Incydenty bezpieczeństwa a DORA i NIS2

(tematyka.it)Security

Incydenty bezpieczeństwa a DORA i NIS2

Ten artykuł przybliży formalne regulacje z zakresy cyberbezpieczeństwa jakie dotyczą firm w Polsce. Będzie to punkt zaczepienia do którego w przyszłości się odniosę pisząc o narzędziach związanych z szeroko rozumianym cybersecurity. Przedstawię regulację już obowiązujące oraz takie które w niedalekiej przyszłości zaczną obowiązywać. Nie będzie to kompletny opis tych regulacji, tylko potwierdzenie i umotywowanie wdrożenia konkretnych rozwiązań w organizacjach, które pozwolą te regulacje spełnić. Zatem w dalszej części dowiesz się czym są incydenty bezpieczeństwa i co w ich kontekście wynika z regulacji takich jak DORA, NIS2, RODO, KSC, ISO27001 czy PCI DSS.

Czym jest incydent bezpieczeństwa?

Incydent bezpieczeństwa to zdarzenie, które narusza polityki bezpieczeństwa informacji, zasady ochrony danych lub standardy bezpieczeństwa, potencjalnie prowadząc do nieautoryzowanego dostępu, utraty, zmiany, niewłaściwego ujawnienia lub zniszczenia informacji. Może to również obejmować naruszenia zabezpieczeń fizycznych, systemów informatycznych, sieci lub innych kluczowych infrastruktur cyfrowych. Generalnie incydent to zdarzenie które ma negatywny wpływ na cyberbezpieczeństwo.

Incydenty bezpieczeństwa mogą przyjmować różne formy, w zależności od natury zagrożenia i aktywów, które są narażone. Oto kilka przykładów:

  1. Ataki malware to jedna z form do której należą wirusy, trojany i ransomware. Są instalowane bez wiedzy użytkownika.
  2. Phishing to forma gdzie atakujący używa fałszywych e-maili do wyłudzania informacji. Może też korzystać ze stron internetowych lub sms-ów.
  3. Ataki DDoS zakłócają dostępność serwisów internetowych.
  4. Naruszenia danych to naruszenie jednej z lub kilku cech takich jak dostępność, integralność i poufność danych.

Zarządzanie incydentami składa się z kilku kroków. Pierwsze to identyfikacja i klasyfikacja. Potem następuje reagowanie. Kolejny krok to naprawa skutków. Ważne jest również przeglądanie i aktualizacja środków bezpieczeństwa. Cel to minimalizacja szkód. Chodzi też o szybkie przywrócenie działalności. Organizacje muszą raportować incydenty. Szczególnie ważne jest to przy naruszeniach danych osobowych.

Regulacje, ustawy, rozporządzenia, standardy

Regulacje takie jak DORA, KSC, RODO oraz dyrektywa NIS2 wprowadzają różne wymagania dotyczące bezpieczeństwa informacji, ochrony danych osobowych lub danych odnośnie kart płatniczych. Mogą one regulować obowiązki związane z zarządzaniem incydentami. Dodatkowo, branżowe lub organizacyjne standardy takie jak PCI DSS czy ISO27001 mogą regulować obszar zarządzania incydentami.

DORA (Digital Operational Resilience Act)

Rozporządzenie DORA jest inicjatywą mającą na celu wzmocnienie odporności operacyjnej cyfrowej w sektorze usług finansowych w UE, obejmującą banki, firmy ubezpieczeniowe, i inne podmioty finansowe. DORA nakłada wymogi dotyczące zarządzania ryzykiem cybernetycznym, w tym skutecznego wykrywania, reagowania i odzyskiwania po incydentach cybernetycznych. Oczekuje się, że podmioty regulowane będą posiadać zdolności do identyfikacji i klasyfikacji incydentów, jak również procedury ich zgłaszania.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa KSC

Ustawa o Krajowym Systemie Cyberbezpieczeństwa wprowadza obowiązek zarządzania incydentami cyberbezpieczeństwa dla kluczowych dostawców usług oraz dla dostawców usług cyfrowych. Regulacje te wymagają od organizacji zgłaszania poważnych incydentów bezpieczeństwa do krajowych organów zajmujących się cyberbezpieczeństwem oraz często zalecają lub wymagają utworzenia procedur zarządzania incydentami.

RODO (GDPR)

Rozporządzenie ogólne o ochronie danych (RODO) nakłada na organizacje obowiązek ochrony danych osobowych i wymaga od nich wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo przetwarzanych danych.

Dyrektywa NIS2

Dyrektywa NIS2 jest aktualizacją dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych (NIS), która ma na celu wzmocnienie bezpieczeństwa cybernetycznego kluczowych usług w UE. NIS2 poszerza zakres sektorów objętych regulacjami i wprowadza surowsze wymogi dotyczące zarządzania ryzykiem cybernetycznym oraz zgłaszania incydentów.

PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) bezpośrednio wymaga, aby organizacje miały procedury reagowania na incydenty. Szczegółowo określa, jakie kroki należy podjąć w przypadku naruszenia bezpieczeństwa danych kart płatniczych. To obejmuje identyfikację incydentu, jego zawężenie, powiadomienie odpowiednich stron oraz podjęcie działań zapobiegawczych na przyszłość.

ISO/IEC 27001

ISO/IEC 27001 jest międzynarodowym standardem dotyczącym systemów zarządzania bezpieczeństwem informacji (ISMS). Ten standard wymaga od organizacji identyfikacji zagrożeń dla ich informacji i wdrożenia odpowiednich środków zaradczych. W tym zarządzania incydentami bezpieczeństwa informacji. ISO 27001 wymaga, aby organizacje określiły i zastosowały procedury do zarządzania incydentami bezpieczeństwa informacji. Reguluje zgłaszanie incydentów odpowiednim stronom, reagowanie na incydenty oraz dokumentowanie i przeglądanie incydentów po ich wystąpieniu.

Podsumowanie – incydenty bezpieczeństwa a DORA i NIS2

W artykule wskazałem szereg regulacji, standardów które zarówno jako obowiązkowe jak i dobrowolne reguły dotykają obszaru cybersecurity. W szczególności w zakresie zarządzania incydentami. Nie wszystkie powyższe regulacje wprost definiują konieczność posiadania centralnego repozytorium logów. Ale w kontekście incydentów może to być rozwiązanie które znaczenie ułatwi ich wykrycie. Dlatego w kolejnych wpisach przedstawię czym jest i jak działa SIEM (Security Information and Event Management).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *