Digitalizacija
13.10.2023 11:19
Posodobljeno 1 leto nazaj.

Deli z drugimi:

Share

Standardi kot osnova za izpolnjevanje »State of the Art« smernic zakonodaje

Evropska komisija je sprejela direktivo o ukrepih za visoko skupno raven varnosti omrežja in informacijskih sistemov po vsej Evropski uniji (NIS Direktiva), ki se uveljavlja v članicah EU.
Vir: Bureau Veritas
Vir: Bureau Veritas

Informacijska in kibernetska varnost se v skladu z novo izdajo NIS direktive ter v smislu implementacije sodobnih varnostnih mehanizmov obravnava na nivoju zakonodajne in operativne ravni.  Zakonodaja narekuje implementacijo najsodobnejših tehnološko-varnostnih rešitev v subjekte kritične infrastrukture in med ostale uporabnike informacijske tehnologije (IT) in industrijsko-operativne (OT) komunikacijske tehnologije v smislu varnosti pred kriminaliteto. Te rešitve morajo izvajati tehnične in organizacijske ukrepe za zagotavljanje informacijske varnosti, ki upoštevajo najsodobnejša stanja (State Of The Art) tehnologije. Ukrepi so namenjeni zagotavljanju ustrezne ravni zaščite sorazmerno s tveganji in pri tem upoštevajo varnostni nivo (kritičnost) sistemov, obravnavo varnostnih incidentov in upravljanje neprekinjenega poslovanja.

Neodvisni pregled implementacije ukrepov za zagotavljanje informacijske varnosti

Funkcionalnost ukrepov, ki v praksi realizirajo želeno IT/OT varnost, mora biti v celoti in pravilno implementirana. Slednje preverja neodvisni presojevalec na osnovi zakonodaje in regulative (NIS, eIDAS, GDPR, PSD2 idr.) ter mednarodno veljavnih standardov (ISO 27001, ISO 22301, TISAX idr.), pri čemer mora izvedba pregleda vedno vključevati »najsodobnejše metode« glede na privzete organizacijske in tehnične ukrepe v obsegu presoje.

Nadalje je potrebno upoštevati vprašanje varnosti aplikacij IT in OT v oblačnih storitvah ter celoten proces razvoja programske opreme IT in OT. V okviru presoje razvojnega procesa je tako potrebno preverjati zadostnost uporabljenih ukrepov za varen razvoj aplikacij glede na privzeto metodologijo razvoja ter področje (on-premise, mobile, web, embedded itn.). Preveriti je potrebno uporabljene postopkovne modele in najboljše prakse za varen razvoj programske opreme po BSIMM, OWASP SAMM, OWASP ASVS smernicah za razvoj varnih spletnih aplikacij ali ISO/IEC 27034 oz. ISO 15504 (SPICE) in TISAX za dokazovanje ustrezne varnosti aplikacij za segment avtomobilske industrije.

Usposabljanje strokovnega kadra

Organizacijski ukrepi med drugim vključujejo usposabljanje strokovnega kadra za pridobitev relevantnih kompetenc. To še posebej velja za poslovno kritična področja in kritične infrastrukture. Samo na ta način je mogoče zaščititi podatke in premoženje podjetja ter izpolniti številne pravno zavezujoče zahteve v zvezi z dokazilom o kompetentnosti osebja.

Zaradi vse večje raznolikosti tehničnih rešitev je nujno, da se vsi zaposleni IT sektorja nenehno usposabljajo o osnovah in novostih. Zaposleni bi morali biti usposobljeni in certificirani v skladu z zadevno dejavnostjo in zahtevami, ki izhajajo iz nje glede na vlogo, ki jo je treba opraviti (npr. skrbnik, razvijalec, IT-arhitekt, revizor, presojevalec sistemov varnost informacij, uradna oseba, pooblaščena oseba za varstvo podatkov), glede na specifičnost industrije (npr. telekomunikacije, transport, avtomobilska industrija, bančni sektor, zdravstvo itn.) in funkcije, specifične za rešitve (npr. on-prem, oblak, mrežni del, razvoj, IT/OT itn.).

Poklicna kvalifikacija se dokazuje na podlagi prejetega osebnega potrdila-certifikata, ki se običajno izda šele po uspešno opravljenem tečaju strokovnega usposabljanja, na podlagi katerega je bil opravljen izpit.

Prednosti nove izdaje standarda ISO 27001:2022

Praktični vidik in uporabnost pregleda (presoje) organizacije z uporabo najnovejšega (State Of the Art) standarda ISO 27001:2022 je v svoji prenovljeni verziji poleg informacijske varnosti naslovil tudi kibernetsko varnost ter varnost osebnih podatkov. Standard tako zasleduje uporabo najmodernejših tehnoloških »State Of the Art« vodil ter vključevanje vseh štirih relevantnih področij (organizacijski del, varnost osebja, fizična varnost, tehnološko področje – IT/OT) z uporabo kontrol, ki so v novi verziji opredeljene z uporabo 5 (petih) atributov; Control type, Information security properties, Cybersecurity concepts, Operational capabilities in Security domains.

Standard ISO 27001 je s prenovo, dopolnitvami in spremenjenim konceptom podlaga za izpolnjevanje regulatornih in zakonskih zahtev, ki v ospredje dajejo digitalizacijo in zasledovanje novih tehnologij ter s tem povezanih izzivov.

Certificiranje sistema vodenja varovanja informacij po ISO 27001:2022

Neodvisna presoja in certificiranje sistema vodenja varovanja informacij prinaša organizacijam številne prednosti. Poleg sistematično urejenega sistema vodenja, ustrezne zaščite kritičnih podatkov in s tem zmanjšanega tveganja pridobi organizacija s certifikatom tudi zaupanje svojih naročnikov in konkurenčno prednost na trgu.

Več o novi izdaji ISO 27001:2022 in drugih standardih IT/OT varnosti pišite podjetju Bureau Veritas. Z veseljem bodo odgovorili na vaša vprašanja. (P.R.)


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Bureau veritas.


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

KONICA MINOLTA SLOVENIJA

Dunajska cesta 167, 1000 Ljubljana, Tel: 01 568 05 00
Konica Minolta je inovativno podjetje z “all-in-one” strategijo, ki stremi k ustvarjanju prepričljivih rešitev in storitev na področju upravljanja dokumentov ter povezanih naprednih ... Več
Diamantni partner

Miklavčič marketing, d.o.o.

Zgornji Brnik 130H, 4210 Brnik aerodrom, Tel: 041 414 847
Zlati partner

KONCERN ENA d.o.o.

Koroška cesta 61, 3320 Velenje, Tel: 03 891 95 40
Podjetje IN.PU.T., prodaja računalniške opreme, Tadej Pucelj, s.p. je začelo poslovati v letu 2003,kot internetna trgovina (www.in-put.com) z računalniško opremo. V zadnjih letih ... Več
Diamantni partner

OptiCyber3 d.o.o.

Ulica Jožeta Jame 14, 1210 Ljubljana Šentvid, Tel: 070 420 063
OptiCyber3 poskrbi za zanesljivo zaščito vašega računalniškega sistema Kako poskrbeti za zanesljivo zaščito računalniških sistemov? Za ustrezno varnostno zaščito in kar ... Več