Audyt cyberbezpieczeństwa – dlaczego warto przeprowadzić audyt zgodności z ustawą KSC?
Audyt cyberbezpieczeństwa jest pierwszym krokiem, aby zapewnić ciągłość działania organizacji. Ma znaczenie zwłaszcza dla operatorów usług kluczowych, których działalność ma ogromne znaczenie dla gospodarki i społeczeństwa kraju. W takim przypadku audyt powinien odbyć się zgodnie z obowiązującymi regulacjami prawnymi, a taką jest ustawa o krajowym systemie cyberbezpieczeństwa. Kogo dotyczy taki audyt? Jak wygląda audyt zgodności z KSC?
Jesteśmy świadkami ogromnej transformacji cyfrowej, która zdecydowanie ułatwia życie i prowadzenie biznesu. Dzięki nowoczesnym technologiom i systemom możemy zwiększać efektywność przedsiębiorstw i tworzyć nowe modele biznesowe. To dobra strona, jest jeszcze ta zła. Wraz z rozwojem technologii zwiększa się ryzyko na rozmaite ataki, w tym ze strony cyberprzestępców.
Cyberataki wiążą się nie tylko z zablokowaniem systemów wewnętrznych firm, ale też utratą ważnych danych i poważnymi konsekwencjami finansowymi. Ma to ogromne znaczenie zwłaszcza dla operatorów kluczowych, którzy dostarczają usługi krytyczne dla kraju, jak energia czy zaopatrzenie w wodę. Podstawą prawną, która wskazuje tu najlepsze środki na skuteczną ochronę przed cyberatakami, jest ustawa o krajowym systemie cyberbezpieczeństwa.
Co to jest audyt cyberbezpieczeństwa?
Zacznijmy od tego, czym jest sam audyt. Audyt cyberbezpieczeństwa sprawdza i ocenia wdrożone zabezpieczenia techniczne i organizacyjne pod kątem zapewnienia optymalnego poziomu bezpieczeństwa. Dzięki niemu zyskuje się nie tylko ocenę istniejących zabezpieczeń, ale także kompleksowe wsparcie co do tego, jak można przeciwdziałać różnorodnym zagrożeniom.
Pamiętaj: Każdy audyt, w tym cyberbezpieczeństwa, powinien być zakończony szczegółowym raportem i jego omówieniem. Raport powinien uwzględniać wskazówki i rekomendacje wraz z propozycją działań, które ułatwią wdrożenie zmian w zakresie cyberbezpieczeństwa.
Sprawdź ofertę na audyt zgodności z KSC: Audyt cyberbezpieczeństwa
Co to jest krajowy system cyberbezpieczeństwa?
Ustawa o krajowym systemie cyberbezpieczeństwa (dalej KSC) została podpisana przez Prezydenta RP 1 sierpnia 2018 roku. Była to pierwsza ustawa, która kompleksowo określiła ramy prawne i organizacyjne dla krajowego systemu bezpieczeństwa. Co istotne, ustawa ta musiała powstać, ponieważ wymagała tego dyrektywa Parlamentu Europejskiego Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, tzw. Dyrektywy NIS (ang. Network and Information Systems Directive). Jest to pierwszy akt prawny w tym zakresie w Polsce.
W skrócie: Ustawa o krajowym systemie cyberbezpieczeństwa ma zapewnić bezpieczeństwo firm i organizacjom przy korzystaniu z nowoczesnych technologii z jednoczesnym zachowaniem poufności.
Czym jest krajowy system cyberbezpieczeństwa? KSC ma zapewnić bezpieczeństwo cyfrowe na poziomie krajowym. Dotyczy to zwłaszcza niezakłóconego świadczenia usług kluczowych i usług cyfrowych. Aby tak się stało, konieczne jest osiągnięcie optymalnego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. Jeśli chodzi o usługi kluczowe, to ustawa KSC operatorów usług kluczowych opisuje jako firmy lub instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Konkretnie, kogo dotyczy ustawa o KSC, opisujemy w kolejnym akapicie.
Kogo dotyczy KSC?
Ustawa o krajowym systemie cyberbezpieczeństwa (dalej KSC) została podpisana przez Prezydenta RP 1 sierpnia 2018 roku. Była to pierwsza ustawa, która kompleksowo określiła ramy prawne i organizacyjne dla krajowego systemu bezpieczeństwa. Co istotne, ustawa ta musiała powstać, ponieważ wymagała tego dyrektywa Parlamentu Europejskiego Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, tzw. Dyrektywy NIS (ang. Network and Information Systems Directive). Jest to pierwszy akt prawny w tym zakresie w Polsce.
W skrócie: Ustawa o krajowym systemie cyberbezpieczeństwa ma zapewnić bezpieczeństwo firm i organizacjom przy korzystaniu z nowoczesnych technologii z jednoczesnym zachowaniem poufności.
Jak wspomnieliśmy, ustawa o KSC mówi o operatorach usług kluczowych (OUK) – to podmioty świadczące usługi o krytycznym znaczeniu dla prawidłowego funkcjonowania państwa. Warunkiem klasyfikacji jako OUK jest świadczenie usług za pośrednictwem systemów informacyjnych i posiadanie jednostki organizacyjnej na terenie Polski. Ponadto polski ustawodawca włączył w zakres ustawy również administrację publiczną oraz sektor telekomunikacyjny. Wykaz operatorów usług kluczowych od 5 września 2022 r. prowadzi minister właściwy do spraw informatyzacji.
Lista UOK dotyczy ponad 500 podmiotów, m.in. firm z takich sektorów, jak:
- energetyczny
- finansowy
- transport
- ochrona zdrowia
- infrastruktura cyfrowa
- zaopatrzenie i dystrybucja wody pitnej
- a także dostawców usług cyfrowych
Jakie mają obowiązki? Ustawa dość jasno to określa. Tak na przykład podmioty wskazane ustawą powinny regularnie przeprowadzać audyty bezpieczeństwa, zbierać informacje o zagrożeniach i podatnościach na incydenty, raportować incydenty i współpracować z właściwym zespołem NASK CSIRT (ang. Computer Security Incident Response Team). Oprócz tego operator usług kluczowych powinien na bieżąco szacować i zarządzać ryzyko, a także stosować adekwatnych środków technicznych i organizacyjnych, by zapewnić podtrzymanie ciągłości działania i wymagane bezpieczeństwo.
Jak wygląda audyt zgodności z KSC?
Jeśli chodzi o operatorów usług kluczowych, to ustawodawca nie sprecyzował jasno, z jakiej metodyki należy korzystać przy przeprowadzeniu audytu cyberbezpieczeństwa. Oznacza to, że dana firma czy organizacja może skorzystać z wybranych praktyk i samodzielnie opracować ramy audytu.
Audyt bezpieczeństwa może się odbywać na podstawie:
ustawy KSC – akt prawny regulujący zasady bezpieczeństwa cyfrowego w Polsce
ISO 19011 – wytyczne dotyczące audytowania systemów zarządzania
ISO 27001 – wytyczne dotyczące audytowania systemu zarządzania bezpieczeństwem informacji
ISO 22301 – wytyczne dotyczące audytowania systemu zarządzania ciągłością działania
dobrych praktyk COBIT – ocena dojrzałości procesów cyberbezpieczeństwa
dobrych praktyk ITIL – ocena zarządzania usługami teleinformatycznymi
Jak w praktyce wygląda taki audyt cyberbezpieczeństwa, przedstawimy na podstawie oferty PBSG. Od lat zajmujemy się audytami bezpieczeństwa, w tym również cyberbezpieczeństwem. Wychodzimy z założenia, że każda firma czy instytucja jest inna, ma określoną specyfikę, sposób działania i strukturę, dlatego też w pierwszym etapie zawsze wychodzimy od planowania. Określamy program audytu, który obejmuje charakterystykę obszaru audytowanego oraz procedury, które mają ułatwić obieg pracy i dokumentów. Wskazujemy metodykę – tu weryfikujemy zgodność Twojej firmy z wymaganiami ustawy o KSC (wraz z towarzyszącymi jej rozporządzeniami) oraz z wymaganiami norm ISO 27001 i ISO 22301.
Dlaczego warto przeprowadzić audyt zgodności z KSC?
Ustawa KSC narzuca obowiązek okresowych audytów bezpieczeństwa. Pierwszy audyt powinien być przeprowadzony 12 miesięcy od otrzymania decyzji administracyjnej uznającej podmiot za operatora usługi kluczowej. Kolejne audyty powinny odbywać się nie rzadziej niż raz na 2 lata. Audyt powinien być przeprowadzony przez uprawnionego audytora (wymagania określa ustawa).
Brak audytu wiąże się z karą finansową, ale nie powinno być to jedyną zachętą do systematycznych kontroli. Regularnie przeprowadzany audyt cyberbezpieczeństwa pozwala firmie trzymać rękę na pulsie, bo otrzymuje realną ocenę systemu zabezpieczeń oraz aktualizuje rejestr ryzyk, które zmieniają się w czasie, tak samo jak zmienia się technologia.
Dzięki audytowi zgodności z KSC:
- dowiesz się, czy Twoja organizacja spełnia wymagania ustawy KSC
- otrzymasz rejestr zagrożeń wraz z prawdopodobieństwem ich wystąpienia
- zyskasz niezależną opinię oraz rekomendacje, dzięki którym będzie można usunąć słabości systemów
- zaktualizujesz dokumentację dot. zabezpieczeń informatycznych
- poznasz możliwości, by przeciwdziałać ryzykom
- zapewnisz swojej organizacji ciągłość działania
- zachowasz wizerunek partnera dbającego o bezpieczeństwo swojej usługi
Audyt KSC warto wykorzystać jako narzędzie doskonalące biznes. Pozwala nie tylko spełnić wymagania ustawy, ale przede wszystkim chroni przed drastycznymi konsekwencjami. Co więcej, część cyberataków, jak kradzież danych czy informacji patentowych i handlowych, odbywa się w sposób praktycznie bez śladów, nieodczuwalny. Bez audytu cyberbezpieczeństwa, który sprawdza podatność systemów na włamanie i wyciek danych, możesz nawet nie zorientować się, że firma stała się źródłem ataku.
Ocena bezpieczeństwa na podstawie ustawy KSC jest absolutnie kluczowym elementem pozwalającym określić, czy funkcjonujące procesy są skuteczne i optymalne, a system i technologia odpowiednio wdrożone. Dzięki temu będziesz mógł oszacować ryzyko związane z cyberbezpieczeństwem, a przede wszystkim zweryfikować gotowość do spełnienia wymagań i obowiązków wynikających z przepisów ustawy o krajowym systemie cyberbezpieczeństwa.
WAŻNE: 5 października 2022 roku na stronie Ministerstwa Cyfryzacji pojawił się nowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Pod koniec miesiąca projekt został wycofany i ma się nim zająć Komitet Rady Ministrów ds. bezpieczeństwa narodowego i spraw obronnych. Jest to warte odnotowania, ponieważ nowelizacja UKSC to jedna z najważniejszych regulacji dla branży. Przy przygotowywaniu tego artykułu korzystaliśmy z aktualnie obowiązującego zapisu ustawy (na dzień 4.11.2022).