Audyty

Jeśli w swoim przedsiębiorstwie wykorzystujesz systemy automatyki przemysłowej to spotkasz się z wymaganiem norm IEC 62443 – norma cyberbezpieczeństwa sieci przemysłowych.

Audyt bezpieczeństwa zgodności z IEC 62443 jest niezbędnym elementem zapewnienia zgodności z dyrektywą NIS2. 

Międzynarodowa seria norm IEC 62443 opisuje kluczowe wymagania w zakresie zapobiegania zagrożeniom bezpieczeństwa dla producentów komponentów, integratorów systemów
i użytkowników. Zapewnienie zgodności z rodziną norm IEC 62443 ma na celu zapewnienie bezpiecznej eksploatacji systemów automatyki przemysłowej – począwszy od etapu projektowania, poprzez implementację, integrację aż po eksploatację. Seria IEC 62443 obecnie obejmuje dziewięć norm, raportów technicznych (TR) i specyfikacji technicznych (TS). Normy IEC 62443 zostały początkowo opracowana dla sektora procesów przemysłowych, ale IACS można znaleźć w coraz szerszym zakresie dziedzin i gałęzi przemysłu, takich jak zaopatrzenie i dystrybucja energii elektrycznej czy transport. Technologie IACS mają kluczowe znaczenie dla infrastruktury krytycznej.

Rodzina norm IEC 62443 odnosi się nie tylko systemów sterowania, ale także procesów pracy, środków zaradczych oraz działania pracowników. Norma przyjmuje podejście holistyczne, ponieważ nie wszystkie zagrożenia są oparte na technologii: personel odpowiedzialny za IACS musi posiadać wymagane przeszkolenie, wiedzę i umiejętności aby zapewnić bezpieczeństwo.

Normy IEC 62443 przyjmują podejście do cyberbezpieczeństwa oparte na ryzyku, które opiera się na założeniu, że próba ochrony wszystkich zasobów w równym stopniu nie jest ani wydajna, ani zrównoważona. Zamiast tego użytkownicy muszą zidentyfikować to, co jest najcenniejsze
i wymaga największej ochrony oraz zidentyfikować luki w zabezpieczeniach.

W ramach usługi doświadczony zespół CISO4U zapewnia swoim klientom:

• Szkolenie personelu klienta z wymagań norm IEC 62443
• Ustanowienie programu bezpieczeństwa IACS
• Ocenę procesów wytwarzania komponentów automatyki przemysłowej
• Ocena programu bezpieczeństwa dla dostawców usług IACS
• Ocena wymagań dotyczących cyklu życia opracowywania produktu IACS
• Ocena technicznych wymagań bezpieczeństwa dla komponentów IACS
• Ocena ryzyka bezpieczeństwa dla całości systemu
• Ocena spełnienia wymagania bezpieczeństwa dla systemu i ocena poziomu bezpieczeństwa (Security Level vector)
• Ocena sposobu zarządzania poprawkami w środowisku IACS

Audyt ISO 27001:2022 to proces oceny zgodności i skuteczności systemu zarządzania bezpieczeństwem informacji (ISMS) z wymaganiami normy ISO 27001. Norma ta określa standardy dla skutecznego zarządzania bezpieczeństwem informacji w organizacjach.

Proces audytu ISO 27001 obejmuje kilka etapów:

• Przygotowanie: Określenie zakresu audytu, ustalenie celów i planowanie działań.
• Przegląd dokumentacji: Ocena dokumentacji związanej z ISMS, w tym polityki bezpieczeństwa, procedury i rejestry.
• Wywiady: Rozmowy z pracownikami w celu zrozumienia, jak funkcjonuje ISMS w praktyce.
• Ocena działań: Sprawdzenie, czy organizacja wdrożyła niezbędne środki bezpieczeństwa informacji.
• Ocena skuteczności: Ocena, czy ISMS spełnia wymagania normy ISO 27001 i czy jest skuteczny w ochronie informacji.
• Raportowanie: Przygotowanie raportu audytu zawierającego ocenę zgodności i ewentualne zalecenia.
• Certyfikacja: W przypadku pozytywnej oceny, organizacja może otrzymać certyfikat potwierdzający zgodność z normą ISO 27001.

Audyt ISO 27001 pomaga organizacjom w identyfikowaniu i zarządzaniu ryzykiem związanym z bezpieczeństwem informacji, co jest kluczowe w dobie coraz większej liczby zagrożeń związanych z cyberbezpieczeństwem.

Dla CISO4U celem audytu jest nie tylko certyfikacja ale realne podniesienie ogólnego poziomu bezpieczeństwa i odporności organizacji naszych klientów. Audyt ISO 27001 pozwala na wsparcie przy spełnieniu norm branżowych oraz wymaganiach prawnych, jak nadchodząca regulacja NIS2 (dla podmiotów ważnych i kluczowych) czy DORA (dla sektora finasów).

Korzyści z realizacji audytu ISO 27001

• Zaufanie Partnerów i Klientów: certyfikat zgodności z ISO/IEC 27001 to sygnał dla klientów i partnerów o priorytecie bezpieczeństwa informacji, budujący zaufanie do marki.
• Podniesienie poziomu bezpieczeństwa: przegląd i ocena umożliwia skuteczne zidentyfikowanie i eliminację potencjalnych zagrożeń, zwiększając ogólny poziom bezpieczeństwa informacji.
• Zgodność z normami prawnymi: Dzięki audytowi klient dostosuje się do zmieniających się przepisów dotyczących bezpieczeństwa informacji, co jest kluczowe dla prowadzenia działalności biznesowej w sposób odpowiedzialny prawnie.
• Efektywniejsze zarządzanie ryzykiem: audyt pomaga w skutecznym zarządzaniu ryzykiem w organizacji, co jest kluczowe dla spójnej strategii biznesowej.
• Innowacje i rozwój (R&D): spełnienie wymagań normy ISO/IEC 27001 to wsparcie dla innowacyjności, stwarzając solidne fundamenty do rozwoju nowych projektów i technologii.

Jednym z obowiązków operatora usługi kluczowej (zgodnie z NIS2 obejmie to podmioty kluczowe i podmioty ważne) wynikającym z ustawy o krajowym systemie cyberbezpieczeństwa (KSC) jest regularne przeprowadzanie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyty są niezwykle ważnym elementem sprawdzającym funkcjonowanie wdrożonych procedur.

Zespół audytowy CISO4U przeprowadza audyty zgodności według wytycznych Ministerstwa Cyfryzacji oraz w zgodzie z aktualnym stanem prawnym oraz dobrymi praktykami.

Zakres audytu obejmuje m.in.:

• Artykuł 8, 9,10, 14, 15 i 16 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
• Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz.U. 2019 poz. 2479); 
• Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080); 
• Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. poz. 1999); 
• Rozporządzenie Ministra Cyfryzacji z dnia 20 września 2018 r. w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług (Dz. U. poz. 1830); 
• Zakres normy PN-EN ISO/IEC 27001 (w całości lub w wersji ograniczonej do rozdziałów 5, 7, 9 i 10 oraz wymagań A.5, A.6 i A.18)