Aktualności

SecureVisio vs Nowe regulacje dotyczące cyberbezpieczeństwa



28 sierpnia 2018r weszła w życie Ustawa o Krajowym Systemie Cyberbezpieczeństwa, implementująca do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej (tzw. Dyrektywa NIS). Ustawa definiuje tzw. Operatorów Usług Kluczowych (m. in. z sektora Ochrony Zdrowia) oraz określa bardzo konkretne wymagania dla tych podmiotów w zakresie zarządzania bezpieczeństwem sieci i informacji.

Poniżej przedstawione zostały wymagania znajdujące się w rozdz. 3, art. 8 Ustawy o Krajowym Systemie Cyberbezpieczeństwa:

WYMAGANIESecureVisio
1. Szacowanie ryzyka dla swoich usług kluczowych
Integralną część systemu stanowi automatyczna i dynamiczna analiza ryzyka cyberzagrożeń wyposażona w funkcję szacowania ich wpływu na kluczowe usługi organizacji (BIA). Automatycznie tworzona baza zasobów (CMDB), mapa sieci oraz
gromadzenie w jednym systemie informacji o stanie cyberbezpieczeństwa znacznie ułatwia efektywne zarządzanie ryzykiem dla usług kluczowych.
2. Zarządzanie incydentami bezpieczeństwa
3. Obsługa incydentów we własnych systemach
4. Raportowanie incydentów poważnych do CSIRT
System umożliwia wdrożenie i zautomatyzowanie wymaganej ustawą procedury zarządzania incydentami (7 etapów obsługi incydentu). SecureVisio SIEM wykrywa incydenty bezpieczeństwa oraz nadaje im priorytety wynikające z prowadzonej w sposób ciągły analizy ryzyka. Następnie SecureVisio SOAR, wykorzystując gotowe scenariusze obsługi umożliwia przydzielonemu operatorowi obsługę każdego incydentu z poziomu konsoli SecureVisio, łącznie z wysłaniem raportu do odpowiedniego CSIRT.
5. Usuwanie wskazanych podatności
6. Zbieranie informacji o zagrożeniach i podatnościach
SecureVisio dzięki integracji z dowolnym skanerem podatności (Rapid 7, Nessus, Qualys, Greenbone itd.) umożliwia wprowadzenie efektywnego zarządzania podatnościami w organizacji. Analogicznie do zarządzania incydentami SecureVisio dokonuje analizy wyników skanów podatności oraz ocenia ryzyko związane z wystąpieniem danej podatności. Na tej podstawie nadaje priorytety wszystkim podatnościom i wykorzystując gotowe
scenariusze obsługi daje przydzielonemu operatorowi gotowy playbook, dzięki któremu właściwie załata daną podatność. SecureVisio integruje się ponadto z systemami Threat Intelligence w celu stałego zbierania informacji o zagrożeniach i podatnościach np. Palo Alto MineMeld
.

7. Wdrażanie odpowiednich i adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych
8. Stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego
SecureVisio w obszarze analizy ryzyka oparte jest o normę ISO 27001 oraz ogólnodostępne dobre praktyki zarządzania ryzykiem cyberzagrożeń. System nie tylko wylicza aktualne ryzyko dla poszczególnych zasobów oraz procesów zachodzących w organizacji ale również sugeruje wprowadzenie określonych i adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych aby zmniejszyć poziom ryzyka. Wprowadzając sugerowane zmiany organizacja w znaczący sposób ogranicza wpływ przyszłych incydentów na ciągłość świadczenia kluczowych usług.

9. Raz na 24 m/ce audyt w rozumieniu wymagań ustawy
10. Przekazywanie sprawozdań z audytu wskazanym w ustawie podmiotom
Operator Usługi Kluczowej zobowiązany jest do przeprowadzania raz na 2 lata audytu zgodności z wymaganiami UoKSC. Wykorzystanie systemu SecureVisio w procesie zarządzania bezpieczeństwem pozwala w sposób transparentny wykazać zgodność z wymaganiami UoKSC. Wskazują na to doświadczenia klientów, którzy takie audyty przeszli pozytywnie.

Za niespełnianie wymagań Ustawy o Krajowym Systemie Cyberbezpieczeństwa ustawodawca przewidział kary pieniężne, które mogą być nakładane na Operatorów Usług Kluczowych (rodz. 14 UoKSC).


RODO Vs. SecureVisio

Kolejnym aktem prawnym, który zobowiązuje polskie przedsiębiorstwa i instytucje publiczne do spełnienia określonych wymagań dotyczących danych jest ustawa o RODO. System SecureVisio posiada moduł PDP (Personal Data Protection), który prowadzi organizację „krok po kroku” do osiągnięcia zgodności z RODO i dzięki temu uniknięcia surowych konsekwencji braku zgodności z nowym prawem.

SecureVisio zapewnia organizacji spełnienie wszystkich wymagań RODO dotyczących dokumentacji i raportowania, tzn.:

  • Rejestr czynności oraz kategorii czynności przetwarzania (RODO, Artykuł 30);
  • Raport naruszenia ochrony danych osobowych dla organu nadzorczego (RODO, Artykuł 33 pkt. 3);
  • Rejestr naruszeń bezpieczeństwa danych osobowych (RODO, Artykuł 33 pkt. 5);
  • Raport z oceny skutków dla ochrony danych – analizy ryzyka w obszarze cyberzagrożeń (RODO, Artykuł 35).

SecureVisio automatyzuje wiele podatnych na błędy, czasochłonnych czynności wymaganych przez RODO, m.in.:

  • Wyszukiwanie systemów IT przetwarzających dane osobowe oraz grup i kategorii danych, jakie tam się znajdują;
  • Wyznaczanie dostępnych zabezpieczeń technicznych przed potencjalnymi źródłami zagrożenia dla wszystkich systemów IT, gdzie znajdują się zbiory danych osobowych;
  • Generowanie „Raportu naruszenia ochrony danych osobowych dla organu nadzorczego” w pełni automatycznie, łącznie z wyznaczeniem możliwych konsekwencji naruszenia bezpieczeństwa;
  • Wykrywanie obowiązkowej w RODO oceny skutków dla ochrony danych (analizy ryzyka) w obszarze cyberzagrożeń w sposób w pełni zautomatyzowany;

Wypełnienie zawartego w SecureVisio „Rejestru czynności przetwarzania” pomaga organizacjom w rozpoznaniu słabości całego procesu przetwarzania danych osobowych także w obszarach takich jak ochrona fizyczna, organizacja przetwarzania danych, itd.

SecureVisio wykonuje analizę ryzyka danych osobowych w odniesieniu do zagrożeń natury informatycznej (hackerzy, malware, ataki DoS, itp.), wykonuje ocenę skutków dla ochrony danych w systemach IT (tzn. analizę ryzyka danych osobowych) dla trzech głównych ryzyk:

  • ryzyko utraty poufności danych,
  • ryzyko utraty integralności danych,
  • ryzyko utraty dostępności danych.

Analiza ryzyka w SecureVisio ocenia czy określone wektory ataku są istotne dla systemów IT gdzie są dane osobowe i tym samym SecureVisio wykonuje ocenę skutków dla ochrony danych. SecureVisio automatycznie wskazuje ryzyka natury informatycznej dla danych osobowych w systemach IT, m.in. mówi jak intruzi mogą włamać się i ukraść dane osobowe z organizacji.

Analiza ryzyka obejmuje także aspekty nieinformatyczne i jest wyliczana zgodnie z wytycznymi, opisanymi nowym standardem ISO/IEC 29134:2017 – Information technolog – Security techniques – Guidelines for privacy impact assessment.

SecureVisio zapewnia automatyczną ocenę skutków dla ochrony danych, co stanowi dużą korzyść dla każdej organizacji i ogromny krok w przygotowaniu do osiągnięcia przez nią zgodności z RODO. Ocena skutków (RODO, Artykuł 35) jest wymagana przy zgłaszaniu naruszeń ochrony danych osobowych do organu nadzorczego (RODO, Artykuł 33 pkt. 3).