Strona głównaAktualnościCo mają ze sobą wspólnego normy ISO, SZBI oraz NIS2?

Co mają ze sobą wspólnego normy ISO, SZBI oraz NIS2?

-

Jak przygotować się do NIS2? Podmioty, które mają wdrożoną normę ISO dot. cyberbezpieczeństwa muszą tylko sprawdzić, czy główne obszary wymieniane w dyrektywie są należycie realizowane. Organizacje posiadające System Zarzadzania Bezpieczeństwem Informacji (SZBI) bez certyfikacji powinny podjąć szersze działania. W najtrudniejszej sytuacji są ci, którzy nie wprowadzili dotąd nawet tej polityki dot. cyberbezpieczeństwa w swojej firmie.

Jak przygotować organizację do NIS2? To bardzo istotne pytanie, bo szacuje się, że ponad 10 tysięcy organizacji publicznych i prywatnych działających na polskim rynku będzie podlegało wymaganiom nowej dyrektywy. Już teraz podmioty mogą przekonać się, czy mają się czego obawiać oraz czy są  gotowe na nadchodzące zmiany. Zgodnie z informacjami, których udziela Ministerstwo Cyfryzacji, zgodność z normami ISO 27001 oraz 22301 jest równoznaczna ze spełnieniem wymagań NIS2.

Organizacja posiada już certyfikację – co dalej?

Część organizacji działa w zgodzie z wymaganiami norm ISO, a niektóre z nich posiada również Zintegrowany System Zarządzania wraz z oficjalną certyfikacją na zgodność z normami ISO 27001, 27005 oraz 22301. W przypadku organizacji posiadających certyfikację – z założenia nie są wymagane większe działania poza weryfikacją, czy główne obszary wymieniane w dyrektywie NIS2, są należycie realizowane. Mowa tu w szczególności o następującym zakresie aktywności:

  • Kontrola dostępu, zarządzanie aktywami i bezpieczeństwo zasobów ludzkich
  • Zapewnienie bezpieczeństwa środków teleinformatycznych służących do przetwarzania informacji
  • Zarządzanie ciągłością działania
  • Zarządzanie incydentami
  • Zarządzanie ryzykiem w cyberbezpieczeństwie
  • Polityki stosowania kryptografii
  • Bezpieczeństwo łańcucha dostaw w tym zapewnienie bezpiecznego procesu nabywania oraz rozwoju technologii i usług
  • Szkolenia Pracowników, Cyber-higiena, świadomość sytuacyjna
  • Ocena skuteczności oraz utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji

Organizacja nie posiada certyfikowanego Systemu Zarządzania Bezpieczeństwem Informacji – co powinna zrobić?

Organizacje, które posiadają System Zarządzania Bezpieczeństwem Informacji, a nie przeszły procesu certyfikacji, powinny w sposób szczególny zweryfikować i zebrać dowody potwierdzające spełnienie realizacji wymagań z poszczególnych norm i przygotować się na potencjalny audyt ze strony podmiotu nadzorującego. Dyrektywa zakłada, że rocznie będzie weryfikowane ok 10% wszystkich zobowiązanych podmiotów, więc pozostawienie sytuacji nieobsłużonej i liczenie na łut szczęścia nie powinno być metodą na spełnienie wymagań NIS2. Podstawowym narzędziem służącym do określenia adekwatnych środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa jest analiza ryzyka. Przyjmując jakąkolwiek metodykę w tym zakresie, wykonam prostą symulację: przy prawdopodobieństwie kontroli wynoszącym 10% oraz zakładanych karach dochodzących do poziomu 2% globalnych rocznych przychodów  organizacji,  oceniam ryzyko jako bardzo wysokie, bądź  krytyczne.

Organizacje działające bez Systemu Zarządzania Bezpieczeństwem Informacji

Zdecydowana większość organizacji działających na polskim rynku, które podlegać będą wymogom związanym z NIS2, nie posiada wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z wymienionymi na wstępie normami. Jak mają one przygotować się do wprowadzenia NIS2? Takie organizacje w perspektywie długofalowej powinny dążyć do uzyskania certyfikatu zgodności, jednak krótkofalowo muszą uzyskać zgodność w sposób praktyczny. Często przeprowadzamy u swoich Klientów działania bazujące na autorskim frameworku diagnostycznym, dające odpowiedź na pytania:

  • Czy jesteśmy zgodni z NIS2?
  • W jakim stopniu nie jesteśmy zgodni? (analiza luk)
  • Co musimy zrobić, aby być zgodnymi z NIS2?

Oczywiście przychodzi na myśl kolejne pytanie „w jaki sposób?” a nie tylko „co musimy zrobić?” – w tej kwestii również wspieramy naszych Klientów, realizując usługę FortCyber. Budując wzajemne zaufanie podczas realizacji prac analitycznych, nawiązujemy współpracę długofalową i nie zostawiamy Klienta z raportem, tylko wspomagamy w realizacji wszelkich zidentyfikowanych aktywności, które muszą zostać wykonane w celu spełnienia wymagań NIS2.

Jak wykorzystać normy ISO w swojej organizacji, aby przygotować się do NIS2?

Podczas realizacji zadań z obszaru bezpieczeństwa z pomocą przychodzą normy ISO. Czym one właściwie są i dlaczego są takie istotne? Pozwalają one na kompleksową organizację danego obszaru bezpieczeństwa. Począwszy od najpopularniejszej normy ISO 27001, która mówi, jak zadbać o bezpieczeństwo informacji w  organizacji, poprzez ISO27005 skupiającą się na analizie ryzyka, aż po ISO 22301, która odnosi się do zagadnień związanych zapewnieniem ciągłości działania. Poniżej przedstawiam kilka głównych założeń związanych z każdą z nich.

ISO 27001

Norma ISO 27001 jest międzynarodowym standardem zarządzania bezpieczeństwem informacji. Określa ona wymagania dotyczące ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Celem normy jest zapewnienie, że organizacje skutecznie chronią swoje informacje, minimalizując ryzyko utraty danych i ataków cybernetycznych. Norma ISO 27001 obejmuje takie aspekty, jak polityki bezpieczeństwa, zarządzanie ryzykiem, kontrola dostępu, zarządzanie incydentami oraz ciągłość działania. Organizacje certyfikowane zgodnie z ISO 27001 mogą wykazać swoim klientom i partnerom biznesowym, że poważnie podchodzą do kwestii ochrony danych i stosują sprawdzone praktyki w zakresie bezpieczeństwa informacji. Zatem już w samym zakresie normy ISO 27001 pojawiają się aspekty związane z zarządzaniem ryzykiem oraz ciągłością działania, czyli przedmiotem dwóch kolejnych wymienionych norm.

Widać zatem na pierwszy rzut oka, że norma ISO27001 jest normą uniwersalną w zakresie bezpieczeństwa informacji w organizacji, jednak dodatkowe normy porządkują i w sposób szczegółowy określają wymagania i sposób działania w swoich obszarach.

Jednym z bardziej praktycznych narzędzi, które dostarcza norma ISO 27001, jest załącznik A zawierający wzorcowy wykaz zabezpieczeń oraz celów ich stosowania. Na jego podstawie można przyjrzeć się bezpieczeństwu  organizacji w sposób kompleksowy i zweryfikować, czy każdy z opisanych celów zabezpieczeń ma przypisane zabezpieczenie w postaci środków organizacyjnych, regulacyjnych lub technicznych.

Jeżeli chcecie spróbować samodzielnie zmierzyć się z wymaganiami normy ISO 27001, możecie skorzystać z jej ewaluacji odzwierciedlonej w zapisach ISO 27002 – Praktyczne zasady zabezpieczania informacji. Tu znajduje się niejako przepis na spełnienie poszczególnych wymagań normy podstawowej.

ISO 27005

W zakresie wymagań NIS2, wszelkie środki organizacyjne lub techniczne służące funkcji bezpieczeństwa informacji powinny zostać dobrane w sposób adekwatny do zagrożeń w oparciu o analizę ryzyka. Norma ISO 27005 wspiera organizacje w implementacji efektywnego zarządzania ryzykiem, co jest kluczowym elementem systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z ISO 27001. Dzięki tej normie organizacje mogą lepiej chronić swoje dane przed różnorodnymi zagrożeniami, zarówno wewnętrznymi, jak i zewnętrznymi.

Norma ISO 27005 jest częścią rodziny norm ISO 27000 i dostarcza wytycznych dotyczących zarządzania ryzykiem bezpieczeństwa informacji. Obejmuje proces identyfikacji, oceny i zarządzania ryzykiem.

Główne założenia normy ISO 27005 obejmują:

  • Identyfikację aktywów: zrozumienie, jakie informacje i zasoby są krytyczne dla organizacji.
  • Ocenę ryzyka: analizę zagrożeń i podatności, które mogą wpłynąć na te aktywa, oraz ocenę potencjalnych skutków i prawdopodobieństwa wystąpienia tych zagrożeń.
  • Zarządzanie ryzykiem: opracowanie strategii zarządzania ryzykiem, które mogą obejmować unikanie, przenoszenie, redukcję lub akceptację ryzyka.
  • Monitorowanie i przegląd: ciągłe monitorowanie ryzyka i skuteczności działań zaradczych,
    a także regularne przeglądy i aktualizacje procesu zarządzania ryzykiem.

ISO 22301

Kolejnym obszarem adresowanym w wymaganiach NIS2 jest zapewnienie ciągłości działania. Norma ISO 22301 jest międzynarodowym standardem dotyczącym zarządzania tym zagadnieniem. Określa wymagania dla planowania, ustanawiania, wdrażania, eksploatacji, monitorowania, przeglądu, utrzymania i ciągłego doskonalenia systemu zarządzania ciągłością działania w organizacjach.

Główne cele normy ISO 22301 to:

  • Ochrona przed zakłóceniami,
  • Szybka reakcja i odzyskiwanie ciągłości działania,
  • Minimalizowanie wpływu zakłóceń,
  • Utrzymanie reputacji organizacji.

Norma ISO 22301 obejmuje kluczowe elementy zarządzania ciągłością działania, takie jak:

  • Analiza wpływu na biznes (Business Impact Analysis, BIA),
  • Ocena ryzyka,
  • Strategie ciągłości działania,
  • Testowanie i ćwiczenia,
  • Przegląd i doskonalenie.

ISO 22301 jest przydatnym narzędziem dla organizacji, które chcą zwiększyć swoją odporność na zakłócenia i zapewnić, że są w stanie szybko i skutecznie reagować na różnorodne incydenty, minimalizując ich wpływ na działalność, a tym samym pozostać w zgodności z wymaganiami NIS2.

*

W niniejszym artykule postarałem się przybliżyć Wam tematykę norm, które pomagają przygotować się do wymagań stawianych przez dyrektywę NIS2. Mam nadzieję, że przekazane zagadnienia związane z wykorzystaniem teorii w praktycznym podejściu do bezpieczeństwa informacji, pozwolą Wam samodzielnie bądź z pomocą ekspertów z FortCyber osiągnąć pełną zgodność organizacyjną i uniknąć przykrych konsekwencji związanych z niespełnieniem wymagań dyrektywy.

W kolejnym artykule z cyklu „NIS2 – okiem praktyka” opowiem Wam  więcej o podstawowym narzędziu zarządzania bezpieczeństwem informacji, jakim jest analiza ryzyka. Będzie jak zwykle praktycznie!

Jeśłi chcielibyście dowiedzieć się więcej o regulacjach NIS2 – zapraszamy do lektury pierwszego materiału tego cyklu.

Autor: Michał Pawlak, ekspert cyberbezpieczeństwa. Pracuje w zespole FortCyber – programie zainicjowanym przez Polskie Towarzystwo Informatyczne 

Najważniejsze informacje

Informacje z oddziałów