Новий каталог ISA 6.0 діє з 1 квітня 2024 року

ЗМІСТ

Зростаючі загрози вимагають внесення змін до каталогу ISA

Етикетка "Доступність": поширення на виробничі потужності

Етикетка "Конфіденційність": захист конфіденційної інформації

Що нові вимоги означають для майбутнього аудиту TISAX^®?

ISO 27001 та IEC 62443 як міцний фундамент

Зміни в каталозі ISA 6.0 2024: Висновок

TISAX 6.0 - історія питання

Зростаючі загрози вимагають коригування каталогу ISA

З огляду на велику важливість і складність ланцюгів поставок, наскрізна інформаційна та кібербезпека відіграє ключову роль в автомобільній промисловості. Зрештою, постачальники тісно пов'язані з процесами розробки та виробництва. Це означає, що вони часто мають доступ до дуже чутливої, конфіденційної інформації - і повинні мати високий рівень стійкості. Геополітична напруженість і зростаюча цифровізація та мережева інтеграція ланцюга поставок призводять до збільшення ризиків для інформаційної безпеки.

Як наслідок цієї динаміки, було оновлено існуючий каталог VDA ISA 5.1. Версія 6.0 була опублікована англійською мовою 16 жовтня 2023 року і доступна для завантаження.

Новий каталог питань МСА 6.0 знаменує собою важливу віху для TISAX^®. Це призводить до коригування вимог до постачальників послуг з аудиту, викладених у правилах TISAX^® ACAR 2.2. Перехід на англійську мову як основну мову каталогу МСА 6.0 підкреслює глобальну перспективу і спільні зусилля з подальшого розвитку каталогу вимог у глобальних робочих групах.

Нові позначення замінюють звичне позначення "інформаційна безпека"

Основні зміни в каталозі оцінки інформаційної безпеки (ISA) 6.0 стосуються модуля "Інформаційна безпека" і пов'язаної з ним системи маркування від TISAX^®. В майбутньому звична мітка "Інформаційна безпека" буде повністю замінена двома мітками "Доступність" і "Конфіденційність".

Етикетка "Доступність" в каталозі ISA 6.0: поширення на виробничі потужності

У новому каталозі ISA мітки "Доступність висока" і "Доступність дуже висока" стали більш конкретними. Як результат, системи OT (Operational Technology) стануть предметом більшої уваги під час майбутніх аудитів.

Зростаюча мережева інтеграція виробничих середовищ, тобто систем управління промисловою автоматизацією (IACS - Industrial Automation Control Systems) та їхніх мереж, призводить до виникнення низки нових викликів для інформаційної безпеки. Виробничі об'єкти охоплюють надзвичайно розгалужені мережі з безліччю спеціалізованих технологій і протоколів.

У багатьох аспектах вони кардинально відрізняються від ІТ-систем: Виробничі середовища, як правило, розраховані на багато років, і коли вони працюють безперебійно, їх не чіпають, за винятком регулярного технічного обслуговування та ремонтних робіт. Це означає, що на багатьох компонентах все ще використовуються застарілі операційні системи, протоколи зв'язку або алгоритми шифрування.

Довгий час автоматичні процеси виправлення та оновлення були небажаними або, принаймні, розглядалися критично. Занадто великим був страх, що складний виробничий процес може вийти з ладу і спричинити значні економічні втрати. Масштабні, розподілені системи та комунікаційні мережі, до яких можуть отримати доступ багато співробітників, також пропонують безліч фізичних точок атаки.

Надійність і доступність автоматизованих виробничих систем є надзвичайно важливими не лише з точки зору бізнесу, але й тому, що відхилення в процесі можуть спричинити значні збитки та фінансові втрати.

Для того, щоб інтегрувати всі ці специфічні для ОТ аспекти в каталог ISA 6.0, ENX і VDA орієнтувалися на міжнародні стандарти серії IEC 62443, зокрема на підрозділ 2-1.

Етикетка "Конфіденційність": Захист конфіденційної інформації

Якщо компанії довіряють конфіденційну інформацію, вона повинна довести, що може захистити цю інформацію належним чином. Мітки "Конфіденційність висока" або "Конфіденційність сувора" використовуються для вибору тих вимог Каталогу ISA 6.0, які сприяють досягненню цієї мети захисту.

Що це означає для майбутнього аудиту TISAX^®?

Нові позначки дозволяють проводити аудит відповідно до можливих ролей, які постачальник відіграє в ланцюгу поставок. Якщо постачальник визначений як особливо важливий для ланцюга поставок, він може використовувати маркування "Доступність" для підтвердження своєї надійності. Якщо постачальнику довірено особливо чутливу інформацію, він може використовувати позначку "Конфіденційність", щоб довести, що він вжив належних заходів для захисту цієї інформації. Якщо постачальник бере на себе відповідальність за обидві ролі, він може бути перевірений на відповідність обом маркуванням.

Для обох етикеток має бути дотриманий однаковий набір основних вимог. Крім того, існують специфічні вимоги щодо високих і дуже високих потреб у захисті для кожного маркування. Це означає, що аудит проводиться залежно від етикетки.

Перехід системи етикеток також буде здійснено в базі даних TISAX^®. У майбутньому мітка "Високий рівень захисту інформації" буде замінена двома комбінованими мітками "Високий рівень доступності" та "Високий рівень конфіденційності". Те саме стосується позначки "Інформаційна безпека дуже висока", яка в майбутньому буде замінена на позначки "Доступність дуже висока" та "Конфіденційність сувора". Це відбудеться автоматично для всіх учасників, які вже мають позначку "інформаційна безпека" в платформі TISAX^®.

Основна мета вибіркових аудитів, описаних вище, полягає в тому, щоб забезпечити виконання компаніями лише тих вимог опитувальника МСА 6.0, які є актуальними для них. У той же час, для виробничих компаній виникають нові виклики, оскільки системи OT тепер повинні підлягати управлінню таким же чином, як це вже вимагається для ІТ-систем TISAX^®.

Залежно від конкретного випадку, компанії повинні очікувати додаткових вимог, які необхідно посилити в системі управління інформаційною безпекою (СУІБ - ISMS - Information Security Management System), що може призвести до більших витрат.

Нові вимоги у версії 6.0

• Безпека та безперервність роботи: ОТ відіграє вирішальну роль на виробничих об'єктах, де автоматизовані системи, такі як IACS, мають центральне значення. Забезпечення доступності цих систем - це не лише питання продуктивності, але й безпеки. Працівники часто працюють у безпосередній близькості до цих автоматизованих систем, і будь-яка несправність може становити серйозну загрозу безпеці. Наприклад, неправильно відкалібровані датчики або елементи керування можуть наражати на небезпеку людей і цінне обладнання.
• Управління ризиками: Включаючи в сферу своєї діяльності ОТ, компанії повинні враховувати специфічні ризики, пов'язані з цими системами. Системи технічного обслуговування повинні регулюватися, класифікуватися і контролюватися таким чином, щоб можна було ефективно протидіяти ризикам, що виникають. Для виконання цих завдань повинні бути призначені відповідальні особи.
• Контроль доступу: Доступ постачальників послуг до мереж з метою технічного обслуговування є критично важливим питанням. Належний контроль доступу та детальні протоколи мають важливе значення для підтримання безпеки та цілісності ОТ-систем.
• Компетентність персоналу: Персонал, відповідальний за експлуатацію систем, повинен бути належним чином підготовлений, компетентний і обізнаний про потенційні ризики, пов'язані з їхньою роботою. Кадрові міркування, включаючи перевірку біографічних даних кандидатів на відповідальні посади, мають вирішальне значення з огляду на критичність цих систем.
• Управління життєвим циклом: Ефективне управління системами ОТ протягом їхнього життєвого циклу, включаючи ремонт, транспортування та утилізацію, має вирішальне значення для мінімізації ризиків, пов'язаних з локальними даними пристроїв та доступом до них.
• Заходи безпеки: ОТ має бути захищена від потенційних атак за допомогою надійних рішень безпеки, таких як антивірусне програмне забезпечення, брандмауери або зменшення кількості відкритих інтерфейсів і сервісів.
• Аудит та оцінка вразливостей: Регулярні технічні аудити систем необхідні для перевірки захищеності систем ОТ відповідно до специфікацій виробника та виявлення відомих вразливостей.
• Сегментація мережі: Мережі повинні бути належним чином сегментовані відповідно до цілей та ризиків - також для захисту ІТ- та ОТ-середовищ одне від одного.
• Резервне копіювання тавідновлення: Комплексні плани резервного копіювання та відновлення мають важливе значення для забезпечення безперервності бізнесу в ОТ-системах.
• Рівні обслуговування та моніторинг: Для мережевих послуг ОТ повинні бути встановлені і постійно контролюватися відповідні рівні обслуговування і визначення доступності.
• Зовнішні провайдери: Якщо зовнішні провайдери послуг використовують пристрої ОТ, рівень інформаційної безпеки щодо доступу та іншої інформації, що зберігається на пристрої, повинен бути регламентований для зовнішнього провайдера.

ISO 27001 та IEC 62443 як надійний фундамент

СУІБ відповідно до ISO 27001 вже є законодавчою вимогою в деяких регульованих галузях. У багатьох галузях вона також офіційно або неофіційно є основною вимогою відповідності для укладання договорів на надання послуг або подібних угод.

Оскільки опитувальник ISA 6.0 також базується на цьому стандарті, сертифікована система управління інформаційною безпекою вже є хорошою основою для проведення аудиту TISAX^®. Однак TISAX^® вимагає конкретного впровадження СУІБ з детальними вимогами "повинен" і "повинна", а також додатковими вимогами для високого або дуже високого рівня захисту.

На додаток до СУІБ, стандарт IEC 62443 і нові вимоги в каталозі ISA забезпечують надійну основу. Підрозділ 2 стандарту описує структуру системи управління промисловою кібербезпекою. Підрозділ 2-1 охоплює, серед іншого, створення програми безпеки для систем промислової автоматизації та управління.

При розробці цих напрямків IEC (International Electrotechnical Commission - Міжнародна електротехнічна комісія) знову керувалася стандартом ISO 27001, багато процесів і механізмів якого можуть бути застосовані і до систем управління. Це означає, що промислові комунікаційні мережі та системи автоматизації та управління (IACS) включені в аудит.

Каталог ISA 6.0: Які терміни застосовуються для користувачів?

Перехід на каталог аудиту ISA 6.0 відбудеться 1 квітня 2024 року. Всі, хто замовляє оцінку TISAX^® до 31 березня включно, можуть пройти аудит відповідно до старого каталогу МСА 5.1. Оцінки, замовлені з 1 квітня наступного року, можуть проводитися тільки відповідно до нової версії 6.0 каталогу МСА.

З одного боку, це означає, що з квітня 2024 року оцінка буде складнішою, але з іншого боку, підвищений рівень безпеки буде вартий вашої компанії. Важливо, щоб ви підготувалися до нових вимог на ранній стадії і сумлінно їх виконували, щоб отримати вигоду від підвищеної довіри до нової етикетки TISAX^®.

Усі види аудиторської діяльності, які залежать від існуючих оцінок, таких як оцінка плану коригувальних дій, повторні перевірки, оцінка розширення обсягу аудиту або спрощена групова оцінка, як і раніше, будуть проводитися відповідно до версії МСА, згідно з якою була проведена первинна оцінка.

Каталог ICA 6.0 Поправки 2024: Висновок

Випуск Каталогу ISA 6.0 є значною подією в світі автомобільних стандартів і відповідності, що розвивається. Це оновлення відображає постійне прагнення до досконалості, точності і зростаючу важливість інформаційної безпеки в автомобільній промисловості. З введенням змінених позначок конфіденційності та доступності, а також більш широким охопленням систем операційних технологій (OT), автомобільний сектор продовжує розвиватися в напрямку більш високих стандартів якості та безпеки.

DQS схвалена ENX як постачальник послуг з оцінки і, отже, може проводити оцінку TISAX^® по всьому світу. У нас є аудитори TISAX^®, які також сертифіковані за міжнародним стандартом інформаційної безпеки ISO 27001. Це означає, що обидва стандарти можуть бути оцінені DQS одночасно і з меншими додатковими зусиллями. Ми з нетерпінням чекаємо на спілкування з вами.

Примітка: Доступ до TISAX^® здійснюється через реєстрацію учасника, яка повинна бути проведена онлайн на порталі ENX. Це є необхідною умовою для того, щоб мати можливість доручити проведення оцінювання затвердженому постачальнику послуг з оцінювання, такому як DQS.

TISAX^® 6.0 - довідкова інформація

TISAX^® базується на каталозі VDA ISA, розробленому Німецькою асоціацією автомобільної промисловості (VDA), всеосяжному опитувальнику, який, по суті, базується на так званих "контролях", контрольних показниках з Додатку А стандарту інформаційної безпеки ISO 27001, і адаптований до інших специфічних вимог автомобільної промисловості.

З того часу стандарт інформаційної безпеки був переглянутий і опублікований як новий ISO/IEC 27001:2022 25 жовтня 2022 року. Зокрема, зміни торкнулися Додатку А. Відповідна адаптація до нових засобів контролю також була зроблена у версії 6.0 ISA.

TISAX^® в першу чергу орієнтований на компанії, які хочуть або повинні продемонструвати певний рівень інформаційної безпеки та доступності для співпраці з автовиробником (учасником). Асоціація ENX, що базується у Франкфурті-на-Майні та Парижі, відповідає за впровадження та моніторинг процедури. ENX - це об'єднання європейських автовиробників, постачальників та чотирьох національних автомобільних асоціацій, включаючи німецьку асоціацію VDA, яка є засновником ENX.

Довіра та досвід

Наші тексти та брошури написані виключно нашими експертами зі стандартизації або давніми аудиторами. Якщо у вас виникли запитання до автора щодо змісту тексту або наших послуг, будь ласка, зв'яжіться з нами.