Należyta staranność – KSC

03 maj 2021
Ryszard Kluska

Czy ktoś dziś o niej pamięta?

Krajowy System Cyberbezpieczeństwa to wymagania dla operatorów usług kluczowych oraz usług cyfrowych.
Czym są te wymagania opisane w dość oszczędny sposób w Ustawie?
W przypadku usług kluczowych, na chwilę obecną wymagania zdefiniowane są jedynie w Ustawie. Projekty rozporządzeń wykonawczych do Ustawy wskazują co prawda na wymagania i wytyczne norm ISO/IEC 27001 oraz ISO 22301. Jednak do czasu ich zatwierdzenia nie należy utożsamiać ich z wymaganiami.
Co mówi sama ustawa o tym jak zapewnić bezpieczeństwo i ciągłość realizacji usług kluczowych?

Dzisiaj przykład dotyczący szacowania ryzyka. Art. 8. pkt. 1 prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem.

Czy czytając literalnie wymaganie ustawy należy napisać na kartce A4 “Ryzyko niskie”, może nawet “Brak podatności”, albo zdanie “z uwagi na brak czynników powodujących ryzyka wystąpienia incydentu, nie identyfikuje się ryzyk dla tego obszaru”?
Ustawa nie definiuje w końcu jak tym ryzykiem mamy zarządzać. Nie zostało wskazane wprost, że powinniśmy określić poziom skutku, poziom prawdopodobieństwa dla zidentyfikowanych ryzyk. Tym bardziej nie mamy obowiązku weryfikować podczas oceny ryzyka, kryteriów uznania prawdopodobieństwa ryzyka wystąpienia incydentu.
Może jednak powinniśmy zachować należytą staranność i przeprowadzić ocenę ryzyka dla systemów informacyjnych wykorzystywanych do świadczenia usługi kluczowej (cytat za Art. 8) zgodną z najlepszymi praktykami na świecie? Pisaliśmy wcześniej w wyjaśnieniach do ustawy, że  cyberbezpieczeństwem na świecie zarządza się z wykorzystaniem standardów ISO/IEC 27001, ISA99, standardami NIST.
Dlaczego więc, mamy nie realizować wymagania ustawy na należytym poziomie dochowując owej należytej staranności. Pojęcia, o którym coraz częściej zapominamy.
Ocena ryzyka przeprowadzona z należytą starannością to:
  • identyfikacja (nazwanie, opisanie, określenie właścicielstwa) systemów będących przedmiotem oceny,
  • wyznaczenie do oceny wszystkich systemów mających wpływ na usługę, ze szczegółowością umożliwiającą skuteczną ocenę bezpieczeństwa,
  • zdefiniowanie (jeżeli jeszcze nie są zdefiniowane) kryteria oceny systemu – czyli co oznacza dla nas system bezpieczny, z niskim prawdopodobieństwem wystąpienia zagrożenia,
  • identyfikacja i ocena słabości – niespełnionych kryteriów – które mogą przyczynić się do powstania incydentu,
  • szacowanie ryzyka – określenie jego poziomu w zestawieniu z krytycznością i oceną słabości zidentyfikowanie działań naprawczych,
  • z obowiązkowym wskazaniem właściciela ryzyka, ale również uzgodnieniem z nim działania,
  • zatwierdzenie działania przez najwyższe kierownictwo,
  • monitorowanie realizacji działania, tak aby w sposób skuteczny zostało wdrożone.

Na pewno takiego opisu oceny ryzyka nie znajdziemy w ustawie. Znajdziemy go w normach i standardach przywoływanych często na stronie cyberustawa.pl. Znajdziemy też w wynikach ocen ryzyka przeprowadzanych przez wiele agencji rządowych krajów w których zarządza się cyberbezpieczeństwem.

Czy w związku z tym powinniśmy zachować należytą staranność i zrobić ocenę ryzyka w krokach zgodnych ze standardami?

Czy po prostu wypełnić kartkę A4 lub prosty arkusz kalkulacyjny i zaraportować zwycięstwo? Jak sądzicie?

#Bezpieczeństwo
#IT
#Testy

Zobacz także

15 gru
#Bezpieczeństwo
#Case Study
#OT
Cross Domain Security w praktyce – wdrożenie bramy bezpieczeństwa

To jedno z tych wdrożeń, które są jednocześnie ciekawe technologicznie i wymagające operacyjnie. Realizacja rozwiązania klasy Cross Domain Security wymaga nie tylko specjalistycznej wiedzy z zakresu cyberbezpieczeństwa, ale także dogłębnego zrozumienia procesów biznesowych oraz rygorystycznych wymagań infrastruktury krytycznej. W tym projekcie kluczowe było połączenie najwyższego poziomu bezpieczeństwa z ciągłością działania systemów IT i OT.

Czytaj dalej arrow
08 gru
#Bezpieczeństwo
#Ciągłość działania
Plan ciągłości działania: Co musi zawierać – 10 kroków do wdrożenia i sukcesu

Świat biznesu mierzy się dzisiaj z nieustanną zmiennością, dlatego Plan ciągłości działania stał się strategicznym narzędziem koniecznym dla organizacji. Choć wiele firm nadal traktuje go jako dodatkowy dokument, w praktyce to Plan ciągłości działania decyduje o tym, czy przedsiębiorstwo poradzi sobie w obliczu poważnych zakłóceń. Bez właściwego przygotowania nawet krótkotrwała awaria może doprowadzić do utraty reputacji, klientów i stabilności finansowej. 

Czytaj dalej arrow
Nie znalazłeś tego, czego szukasz?
Napisz do nas arrow