Jak zyskać bezpieczeństwo i zgodność z regulacjami?

Częstotliwość i skuteczność cyberataków w połączeniu z pogłębiającymi się różnicami w podejściu do regulacji bezpieczeństwa ICT w krajach UE, spowodowały koncentrację unijnych regulatorów nad kwestiami ochrony klientów, organizacji, danych czy dostępów. Firmy mogą zyskać bezpieczeństwo i zgodność z wymogami dzięki profesjonalnym partnerom, którzy oferują takie rozwiązania, jak: chmura prywatna, testy penetracyjne oraz Systemy Zarządzania Bezpieczeństwem Informacji.

Regulacje obowiązujące w Polsce

Najważniejszym dokumentem, który reguluje w Polsce kwestie bezpieczeństwa IT jest Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC). Określa ona tzw. operatorów usług kluczowych (OUK), czyli firmy oraz instytucje świadczące usługi o istotnym znaczeniu dla działalności społecznej lub gospodarczej.

Od momentu wprowadzenia UKSC w 2018 r. zakres podmiotów zaliczanych do OUK rozszerza się i dziś obejmuje sektory:

• Energetyczny,
• Transportowy,
• Finansowy,
• Ochrony zdrowia,
• Zaopatrzenia w wodę pitną,
• Infrastruktury cyfrowej.

Do najważniejszych obowiązków operatorów usług kluczowych, a także samorządów ustawa zalicza:

• Zarządzanie ryzykiem i wdrażanie odpowiednich do niego środków bezpieczeństwa (technicznego i operacyjnego),
• Zarządzanie podatnościami na incydenty,
• Zbieranie informacji o zagrożeniach cyberbezpieczeństwa,
• Zgłaszanie oraz obsługa incydentów.

Chmura wspiera także finanse i medycynę

Aktualnie w Polsce szczególny nacisk kładzie się na bezpieczeństwo najbardziej wrażliwych sektorów: medycyny i finansów. Wskazuje na to jedno z najnowszych zarządzeń Prezesa NFZ w sprawie finansowania poziomu bezpieczeństwa systemów teleinformatycznych, a także obowiązujące już od kilku lat wytyczne Komisji Nadzoru Finansowego.

Wiele zawartych w nich wymogów rozwiązuje przeniesienie zasobów do chmury prywatnej oferowanej przez centra danych. Znajdujące się w Polsce i posiadające certyfikacje ISO 27001 Data Center oferują różnorodne technologie, monitoring oraz regularne audyty całości środowiska. Tym samym pozwalają spełnić nawet najmniejszym podmiotom ścisłe wymogi prawne dotyczące wdrożonych procedur i posiadanych zabezpieczeń.

W profesjonalnych centrach danych bezpieczeństwo oparte jest m.in. na stałej ochronie oraz monitoringu wszystkich parametrów budynku, systemach alarmowych, klimatyzacji i redundancji - zasilania, chłodzenia oraz połączenia do sieci Internet.

Paweł Król Cloud Systems Delivery Coordinator w MAIN Data Center

Szczegółowe zarządzenia, choć obowiązują aktualnie w wybranych sektorach, wraz z dalszym rozwojem zagrożeń będą z pewnością rozszerzane na pozostałe branże.

Skuteczne zarządzanie podatnościami

Wiele organizacji wykorzystuje skany, aby spełnić wymóg zarządzania podatnościami. Jest to krok w dobrą stronę, ale znacznie skuteczniejszym rozwiązaniem są testy penetracyjne infrastruktury IT (tzw. pentesty), które identyfikują realne słabości środowisk, nie tylko potencjalne.

Nie wszystkie odnalezione w oprogramowaniu czy systemach podatności można skutecznie wykorzystać. Testy penetracyjne pozwalają rozpoznać poziom ryzyka związanego z daną słabością oraz jej negatywny wpływ na działalność organizacji.

Kamil Wiśniewski Cyber Security Architect w MAIN Interconnection

Przeprowadzanie pentestów nie tylko pozwala zachować zgodność z wymogami prawnymi, ale też umożliwia:

• Minimalizację ryzyka ataków ransomware i wycieków danych,
• Weryfikację możliwości zespołów SOC (Security Operations Center) w zakresie monitorowania nadużyć.

Istotną korzyścią z przeprowadzenia testów penetracyjnych, szczególnie dla działów IT, jest możliwość dokładnego przedstawienia słabości oraz ryzyka wynikającego z braku odpowiednich narzędzi ochrony. Tym samym stanowią one doskonały argument dla rozwoju rozwiązań zwiększających bezpieczeństwo w organizacjach i ułatwiają negocjacje budżetowe z zarządem.

System Zarządzania Bezpieczeństwem Informacji

Chociaż aktualnie obowiązujące w Polsce przepisy nie nakazują bezpośrednio wdrożenia międzynarodowej normy ISO 27001, to większość wymogów i rekomendacji opiera się właśnie na niej. Dlatego już teraz warto wprowadzić Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), który zapewnia pełną zgodność z ISO 27001.

SZBI obejmuje wszystkie zagadnienia dotyczące ochrony danych przetwarzanych przez organizację i systematyzuje polityki, instrukcje, zasady oraz działania w tym obszarze.

Maciej Bartkowski Head of Security Department w MAIN Interconnection

W ramach tego Systemu organizacje zarządzają podatnościami i przygotowują się na incydenty bezpieczeństwa – opracowują procedury pozwalające zminimalizowanie ich wpływu oraz ułatwiają raportowanie do regulatorów, takich jak UODO.

Wdrożenie SZBI niesie ze sobą też szereg innych korzyści, m.in.:

• Znacząco zwiększa wiarygodność – stawiając na bezpieczeństwo, firmy pokazują, że są odpowiedzialnym dostawcą, producentem czy partnerem biznesowym,
• Umożliwia identyfikację oraz oznaczenie wszelkiego rodzaju aktywów informacyjnych istniejących w organizacji.

Bezpieczeństwo i zgodność z wymogami

Szeroko zakrojone ataki cybernetyczne oraz wymogi prawne obejmujące kolejne sektory są poważnymi argumentami za wprowadzeniem zarządzania podatnościami, analizy ryzyka oraz procedur minimalizujących zagrożenia dotykające środowiska IT.

Rozwiązaniami wspierającymi polskie firmy w zachowaniu zgodności, a także należytej ochronie danych i systemów, są oferowane przez profesjonalnych dostawców chmura prywatna, testy penetracyjne, jak również oparty o międzynarodowy certyfikat ISO 27001 System Zarządzania Bezpieczeństwem Informacji.