Was sind die neuen Anforderungen des VDA ISA 6?
Seit Mitte Oktober 2023 liegt der VDA ISA-Katalog in der aktualisierten Version 6.0.0 vor und ab dem 1. Januar 2024 ist diese Version verbindlich. Der aktualisierte Katalog bringt eine Vielzahl von Änderungen und Neuerungen mit sich. Besonders hervorzuheben sind die umfangreichen Änderungen im Kapitel „Datenschutz“.
In diesem Blogbeitrag möchten wir uns jedoch auf die fünf neuen Controls des VDA ISA 6 im Bereich der Informationssicherheit konzentrieren. Diese Neuerungen spiegeln die wachsende Bedeutung der Verfügbarkeit als zentralen Aspekt der Informationssicherheit wider. In einer Zeit, in der Unternehmen immer mehr auf digitale Ressourcen angewiesen sind, ist es von entscheidender Bedeutung, dass diese Ressourcen zuverlässig und kontinuierlich zur Verfügung stehen.
Control 1.3.4: Genehmigung von Software
Inwieweit wird sichergestellt, dass nur evaluierte und zugelassene Software zur Verarbeitung der Informationswerte der Organisation verwendet wird?
In der heutigen digitalen Welt spielt Software eine entscheidende Rolle bei der Verarbeitung und Verwaltung von Informationen innerhalb einer Organisation. Ein kritischer Blick auf die Software und den Genehmigungsprozess ist unerlässlich, um sicherzustellen, dass nur sichere und zuverlässige Softwareprodukte verwendet werden.
Unternehmen müssen insbesondere sicherstellen, dass Software vor der Installation oder Nutzung genehmigt wird.
VDA ISA 6 empfiehlt, den Evaluierungs- und Genehmigungsprozess einfach und praktikabel zu gestalten. Wenn der Genehmigungsprozess zu kompliziert oder zeitaufwändig ist, werden Administratoren zögern, relevante Software zu genehmigen, und die Benutzer in der Organisation werden den Genehmigungsprozess umgehen, um die Software zu erhalten, die sie benötigen.Die Bewertung und Genehmigung von Software ist ein kritischer Schritt, um die Sicherheit und Integrität der Informationssysteme in einer Organisation zu gewährleisten. Durch die Implementierung dieses Controls können Organisationen sicherstellen, dass sie Software verwenden, die den Sicherheitsstandards entspricht, und dass die Risiken, die durch unsichere oder nicht genehmigte Software entstehen können, minimiert werden.
Control 1.6.2: Verwaltung von Sicherheitsereignissen
Inwieweit werden gemeldete Sicherheitsereignisse verwaltet?
Das Kapitel 1.6 wurde im VDA ISA 6 um zwei neue Controls erweitert. Der Aspekt der Meldung und Behandlung von Sicherheitsvorfällen war bereits in den Vorgängerversionen des VDA ISA 6 enthalten, wurde nun jedoch in zwei Controls (1.6.1 und 1.6.2) aufgeteilt. Als neues Control wurde dabei 1.6.2 gewählt.
Im Zeitalter der Digitalisierung sind Sicherheitsvorfälle an der Tagesordnung. Die Frage ist nicht ob, sondern wann sie auftreten. Entscheidend ist daher, wie Unternehmen auf diese Ereignisse reagieren und mit ihnen umgehen.
Sobald Sicherheitsvorfälle gemeldet werden, ist es von entscheidender Bedeutung, dass sie angemessen gehandhabt werden. Dies bedeutet, dass schnell festgestellt werden muss, um welche Art von Ereignis es sich handelt und wie kritisch es ist. Es muss auch schnell festgestellt werden, wer für das Ereignis verantwortlich ist, um sicherzustellen, dass zeitkritische Aspekte rechtzeitig behandelt werden. Nach der Identifizierung ist es wichtig, dass die verantwortlichen Personen informiert werden und innerhalb eines angemessenen Zeitrahmens auf das Ereignis reagieren. Wenn mehrere Personen von dem Ereignis betroffen sind, ist auch die Koordination der Kommunikation ein wichtiger Bestandteil des Managements von Sicherheitsereignissen. Schließlich ist sicherzustellen, dass externe (vertragliche oder gesetzliche) Berichtspflichten professionell erfüllt werden.
Das Management von Sicherheitsereignissen ist ein wesentlicher Aspekt der Informationssicherheit. Unternehmen müssen einen proaktiven Ansatz verfolgen, um sicherzustellen, dass sie sowohl auf unerwartete Sicherheitsereignisse vorbereitet sind als auch über die notwendigen Prozesse und Ressourcen verfügen, um darauf zu reagieren.
Control 1.6.3: Umgang mit Krisensituationen
Inwieweit ist die Organisation darauf vorbereitet, Krisensituationen zu bewältigen?
Krisensituationen sind unvorhersehbare Ereignisse, die den normalen Betrieb erheblich stören können. Sie können in Form von Naturkatastrophen, physischen Angriffen, Pandemien, außergewöhnlichen sozialen Situationen oder Cyber-Angriffen auftreten, die zu größeren Infrastrukturausfällen führen. In solchen Fällen ist es für Organisationen entscheidend, so gut wie möglich auf die Situation zu reagieren und so schnell wie möglich zum Normalbetrieb zurückzukehren.
Ein angemessenes Krisenmanagement erfordert sowohl eine proaktive Planung als auch die Zuweisung von Ressourcen und Verantwortlichkeiten. Es ist unerlässlich, dass Organisationen über eine angemessene Planung verfügen, um auf Krisensituationen zu reagieren und sich von ihnen zu erholen. Dazu gehört, dass die erforderlichen Ressourcen verfügbar sind und dass die Verantwortlichkeiten und Befugnisse für das Krisenmanagement innerhalb der Organisation klar definiert, dokumentiert und zugewiesen sind. Außerdem müssen die zuständigen Mitarbeiter für ihre Aufgaben qualifiziert sein.
Darüber hinaus sollten Organisationen Methoden zur Erkennung von Krisensituationen einführen. Es ist wichtig, allgemeine Anzeichen für das Vorhandensein oder die unmittelbare Gefahr einer Krisensituation sowie spezifische, vorhersehbare Krisen zu identifizieren. Ein Verfahren zur Einleitung und/oder Eskalation des Krisenmanagements sollte vorhanden sein. Es ist auch wichtig, strategische Ziele und deren Priorität in Krisensituationen zu definieren und sicherzustellen, dass diese den relevanten Mitarbeitern bekannt sind. Dazu gehören ethische Prioritäten, Kerngeschäftsprozesse und angemessene Informationssicherheit.
Die Einrichtung eines Krisenmanagementteams ist ebenfalls im VDA ISA 6 gefordert. Dieses Team sollte sich aus Vertretern aller wichtigen Funktionen der Organisation zusammensetzen und über klare Strukturen, Rollen und Kompetenzen verfügen. Krisenrichtlinien und -verfahren sollten definiert und genehmigt werden, wobei verschiedene Aspekte wie Kommunikationsmittel, Notfallverfahren und Organisationsstrukturen zu berücksichtigen sind.
Schließlich sollte die Krisenplanung regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie stets den aktuellen Herausforderungen und Risiken entspricht.
Control 5.2.8: Kontinuitätsplanung für IT-Dienste
Inwieweit ist die Kontinuitätsplanung für IT-Dienste vorhanden?
In der heutigen digitalisierten Geschäftswelt bilden IT-Dienste und -Komponenten das Rückgrat vieler Unternehmen. Ein Ausfall dieser Dienste kann erhebliche finanzielle und betriebliche Auswirkungen haben. Daher ist es von entscheidender Bedeutung, dass Unternehmen über eine solide Kontinuitätsplanung für ihre IT-Dienste verfügen, um sicherzustellen, dass sie bei Störungen oder Ausfällen effektiv reagieren können.
Ein zentraler Aspekt der Kontinuitätsplanung besteht darin, kritische IT-Dienste zu identifizieren und ihre Auswirkungen auf das Geschäft zu berücksichtigen. Es ist wichtig, die Anforderungen und Verantwortlichkeiten für die Aufrechterhaltung und Wiederherstellung dieser IT-Dienste zu kennen und sicherzustellen, dass sie den relevanten Interessengruppen bekannt sind und erfüllt werden.
Die Kontinuitätsplanung sollte verschiedene Szenarien berücksichtigen, die sich auf kritische IT-Systeme auswirken können, z. B. Distributed-Denial-of-Service-Angriffe, erfolgreiche Ransomware-Angriffe, Systemausfälle und Naturkatastrophen. Es ist auch wichtig, alternative Strategien für Kommunikation, Speicherung und Stromversorgung in die Planung einzubeziehen, falls die primären Ressourcen nicht verfügbar sind.
Schließlich sollte die Kontinuitätsplanung regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie stets den aktuellen Herausforderungen und Risiken entspricht und den Unternehmen hilft, in Krisenzeiten widerstandsfähig zu bleiben.
Control 5.2.9: Backup und Wiederherstellung
Inwieweit ist das Backup und die Wiederherstellung von Daten und IT-Diensten gewährleistet?
Der Verlust von Daten oder der Ausfall von IT-Diensten kann katastrophale Auswirkungen auf den Geschäftsbetrieb haben. Daher ist es für Unternehmen von entscheidender Bedeutung, über effiziente Backup- und Wiederherstellungssysteme zu verfügen.
Für alle relevanten IT-Systeme sollte ein Backup-Konzept vorliegen, das Aspekte wie angemessene Schutzmaßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Datensicherungen berücksichtigt. Ebenso sollte ein Wiederherstellungskonzept für relevante IT-Dienste vorliegen.
Bei der Planung sollten Unternehmen auch die Abhängigkeiten zwischen IT-Diensten und die Reihenfolge ihrer Wiederherstellung berücksichtigen. Die Berücksichtigung dieser Aspekte stellt sicher, dass im Falle eines Datenverlusts oder Dienstausfalls eine schnelle und effiziente Wiederherstellung möglich ist.
Schließlich ist es von entscheidender Bedeutung, dass Unternehmen regelmäßig Backups durchführen und diese Backups auch regelmäßig testen. Nur so kann sichergestellt werden, dass die Backup- und Recovery-Strategien im Ernstfall auch tatsächlich funktionieren und das Unternehmen vor erheblichen Verlusten schützen.
Du hast noch Fragen?
Kontaktiere uns gerne.