SecureVisio vs Nowe regulacje dotyczące cyberbezpieczeństwa
28 sierpnia 2018r weszła w życie Ustawa o Krajowym Systemie Cyberbezpieczeństwa, implementująca do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej (tzw. Dyrektywa NIS). Ustawa definiuje tzw. Operatorów Usług Kluczowych (m. in. z sektora Ochrony Zdrowia) oraz określa bardzo konkretne wymagania dla tych podmiotów w zakresie zarządzania bezpieczeństwem sieci i informacji.
Poniżej przedstawione zostały wymagania znajdujące się w rozdz. 3, art. 8 Ustawy o Krajowym Systemie Cyberbezpieczeństwa:
| WYMAGANIE | SecureVisio |
| 1. Szacowanie ryzyka dla swoich usług kluczowych | Integralną część systemu stanowi automatyczna i dynamiczna analiza ryzyka cyberzagrożeń wyposażona w funkcję szacowania ich wpływu na kluczowe usługi organizacji (BIA). Automatycznie tworzona baza zasobów (CMDB), mapa sieci oraz gromadzenie w jednym systemie informacji o stanie cyberbezpieczeństwa znacznie ułatwia efektywne zarządzanie ryzykiem dla usług kluczowych. |
| 2. Zarządzanie incydentami bezpieczeństwa 3. Obsługa incydentów we własnych systemach 4. Raportowanie incydentów poważnych do CSIRT | System umożliwia wdrożenie i zautomatyzowanie wymaganej ustawą procedury zarządzania incydentami (7 etapów obsługi incydentu). SecureVisio SIEM wykrywa incydenty bezpieczeństwa oraz nadaje im priorytety wynikające z prowadzonej w sposób ciągły analizy ryzyka. Następnie SecureVisio SOAR, wykorzystując gotowe scenariusze obsługi umożliwia przydzielonemu operatorowi obsługę każdego incydentu z poziomu konsoli SecureVisio, łącznie z wysłaniem raportu do odpowiedniego CSIRT. |
| 5. Usuwanie wskazanych podatności 6. Zbieranie informacji o zagrożeniach i podatnościach | SecureVisio dzięki integracji z dowolnym skanerem podatności (Rapid 7, Nessus, Qualys, Greenbone itd.) umożliwia wprowadzenie efektywnego zarządzania podatnościami w organizacji. Analogicznie do zarządzania incydentami SecureVisio dokonuje analizy wyników skanów podatności oraz ocenia ryzyko związane z wystąpieniem danej podatności. Na tej podstawie nadaje priorytety wszystkim podatnościom i wykorzystując gotowe scenariusze obsługi daje przydzielonemu operatorowi gotowy playbook, dzięki któremu właściwie załata daną podatność. SecureVisio integruje się ponadto z systemami Threat Intelligence w celu stałego zbierania informacji o zagrożeniach i podatnościach np. Palo Alto MineMeld. |
7. Wdrażanie odpowiednich i adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych 8. Stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego | SecureVisio w obszarze analizy ryzyka oparte jest o normę ISO 27001 oraz ogólnodostępne dobre praktyki zarządzania ryzykiem cyberzagrożeń. System nie tylko wylicza aktualne ryzyko dla poszczególnych zasobów oraz procesów zachodzących w organizacji ale również sugeruje wprowadzenie określonych i adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych aby zmniejszyć poziom ryzyka. Wprowadzając sugerowane zmiany organizacja w znaczący sposób ogranicza wpływ przyszłych incydentów na ciągłość świadczenia kluczowych usług. |
9. Raz na 24 m/ce audyt w rozumieniu wymagań ustawy 10. Przekazywanie sprawozdań z audytu wskazanym w ustawie podmiotom | Operator Usługi Kluczowej zobowiązany jest do przeprowadzania raz na 2 lata audytu zgodności z wymaganiami UoKSC. Wykorzystanie systemu SecureVisio w procesie zarządzania bezpieczeństwem pozwala w sposób transparentny wykazać zgodność z wymaganiami UoKSC. Wskazują na to doświadczenia klientów, którzy takie audyty przeszli pozytywnie. |
Za niespełnianie wymagań Ustawy o Krajowym Systemie Cyberbezpieczeństwa ustawodawca przewidział kary pieniężne, które mogą być nakładane na Operatorów Usług Kluczowych (rodz. 14 UoKSC).
RODO Vs. SecureVisio
Kolejnym aktem prawnym, który zobowiązuje polskie przedsiębiorstwa i instytucje publiczne do spełnienia określonych wymagań dotyczących danych jest ustawa o RODO. System SecureVisio posiada moduł PDP (Personal Data Protection), który prowadzi organizację „krok po kroku” do osiągnięcia zgodności z RODO i dzięki temu uniknięcia surowych konsekwencji braku zgodności z nowym prawem.
SecureVisio zapewnia organizacji spełnienie wszystkich wymagań RODO dotyczących dokumentacji i raportowania, tzn.:
- Rejestr czynności oraz kategorii czynności przetwarzania (RODO, Artykuł 30);
- Raport naruszenia ochrony danych osobowych dla organu nadzorczego (RODO, Artykuł 33 pkt. 3);
- Rejestr naruszeń bezpieczeństwa danych osobowych (RODO, Artykuł 33 pkt. 5);
- Raport z oceny skutków dla ochrony danych – analizy ryzyka w obszarze cyberzagrożeń (RODO, Artykuł 35).
SecureVisio automatyzuje wiele podatnych na błędy, czasochłonnych czynności wymaganych przez RODO, m.in.:
- Wyszukiwanie systemów IT przetwarzających dane osobowe oraz grup i kategorii danych, jakie tam się znajdują;
- Wyznaczanie dostępnych zabezpieczeń technicznych przed potencjalnymi źródłami zagrożenia dla wszystkich systemów IT, gdzie znajdują się zbiory danych osobowych;
- Generowanie „Raportu naruszenia ochrony danych osobowych dla organu nadzorczego” w pełni automatycznie, łącznie z wyznaczeniem możliwych konsekwencji naruszenia bezpieczeństwa;
- Wykrywanie obowiązkowej w RODO oceny skutków dla ochrony danych (analizy ryzyka) w obszarze cyberzagrożeń w sposób w pełni zautomatyzowany;
Wypełnienie zawartego w SecureVisio „Rejestru czynności przetwarzania” pomaga organizacjom w rozpoznaniu słabości całego procesu przetwarzania danych osobowych także w obszarach takich jak ochrona fizyczna, organizacja przetwarzania danych, itd.
SecureVisio wykonuje analizę ryzyka danych osobowych w odniesieniu do zagrożeń natury informatycznej (hackerzy, malware, ataki DoS, itp.), wykonuje ocenę skutków dla ochrony danych w systemach IT (tzn. analizę ryzyka danych osobowych) dla trzech głównych ryzyk:
- ryzyko utraty poufności danych,
- ryzyko utraty integralności danych,
- ryzyko utraty dostępności danych.
Analiza ryzyka w SecureVisio ocenia czy określone wektory ataku są istotne dla systemów IT gdzie są dane osobowe i tym samym SecureVisio wykonuje ocenę skutków dla ochrony danych. SecureVisio automatycznie wskazuje ryzyka natury informatycznej dla danych osobowych w systemach IT, m.in. mówi jak intruzi mogą włamać się i ukraść dane osobowe z organizacji.
Analiza ryzyka obejmuje także aspekty nieinformatyczne i jest wyliczana zgodnie z wytycznymi, opisanymi nowym standardem ISO/IEC 29134:2017 – Information technolog – Security techniques – Guidelines for privacy impact assessment.
SecureVisio zapewnia automatyczną ocenę skutków dla ochrony danych, co stanowi dużą korzyść dla każdej organizacji i ogromny krok w przygotowaniu do osiągnięcia przez nią zgodności z RODO. Ocena skutków (RODO, Artykuł 35) jest wymagana przy zgłaszaniu naruszeń ochrony danych osobowych do organu nadzorczego (RODO, Artykuł 33 pkt. 3).
