TISAX je evropský informační standard a standard kybernetické bezpečnosti vyvinutý za účelem ochrany dat v automobilovém průmyslu. Používá se k vyhodnocování všech organizací zapojených do výroby vozidel a umožňuje následné sdílení výsledků na určené neveřejné platformě.
Co je to TISAX?
Tento bezpečnostní rámec určený pro jedno odvětví řídí Asociace ENX jménem Německého sdružení automobilového průmyslu (VDA). Zkratka TISAX znamená Trusted Information Security Assessment Exchange (Standard pro posuzování zabezpečení výměny důvěrných informací).
Systém TISAX vychází ze souboru bezpečnostních požadavků stanovených v dokumentu VDA Information Security Assessment (ISA) (Posuzování bezpečnosti informací), který sestavilo sdružení VDA, spolu s mnoha technickými kontrolami podle normy ISO 27001 a s dalšími prototypy a pravidly ochrany údajů.
V závislosti na typu citlivých údajů, k nimž má daná organizace přístup, spadají do jedné ze tří úrovní zabezpečení a podle toho jsou posuzovány (více o jednotlivých úrovních níže).
Certifikace TISAX potvrzuje, že systém zabezpečení informací organizace splňuje bezpečnostní požadavky, které stanovila agentura TISAX.
Po získání certifikace jsou výsledky uloženy a zpřístupněny na platformě, na kterou dohlíží Asociace ENX.
Jaký je účel systému TISAX?
Automobilový dodavatelský řetězec je dlouhý - výrobci originálního vybavení (OEM) spolupracují se sítí mnoha dodavatelů a partnerů, kteří se podílejí na tom, aby se nové vozy dostaly z rýsovacího prkna na silnici. Aby mohli odvádět svou práci, sdílejí mezi sebou citlivé informace, avšak nedostatečná ochrana dat by v tomto řetězci mohla způsobit jejich ztrátu nebo dokonce krádež.
Za účelem ochrany obchodních tajemství, informací o prototypech, informací o zákaznících a dalších důvěrných údajů v automobilovém průmyslu vyžaduje většina velkých německých výrobců OEM od svých partnerů v řetězci výroby a distribuce automobilů certifikaci TISAX.
Tím je zajištěno, že informace zůstanou v průběhu fází návrhu, výroby a distribuce automobilů v bezpečí.
A nejen to, organizace, která prokáže shodu se standardem TISAX, má konkurenční výhodu oproti ostatním, které ji nemají, jelikož je v očích potenciálních zákazníků důvěryhodnější.
Jaký je rozsah působnosti systému TISAX?
Certifikace TISAX je vyžadována od všech organizací, které obchodují s většinou významných hráčů německého automobilového průmyslu. Jedná se o celosvětově uznávaný standard.
Certifikaci TISAX by měli vlastnit všichni dodavatelé a poskytovatelé služeb v automobilovém průmyslu, kteří zpracovávají citlivé informace. Pokud ji vaši současní zákazníci zatím nevyžadují, mohou ji v budoucnu začít vyžadovat, a navíc tak těmto zákazníkům prokážete, že zabezpečení dat je pro vás prioritním zájmem.
Úrovně posuzování TISAX
V systému TISAX existují tři úrovně posuzování, protože úrovně spolupráce mezi výrobci OEM a jejich dodavateli jsou různého rozsahu a složitosti. Metoda auditu potřebná k získání certifikace TISAX je pro každou úroveň specifická.
V podstatě se každá organizace může sama rozhodnout, kterou úroveň posuzování chce splňovat. V praxi to funguje tak, že sami výrobci OEM určují úroveň posouzení, kterou požadují od organizací, s nimiž obchodují.
- Úroveň 1: "Normální" úroveň zabezpečení. Organizace musí pouze vyplnit dotazník pro sebehodnocení. Tato úroveň je při obchodování většinou irelevantní a často se používá pouze interně.
- Úroveň 2: "Vysoká" úroveň zabezpečení. Schválený poskytovatel auditu naváže na sebehodnocení telefonickou kontrolou věrohodnosti. To znamená rozhovor na dálku založený na dokumentech a přezkoumání poskytnutých důkazů.
- Úroveň 3: "Velmi vysoká" úroveň zabezpečení. Kontrolu, rozhovory a posouzení ISMS (systému řízení bezpečnosti informací) provádí schválený poskytovatel auditu, který organizaci fyzicky navštíví. Pokud je organizace rozdělená do více lokací, může auditor navštívit každou z nich.
Jak zavést systém TISAX
Aby organizace získala certifikaci TISAX, musí při posuzování dodržet tyto kroky:
Krok 1
Příprava
Každý, kdo má zájem o certifikaci TISAX, se musí zaregistrovat jako účastník TISAX na portálu TISAX. Pouze tímto způsobem může organizace získat hodnocení a přístup k platformě TISAX, aby mohla sdílet a přijímat výsledky hodnocení TISAX.
V této fázi se také seznamuje s požadavky TISAX.
Krok 2
Sebehodnocení
Bez ohledu na to, pro kterou úroveň hodnocení se organizace rozhodne, prvním krokem k získání certifikace TISAX je vždy sebehodnotící dotazník.
Krok 3
Audit
Pro úrovně 2 a 3 potřebuje organizace schváleného auditora, který provede kontrolu věrohodnosti na dálku nebo navštíví místo posouzení.
Krok 4
Optimalizace
Po provedení auditu auditor upozorní na případná zjištění, která je třeba řešit, a organizace bude muset sestavit akční plán. Po provedení dalších opatření ze strany organizace a kontrol ze strany auditora bude toto posouzení ukončeno.
Krok 5
Výsledky
Auditor pak nahraje zprávu společnosti na určenou platformu systému TISAX. Společnost pak může rozhodnout, kdo a v jakém rozsahu bude mít k výsledkům přístup. Výsledky nejsou veřejně přístupné.
Certifikace TISAX je platná po dobu 3 let, poté je nutné proces opakovat. Během této doby neprobíhají žádné průběžné kontroly.
Jak Safetica pomáhá dodržovat požadavky TISAX
Jak už bylo uvedeno výše, norma TISAX vyžaduje, aby data zůstala v bezpečí během fází návrhu, výroby a distribuce automobilů. Řešení Safetica je vhodným nástrojem pro bezpečné elektronické zpracování dat.
S řešením Safetica je snadné splnit požadavky související s ochranou dat podle normy TISAX. Budete mít lepší přehled o tom, jak se s daty souvisejícími s výrobou automobilů nakládá, uvidíte, jak zaměstnanci s těmito citlivými daty zacházejí, a minimalizujete riziko zneužití citlivých a osobních údajů. Při výskytu bezpečnostní hrozby budete informováni v reálném čase.
1. Dodržování bezpečnostních zásad společnosti
Safetica umožňuje sledovat operace uživatelů v rámci celé organizace. Dokáže rozpoznat citlivé informace a vytvářet zprávy o tom, jak jsou data zpracovávána.
Na základě klasifikace dat dokáže Safetica aplikovat zásady zamezující ztrátě dat (DLP) a vynucovat vybrané bezpečnostní politiky a požadované chování uživatelů, kdykoli uživatelé pracují s osobními nebo citlivými informacemi. To pomáhá zaměstnancům dodržovat osvědčené postupy a předcházet nezabezpečeným nebo zakázaným metodám ukládání a práce s citlivými daty.
2. Viditelnost citlivých dat
Vědět, kde jsou citlivá data uložena a jak s nimi zaměstnanci pracují, je velmi důležité. Je potřeba zajistit, aby zpracování dat bylo zabezpečené, a snížit riziko jejich úniku.
Podrobné monitorování a audit operací se soubory a uživateli, které zabezpečuje Safetica, poskytuje přehled o informačních tocích, ukládání kritických citlivých dat a podrobné informace o tom:
- které externí strany a úložiště byly přesně kontaktovány
- které z nich obdržely citlivá data dané organizace.
3. Oznámení o úniku dat
Pokud dojde k události spojené s únikem citlivých dat, je třeba o ní být okamžitě informován, abyste mohli reagovat a minimalizovat případný dopad, nebo ještě lépe úniku informací zabránit úplně.
Pokud dojde ke skutečnému bezpečnostnímu incidentu s daty nebo k pokusu o něj, systém e-mailových upozornění Safetica informuje příslušné pracovníky v reálném čase. Okamžitě nahlásí incident a poskytne dostatečně podrobné informace, aby vedení podniku mohlo posoudit dopad situace a přijmout následná opatření.
Safetica rovněž poskytuje rozsáhlé auditní záznamy o operacích prováděných s citlivými daty. To pomáhá identifikovat rozsah narušení, identifikovat dotčené citlivé dokumenty a dotčené osoby.
Pomocí integrace API lze všechny záznamy odeslat do zabezpečení SIEM nebo nástrojů pro analýzu dat, např. do Power BI nebo Tableau.