Posouzení zabezpečení výměny důvěrných informací: Trusted Information Security Assessment Exchange - TISAX

Posouzení zabezpečení výměny důvěrných informací: Trusted Information Security Assessment Exchange - TISAX

Daniel Kardoš

Toyota nedávno uveřejnila článek, ve kterém, podle ní, odhadovaný náskok výrobce elektromobilů Tesla je pět let. Konkurentům Tesly se těžko povede dohnat technologický náskok, pokud budou postupovat tak, že si koupí automobil, analyzují ho a na základě této analýzy navrhnou vlastní produkt. Mnohem lepší situace by pro ně byla, kdyby se jim povedlo získat informace, data z etapy návrhu a vývoje, tzn. vývojovou dokumentaci dřív, než se produkty začnou vyrábět. 
Ve snaze zvýšit zabezpečení informací v organizacích působících v automobilovém průmyslu zavedlo VDA (Verband der Automobilindustrie) v roce 2017 normu TISAX. TISAX vychází z normy EN ISO/IEC 27001 Systémy řízení bezpečnosti informací – Požadavky. Nad rámec této normy stanovuje doplňující specifikace zohledňující prostředí automobilového průmyslu. Je to podobné rozšíření, jako norma IATF 16 949 Zvláštní požadavky na používání ISO 9001 v organizacích zajišťujících sériovou výrobu a výrobu náhradních dílů v automobilovém průmyslu rozšiřuje požadavky normy ISO 9001.

Norma EN ISO/IEC 27001 jako východisko
Norma EN ISO/IEC 27001stanovuje požadavky na opatření k ochraně bezpečnostních vlastností informací. 
Bezpečnostní vlastnosti informací: 
•    Důvěrnost je nejdůležitější bezpečnostní vlastností informací, která vyjadřuje, že informace jsou dostupné pouze oprávněným subjektům (osobám, zařízením a aplikacím), tj. těm, kterým dostupné mají být, a že se nedostanou do neoprávněných rukou.
•    Integrita je vlastnost vyjadřující to, že informace je úplná a aktuální.
•    Dostupnost je vlastnost vyjadřující to, že informace je dostupná oprávněným subjektům na místě a v čase, kde a kdy je mají mít dostupné.
Druhou skupinu bezpečnostních vlastností tvoří bezpečnostní vlastnosti týkající se subjektu. Subjektem může být osoba nebo zařízení (počítač, telefon, aplikace...). 
Bezpečnostní vlastnosti týkající se subjektu: 
•    Identita vyjadřuje to, že ve skupině subjektů jsme schopni identifikovat jeden.
•    Autentizace vyjadřuje ověřitelnost subjektu, tj. zda identifikovatelný subjekt je opravdu tím, za koho se vydává.
•    Autorizace stanovuje souhlas, který umožní subjektu (autentizované identity) získat přístup k vybraným (určeným, stanoveným, oprávněným) informacím.
Cílem systému řízení bezpečnosti informací je zavést přiměřená opatření k ochraně informačních aktiv. Pod přívlastkem „přiměřená“ se rozumí, aby náklady na zabezpečení informací byli co nejnižší a současně aby tato opatření byla účinná. 
Co jsou to aktiva? Aktiva tvoři seznam prvků, které chceme chránit. Vzhledem k tomu, že se pohybujeme v rozsahu systému řízení bezpečnosti informací, nezajímají nás úplně všechna aktiva společnosti, ale jenom ta aktiva, která souvisí s informacemi, tj. informační aktiva. 
Aktiva můžeme rozdělit do dvou základních skupin. Jednu skupinu tvoří primární aktiva a druhou podpůrná aktiva.  Skupinu primárních aktiv tvoří informace (data). Skupinu podpůrných aktiv tvoří aktiva, která slouží ke sběru, zpracování, zpřístupnění, ukládaní a k archivaci primárních aktiv (informací). 
Může se zdát, že bezpečnost informací se týká jenom informací zpracovávaných informační systémy, ale není tomu tak: zahrnuje také informace sdělované v rámci rozhovoru, napsané (zobrazené) na papírovém dokumentu (výkresu) nebo takové, které je možné získat odpozorováním. 
Norma EN ISO/IEC 27001 stanovuje požadavky pro systém řízení ochrany informací podobně, jako norma ISO 9001 stanovuje požadavky na systém řízení kvality. Hlavním nástrojem normy ISO 27001 je analýza rizik. Ta vyžaduje identifikaci primárních aktiv (informací) a klasifikaci informací z hlediska důvěrnosti, integrity a dostupnosti. U podpůrných aktiv vyžaduje identifikaci jejich zranitelnosti a hrozeb, které mohou využit zranitelnosti aktiv a způsobit narušení jejich důvěrnosti, integrity a dostupnosti. Následně se odhadne pravděpodobnost toho, že hrozba využije zranitelnosti aktiva, a odhadne se velikost škody (včetně sekundárních dopadů), která narušením aktiv může organizaci vzniknout. 
Norma EN ISO/IEC 27001 se od ISO 9001 odlišuje tím, že obsahuje normativní přílohu A. 
Pokud chci aplikovat ve své společnosti ISO 9001, musím na tuto normu navázat systém řízení procesů společnosti, často tomu říkáme želví diagramy. Základní rámec procesů souvisejících s řízením bezpečnosti informací obsahuje normativní příloha A normy EN ISO/IEC 27001. V této příloze najdete požadavky na politiky, na personál, na fyzickou bezpečnost, na řízení přístupu, na oddělení sítí, na řízení uživatelů, na oddělení rolí a tak dále. 
Přesto, že normativní příloha obsahuje procesy, tyto procesy jsou navrženy tak, aby byly použitelné multioborově. Proto byla tato norma doplněna o specifikace TISAX, aby byl vytvořen standard použitelný jednotně v automobilovém průmyslu. 

TISAX: standard pro automotive
V případě, že budete vytvářet seznamy aktiv, je důležité, aby tato práce byla vykonávaná efektivně. Seznamy aktiv mohou obsahovat tisíce položek, proto není efektivní identifikovat zranitelnosti a hrozby, které působí na jednotlivá aktiva. Efektivní je rozdělení aktiv do skupin, které mohou mít stejné zranitelnosti a na které mohou působit stejné hrozby.
Po provedení analýzy rizik následuje rozdělení rizik na akceptovatelná a neakceptovatelná. Ke snížení neakceptovatelných rizik je nutné přijmout opatření. Ta můžeme rozdělit do dvou skupin: na organizační a technická. 
•    Organizační opatření systému řízení bezpečnosti informací jsou podobná jako u systému řízení kvality. Tvoří je směrnice, instrukce, formuláře, záznamy, návodky, které obsahují postupy, principy, odpovědnosti, role, práva, povinnosti a požadavky na způsobilost.
•    Skupinu technických opatření tvoří prostředky umožňují vytvoření bezpečnostních zón, šifrovací software, firewall, přístupové karty, čtečky otisku prstů, fyzické zabezpečení budov, čidla pohybu, čidla zavřených dveří a oken, kamerové systémy pro zabezpečení prostor, systémy pro vytváření logovacích záznamů pro sledovaní digitálních stop o činnostech uživatelů informačních systémů atd. Technická opatření jsou opatření, která souvisí s implementací technických prostředků.

TISAX a akreditace certifikačních orgánů
VDA pověřilo TISAX k výkonu nestranné akreditační činnosti. 
TISAX není jenom tvůrcem samotného standardu pro posuzování zabezpečení výměny důvěrných informací v automobilovém průmyslu, ale byl pověřen také akreditační činností. TISAX posuzuje způsobilost certifikačních orgánů k výkonu certifikace plnění požadavků standardu TISAX. Na odkazu portal.enx.com najdete přehled TISAX akreditovaných certifikačních orgánů.
Při zavádění systému řízení bezpečnosti informací ve společnosti s využitím standardu TISAX mohou pomoci dokumenty, které jsou uvedeném portálu volně ke stažení.
Najdete tam:
1.    VDA ISA and TISAX1 Model 
2.    VDA Information Security Assessment, verze 5.0.1
3.    Minimum Requirements for Prototype Protection 
4.    Harmonization of security levels / White Paper 
5.    TISAX Participant Handbook - Getting through the TISAX assessment process and sharing assessment results with your partners
6.    Information Security Risk Management (ISO 31000 and ISO/IEC 27005). 
Protože TISAX byl pověřen VDA řízením auditů jako nestranný akreditační orgán, odkazy na dokumenty, které mohou pomoci se zaváděním systému TISAX, jsou nejenom na portálu TISAX, ale také na portálu VDA https://www.vda.de/.

TISAX v širší souvislosti: 198 norem
Sdružení TISAX se snažilo vytvořit jednoduchý standard, snadno aplikovatelný v celém dodavatelském řetězci automobilového průmyslu. Přestože standard TISAX je jednoduchý, při jeho zavádění neuškodí mít na paměti, že vychází z rodiny norem ISO 27000 – Systém řízení bezpečnosti informací. Rodina norem ISO 27000 je součásti širší skupiny norem, kterých je 198. Jsou výstupem činnosti normalizační komise ISO/IEC JTC 1/SC 27, Information security, cybersecurity and privacy protection. Mezi normami řízení bezpečnosti informací najdeme normy, které jsou stručné – cca do 20 stran, ale také normy v rozsahu cca 300 stran. Tyto normy mohou, ale nemusí souviset s problematikou bezpečnosti informací, kterou budete ve vašich společnostech řešit, je vhodné o nich vědět a v případě potřeby je použít.
Výše zmíněných 198 standardů řízení bezpečnosti informací můžeme rozdělit do sedmi skupin, na normy týkající se:
•    identifikace bezpečnostních požadavků, 
•    systému řízení bezpečnosti informací a bezpečnostních procesů, 
•    kryptografie a šifrování, 
•    podpůrné dokumentace pro správu bezpečnostní terminologie, 
•    bezpečnostních aspektů správy identit a biometrie, 
•    požadavků na posuzování shody, akreditaci, certifikaci a audit, 
•    kritérií a metodik pro hodnocení úrovně zabezpečení.
Sdružení TISAX do svého standardu převzalo, pro potřeby hodnocení úrovně řízení procesů, také principy a postupy z normy ISO 15504 Information technology – Process assessment (Informační technologie – Posuzování procesu). Tato norma není součásti skupiny norem řízení bezpečnosti informací, ale spadá do skupiny norem vytvořených komisi ISO/IEC JTC 1/SC 7, Software and Systems Engineering. 
Tato norma rozlišuje 6 úrovní řízení procesu. 
Na nejnižší úrovni je tzv. neúplný proces. Je to proces, kterého úroveň řízení zjednodušeně můžeme popsat tak, že jeho selhání poznáme tím, že se zastaví výroba. Až při výrobě výrobce zjistí, že chybí nějaká komponenta, bez které nelze vyrábět. 
Na opačném konci se nachází optimalizovaný proces. Optimalizovaný proces je proces stanovený a zavedený, v jeho průběhu vznikají záznamy, které prokazují, že je vykonáván stanoveným, plánovaným způsobem. U optimalizovaného procesu jsou stanovené klíčové ukazatele výkonnosti týkající se produktů, cílů a procesů. Minimálně jednou ročně se s cílem kontinuálního zlepšování vyhodnocuje dosahování cílů optimalizovaných procesů, stanovuji se nové cíle a přijímají se opatření ke zlepšení účinnosti a efektivnosti procesů. 

Jak na to
To, zda potřebujete zavést standard TISAX, se dozvíte od svých zákazníků. Pokud chcete zjistit, jak na tom jste s řízením bezpečnosti informací ve vaší společnosti, můžete provést analýzu (sebehodnocení) řízení bezpečnosti informací formou interního auditu podle normy ISO 27001 Systémy řízení bezpečnosti informací – Požadavky. Podobně můžete požít dokument VDA Information Security Assessment, (VDA ISA) verze 5.0.1, který poskytuje základ pro sebehodnocení ke zjištění stavu informační bezpečnosti v organizacích působících v automobilovém průmyslu. Pokud nedisponujete způsobilým personálem, můžete interní audit zajistit externě.
Dokument VDA ISA verze 5.0.1 tvoří množina požadavků a otázek, všechny otázky mají stejnou strukturu. Obsahuje popis tohoto, co opatření musí zahrnovat, co opatření může zahrnovat, v případě požadavku navíc nebo požadavku na vysokou ochranu pak popis těchto požadavků. Některé požadavky jsou doplněné o klíčové ukazatele výkonnosti.
Soubor hodnoticích otázek VDA ISA verze 5.0.1 můžeme rozdělit na otázky týkající se prototypu, napojení na třetí strany a soubor otázek k ochraně osobních údajů. Soubor otázek týkajících se ochrany osobních údajů vychází z článku 28 GDPR, což je nařízení Evropského parlamentu a rady Evropy č. 679 z roku 2016. Klíčové ukazatele výkonnosti mají stanovenou požadovanou úroveň řízení procesu, obsahují stanovení rozsahu, hodnocení efektivnosti, popis, cíle, odpovědnost, četnost vyhodnocování, mezní hodnoty, metody měření a položky.