TISAX® – stručný úvod

Důvody, proč se autor těchto řádků rozhodl napsat stručný úvodní text o standardu TISAX®, jsou dva. Tím prvním je výsledek několika neformálních rozhovorů, které autor vedl během posledních tří ročníků konference IS2, kdy se ukázalo, že i mezi komunitou profesionálů v oblasti informační bezpečnosti je standard TISAX® prakticky neznámý. Tím druhým důvodem je prostý fakt, že časopis DSM na téma TISAX® dosud nic nepublikoval.

      security standard                    security assessment                   Automotive                       IS0 27001

Důvody vzniku TISAX®

V oblasti automobilového průmyslu působí celosvětově obrovské množství firem, které v rámci vzájemné spolupráce tvoří velmi složité dodavatelské řetězce. S tím jsou spojeny velké požadavky na informační bezpečnost v rámci zpracování, sdílení a výměny informací a dat. Nejde však „jen“ o samotné řešení informační bezpečnosti, ale také o schopnost firem prokázat, že se informační bezpečností zabývají, a o možnost objektivně změřit, jak na tom s řešením bezpečnosti jsou.

Není asi překvapivé, že právě v Německu – nejsilnější zemi v oblasti automobilového průmyslu v Evropě – vznikl základ budoucího bezpečnostního standardu. Stalo se tak z iniciativy VDA (Verband der Automobilindustrie) neboli Německé asociace automobilového průmyslu. Na základě inspirace ISO/IEC 27001 vznikl seznam požadavků („checklist“) VDA Information Security Assessment neboli krátce VDA ISA, který definoval, co mají dodavatelé německých automobilek v oblasti informační bezpečnosti splňovat.

Rozběhly se audity podle VDA ISA. Ale ukázalo se, že chybí jednotný, efektivní a důvěryhodný systém hodnocení a sdílení výsledků. Stávalo se, že některé společnosti byly nuceny opakovaně a v krátkých časových intervalech absolvovat opakované audity podle VDA ISA.

Odtud byl již jen krok ke vzniku standardu TISAX® (Trusted Information Security Assessment eXchange) v roce 2017. Tento standard je založen na seznamu požadavků VDA ISA a definuje jednotný systém hodnocení úrovně bezpečnosti a sdílení výsledků.

Koho se TISAX® týká

Potenciálně se TISAX® týká všech dodavatelů a poskytovatelů služeb v automobilovém průmyslu, kteří zpracovávají citlivé informace nebo se v rámci svých dodávek s citlivými informacemi seznamují. Lze konstatovat, že se to týká většiny dodavatelů. V Německu je situace taková, že dodavatelé a firmy bez hodnocení podle TISAX® se již fakticky nemohou účastnit výběrových řízení vypsaných některou z tamních automobilek. Hodnocení TISAX® (na určitou úroveň) je jednou z nutných podmínek v zadávací dokumentaci, které musí dodavatel splnit. Proto také nepřekvapí, že v seznamu firem, které úspěšně absolvovaly TISAX®, v tuto chvíli početně dominují firmy dodávající své služby automobilkám v Německu.

V rámci TISAX® se nepoužívá termín "certifikace", ale důsledně pojem "hodnocení" (assessment).

Situace v České republice a ostatních evropských zemích je trochu odlišná. Splnění požadavků TISAX® se stále častěji objevuje jako nutná podmínka pro účast ve vypisovaných výběrových řízeních, ale v tuto chvíli to ještě neplatí stoprocentně. Dá se nicméně očekávat, že v horizontu jednoho až dvou let bude TISAX® povinný pro všechny dodavatele automobilek i u nás. To ilustrují i rostoucí počty společností v ČR v posledních dvou letech, které úspěšně dokončily hodnocení bezpečnosti a audit v rámci TISAX®.

Organizace TISAX®

TISAX® je zastřešen asociací ENX (European Network Exchange), tedy asociací evropských výrobců vozidel, dodavatelů a organizací působcích v automobilovém průmyslu ve spolupráci s VDA. Asociace byla založena v roce 2000 a jejím hlavním cílem je umožnit a zjednodušit bezpečnou a důvěryhodnou spolupráci v rámci automobilového odvětví. ENX je iniciátorem a řídícím orgánem společných standardů a souvisejících služeb.

V rámci standardu TISAX® existují tři hlavní role:

1. Asociace ENX

Zastřešuje (ve spolupráci s VDA) celý TISAX®. Zajišťuje celkový dohled nad systémem hodnocení, definuje akreditační kritéria a zajišťuje akreditaci poskytovatelů auditu pro TISAX®, dohlíží na kvalitu celého procesu v rámci TISAX®, zajišťuje online TISAX® portál s výsledky hodnocení.

2. Poskytovatelé auditu

Jsou akreditováni asociací ENX a provádějí audity účastníků (dodavatelů). Typicky se jedná zavedené auditorské společnosti, které si akreditací od ENX rozšiřují portfolio poskytovaných auditů.

3. Účastníci

Společnosti – dodavatelé působící v rámci automobilového průmyslu – které jsou registrované v rámci TISAX® a jejichž úroveň informační bezpečnosti je hodnocena některým z poskytovatelů auditu, kterého si účastník vybírá. Naprosto zásadní místo v celém systému TISAX® má ENX TISAX® online portál (https://enx.com/en-US/TISAX/). Prostřednictvím portálu mají firmy možnost se registrovat v rámci TISAX® a portál pak poskytuje registrovaným uživatelům možnost sdílet výsledky hodnocení. To mimochodem souvisí s jednou velmi specifickou vlastností TISAX® – jakým způsobem jsou výsledky hodnocení zpřístupněny. K tomu se ale ještě dostaneme.

Tab. 1: Klíčové termíny

Proces TISAX®

Základní proces, na jehož konci je publikování výsledku hodnocení bezpečnosti dané společnosti v rámci TISAX®, se skládá ze tří základních a vcelku předvídatelných kroků:

1. Registrace

Registrace společnosti probíhá online prostřednictvím portálu ENX TISAX® a již tento krok je zpoplatněn (aktuální cena je 405 EUR pro každou lokalitu, která bude předmětem hodnocení, s možností slevy v případě většího počtu lokalit). V tomto kroku je nezbytné akceptovat podmínky TISAX® a definuje se základní rozsah hodnocení bezpečnosti. Výsledkem registrace je také přidělení ID, pod kterým je společnost vedena v rámci TISAX®.

2. Implementace

Klíčová a nejnáročnější část – implementace potřebných technických a organizačních bezpečnostních opatření (včetně dokumentace) v oblasti informační bezpečnosti podle požadavků VDA ISA v závislosti na definovaném rozsahu a výsledku sebehodnocení.

3. Audit a sdílení výsledků

Provedení auditu předem vybraným (a ze strany ENX akreditovaným) poskytovatelem auditu. Rozsah a forma auditu závisejí na požadované úrovni hodnocení (Standardní, Vysoká, Velmi vysoká). V případě úspěšného absolvování auditu jsou výsledky hodnocení sdíleny s dalšími registrovanými účastníky v rámci portálu ENX TISAX®.

Celý proces se v reálu skládá z velkého počtu kroků a jedná se o regulérní projekt, do něhož je v konkrétní společnosti zapojen velký počet lidí.

Publikování výsledků = specifikum TISAX®

Možná vás napadlo, že jste neviděli žádný certifikát TISAX®. Dokonce ani u společností, které v automobilovém průmyslu dlouhodobě působí a kde byste takovou vizitku očekávali např. v sousedství certifikátů ISO. Dá se to formulovat i jinak. Pokud se totiž některá společnost na svých webových stránkách nebo v oficiálních firemních dokumentech chlubí, že úspěšně absolvovala hodnocení bezpečnosti podle TISAX®, případně přidá ještě konkrétní informace o rozsahu výsledku hodnocení, porušuje tím podmínky TISAX®!

Podmínky TISAX® uvedené v oficiálním dokumentu „Using the TISAX® trademark and logo“ (dostupný na portálu ENX) jsou poměrně restriktivní:

• Účastník může uvádět pouze informaci, že je „Účastník TISAX®“ („TISAX® Participant“), a může uvést pouze základní údaje, např. identifikační údaje, adresu lokality, časové informace o zahájení hodnocení, použitou verzi VDA ISA, kdo je poskytovatelem auditu.
• V žádném případě ale účastník nesmí poskytnout: „Jakékoli informace, které naznačují nebo mohou být interpretovány jako informace týkající se výsledků hodnocení, zejména včetně použití slov jako certifikovaný, auditovaný, ověřený, schválený.“

Těch restriktivních omezení, co je a co není možné v souvislosti s TISAX® uvést, je řada, ale zásadní je, že ENX TISAX® portál (https://portal.enx.com/en-US/TISAX/TISAXassessmentresults) je jediným oficiálním místem, kde je možné zjistit výsledky hodnocení v rámci TISAX®. Odtud mimo jiné vyplývá, že nikdo jiný než registrovaný uživatel na ENX portálu se k výsledkům hodnocení nedostane! Informace zpřístupněné na ENX TISAX® portálu nejsou přitom nijak detailní. Jedná se o základní informace o lokalitě, stupni hodnocení a dalších hlavních parametrech. Žádné podrobné informace o úrovni bezpečnosti nebo o výsledcích auditu.

Každý účastník má přitom možnost prostřednictvím portálu definovat, komu z registrovaných uživatelů ENX portálu budou výsledky hodnocení zpřístupněny. Typicky tak společnosti zpřístupňují výsledky hodnocení automobilkám, pro které pracují, resp. pro které by pracovat chtěly, ale nemusejí výsledky zpřístupňovat ostatním firmám.

Hodnocení bezpečnosti

Dostáváme s k jádru TISAX® – seznamu požadavků VDA ISA, podle kterých probíhá hodnocení úrovně bezpečnosti. VDA ISA prošlo v uplynulých letech poměrně velkým vývojem. Aktuálně platná (prosinec 2021) verze je 5.0.4, což je v pořadí již dvacátá první verze.

VDA ISA definuje celkem 67 požadavků rozdělených do tří hlavních skupin (v textu jsou ponechány oficiální anglické názvy skupin a podskupin požadavků):

1. Information Security

Skupina 41 požadavků rozdělených na sedm podskupin – IS Policies and Organization, Human Resources, Physical Security and Business Continuity, Identity and Access Management, IT Security/Cyber Security, Supplier Relationships, Compliance. Tato skupina požadavků je povinná. To znamená, že každý účastník, který usiluje o hodnocení v rámci TISAX®, bude na základě všech těchto požadavků hodnocen. Co je důležité, všechny požadavky z této skupiny odpovídají některým požadavkům v normách ISO/IEC 27001, 27002 nebo 27017.

2. Prototype Protection

Celkem 22 požadavků rozdělených dále do pěti podskupin. Jedná se o velmi specifické požadavky kladené pouze na společnosti, které spolupracují s automobilkami na přípravě, vývoji a prezentaci prototypů. Příkladem mohou být požadavky na pravidla maskovacích nátěrů zkušebních vozů nebo dodržování specifických pravidel při akcích a prezentacích.

3. Data Protection

Trochu zavádějící název skupiny zahrnuje čtyři požadavky týkající se GDPR.

Tab. 2: Information Security – distribuce požadavků podle počtu v jednotlivých podskupinách

TISAX® rozeznává tři úrovně podle požadované úrovně zabezpečení:

• Standardní
• Vysoká (High)
• Velmi vysoká (Very High)

Požadovaná úroveň bezpečnosti představuje cíl, který má společnost v hodnocení bezpečnosti dosáhnout. Ten si společnost nastavuje sama, ale odvíjí se od požadavků automobilek a obchodních partnerů, pro něž společnost dodává. Z praktického hlediska má smysl se bavit pouze o dvou nejvyšších úrovních. Standardní úroveň se totiž opírá pouze o vlastní hodnocení účastníka (sebehodnocení) bez nutnosti nezávislého auditu a zkušenosti ukazují, že pro automobilky je tato úroveň nezajímavá (chtělo by se říci málo důvěryhodná).

Čím vyšší požadovaná úroveň, tím vyšší požadavky na zabezpečení. To se promítá do způsobu, jakým jsou koncipovány požadavky. Specifikace požadavku má následující strukturu:

• Kontrolní otázka
• Hlavní cíl
• Povinná část (Must)
• Nepovinná část (Should)
• Zvláštní požadavky pro úroveň „Vysoká“
• Zvláštní požadavky pro úroveň „Velmi vysoká“
• Zaměření požadavku (Důvěrnost, Integrita, Dostupnost)
• Reference na ISO/IEC 270xx

Jak je vidět, specifikace požadavku je tříúrovňová, což odpovídá třem úrovním požadované úrovně bezpečnosti. Není to přitom tak, že by všech 41 požadavků ze skupiny Information Security mělo i části pro úroveň „Vysoká“ a Velmi vysoká“. Zvláštní požadavky pro některou z vyšších úrovní jsou uvedeny jen u necelé poloviny.

S hodnocením úrovně bezpečnosti souvisí šest úrovní vyspělosti (Maturity Levels): 0 = Incomplete (nejnižší), 1 = Performed, 2 = Managed, 3 = Established, 4 = Predictable, 5 = Optimizing (nejvyšší). Implementace požadavků VDA ISA se posuzuje („známkuje“) přiřazením úrovní vyspělosti. V závislosti na požadované úrovni zabezpečení se cílové úrovně pohybují mezi hodnotami 2 až 4. Např. pro úroveň „Vysoká“ je potřeba dosáhnout úrovně vyspělosti 3 (Established) ve všech sedmi podskupinách Information Security (zelená čára viz Obr. 1).

TISAX® a/versus ISO/IEC 270xx

TISAX® je založen na seznamu požadavků VDA ISA a ten má svou silnou vazbu na normy ISO/IEC 270xx. Konkrétně normy ISO/IEC 27001, 27002 a 27017 (cloudové služby). Každý ze 41 požadavků z oblasti Information Security obsahuje odkaz na korespondující ustanovení normy ISO/IEC 270xx.

Přirozenou otázkou je, zda firma, která je certifikovaná podle ISO/IEC 27001, získá hodnocení TISAX® „automaticky“, případně zda naopak hodnocení TISAX® zajišťuje certifikaci ISO/IEC 27001. Odpověď je „ne“ na obě varianty předchozí otázky. Je ovšem pravdou, že certifikace na ISO/IEC 27001 (a tedy zavedený a funkční systém řízení informační bezpečnosti) výrazně usnadňuje celý proces hodnocení podle TISAX®.

Několik slov závěrem

Cílem článku bylo, jak titul napovídá, seznámit čtenářem se základními rysy hodnocení bezpečnosti, jak je pojímá TISAX®. Nevěnovali jsme se detailům standardu ani neprocházeli podrobněji soubory požadavků. Byť se jedná (minimálně v tuto chvíli) o oborově zaměřený standard, který je uznáván pouze v oblasti automobilového průmyslu, může sloužit jako inspirační zdroj. Např. velmi kvalitně zpracovaná dokumentace (zdarma k dispozici na portálu ENX TISAX®), resp. celé pojetí systému hodnocení bezpečnosti.

Tab. 3: Některé rozdíly mezi TISAX® a ISO/IEC 27001

TISAX® je stále živý. To dokazuje i vcelku pružná reakce na situaci, která nastala v souvislosti s pandemií COVID-19. Hodnocení bezpečnosti je vázáno na specifickou lokalitu. Po vypuknutí pandemie a masovém přesunu pracovníků firem do prostředí home office tak nastala situace, kdy dodavatelé automobilek (pracující s citlivými informacemi) nebyli schopni poskytovat své služby z prostor hodnocených v rámci TISAX®. ENX řešil tuto situaci nejprve vydáním dočasných opatření pro účastníky TISAX® na zajištění informační bezpečnosti z prostředí home office. Později rozšířil sadu požadavků v oblasti Information Security o nová ustanovení pokrývající tuto oblast.

Tlak automobilového průmyslu na své dodavatele, aby se stali účastníky TISAX® a podstoupili hodnocení, a schopnost ENX a VDA reagovat na nové výzvy dává příslib i do budoucna. A kdo ví, jestli v budoucnu TISAX® nepřekročí oborové hranice automobilového průmyslu. Uvidíme.

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

POUŽITÉ ZDROJE:

[ 1 ] „TISAX Participant Handbook“, verze 20.1.2021, ENX Association
[ 2 ] „VDA Information Security Assessment“, verze 5.0.4
[ 3 ] „Terms and Conditions for using the TISAX® Trademark and Logo“, ENX Association
[ 4 ] „Your ISMS and the Coronavirus. Information security management during the Coronavirus pandemic (as of 06 January 2021)“, ENX Association [ 5 ] „White Paper. TISAX®® Assessment in the Automotive Industry“, DEKRA Audits