Nowe wydanie TISAX 6.0

Aktualizacja standardu ISO27001 oraz ISO27002 na których bazuje katalog VDA ISA generuje potrzebę aktualizacji wymagań.

Autorem katalogu wymagań będących podstawą oceny TISAX jest niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego VDA (Verband der Automobilindustrie), które powołało grupę roboczą odpowiedzialną za bezpieczeństwo informacji. Ta grupa pracuje obecnie nad TISAX 6.0.

Zakres zmian

Grupa robocza odpowiedzialna za opracowanie i aktualizację katalogu oceny VDA ISA dostrzegając wzrost liczby ataków ransomware dodała nowe etykiety dotyczące ochrony informacji.

Obecna wersja TISAX 5.1 skupia się przede wszystkim na ochronie przed szpiegostwem przemysłowym. Jak wiemy atak ransomware może zakończyć się zaszyfrowaniem treści cyfrowych, uszkodzeniem baz danych, konfiguracji systemów, publikacją poufnych danych. Incydent może mieć znaczny wpływ na zdolność produkcyjną Organizacji.

Producenci samochodów nie mogą dopuścić do nieplanowanych przestojów w dostawach komponentów, części, oprogramowania niezbędnego do produkcji pojazdu. Stąd w nowej wersji #TISAX 6.0 pojawia się atrybut ochrony powiązany z dostępnością informacji i środków do jej przetwarzania.

Nowe etykiety TISAX 

Etykiety dotyczące ochrony informacji w TISAX 5.1: 

– Information high protection needs

– Information very high protection needs

Nowe etykiety dotyczące ochrony informacji w TISAX 6.0: 

– High Availability

– Very High Availability

W tabeli poniżej umieściłem nowe cele oceny bezpieczeństwa informacji z uwzględnieniem atrybutu „dostępność”.

Widać, że pojawienie się nowych etykiet nie zaburza dotychczasowej zasady dotyczącej wyboru poziomy oceny (AL 2 lub AL 3).

Na grafice poniżej zaprezentowałem mapowanie obecnych etykiet TISAX 5.1 na nowe etykiety, które pojawią się w TISAX 6.0.

Cel oceny „Przetwarzanie informacji o wysokim poziomie ochrony” (Etykieta „Info High”) zostanie podzielony na „Poufne” i „Wysoka dostępność”. W związku z tym kolejny cel oceny „Przetwarzanie informacji o bardzo wysokich wymaganiach w zakresie ochrony” (Etykieta Info Very High) zostanie podzielony na „Ściśle poufne” i „Bardzo wysoka dostępność”.

Transfer TISAX 5.x do TISAX 6.0 

Organizacje, które poddały się ocenie i są zarejestrowane na Portalu ENX w związku z planowaną aktualizacją nie muszą podejmować na portalu żadnych działań. Jeżeli posiadają dziś etykietę „Info High”, otrzymają nową ocenę „High Availability” przypisaną do wyniku oceny.

Stanie się to automatycznie – deklaracja Grupy Roboczej VDA ISA.

Po opublikowaniu nowej wersji TISAX 6.0 jednostki certyfikujące uprawnione do oceny muszą dostosować swoje procedury, przeszkolić assessorów.

Grupa robocza deklaruje opublikowanie nowego katalogu oceny TISAX 6.0 w przedziale czasowym Q3 2023 – Q1 2024.

Śledzimy zmiany, jesteśmy w kontakcie z grupą roboczą ISA i będziemy Was informować na bieżąco.

Wdrożenie TISAX 

BLUE energy Sp. z o.o. realizując wdrożenia #TISAX informuje Klientów o zmianach, wersjach katalogu VDA ISA, przygotowując dokumentacje adekwatnie do dostępnej wersji.

Znając procedury jednostek certyfikujących (posiadamy w składzie assessora TISAX z kompetencjami) wiemy, że obowiązuje ta wersja katalogu VDA ISA wykorzystywanego w ocenie, z którą assessor rozpocznie w organizacji Kickoff meeting. Nie ma zatem ryzyka, że w trakcie oceny pojawi się wersja 6.0 i będzie trzeba przerwać ocenę, dostosować dokumentację i zabezpieczenia, ponownie przeprowadzić badanie.

Podsumowanie

Zgadzamy się w pełni z potrzebą uzupełnienia katalogu VDA ISA o zabezpieczenia powiązane z ciągłością dostępu do informacji, urządzeń i środków komunikacji (wymiany informacji).

Nasze własne doświadczenia z Klientami z branży automotive, którzy doświadczyli ataków ransomware dowodzą, że jednym z niepożądanych skutków jest utrata ciągłości procesów wspieranych systemami informatycznymi. Skala skutku jest uzależniona od stopnia automatyzacji i integracji parku maszynowego z systemami informacyjnymi (Industry 4.0). Nie można zatem bazować jedynie na ochronie informacji w zakresie poufności, ale należy również zadbać o dostępność.

#IATF16949 wymaganie 6.1.2.3 Plany Awaryjne

Dla tych z Państwa, którzy w sposób świadomy rozpoznali i opisali swoje procesy, kluczowych dostawców, zbadali zależność od mediów (prąd, woda, powietrze …) i ocenili wpływ zakłóceń, niedostępności, ataków cyberprzestępców, wyżej opisana zmiana nie będzie rewolucyjna. W takim przypadku należy wykonać przegląd obecnych planów awaryjnych i stworzyć odpowiednie połączenia w dokumentacji TISAX oraz IATF.

Jeżeli dotychczasowe scenariusze nie uwzględniały informacji w postaci cyfrowej, systemów IT oraz OT, rekomenduje przeprowadzenie analizy BIA (ang. Business Impact Analysis) celem oceny wpływu w/w zasobów na ciągłość procesów i zdolność organizacji do realizacji zamówień i spełnienia wymagań interesariuszy.

Nasze usługi w zakresie TISAX®

1. Szkolenie z Nie(bezpieczeństwa)
2. Szkolenie TISAX (VDA ISA)
3. Audyty zerowe, wewnętrzne
4. Pre-ocena assessora TISAX, wsparcie podczas oceny jednostki
5. Wdrożenie TISAX w organizacji
6. Usługa – Oficer TISAX (outsourcing)
7. Testy penetracyjne
8. Sprzedaż, wdrożenia rozwiązań, technologii dotyczących cyberbezpieczeństwa

Uwaga: TISAX® jest zarejestrowanym znakiem towarowym ENX Association