Dostosowanie organizacji do dyrektywy NIS (cyberustawy)

Nowe przepisy dotykają przede wszystkim operatorów usług kluczowych, czyli organizacje z najważniejszych sektorów gospodarki, oraz dostawców usług cyfrowych, wyznaczając dla nich nowe standardy w dziedzinie bezpieczeństwa ich systemów teleinformatycznych.

Poniżej przedstawiamy główne założenia reformy i krok po kroku omawiamy najważniejsze etapy wdrożenia nowych wymogów z dziedziny cyberbezpieczeństwa.

W ramach powyższych przepisów prawa, organizacje spełniające kryteria określone w ustawie będą odpowiednio:

• operatorami usług kluczowych (OUK), do których zaliczyć można m.in. największych banków, firmz sektora energetycznego, przewoźników lotniczych i kolejowych, armatorów, szpitali;
• dostawcami usług cyfrowych (DUC), m.in. internetowych platform handlowych;
• organami właściwymi (OW), czyli instytucjami publicznymi, w których kompetencjach znajdzie się nadzór nad sektorem istotnym dla gospodarki, np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury.

A zatem co jest celem reformy?

Cel jest dość oczywisty i po nawet pobieżnym zapoznaniu się z wymogami ustawy można stwierdzić,
że polega on na:

• zbudowaniu systemu wykrywania „cyberataków”, aby odejść od modelu skupiającego się na „ofierze” ataku, a skoncentrować na działaniach mających atakom zapobiegać,
• zbudowaniu systemu szybkiej wymiany informacji i współdziałania, aby ograniczyć zakres „cyberataku”,
• stworzeniu systemu zarządzania cyberbezpieczeństwem, aby w sposób zorganizowany zarządzać ryzykiem z nim związanym, incydentami, kompetencjami oraz świadomością o cyberzagrożeniach.

Powyższe ma odzwierciedlenie w ustawie, gdzie mowa jest o:           

• okresie 3 miesięcy na:
  • wykonanie szacowania ryzyka,
  • stworzenie procedur zarządzania incydentami,
  • wyznaczenie osoby kontaktowej z właściwym CSIRT i PPK przy MC,
  • przeprowadzenie działań edukacyjnych wobec użytkowników,
  • uruchomienie procesu obsługi incydentów,
  • stworzenie mechanizmów zgłaszania incydentów,
  • usuniecie poważnych luk w zabezpieczeniach systemów i usług;
• okresie 6 miesięcy na:
  • wdrożenie odpowiednich i adekwatnych do oszacowanego ryzyka środków technicznych
    i organizacyjnych,
  • zebranie informacji o zagrożeniach i podatnościach,
  • wdrożenie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego,
  • wdrożenie wymaganej dokumentacji;
• okresie 12 miesięcy na wykonanie audytu w rozumieniu ustawy i przekazanie sprawozdania z audytu wskazanym w ustawie podmiotom.

Jak do tego podejść?

Z punktu widzenia praktycznego pierwsze 4 kroki w dostosowaniu organizacji do wymogów NIS powinny wyglądać następująco:

1. Wykonanie analizy ryzyka dla obszaru cyberbezpieczeństwa

Analiza ryzyka ma na celu wskazanie organizacji kluczowych elementów mających bezpośredni wpływ na poziom bezpieczeństwa. Aby analiza ryzyka przyniosła oczekiwany skutek, należy w pierwszej kolejności przeprowadzić inwentaryzację posiadanych przez organizację danych oraz zasobów. Do danych zaliczamy np. dane osobowe, finansowe, techniczne, dane objęte tajemnicą (np. bankową lub ubezpieczeniową). Natomiast do zasobów zaliczamy urządzenia sieciowe, sieć LAN, urządzenia zlokalizowane w serwerowni, urządzenia biurowe, personel, budynki itd. Dla większości organizacji nie powinno to stanowić problemu, gdyż z tym zadaniem organizacje musiały się już zmierzyć chociażby przy wdrażaniu RODO (w przeciągu ostatnich 2 lat) czy też wymagań IT, zawartych w rekomendacjach i wytycznych Komisji Nadzoru Finansowego. W dalszej kolejności należy przygotować kryteria szacowania ryzyka, tj.:

• wykaz zagrożeń (np. akty terroryzmu, phishing, sniffing i spoofing, socjotechnika, (D)DOS, wirusy
  i pokrewne, błędy oprogramowania),
• ocenę zabezpieczeń (np. szyfrowanie, antywirusy, firewalle, poprawki systemowe, świadomość, dokumentacja),
• ocenę prawdopodobieństwa wystąpienia zagrożenia (najlepiej, gdy ocena zawiera dane historyczne oraz obiektywną ocenę możliwości wystąpienia w przyszłości),
• oraz możliwe skutki:
  • materialne, np. finansowy, fizyczne uszkodzenia, wyłączenie systemów informatycznych, kradzież danych,
  • oraz niematerialne, np. utrata wizerunku, utrata klientów.

Dopiero po opracowaniu powyższych kryteriów można przystąpić do samego procesu szacowania ryzyka. Ważnym jest, aby to zadanie wykonać z najwyższą starannością, nie zapominając o ocenie wykonania szacowania ryzyka. Kolejnym kluczowym etapem jest podjęcie decyzji w przedmiocie postępowania ze zidentyfikowanym ryzykiem i przygotowanie szczegółowego planu w tym zakresie.

Ostatnim etapem analizy ryzyka jest opracowanie procedur dokumentujących proces szacowania ryzyka, gdzie najważniejszym dokumentem powinna być procedura jego wykonywania i okresowego przeglądu. Procedura powinna być opisana w taki sposób, aby proces można było powtórzyć, a wyniki w obiektywny sposób porównać.

Jako pomoc w przeprowadzeniu szacowania ryzyka możemy wykorzystać już istniejące normy i standardy w tym zakresie, tj.:

• ISO/IEC 27005 - Technika informatyczna -- Techniki bezpieczeństwa -- Zarządzanie ryzykiem
  w bezpieczeństwie informacji,
• COBIT,
• NIST SP800-30 – „Guide for Conducting Risk Assessments”,
• ISACA – Risk IT,
• Operationally Critical Threat, Asset and Vulne-rability Evaluation (OCTAVE).

2. Opracowanie procedury zarządzania incydentami

Obecnie raczej w każdej organizacji powinna funkcjonować procedura zarządzania incydentami. Związane jest to przede wszystkim z wymogami RODO, przede wszystkim w zakresie zarządzania naruszeniami ochrony danych osobowych. Jednakże, aby w pełni uczynić zadość wymogom NIS, procedura zarządzania incydentami powinna zawierać:

• dokładnie opisane role i zadania – jak np. osobę kontaktową z właściwym CSIRT i PPK przy MC, wskazanie osób odpowiedzialnych za zgłoszenie incydentu, jego weryfikację oraz za podejmowanie kluczowych decyzji w tym zakresie,
• opis postepowania po zgłoszeniu incydentu – rozpoznanie, a następnie kwalifikacja zgłoszenia,
• opis postepowania awaryjnego w sytuacji, gdy incydent zagraża funkcjonowaniu firmy,
• opis analizy zasięgu incydentu i jego potencjalnych skutków,
• opis procesu postepowania z incydentem, w tym opis procesu informowania podmiotów zewnętrznych,
• opis procesu zamknięcia incydentu.

Najskuteczniejszym rozwiązaniem z praktycznego punktu widzenia jest wdrożenie systemu do obsługi incydentów lub taka modyfikacja posiadanego systemu, aby zostało w nim wzięte pod uwagę kryterium „incydentu cyberbezpieczeństwa”.

Powyższą procedurę należy wdrożyć formalnie w organizacji, a następnie opublikować w taki sposób, aby każdy z pracownik miał możliwość zapoznania się z nią.

3. Szkolenie użytkowników

Praktyka pokazuje, że najskuteczniejszym narzędziem pozwalającym w szybkim czasie przeszkolić pracowników z zagadnień związanych z cyberbezpieczeństwem jest szkolenie e-learningowe. Na takie szkolenie powinny składać się pytania kontrolne oraz test wielokrotnego wyboru, co da nam pewność,
że użytkownicy zapoznali się z prezentowanymi treściami. Najlepiej, aby zakres szkolenia obejmował następujące zagadnienia:

• rodzaje zagrożeń w cyberprzestrzeni, np.
  • malware,
  • phishing,
  • ataki typu DDoS,
  • socjotechnika,
• jak reagować na incydent,
• jak zabezpieczyć dowody cyberprzestępstwa,
• zasady ochrony danych w organizacji.

4. Wdrożenie dokumentacji

Zgodnie z wymogami Rozporządzenia Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi  z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo podmiot  świadczący  usługi  z zakresu  cyberbezpieczeństwa  jest  obowiązany posiadać  i utrzymywać  w aktualności  system  zarządzania  bezpieczeństwem  informacji oraz zapewnić ciągłość działania. Przyjęte we wskazanym rozporządzeniu wymagania wskazano w odniesieniu do Polskiej Normy PN-EN ISO/IEC 27001 oraz do Polskiej Normy PN-EN ISO 22301.

W związku z powyższym na pełną dokumentację powinny składać się następujące elementy:

• polityka bezpieczeństwa informacji,
• plan szkolenia i uświadamiania,
• procedura działań naprawczych,
• procedura szacowania i postępowania z ryzykiem,
• deklaracja stosowania,
• polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
• zobowiązanie do zachowania poufności, stosowania polityk i procedur,
• polityka klasyfikacji informacji,
• polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
• procedury operacyjne dla systemów teleinformatycznych, zarządzania zmianami,
• polityka zarządzania kopiami zapasowymi,
• procedura zarządzania podatnościami technicznymi,
• procedura zarządzania incydentami,
• dziennik incydentów,
• polityka ciągłości działania,
• plan zachowania ciągłości działania,
• procedury awaryjne i odtworzeniowe,
• procedura audytu wewnętrznego.

Powyżej podany spis jest przykładowy, a zakres i forma dokumentacji zależy od kontekstu działania danej organizacji, jej struktury, branży, wymogów prawnych itd. Ważny wpływ na zakres dokumentacji ma oczywiście analiza ryzyka, gdyż to właśnie ona pozwala na stwierdzenie, czy organizacja posiada stosowne procedury zabezpieczania i użytkowania zasobów oraz ochrony danych przy ich użyciu przetwarzanych.

Istotne przy opracowaniu i wdrożeniu dokumentacji jest to, że - jak przy wcześniejszych krokach dostosowania - organizacja (przede wszystkim w związku z dostosowaniem się do wymagań RODO) zazwyczaj posiada już pewien zakres dokumentacji. Dobrą praktyką jest nietworzenie dokumentacji od nowa, a jedynie jej ewentualna poprawa lub uzupełnienie.

Podsumowanie

Wdrożenie NIS w większości organizacji wcale nie musi wiązać się z dużym nakładem prac. W naszej ocenie realizacja wyżej przedstawionych 4 kroków pozwalających dostosować organizację do wymogów NIS nie powinna zająć więcej niż 3-4 miesiące. Duże ułatwienie polega na podkreślanym wyżej podobieństwie wymogów NIS z innymi aktami prawnymi, w tym przede wszystkim z RODO. W związku z tym serdecznie zapraszamy Państwa do zapoznania się z artykułem "Dyrektywa NIS - cyberustawa kto powinien wdrożyć, jak się przygotować, jak ma się do RODO?", w którym poruszamy problematykę powiązania wdrożenia cyberustawy i RODO.