Update: VDA Information Security Assessment (ISA) Katalog Version 6 nun verfügbar
Die neue Version des VDA ISA Katalogs wurde am 16.10.2023 durch die ENX und den Verband der Automobilindustrie e. V. veröffentlicht und steht Ihnen zum
Download
zur Verfügung.
Dieser aktualisierte VDA ISA-Katalog bringt eine Vielzahl von Änderungen in den Anforderungen und Controls mit sich. In den folgenden Zeilen möchten wir Ihnen einen kurzen Überblick über die Änderungen und Neuerungen mitgeben.
In den vergangenen Jahren, Monaten, Wochen gab es viele Nachrichten von und um Automobilherstellen und Zuliefern, wo es zu Unterbrechungen in den Lieferketten kam. Dazu zählen geopolitische Konflikte, Natur- bzw. Umweltkatastrophen, Cyberangriffe und Ausfall der Infrastruktur wie z.B. Produktionsstraßen.
In allen bisherigen Versionen des VDA ISA stand die "Vertraulichkeit" von Informationen im Mittelpunkt. Mit dem ISA 6 wurde das Label „Vertraulichkeit“ um das Label „Verfügbarkeit“ von Informationen, Prozessen und Systemen ergänzt. Aufgrund neuer, intensiverer und gravierender Cyberangriffe auf Unternehmen, ist der Verlust von Informationen durch Ransomware Angriffe oder den klassischen Datendiebstahl nicht mehr die einzige Bedrohung, die Sie im Tagesgeschäft begegnet.
Wir werden Ihnen nun die wichtigsten Neuerungen des ISA 6 vorstellen:
- Neben „Vertraulichkeit“ gibt es nun die „Verfügbarkeit“ als weiteren Schwerpunkt im Assessment, zu Sicherstellung der Verfügbarkeit von IT-Ressourcen und Operationstechnologie (OT).
- Der ISA 6 wurde von einem internationalen Expertenteam zusammengetragen, wodurch Englisch zur führenden Sprache wurde. Die Übersetzung in weitere Sprachen erfolgt zum weiteren Zeitpunkt.
- Präzisiere Beschreibung der Anforderungen der einzelnen Controls, für ein besseres Verständnis.
- Der ISA 6 verweist auf weitere Standards und Frameworks wie z.B. der ISO/IEC 27001:2022, ISA/IEC 62443-2 NIST Cyber Security Framework und dem BSI-Grundschutz, zur Nutzung von Synergien.
- Der Datenschutzkatalog wurde vollständig überarbeitet. Aus 4 Controls wurden 12 Controls.
- Der ISA 6 bietet zusätzlich neben Beispielen, nun auch mögliche Auditorfragen und Nachweise, die für ein Audit genutzt werden können.
Mit dem neuen Label „Verfügbarkeit“ wird ein neuer Schwerpunkt auf die unterbrechungsfreie Produktion gelegt. Dazu zählt die Betrachtung der Prozesse in die Produktion, als auch die Absicherung von Produktionsanlagen im Unternehmen.
Im Folgenden werden wir Ihnen die die neuen Controls aus dem Katalog der Informationssicherheit näher vorstellen. Eine Übersetzung der Control Überschriften wird aus Gründen der Verständlichkeit nicht erfolgen. Der ISA 6 liegt derzeit nur in der englischen Sprache vor.
Control 1.3.4: To what extent is it ensured that only evaluated and approved software is used for processing
In diesem Control geht es um die Implementierung von Verfahren zur Genehmigung von Softwareprodukten im Unternehmen. Dazu zählt die Betrachtung von Firmware, Betriebssysteme, Software, Treiber und Libraries (z.B. Sammlung von Software oder Frameworks).
Control 1.6.1: To what extent are information security relevant events or observations reported?
Control 1.6.2: To what extent are reported security events managed?
Control 1.6.3: To what extent is the organization prepared to handle crisis situations?
Control 5.2.8: To what extent is continuity planning for IT services in place?
Control 5.2.9: To what extent is the backup and recovery of data and IT services guaranteed?
Zusammengefasst lässt sich sagen, dass das Control 3.1.2 aus dem VDA ISA 5 sich in die drei neuen Controls 1.6.3, 5.2.8 und 5.2.9 aus dem ISA Version 6 unterteilt. Durch die Unterteilung in die neuen Controls, gewinnen die Themen Notfallmanagement, Business Continuity Management und Backup und Disaster Recovery (BDR) an massive Bedeutung für das ISMS im Unternehmen.
Die neuen Controls und Anforderungen in dem ISA 6 zielen auf eine Verbesserung der Verfügbarkeit der kritischen Dienste, Systeme, Prozessen und Informationen ab.
Mit der Veröffentlichung des ISA 6 reagiert die ENX und der VDA auf die neuen Geschehnisse. So wurden einzelne Controls aufgelöst und in neue Controls überführt und mit neuen Anforderungen erweitert, um die Verfügbarkeit zu verbessern.
Die Änderungen in dem ISA 6 sind von hoher Bedeutung für eine Globale Wirtschaft, die auf hohen Verfügbarkeiten in Form von Lieferungen und Bereitstellung von Services setzt.
Beauftragungen die vor dem 31.03.2024 erfolgen, können nach der VDA-Version 5.1 geprüft werden. Das Assessment muss zeitnah abgeschlossen werden, ausgenommen sind hier von Follow-Ups und Gruppenprüfungen (SGA).
Für weitere Informationen und Rückfragen stehen wir Ihnen gerne zur Verfügung.