Rozpoczynamy serię publikacji, która krok po kroku przeprowadzi Was przez najważniejsze aspekty wdrażania dyrektywy NIS2 – od strategii bezpieczeństwa po zarządzanie ryzykiem i reakcje na incydenty. Pierwszym artykułem w serii będzie tekst poświęcony polityce bezpieczeństwa w kontekście dyrektywy NIS2 oraz podziałowi ról w jej ramach.
Czym jest polityka bezpieczeństwa informacji
Polityka bezpieczeństwa informacji to strategiczny dokument, który ustanawia ogólne podejście organizacji do bezpieczeństwa sieci i systemów informacyjnych, uwzględniając specyfikę działalności i cele biznesowe. Zgodnie z wytycznymi Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) oraz regulacjami unijnymi dokument ten powinien precyzyjnie definiować role, zasoby oraz wskaźniki pozwalające monitorować i doskonalić poziom ochrony cybernetycznej w organizacji.
Jakie wymagania musi spełniać polityka bezpieczeństwa
Zgodnie z rozporządzeniem wykonawczym Komisji Europejskiej polityka bezpieczeństwa na gruncie dyrektywy NIS2 powinna:

- określać podejście podmiotu do zarządzania bezpieczeństwem jego sieci i systemów informatycznych;
- być spójna i komplementarna ze strategią biznesową oraz celami organizacji;
- precyzować cele w zakresie bezpieczeństwa sieci i informacji;
- zawierać zobowiązanie do ciągłego doskonalenia bezpieczeństwa sieci i systemów informatycznych;
- obejmować zobowiązanie do zapewnienia odpowiednich zasobów do wdrożenia polityki, w tym personelu, finansów, procesów, narzędzi i technologii;
- być przekazana i potwierdzona przez odpowiednich pracowników oraz interesariuszy zewnętrznych;
- definiować role i obowiązki w zakresie bezpieczeństwa zgodnie z wytycznymi;
- zawierać wykaz dokumentacji do przechowywania oraz określać okres retencji;
- uwzględniać listę polityk tematycznych;
- określać wskaźniki i procedury monitorowania wdrożenia polityki oraz bieżący poziom dojrzałości podmiotu w zakresie bezpieczeństwa sieci i informacji;
- wskazywać datę formalnego zatwierdzenia przez zarząd organizacji.
Jakie dokumenty powinna zawierać polityka bezpieczeństwa
W projekcie ustawy o krajowym systemie cyberbezpieczeństwa określono kompleksowy zakres dokumentacji wymaganej do zapewnienia zgodności z przepisami oraz bezpieczeństwa operacyjnego. Katalog ten obejmuje:
- dokumentację normatywną, w której skład wchodzą:
- dokumentacja systemu zarządzania bezpieczeństwem informacji,
- dokumentacja ochrony infrastruktury wykorzystywanej do świadczenia danej usługi, obejmująca:
- charakterystykę usługi oraz infrastruktury, w której świadczona jest usługa,
- ocenę aktualnego stanu ochrony infrastruktury,
- szacowanie ryzyka dla obiektów infrastruktury,
- plan postępowania z ryzykiem,
- opis zabezpieczeń technicznych obiektów infrastruktury,
- zasady organizacji i wykonywania ochrony fizycznej infrastruktury,
- dane o specjalistycznej uzbrojonej formacji ochronnej chroniącej infrastrukturę – jeżeli taka formacja występuje,
- dokumentacja systemu zarządzania ciągłością działania,
- dokumentacja techniczna systemu IT używanego do świadczenia danej usługi,
- dokumentacja wynikająca ze specyfiki świadczonej usługi w danym sektorze lub podsektorze;
- dokumentację operacyjną.
Dokumentacja operacyjna to zbiór zapisów, które poświadczają realizację działań wymaganych przez ustalenia zawarte w dokumentacji normatywnej. Obejmuje ona zarówno ręcznie przygotowywane raporty, jak i automatycznie generowane zapisy, takie jak dzienniki systemowe, które rejestrują kluczowe operacje i zdarzenia w systemach informacyjnych. Dzięki dokumentacji operacyjnej organizacja jest w stanie monitorować zgodność działań z wytycznymi bezpieczeństwa oraz wykazywać ich rzetelne wdrażanie.
Dokumentacja operacyjna może być prowadzona zarówno w formie papierowej, jak i w formie elektronicznej. To pozwala dostosować ją do specyfiki oraz potrzeb operacyjnych organizacji. Dzięki temu możliwe jest też zachowanie elastyczności w zarządzaniu informacjami operacyjnymi oraz w ich archiwizacji przy jednoczesnym spełnieniu wymogów dokumentacyjnych.
Jednym z kluczowych wyzwań dla firm jest odpowiednie uzupełnienie wymogu posiadania dokumentacji systemu zarządzania bezpieczeństwem informacji oraz systemu zarządzania ciągłością działania. Dyrektywa NIS2 – podobnie jak RODO – pozostaje neutralna technologicznie, co daje organizacjom swobodę w doborze rozwiązań. W tym kontekście pomocny jest art. 8 projektu ustawy o krajowym systemie cyberbezpieczeństwa, który nakłada na podmioty obowiązek wdrożenia odpowiednich i proporcjonalnych do ryzyka środków technicznych i organizacyjnych. Środki te powinny uwzględniać najnowszy stan wiedzy, koszty wdrożenia, wielkość organizacji, prawdopodobieństwo wystąpienia incydentów, ekspozycję na ryzyko oraz potencjalne skutki społeczne i gospodarcze. Projekt ustawy definiuje następujące wymagania dotyczące środków bezpieczeństwa, w tym środków organizacyjnych (a więc również procedur):
- polityki i procedury – obejmujące między innymi szacowanie ryzyka, bezpieczeństwo informacyjne, bezpieczeństwo procesu nabywania i rozwoju systemu, testowanie, bezpieczeństwo fizyczne i środowiskowe, a także bezpieczeństwo zasobów ludzkich;
- ochrona ciągłości łańcucha dostaw produktów, usług i procesów ICT niezbędnych do świadczenia usług, z uwzględnieniem relacji z dostawcami;
- plany ciągłości działania i odzyskiwania – wdrażanie, dokumentowanie, testowanie oraz utrzymywanie planów zapewniających ciągłość świadczenia usług, jak również planów awaryjnych i odtworzeniowych;
- systemy monitorowania – objęcie systemu informacyjnego ciągłym monitorowaniem oraz procedury oceny skuteczności wdrożonych środków;
- edukacja z zakresu cyberbezpieczeństwa dla personelu, podstawowe zasady cyberhigieny oraz polityki stosowania kryptografii, bezpiecznej komunikacji i zarządzania aktywami;
- zarządzanie dostępem przez odpowiednie polityki i procedury kontroli dostępu;
- gromadzenie informacji o cyberzagrożeniach i podatnościach oraz zarządzanie incydentami;
- środki zapobiegawcze i ograniczające wpływ incydentów na bezpieczeństwo systemu, w tym mechanizmy zapewniające poufność, integralność i dostępność danych, regularne aktualizacje oprogramowania, ochrona przed nieuprawnioną modyfikacją oraz szybkie działania w odpowiedzi na wykryte zagrożenia.
Budowę dokumentacji zgodnej z wymaganiami dyrektywy NIS2 można efektywnie oprzeć na standardach wynikających z norm z rodziny ISO, takich jak ISO 27001 (zarządzanie bezpieczeństwem informacji) czy ISO 22301 (zarządzanie ciągłością działania). Te normy dostarczają sprawdzonych ram i wytycznych, które można wykorzystać do stworzenia kompleksowej dokumentacji obejmującej kluczowe obszary, takie jak zarządzanie ryzykiem, reakcja na incydenty oraz ochrona infrastruktury krytycznej. Dzięki temu organizacje mogą nie tylko spełniać wymogi NIS2, ale także budować zintegrowany system zarządzania, dostosowany do specyfiki swojej działalności. Poniżej przedstawiamy główne elementy, które powinny znaleźć się w dokumentacji opracowanej na bazie norm ISO.
- Polityka bezpieczeństwa informacji (4.1 4.2 4.3 5.1 5.2 6.2 ISO 27001)
- Procedura przeglądu bezpieczeństwa informacji (9.1 ISO 27001)
- Procedura działań korygujących i doskonalących (10.2 ISO 27001)
- Procedura audytu wewnętrznego (9.2 ISO 27001)
- Procedura przeglądu zarządzania (9.3 ISO 27001)
- Polityka podziału ról i odpowiedzialności (5.3 ISO 27001)
- Procedura nadzoru nad dokumentacją i zapisami (7.5 ISO 27001)
- Procedura zarządzania ryzykiem (6.1 8.1 8.2 8.3 ISO 27001)
- Procedura zbierania i analizowania informacji o zagrożeniach (A5.7 ISO 27001)
- Procedura klasyfikacji informacji (A5.12-A5.14 ISO 27001)
- Procedura zarządzania użytkownikami- kontrola dostępu (A5.15 A5.16 A5.18 ISO 27001)
- Procedura zarządzania poufnymi informacjami uwierzytelniającymi użytkowników (A5.17 ISO 27001)
- Procedura zarządzania bezpieczeństwem informacji w relacjach z dostawcami (A5.19-A5.22 ISO 27001)
- Procedura zarządzania bezpieczeństwem informacji w usłudze chmury (A5.23 ISO 27001)
- Procedura zarządzania incydentami (A5.24-A5.28 ISO 27001)
- Procedura zapewniania zgodności z wymaganiami prawnymi i umownymi (A5.31-A5.32 ISO 27001)
- Procedura zarządzania ciągłością działania (A5.29 A5.30 ISO 27001)
- Polityka bezpieczeństwa zasobów ludzkich (A6.1-A6.6 ISO 27001)
- Procedura pracy zdalnej (A6.7 ISO 27001)

OFERTA PROMOCYJNA
Czas na skuteczne
wdrożenie NIS2
Zastanawiasz się, jak kompleksowo przygotować firmę do nowej dyrektywy? Podczas krótkiej rozmowy, poznasz ofertę i otrzymasz rabat
- Procedura dostępu fizycznego do pomieszczeń (A7.1-A7.6 ISO 27001)
- Procedura przebywania gości i serwisu sprzątającego (A7.1-A7.6 ISO 27001)
- Procedura zarządzania bezpieczeństwem sprzętu (A7.7-A7.14 ISO 27001)
- Procedura postępowania z nośnikami pamięci (A7.10 ISO 27001)
- Procedura utylizacji dysków twardych (A7.10 ISO 27001)
- Procedura zarządzania urządzeniami mobilnymi (A8.1 ISO 27001)
- Procedura zarządzania bezpieczeństwem eksploatacyjnym (A8.2-A8.6 A8.8-A8.9 A8.14-A8.19 ISO 27001)
- Procedura zabezpieczania przed szkodliwym oprogramowaniem (A8.7 ISO 27001)
- Procedura tworzenia kopii zapasowych (A8.13 ISO 27001)
- Procedura retencji danych (A8.10 ISO 27001)
- Procedura maskowania danych (A8.11 ISO 27001)
- Procedura zapobiegania wyciekom danych (A8.12 ISO 27001)
- Procedura zarządzania ruchem sieciowym (A8.20-A8.23 ISO 27001)
- Procedura korzystania z poczty elektronicznej (A5.14 ISO 27001)
- Procedura zarządzania bezpieczeństwem kryptograficznym (A8.24 ISO 27001)
- Procedura pozyskiwania, rozwoju i utrzymywania systemów (A.25-A8.33 ISO 27001)
- Polityka ciągłości działania (5.2.1 ISO 22301)
- Cele ciągłości działania (6.2.1 ISO 22301)
- Analiza wpływu na biznes (BIA) (8.2.2 ISO 22301)
- Procedury zarządzania incydentami (8.4 ISO 22301)
- Plany ciągłości działania (8.4 ISO 22301)
- Plany awaryjne (8.4.5 ISO 22301)
- Programy szkoleniowe i ćwiczenia (8.5 ISO 22301)
- Wyniki audytów wewnętrznych (9.2 ISO 22301)
- Przeglądy zarządzania (9.3 ISO 22301)
- Zapisy działań korygujących (10.1.3 ISO 22301)
Jak wdrożyć politykę bezpieczeństwa
Do skutecznego wdrożenia polityki bezpieczeństwa konieczne jest podjęcie dwóch kluczowych działań. Dzięki nim zarówno personel, jak i partnerzy zewnętrzni zrozumieją zasady bezpieczeństwa w organizacji oraz będą ich przestrzegać.
- Ustanowienie polityki bezpieczeństwa: Stwórz jasną i kompleksową politykę bezpieczeństwa sieci i systemów informatycznych, obejmującą wszystkie systemy, zasoby i procedury objęte zakresem ochrony. Polityka powinna być dostosowana do specyfiki organizacji oraz uwzględniać realne zagrożenia, z którymi mogą mierzyć się jej zasoby informatyczne.
- Zapoznanie zainteresowanych stron z treścią polityki bezpieczeństwa: Upewnij się, że wszyscy pracownicy, a także strony trzecie (np. wykonawcy, dostawcy) znają i potwierdzają przyjęcie polityki bezpieczeństwa. Może to mieć formę podpisanego dokumentu lub cyfrowego potwierdzenia, które jasno precyzują, co polityka oznacza dla ich pracy. Celem takiego działania jest udokumentowanie, że wszyscy interesariusze rozumieją swoje obowiązki oraz zasady bezpieczeństwa, których muszą przestrzegać.
Jak zapewnić rozliczalność polityki bezpieczeństwa
Aby organizacje mogły wykazać realizację obowiązku wynikającego z dyrektywy NIS2, ENISA rekomenduje posiadanie określonych dowodów.
- Udokumentowana polityka bezpieczeństwa sieci i systemów informatycznych: Polityka powinna zawierać wszystkie wymagane elementy określone w ustawie o krajowym systemie cyberbezpieczeństwa oraz być formalnie zatwierdzona przez organy zarządzające (z podaniem daty tego zatwierdzenia).
- Dokumenty potwierdzające świadomość personelu: Pracownicy powinni być świadomi istnienia polityki bezpieczeństwa sieci i systemów informatycznych oraz jej znaczenia dla ich pracy. Dowodem może być podpisanie przez personel (a w stosownych przypadkach – także przez wykonawców) formularzy potwierdzających zapoznanie się z polityką i jej zrozumienie.
- Dowody na zaangażowanie kierownictwa najwyższego szczebla: Aktywna rola kierownictwa w zarządzaniu bezpieczeństwem informacji może być wykazana między innymi dzięki:
- wywiadom z kadrą zarządzającą, które potwierdzają, że kierownictwo rozumie obowiązki i uprawnienia dotyczące bezpieczeństwa sieci,
- dokumentacji przydziału zasobów na realizację polityki,
- wymaganiom wobec personelu w zakresie stosowania polityk i procedur bezpieczeństwa,
- inicjatywom promującym poprawę bezpieczeństwa informacji, pokazującym zaangażowanie kadry zarządzającej w podnoszenie poziomu ochrony w organizacji.
Jak powinien wyglądać przegląd polityki bezpieczeństwa
Skuteczna polityka bezpieczeństwa sieci i systemów informatycznych powinna być nie tylko dobrze zdefiniowana, lecz także systematycznie przeglądana i dostosowywana do zmieniających się warunków. ENISA rekomenduje, aby organizacje dokonywały takiego przeglądu co najmniej raz w roku, a także w odpowiedzi na istotne wydarzenia, takie jak zmiany regulacyjne, nowe zagrożenia czy pojawiające się incydenty bezpieczeństwa.
Przegląd polityki powinien być kompleksowy. ENISA zaleca uwzględnienie między innymi takich aspektów, jak:
- zmiany w przepisach i najlepsze praktyki – monitorowanie nowych regulacji i standardów branżowych pozwala na zachowanie zgodności z wymogami prawnymi i branżowymi;
- opinie interesariuszy – warto zbierać informacje zwrotne od pracowników, partnerów i klientów, aby zidentyfikować potencjalne obszary do poprawy;
- wyniki niezależnych audytów – audyty prowadzone przez zewnętrznych ekspertów często ujawniają istotne kwestie wymagające aktualizacji polityki;
- zalecenia organów nadzorczych – wytyczne instytucji regulacyjnych mogą wpływać na konieczność wprowadzenia zmian;
- analiza incydentów – analizowanie incydentów, zarówno tych wewnętrznych, jak i występujących u podobnych podmiotów w branży, pozwala na lepsze przygotowanie się na potencjalne zagrożenia.
Przegląd powinien także prowadzić do aktualizacji polityki, szczególnie w następujących przypadkach:
- zmiany wprowadzone w systemach informatycznych lub w operacyjnym środowisku organizacji;
- problemy napotkane podczas wdrażania planu bezpieczeństwa, które wymagają korekty podejścia;
- ocena statusu działań zapobiegawczych i naprawczych, aby określić ich skuteczność i potrzebę ewentualnych zmian;
- nowe trendy w zagrożeniach, zidentyfikowane wyjątki oraz zgłoszone incydenty bezpieczeństwa.
Każda aktualizacja polityki powinna uzyskać formalne zatwierdzenie przez kierownictwo. Taka zgoda dotyczy również wszelkich wyjątków od polityki, co gwarantuje, że zmiany są zgodne z ogólną strategią organizacji i odzwierciedlają jej podejście do zarządzania bezpieczeństwem. Dzięki regularnemu przeglądowi i zatwierdzeniom na poziomie zarządczym polityka bezpieczeństwa pozostaje aktualna i dopasowana do bieżących wymogów oraz wyzwań w zakresie ochrony sieci i systemów informatycznych.
Jak dokumentować przegląd polityki bezpieczeństwa
Dla skutecznego zarządzania polityką bezpieczeństwa sieci i systemów informatycznych kluczowa jest przejrzystość i rozliczalność działań. ENISA zaleca prowadzenie szczegółowej dokumentacji przeglądu polityki oraz wyjątków od zasad, aby organizacja mogła w każdej chwili wykazać zgodność z przepisami i procedurami. Oto najważniejsze kwestie, na które warto zwrócić uwagę.
- Rejestrowanie zmian i komentarzy: Przegląd dokumentacji dotyczącej polityki bezpieczeństwa sieci oraz polityk tematycznych powinien obejmować wszystkie komentarze i dzienniki zmian. Każda zmiana polityki lub procedury powinna być jasno udokumentowana, aby zapewnić przejrzystość decyzji i ich zgodność z ustalonymi zasadami.
- Rejestrowanie wyjątków od polityki: W sytuacji gdy konieczne jest odstąpienie od przyjętych zasad (np. z przyczyn technicznych lub specyfiki operacyjnej), organizacja powinna prowadzić dzienniki wyjątków. Takie wyjątki muszą być zatwierdzane przez odpowiednie osoby lub role. Mogą obejmować między innymi:
- aktualizacje oprogramowania – jeśli starsza wersja oprogramowania jest niezgodna z najnowszą aktualizacją, możliwy jest tymczasowy wyjątek na czas znalezienia rozwiązania,
- kontrola dostępu – gdy uwierzytelnianie wieloskładnikowe (MFA) nie może być wdrożone z powodu ograniczeń technicznych, może zostać przyznany wyjątek z jednoczesnym zastosowaniem alternatywnych środków ochrony,
- szyfrowanie – jeśli starszy system nie obsługuje szyfrowania, możliwy jest wyjątek do czasu jego wymiany.
- Dokumentacja procesu przeglądu i zatwierdzeń: W procesie przeglądu wymagań określonych w polityce bezpieczeństwa organizacja powinna prowadzić dokumentację zawierającą pełen przegląd polityki głównej oraz polityk tematycznych. Dodatkowo wszelkie aktualizacje oraz przyznane wyjątki powinny być zatwierdzane przez zarząd, a dokumentacja musi być archiwizowana. Taka praktyka zapewnia zgodność z regulacjami oraz pełną kontrolę nad wdrażaniem zmian.
Mapowanie do norm i standardów
Chociaż projekt Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) nie przewiduje automatycznej zgodności z żadnym konkretnym standardem – co oznacza, że ich wdrożenie formalnie nie jest równoznaczne z pełnym wdrożeniem wymagań NIS2 – to jednak normy i standardy wymienione w tabeli mogą być bardzo pomocne w osiągnięciu zgodności. Wskazane dokumenty, takie jak ISO 27001 czy NIST CSF, dostarczają sprawdzonych ram i wytycznych, które mogą wspierać organizacje w implementacji kluczowych wymogów NIS2.
Jak przypisać role i obowiązki związane z bezpieczeństwem
Efektywne zarządzanie bezpieczeństwem sieci i systemów informatycznych wymaga precyzyjnie określonych obowiązków i uprawnień. W ramach polityki bezpieczeństwa organizacja powinna jasno określić, kto odpowiada za poszczególne aspekty zabezpieczeń oraz jakie ma uprawnienia. Przydzielenie tych odpowiedzialności konkretnym rolom w strukturze firmy nie tylko porządkuje zadania, lecz także ułatwia nadzór nad realizacją polityki. Taka dokumentacja powinna być przekazywana zarządom organizacji, aby zapewnić transparentność i nadzór nad działaniami związanymi z bezpieczeństwem.

OFERTA PROMOCYJNA
Czas na strategiczne
podejście do NIS2
Zastanawiasz się, od czego zacząć przygotowania do NIS2? Podczas krótkiej rozmowy, poznasz ofertę i otrzymasz rabat
Spójność i jasność można osiągnąć dzięki jednoznacznemu określeniu praw i obowiązków w opisach stanowisk. Należy przy tym uwzględnić przypisanie personelowi ról i odpowiedzialności w zakresie bezpieczeństwa oraz ich miejsca w schemacie organizacyjnym. Konieczne jest przyporządkowanie odpowiednich obowiązków do kluczowych ról, takich jak dyrektor IT (chief information officer, CIO), dyrektor ds. bezpieczeństwa informacji (chief information security officer, CISO), specjalista ds. bezpieczeństwa IT oraz specjalista ds. obsługi incydentów.
Ponadto organizacja powinna korzystać z wytycznych, głównych ram i standardów międzynarodowych, tak by dostosować je do swojego rozmiaru i potrzeb biznesowych. Europejskie ramy umiejętności w zakresie cyberbezpieczeństwa (ECSF) mogą stanowić użyteczne narzędzie w procesie definiowania wymagań dla pracowników pełniących funkcje związane z bezpieczeństwem. Formalne wyznaczenie osób odpowiedzialnych za bezpieczeństwo oraz ich odpowiednie przeszkolenie stanowi kluczowy element budowania skutecznego systemu zarządzania bezpieczeństwem w organizacji.
Pomocne w udowodnieniu organom nadzoru realizacji wskazanych obowiązków mogą być:
- szczegółowe opisy stanowisk dla ról związanych z bezpieczeństwem, jak CIO, CISO czy IOD, zawierające ich prawa i obowiązki;
- lista wszystkich ról mających kluczowe znaczenie dla bezpieczeństwa, z przypisaniem odpowiedzialności i uprawnień;
- formalne mianowanie osób na kluczowe stanowiska związane z bezpieczeństwem, wraz z jasnym określeniem obowiązków tych osób oraz zakresu działań;
- wykaz mianowanych osób na stanowiska takie jak CISO lub IOD, wraz z szczegółowym opisem zadań tych osób i ich odpowiedzialności w zakresie zarządzania bezpieczeństwem.
Zgodność z polityką bezpieczeństwa jest wymagana zarówno od całego personelu, jak i od stron trzecich współpracujących z organizacją. Personel powinien być świadomy ról związanych z bezpieczeństwem w jednostce oraz wiedzieć, kiedy należy kontaktować się z odpowiednimi osobami odpowiedzialnymi za bezpieczeństwo. Zewnętrzni partnerzy, w tym dostawcy, wykonawcy, usługodawcy i inni partnerzy biznesowi, również powinni być informowani o konieczności przestrzegania polityki bezpieczeństwa sieci i informacji organizacji. Nawet jeśli nie są bezpośrednio zaangażowani w operacje podmiotu, ich działania mogą mieć wpływ na poziom bezpieczeństwa sieci i ochrony informacji.
-
Realizację wskazanych obowiązków mogą potwierdzać:
- materiały informacyjne dla personelu, które wyjaśniają role związane z bezpieczeństwem oraz wskazują, kiedy i w jaki sposób należy się kontaktować z odpowiednimi osobami;
- umowy o gwarantowanym poziomie usług (SLA) ze stronami trzecimi, które wyraźnie określają, że te podmioty muszą przestrzegać polityki bezpieczeństwa sieci i informacji organizacji, a także tematycznych polityk i procedur bezpieczeństwa;
- formalne dowody, takie jak listy lub wiadomości e-mail od stron trzecich, zaświadczające, że otrzymały one i zrozumiały politykę bezpieczeństwa sieci i informacji organizacji, wraz z przekazaniem im odpowiednich polityk i procedur tematycznych.
Kluczowym elementem polityki jest wyznaczenie co najmniej jednej osoby, która odpowiada bezpośrednio przed zarządem za kwestie związane z bezpieczeństwem sieci i systemów. Może to być przypisana do tego osoba, taka jak CISO lub pełnomocnik zarządu ds. NIS2, odpowiedzialna za nadzorowanie kwestii bezpieczeństwa. Ważne jest, aby taka osoba posiadała uprawnienia i wiedzę umożliwiające jej skuteczną komunikację z kierownictwem.
W większych organizacjach praktyczne jest ustanowienie specjalnych ról związanych z bezpieczeństwem informacji, takich jak główny specjalista ds. bezpieczeństwa lub analityk bezpieczeństwa. Osoby te skupiają się wyłącznie na ochronie danych i systemów. W mniejszych podmiotach, dysponujących ograniczonymi zasobami, obowiązki związane z bezpieczeństwem informacji mogą być przydzielone pracownikom na istniejących stanowiskach. Na przykład pracownicy działu IT mogą dodatkowo przejąć zadania związane z bezpieczeństwem i wykonywać je oprócz swoich standardowych obowiązków.
W odniesieniu do zapewnienia niezależności i minimalizacji ryzyka nieautoryzowanego dostępu lub niewłaściwego wykorzystania zasobów szczególną uwagę zwraca się na rozdzielenie sprzecznych obowiązków i odpowiedzialności. Przykłady takiego rozdzielenia obejmują:
- oddzielenie (głównego) specjalisty ds. bezpieczeństwa informacji od administratora IT;
- rozdzielenie funkcji architekta systemu (cyberbezpieczeństwa) od testera systemu (bezpieczeństwa);
- oddzielenie roli osoby zarządzającej tożsamościami (np. dostępami i uprawnieniami użytkowników) od roli administratora systemu
- wyznaczenie audytora, który nie jest częścią zespołu ani nie podlega osobom zarządzającym obszarem objętym przeglądem.
- oddzielenie stanowiska osoby reagującej na incydenty od zespołu compliance
Takie wyodrębnienie funkcji pozwala ograniczyć możliwość niezamierzonej modyfikacji lub nadużycia aktywów organizacji. Jednocześnie zapewnia to większe bezpieczeństwo i kontrolę nad procesami ochrony danych i systemów.
Warto zaznaczyć, że role, obowiązki i uprawnienia związane z bezpieczeństwem powinny być regularnie przeglądane, przynajmniej w zaplanowanych odstępach czasu. W przypadku wystąpienia istotnych incydentów bezpieczeństwa lub znaczących zmian w operacjach i ryzyku konieczne jest natychmiastowe dostosowanie polityki. Zwiększa to jej aktualność i skuteczność w dynamicznie zmieniającym się otoczeniu technologicznym.
Za potwierdzenie realizacji opisanych wyżej obowiązków można uznać:
- aktualną dokumentację dotyczącą przypisania ról i obowiązków w zakresie bezpieczeństwa;
- przeprowadzenie rozmów z pracownikami w celu oceny ich umiejętności komunikacyjnych oraz autorytetu;
- zbieranie informacji zwrotnych od kierownictwa i innych interesariuszy na temat skuteczności komunikacji danej osoby;
- protokoły ze spotkań z zarządem dokumentujące kwestie bezpieczeństwa;
- w większych organizacjach – weryfikację obecności przypisanych ról związanych z bezpieczeństwem;
- w mniejszych jednostkach – sprawdzenie, czy obowiązki związane z bezpieczeństwem są przypisane do istniejących ról;
- dokumentację procesu przeglądu uwzględniającą wcześniejsze incydenty oraz wprowadzane zmiany.
Jak dopasować wymagania do norm i standardów
Opracowanie odpowiednich ról, przypisanie obowiązków i określenie jasnej struktury odpowiedzialności to fundamenty skutecznego systemu bezpieczeństwa w organizacji. Zarządzanie bezpieczeństwem informacji wymaga powiązania działań z uznanymi normami i standardami, które stanowią podstawę najlepszych praktyk w tej dziedzinie. Poniżej przedstawiamy wymagania ISO 27001 i NIST, które odnoszą się do tego kluczowego aspektu.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Który z poniższych elementów nie wchodzi w skład dokumentacji normatywnej, wymaganej w ramach ustawy o krajowym systemie cyberbezpieczeństwa?