audyt cyber bezpieczenstwa coe

O audycie cyberbezpieczeństwa można pisać i mówić w różnym kontekście, albowiem temat cyberbezpieczeństwa jest obecnie jednym z dominujących tematów IT, czy też bezpieczeństwa biznesowego w ostatnich kilku latach, przynajmniej w niektórych branżach. Stało się tak głównie za sprawą ogłoszenia ustawy wprowadzającej dyrektywę NISi, tj. Ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2018 poz. 1560) z dn. 05.07.2018. I tylko w takim kontekście jest opisana poniżej nasza usługa. Nie podejmujemy tutaj tematów hackingu, etc., gdyż w tych tematach wypowiadają się inni eksperci.

Nasza kluczowa kompetencja – audytingu jest tutaj wystawiona na zderzenie się potrzeb i oczekiwań zainteresowanych stron, tj. operatora usług kluczowych i regulatora. Związane są one bowiem z koniecznością wykonania audytu cyberbezpieczeństwa potwierdzającego efektywne wdrożenie wymagań wspomnianej ustawy. Można więc powiedzieć od otrzymania decyzji administracyjnej przez operatora usług kluczowych i wyznaczenie osoby odpowiedzialnej za kontakt z regulatorem, poprzez opisanie usługi kluczowej, analizę ryzyka dla niej, doboru zabezpieczeń, po opracowanie stosownej dokumentacji – procedur i polityk opartych na normach ISO/IEC 27001 oraz ISO 22301, po testowanie rozwiązań. A przede wszystkim postępowanie w przypadku wystąpienia incydentu – od jego identyfikacji, po zgłoszenie do odpowiedniego CSIRT’u. Radzenie sobie z incydentami jest przejawem dojrzałości każdego systemu bezpieczeństwa informacji i ciągłości działania.

i Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE.

coe-audyt-cyberbezpieczenstwa

Opisane na naszych podstronach usługi certyfikacji systemów zarządzania opartych na standardach ISO/IEC 27001, ISO 22301 mogą stanowić ważny element budowania wiarygodności beneficjentów tych standardów na rynku usług kluczowych w zdefiniowanych ustawą sektorach. Są one wymienione wprost w dokumentach regulacyjnych, dlatego mogą być przedmiotem wdrożenia, a czasami także certyfikacji. Warto jednak przy budowaniu systemu cyberbezpieczeństwa w organizacji zmapować dokładnie usługę kluczową, bo może ona mieć wiele interfejsów związanych np. z naszymi partnerami, którzy dostarczają nam usługi wchodzące w jej zakres, ale także wykraczać poza wymagania standardu.

Wykorzystanie w takim przypadku innych norm z rodziny serii ISO 27000, oraz standardów NIST, etc. może pozwolić organizacji zbudować skuteczny i efektywny system reagowania na incydenty cyberbezpieczeństwa. Wiadomo, że w obecnym wydaniu norma nie podnosi w załączniku wymagań dotyczących cyberbezpieczeństwa, ale odnosi się do wymagań prawnych. Ale podobna sprawa może dotyczyć wymagań dotyczących AI (Artificial Intelligence), czy też ML (Machine Learning), które chcielibyśmy włączyć do systemu bezpieczeństwa informacji. Dlatego tak ważnym jest wykorzystanie myślenia systemowego i zbudowanie interfejsu ze standardem podstawowym poprzez dodanie kolejnego wymagania do załącznika, czy też rozszerzenie obecnych wymagań o te specyficzne dla kontekstu.

Takim wsparciem mogą być np. ISO/IEC 27035-1 do 3 dotyczące zarządzania incydentami ICT, ale także ISO 22320 w tym samym zakresie ale w kontekście ciągłości działania. Tak można wymienić jeszcze co najmniej kilka standardów, które mogą zainspirować nas do tworzenia własnych, dopasowanych rozwiązań.

audyt cyber bezpieczenstwa

Na mocy w/w ustawy – „…Art. 15. 1. Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem”, jesteśmy przygotowani do świadczenia takiej usługi. Zbudowany przez nas zespół zapewnia pokrycie wszystkich niezbędnych kompetencji w obszarze bezpieczeństwa informacji oraz ciągłości działania. Nie włączamy do audytu testów penetracyjnych, bo nie taka jest rola audytu, a ponadto ich włączenie podniosłoby bardzo koszty audytu.

Jest to nieuzasadniona opcja audytowa, szczególnie dla podmiotów publicznych. Audytorzy wchodzący w skład zespołu audytowego pokrywają swoimi kompetencjami wymagania określone w rozporządzeniu Dz.U. 2018 poz. 1999 z dn.12.10.2018 – w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu. Raport audytu KSC opracowywany przez naszą jednostkę jest wzorowany na szablonie ISSA rekomendowanego przez Ministerstwa Cyfryzacji.

Zapraszamy do kontaktu.
Zespół Centre of Excellence.

“Jedyną stałą rzeczą w życiu jet zmiana”

Peter F. Drucker

Przewiń do góry