top
Blog Compliance POST

zmiany w TISAX ISA v6 – optyka na OT/ICS

TISAX ISAv6 2024

Organizacja ENX  wyznaczyła dla sectora automotivena datę 1 kwietnia 2024  na wejście w życie zaktualizowanego standardu ISA version 6 dla TISAX (Trusted Information Security Assessment Exchange) – zaznaczam nie jest to planowany prima aprilisowy żart 🙂

ISA version 6.0 wprowadza szereg aktualizacji i rozszerzeń, największą i oczekiwaną zmianą jest uwzględnienie technologii operacyjnej (OT/ICS), od której niewątpliwe zależy ciągłość działania kluczowego procesu produkcyjnego.

W celu wzmocnienia ochrony przed takimi cyberatakami, grupa robocza zapewniła, że wszystkie wymagania zawarte w normie ISA/IEC 62443-2-1 (bezpieczeństwo systemów automatyzacji i sterowania przemysłowego – wymagania programu bezpieczeństwa dla właścicieli aktywów „IACS”) są uwzględnione w nowym standardzie + wszystkie kontrole z rozdziału 5 normy ISA (Bezpieczeństwo informatyczne i cybernetyczne) są stosowane. W rezultacie wszystkie istotne pytania dotyczące kontroli w normie ISA są teraz odwzorowane w normie ISA/IEC 62443-2-1.

Najważniejsze zmiany w ISA v6:

  • nacisk na dostępność IT i OT dostawców produkcji,
  • dodanie dalszych wskazówek dotyczących wdrożenia,
  • całkowicie zrewidowany katalog ochrony danych,
  • nowe odniesienia do ISO/IEC 27001:2022 i NIST Cyber Security Framework Version 1.1,
  • dalsze ciągłe doskonalenie i utrzymanie.

Coraz częściej zauważam w ramach ław „Akademii Tekniska” (realizowanych przez Tekniska, dla której pracuję) osoby, które świadczą działania kontrolne, audytowe, które pozyskują wiedzę na temat standardów w tym min. ISA/IEC 62443,  podstaw funkcjonowania/bezpieczeństwa sieci i systemów OT/ICS .
W codziennej pracy koordynując i prowadząc projekty  badania bezpieczeństwa sieci i systemów OT/ICS odnotowuje, że ankiety audytorów, kontrahentów, ubezpieczycieli przenikają  już perymetr firewalla IT i sięgają  już  do systemów OT/ICS, automatyki sieci przemysłowych.

Zachęcam do weryfikacji swoich planów bezpieczeństwa, rozmów z CISO, CIO, w tym osób raportujących poziom ryzyka w organizacji + refleksji czy nasz organizacja jest gotowa na kolejną literkę w triadzie bezpieczeństwa  CIA + „A”  gdzie ostatnie A = accountability= rozliczalność.
Czy jestem gotowy wykazać w ramach audytów TISAX, NIS2, ubezpieczycieli, czy też dostawców – rzetelność działania po stronie OT/ICS?

link do organizacji ENX:
https://enx.com/en-US/news/ISA-Version-6-Now-Available/

link do artykułu/poradnika w ramach ISSA Polska:
https://issa.org.pl/news/home/dekalog-bezpiecznika-poznaj-10-przykazan-badania-bezpieczenstwa-sieci-ot-ics

link do szkoleń w ramach Akademia Tekniska:
https://tekniska.pl/szkolenia/