Większość dużych firm posiada własny proces zarządzania ryzykiem, często wypracowany na bazie doświadczeń metodą prób i błędów. Zdarza się jednak, że różni się on w organizacji pomiędzy zespołami. Obecnie jest dobry moment na uporządkowanie obszaru zarządzania ryzykiem.
Wejście w życie dyrektywy NIS2, która obejmuje swoim działaniem wiele obszarów gospodarki, oraz bardziej szczegółowe regulacje, jak DORA, stawiają mocny akcent na zarządzanie ryzykiem. Jednym z podstawowych narzędzi, które umożliwiają wysokiej jakości zarządzanie ryzykiem, jest metodyka oceny ryzyka. Z tego powodu warto rozważyć wdrożenie metodyki zgodnej z normą ISO 27001.
Zrozumienie wymagań DORA i NIS2
Dyrektywa NIS2 jak i rozporządzenie DORA opierają się na pięciu filarach. Jednym z kluczowych elementów jest zarządzanie ryzykiem ICT, które obejmuje identyfikację zagrożeń, ocenę i monitorowanie zagrożeń związanych z technologiami informacyjno-komunikacyjnymi. Organizacje muszą systematycznie oceniać ryzyko i prawdopodobieństwo wystąpienia zagrożenia związane z korzystaniem z ICT oraz wdrażać adekwatne środki zaradcze. Kolejnym istotnym wymogiem zarówno NIS2, jak i DORA jest reakcja na incydenty i zarządzanie nimi. Przedsiębiorstwa muszą posiadać procedury umożliwiające szybką i skuteczną reakcję na cyberincydenty, co jest kluczowe dla minimalizacji szkód oraz przywrócenia normalnego funkcjonowania.
Trzecim filarem są regularne testy odporności operacyjnej, takie jak testy penetracyjne czy symulacje incydentów. Pozwalają one na weryfikację efektywności zastosowanych środków ochrony, identyfikację podatności systemu oraz ocenę gotowości organizacji na potencjalne zagrożenia. Obie regulacje podkreślają znaczenie zarządzania ryzykiem stron trzecich – DORA skupia się na ryzyku związanym z dostawcami ICT, a NIS2 na ryzyku w łańcuchu dostaw. Organizacje muszą oceniać i monitorować ryzyko wynikające ze współpracy z podmiotami trzecimi, w tym dostawcami usług ICT.
Ostatnim aspektem jest dzielenie się informacjami o zagrożeniach oraz najlepszymi praktykami z innymi podmiotami, co umożliwia lepszą koordynację działań i zwiększa poziom bezpieczeństwa w całej gospodarce. Jak widać, obie regulacje mają zbliżone założenia. Co więcej, DORA jest lex specialis względem NIS2, czyli szczegółowym dokumentem dla sektora finansowego. Z tego powodu wystarczy wdrożyć jedną z metod szacowania ryzyka dla zgodności z obiema regulacjami.
Dlaczego aktywa wspierające są istotne w ISO 27001?
ISO/IEC 27001 to uznany standard zarządzania bezpieczeństwem informacji, opracowany przez Międzynarodową Organizację Normalizacyjną (ISO). Jego celem jest zapewnienie, że organizacje mogą skutecznie zarządzać ryzykiem związanym z bezpieczeństwem informacji, w tym ochroną danych osobowych, informacji poufnych oraz wszelkich innych danych wymagających ochrony. Standard ten określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji.
Metodyka ISO 27001 opiera się na podejściu zorientowanym na aktywa organizacji. Oznacza to, że proces zarządzania ryzykiem w organizacji zaczyna się od identyfikacji i klasyfikacji aktywów informacyjnych, takich jak dane, systemy, oprogramowanie czy infrastruktura. Każde z tych aktywów jest następnie oceniane pod kątem potencjalnych zagrożeń i podatności, a także wpływu, jaki ewentualne incydenty mogłyby mieć na organizację. Na tej podstawie dobierane są odpowiednie środki ochrony, mające na celu zminimalizowanie ryzyka związanego z utratą, naruszeniem lub nieautoryzowanym dostępem do tych aktywów.
Certyfikacja ISO 27001 potwierdza, że organizacja przestrzega najlepszych praktyk w zakresie zarządzania bezpieczeństwem informacji, co może zwiększać zaufanie klientów, partnerów i innych interesariuszy.
Czy ISO 27001 jest ważne dla zgodności z DORA i NIS2?
Metodyki oparte o ocenę ryzyka na aktywach jak ISO 27001 spełniają wymagania stawiane przez regulacje jak DORA, czy NIS2, ponieważ koncentrują się na identyfikacji, ocenie i zarządzaniu ryzykami związanymi z aktywami ważnymi dla ciągłości operacyjnej organizacji. DORA wymaga od podmiotów finansowych wdrożenia solidnych mechanizmów zapewniających odporność operacyjną, w tym zarządzania ryzykiem IT. DORA w artykule 6 ust. 2 wskazuje wprost, że celem ochrony są wszystkie odpowiednie zasoby informacyjne i zasoby ICT, w tym oprogramowanie i sprzęt komputerowy, serwery, a także wszystkie odpowiednie elementy fizyczne i infrastruktura, takie jak obiekty, ośrodki przetwarzania danych oraz wyznaczone obszary wrażliwe. Metodyki te pozwalają na precyzyjne określenie, które aktywa są krytyczne dla operacji organizacji i jakie zagrożenia mogą wpłynąć na ich bezpieczeństwo. Dzięki temu możliwe jest zastosowanie adekwatnych środków zabezpieczających oraz wdrożenie planów ciągłości działania, co bezpośrednio przyczynia się do spełnienia wymogów DORA.
Podobnie, NIS2, która nakłada na operatorów usług kluczowych i dostawców usług cyfrowych obowiązek ochrony przed cyberzagrożeniami, w pełni wspiera podejście oparte na ocenie ryzyka na aktywach. Dyrektywa w artykule 21 ust. 2 wymienia środki, które bazują na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami.
ISO 27001 umożliwia również dostosowanie podejścia do zarządzania ryzykiem zgodnie z zasadą proporcjonalności wymaganą przez DORA w artykule 4 ust. 1, który nakazuje uwzględniać w realizacji zadań wielkość i ogólny profil ryzyka oraz charakter, skalę i stopień złożoności swoich usług, działań i operacji. Zadanie to jest również wskazane w NIS2 w artykule 21 ust.1, który wspomina o odpowiednich i proporcjonalnych środkach technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatyczych.
Jak mapować DORA i NIS2 na ISO 27001?
Część podmiotów objętych regulacjami DORA lub NIS2 już wcześniej podlegała różnym przepisom, które wymagały posiadania polityki zarządzania ryzykiem i określonej metody analizy ryzyka. Z tego powodu, rozpoczynając projekt wdrożeniowy, warto przeanalizować lukę między stanem obecnym a oczekiwanym. Bazując na analizie tej luki, może się okazać, że wymagane działania dostosowawcze nie będą oznaczały konieczności rozpoczynania dostosowania się od zera do normy ISO 27001. Z drugiej strony, wiele podmiotów nie było dotychczas objętych obowiązkiem przeprowadzania analizy ryzyka, co skutkowało brakiem wypracowanej metodyki zarządzania ryzykiem i oceny ryzyka. W takim przypadku warto zastanowić się, jak zaplanować cały proces wdrożenia metodyki oceny ryzyka opartej na normie ISO 27001 oraz związanej z nią dokumentacji.
Praktyczne kroki do wprowadzenia metodyki opartej o ISO 207001 do organizacji
Pierwszym krokiem będzie zaplanowanie całego procesu wdrożenia ISO 27001. Musisz określić zespół odpowiedzialny za wdrożenie oraz wyznaczyć role i odpowiedzialności. Na tym etapie powinieneś wspólnie z zespołem opracować harmonogram działań. Od powodzenia tego kroku zależy sukces całego procesu wdrożenia metodyki.
Następnie należy określić zakres systemu zarządzania bezpieczeństwem informacji (ISMS). Powinniście zdefiniować obszary organizacji objęte ISMS oraz określić rodzaje przetwarzanych danych i procesów biznesowych wchodzących w jego zakres.
Mając określony fundament w postaci ISMS, kolejnym zadaniem jest inwentaryzacja zasobów informacyjnych, czyli wspomnianych już aktywów. W tym kroku powinniście sporządzić listę zasobów informacyjnych, takich jak systemy, dokumentacja systemu, urządzenia, dane itp. Ważne, aby każdy zasób miał przypisanego właściciela.
Wiedząc już, o bezpieczeństwo jakich aktywów należy zadbać, kolejnym krokiem jest przeprowadzenie oceny ryzyka, niezależnie czy jest to ryzyko biznesowe, ryzyko systemowe, czy ryzyko operacyjne. W tym punkcie musicie zidentyfikować zagrożenia i luki w zabezpieczeniach dotyczących aktywów. Znając zagrożenia, można ocenić prawdopodobieństwo ich wystąpienia oraz możliwy wpływ zidentyfikowanych ryzyk. Twój zespół musi w tym punkcie określić poziom ryzyka dla każdego ze zidentyfikowanych aktywów.
Ważnym etapem jest opracowanie planu postępowania z ryzykiem. Oznacza to wypracowanie strategii, według której organizacja poradzi sobie z ryzykami. Istnieją cztery możliwe sposoby podejścia do ryzyka: eliminacja, ograniczenie, akceptacja lub transfer ryzyka. Na tym etapie należy również przypisać odpowiedzialność za realizację działań zmniejszających ryzyko do konkretnych osób lub działów.
Ostatnim etapem związanym z oceną ryzyka jest przygotowanie i wdrożenie odpowiedniej dokumentacji. Należy opracować niezbędne polityki na podstawie wniosków z oceny ryzyka oraz implementować procedury związane z zarządzaniem ryzykiem, incydentami bezpieczeństwa i ciągłością działania. Konieczne jest także przygotowanie i uzupełnienie oświadczenia o Zastosowaniu (SoA) oraz przegląd zabezpieczeń zawartych w Aneksie A normy ISO 27001. Na koniec, do Twoich zadań należy wybór i wdrożenie odpowiednich zabezpieczeń oraz uzasadnienie ich zastosowania lub wykluczenia.
W ramach metodyki bazującej na ISO 27001 istotne są również wiedza personelu i zrozumienie wdrożonych polityk oraz procedur. Pracownicy powinni być stale szkoleni w celu podnoszenia kompetencji w zakresie oceny ryzyka i realizacji wniosków na niej opartych. Ważne są również regularne przeglądy zarządcze oraz audyty wewnętrzne i nadzorcze, które pozwalają na ciągłe doskonalenie ISMS zgodnie z wynikami przeglądów i zmieniającymi się zagrożeniami.
Jeżeli chcesz przejść certyfikację ISO 27001, do Twoich zadań będzie należało również zebranie wymaganej dokumentacji i przeprowadzenie jej audytu. Aby uzyskać certyfikację ISO 27001, musisz zlecić zewnętrzny audyt ISMS w Twojej organizacji i rozwiązać wszystkie ewentualne niezgodności. Pamiętaj, że ważne jest okresowe audytowanie procesu zarządzania ryzykiem w celu szybkiej identyfikacji zagrożeń dla skuteczności metodyki.
Jakie są korzyści z mapowania ISO 27001 na wymagania prawne DORA i NIS2?
Można zauważyć, że zbudowanie skutecznej metodyki oceny ryzyka i wdrożenie polityki zarządzania ryzykiem nie jest łatwym zadaniem, ale stanowi inwestycję o dużym potencjale zwrotu. Wysokiej jakości proces zarządzania ryzykiem zmniejsza ryzyko wystąpienia kosztownych incydentów, a ujednolicenie metodyki na poziomie europejskim może ułatwić nawiązywanie nowych relacji biznesowych w sposób bezpieczny i zgodny z regulacjami.
ISO 27001 w kontekście oceny ryzyka kładzie duży nacisk na identyfikację i zarządzanie aktywami wspierającymi, podobnie jak regulacje DORA i NIS2. Zrozumienie metodyki oceny ryzyka opartej na aktywach wspierających jest kluczowe dla spełnienia wymagań ISO 27001 oraz europejskich norm prawnych. Jeśli rozważasz wdrożenie nowej metodyki oceny ryzyka ze względu na zmieniające się otoczenie prawne i biznesowe, warto skorzystać z wiedzy specjalistów. RED INTO GREEN opracowało metodykę wraz z technologią umożliwiającą praktyczne jej wdrożenie. Metodyka RIG w swoich założeniach opiera się na ocenie ryzyka na aktywach wspierających, co wpisuje się w wymagania NIS2, DORA i RODO oraz jest zgodne z ISO 27001.
Poniżej możesz porównać etapy wdrożenia metodyki zgodnej z ISO 27001 oraz metodyki RIG DORA, która wykorzystując założenia ISO 27001 dostosowuje je i rozwija do wymagań rozporządzenia DORA.