Кибератаки происходят ежедневно и постоянно усиливаются. За последние десятилетия кибератаки превратились из крошечных взломов, выполняемых студентами ВУЗов из "спортивного интереса", в крайне масштабные и сложные операции с использованием программ-вымогателей и иных подобных инструментов.
В апреле 2021 года многие водители на Восточном побережье США оказались вынуждены стоять в длинных очередях за топливом после того, как кибератака привела к закрытию крупнейшего американского топливопровода Colonial Pipeline. В конце мая очередная кибератака вынудила производителя мяса JBS USA временно прекратить ведение хозяйственной деятельности.
Учитывая постоянное увеличение частоты и тяжести подобных атак, а также все более значительные и дорогостоящие последствия, Ассоциация телекоммуникационной индустрии (Telecommunications Industry Association; TIA) разработала первый в истории глобальный стандарт на системы управления безопасностью цепочки поставок, акцентирующий внимание на IT-составляющей.
Документ, публикация которого должна состояться ближе к концу текущего года, называется SCS 9001 "Безопасность глобальной цепочки поставок в контексте информационных и коммуникационных технологий".
Разработка стандарта SCS 9001
TIA, телекоммуникационные организации, органы по аккредитации (включая, например, ANAB) и органы по сертификации объединились в рамках проекта по разработке документа SCS 9001, в основу которого лег всемирно признанный стандарт системы менеджмента качества ИСО 9001.Сертификация на соответствие требованиям ИСО 9001 станет предварительным условием для организаций, желающих получить сертификат соответствия SCS 9001. Организации, ранее успешно прошедшие сертификационные процедуры и доказавшие соответствие требованиям ИСО 9001 или иного стандарта на основе ИСО 9001 (например, TL 9000, AS9100, ИСО 15378), получат преимущество при подготовке к сертификации на соответствие SCS 9001.
Первоначальный проект стандарта SCS 9001 этим летом был распространен среди заинтересованных сторон и отраслевых экспертов для сбора комментариев. Органы по сертификации и органы по аккредитации будут участвовать в пилотных аудиторских проектах с применением нового документа.
Выпуск FDIS-версии (Final Draft International Standard / финальный проект международного стандарта) запланирован на середину сентября 2021 года, а выпуск окончательной версии SCS 9001 запланирован на конец ноября 2021 года.
Разработка требований к аудитору
Организация TIA QuEST Forum, разработавшая систему управления качеством TL 9000 для удовлетворения требований к качеству на уровне цепочек поставок в телекоммуникационной отрасли, также будет курировать схемы аудита на соответствие стандарту безопасности цепочки поставок (SCS 9001).Команда TIA QuEST Forum находится в процессе разработки требований к компетентности аудиторов и определения продолжительности аудита. Уже известно, что аудиторы SCS 9001 должны будут соответствовать требованиям компетентности ИСО / МЭК 17021-1:2015, ИСО / МЭК 27006:2015 и ИСО / МЭК 27006:2015-AMD 1:2020.
Также будут предусмотрены дополнительные требования (например, компетентность в области управления техническими уязвимостями и обнаружения контрафактных компонентов аппаратного и программного обеспечения). Обучение аудиторов будет доступно через одобренные TIA QuEST Forum обучающие организации к концу лета.
