Rzut oka na standardy w cyberbezpieczeństwie

Home / Aktualności / Rzut oka na standardy w cyberbezpieczeństwie

Bezpieczeństwo cyfrowe to jest kwestią na tyle istotną, że nikt na świecie – może prócz pionierów mających do dyspozycji dobrze wyposażone laboratoria i na czas na ich wykorzystanie – nie wdraża rozwiązań metodą prób i błędów. Wszystkie technologie, procesy i role są (a przynajmniej być powinny) testowane – czy to podczas tzw. „war games” czy podczas organizacyjnych audytów IT. Role w bezpieczeństwie IT cechują się dużą odpowiedzialnością dlatego wykorzystanie ustandaryzowanych najlepszych praktyk jest powszechne. W końcu chodzi o obronę kluczowych zasobów organizacji.

Standardy pozwalają zdefiniować zestaw wymaganych rekomendacji i założeń, pozwalających uzyskać pożądany stan w danym obszarze. Działają niczym kryteria poprawności – procesu, technologii czy metody. Za ich ustalenia odpowiadają organizacje standaryzacyjne, branżowe, międzynarodowe lub Państwowe.

Poniżej prezentujemy kluczowe naszym zdaniem organizacje publikujące standardy z zakresu cyberbezpieczeństwa. Ich ślady widzimy w pracy z naszymi Klientami – w wynikach bądź kryteriach audytów, politykach bezpieczeństwa, portfolio oprogramowania z zakresu bezpieczeństwa IT czy regułach skonfigurowanych w tymże oprogramowaniu.

Międzynarodowe standardy:

Regionalne- UE:

Regionalne- UK:

Branżowe:

Poniżej krótko omówimy najważniejsze z powyższych i ich zakres:

Ogólne standardy – ISO:

ISO/IEC TS 27100:2020, Technologie informacyjne — Cyberbezpieczeństwo

Publikowany przez: ISO
Ten dokument zawiera ogólny przegląd cyberbezpieczeństwa:
a) opisuje cyberbezpieczeństwo i odpowiednie pojęcia, w tym sposób, w jaki jest ono powiązane z bezpieczeństwem informacji i różni się od niego;
b) ustala kontekst cyberbezpieczeństwa;
c) nie obejmuje wszystkich terminów i definicji mających zastosowanie do
cyberbezpieczeństwa; oraz
d) nie ogranicza innych standardów w definiowaniu nowych pojęć związanych z
cyberbezpieczeństwem
Norma ma zastosowanie do wszystkich typów i rozmiarów organizacji (np. przedsiębiorstw handlowych, agencji rządowych, organizacji non-profit).

ISO/IEC 27102:2019, Zarządzanie bezpieczeństwem informacji – Wytyczne dla cyber-ubezpieczeń

Dokument zawiera wytyczne dotyczące rozważania zakupu cyber-ubezpieczenia jako opcji postępowania z ryzykiem w celu zarządzania skutkami cyberincydentu w ramach zarządzania ryzykiem bezpieczeństwa informacji w organizacji.
Niniejszy dokument zawiera wytyczne dotyczące:

a) rozważenie zakupu ubezpieczenia cybernetycznego jako opcji postępowania z ryzykiem w celu dzielenia się ryzykiem cybernetycznym;
b) wykorzystanie cyber-ubezpieczeń do pomocy w zarządzaniu skutkami incydentu
cybernetycznego;
c) udostępnianie danych i informacji pomiędzy ubezpieczonym a ubezpieczycielem w celu
wsparcia czynności underwritingowych, monitoringowych i szkodowych związanych z cyberpolisą ubezpieczeniowa;

d) wykorzystanie systemu zarządzania bezpieczeństwem informacji podczas udostępniania istotnych danych i informacji dla ubezpieczyciela.

Ten dokument ma zastosowanie do organizacji wszelkiego rodzaju, wielkości i charakteru, aby pomóc w planowaniu i zakupie ubezpieczenia cybernetycznego przez organizację.

ISO / IEC TR 27103: 2018, Technologia informacyjna – Techniki bezpieczeństwa – Cyberbezpieczeństwo oraz normy ISO i IEC – zawiera wskazówki dotyczące wykorzystania istniejących standardów w ramach cyberbezpieczeństwa.

ISO / IEC 27032: 2012, Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dotyczące cyberbezpieczeństwa

Zawiera wskazówki dotyczące poprawy stanu cyberbezpieczeństwa, zwracając uwagę na unikalne aspekty tej działalności i jej zależności od innych domen bezpieczeństwa. Obejmuje podstawowe praktyki bezpieczeństwa dla interesariuszy w cyberprzestrzeni.
Niniejsza Norma Międzynarodowa zapewnia:
a) przegląd cyberbezpieczeństwa,
b) wyjaśnienie związku między cyberbezpieczeństwem a innymi rodzajami bezpieczeństwo,
c) definicję interesariuszy oraz opis ich ról w cyberbezpieczeństwie,
d) wytyczne dotyczące rozwiązywania typowych problemów z cyberbezpieczeństwem, oraz
e) ramy umożliwiające zainteresowanym stronom współpracę przy opracowywaniu zagadnienia cyberbezpieczeństwa.

ISO/IEC TS 27110:2021, Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines

Niniejsza specyfikacja techniczna określa wytyczne dotyczące opracowania ram cyberbezpieczeństwa. Ma zastosowanie do twórców ram cyberbezpieczeństwa niezależnie od ich organizacji, typu, wielkości czy charakteru.

ISO/IEC TR 27109, Technologia informacyjna — Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności — Edukacja i szkolenia w zakresie cyberbezpieczeństwa

Ten dokument zawiera najnowocześniejsze informacje na temat edukacji i szkoleń w zakresie cybernetyki, przydatne dla osób zaangażowanych w cyberbezpieczeństwo, takich jak

ISO / IEC DIS 27400 Cyberbezpieczeństwo – Bezpieczeństwo IoT i prywatność – Wytyczne

Niniejszy dokument zawiera wskazówki dotyczące zasad, zagrożeń (informacyjnych) oraz odpowiednich mechanizmów kontroli bezpieczeństwa informacji i prywatności w celu złagodzenia tych zagrożeń dla Internetu Rzeczy.

Regionalne- ENISA:

ENISA Cyberbezpieczeństwo dla MŚP – wyzwania i zalecenia

W odpowiedzi na pandemię COVID19 ENISA przeanalizowała zdolność małych i średnich przedsiębiorstw (MŚP) w UE do radzenia sobie z wyzwaniami związanymi z cyberbezpieczeństwem stwarzanym przez pandemię i określiła dobre praktyki, aby sprostać tym wyzwaniom. Raport zawiera porady dotyczące cyberbezpieczeństwa dla MŚP, ale także propozycje działań, które państwa członkowskie powinny rozważyć, aby wesprzeć MŚP w poprawie ich postawy w zakresie cyberbezpieczeństwa.

Narodowe:

NIST Cybersecurity Framework (CSF)

NIST Framework for Improving Critical Infrastructure Cybersecurity to zestaw wytycznych dotyczących ograniczania ryzyka cyberbezpieczeństwa organizacji, w oparciu o istniejące standardy, wytyczne i praktyki. Ramy zapewniają wysokopoziomową taksonomię wyników cyberbezpieczeństwa oraz metodologię oceny tych wyników i zarządzania nimi. Te ramy są dobrowolne, jednak przez wiele organizacji stosowane jako jeden z obligatoryjnych standardów
do spełnienia.

NCSC Cyber Assessment Framework

Cyber Assessment Framework (CAF) zapewnia systematyczne i kompleksowe podejście do oceny zakresu, w jakim cyberzagrożenia dotyczące podstawowych funkcji są zarządzane przez odpowiedzialną organizację. Jest przeznaczony do użytku przez samą organizację (samoocena) lub przez niezależny podmiot zewnętrzny, ewentualnie organ regulacyjny.
Zasady NCSC dotyczące bezpieczeństwa cybernetycznego i odporności stanowią podstawę CAF. 14 zasad jest zapisanych w kategoriach wyników, tj. specyfikację tego, co należy osiągnąć, a nie listę kontrolną tego, co należy zrobić. CAF dodaje dodatkowe poziomy szczegółowości do zasad najwyższego poziomu, w tym zbiór ustrukturyzowanych zestawów wskaźników dobrej praktyki (IGP).

Branżowe:

PCI DSS 2

PCI DSS 2.0 (Payment Card Industry Data Security Standard Version 2.0) to druga wersja standardu Payment Card Industry Data Security Standard (PCI DSS). P Według Payment Card Industry (PCI) Security Standards Council wersja 2.0 nie wprowadza żadnych większych zmian do 12 wymagań. Wprowadzono drobne poprawki językowe w celu wyjaśnienia znaczenia wymagań. Wersja 2.0 wzmacnia potrzebę dokładnego określenia zakresu przed oceną i promuje bardziej efektywne zarządzanie logami. Rozszerza również wymagania walidacyjne dotyczące oceny podatności w środowisku handlowym. W rezultacie organizacje mogą teraz korzystać z najlepszych praktyk branżowych, aby ustalać priorytety podatności.

ISACA IT Risk Framework

IT Risk Framework oferuje wytyczne i praktyki, które optymalizują ryzyko, szanse, bezpieczeństwo i wartość biznesową, a także pomagają budować konsensus w zakresie decyzji IT dotyczących ryzyka na wszystkich poziomach przedsiębiorstwa. Najnowszy ITF kładzie nacisk na cyberbezpieczeństwo i jest zgodny z najnowszą wersją COBIT.

•Risk IT Framework oferuje ustrukturyzowaną, systematyczną metodologię, która pomaga przedsiębiorstwom:
•Identyfikować obecne i pojawiające się ryzyko w całym rozszerzonym przedsiębiorstwie
•Rozwijać odpowiednie zdolności operacyjne, aby zapewnić, że procesy biznesowe będą nadal
działać w przypadku zdarzeń niepożądanych
•Umieścić ryzyko związane z I&T w kontekście biznesowym, aby zrozumieć zagregowaną ekspozycję pod względem wartości przedsiębiorstwa

Słowem podsumowania…

Najważniejsze jest, że to do organizacji należy decyzja, które standardy wdroży. Parametrów wyboru jest wiele jednak kluczowymi są:
I. Branża, w której działa przedsiębiorstwo
II. Certyfikacje/standardy, których wdrożenie doceniają ich klienci
III. Wielkość przedsiębiorstwa
IV. Obecna infrastruktura i związane z nią ryzyko
V. Apetyt na ryzyko organizacji
VI. Dostępny budżet na cyberbezpieczeństwo


Analizują powyższe możemy priorytetyzować nie tylko wdrożenie poszczególnych standardów ale nawet ich części. Nie zawsze bowiem trzeba standard wdrażać w całości – na koniec dnia liczy się praktyczna możliwość zapewnienia bezpieczeństwa, a nie oprawiony certyfikat zgodności na ścianie.


Jako specjaliści w zakresie wdrożeń bezpieczeństwa chętnie dzielimy się wiedzą na temat narzędzi wspierających wspomniane zapewnienie bezpieczeństwa – niektóre z nich mogą przełożyć się 1:1 do uzyskania widoczności i mechanizmów kontroli wymaganych przez daną normę. Napisz do nas, a powiemy Ci więcej!

Powiązane artykuły

SASE & SSE - fundamenty
Predykcje na rok 2022 by Mandiant
Bezpieczne bramki proxy – by chronić, trzeba uwierzytelnić
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji