*> DEKRA TISAX. Bezpieczeństwo informacji w przemyśle motoryzacyjnym. Po bezpiecznej stronie.

Transkrypt

1 *> TISAX Bezpieczeństwo informacji w przemyśle motoryzacyjnym (1) Informacje podstawowe (2) Kogo to dotyczy? (3) TISAX to więcej niż techniczna lista kontrolna (4) TISAX w czterech krokach (5) Zakres audytu (6) Na jakim jesteś poziomie? (7) Wynik oceny (8) Opis przypadku Etykieta oceny: Dowód bezpiecznego udostępniania informacji w łańcuchu dostaw w branży motoryzacyjnej. Sektor motoryzacyjny stanowi jeden z najbardziej złożonych łańcuchów dostaw w każdej branży. Producenci i klienci wymagają, aby dane, których dostarczają lub które udostępniają, były dobrze chronione. W całym łańcuchu dostaw należy zagwarantować solidne, odporne na ataki i porównywalne poziomy bezpieczeństwa informacji - i to nie tylko podczas współpracy nad prototypami. Dostarczenie wiarygodnych dowodów staje się kluczowym warunkiem wstępnym pozostania lub stania się częścią łańcucha dostaw. Model TISAX na początku 2017 roku wprowadziły Stowarzyszenia ENX i VDA, aby ułatwić weryfikację bezpieczeństwa informacji między producentami, dostawcami i usługodawcami w branży motoryzacyjnej. TISAX oznacza Trusted Information Security Assessment Exchange, czyli Bezpieczną Wymianę Informacji. Platforma TISAX oszczędza czas i pieniądze. Pozwala uniknąć podwójnego i wielokrotnego sprawdzania bezpieczeństwa informacji korporacyjnych. Audytowana firma sama decyduje z kim będzie dzielić uzyskane wyniki. Rejestracja w TISAX zwiększa świadomość problemów bezpieczeństwa wśród pracowników i pomaga chronić aktywa własne firmy. Zarejestrowane firmy mogą korzystać z platformy aby zapewnić, że ich dostawcy i usługodawcy również spełniają wymagany poziom bezpieczeństwa informacji. Strona 1/ 7

2 (1) Tło Standard testowania i wymiany TISAX oparty jest na liście kontrolnej VDA ISA i standardzie ISO Lista kontrolna do przeprowadzenia samooceny była wykorzystywana wewnętrznie przez firmy członkowskie w ostatnich latach, także do przeprowadzania audytów dostawców i usługodawców. Jednak w praktyce często oznaczało to, że usługodawcy i dostawcy wielokrotnie przetwarzali poufne informacje, czasami w krótkich odstępach czasu. Doprowadziło to do opracowania modelu TISAX do wzajemnego uznawania ocen bezpieczeństwa informacji między różnymi dostawcami w branży motoryzacyjnej. Dzięki temu standard audytu może być stosowany nie tylko w firmach, ale także w różnych branżach. Nie są wymagane żadne dodatkowe listy kontrolne dla danej firmy. (2) Kogo to dotyczy? Wdrożenie TISAX jest korzystne dla producentów, dostawców i usługodawców, którzy przetwarzają poufne informacje w ramach działalności w branży motoryzacyjnej na wszystkich etapach łańcucha dostaw. Dostawcy w branży motoryzacyjnej muszą w regularnych odstępach czasu udowadniać, że spełniają wysokie wymagania w zakresie bezpieczeństwa informacji. W większości przypadków odbywa się to na podstawie katalogu wymagań VDA ISA (ISA - Information Security Assessment/Ocena Bezpieczeństwa Informacji). Obustronnie akceptowany i kontrolowany poziom bezpieczeństwa informacji w branży chroni również wewnętrzne informacje dostawców i zapewnia klientów, że ich wrażliwe informacje są przetwarzane z należytą starannością. Od styczna 2017 roku w TISAX zarejestrowało się 1000 firm w ponad 1500 lokalizacjach w 32 krajach, przeprowadzono ponad 500 audytów. Rysunek 1: Model VISA TISAX. Źródło: opracowanie własne na podstawie VDA (2017, sults.html?q=tisax+modell) Stowarzyszenie ENX prowadzi platformę wymiany TISAX. VDA nadała jej status neutralnego organu. Strona 2/ 7

3 (3) TISAX to więcej niż techniczna lista kontrolna Biorąc pod uwagę, że początkowe rozdziały wszystkich norm ISO mają taką samą strukturę (wysoki poziom), katalog TISAX ISA (z odniesieniami do ISO 27001) zawiera również podstawowe wymagania dotyczące zarządzania jakością określone w ISO 9001:2015. Solidne systemy zarządzania bezpieczeństwem IT oparte są głównie na zasadach zarządzania jakością, w szczególności na wymaganych środkach organizacyjnych w zarządzaniu jakością (QM). Stąd firmy, które biorą udział w TISAX, budują podstawy dla późniejszej certyfikacji ISO (4) TISAX w czterech krokach 1. Określenie zakresu i poziomu oceny oraz rejestracja firmy na platformie TISAX 2. Wybór dostawcy usług audytowych 3. Ocena (na podstawie listy kontrolnej VDA ISA) statusu firmy w zakresie bezpieczeństwa informacji, w tym analiza dokumentów, wywiady, audyty wewnętrzne 4. Wyniki audytu są przekazywane do platformy TISAX. Udostępnianie raportu z oceny i audytu następuje po uzyskaniu zgody kontrolowanej firmy: (5) Zakres audytu Narzędzie do audytu i wymiany informacji jest katalogiem wymogów ISA (Information Security Assessment) opracowanym przez VDA. Eliminuje to szczególne wymagania (w niektórych przypadkach specjalne katalogi wymagań) głównych producentów samochodów. Ocena opiera się na podstawowej kontroli "bezpieczeństwa informacji" i może zostać rozszerzona o opcjonalne moduły "Linki do osób trzecich", "Ochrona danych" i "Ochrona prototypów". Katalog wymagań ISA wykorzystuje obszerną tabelę Excel, zawierającą różne kategorie audytu opisujące proces, jaki muszą przejść firmy, aby określić własny poziom dojrzałości, np. w odniesieniu do "bezpieczeństwa informacji" (audyt podstawowy). Zacznij od oceny bezpieczeństwa informacji VDA zaleca rozpoczęcie samooceny za pomocą arkusza kalkulacyjnego "Bezpieczeństwo informacji". Lista pytań obejmuje 52 zagadnienia bezpieczeństwa (pytania kontrolne), które firmy powinny wykorzystać do uzyskania kompleksowego przeglądu własnego statusu bezpieczeństwa informacji. Każdemu z tematów przydzielany jest poziom wykonania (od 0 do 5) stanowiący część ogólnej oceny. Katalog wymagań wymaga wysokiego stopnia wdrożenia i dojrzałości w firmie, zwłaszcza w odniesieniu do następujących tematów bezpieczeństwa: Uświadomienie i szkolenie pracowników Treść środków podnoszących świadomość powinna obejmować ustalenia z incydentów związanych z bezpieczeństwem informacji. Rejestracja użytkownika Wspólne konta nie powinny być używane lub używane tylko w wyjątkowych przypadkach, Strona 3/ 7

4 ponieważ utrudniają one przypisanie poszczególnych czynności do użytkownika. Zarządzanie zmianą Wysoka jakość procesu zarządzania zmianami prowadzi do niskiego poziomu błędów we wdrażanych zmianach, a tym samym przyczynia się do bezpiecznego działania. Zabezpieczenie przed złośliwym oprogramowaniem Posiadanie najnowszych sygnatur wirusów jest warunkiem wstępnym do skutecznego zabezpieczenia punktów końcowych. Kopie zapasowe Jakość kopii zapasowych danych musi być zapewniona przez ich sprawdzanie. Środki obejmują np. kopie bezpieczeństwa danych, przywracanie systemu. Zarządzanie poprawkami Szybka instalacja poprawek (patches) wzmacnia systemy i aplikacje, a tym samym zmniejsza luki w zabezpieczeniach w oprogramowaniu operacyjnym. Przetwarzanie incydentów związanych z bezpieczeństwem informacji Incydenty związane z bezpieczeństwem informacji muszą być traktowane priorytetowo - i obsługiwane - odpowiednio w oparciu o poziom ich krytyczności. Inne, podstawowe punkty kontrole to: Polityka bezpieczeństwa informacji Bezpieczeństwo informacji w projektach Urządzenia mobilne Strefy bezpieczeństwa Środki ochronne przy dostawach i wysyłkach Rejestrowanie zdarzeń Usługi sieciowe Umowy o poufności (ND) Wymagania dotyczące systemu zamówień publicznych Bezpieczeństwo w procesie tworzenia oprogramowania Pomiary Parametrów Gwarantowanych Strona 4/ 7

5 (6) Na jakim jesteś poziomie? Wdrożenie wymagań VDA ISA jest oceniane przy pomocy różnych poziomów dojrzałości. W zależności od znaczenia punktu kontrolnego, docelowe poziomy dojrzałości różnią się od poziomu 2 do poziomu 4. Jednak przy szczególnie ważnych wymaganiach niezbędne jest osiągnięcie poziomu dojrzałości 3 lub 4. Poziom 0: Niekompletne wdrożenie wymagań. Nie ma takiego procesu lub proces nie osiąga wymaganych wyników. Poziom 1: Wymagania dotyczące ochrony informacji zostały spełnione. Proces istnieje i zostało udowodnione, że działa. Jednak nie jest on w pełni udokumentowany. Dlatego nie można zagwarantować, że zawsze będzie działać. Poziom 2: Proces osiągania celu jest zarządzany. Jest udokumentowany i dostarczana jest dokumentacja. Poziom 3: Proces zmierzający do osiągnięcia celu został ustalony, procesy są ze sobą powiązane, aby zidentyfikować wszelkie zależności. Dokumentacja jest aktualna i jest przechowywana. Wymagania poziomu 3. Ponadto wyniki są mierzone (np. KPI/kluczowe Poziom 4: wskaźniki wydajności), dzięki czemu proces jest przewidywalny. Poziom 5: Wymagania poziomu 4. Ponadto do optymalizacji wykorzystywane są dalsze zasoby (np. personel i pieniądze). Proces podlega ciągłemu doskonaleniu. (7) Wynik oceny Wyniki ocen na podstawie list kontrolnych są podsumowane w formie przeglądu i są wstępnie sformatowane do druku. VDA opracowała w skróconej formie diagramów pajęczych przegląd 52 zagadnień związanych z bezpieczeństwem pojawiających się w podstawowych audytach bezpieczeństwa informacji, które przedstawiają określone poziomy dojrzałości dla odpowiednich 52 zagadnień z dziedziny bezpieczeństwa oraz wszelkich odchyleń od kontrolnych punktów docelowych. Poważne odchylenia krytyczne od docelowego poziomu dojrzałości są wyświetlane na czerwono przy użyciu systemu sygnalizacji świetlnej. "W ogólnym wyniku, wyniki dla punktów kontrolnych, które przekraczają docelowy poziom dojrzałości są pomijane przy obliczaniu średniej. Gwarantuje to, że wymagania są spełniane w różnych dziedzinach i nie występuje kompensacja nadmiernie wysokich i niedostatecznych wyników dla punktów kontrolnych" zgodnie z uwagami VDA odnośnie katalogów wymagań audytowych. Strona 5/ 7

6 (8) Historia przypadku Dostawca prostych, mechanicznych komponentów motoryzacyjnych wypełnił katalog wymagań audytowych VDA ISA na poziomie podstawowego audytu "Bezpieczeństwa informacji". Dostawca określił poziom dojrzałości dla każdego z 52 zagadnień bezpieczeństwa (18 głównych tematów), analizując dokumenty, przeprowadzając wywiady i audyty wewnętrzne. Poniższy schemat przedstawia ogólny osiągnięty wynik i odchylenia od docelowego poziomu dojrzałości. Wynik ogólny: 2,49 Maksymalna możliwa ocena 3,00 Rysunek 2: Ocena bezpieczeństwa informacji. Źródło: własny wykres oparty na VDA (2017, 17 Bezpieczeństwo informacji aspekty zarządzania ciągłością działań biznesowych 16 Zarządzanie zdarzeniami w zakresie bezpieczeństwa informacji 18 Zgodność 1 ISMS 5 Polityka bezpieczeństwa informacji 6 Organizacja bezpieczeństwa informacji 7 Bezpieczeństwo zasobów ludzkich 8 Zarządzanie aktywami 15 Relacje z dostawcami 9 Kontrola dostępu 14 Pozyskiwanie, rozwój i utrzymanie systemu 13 Bezpieczeństwo komunikacji 12 Bezpieczeństwo operacyjne 10 Kryptografia 11 Bezpieczeństwo fizyczne i bezpieczeństwo środowiska o Wynik Poziom docelowy Strona 6/ 7

7 Ocena wykazała, między innymi, niedostateczną dojrzałość (osiągnięty poziom jest pokazany na czerwono) w następujących centralnych punktach audytu (patrz strona 7). Te niskie poziomy zgodności są również odzwierciedlone na diagramie pajęczym dla kategorii ISMS (1), organizacji polityki bezpieczeństwa informacji (6) i kontroli dostępu (9). Twój partner jest uprawniona do audytu firm przetwarzających wrażliwe informacje dla przemysłu motoryzacyjnego w oparciu o standard TISAX. Audyt jest ważny przez trzy lata. Uczestnictwo w TISAX i otrzymanie oceny otwiera nowe możliwości uzyskania kontraktów dla firm. Wsparcie: od planowania TISAX do raportu z audytu Główny punkt kontaktu, szybki czas reakcji Dodatkowa certyfikacja ISO pomoże Ci stać się niezawodnym partnerem dla Twoich klientów. Rejestracja użytkownika 3 1 Organizacje muszą zdefiniować politykę, która będzie odzwierciedlać wagę i znaczenie bezpieczeństwa informacji. Powinna uwzględniać strategię biznesową, przepisy, prawa i wszelkie potencjalne zagrożenia dla bezpieczeństwa informacji. Urządzenie mobilne 3 0 Korzystanie z urządzeń mobilnych - zwłaszcza w niechronionych środowiskach - niesie ze sobą zwiększone ryzyko (np. utraty, kradzieży, zainfekowania złośliwym oprogramowaniem). Należy podjąć techniczne środki ochronne, aby zapewnić ochronę informacji przechowywanych na urządzeniach. Ponadto należy uświadomić pracownikom niebezpieczeństwa związane z korzystaniem z urządzeń mobilnych. Rejestracja użytkownika 4 2 Korzystanie z unikalnych i spersonalizowanych identyfikatorów użytkowników (kont użytkowników) zapewnia łatwą identyfikację działań. Dane logowania (takie jak hasła) powinny być znane tylko autoryzowanemu użytkownikowi. Cykl życia kont użytkowników powinien obejmować zdefiniowane procesy. Należy regularnie sprawdzać potrzebę posiadania kont przez istniejących użytkowników. KONTAKT W PRZYPADKU DALSZYCH PYTAŃ Karsten Fischer Menedżer ds. Kluczowych Klientów w zakresie bezpieczeństwa cybernetycznego Tel karsten.fischer@dekra.com GmbH Handwerkstraße Stuttgart Telefon Fax certification.de@dekra.com Strona 7/ 7