos para continuar a desenvolver o catálogo de requisitos em grupos de trabalho globais.

Novos rótulos substituem o conhecido rótulo "segurança da informação

As principais alterações no catálogo da Avaliação da Segurança da Informação (ISA) 6.0 dizem respeito ao módulo "Segurança da Informação" e ao sistema de etiquetas associado do ^TISAX®. No futuro, a conhecida etiqueta "Segurança da Informação" será completamente substituída pelas duas etiquetas "Disponibilidade" e "Confidencialidade".

Etiqueta "Disponibilidade" no catálogo ISA 6.0: extensão às instalações de produção

No novo catálogo ISA, as etiquetas "Disponibilidade elevada" e "Disponibilidade muito elevada" foram tornadas mais específicas. Consequentemente, os sistemas OT (Tecnologia Operacional) tornar-se-ão mais importantes para as auditorias futuras.

A crescente ligação em rede dos ambientes de produção, ou seja, os Sistemas de Controlo de Automação Industrial (IACS) e as suas redes, resulta numa série de novos desafios para a segurança da informação. As instalações de produção abrangem redes extremamente extensas com uma multiplicidade de tecnologias e protocolos especializados.

Em muitos aspectos, diferem fundamentalmente dos sistemas de TI: Os ambientes de produção são geralmente concebidos para funcionarem durante muitos anos e, uma vez em bom estado de funcionamento, são deixados o mais possível intactos, exceto para trabalhos regulares de manutenção e reparação. Isto significa que sistemas operativos, protocolos de comunicação ou algoritmos de encriptação desactualizados, por exemplo, ainda estão a ser utilizados em muitos componentes.

Durante muito tempo, os processos automáticos de correção e atualização foram indesejáveis ou, pelo menos, encarados de forma crítica. O receio era demasiado grande de que o complexo processo de produção pudesse ficar dessincronizado e causar perdas económicas consideráveis. Os sistemas distribuídos e as redes de comunicação em grande escala, aos quais muitos funcionários podem aceder, também oferecem múltiplos pontos de ataque físico.

A fiabilidade e a disponibilidade dos sistemas de produção automatizados não são apenas extremamente importantes do ponto de vista comercial, mas também porque os desvios no processo podem causar danos consideráveis e perdas financeiras.

Para integrar todos estes aspectos específicos de OT no catálogo ISA 6.0, a ENX e a VDA orientaram-se para a série de normas IEC 62443 internacionalmente válidas e, em particular, para a subsecção 2-1.

Etiqueta "Confidencialidade": Protecção de informações sensíveis

Se for confiada a uma empresa informação sensível, esta deve provar que pode proteger essa informação de forma adequada. Os rótulos "Confidencialidade elevada" ou "Confidencialidade rigorosa" são utilizados para selecionar os requisitos do Catálogo ISA 6.0 que contribuem para este objetivo de proteção.

O que é que isto significa para uma futura auditoria ^TISAX®?

Os novos rótulos permitem efetuar auditorias de acordo com as possíveis funções que um fornecedor desempenha na cadeia de abastecimento. Se um fornecedor tiver sido identificado como particularmente importante para a cadeia de abastecimento, pode utilizar o rótulo "Disponibilidade" para provar a sua fiabilidade. Se a um fornecedor for confiada informação particularmente sensível, pode utilizar o rótulo "Confidencialidade" para provar que tomou as devidas precauções para proteger esta informação. Se um fornecedor assumir a responsabilidade por ambas as funções, pode ser auditado relativamente a ambos os rótulos.

O mesmo conjunto de requisitos básicos deve ser cumprido para ambos os rótulos. Além disso, existem requisitos específicos para necessidades de proteção elevadas e muito elevadas para cada rótulo. Isto significa que a auditoria é efectuada em função do rótulo.

Também será efectuada uma transição do sistema de rótulos para a base de dados ^TISAX®. No futuro, o rótulo "Segurança da informação elevada" será substituído pelos dois rótulos combinados "Disponibilidade elevada" e "Confidencialidade elevada". O mesmo se aplica ao rótulo "Segurança da informação muito elevada", que será substituído no futuro pelos rótulos "Disponibilidade muito elevada" e "Confidencialidade rigorosa". Isto acontecerá automaticamente para todos os participantes que já possuem um rótulo de "segurança da informação" na plataforma ^TISAX®.

O principal objetivo das auditorias selectivas acima descritas é garantir que as empresas apenas têm de cumprir os requisitos do questionário ISA 6.0 que são relevantes para elas. Simultaneamente, surgem novos desafios para as empresas produtoras, uma vez que os sistemas OT devem agora ser sujeitos a uma gestão semelhante à que já é geralmente exigida para os sistemas ^TISAX® IT.

Dependendo do caso individual, as empresas devem, portanto, esperar requisitos adicionais que precisam de ser reforçados no sistema de gestão de segurança da informação (ISMS) e que podem levar a maiores despesas.

Novos requisitos na versão 6.0

• Segurança e continuidade operacional: A OT desempenha um papel crucial nas instalações de produção, nas quais os sistemas automatizados, como o SIGC, são de importância central. Garantir a disponibilidade destes sistemas não é apenas uma questão de produtividade, mas também de segurança. Os funcionários trabalham frequentemente muito próximos destes sistemas automatizados e qualquer tipo de avaria pode representar um sério risco de segurança. Por exemplo, sensores ou controlos OT incorretamente calibrados podem colocar em risco pessoas e equipamentos valiosos.
• Gestão de riscos: Com a inclusão da OT no âmbito de aplicação, as empresas precisam de considerar os riscos específicos associados a estes sistemas. Os sistemas OT devem ser regulamentados, classificados e monitorizados de forma a que os riscos emergentes possam ser eficazmente contrariados. Devem ser nomeadas pessoas responsáveis para estas tarefas.
• Controlo de acesso: O acesso dos prestadores de serviços às redes OT para fins de manutenção é uma questão crítica. Controlos de acesso adequados e protocolos detalhados são essenciais para manter a segurança e a integridade dos sistemas OT.
• Competência do pessoal: O pessoal responsável pela operação dos sistemas OT deve ser adequadamente treinado, competente e estar ciente dos riscos potenciais da operação. As considerações relativas ao pessoal, incluindo a verificação de antecedentes para cargos sensíveis, são cruciais devido à criticidade destes sistemas.
• Gestão do ciclo de vida: A gestão eficaz dos sistemas OT ao longo do seu ciclo de vida, incluindo a reparação, o transporte e a eliminação, é fundamental para minimizar os riscos associados aos dados e ao acesso aos dispositivos locais.
• Medidas de segurança: Os OT devem ser protegidos contra potenciais ataques através de soluções de segurança robustas, como software antivírus, firewalls ou a redução de interfaces e serviços abertos.
• Auditorias e avaliação de vulnerabilidades: São necessárias auditorias técnicas regulares ao sistema para verificar o reforço dos sistemas OT de acordo com as especificações do fabricante e para identificar vulnerabilidades conhecidas.
• Segmentação da rede: As redes devem ser adequadamente segmentadas de acordo com o objetivo e o risco - também para proteger os ambientes de TI e OT uns dos outros.
• Cópiade segurança e recuperação: Planos abrangentes de backup e recuperação são essenciais para garantir a continuidade do negócio nos sistemas OT.
• Níveis de serviço e monitorização: Devem ser estabelecidos níveis de serviço e definições de disponibilidade adequados e monitorizados continuamente para os serviços de rede OT.
• Fornecedores externos: Se os prestadores de serviços externos utilizarem dispositivos OT, o nível de segurança da informação relativamente ao acesso e a outras informações armazenadas no dispositivo deve ser regulamentado para o prestador externo.

ISO 27001 e IEC 62443 como uma base sólida

Um SGSI em conformidade com a norma ISO 27001 já é um requisito legal em alguns sectores regulamentados. Em muitos sectores, é também, oficial ou oficiosamente, um requisito básico de conformidade para a celebração de contratos de serviços ou similares.

Uma vez que o questionário ISA 6.0 também se baseia nesta norma, um sistema de gestão da segurança da informação certificado já constitui uma boa base para uma auditoria ^TISAX®. No entanto, a ^TISAX® exige uma implementação específica do SGSI com requisitos detalhados "deve" e "deveria", além de requisitos adicionais para um nível de proteção elevado ou muito elevado.

Para além do ISMS, a norma IEC 62443 e os novos requisitos resultantes no catálogo ISA fornecem uma base sólida. A subsecção 2 da norma descreve a estrutura de um sistema de gestão para a cibersegurança industrial. A subsecção 2-1 abrange, entre outras coisas, o estabelecimento de um programa de segurança para sistemas de automação e controlo industrial.

Ao redigir estas áreas, a IEC (Comissão Eletrotécnica Internacional) foi novamente orientada pela norma ISO 27001, muitos dos seus processos e mecanismos também podem ser aplicados aos sistemas de controlo. Isto significa que as redes de comunicação industrial e os sistemas de automação e controlo (IACS) estão incluídos na auditoria.

Catálogo ISA 6.0: Que prazos se aplicam aos utilizadores?

A mudança para o catálogo de auditoria ISA 6.0 terá lugar a 1 de abril de 2024. Qualquer pessoa que encomende uma avaliação TISAX® até 31 de março, inclusive, ainda pode ser auditada de acordo com o antigo catálogo ISA 5.1. As avaliações encomendadas a partir de 1 de abril do próximo ano só podem ser efectuadas de acordo com a nova versão 6.0 do catálogo ISA.

Por um lado, isto significa que a avaliação será mais complexa a partir de abril de 2024, mas, por outro lado, o aumento do nível de segurança valerá a pena para a sua empresa. É importante que se prepare para os novos requisitos numa fase inicial e que os implemente conscientemente, de modo a beneficiar da confiança acrescida no novo rótulo ^TISAX®.

Todas as actividades de auditoria que dependam de avaliações existentes, tais como Avaliações de Planos de Ação Correctiva, Acompanhamentos, Avaliações de Extensão de Âmbito ou Avaliações de Grupo Simplificadas, continuarão a ser realizadas de acordo com a versão da ISA segundo a qual a avaliação original foi realizada.

Catálogo ISA 6.0 Alterações 2024: Conclusão

O lançamento do Catálogo ISA 6.0 é um acontecimento significativo no mundo em evolução das normas e da conformidade no sector automóvel. Esta atualização representa um compromisso contínuo com a excelência, a precisão e a importância crescente da segurança da informação na indústria automóvel. Com a introdução dos rótulos de confidencialidade e disponibilidade alterados e um âmbito mais alargado que abrange os sistemas de Tecnologia Operacional (OT), o sector automóvel continua a evoluir para padrões mais elevados de qualidade e segurança.

A DQS é aprovada pela ENX como prestadora de serviços de avaliação e pode, portanto, efetuar avaliações ^TISAX® em todo o mundo. Temos auditores ^TISAX® que também estão aprovados para a norma internacional de segurança da informação ISO 27001. Isto significa que ambas as normas podem ser avaliadas pela DQS ao mesmo tempo e com menos esforço adicional. Estamos ansiosos por falar consigo.

Nota: O acesso ao ^TISAX® é feito através do registo do participante, que deve ser efectuado online no portal ENX. Este é o pré-requisito para poder contratar um prestador de serviços de avaliação aprovado, como a DQS.

^TISAX® 6.0 - informações básicas

^O TISAX® baseia-se no catálogo VDA ISA desenvolvido pela Associação Alemã da Indústria Automóvel (VDA), um questionário abrangente que se baseia essencialmente nos chamados "controlos", as medidas de referência do Anexo A da norma de segurança da informação ISO 27001, e é adaptado a outros requisitos específicos do sector automóvel.

A norma de segurança da informação foi entretanto revista e publicada como a nova ISO/IEC 27001:2022 em 25 de outubro de 2022. O anexo A, em particular, é afetado pela revisão. Também foi feita uma adaptação correspondente aos novos controlos com a versão 6.0 da ISA.

O ^TISAX® destina-se principalmente a empresas que pretendem ou necessitam de demonstrar um determinado nível de segurança e disponibilidade da informação para uma colaboração com um fabricante automóvel (participante). A Associação ENX, com sede em Frankfurt am Main e Paris, é responsável pela implementação e controlo do procedimento. A ENX é uma associação de fabricantes de automóveis europeus, fornecedores e quatro associações nacionais do sector automóvel, incluindo a VDA, fundadora da ENX alemã.

Confiança e competência

Os nossos textos e brochuras são redigidos exclusivamente pelos nossos peritos em normas ou por auditores de longa data. Se tiver alguma questão sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, contacte-nos.