Współpraca pomiędzy podmiotami w branży motoryzacyjnej od zawsze odbywała się na wysokim poziomie uregulowań w zakresie dopuszczenia do współpracy, wprowadzania i zatwierdzania produktów, poziomów jakości oraz wymaganych certyfikatów. Do katalogu wymagań w branży od niedawna dołączył jeszcze jeden aspekt, jakim jest ogólnie pojęte bezpieczeństwo informacji. Czy to znaczy, że do tej pory nie zwracano uwagi na tę perspektywę? Oczywiście nie, bezpieczeństwo informacji było brane pod uwagę, lecz nie podlegało szczególnemu ustandaryzowaniu.
Co prawda, od dawna funkcjonuje norma ISO 27001, która to właśnie dotyczy bezpieczeństwa informacji. Norma ta sklasyfikowana w katalogu technik informatycznych, została wykorzystana do tworzenia standardu TISAX®, który to rozszerza pojęcie bezpieczeństwa informacji o aspekty istotne dla motoryzacji, jakim np. jest postępowanie z prototypami. Po raz kolejny więc, mamy do czynienia z dostosowaniem wymagań bezpieczeństwa informacji dla branży motoryzacyjnej, poprzez uwzględnienie specyficznych wymagań własnych. Dla wielu podmiotów, szczególnie dostawców funkcjonujących w tej branży, TISAX® może się okazać nie lada wyzwaniem.
TISAX®, czyli co i po co?
Zagrożenia dla przedsiębiorstw w obszarze bezpieczeństwa informacji to trend rosnący. Wskazują na ten fakt raporty i badania międzynarodowych organizacji zajmujących się tym problemem. Nie zawsze są to tylko zagrożenia wynikające z ataków czy też celowych działań na szkodę przedsiębiorstw. W ramach zagrożeń uwzględnić należy również funkcjonującą infrastrukturę, oprogramowanie, personel, czyli czynniki mające wpływ na poufność, dostępność i integralność. To atrybuty bezpieczeństwa informacji, istotne nie tylko dla samego przedsiębiorstwa, ale i dla jego klientów i dostawców. Stąd tak istotne funkcjonowanie w relacjach z innymi podmiotami. Dlatego też takie samo zainteresowanie branży motoryzacyjnej, która charakteryzuje się rozproszonymi łańcuchami dostaw, współpracy i podwykonawstw.
Opracowany przez stowarzyszenie przemysłu motoryzacyjnego VDA (Verband der Automobilindustrie) katalog do oceny ISA (Information Security Assessment) jest podstawą międzynarodowego standardu definiującego uwarunkowania dla określonego stopnia poufności podczas wymiany informacji pomiędzy podmiotami, jakim właśnie jest TISAX® (Trusted Information Security Assessment Exchange). Katalog do oceny bezpieczeństwa informacji ISA zawiera kluczowe zabezpieczenia, oparte na już wypracowanych dobrych praktykach międzynarodowych norm serii 27000. Tworzą one ramy dla systemu bezpieczeństwa informacji.
Kluczowym słowem jest „system”, ponieważ bezpieczeństwo informacji to spójne, zintegrowane działanie oparte na strategii na rzecz zapewnienia właściwego poziomu bezpieczeństwa. To właśnie ocena spełnienia wymagań dla zabezpieczeń jest podstawą do przyznania organizacji etykiety TISAX® potwierdzającej poziom zaufania dla działań przedsiębiorstwa w komunikacji. Wyniki oceny są publikowane na platformie ENX (European Network Exchange), co sprawia, że cały system ocen jest transparentny i buduje zaufanie dla współpracy pomiędzy podmiotami, a także ma wpływ na wybór dostawców w branży motoryzacyjnej. To spójny mechanizm oceny i publikowania statusu oceny.
Korzyści wynikające dla przedsiębiorstw z udziału w systemie oceny:
- Zarejestrowane podmioty na platformie TISAX® wykazują spełnienie odpowiedniego poziomu standardu bezpieczeństwa informacji w odniesieniu do wymagań ISA opracowanego przez VDA.
- Klienci mogą zapoznać się z wynikami oceny ich obecnych lub przyszłych dostawców.
- Poszerzanie rynku dostawców w oparciu o platformę TISAX® zwiększa poziom zaufania przy wymianie informacji, czyli wpływa na bezpieczeństwo podmiotów w łańcuchach dostaw.
- Możliwości benchmarku dla podmiotów chcących doskonalić system bezpieczeństwa w branży.
Co muszę zrobić, by wykazać zgodność?
Dla wykazania zgodności opracowany został formalny proces oceny, który zależnie od wybranego / uzgodnionego z klientem poziomu realizowany jest poprzez:
- Samoocenę organizacji.
Dla przetwarzanych informacji o normalnym poziomie ochrony dla oceny na poziomie – AL1. Wynik samooceny dla formularzy ISA nie może zostać wykorzystany do przyznania etykiety TISAX®, którą można się posługiwać w pełni wiarygodnie w relacjach z podmiotami i w publikacji wyników na platformie ENX. - Ocenę realizowaną przez podmiot akredytowany.
Dla przetwarzanych informacji o wysokim poziomie ochrony dla oceny na poziomie – AL2. Dla tego poziomu oceny wykorzystuje się samoocenę organizacji wg formularza ISA z jednoczesną weryfikacją przez auditora akredytowanej jednostki certyfikującej. Weryfikacja z założenia jest realizowana zdalnie z wykorzystaniem technologii informacyjnych i komunikacyjnych (ICT, z ang. information and communication technologies). W uzasadnionych przypadkach możliwym jest przeprowadzenie weryfikacji lub jej uzupełnienie w formie wizyty na miejscu w organizacji podlegającej ocenie. - Ocenę realizowaną przez podmiot akredytowany w organizacji ocenianej.
Dla przetwarzanych informacji o bardzo wysokim poziomie ochrony dla oceny na poziomie – AL3. Dla tego poziomu oceny wykorzystuje się samoocenę organizacji wg formularza ISA potwierdzoną przez weryfikację auditora akredytowanej jednostki certyfikującej uzupełnioną obowiązkową wizytą na miejscu w organizacji ocenianej.
Jak wynika z powyższego, w standardzie zdefiniowane zostały trzy poziomy ochrony dla oceny:
- AL 1 – normalny,
- AL 2 – wysoki,
- AL 3 – bardzo wysoki.
W zależności od wymaganego poziomu ochrony, ocenie podlegają trzy główne obszary zdefiniowane w ISA, na które składają się:
- Bezpieczeństwo informacji
Gdzie znajdziemy odniesienie do zagadnień związanych z:- organizacją systemu bezpieczeństwa informacji,
- politykami bezpieczeństwa i regulacjami wewnętrznymi w tym zakresie,
- zarządzaniem aktywami,
- zarządzaniem ryzykiem,
- oceną bezpieczeństwa informacji realizowaną przez organizację,
- zarządzaniem incydentami,
- zarządzaniem zasobami ludzkimi,
- bezpieczeństwem fizycznym,
- ciągłością działania,
- zarządzaniem dostępem,
- bezpieczeństwem stosowanych technologii informatycznych,
- relacjami z dostawcami,
- zgodnością z wymaganiami prawnymi i biznesowymi.
- Zabezpieczenie prototypów
Sekcja, która odnosi się do bezpieczeństwa w zagadnieniach:- wprost związanych z zabezpieczeniem prototypów,
- organizacji pracy w obszarach związanych z postępowaniem z prototypami,
- postępowania z pojazdami i komponentami do ich produkcji,
- postępowania z pojazdami testowymi,
- wymagań dla pokazów reklamowych, eventów, sesji fotograficznych i filmowych.
- Zabezpieczenie danych
W zakresie przetwarzania danych osobowych ukierunkowanych na ochronę danych w oparciu o regulacje GDPR (General Data Protection Regulation), czyli ogólnego rozporządzenia o ochronie danych osobowych (Rozporządzenie (EU) 2016/679), ukierunkowano się na zagadnienia organizacji:- przetwarzania danych osobowych w firmie, ról i odpowiedzialności za działania, zasad postępowania,
- zapewnienia zgodności przetwarzania z mającymi zastosowanie wymaganiami prawnymi,
- zapewnienia mechanizmów ochrony przed utratą atrybutów bezpieczeństwa,
- zapewnienia kompetencji personelu w przetwarzaniu danych,
- zapewnienia rozliczalności,
- zapewnienia dokumentowania procesów przetwarzania,
- systemów zgłoszeń dla naruszeń w przetwarzaniu danych.
Powyższe stanowi skrót całego katalogu wymagań zawartego w ISA, a jego zakres zastosowania zależy od indywidualnej sytuacji biznesowej organizacji. Niemniej zakres zagadnień podlegających ocenie jest szeroki i w sposób kompleksowy dotyczy całej organizacji. Warto więc zwrócić uwagę, iż bezpieczeństwo informacji dotyczy w praktyce wszystkich procesów organizacji.
Samoocena przedsiębiorstwa, jak i ocena realizowana przez auditora zawiera się w określonej standardem skali dojrzałości zdefiniowanej w zakresie od 0 do 5 tak, by w efekcie uzyskać całościową ocenę spełnienia wymagań określonych w ISA. Dokument ISA dokładnie definiuje, co jest rozumiane za poziom dojrzałości na każdym jego stopniu, a uzupełnienie definicji stosowanych w dokumencie jest podstawą do zrozumienia wymagań standardu.
TISAX® – formalny proces i etapy oceny
By przystąpić do procesu oceny i w efekcie uzyskać etykietę TISAX® należy:
- przejść formalny proces rejestracji na platformie TISAX®,
- dokonać wyboru akredytowanej jednostki certyfikującej, takiej jak CIS Certification & Information Security Services,
- przeprowadzić proces oceny (z odpowiednim poziomem AL1, AL2, AL3),
- w wyniku pozytywnej oceny opublikować informacje na platformie TISAX®.
Jak w każdym akredytowanym procesie certyfikacyjnym wynik jest uzależniony od stopnia spełnienia wymagań. Dla oceny względem ISA, może on przyjąć status:
- braku niezgodności i uzyskania prawa do etykiety TISAX®,
- występowania małych niezgodności i uzyskania prawa do posługiwania się warunkową etykietą TISAX®,
- występowania dużych niezgodności, w efekcie czego nie uzyskuje się prawa do posługiwania etykietą TISAX®.
Działania powyższe są procesem udokumentowanym, w wyniku którego organizacja oceniana otrzymuje formalny raport z przeprowadzonej oceny zgodności. Zakres, czas i forma oceny są indywidualnie ustalane przez jednostkę certyfikującą zgodnie z wytycznymi TISAX® względem każdego z przedsiębiorstw poddających się ocenie. Podstawą do opracowania oferty oceny zgodności jest posiadana akredytacja przez jednostkę certyfikującą oraz zakres danych, które przedsiębiorstwo oceniane umieszcza na etapie rejestracji na platformie ENX.
By zrozumieć proces oceny stopnia dojrzałości, koniecznym jest sięgnięcie do arkusza ISA, który zawiera ukierunkowane na cele wymagania zabezpieczeń do spełnienia oraz dokumentowania i oceniania skuteczności. Zawarte w ISA przykładowe KPI (Key Performance Indicators) pozwalają na opracowanie własnych wskaźników efektywności względem przyjętych polityk bezpieczeństwa i celów. Jednocześnie zastosowanie KPI pozwala na ocenę stopnia realizacji celów dla bezpieczeństwa informacji.
TISAX® – jak się za to zabrać, czyli „projekt – wdrożenie”
Na wstępie, możemy przyjąć założenie, że firmy posiadające systemy zarządzania jakością, ryzykiem, bezpieczeństwem informacji – powinny cały proces przejść w sposób sprawniejszy. Oczywiście nie jest to reguła lecz teza, przy założeniu iż właśnie te firmy powinny znać i stosować zagadnienia związane z analizą kontekstu, procesów, aktywów, ryzyk, postępowania z incydentami i niezgodnościami oraz zwracać uwagę na ciągłość działania. Wobec czego tematy związane z mierzalnością procesów, celów i cyklem PDCA (Plan-Do-Check-Act) też nie są im obce. To dobra podstawa, by zacząć.
Natomiast jeżeli Twojej firmie powyższe zagadnienia są obce, to zadbaj o dobre podstawy wiedzy przed rozpoczęciem tematu wdrożenia. W zakresie bezpieczeństwa informacji warto przy wdrożeniu rozważyć zapewnienie kompetencji na poziomie managera bezpieczeństwa informacji jako osoby zarządzającej procesem. Taka podstawa znacznie ułatwi proces i ma fundamentalny wpływ na jego skuteczność i uzyskanie etykiety TISAX®. Zapewnienie kompetencji nie dotyczy tylko project mangera czy managera bezpieczeństwa informacji, koniecznym jest zadbanie o kompetencje pozostałych osób mających wpływ na bezpieczeństwo informacji.
Jak wynika również z poprzedniego zagadnienia, gdzie przedstawione zostały elementy TISAX® (ISA), system bezpieczeństwa informacji to nie tylko dział IT, tak często z tym kojarzony. Obszar IT w firmie ma swój bezsprzecznie ogromny udział w bezpieczeństwie informacji, lecz nie jest jedynym obszarem mającym wpływ na całkowity poziom bezpieczeństwa. Bezpieczeństwo informacji jest sumą wpływu procesów, zachowań, współpracy z innymi podmiotami, lokalizacji fizycznej, mówiąc krótko – wszystkich aspektów wpływających na poufność, dostępność i integralność.
Na potrzeby tego artykułu spójrzmy w sposób maksymalnie uproszczony na wdrożenie systemu dla spełnienia wymagań TISAX® (ISA) jak na projekt. I wyodrębnijmy kilka jego kluczowych elementów, mających istotny wpływ na skuteczność względem TISAX®.
1
Po pierwsze, faza przed projektem:
- określenie z klientem (lub decyzja strategiczna firmy) akceptowalnego poziomu oceny AL / poziomu stosowania ochrony,
- ocena kompetencji firmy w zarządzaniu bezpieczeństwem informacji,
- ocena stanu obecnego względem wymagań TISAX® (ISA), czyli bilans otwarcia,
- …………
2
Po drugie, prace przygotowawcze oraz planowanie:
- na podstawie oceny wstępnej stanu obecnego wiemy już, co jest na poziomie akceptowalnym, a co wskazuje nam analiza luki – do zrobienia w projekcie,
- określenie odpowiedzialności i ról,
- zapewniamy kompetencje i szkolenia,
- uwzględniamy plany biznesowe firmy, stron zainteresowanych (rozważ na tym etapie kontakt z jednostką certyfikującą dla ustalenia warunków oceny) i planujemy,
- …………
3
Po trzecie, realizacja projektu:
- analiza kontekstu (min. wymagania prawne, wymagania stron zainteresowanych i inne),
- polityka, cele, strategia,
- inwentaryzacja aktywów, zasobów,
- analiza procesów,
- analiza ryzyka,
- wdrożenie i realizacja wymagań z ISA (rozważyć wsparcie normami ISO 27001, ISO 27002, ISO 27005, ISO 31000, ISO 22301),
- weryfikacja skuteczności / audity,
- doskonalenia – PDCA,
- …………
4
Po czwarte, podsumowanie i zamknięcie:
- podsumowanie projektu,
- przegląd systemu,
- ostateczna decyzja o poddaniu się ocenie przez jednostkę certyfikującą,
- doskonalenie.
Wdrożenie oparte o podejście projektowe powinno przynieść pożądany efekt – sukcesu – uzyskania prawa do posługiwania się etykietą TISAX®.
Złożoność projektu, jego trudność i czas trwania zależna jest od specyfiki funkcjonowania organizacji, jej kontekstu i zakresu współpracy w branży automotive. Zupełnie inne podejście musimy zastosować w firmie produkującej oprogramowanie do pojazdów i zupełnie inne w firmie dostarczającej narzędzi na linie produkcyjne w oparciu o prototypy. Inaczej projekt będzie realizowany w firmie o wysokiej kulturze w bezpieczeństwie informacji i zupełnie inaczej w firmie, która tego aspektu do tej pory nie uwzględniała w swojej strategii. Jeden element łączy firmy z różnych stron na rynku motoryzacji – konieczność dostosowania się do wymagań dla wymiany informacji pomiędzy podmiotami wg TISAX®.
Artykuł został opublikowany w biuletynie elektronicznym klastra Silesia Automotive & Advanced Manufacturing w listopadzie 2022 (Newsletter, Numer 5, 2022).