Problematyką bezpieczeństwa informacji w przemyśle motoryzacyjnym zajmuje się niemieckie stowarzyszenie Verband der Automobilindustrie (VDA). Jego wiodącym celem jest standaryzacja, prowadzenie badań i rozwój branży. Jest ono również gospodarzem International Motor Show Germany we Frankfurcie. Zrzesza producentów samochodów oraz wszystkich uczestników łańcucha dostaw. Członkami VDA są takie marki jak BMW, Volkswagen, Mercedes-Benz, Daimler oraz ponad 600 innych firm z branży motoryzacyjnej na całym świecie.
Wychodząc naprzeciw potrzebom rynkowym dotyczącym zapewnienia najwyższego poziomu ochrony i bezpieczeństwa informacji, VDA opracowało szczegółową listę kontrolną bezpieczeństwa informacji – Information Security Assessment (VDA ISA). Ankieta ta stanowi kompleksową podstawę do przeprowadzenia wewnętrznego i zewnętrznego audytu organizacji.
Geneza jej powstania związana jest z uniwersalnym podejściem do procesowego modelu ochrony informacji, jakie prezentuje norma ISO/IEC 27001. VDA ISA rozszerza jej zakres o zagadnienia specyficzne dla branży motoryzacyjnej. W ciągu dziesięciu lat od momentu uruchomienia przez VDA pierwszej grupy roboczej z zakresu bezpieczeństwa informacji, VDA ISA stało się nowym narzędziem oceny poziomu dojrzałości systemów zarządzania bezpieczeństwem informacji (SZBI).
W maju 2016 roku powołano Trusted Information Security Assessment Exchange (TISAX), który odnotowuje istotny wzrost liczby uczestników, szczególnie wśród firm o rodowodzie niemieckim. Członkostwo w TISAX adresowane jest do producentów samochodów, dostawców części samochodowych, surowców i innych podmiotów z łańcucha dostaw, usługodawców, w tym szczególnie z zakresu IT. Potrzebę przynależności do TISAX zauważyli również inni dostawcy usług dla klientów, w tym duże sieci sprzedaży, leasingu, serwisu gwarancyjnego i pogwarancyjnego.
Członkami są także instytuty badawcze oraz wiele innych podmiotów związanych z branżą motoryzacyjną.
Firmy wskazują kilka podstawowych korzyści z przystąpienia do TISAX. Najważniejsze z nich to:
- możliwość udowodnienia partnerowi biznesowemu określonego poziomu bezpieczeństwa informacji zgodnie z wymaganiami VDA ISA;
- możliwość weryfikacji oceny poziomu bezpieczeństwa kontrahenta;
- wiarygodność i obiektywizm standardu.
Wdrożenie systemu zarządzania bezpieczeństwem informacji
Przed przystąpieniem do TISAX każda organizacja musi wykonać wdrożenie (lub dostosowanie, np. rozszerzenie wdrożonego ISO/IEC 27001) własnego SZBI, wykorzystując publikowaną przez VDA dokumentację. Jednolite i spójne wymagania gwarantują funkcjonowanie i doskonalenie systemu we wszystkich podmiotach, które zdecydowały się na wdrożenie. Podobnie jak ma to miejsce przy wdrożeniach ISO/IEC 27001, przygotowanie do certyfikacji warto konsultować z ekspertami SNP (aktualnie All for One Poland), którzy pomogą zaprojektować lub rozszerzyć funkcjonujący już SZBI. Co ważne z perspektywy organizacji – dobrze zrealizowane wdrożenie gwarantuje zarówno zgodność z listą kontrolną ISA, jak również uwzględnia realia prowadzonego biznesu. Oznacza to, że nie da się dobrze wdrożyć systemu poprzez zastosowanie gotowych dokumentów lub bez przeszkolenia pracowników. Prawidłowo funkcjonujący SZBI wpływa na wysokość oceny końcowej przedsiębiorstwa.
Już po zakończonym wdrożeniu, w procesie ciągłego doskonalenia, konieczne jest monitorowanie jego funkcjonowania poprzez cykliczne audyty, weryfikację bezpieczeństwa IT, testy penetracyjne i socjotechniczne, zarządzanie hasłami oraz inne działania pozwalające zminimalizować ryzyko wystąpienia incydentu.
Wdrożony i zakorzeniony w organizacji system zarządzania bezpieczeństwem informacji podlega następnie akredytowanemu audytowi zewnętrznemu, po zakończeniu którego przedsiębiorstwo uzyskuje możliwość prezentacji własnego osiągnięcia swoim partnerom biznesowym.
Członkostwo w TISAX
Całość procesu składa się z trzech etapów:
- rejestracji;
- oceny;
- wymiany.
Czas trwania poszczególnych etapów jest uzależniony od wielu czynników (np. wielkości całej organizacji, poziomu dojrzałości jej SZBI). Warto zatem mieć pewność, że przed formalnym rozpoczęciem akcesu członkowskiego organizacja została dostosowana do wymagań VDA ISA, aby bezproblemowo przejść przez wszystkie etapy, zwłaszcza audyt certyfikacyjny.
Rejestracja
Rejestracja odbywa się całkowicie online, za pośrednictwem formularza internetowego umieszczonego na stronie www.enx.com. W wyniku zaakceptowania ogólnych warunków uczestnictwa w TISAX („TISAX Participation General Terms and Conditions”) następuje zawarcie umowy. Głównym celem rejestracji jest zebranie informacji o firmie. Dla potrzeb instytucji audytującej zdefiniowany musi zostać zakres oceny. Obejmuje on wszystkie procesy i zaangażowane zasoby, np.: pracowników, systemy IT, usługi w chmurze, centra danych, sprzęt roboczy. W ramach tego ocenie podlegają wszelkie procesy, które obejmują zbieranie, przechowywanie, przetwarzanie informacji. Rejestrując organizację, należy wskazać fizyczną lokalizację należącą do zakresu oceny.
Ocena
Kolejnym krokiem jest wybór celu oceny spośród wskazanych przez TISAX. Cel oceny określa obowiązujące wymagania, które musi spełniać funkcjonujący SZBI – obecnie określonych jest 6 celów oceny (np. jeżeli firma zajmuje się prototypami swojego partnera o bardzo wysokim poziomie ochrony, to jej celem będzie cel nr 6 z tabeli – „Obsługa prototypów o bardzo wysokim poziomie ochrony”). Cele dotyczące bezpieczeństwa informacji są zawsze obowiązkowe, natomiast potrzeby biznesowe lub dodatkowe cele mogą wpływać na konieczną wysokość poziomu oceny.
W ramach tego etapu obowiązkowe jest także podanie danych kontaktowych osoby będącej pełnomocnikiem ds. bezpieczeństwa w zakresie współpracy z TISAX.
Ocena dokonywana jest w oparciu o listę kontrolną VDA ISA, a proces ten przebiega w dwóch fazach. Faza pierwsza polega na dokonaniu samooceny przez przedsiębiorstwo. Wynik samooceny podlega interpretacji, której celem jest uzyskanie odpowiedzi na pytanie, w jakim stopniu funkcjonujący w organizacji SZBI jest dojrzały i skuteczny, a w jakim stopniu wymaga wprowadzenia działań korygujących. Jeżeli w wyniku dokonanej samooceny organizacja uzna, że jest gotowa do właściwej oceny, następuje faza druga, czyli ocena przez akredytowanego audytora TISAX.
Podczas przeprowadzanego audytu sprawdzany jest poziom zgodności stanu faktycznego z wymaganiami określonymi w ankiecie VDA ISA. Wynikiem audytu jest stwierdzenie zgodności lub niezgodności (małej lub poważnej) z określonymi wymaganiami.
W przypadku pozytywnej oceny podmiot audytowany otrzymuje etykietę TISAX, w przypadku małej niezgodności – etykietę warunkową, a przy dużej niezgodności nie otrzymuje etykiety. Proces oceny dokonywany przez audytora dokumentowany jest w raporcie, którego wstępną wersję podmiot zlecający audyt otrzymuje do wglądu i wniesienia ewentualnych uwag. W sytuacji, gdy w wyniku audytu stwierdzona zostanie niezgodność, konieczne jest wdrożenie działań korygujących oraz naprawczych i zrealizowanie oceny uzupełniającej. Doprecyzować tu należy, że w ramach oceny rozróżniana jest tzw. niewielka niezgodność oraz poważna niezgodność. Ta pierwsza ma miejsce wtedy, gdy audytor nie kwestionuje ogólnej skuteczności SZBI, a niezgodność ta nie stwarza istotnego ryzyka bezpieczeństwa informacji. W tym przypadku można otrzymać tymczasowe etykiety TISAX do czasu rozwiązania wszystkich niezgodności. Przy stwierdzeniu poważnej niezgodności wzbudzającej wątpliwości co do ogólnej skuteczności SZBI lub powodującej znaczne ryzyko dla bezpieczeństwa informacji, konieczne jest najpierw rozwiązanie problemu. Audyt wdrożonego systemu w oparciu o kryteria ankiety VDA ISA zakończony jest oceną punktową.
Wynik tego sprawdzenia dostępny jest na platformie TISAX w postaci oceny zgodności (etykiety). Członkowie TISAX wzajemnie uznają oceny zrealizowane w oparciu o ankietę, pozwalając każdemu podmiotowi, będącemu uczestnikiem TISAX, w ramach potrzeby udowodnić dojrzałość swojego SZBI.
Kompleksowe usługi bezpieczeństwa od SNP (aktualnie All for One Poland)
Na efekt „bezpieczeństwa informacji” w każdej organizacji składa się szereg powiązanych ze sobą elementów organizacyjnych i technicznych, a kluczem do sukcesu jest w równej mierze skuteczne wdrożenie SZBI, jak i jego ciągłe doskonalenie. Odpowiedzialny za system oficer bezpieczeństwa (np. w randze pełnomocnika Zarządu) ma za zadanie m.in.: stosowanie w organizacji regulacji zawartych w dokumentacji SZBI; realizację audytów; organizację szkoleń; koordynowanie prac Forum Zarządzania Bezpieczeństwem Informacji i doskonalenie systemu.
Z oficerami bezpieczeństwa współpracujemy nie tylko w trakcie trwania projektu wdrożeniowego, ale również w późniejszym procesie utrzymania. Wspieramy ich w tych zadaniach, które z różnych powodów nie mogą być zrealizowane wewnętrznymi zasobami organizacji, a które tworzą cały ekosystem bezpieczeństwa informacji, np.:
- merytoryczne wsparcie w inwentaryzacji aktywów i zarządzaniu ryzykiem,
- współpraca w opracowaniu dokumentacji systemowej,
- bezpieczeństwo danych osobowych,
- szkolenia dla pracowników,
- testy penetracyjne i audyty IT,
- bezpieczeństwo przetwarzania w chmurach (AWS, Azure),
- hardening konfiguracji systemów,
- wdrożenia rozwiązań z zakresu bezpieczeństwa sieci,
- monitoring dostępności, wydajności i incydentów,
- zarządzanie hasłami i dostępami,
- architektury wysokiej dostępności.
Rafał Grześkowiak, Lider Zespołu Projektów IT, All for One Poland
Wymiana
Po wydaniu końcowego raportu następuje przesłanie go przez audytora do platformy wymiany, co otwiera ostatni już, trzeci etap przystępowania do TISAX. Wynik oceny będzie możliwy do udostępniania uczestnikom TISAX tylko w przypadku stwierdzenia przez audytora pełnej zgodności. W systemie można publikować ogólne fragmenty ocen do wglądu dla wszystkich członków TISAX, a także udostępniać pełne lub wybrane części ocen konkretnym odbiorcom.
Etykiety TISAX utrzymują swoją ważność przez trzy lata. Termin ważności biegnie od daty wstępnej oceny, jeszcze przed otrzymaniem raportu od audytora. Okres ważności może się skrócić w sytuacji, gdy nastąpią istotne zmiany dotyczące zakresu oceny (np. zmiana lokalizacji lub profilu działalności). Odnowienie etykiet wymaga ponownego przejścia wszystkich trzech etapów procesu.
Uproszczony zostaje jedynie pierwszy etap rejestracji, gdzie nie ma już konieczności przedstawiania organizacji, jednak ponownie wymagane jest określenie zakresu oceny. TISAX rekomenduje, aby czynności związane z ponownym uzyskaniem etykiety rozpocząć w terminie co najmniej roku przed upływem ważności aktualnej oceny.
Korzyści
Pomimo, że przedstawiony proces przystępowania do TISAX może wydawać się skomplikowany, niewątpliwie jego przejście i przystąpienie do TISAX niesie dla firmy wiele korzyści. Dostosowanie przedsiębiorstwa do standardu określonego przez VDA ISA (a tym samym w dużej mierze do ISO/IEC 27001) owocuje aktywnym zarządzaniem ryzykiem w organizacji i redukuje potencjał strat. Członkowie TISAX wzajemnie honorują otrzymane oceny i działają w ramach standardu ustalającego równy poziomu ochrony danych, co niweluje konieczność wzajemnego audytowania się. W sytuacji żądania przedstawienia swojej oceny przez kontrahenta, wcześniejsza przynależność do TISAX przyspiesza nawiązanie współpracy. Uczestnictwo w TISAX stanowi niepodważalną przewagę nad niecertyfikowaną konkurencją. Ocena TISAX dowodzi dojrzałości organizacji i skuteczności wdrożonego SZBI.
Różnice TISAX vs ISO 27001
Stowarzyszenie VDA powołało własny zespół ds. bezpieczeństwa informacji już ponad dekadę temu. Postawiono przed nim zadanie opracowania standardu przemysłowego, uwzględniającego specyfikę branży motoryzacyjnej. Kierując się pragmatyzmem, oparto się o istniejące, sprawdzone rynkowo doświadczenia w zakresie bezpieczeństwa informacji. Postanowiono budować na wcześniejszych kompetencjach i dobrych praktykach, unikając w ten sposób ryzyka, jakim bywają obarczone nowe, niedojrzałe projekty.
Na fundament nowego autorskiego standardu wybrano normę ISO/IEC 27001 (System Zarządzania Bezpieczeństwem Informacji), którą rozszerzono o zagadnienia szczególnie ważne dla branży motoryzacyjnej, tj. kwestie ochrony prototypów, zarządzania kontaktami z podmiotami zewnętrznymi oraz problem jednolitej polityki klasyfikacji informacji. W ten sposób, zachowując trzon wynikający bezpośrednio z ISO/IEC 27001 i 27002, opracowano listę kontrolną VDA ISA (Information Security Assessment).
Budowanie systemu zarządzania bezpieczeństwem informacji, zarówno w oparciu o normy ISO, jak i zalecenia VDA ISA, często wymaga wprowadzenia w organizacji szeregu zmian, zorientowanych na ochronę aktywów ocenionych jako wrażliwe. Jednakże, z uwagi na wspólne korzenie, implementacja SZBI na podstawie kryteriów z dowolnego z tych dwóch słowników prowadzi do powstania wysoce zbieżnych rozwiązań.
Tym samym, organizacja posiadająca certyfikat ISO/IEC 27001, niewielkim dodatkowym dostosowaniem, jest w stanie osiągnąć wysokie oceny w ramach celów zdefiniowanych przez VDA ISA. Komplementarnie, organizacja posiadająca wysoką ocenę VDA ISA (poziom 4-5), minimalnym nakładem pracy jest w stanie osiągnąć gotowość do certyfikacji ISO/IEC 27001.
Ankieta VDA ISA w zakresie ochrony informacji i relacji z dostawcami pozostaje w bezpośrednim powiązaniu z załącznikiem A1 do ISO/IEC 27001 i jedynie zalecenia odnośnie do ochrony prototypów oraz wspólnej klasyfikacji informacji w niewielkim stopniu wykraczają ponad oczekiwania ISO.
Bartosz Frankowski, Konsultant IT w Zespole Projektów IT, All for One Poland
TISAX® jest zarejestrowanym znakiem towarowym ENX Association. All for One Polska sp. z o.o. nie jest w relacji biznesowej z ENX. Wskazanie znaku towarowego TISAX® nie oznacza żadnego oświadczenia właściciela znaku towarowego, dotyczącego przydatności opisywanych tutaj usług.