Jak przygotować organizację do NIS2? To bardzo istotne pytanie, bo szacuje się, że ponad 10 tysięcy organizacji publicznych i prywatnych działających na polskim rynku będzie podlegało wymaganiom nowej dyrektywy. Już teraz podmioty mogą przekonać się, czy mają się czego obawiać oraz czy są gotowe na nadchodzące zmiany. Zgodnie z informacjami, których udziela Ministerstwo Cyfryzacji, zgodność z normami ISO 27001 oraz 22301 jest równoznaczna ze spełnieniem wymagań NIS2.
Organizacja posiada już certyfikację – co dalej?
Część organizacji działa w zgodzie z wymaganiami norm ISO, a niektóre z nich posiada również Zintegrowany System Zarządzania wraz z oficjalną certyfikacją na zgodność z normami ISO 27001, 27005 oraz 22301. W przypadku organizacji posiadających certyfikację – z założenia nie są wymagane większe działania poza weryfikacją, czy główne obszary wymieniane w dyrektywie NIS2, są należycie realizowane. Mowa tu w szczególności o następującym zakresie aktywności:
- Kontrola dostępu, zarządzanie aktywami i bezpieczeństwo zasobów ludzkich
- Zapewnienie bezpieczeństwa środków teleinformatycznych służących do przetwarzania informacji
- Zarządzanie ciągłością działania
- Zarządzanie incydentami
- Zarządzanie ryzykiem w cyberbezpieczeństwie
- Polityki stosowania kryptografii
- Bezpieczeństwo łańcucha dostaw w tym zapewnienie bezpiecznego procesu nabywania oraz rozwoju technologii i usług
- Szkolenia Pracowników, Cyber-higiena, świadomość sytuacyjna
- Ocena skuteczności oraz utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji
Organizacja nie posiada certyfikowanego Systemu Zarządzania Bezpieczeństwem Informacji – co powinna zrobić?
Organizacje, które posiadają System Zarządzania Bezpieczeństwem Informacji, a nie przeszły procesu certyfikacji, powinny w sposób szczególny zweryfikować i zebrać dowody potwierdzające spełnienie realizacji wymagań z poszczególnych norm i przygotować się na potencjalny audyt ze strony podmiotu nadzorującego. Dyrektywa zakłada, że rocznie będzie weryfikowane ok 10% wszystkich zobowiązanych podmiotów, więc pozostawienie sytuacji nieobsłużonej i liczenie na łut szczęścia nie powinno być metodą na spełnienie wymagań NIS2. Podstawowym narzędziem służącym do określenia adekwatnych środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa jest analiza ryzyka. Przyjmując jakąkolwiek metodykę w tym zakresie, wykonam prostą symulację: przy prawdopodobieństwie kontroli wynoszącym 10% oraz zakładanych karach dochodzących do poziomu 2% globalnych rocznych przychodów organizacji, oceniam ryzyko jako bardzo wysokie, bądź krytyczne.
Organizacje działające bez Systemu Zarządzania Bezpieczeństwem Informacji
Zdecydowana większość organizacji działających na polskim rynku, które podlegać będą wymogom związanym z NIS2, nie posiada wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z wymienionymi na wstępie normami. Jak mają one przygotować się do wprowadzenia NIS2? Takie organizacje w perspektywie długofalowej powinny dążyć do uzyskania certyfikatu zgodności, jednak krótkofalowo muszą uzyskać zgodność w sposób praktyczny. Często przeprowadzamy u swoich Klientów działania bazujące na autorskim frameworku diagnostycznym, dające odpowiedź na pytania:
- Czy jesteśmy zgodni z NIS2?
- W jakim stopniu nie jesteśmy zgodni? (analiza luk)
- Co musimy zrobić, aby być zgodnymi z NIS2?
Oczywiście przychodzi na myśl kolejne pytanie „w jaki sposób?” a nie tylko „co musimy zrobić?” – w tej kwestii również wspieramy naszych Klientów, realizując usługę FortCyber. Budując wzajemne zaufanie podczas realizacji prac analitycznych, nawiązujemy współpracę długofalową i nie zostawiamy Klienta z raportem, tylko wspomagamy w realizacji wszelkich zidentyfikowanych aktywności, które muszą zostać wykonane w celu spełnienia wymagań NIS2.
Jak wykorzystać normy ISO w swojej organizacji, aby przygotować się do NIS2?
Podczas realizacji zadań z obszaru bezpieczeństwa z pomocą przychodzą normy ISO. Czym one właściwie są i dlaczego są takie istotne? Pozwalają one na kompleksową organizację danego obszaru bezpieczeństwa. Począwszy od najpopularniejszej normy ISO 27001, która mówi, jak zadbać o bezpieczeństwo informacji w organizacji, poprzez ISO27005 skupiającą się na analizie ryzyka, aż po ISO 22301, która odnosi się do zagadnień związanych zapewnieniem ciągłości działania. Poniżej przedstawiam kilka głównych założeń związanych z każdą z nich.
ISO 27001
Norma ISO 27001 jest międzynarodowym standardem zarządzania bezpieczeństwem informacji. Określa ona wymagania dotyczące ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Celem normy jest zapewnienie, że organizacje skutecznie chronią swoje informacje, minimalizując ryzyko utraty danych i ataków cybernetycznych. Norma ISO 27001 obejmuje takie aspekty, jak polityki bezpieczeństwa, zarządzanie ryzykiem, kontrola dostępu, zarządzanie incydentami oraz ciągłość działania. Organizacje certyfikowane zgodnie z ISO 27001 mogą wykazać swoim klientom i partnerom biznesowym, że poważnie podchodzą do kwestii ochrony danych i stosują sprawdzone praktyki w zakresie bezpieczeństwa informacji. Zatem już w samym zakresie normy ISO 27001 pojawiają się aspekty związane z zarządzaniem ryzykiem oraz ciągłością działania, czyli przedmiotem dwóch kolejnych wymienionych norm.
Widać zatem na pierwszy rzut oka, że norma ISO27001 jest normą uniwersalną w zakresie bezpieczeństwa informacji w organizacji, jednak dodatkowe normy porządkują i w sposób szczegółowy określają wymagania i sposób działania w swoich obszarach.
Jednym z bardziej praktycznych narzędzi, które dostarcza norma ISO 27001, jest załącznik A zawierający wzorcowy wykaz zabezpieczeń oraz celów ich stosowania. Na jego podstawie można przyjrzeć się bezpieczeństwu organizacji w sposób kompleksowy i zweryfikować, czy każdy z opisanych celów zabezpieczeń ma przypisane zabezpieczenie w postaci środków organizacyjnych, regulacyjnych lub technicznych.
Jeżeli chcecie spróbować samodzielnie zmierzyć się z wymaganiami normy ISO 27001, możecie skorzystać z jej ewaluacji odzwierciedlonej w zapisach ISO 27002 – Praktyczne zasady zabezpieczania informacji. Tu znajduje się niejako przepis na spełnienie poszczególnych wymagań normy podstawowej.
ISO 27005
W zakresie wymagań NIS2, wszelkie środki organizacyjne lub techniczne służące funkcji bezpieczeństwa informacji powinny zostać dobrane w sposób adekwatny do zagrożeń w oparciu o analizę ryzyka. Norma ISO 27005 wspiera organizacje w implementacji efektywnego zarządzania ryzykiem, co jest kluczowym elementem systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z ISO 27001. Dzięki tej normie organizacje mogą lepiej chronić swoje dane przed różnorodnymi zagrożeniami, zarówno wewnętrznymi, jak i zewnętrznymi.
Norma ISO 27005 jest częścią rodziny norm ISO 27000 i dostarcza wytycznych dotyczących zarządzania ryzykiem bezpieczeństwa informacji. Obejmuje proces identyfikacji, oceny i zarządzania ryzykiem.
Główne założenia normy ISO 27005 obejmują:
- Identyfikację aktywów: zrozumienie, jakie informacje i zasoby są krytyczne dla organizacji.
- Ocenę ryzyka: analizę zagrożeń i podatności, które mogą wpłynąć na te aktywa, oraz ocenę potencjalnych skutków i prawdopodobieństwa wystąpienia tych zagrożeń.
- Zarządzanie ryzykiem: opracowanie strategii zarządzania ryzykiem, które mogą obejmować unikanie, przenoszenie, redukcję lub akceptację ryzyka.
- Monitorowanie i przegląd: ciągłe monitorowanie ryzyka i skuteczności działań zaradczych,
a także regularne przeglądy i aktualizacje procesu zarządzania ryzykiem.
ISO 22301
Kolejnym obszarem adresowanym w wymaganiach NIS2 jest zapewnienie ciągłości działania. Norma ISO 22301 jest międzynarodowym standardem dotyczącym zarządzania tym zagadnieniem. Określa wymagania dla planowania, ustanawiania, wdrażania, eksploatacji, monitorowania, przeglądu, utrzymania i ciągłego doskonalenia systemu zarządzania ciągłością działania w organizacjach.
Główne cele normy ISO 22301 to:
- Ochrona przed zakłóceniami,
- Szybka reakcja i odzyskiwanie ciągłości działania,
- Minimalizowanie wpływu zakłóceń,
- Utrzymanie reputacji organizacji.
Norma ISO 22301 obejmuje kluczowe elementy zarządzania ciągłością działania, takie jak:
- Analiza wpływu na biznes (Business Impact Analysis, BIA),
- Ocena ryzyka,
- Strategie ciągłości działania,
- Testowanie i ćwiczenia,
- Przegląd i doskonalenie.
ISO 22301 jest przydatnym narzędziem dla organizacji, które chcą zwiększyć swoją odporność na zakłócenia i zapewnić, że są w stanie szybko i skutecznie reagować na różnorodne incydenty, minimalizując ich wpływ na działalność, a tym samym pozostać w zgodności z wymaganiami NIS2.
*
W niniejszym artykule postarałem się przybliżyć Wam tematykę norm, które pomagają przygotować się do wymagań stawianych przez dyrektywę NIS2. Mam nadzieję, że przekazane zagadnienia związane z wykorzystaniem teorii w praktycznym podejściu do bezpieczeństwa informacji, pozwolą Wam samodzielnie bądź z pomocą ekspertów z FortCyber osiągnąć pełną zgodność organizacyjną i uniknąć przykrych konsekwencji związanych z niespełnieniem wymagań dyrektywy.
W kolejnym artykule z cyklu „NIS2 – okiem praktyka” opowiem Wam więcej o podstawowym narzędziu zarządzania bezpieczeństwem informacji, jakim jest analiza ryzyka. Będzie jak zwykle praktycznie!
Jeśłi chcielibyście dowiedzieć się więcej o regulacjach NIS2 – zapraszamy do lektury pierwszego materiału tego cyklu.
Autor: Michał Pawlak, ekspert cyberbezpieczeństwa. Pracuje w zespole FortCyber – programie zainicjowanym przez Polskie Towarzystwo Informatyczne