Nie będę analizować treści regulacji ani szczegółowo opisywać zawartości oferowanej przez dany standard. To temat na sporą książkę. Skupię się na etapie, w którym zidentyfikowałeś potrzebę – by powiedzieć potocznie – wdrożenia wymagań danego aktu w reprezentowanej przez siebie organizacji oraz znasz jego podstawowe wymagania. W dużym uproszczeniu, jeśli wdrażasz DORA – to jesteś podmiotem finansowym; NIS2 – jednym z podmiotów wymienionych w dyrektywie (np. krytycznym, kluczowym, ważnym); RODO – przetwarzasz dane osobowe, w tym w systemie informatycznym.

Na szczęście implementując konkretne wymagania, nie jesteś pierwszy, więc możesz korzystać z doświadczeń innych. Wiele organizacji już od dłuższego czasu pracuje nad standaryzacją wdrażania systemów bezpieczeństwa. Dzisiaj przedstawię trzy tylko subiektywnie najpopularniejsze rozwiązania, tj.:

  • normy ISO z rodziny ISO 27xxx,
  • dokumenty i standardy oferowane przez NIST (z ang. National Institute of Standards and Technology – to amerykańska agencja federalna, która jest częścią Departamentu Handlu Stanów Zjednoczonych) oraz
  • narzędzia oferowane przez CIS (z ang. Center for Internet Security – to amerykańska organizacja non profit, której misją jest pomaganie w ochronie przed cyberzagrożeniami w drodze opracowywania standardów bezpieczeństwa i najlepszych praktyk dla instytucji publicznych i prywatnych).

Norma, standard, framework – czym się różnią?

Co wybrać? Poniżej kilka definicji sformułowanych z pomocą Copilot:

  • Norma – formalnie uznany dokument określający wymagania, wytyczne lub specyfikacje dotyczące danego obszaru. Normy są opracowywane przez uznane organizacje normalizacyjne (np. ISO, PN) i często podlegają procesowi certyfikacji. Ich celem jest zapewnienie jednolitych praktyk oraz jakości w zakresie bezpieczeństwa informacji i ochrony danych.
  • Standard – zbiór zasad, procedur lub dobrych praktyk opracowanych przez organizacje branżowe, firmy lub instytucje, które mogą (ale nie muszą) mieć charakteru normatywnego. Standardy często są stosowane w danej branży, ale niekoniecznie wymagają formalnej certyfikacji. Mogą być też rekomendacjami dla wdrożeń technicznych lub organizacyjnych.
  • Framework – struktura metodologiczna, która dostarcza zbiór zasad, praktyk i narzędzi ułatwiających wdrożenie i zarządzanie bezpieczeństwem informacji lub ochroną danych. Frameworki nie zawsze mają charakter normatywny, ale często obejmują elementy różnych norm i standardów, oferując elastyczne podejście do ich implementacji.

Z praktycznego punktu widzenia to, czy stosujesz standard, normę, czy framework, będzie miało znaczenie jedynie w przypadku, gdy jesteś np. instytucją rządową zobowiązaną do stosowania odpowiedniego standardu lub jeżeli twoim celem jest uzyskanie certyfikatu takiego, jak ISO 27001. W przeciwnym razie każde z opisanych rozwiązań możesz stosować według swoich preferencji i zamiennie, a najlepiej, jak będą się nawzajem uzupełniały.

Podstawowe wymagania

W dużym uproszczeniu implementacja wymagań każdego z tych aktów w różnym stopniu i w pewnych obszarach obejmuje szeroko rozumiane bezpieczeństwo informacji, ochronę danych i cyberbezpieczeństwo. Akty te posiadają (znowu uproszczenie) kilka cech wspólnych. Aby je wdrożyć, można szukać wskazówek w opisywanych niżej rozwiązaniach. Przykładowo są to:

  • podejście oparte na ryzyku,
  • dobór odpowiednich do zidentyfikowanego ryzyka zabezpieczeń,
  • zarządzanie incydentami (naruszeniami),
  • zarządzanie łańcuchem dostawców (procesorów),
  • testowanie zabezpieczeń.

Nie będzie to jednak instrukcja stosowania poszczególnych rozwiązań, a mała podpowiedź, jak zacząć.

Norma ISO 27001 – struktura i ramy

Załóżmy, że nie musisz uzyskać certyfikatu ISO 27001, a norma stanowi jedynie narzędzie pomocnicze (w przypadku certyfikacji zalecam konsultacje ze specjalistą).

Warto więc wiedzieć, że ISO 27001 to chyba największe pod względem zakresu opisywanych wymagań rozwiązanie. Jednocześnie jest to najbardziej skompresowany dokument Na niespełna 30 stronach znajdują się wymagania dotyczące całego systemu bezpieczeństwa informacji. To bardzo dobre rozwiązanie do stosowania jako roadmapa, która posłuży do określenia ram, celów danego systemu i pozwoli dość efektywnie i relatywnie szybko zweryfikować, czy nie pominęliśmy żadnego niezbędnego obszaru. Norma została opracowana w ten sposób, aby można ją było zastosować w każdej organizacji bez względu na jej wielkość, charakter lub rodzaj działalności.

Sama norma raczej nie określi nam konkretnego sposobu wdrożenia ani nie podpowie, jak coś zrobić. W tym przypadku mamy do czynienia ze zbiorem wymagań. Bardziej praktyczny i przydatny może okazać się Załącznik A do normy, który stanowi wykaz możliwych do zastosowania zabezpieczeń. Dzięki załącznikowi możemy określić podstawowe wymagania: jakie procedury powinniśmy zastosować, jakie fizyczne środki ochrony, jak zabezpieczyć sprzęt, urządzenia mobilne i tworzyć kopie zapasowe.

Ze względu na ogólny charakter dokumentu niezbędne mogą się okazać uzupełnienia, np.:

  • ISO 27002 – zawiera praktyczne zasady wdrażania wymagań systemu bezpieczeństwa,
  • ISO 27005 – opisuje metody i narzędzia związane z zarządzaniem ryzykiem.

Norma nie jest wprost ukierunkowana na cyberbezpieczeństwo, ale główny nacisk kładzie na procesy zarządzania bezpieczeństwem informacji.

Niestety jest płatna. Sama norma ISO 27001 to koszt ok. 200 zł, ale już zakup całego pakietu norm z rodziny 27xxx to wydatek rzędu kilku tys. zł.

Ważne! Norma ISO 27001:

  • plusy: wydana w języku polskim, dużo literatury pomocniczej, uniwersalny charakter, możliwość certyfikacji,
  • minusy: płatna, duży stopień ogólności, może wymagać stosowania dodatkowych norm/dokumentów jako wsparcia we wdrożeniu, wymaga dużej ilości zasobów przy wdrożeniu.

NIST – amerykańska szczegółowość

NIST wydaje standardy skierowane przede wszystkim do rządowych instytucji i agend USA. Z powodzeniem jednak standardy te mogą być stosowane właściwie w każdej organizacji. Należy oczywiście uwzględnić odrębności wynikające z głównych adresatów tego rozwiązania.

NIST jest amerykańskim instytutem i w mojej ocenie prezentuje bardziej amerykańskie podejście w temacie określania standardów wdrożenia. W standardach wydanych przez NIST (podobnie jak ISO) został opisany bardzo szeroko zakres systemu bezpieczeństwa informacji. Różnica polega na tym, iż standardy te znajdują się w odrębnych dokumentach, których wydano ponad 200. Dokumenty są bardzo obszerne i w bardziej szczegółowy niż ISO sposób opisują zasady i sposoby ich wdrożenia w poszczególnych obszarach. Zawierają dużo przykładów i praktycznych rozwiązań. Ot takie właśnie amerykańskie, praktyczne podejście.

Taka forma przekazu może wymagać większego zaangażowania po stronie zespołu odpowiedzialnego za wdrożenie. Przykładowo „NIST SP 800–53 – Kontrole bezpieczeństwa dla systemów IT” to lektura licząca prawie 500 stron. Dodajmy do tego „NIST SP 800-30 – Metodyka oceny ryzyka cyberbezpieczeństwa” czy „NIST SP 800-61” dotyczący zarządzania incydentami i mamy lekturę na kilka dni, jak nie tygodni. Polecam również zapoznać się z „NIST Cybersecurity Framework (CSF) 2.0”.

Co ważne, część dokumentów wydanych przez NIST została przetłumaczona na język polski. Tłumaczenia znajdują się na stronie https://www.gov.pl/web/baza-wiedzy/narodowe-standardy-cyber.

Ważne! Standardy NIST:

  • plusy: szczegółowe opisy wdrożenia wymagań, wiele przykładów, darmowe treści, częściowo przetłumaczone na język polski,
  • minusy: czasochłonna lektura, trudne w implementacji, wymagają dużej ilości zasobów, brak certyfikacji.

CIS – praktyczna checklista

Center for Internet Security to amerykańska organizacja non profit, która opracowała tzw. CIS Controls, aktualnie w wersji 8.1. Jest to zdecydowanie narzędzie user friendly. Stworzone przez praktyków dla praktyków. Jak opisują to sami twórcy: „CIS Controls to opisowy i uproszczony zbiór najlepszych praktyk, które można wykorzystać do wzmocnienia swojego poziomu cyberbezpieczeństwa”.

Faktycznie dostajemy proste narzędzie w formie checklisty zawierającej zabezpieczenia zebrane w trzy grupy implementacyjne (Implementation Groups (IGs)). IG1 to fundament, który dotyczy każdej organizacji przetwarzającej dane. Dla organizacji z większymi wymaganiami zostały przewidziane IG2 i IG3. Przy czym w IG2 są zawarte wszystkie IG1 itp.

Mechanizmy kontrolne, których jest 18, zostały podzielone w bardzo czytelny sposób, np. „Inwentaryzacja zasobów”, „Ochrona danych”, „Zarządzanie dostępem”, „Konfiguracja sieci”. Narzędzie jest darmowe – wymaga jedynie rejestracji. CIS oferuje również gotową metodykę zarządzania ryzykiem (CIS RAM) oraz gotowe benchmarki do bezpiecznej konfiguracji naprawdę dużej ilości systemów i rozwiązań, od MS365, Google Workspace, AWS do systemów CISCO czy Fortinet. Wszystko w formie gotowej do użycia. Cały pakiet rozwiązań CIS jest obecnie dostępny wyłącznie w języku angielskim. Jednak w dobie możliwości tłumaczy internetowych nie stanowi to już takiego problemu.

Ważne! Narzędzie oferowane przez CIS:

  • plusy: darmowe, gotowe do użycia, łatwiejsze do wdrożenia niż ISO czy NIST,
  • minusy: nie zawiera procesów zarządzania, jest to raczej zestawienie środków technicznych, brak certyfikacji.

Który standard wybrać?

Jeżeli nie musisz na podstawie odrębnych regulacji stosować konkretnego rozwiązania, to połączenie każdego z nich może być dobrym pomysłem. ISO 27001 jako ramy określające system zarządzania bezpieczeństwem informacji. Pozostałe normy ISO 27xxx oraz standardy NIST jako przykłady praktycznych rozwiązań chociażby w obszarach zarządzania ryzykiem czy incydentami. Wreszcie CIS Controls jako checklista do wdrożenia konkretnych technicznych i organizacyjnych zabezpieczeń. Ta krótka charakterystyka to tylko przysłowiowy czubek góry lodowej. Istnieją setki innych norm/standardów/regulacji, które być może będą bardziej dopasowane do twojej organizacji: PCI DSS, HIPPA, COBIT.

Należy też pamiętać o szczegółowych wymaganiach aktów prawnych. Nawet certyfikacja czy wdrożenie ISO 27001 nie oznacza automatycznie pełnej zgodności. Chociażby w przypadku RODO, w którym bezpieczeństwo informacji czy cyberbezpieczeństwo stanowi jedynie ułamek wymagań. ©℗