TISAX 5.0: Hodnocení bezpečnosti výměny důvěrných informací

Mnoho dodavatelů a poskytovatelů služeb v automobilovém průmyslu zpracovává vysoce citlivé informace svých klientů. Vzhledem k této skutečnosti automobiloví výrobci dnes vyžadují od svých dodavatelů zajištění bezpečnosti informací prostřednictvím auditu Trusted Information Security Assessment Exchange (TISAX). Z dřívější konkurenční výhody se stává nutná a nezbytná podmínka spolupráce.

Ve většině případů je takový důkaz poskytován pomocí kritérií ISA (Information Security Assessment) vytvořených německým Svazem automobilového průmyslu (VDA). Protože jednotliví výrobci prováděli tyto ISA pro své dodavatele doposud nezávisle, mnoho dodavatelů muselo podstoupit stejné posouzení i několikrát.

Za účelem snížení těchto zbytečných snah a výdajů připravila asociace VDA počátkem roku 2015 nové hodnocení a mechanismus výměny – TISAX (Trusted Information Security Exchange). Specializovaná online platforma TISAX je navržena tak, aby podporovala vzájemné uznávání hodnocení bezpečnosti informací v automobilovém průmyslu. Asociace VDA se rozhodla pro společnost ENX jako provozovatele platformy TISAX a třetí stranu, která pověřuje poskytovatele auditů.

Po registraci mohou společnosti přistupovat k platformě a sdílet informace. Společnosti sdílející své výsledky ISA online na platformě TISAX tak umožňují výrobcům OEM ověřit si, jestli poskytovatel služeb nebo dodavatel již úspěšně dokončil posouzení. Navíc může být platforma TISAX využita k tomu, aby poskytovatelům auditu, jako je TÜV SÜD, umožnila provést posouzení. Po ukončení posudku jsou výsledky kladných hodnocení platné po dobu 3 let. V rámci platnosti tohoto posudku mohou být rozšiřovány jeho výsledky co do úrovně nebo do více lokalit.

Účastníci TISAX využívající platformu mohou:

  • prostřednictvím poskytovatelů auditu provést hodnocení,
  • sdílet výsledky dokončených hodnocení s vybranými účastníky,
  • zobrazit uvolněné výsledky ostatních účastníků.

Výhody na první pohled:

  • žádné opakování procesů hodnocení,
  • velké časové a finanční úspory založené na vzájemném uznávání posudků a informací mezi společnostmi,
  • důvěra v hodnocené společnosti.

Posouzení mohou provádět pouze poskytovatelé auditu, kteří jsou speciálně pověřeni ENX. Seznam poskytovatelů lze nalézt na stránkách www.enx.com.

 

Kroky využívání systému TISAX

Každá společnost musí projít následujícími kroky v systému TISAX:

  • Klasifikace a sebehodnocení – Společnosti spolu se zákazníky OEM určí cíle pro posouzení TISAX v závislosti na citlivosti využívaných informací a provedou sebehodnocení. V situaci, kdy společnosti neplní požadavky, musejí upravit své procesy, aby naplnily požadavky definované v dotazníku VDA ISA.

  • Registrace – Společnosti se registrují na stránkách www.enx.com s určenými cíli posuzování, lokalitami a získají rozsah pro posuzování – Scope Excerpt. Společnosti vybírají vhodného poskytovatele auditu.

  • Provedení posudku – Vybraný poskytovatel auditu posoudí v rozsahu cílů a v určené úrovni AL3 – AL2.

  • Sdílení informací – Po kladném posouzení bez otevřených neshod je společnosti přiznána známka TISAX pro období 3 let. Sdílení těchto výsledků je možné pouze u registrovaných účastníků a teprve poté, kdy hodnocená společnost své výsledky výslovně zveřejní.

 

Požadavky systému TISAX

Společnosti mohou žádat o posouzení v rozšířeném, standardním a zúženém rozsahu požadavků, ale zúžený rozsah nedovoluje získat známku TISAX. Všechny požadavky jsou specifikovány v dotazníku VDA ISA. Návod, jak provést sebehodnocení, ověřit splnění požadavků, je specifikován v příručce TISAX, která je jako všechny další dokumenty volně dostupná na stránkách www.enx.com.

 

Cíle posuzování (Assessment Objectives)

Systém je postaven na skupinách cílů posuzování, na kterých si musí společnost shodnout se svými zákazníky z oblasti Automotive. Cíle posuzování lze rozdělit do 3 skupin – Bezpečnost informací (Information security), Ochrana prototypů (Prototype Protection), Ochrana osobních údajů (Data Protection). Úplný seznam cílů posuzování je následující:

  • Information with high protection needs – požadavky pro informace s vysokými potřebami pro ochranu
  • Information with very high protection needs – požadavky pro informace s velmi vysokými potřebami pro ochranu
  • Protection of prototype parts and components – požadavky pro ochranu prototypových dílů a komponentů
  • Protection of prototype vehicles – požadavky pro ochranu prototypových vozidel
  • Handling of test vehicles – požadavky pro ochranu při manipulaci s prototypovými vozidly
  • Protection of prototypes during events and film or photo shootings – požadavky pro ochranu při filmování nebo fotografování prototypů
  • Data protection – požadavky při zpracování osobních údajů
  • Data protection with special categories of personal data – požadavky při zpracování zvláštních osobních údajů

 

Úrovně hodnocení (Assessment levels) AL1 – AL3 určené na základě cílů posuzování

Úroveň AL1 – Tato úroveň vyjadřuje první krok sebehodnocení a je využívána pro speciální situace posuzování více lokalit.

Úroveň AL2 – Tato úroveň znamená posouzení vzdáleným způsobem, kdy auditoři obdrží sebehodnocení, dokumentaci pro provádění činností a důkazy o prováděných činnostech.

Úroveň AL3 – V této úrovni je prováděn audit na místě. Součástí auditu je také sebehodnocení, ale všechny dokumenty a důkazy se předkládají na místě.

 

Stupně vyzrálosti procesů (Maturity level) ML

Do sebehodnocení a potvrzení známky TISAX vstupuje ještě jedno kritérium, a to je úroveň vyzrálosti procesů, které je definováno pro každou otázku dotazníku. Stupnice hodnocení, převzatá z normy ISO/IEC 15504, vyjadřuje úroveň procesu od nezavedeného, neexistujícího procesu (úroveň 0) až po proces, který je zdokonalován (úroveň 5).

 

Změny ve vydání dotazníku VDA ISA 5.0

Dotazník VDA ISA obsahuje povinné požadavky (doporučení, návody a hodnocení vyzrálosti procesů). Uspořádán je podle jednotlivých skupin cílů – Ochrana informací, Ochrana prototypů a Ochrana osobních údajů. Poslední změny v dotazníku VDA ISA byly provedeny v říjnu 2020. VDA ISA katalog je nyní ve verzi 5.0.

Změny lze shrnout do následujících oblastí:

Formální úpravy katalogu pro snazší práci – zvětšený prostor pro sebehodnocení a pro auditora, možnost konvertovat informace do Wordu pro příklady nebo sledování opatření, vedle nové struktury kapitol byla ponechána i ta původní, nastavení filtrů pro lepší čitelnost.

Struktura kapitol – v katalogu byly požadavky přečíslovány podle organizační struktury typických společností.

Cíl posuzování „Připojení k třetím stranám“ byl začleněn do základního listu „Bezpečnost informací“.

Jednotlivá opatření v dotazníku VDA ISA byla doplněna o příklady implementací, byly odstraněny redundance. U nově očíslovaných opatření čtenář stále může rozlišit číslování původního opatření z verze 4, nebo zda je opatření nové.

V dotazníku zůstaly příklady KPI, které může společnost využít pro získání vyššího hodnocení úrovně vyzrálosti opatření. Cílová hodnota pro každé opatření a celková hodnota je sjednocena na stupni 3 oproti předchozímu vydání, kdy cílové hodnoty vyzrálosti pro každé opatření byly stanoveny specificky.

V některých případech byly upřesněny nebo přesunuty požadavky mezi sloupci povinných požadavků „must“, should“, „Information with high protection needs“, „Information with very high protection needs“. Sloupec „may“ byl zrušen, sloupce příkladů byly rozšířeny. Například původní otázky zaměřené na poskytovatele cloudových řešení byly upraveny obecně na externí poskytovatele IT služeb.

 

Zkušenosti z auditů

Vlastní průběh posuzování u nové verze VDA ISA dotazníku se neliší, pouze změny v kritériích musejí auditoři zohlednit.

Úroveň posuzování AL2 je pro společnosti náročnější z důvodu přípravy důkazů o naplněných opatřeních k získání potřebné úrovně.

Společnosti s již zavedenými systémy managementu jsou na začátku sebehodnocení ve výhodě – řadu požadavků snáze splní a mohou dosáhnout vyšší úrovně vyzrálosti procesů.

Společnosti se zavedeným systémem řízení bezpečnosti informací mají výhodu při naplnění požadavků, ale často musejí reagovat na specifické požadavky oblasti Automotive, včetně managementu rizik.

Pandemie a uzavření hranic nebo omezení vstupů na pracoviště omezily provádění posudků v úrovni AL3. Asociace ENX nastavila možnost rozdělit posouzení AL3 na část AL2 a provést ji na dálku a po zrušení omezení dokončit posudek na místě v úrovni AL3.

 

Výhled do budoucnosti

Asociace ENX vzhledem k neustálému vývoji a změnám v oblasti bezpečnosti informací, v normách ISO/IEC řady 27000, ale také s cílem optimálně nastavit způsob hodnocení, požadavky pro bezpečnost informací pro typické dodavatele automobilního průmyslu a požadavky konečných zákazníků OEM předpokládá aktualizaci dotazníku VDA ISA.

Tříleté období platnosti auditu znamená mnohem větší důraz na udržování všech procesů na nastavené úrovni. Tento faktor musejí společnosti stále mít na paměti i s ohledem na úpravy požadavků TISAX.

 

Dostupné zdroje:

www.enx.com – VDA ISA katalog v.5.0.4, příručka TISAX, verze 2.3

www.vda.de – Publikace k oblasti bezpečnosti informací

Zjistěte více o službě TISAX

Kam dále

SELECT YOUR LOCATION