Bezpieczeństwo informacji w branży motoryzacyjnej – standard TISAX®

Bezpieczeństwo informacji w branży motoryzacyjnej – standard TISAX®

Dynamiczny rozwój technologii informatycznych i komunikacyjnych wpływa na wysokie tempo obiegu elektronicznej informacji. Współczesne rozwiązania technologiczne dostarczają użytkownikom na całym świecie wielu narzędzi, aby gromadzić informacje, przechowywać je i przetwarzać. Postęp ten wpłynął również na nowe rodzaje zagrożeń, z jakimi organizacje muszą się mierzyć. Ten najbardziej poszukiwany i najcenniejszy zasób wymaga zapewniania skutecznego poziomu bezpieczeństwa w całym cyklu jego życia.

Sektor motoryzacyjny, jak każdy inny, narażony jest na utratę informacji. Liczba incydentów i przestępstw w cyberprzestrzeni ciągle rośnie.

Kwestia bezpieczeństwa informacji była i wciąż jest istotnym elementem procesów zarządzania firmą w ujęciu całościowym. Organizacje wspierając swoje działania wdrażają systemy zarządzania bezpieczeństwem informacji w oparciu o globalne normy i standardy. Dokumenty te mają zasadniczo charakter uniwersalny, co pozwala na ich powszechne i wielokrotne zastosowanie w firmach z wielu gałęzi gospodarki. Nie są one jednak dostosowane do specyficznych potrzeb firm z sektora motoryzacyjnego.

Odpowiedzią na potrzeby zarządzania bezpieczeństwem informacji w branży motoryzacyjnej jest standard TISAX® wraz z narzędziem Oceny Bezpieczeństwa Informacji VDA ISA.

W odpowiedzi na konieczność dostosowania istniejących standardów zarządzania bezpieczeństwem informacji w branży, Komitet Bezpieczeństwa Informacji Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego VDA zdefiniował kwestionariusz obejmujący powszechnie akceptowalne wymagania. Dokument ten ma formę kwestionariusza w arkuszu kalkulacyjnym o nazwie VDA Information Security Assessment (VDA ISA) i jest narzędziem oceny standardu TISAX®. Kwestionariusz powstał w oparciu o międzynarodową normę ISO/IEC 27001 oraz ISO/IEC 27017. Wymagania zawierają również odniesienia do kontroli Załącznika A norm ISO/IEC 27001:2022 oraz m. in. NIST Cyber Security Framework w wersji 1.1. Zadaniem VDA ISA jest wsparcie uczestników rynku motoryzacyjnego w udowadnianiu skutecznego zarządzania bezpieczeństwem informacji.

U podstaw utworzonego początkiem 2017 roku standardu TISAX® leży wymiana wyników ocen VDA ISA z innymi uczestnikami w ramach platformy stworzonej do tego celu – Portalu ENX. Wymiana została zawarta też w samej nazwie standardu: Trusted Information Security Assessment Exchange. Należy zauważyć, że wymagania objęte oceną w ramach TISAX® to, oprócz wymagań kwestionariusza VDA ISA, również wymagania klientów ocenianej organizacji oraz wymagania własne organizacji.

Obowiązkowe wymagania i ich liczba są powiązane w wybranymi celami oceny bezpieczeństwa informacji w ramach TISAX®.

Kwestionariusz VDA ISA zawiera 11 zakładek, wśród których są trzy kluczowe dla oceny katalogi kryteriów: Bezpieczeństwo Informacji, Ochrona Prototypów oraz Ochrona Danych. Nie wszystkie wymagania z katalogów muszą być spełnione przez organizację przy każdej ocenie. Lista wymagań jest uzależniona od zakresu, celu i poziomu oceny w ramach TISAX® wybranego przez organizację.

Standard TISAX® i norma ISO/IEC 27001 – wspólny fundament z pewnymi różnicami.

Ukończony z wynikiem pozytywnym audyt certyfikacyjny zgodności w wymaganiami standardu TISAX® ważny jest przez okres 3 lat. W przeciwieństwie do norm ISO, oceniana organizacja nie otrzymuje „certyfikatu”, a oznaczenie (label) w Portalu ENX widoczne dla zarejestrowanych i uprawnionych podmiotów, zwanych też uczestnikami TISAX®. Nie ma corocznych audytów nadzoru w trzyletnim cyklu certyfikacji. Dodatkowo, w ramach standardu TISAX®, dokonuje się oceny dojrzałości procesów w 6-stopniowej skali ilościowej. Im wyższy poziom dojrzałości, tym bardziej są zaawansowane procesy w ramach zarządzania bezpieczeństwem informacji. Organizacja w trakcie oceny musi przedstawić odpowiedni dowód obiektywny potwierdzający spełnienie wymagań dla danego poziomu.

Efektywne wdrożenie, pomyślny wynik oceny i wymiana to dopiero pierwszy krok w kierunku „skuteczne bezpieczeństwo informacji”.

Pokazanie partnerom biznesowym, że skuteczne zabezpieczanie informacji jest ważnym celem strategicznym organizacji będzie szansą na stworzenie zupełnie nowych relacji biznesowych lub wzmocnienie istniejących. Podniesienie wiarygodności jako zaufanego partnera biznesowego pomoże też wzmocnić trwały i pozytywny wizerunek firmy na rynku motoryzacyjnym. Pozwoli również otworzyć się firmie na nowe rynki i projekty.

Prace nad wdrożeniem i utrzymaniem standardu TISAX® wymagają nakładu, który opłaci się każdemu graczowi w branży automotive.

Literatura:

1. Calder A., Watkins S., An international guide to data security and ISO27001/ISO27002, Kogan Page Limited, London 2020.
2. The European Union Agency for Cybersecurity, Threat Landscape 2023, październik 2023 r.
3. VDA, Annual Report 2022, Listopad 2022 r.
4. VDA, Information Security Assessment, Version 6.0.1.
5. VDA, White Paper Harmonization of Classification Levels, Wersja 1.0, kwiecień 2018 r.
6. VDA, TISAX Participant Handbook, wersja 2.7, grudzień 2023 r.

Źródła internetowe:

1. https://portal.enx.com/en-us/TISAX/faqs/ [2024.01.04, 1:00 PM]