Jesteśmy partnerem dla najbardziej wymagających klientów, dostarczając im najwyższej klasy rozwiązania i usługi w oparciu o doświadczenie wiodących na świecie dostawców zaawansowanych technologii informatycznych.
Aby skutecznie bronić się przed cyber zagrożeniami musimy mieć świadomość aktualnego stanu infrastruktury jak również procedur i planowanych działań. Aktualne przepisy prawa jasno określają wymagania dotyczące cyberbezpieczeństwa w przedsiębiorstwach:
Określa sposoby zarządzania i ochrony informacji, metody zarządzania ryzykiem w przedsiębiorstwie.
Podpisana w grudniu 2022 roku przez Komisję Europejską znacząco poszerza obowiązki i zakres podmiotów, których cyberbezpieczeństwo dotyczy. Pełna treść dyrektywy – https://www.gov.pl/web/infrastruktura/informacje-biezace
Normy i metody opisane w NIST Cyber Security Framework. Więcej informacji – https://www.nist.gov/cybersecurity
Pełna treść ustawy – https://www.gov.pl/web/cyfryzacja/krajowy-system-cyberbezpieczenstwa-
Więcej informacji – https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
Norma ISO 27001 to międzynarodowy standard dotyczący zarządzania bezpieczeństwem informacji. Pełna nazwa tej normy to „ISO/IEC 27001:2013 – Technika informatyczna – Systemy zarządzania bezpieczeństwem informacji – Wymagania”.
ISO 27001 określa wymagania dotyczące tworzenia, wdrażania, utrzymywania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (ISMS – Information Security Management System). ISMS to systemowe podejście do zarządzania wrażliwymi danymi firmy, zapewniające ich bezpieczeństwo, integralność i dostępność.
Certyfikacja ISO 27001 jest dowodem na to, że organizacja przestrzega międzynarodowych standardów w zakresie zarządzania bezpieczeństwem informacji, co może być kluczowe w budowaniu zaufania wśród klientów i partnerów biznesowych.
Identyfikacja zagrożeń, ryzyka i określenie sposobów jego minimalizacji.
Określenie zasad i procedur dotyczących zarządzania bezpieczeństwem informacji.
Określenie i zarządzanie zasobami, które są niezbędne do zapewnienia bezpieczeństwa informacji.
Określenie zasad dostępu do informacji, aby zapewnić dostęp do określonych danych tylko osobom do tego uprawnionym.
Regularne monitorowanie i przegląd systemu zarządzania bezpieczeństwem informacji w celu jego doskonalenia.
Dyrektywa NIS2 (Network and Information Security Directive 2) to akt prawny Unii Europejskiej, który ma na celu wzmocnienie bezpieczeństwa sieci i systemów informatycznych w państwach członkowskich UE. Jest ona kontynuacją i rozszerzeniem wcześniejszej Dyrektywy NIS (Dyrektywa o Bezpieczeństwie Sieci i Informacji) z 2016 roku, która była pierwszym wspólnym europejskim aktem prawnym dotyczącym bezpieczeństwa cybernetycznego.
NIS2 ma na celu lepsze dostosowanie przepisów do dynamicznie zmieniającego się środowiska zagrożeń cybernetycznych oraz zwiększenie odporności Europy na cyberataki.
Dyrektywa nakłada na kraje członkowskie obowiązek zastosowania środków, które wzmocnią ochronę przed cyberzagrożeniami w sektorach kluczowych dla funkcjonowania społeczeństwa i gospodarki, takich jak energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa oraz dostawcy usług kluczowych.
W porównaniu do pierwszej wersji dyrektywy, NIS2 obejmuje większą liczbę podmiotów, w tym średnie i duże przedsiębiorstwa z sektora prywatnego, a także dostawców usług cyfrowych i krytycznych, takich jak usługi w chmurze, infrastruktura centrów danych czy platformy społecznościowe.
Organizacje muszą wdrożyć środki zarządzania ryzykiem, które obejmują m.in. ocenę ryzyka cybernetycznego, zabezpieczenia techniczne i organizacyjne, polityki reagowania na incydenty oraz procedury zarządzania ciągłością działania.
Firmy i organizacje objęte dyrektywą są zobowiązane do zgłaszania incydentów bezpieczeństwa cybernetycznego organom krajowym w określonym czasie.
Dyrektywa NIS2 zakłada lepszą koordynację między krajami UE, w tym stworzenie systemów wymiany informacji na temat zagrożeń i incydentów cybernetycznych.
Dyrektywa przewiduje surowe kary dla podmiotów, które nie przestrzegają wymogów dotyczących cyberbezpieczeństwa.
NIST Cybersecurity Framework (CSF) to zbiór wytycznych opracowany przez National Institute of Standards and Technology (NIST) w Stanach Zjednoczonych, który ma na celu pomoc organizacjom w zarządzaniu ryzykiem związanym z cyberbezpieczeństwem. Zalecenia te są szeroko stosowane nie tylko w USA, ale także globalnie, jako standardowe podejście do ochrony infrastruktury informatycznej.
NIST Cybersecurity Framework jest uważany za jedno z najważniejszych narzędzi w dziedzinie zarządzania cyberbezpieczeństwem i jest szeroko stosowany.
Kluczowe elementy NIST Cybersecurity Framework:
1. Funkcje podstawowe (Core Functions):
2. Profile (Profile): Indywidualne dostosowanie ramy do określania specyficznych potrzeb i ryzyka danej organizacji. Organizacje mogą tworzyć profile, które odzwierciedlają ich obecny stan bezpieczeństwa oraz cele do osiągnięcia.
3. Poziomy dojrzałości (Implementation Tiers): NIST CSF wprowadza koncepcję poziomów dojrzałości, które pomagają organizacjom ocenić, jak dobrze zarządzają ryzykiem. Poziomy te opisują różne etapy zaawansowania, od podstawowego do zaawansowanego (gdzie organizacja w pełni wdrożyła proaktywne i zintegrowane procesy zarządzania ryzykiem).
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) to polska ustawa, która weszła w życie w 2018 roku, mająca na celu wzmocnienie bezpieczeństwa cybernetycznego w Polsce. Ustawa implementuje postanowienia unijnej dyrektywy NIS (Network and Information Systems Directive), której celem jest podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych w krajach członkowskich Unii Europejskiej.
Kluczowe elementy ustawy o Krajowym Systemie Cyberbezpieczeństwa:
1. Krajowy System Cyberbezpieczeństwa: Ustawa ustanawia Krajowy System Cyberbezpieczeństwa, który obejmuje organy administracji publicznej, operatorów usług kluczowych, dostawców usług cyfrowych oraz inne podmioty związane z bezpieczeństwem cybernetycznym w Polsce. System ten ma na celu zapewnienie koordynacji działań związanych z ochroną cyberprzestrzeni kraju.
2. Operatorzy usług kluczowych: Ustawa definiuje, kto jest operatorem usług kluczowych (np. firmy energetyczne, wodociągowe, sektor bankowy), czyli które podmioty mają istotne znaczenie dla społeczeństwa i gospodarki. Operatorzy ci są zobowiązani do wdrożenia środków technicznych i organizacyjnych, które zapewnią odpowiedni poziom bezpieczeństwa ich systemów informacyjnych.
3. Dostawcy usług cyfrowych: Ustawa obejmuje również dostawców usług cyfrowych (np. platformy e-commerce, usługi przetwarzania w chmurze), którzy są zobowiązani do przestrzegania określonych standardów bezpieczeństwa oraz do zgłaszania incydentów cyberbezpieczeństwa.
4. Zgłaszanie incydentów: Operatorzy usług kluczowych i dostawcy usług cyfrowych są zobowiązani do zgłaszania poważnych incydentów cyberbezpieczeństwa do właściwego CSIRT (Computer Security Incident Response Team), który jest odpowiedzialny za reagowanie na incydenty na poziomie krajowym. W Polsce istnieją trzy główne zespoły CSIRT: CSIRT GOV (zarządzany przez ABW), CSIRT NASK (zarządzany przez NASK) oraz CSIRT MON (zarządzany przez Ministerstwo Obrony Narodowej).
5. Organy i instytucje odpowiedzialne za cyberbezpieczeństwo:
6. Kary i sankcje: Ustawa przewiduje sankcje za niewywiązanie się z obowiązków określonych w ustawie, takich jak brak wdrożenia odpowiednich środków ochrony czy niezgłoszenie incydentu cyberbezpieczeństwa.
7. Współpraca międzynarodowa: Ustawa przewiduje mechanizmy współpracy z innymi krajami członkowskimi UE oraz organizacjami międzynarodowymi w zakresie wymiany informacji o zagrożeniach cybernetycznych oraz reagowania na incydenty.
ISA/IEC 62443 to seria norm opracowanych przez Międzynarodowe Stowarzyszenie Automatyki (ISA) oraz Międzynarodową Komisję Elektrotechniczną (IEC). Dotyczą one bezpieczeństwa systemów automatyki przemysłowej i kontroli (Industrial Automation and Control Systems, IACS), które są kluczowymi elementami infrastruktury operacyjnej (Operational Technology, OT). Standardy te zostały stworzone z myślą o ochronie systemów OT przed zagrożeniami cybernetycznymi, które mogą wpływać na funkcjonowanie kluczowych procesów przemysłowych.
Standardy ISA/IEC 62443 są szeroko uznawane jako podstawowe wytyczne w zakresie cyberbezpieczeństwa dla przemysłowych systemów automatyki. Pomagają organizacjom chronić swoje procesy operacyjne przed cyberzagrożeniami, zapewniając ciągłość działania, ochronę mienia, zdrowia i bezpieczeństwa ludzi oraz minimalizując potencjalne straty finansowe wynikające z cyberataków.
Najważniejsze założenia standardów ISA/IEC 62443:
1. Zakres zastosowania:
2. Podejście oparte na ryzyku:
3. Struktura standardów:
4. Poziomy zabezpieczeń (Security Levels):
5. Bezpieczeństwo na każdym etapie cyklu życia:
6. Współpraca między IT a OT: