Digitalizacija
13.10.2023 11:19
Posodobljeno 1 leto nazaj.

Deli z drugimi:

Share

Standardi kot osnova za izpolnjevanje »State of the Art« smernic zakonodaje

Evropska komisija je sprejela direktivo o ukrepih za visoko skupno raven varnosti omrežja in informacijskih sistemov po vsej Evropski uniji (NIS Direktiva), ki se uveljavlja v članicah EU.
Vir: Bureau Veritas
Vir: Bureau Veritas

Informacijska in kibernetska varnost se v skladu z novo izdajo NIS direktive ter v smislu implementacije sodobnih varnostnih mehanizmov obravnava na nivoju zakonodajne in operativne ravni.  Zakonodaja narekuje implementacijo najsodobnejših tehnološko-varnostnih rešitev v subjekte kritične infrastrukture in med ostale uporabnike informacijske tehnologije (IT) in industrijsko-operativne (OT) komunikacijske tehnologije v smislu varnosti pred kriminaliteto. Te rešitve morajo izvajati tehnične in organizacijske ukrepe za zagotavljanje informacijske varnosti, ki upoštevajo najsodobnejša stanja (State Of The Art) tehnologije. Ukrepi so namenjeni zagotavljanju ustrezne ravni zaščite sorazmerno s tveganji in pri tem upoštevajo varnostni nivo (kritičnost) sistemov, obravnavo varnostnih incidentov in upravljanje neprekinjenega poslovanja.

Neodvisni pregled implementacije ukrepov za zagotavljanje informacijske varnosti

Funkcionalnost ukrepov, ki v praksi realizirajo želeno IT/OT varnost, mora biti v celoti in pravilno implementirana. Slednje preverja neodvisni presojevalec na osnovi zakonodaje in regulative (NIS, eIDAS, GDPR, PSD2 idr.) ter mednarodno veljavnih standardov (ISO 27001, ISO 22301, TISAX idr.), pri čemer mora izvedba pregleda vedno vključevati »najsodobnejše metode« glede na privzete organizacijske in tehnične ukrepe v obsegu presoje.

Nadalje je potrebno upoštevati vprašanje varnosti aplikacij IT in OT v oblačnih storitvah ter celoten proces razvoja programske opreme IT in OT. V okviru presoje razvojnega procesa je tako potrebno preverjati zadostnost uporabljenih ukrepov za varen razvoj aplikacij glede na privzeto metodologijo razvoja ter področje (on-premise, mobile, web, embedded itn.). Preveriti je potrebno uporabljene postopkovne modele in najboljše prakse za varen razvoj programske opreme po BSIMM, OWASP SAMM, OWASP ASVS smernicah za razvoj varnih spletnih aplikacij ali ISO/IEC 27034 oz. ISO 15504 (SPICE) in TISAX za dokazovanje ustrezne varnosti aplikacij za segment avtomobilske industrije.

Usposabljanje strokovnega kadra

Organizacijski ukrepi med drugim vključujejo usposabljanje strokovnega kadra za pridobitev relevantnih kompetenc. To še posebej velja za poslovno kritična področja in kritične infrastrukture. Samo na ta način je mogoče zaščititi podatke in premoženje podjetja ter izpolniti številne pravno zavezujoče zahteve v zvezi z dokazilom o kompetentnosti osebja.

Zaradi vse večje raznolikosti tehničnih rešitev je nujno, da se vsi zaposleni IT sektorja nenehno usposabljajo o osnovah in novostih. Zaposleni bi morali biti usposobljeni in certificirani v skladu z zadevno dejavnostjo in zahtevami, ki izhajajo iz nje glede na vlogo, ki jo je treba opraviti (npr. skrbnik, razvijalec, IT-arhitekt, revizor, presojevalec sistemov varnost informacij, uradna oseba, pooblaščena oseba za varstvo podatkov), glede na specifičnost industrije (npr. telekomunikacije, transport, avtomobilska industrija, bančni sektor, zdravstvo itn.) in funkcije, specifične za rešitve (npr. on-prem, oblak, mrežni del, razvoj, IT/OT itn.).

Poklicna kvalifikacija se dokazuje na podlagi prejetega osebnega potrdila-certifikata, ki se običajno izda šele po uspešno opravljenem tečaju strokovnega usposabljanja, na podlagi katerega je bil opravljen izpit.

Prednosti nove izdaje standarda ISO 27001:2022

Praktični vidik in uporabnost pregleda (presoje) organizacije z uporabo najnovejšega (State Of the Art) standarda ISO 27001:2022 je v svoji prenovljeni verziji poleg informacijske varnosti naslovil tudi kibernetsko varnost ter varnost osebnih podatkov. Standard tako zasleduje uporabo najmodernejših tehnoloških »State Of the Art« vodil ter vključevanje vseh štirih relevantnih področij (organizacijski del, varnost osebja, fizična varnost, tehnološko področje – IT/OT) z uporabo kontrol, ki so v novi verziji opredeljene z uporabo 5 (petih) atributov; Control type, Information security properties, Cybersecurity concepts, Operational capabilities in Security domains.

Standard ISO 27001 je s prenovo, dopolnitvami in spremenjenim konceptom podlaga za izpolnjevanje regulatornih in zakonskih zahtev, ki v ospredje dajejo digitalizacijo in zasledovanje novih tehnologij ter s tem povezanih izzivov.

Certificiranje sistema vodenja varovanja informacij po ISO 27001:2022

Neodvisna presoja in certificiranje sistema vodenja varovanja informacij prinaša organizacijam številne prednosti. Poleg sistematično urejenega sistema vodenja, ustrezne zaščite kritičnih podatkov in s tem zmanjšanega tveganja pridobi organizacija s certifikatom tudi zaupanje svojih naročnikov in konkurenčno prednost na trgu.

Več o novi izdaji ISO 27001:2022 in drugih standardih IT/OT varnosti pišite podjetju Bureau Veritas. Z veseljem bodo odgovorili na vaša vprašanja. (P.R.)


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Bureau veritas.


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Tiskarna Igma-Graf, Martin Škofljanec s.p.

Brege 60, 8273 Leskovec pri Krškem, Tel: 040 744 158
Kako vam lahko reklamna majica pomaga pri promociji vašega podjetja Promocije podjetja se je potrebno lotiti na pravi način, saj potencialna stranka ne sme imeti občutka vsiljivosti ... Več
Zlati partner

Mastercard Europe SA, Podružnica v Sloveniji

Dimičeva ulica 13, 1000 Ljubljana, Tel: +386 1 589 81 26
Mastercard Europe SA, Podružnica v Sloveniji, je globalno tehnološko podjetje za plačilne rešitve. Družba je del mreže Mastercard, ki obsega več kot 210 držav in ozemelj po ... Več
Zlati partner

MOJA ZAPOSLITEV d.o.o., Optius.com

Borovec 2, 1236 Trzin, Tel: 01 810 02 00
Optius.com - Karierni portal za nove čase Karierni portal Optius.com je zaposlitveni portal, namenjen tistim, ki iščejo zaposlitev in tistim, ki iščejo nov kader. ... Več
Zlati partner

T-2 d.o.o

Verovškova ulica 64a, 1000 Ljubljana, Tel: 064 064 064
Za podjetja in domove je dostop do interneta v večini primerov bolj pomemben kot njihove druge podporne storitve. Praktično vsa podjetja potrebujejo internetni dostop za vsako delovno ... Več