Digitalizacija
13.10.2023 11:19
Posodobljeno 1 leto nazaj.

Deli z drugimi:

Share

Standardi kot osnova za izpolnjevanje »State of the Art« smernic zakonodaje

Evropska komisija je sprejela direktivo o ukrepih za visoko skupno raven varnosti omrežja in informacijskih sistemov po vsej Evropski uniji (NIS Direktiva), ki se uveljavlja v članicah EU.
Vir: Bureau Veritas
Vir: Bureau Veritas

Informacijska in kibernetska varnost se v skladu z novo izdajo NIS direktive ter v smislu implementacije sodobnih varnostnih mehanizmov obravnava na nivoju zakonodajne in operativne ravni.  Zakonodaja narekuje implementacijo najsodobnejših tehnološko-varnostnih rešitev v subjekte kritične infrastrukture in med ostale uporabnike informacijske tehnologije (IT) in industrijsko-operativne (OT) komunikacijske tehnologije v smislu varnosti pred kriminaliteto. Te rešitve morajo izvajati tehnične in organizacijske ukrepe za zagotavljanje informacijske varnosti, ki upoštevajo najsodobnejša stanja (State Of The Art) tehnologije. Ukrepi so namenjeni zagotavljanju ustrezne ravni zaščite sorazmerno s tveganji in pri tem upoštevajo varnostni nivo (kritičnost) sistemov, obravnavo varnostnih incidentov in upravljanje neprekinjenega poslovanja.

Neodvisni pregled implementacije ukrepov za zagotavljanje informacijske varnosti

Funkcionalnost ukrepov, ki v praksi realizirajo želeno IT/OT varnost, mora biti v celoti in pravilno implementirana. Slednje preverja neodvisni presojevalec na osnovi zakonodaje in regulative (NIS, eIDAS, GDPR, PSD2 idr.) ter mednarodno veljavnih standardov (ISO 27001, ISO 22301, TISAX idr.), pri čemer mora izvedba pregleda vedno vključevati »najsodobnejše metode« glede na privzete organizacijske in tehnične ukrepe v obsegu presoje.

Nadalje je potrebno upoštevati vprašanje varnosti aplikacij IT in OT v oblačnih storitvah ter celoten proces razvoja programske opreme IT in OT. V okviru presoje razvojnega procesa je tako potrebno preverjati zadostnost uporabljenih ukrepov za varen razvoj aplikacij glede na privzeto metodologijo razvoja ter področje (on-premise, mobile, web, embedded itn.). Preveriti je potrebno uporabljene postopkovne modele in najboljše prakse za varen razvoj programske opreme po BSIMM, OWASP SAMM, OWASP ASVS smernicah za razvoj varnih spletnih aplikacij ali ISO/IEC 27034 oz. ISO 15504 (SPICE) in TISAX za dokazovanje ustrezne varnosti aplikacij za segment avtomobilske industrije.

Usposabljanje strokovnega kadra

Organizacijski ukrepi med drugim vključujejo usposabljanje strokovnega kadra za pridobitev relevantnih kompetenc. To še posebej velja za poslovno kritična področja in kritične infrastrukture. Samo na ta način je mogoče zaščititi podatke in premoženje podjetja ter izpolniti številne pravno zavezujoče zahteve v zvezi z dokazilom o kompetentnosti osebja.

Zaradi vse večje raznolikosti tehničnih rešitev je nujno, da se vsi zaposleni IT sektorja nenehno usposabljajo o osnovah in novostih. Zaposleni bi morali biti usposobljeni in certificirani v skladu z zadevno dejavnostjo in zahtevami, ki izhajajo iz nje glede na vlogo, ki jo je treba opraviti (npr. skrbnik, razvijalec, IT-arhitekt, revizor, presojevalec sistemov varnost informacij, uradna oseba, pooblaščena oseba za varstvo podatkov), glede na specifičnost industrije (npr. telekomunikacije, transport, avtomobilska industrija, bančni sektor, zdravstvo itn.) in funkcije, specifične za rešitve (npr. on-prem, oblak, mrežni del, razvoj, IT/OT itn.).

Poklicna kvalifikacija se dokazuje na podlagi prejetega osebnega potrdila-certifikata, ki se običajno izda šele po uspešno opravljenem tečaju strokovnega usposabljanja, na podlagi katerega je bil opravljen izpit.

Prednosti nove izdaje standarda ISO 27001:2022

Praktični vidik in uporabnost pregleda (presoje) organizacije z uporabo najnovejšega (State Of the Art) standarda ISO 27001:2022 je v svoji prenovljeni verziji poleg informacijske varnosti naslovil tudi kibernetsko varnost ter varnost osebnih podatkov. Standard tako zasleduje uporabo najmodernejših tehnoloških »State Of the Art« vodil ter vključevanje vseh štirih relevantnih področij (organizacijski del, varnost osebja, fizična varnost, tehnološko področje – IT/OT) z uporabo kontrol, ki so v novi verziji opredeljene z uporabo 5 (petih) atributov; Control type, Information security properties, Cybersecurity concepts, Operational capabilities in Security domains.

Standard ISO 27001 je s prenovo, dopolnitvami in spremenjenim konceptom podlaga za izpolnjevanje regulatornih in zakonskih zahtev, ki v ospredje dajejo digitalizacijo in zasledovanje novih tehnologij ter s tem povezanih izzivov.

Certificiranje sistema vodenja varovanja informacij po ISO 27001:2022

Neodvisna presoja in certificiranje sistema vodenja varovanja informacij prinaša organizacijam številne prednosti. Poleg sistematično urejenega sistema vodenja, ustrezne zaščite kritičnih podatkov in s tem zmanjšanega tveganja pridobi organizacija s certifikatom tudi zaupanje svojih naročnikov in konkurenčno prednost na trgu.

Več o novi izdaji ISO 27001:2022 in drugih standardih IT/OT varnosti pišite podjetju Bureau Veritas. Z veseljem bodo odgovorili na vaša vprašanja. (P.R.)


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Bureau veritas.


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

Crayon

Šmartinska cesta 106, 1000 Ljubljana, Tel: 0597 87 142
Crayon je globalno podjetje, ki svojim strankam pomaga zgraditi komercialne in tehnične temelje za uspešno digitalno transformacijo v oblak. Ponujamo celovite IT rešitve migracij ... Več
Zlati partner

GENIS d.o.o.

Likozarjeva 1a, 4000 Kranj, Tel: 04 251 93 00
Podjetje Genis je eden vodilni slovenskih proizvajalcev informacijskih rešitev za poenostavitev in digitalizacijo delovnih postopkov v srednjih in velikih podjetjih. Njegove ... Več

Seyfor d.o.o.

Cesta Goriške fronte 46, 5290 Šempeter pri Gorici, Tel: 05 393 40 00
Poslovni računalniški programi za javni sektor, podjetje, zasebnike ali obrtnike Saop je leta 1987 med prvimi v Sloveniji ponudil programsko opremo in je danes eden izmed vodilnih ... Več

TRACE BS d.o.o.

Opekarniška cesta 5, 2270 Ormož, Tel: 05 905 23 81
V skupini Trace Solutions, katere del sta Trace BS Poslovne rešitve d. o. o. in Trace IS Informacijske rešitve, se ukvarjajo z razvojem, prodajo in uvajanjem istoimenske programske ... Več