Все частіше ми чуємо не стільки про інформаційну безпеку, скільки про кібербезпеку та її важливість для кожного, як приватної особи, так і для організації, для держави тощо.
Чи всі добре розуміють, що таке кібербезпека?
Згідно з визначенням, що надано в Законі про національну систему кібербезпеки Польщі, кібербезпека — це стійкість інформаційних систем до діяльності, яка порушує конфіденційність, цілісність, доступність та достовірність оброблених даних або супутніх послуг, що пропонуються цими системами. Дуже схоже визначення можна знайти в стандарті ISO/IEC 27032 кібербезпека – збереження конфіденційності, цілісності та доступності інформації в кіберпросторі.
Забезпечення кібербезпеки є досить складним завданням, особливо коли ми говоримо про організації. Існує багато стандартів, норм і правових положень, пов’язаних з інформаційною безпекою та кібербезпекою, які час від часу змінюються, а нові нормативні акти регулярно з’являються. Ми намагаємося постійно бути в курсі та інформувати вас, тому раджу вам підписатися на інформаційний бюлетень IKMJ та слідкувати за нашими новинами.
Найпопулярнішим і визнаним стандартом є ISO/IEC 27001 Інформаційні технології – Методи безпеки – Системи управління інформаційною безпекою – Вимоги. Стандарт ISO/IEC 27001 підлягає сертифікації, є стандарти з сімейства ISO 27000, які допомагають у впровадженні 27001, надають різні поради та передові практики (ISO/IEC 27002, ISO/IEC 27005, ISO/IEC 27007 тощо). IKMJ допоможе вам на кожному етапі впровадження, обслуговування або вдосконалення систем управління інформаційною безпекою та кібербезпекою.
Однак існують стандарти, які більше орієнтовані на організації, що застосовують певні технологічні рішення, наприклад стандарти серії IEC 62443 «Безпека в промисловій автоматизації та системах управління» (IACS). Серія стандартів IEC 62443 передбачає вимоги відповідності для всіх організацій, які підтримують власників активів у впровадженні технічних і процедурних заходів безпеки для захисту операційних об’єктів від кіберзагроз, зосереджено на OT – операційних технологіях, а не на ІТ.
Ці стандарти охоплюють багато сфер і можуть широко використовуватися, що підтверджено Міжнародною Електротехнічною Комісією (IEC). Серію стандартів IEC 62443 можна визначити як комплексну, оскільки вони охоплюють різні структурні аспекти стратегії безпеки, такі як люди, процеси та технології. Стандарти даної серії згруповані в чотири групи, включаючи:
- загальні поняття, визначення та теми, спільні для серії;
- політики та процедури безпеки IACS, включаючи вимоги до програм безпеки для власників активів, постачальників послуг і постачальників рішень, а також методологію оцінки рівня захисту, наданого чинним IACS;
- технічні вимоги та методологія оцінки ризиків кібербезпеки на загальносистемному рівні;
- вимоги до безпечного життєвого циклу компонентів системи та вимоги безпеки до них на технічному рівні.
Система управління кібербезпекою (CSMS), запропонована стандартом IEC 62443, складається з шести основних елементів:
- впровадити програму CSMS (щоб надати інформацію, необхідну для отримання підтримки керівництва);
- оцінити ризики високого рівня (виявлення та визначення пріоритетів загроз);
- детальна оцінка ризику (детальна оцінка технічної вразливості);
- встановити правила безпеки, організації та поінформованості;
- вибрати і впровадити контрзаходи (для зниження ризику для організації);
- підтримувати CSMS (щоб переконатися, що CSMS залишається ефективною і підтримує цілі організації).
Чи ви плануєте впровадити у своїй організації Систему управління інформаційною безпекою або Систему управління кібербезпекою? У вас є запитання щодо стандартів, які найкраще підійдуть для вашої організації? Не соромтеся звертайтеся до нас!
Автор: Марина Кучинська
Використані джерела:
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Польський Закон від 5 липня 2018 року про національну систему кібербезпеки
ISASecure: “IEC 62443 – SDLA Certification;” https://www.isasecure.org/en-US/Certification/IEC-62443-SDLA-Certification-(1).
ISA/IEC-62443-3-2: “Security for Industrial Automation and Control Systems: Security Risk Assessment and System Design,” 2015.
