Cyberbezpieczeństwo – normy, standardy, dobre praktyki

Cyberbezpieczeństwo – Normy i standardy

W zakresie cybersecurity wyróżnia się:

1. Standardy, na podstawie których można przeprowadzać certyfikację systemów IT, np. PN-ISO/IEC 27001, ISO/IEC15408 (Common Criteria), ITSEC, TCSEC. Ich cechą charakterystyczną są miary spełniania norm bezpieczeństwa, takie jak:
   • klasy (TCSEC),
   • poziomy E0-E6 (ITSEC, TCSEC),
   • poziomy uzasadnionego zaufania EAL (ISO/IEC-15408).
2. Standardy cyberbezpieczeństwa stanowiące tzw. najlepsze praktyki, jak np. zalecenia: Information Technology Infrastructure Library (ITIL), National Institute of Standars and Technology (NIST), “Generally Accepted Information Security Principles (GAISP)”, Network Reliability and Interoperability Council (NRIC), czy “OECD Guidelines for the Security of Information Systems of Government Commerce (OECD)”.

Stosowanie ich w codziennej działalności znajduje swoje bezpośrednie odzwierciedlenie w poziomie cyberbezpieczeństwa danej organizacji. Przestrzeganie standardów to jednak nie wszystko, warto stosować także dobre praktyki.

Dobre praktyki w cybersecurity

Do dobrych praktyk z zakresu cyberbezpieczeństwa zalicza się:

• Identyfikowanie luk w zabezpieczeniach i reagowanie natychmiast po ich wykryciu.
• Dbanie o świadomość użytkowników – uświadamianie ich o potencjalnych zagrożeniach w sieci i uczenie sposobów właściwego i bezpiecznego postępowania.
• Dobieranie metod zabezpieczeń w taki sposób, aby nie były one zbyt uciążliwe dla użytkowników i aby nie unikali oni stosowania ich w codziennej pracy.
• Dbanie o przemyślane i racjonalne zarządzanie przydzielanymi pracownikom dostępami.
• Tworzenie kopii zapasowych danych – jest to szczególnie przydatne w przypadku cyberataku.
• Przeprowadzanie audytów i monitorowanie zachowań użytkowników oraz sposobów w jaki przestrzegają oni narzuconych odgórnie procedur bezpieczeństwa.
• Zabezpieczenie pracowników zdalnych – zrozumienie sposobu w jaki wykorzystują oni powierzony im sprzęt i aplikacje oraz dostosowanie do ich nawyków odpowiednich zabezpieczeń.
• Wykorzystanie SOC (Security Operations Center) jako ujednoliconej platformy bezpieczeństwa i reagowania na incydenty, zbierającej i korelującej dane z wielu źródeł.
• Klasyfikowanie i ochrona danych – uświadomienie sobie, że nie wszystkie dane są takie same i wymagają tego samego poziomu ochrony oraz dostosowanie zróżnicowanych, odpowiednich zabezpieczeń.
• Bieżące zarządzanie ryzykiem – automatyzacja oceny cyberbezpieczeństwa, priorytetyzacja działań oraz stopniowe wprowadzenie usprawnień.

Testy cyberbezpieczeństwa

Aby w pełni zadbać o swoje IT, obok standardów i dobrych praktyk warto postawić także na testy bezpieczeństwa. Są one niezbędne do tego, aby uchronić firmę przed zaszyfrowaniem lub kradzieżą cennych danych.

Testy cyberbezpieczeństwa zwane też testami penetracyjnymi, polegają na przeprowadzaniu symulowanych cyberataków w specjalnym, kontrolowanym środowisku przez zewnętrznych specjalistów ds. bezpieczeństwa, stosujących te same techniki, co cyberprzestępcy.

Pozwalają one ujawnić, czy serwery lub aplikacje wykorzystywane przez firmę są odporne na ataki oraz czy ewentualne, zidentyfikowane błędy lub luki w zabezpieczeniach mogą skutkować włamaniami. Przeprowadzenie ich w firmie raz lub dwa razy do roku z jednej strony umożliwi bieżącą kontrolę poziomu bezpieczeństwa, a z drugiej będzie gwarantem ciągłości biznesowej.

Plany strategiczne dotyczące kwestii bezpieczeństwa powinny być na stałe wpisane w strategię biznesową każdego przedsiębiorstwa i uwzględniać zarówno obecny stan praktyk bezpieczeństwa jak i przyjęte cele krótko, średnio i długoterminowe. Wizja, cele i założenia takich planów powinny być opiniowane i dostosowywane do zmieniającej się sytuacji biznesowej co najmniej raz w roku.