Standardi kot osnova za izpolnjevanje »State of the Art« smernic zakonodaje

Informacijska in kibernetska varnost se v skladu z novo izdajo NIS direktive ter v smislu implementacije sodobnih varnostnih mehanizmov obravnava na nivoju zakonodajne in operativne ravni.  Zakonodaja narekuje implementacijo najsodobnejših tehnološko-varnostnih rešitev v subjekte kritične infrastrukture in med ostale uporabnike informacijske tehnologije (IT) in industrijsko-operativne (OT) komunikacijske tehnologije v smislu varnosti pred kriminaliteto. Te rešitve morajo izvajati tehnične in organizacijske ukrepe za zagotavljanje informacijske varnosti, ki upoštevajo najsodobnejša stanja (State Of The Art) tehnologije. Ukrepi so namenjeni zagotavljanju ustrezne ravni zaščite sorazmerno s tveganji in pri tem upoštevajo varnostni nivo (kritičnost) sistemov, obravnavo varnostnih incidentov in upravljanje neprekinjenega poslovanja.

Neodvisni pregled implementacije ukrepov za zagotavljanje informacijske varnosti

Funkcionalnost ukrepov, ki v praksi realizirajo želeno IT/OT varnost, mora biti v celoti in pravilno implementirana. Slednje preverja neodvisni presojevalec na osnovi zakonodaje in regulative (NIS, eIDAS, GDPR, PSD2 idr.) ter mednarodno veljavnih standardov (ISO 27001, ISO 22301, TISAX idr.), pri čemer mora izvedba pregleda vedno vključevati »najsodobnejše metode« glede na privzete organizacijske in tehnične ukrepe v obsegu presoje.

Nadalje je potrebno upoštevati vprašanje varnosti aplikacij IT in OT v oblačnih storitvah ter celoten proces razvoja programske opreme IT in OT. V okviru presoje razvojnega procesa je tako potrebno preverjati zadostnost uporabljenih ukrepov za varen razvoj aplikacij glede na privzeto metodologijo razvoja ter področje (on-premise, mobile, web, embedded itn.). Preveriti je potrebno uporabljene postopkovne modele in najboljše prakse za varen razvoj programske opreme po BSIMM, OWASP SAMM, OWASP ASVS smernicah za razvoj varnih spletnih aplikacij ali ISO/IEC 27034 oz. ISO 15504 (SPICE) in TISAX za dokazovanje ustrezne varnosti aplikacij za segment avtomobilske industrije.

Usposabljanje strokovnega kadra

Organizacijski ukrepi med drugim vključujejo usposabljanje strokovnega kadra za pridobitev relevantnih kompetenc. To še posebej velja za poslovno kritična področja in kritične infrastrukture. Samo na ta način je mogoče zaščititi podatke in premoženje podjetja ter izpolniti številne pravno zavezujoče zahteve v zvezi z dokazilom o kompetentnosti osebja.

Zaradi vse večje raznolikosti tehničnih rešitev je nujno, da se vsi zaposleni IT sektorja nenehno usposabljajo o osnovah in novostih. Zaposleni bi morali biti usposobljeni in certificirani v skladu z zadevno dejavnostjo in zahtevami, ki izhajajo iz nje glede na vlogo, ki jo je treba opraviti (npr. skrbnik, razvijalec, IT-arhitekt, revizor, presojevalec sistemov varnost informacij, uradna oseba, pooblaščena oseba za varstvo podatkov), glede na specifičnost industrije (npr. telekomunikacije, transport, avtomobilska industrija, bančni sektor, zdravstvo itn.) in funkcije, specifične za rešitve (npr. on-prem, oblak, mrežni del, razvoj, IT/OT itn.).

Poklicna kvalifikacija se dokazuje na podlagi prejetega osebnega potrdila-certifikata, ki se običajno izda šele po uspešno opravljenem tečaju strokovnega usposabljanja, na podlagi katerega je bil opravljen izpit.

Prednosti nove izdaje standarda ISO 27001:2022

Praktični vidik in uporabnost pregleda (presoje) organizacije z uporabo najnovejšega (State Of the Art) standarda ISO 27001:2022 je v svoji prenovljeni verziji poleg informacijske varnosti naslovil tudi kibernetsko varnost ter varnost osebnih podatkov. Standard tako zasleduje uporabo najmodernejših tehnoloških »State Of the Art« vodil ter vključevanje vseh štirih relevantnih področij (organizacijski del, varnost osebja, fizična varnost, tehnološko področje – IT/OT) z uporabo kontrol, ki so v novi verziji opredeljene z uporabo 5 (petih) atributov; Control type, Information security properties, Cybersecurity concepts, Operational capabilities in Security domains.

Standard ISO 27001 je s prenovo, dopolnitvami in spremenjenim konceptom podlaga za izpolnjevanje regulatornih in zakonskih zahtev, ki v ospredje dajejo digitalizacijo in zasledovanje novih tehnologij ter s tem povezanih izzivov.

Certificiranje sistema vodenja varovanja informacij po ISO 27001:2022

Neodvisna presoja in certificiranje sistema vodenja varovanja informacij prinaša organizacijam številne prednosti. Poleg sistematično urejenega sistema vodenja, ustrezne zaščite kritičnih podatkov in s tem zmanjšanega tveganja pridobi organizacija s certifikatom tudi zaupanje svojih naročnikov in konkurenčno prednost na trgu.

Več o novi izdaji ISO 27001:2022 in drugih standardih IT/OT varnosti pišite podjetju Bureau Veritas. Z veseljem bodo odgovorili na vaša vprašanja. (P.R.)