Wdrożenie wymagań Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Usługi dla wymagających, realizowane przez ekspertów

Audyt

Audyt spełnienia wymagań ustawy (GAP analysis) ma odpowiedzieć na pytanie: na jakim poziomie dojrzałości w zakresie cyberbezpieczeństwa jest moja organizacja? Może działania nie są w ogóle potrzebne? Albo wręcz przeciwnie - jestem na początku drogi.

Strategia

Podstawowe pytanie: Jak to zrobić? Potrafi wzbudzić niepokój. Na pewno nie da się na nie odpowiedzieć jednym zdaniem. Odpowiedzią jest plan dojścia do docelowej dojrzałości bezpieczeństwa organizacji - strategia bezpieczeństwa usług kluczowych/cyfrowych.

Zarządzanie ryzykiem

Mechanizm zarządzania ryzykiem jest dzisiaj podstawą do rozwiązywania problemów na wielu płaszczyznach. Systematyczne szacowanie ryzyka i zarządzanie nim powinno być podłożem systemu zarządzania bezpieczeństwem.

Zarządzanie incydentem

Zarządzanie incydentem to skuteczna identyfikacja, reakcja na incydent oraz raportowanie i wyciąganie wniosków. Stanowi ono obowiązek każdego operatora usługi kluczowej i usługi cyfrowej.

Zarzadzanie podatnościami

Gdzie tkwi słabość, która może być wykorzystana przez atakującego? Nie jesteśmy w stanie tego stwierdzić bez systematycznej weryfikacji bezpieczeństwa systemów. Samo badanie i zdefiniowanie rekomendacji też nie wystarczy. 

Zarządznaie zmianą

Zarządzanie systemami IT już od dawna nie polega wyłącznie na administrowaniu nimi. Aby mieć pełną kontrolę nad systemem musimy nadzorować wszelkie zmiany wprowadzane przez podwykonawców i własnych pracowników. 

Obowiązki Operatora Usługi Kluczowej

wynikające z ustawy, terminy od daty decyzji administracyjnej

Platforma automatyzująca zarządzanie cyberbezpieczeństwem

C_BPM_PLATFORM stworzona dla profesjonalistów

C_BPM_RM

Platforma zarzadzania ryzykiem
C_BPM Risk Management to sprawdzone narzędzie do identyfikacji, oceny i analizy ryzyka. Umożliwia ocenę ryzyk na bazie podatności i zagrożeń, przy uwzględnieniu zdarzeń - incydentów oraz wykorzystywanych organizacyjnych i technicznych środkach zabezpieczeń.

C_BPM_VM

Platforma zarządzania podatnościami 
C_BPM Vulnerabilities Management to wszechstronne i elastyczne narzędzie do zarządzania podatnościami. Przeciętne narzędzia pozwalające na identyfikację podatności generują setki rekordów, które trzeba ocenić i zdecydować o ich dalszym postępowaniu. 

C_BPM_IM

Platforma zarządzania cyberincydentem
C_BPM Incident Management to narzędzie umożliwiające szybkie zebranie informacji o występującym incydencie oraz udokumentowanie zgodnie z obowiązującym prawem działań które podjęto po potwierdzeniu wystąpienia danego incydentu. 

C_BPM_CM

Platforma zarządzania zmianą
C_BPM  Change Management to sprawdzony system do wnioskowania, zatwierdzania, realizacji, monitorowania, oceny oraz zatwierdzenia lub wycofania zmiany w systemach informatycznych. Zapewnia zgodność z ISO 2000, ISO 27001 i ITIL.

C_BPM_AM

Platforma zarządzania audytami 
C_BPM Audit Management to użyteczne narzędzie do planowania audytów i badań na bazie rankingu ryzyka, oraz miejsc incydentów i podatności. Pozwala wystandaryzaować proces, zautomatyzować przebieg realizacji audytu ijego raportowania.

C_BPM_CA

Platforma zarządzania cyber działaniami
C_BPM  Cyber Activiti to moduł do zarządznia wszelkimi działaniami, rekomendacjami, planami działań wynikającymi z zarzadznia ryzykiem, podatnościami, incydentami, rekomendacjami poaduytowymi i wieloma innymi .

Zabezpieczenia teleinformatyczne

Sprawdzone środki ochrony cyberbezpieczeństwa

Monitoring OT

Kryptografia

Filtrowanie informacji

Tofino Xenon 

Air Gap Braker

C_BPM_FSC

Endpoint Security

Nasze doświadczenia

Bezpieczeństwo informacji, Ciągłość działania, Zarządzanie ryzykiem,  Zarządznie podatnościami i incydentem, Audyty, Cyberbezpieczeństwo


Cyberbezpieczeństwo - Wprowadzenie. 
Wejście w życie ustawy o krajowym systemie cyberbezpieczeństwa stawia przed podmiotami realizującymi usługi kluczowe i usługi cyfrowe ogromne wyzwanie. Jest o pierwszy w polsce akt prawny który niezwykle kompleksowo i z nastawieniem na skuteczność, traktuje obszar bezpieczeństwa. Bezpieczeństwa w szerokim zakresie. 

Bezpieczeństwo Usług Kluczowych/Cyfrowych to “osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia usług oraz zapewnienia obsługi incydentów” (cytat za Art. 3 Ustawy).

Musimy więc mieć świadomość wszystkich obszarów niezbędnych do zapenienia bezpieczeństwa.
Na pewno możemy powiedzieć czym cyberbezpieczeństwo nie jest:
  • nie jest wdrożeniem systemu SIEM,
  • nie jest ustanowieniem SOC/CSIRT,
  • nie jest wdrażaniem zaawansowanych narzędzi monitorowania bezpieczeństwa,
  • nie jest ustaleniem wektorów ataków i procedur reakcji,
  • nie jest żadnym pojedynczym działaniem, o których dotychczas mowa była w literaturze dotyczącej wdrożenia dyrektywy NIS. 
Niestety bardzo często wdrożenie dyrektywy NIS (a co za tym idzie Cyberustawy) rozumiane jest jako skuteczne wdrożenie firmowych Security Operations Center (SOC). 
Jest to jeden z wątków skutecznego zapewnienia cyberbezpieczeństwa. Na pewno w naszym kraju nowy, podobnie jak  fakt, iż instytucje i firmy, często konkurujące ze sobą, dzielą się z podmiotami godnymi zaufania informacjami na temat groźnych incydentów. 
Samo przekonanie wszystkich zainteresowanych do pokazywania słabości zajmie z pewnością dużo czasu. Stąd wydaje się nam upraszczanie tematyki zawartej w ustawie o cyberbezpieczeństwie. 

Tymczasem już pierwszy akapit rozdziału 3 Cyberustawy określa obowiązki operatorów usług kluczowych w następujący sposób: “Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej” [Art. 8 ustawy]. Dalej jest mowa o tym, co się przez to rozumie. 
Wymagane jest: wdrożenie zasad zarządzania ryzykiem, wdrażanie odpowiednich i proporcjonalnych do ryzyka zabezpieczeń, zarządzanie incydentami, stosowanie bezpiecznych środków łączności, bezpieczne zarządzanie systemami, monitorowanie informacji o zagrożeniach i podatnościach. 
Wprawne oko dostrzeże konieczność implementacji systemu bezpieczeństwa opartego o mechanizmy międzynarodowego standardu ISO/IEC 27001 (które są podstawą dla wielu narodowych wymagań bezpieczeństwa), amerykańskich standardów NIST lub wymagań COBIT. Tak też była projektowana dyrektywa NIS. Celem było to aby wprowadzić do systemu prawnego wymagania, które dla chętnych w UE są dostępne od wielu lat. 

Potwierdzeniem tej tezy są dwa projekty rozporządzeń, które dołączone zostały do druku RCL ustawy, którym kierowano ją do Sejmu. Rozporządzenie “w sprawie warunków organizacyjnych i technicznych dla wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych” powołuje się wprost na międzynarodowe standardy takie jak ISO/IEC 27001 w zakresie bezpieczeństwa, ISO 22301 w zakresie ciągłości działania oraz dokumenty techniczne RFC 2350 - w zakresie wytycznych dla zarządzania incydentami. 
Podobne odwołania na międzynarodowe standardy zawiera projekt rozporządzenia “w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych”. Nad wszystkimi mechanizmami pracowaliśmy od pierwszego wdrożenia wymagań ISO/IEC 27001 w roku 2003. Praktyczne doświadczenie pomoże nam uniknąć wdrożeń “cudownych narzędzi” i “doskonałych cyberprocedur”, a zapewni skuteczne mechanizmy radzenia sobie z problemami cyberbezpieczeństwa.

Zapraszamy do kontaktu

Formularz kontaktowy znajduje się poniżej, a dane kontaktowe w sekcji: Kontakt

Formularz kontaktowy

O nas | Formularz kontaktowy

(c)2018, Wszelkie Prawa Zastrzeżone
Zadzwoń do nas:
Ryszard Kluska
Wiceprezes Zarządu
601 366 281
lub napisz:
ryszard.kluska@grupablue.pl