DEKRA: TISAX – BEZPIECZNA WYMIANA INFORMACJI W BRANŻY AUTOMOTIVE

Producenci pojazdów wykonują znaczną część prac związanych z rozwojem produktu we współpracy z dostawcami. Bardzo ważna w tym procesie jest ochrona przetwarzanych i wymienianych danych. Szczególnie chroniąc prototypy, uczestnicy wymiany muszą zapewnić, aby wszyscy w łańcuchu dostaw stosowali podobny poziom bezpieczeństwa IT. Stąd też VDA stopniowo rozwijała katalog pytań dotyczących bezpieczeństwa informacji (VDA ISA).

TISAX (Trusted Information Security Assessment Exchange) to międzynarodowy standard branży automotive, odpowiadający wytycznym VDA ISA. Definiuje wymagania bezpiecznego przetwarzania informacji podmiotów z sektora przemysłu motoryzacyjnego w odniesieniu do procesów i zaangażowanych zasobów.

TISAX został opracowany pod egidą VDA, aby zagwarantować jednolity poziom bezpieczeństwa danych dla wszystkich zaangażowanych stron. Pozwala na ocenę bezpieczeństwa informacji we wszystkich firmach z branży motoryzacyjnej i zapewnia wspólny standard audytu i wymiany informacji.

Ocenę zgodności TISAX przeprowadzają jednostki akredytowane przez stowarzyszenie ENX, które monitoruje jakość wdrożenia i wyniki oceny. Pozytywna rekomendacja zgodności z TISAX stanowi dowód na osiągnięcie przez firmę wymaganego przez partnerów poziomu zarządzania bezpieczeństwem informacji zgodnie z VDA ISA. Już dziś zgodność z TISAX wymagana jest przez największe koncerny branżowe oraz pomaga uniknąć dodatkowych i powtarzających się kontroli.

Audyt TISAX może odbywać w formie audytu dokumentacyjnego (w tym: weryfikacji samooceny) oraz audytu on-site. Koncentruje się na ocenie obiektywnych dowodów z uwzględnieniem ryzyk. W stosunku do stwierdzonych niezgodności audytowane podmioty są zobowiązane zaplanować i wdrożyć działania naprawcze.

Zakres standardu TISAX odzwierciedla kluczowe wymagania standardu ISO/IEC 27002 oraz specyficzne wymagania w obszarze bezpieczeństwa informacji VDA, w tym m.in.:

  • stosowanie dwuczynnikowego uwierzytelniania do systemów przetwarzających wrażliwe dane
  • wdrożenie monitorowania wskaźników KPI w konkretnych procesach bezpieczeństwa (np. zarządzanie zmianą, zarzadzanie uprawnieniami)
  • szyfrowanie baz danych
  • ograniczenie w stosowaniu rozwiązań chmurowych do przechowywania powierzonej dokumentacji technicznej
  • procesy ochrony fizycznej prototypów (maskowanie, procedury dostępu gości do stref bezpieczeństwa, bezpieczny transport itp.).
  • Firma podlegająca badaniu może podjąć decyzję o dostępności wyników audytu dla innych uczestników TISAX, przy różnych poziomach szczegółowości. Dzięki temu można uniknąć dodatkowych audytów dla innych zainteresowanych uczestników, wymagających tego samego poziomu bezpieczeństwa.Aby optymalnie przygotować się do uzyskania zgodności z TISAX warto poprzedzić go audytem na zgodność z normą ISO/IEC 27002.

    Więcej informacji na temat cyberbezpieczeństwa w dobie innowacji w branży automotive, w tym TISAX oraz roli czynnika ludzkiego w bezpieczeństwie informacji i danych (w tym danych osobowych w kontekście RODO/GDPR), przekażą polscy i zagraniczni eksperci DEKRA podczas wystąpienia w ramach panelu głównego AutoEvent 2018, w dniu 20 czerwca 2018 roku.

    Tomasz Romanik, Piotr Ubych – Grupa DEKRA w Polsce