Bezpieczeństwo informacji, Cyberbezpieczeństwo a seria norm IEC 62443

Coraz częściej słyszymy nie tyle o bezpieczeństwie informacji, lecz o cyberbezpieczeństwie i jego istotnym znaczeniu dla każdego (jako osoby prywatnej), dla organizacji, dla państwa itd.

Czy każdy dobrze rozumie czym jest cyberbezpieczeństwo?

Zgodnie z definicją, którą podaje ustawa o krajowym systemie cyberbezpieczeństwa, cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Bardzo podobną definicję znajdziemy w normie ISO/IEC 27032: Cyberbezpieczeństwo (cyber seacurity) – zachowanie poufności, integralności i dostępności informacji w cyberprzestrzeni.

Zapewnienie cyberbezpieczeństwa stanowi dość spore wyzwanie, zwłaszcza gdy mówimy o organizacjach. Istnieje sporo standardów, norm oraz przepisów prawnych związanych z bezpieczeństwem informacji oraz cyberbezpieczeństwem, które co jakiś czas są nowelizowane. Oprócz tego regularnie pojawiają się nowe regulacje. Staramy się ciągle być na bieżąco oraz informować Was, dlatego zachęcam korzystać z newslettera IKMJ oraz śledzić nasze aktualności.

Zobacz podobne  Audytowanie Systemu Zarządzania Bezpieczeństwem Informacji. Norma ISO/IEC 27007:2020

Najbardziej popularną i uznawaną normą jest ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania. Norma ISO/IEC 27001 podlega certyfikacji, są normy z rodziny ISO 27000, które pomagają we wdrożeniu 27001, dostarczają różnego rodzaju wskazówki oraz dobre praktyki (ISO/IEC 27002, ISO/IEC 27005, ISO/IEC 27007 itd.). IKMJ pomoże na każdym etapie wdrożenia, utrzymania lub doskonalenia systemów zarządzania bezpieczeństwem informacji oraz cyberbezpieczeństwem.

Istnieją jednak normy, które są bardziej skierowane do organizacji stosujących pewne rozwiązania technologiczne, np. seria norm IEC 62443 Bezpieczeństwo w systemach sterowania i automatyki przemysłowej (IACS – Industrial Automation and Control Systems).  Seria norm IEC 62443 zapewnia wymagania zgodności dla wszystkich podmiotów wspierających właścicieli aktywów we wdrażaniu technicznych i proceduralnych środków bezpieczeństwa dla ochrony działających obiektów przed cyberzagrożeniami, skupia się na OT – technologiach operacyjnych nie na IT.

Zobacz podobne  Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 1

 

Normy te obejmują wiele obszarów i mogą być szeroko stosowane, co potwierdza Międzynarodowa Komisja Elektrotechniczna (IEC). Można określić serie norm IEC 62443 jako  całościową, ponieważ obejmują one różne aspekty strukturalne strategii bezpieczeństwa, takie jak ludzie, procesy i technologie. Normy danej serii są pogrupowane na cztery grupy obejmujące:

  • ogólne pojęcia, definicje i tematy wspólne dla serii;
  • polityki i procedury związane z bezpieczeństwem IACS, w tym wymagania dotyczące programów bezpieczeństwa dla właścicieli aktywów, dostawców usług i dostawców rozwiązań, a także metodologia oceny poziomu ochrony zapewnianej przez obecny IACS;
  • wymagania techniczne i metodykę oceny ryzyka cyberbezpieczeństwa na poziomie ogólnosystemowym;
  • wymagania dotyczące bezpiecznego cyklu życia komponentów systemu oraz wymagania bezpieczeństwa dla nich na poziomie technicznym.

Proponowany przez normę IEC 62443 system zarządzania cyberbezpieczeństwem (CSMS – Cyber Seacurity Management System) składa się z sześciu głównych elementów:

  • Zainicjowanie programu CSMS (w celu dostarczenia informacji potrzebnych do uzyskania wsparcia ze strony kierownictwa);
  • Ocena ryzyka wysokiego poziomu (identyfikacja i ocena priorytetu zagrożeń);
  • Szczegółowa ocena ryzyka (szczegółowa ocena techniczna podatności);
  • Ustalenie zasady bezpieczeństwa, organizacji i świadomości;
  • Wybór i wdrożenie środków zaradczych (w celu zmniejszenia ryzyka dla organizacji);
  • Utrzymanie CSMS (aby zapewnić, że CSMS pozostaje skuteczny i wspiera cele organizacji).
Zobacz podobne  Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 2

Zastanawiacie się nad wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji lub Systemu Zarządzania Cyberbezpieczeństwem w organizacji? Macie pytania na temat norm, które będą najbardziej odpowiadać waszej organizacji? Zapraszamy do kontaktu z nami!

Autor: Maryna Kuczyńska (5504)

Wykorzystane źródła:

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

ISASecure: “IEC 62443 – SDLA Certification;” https://www.isasecure.org/en-US/Certification/IEC-62443-SDLA-Certification-(1).

ISA/IEC-62443-3-2: “Security for Industrial Automation and Control Systems: Security Risk Assessment and System Design,” 2015.

Scroll to Top