Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Zarządzanie incydentami – standardy i regulacje

Data publikacji: 27-07-2017 Autor: Piotr Michałkiewicz

Jednym z tematów, który ostatnio często dominuje tematykę konferencji i różnego typu publikacji, jest tworzenie zespołów bezpieczeństwa zajmujących się reagowaniem na incydenty związane z bezpieczeństwem komputerowym. Biorąc pod uwagę coraz większą skalę cyberprzestępstw, nie dziwi zainteresowanie tym zagadnieniem – coraz więcej organizacji staje bowiem przed zadaniem stworzenia tego typu zespołów.

Najbardziej popularne nazwy wspomnianych wyżej zespołów to Computer Emergency Response Team (CERT) oraz Computer Security Incident Response Team (CSIRT). Należy jednak pamiętać, że nazwa CERT jest nazwą zastrzeżoną przez Carnegie Mellon University, w strukturach którego działa CERT Coordination Center. Z tego powodu wiele oficjalnych dokumentów, zarówno polskich, jak i europejskich, używa nazwy CSIRT. Należą do nich m.in. przyjęte ostatnio Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polski na lata 2017–2022 oraz dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. „w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii” zwana w skrócie dyrektywą NIS.

Czym jest CSIRT? Krajowe Ramy Polityki Cyberbezpieczeństwa RP definiują zespoły CSIRT/CERT jako grupę osób składającą się z analityków bezpieczeństwa zorganizowaną w celu opracowywania, rekomendowania i koordynowania działań mających na celu wykrywanie, powstrzymywanie i zwalczanie skutków wynikających z incydentów, a także pozyskanie informacji na temat istoty tych incydentów. Niestety, Krajowe Ramy Polityki Cyberbezpieczeństwa RP nie zawierają żadnych wskazówek co do organizacji zespołów. Wskazują jedynie potrzebę obowiązku implementacji do polskiego porządku prawnego dyrektywy NIS, która zawiera wymogi i zadania dla tego typu zespołów (patrz ramka Dyrektywa NIS – wymogi i zadania zespołów CSIRT). Ciągle czekamy na ustawę.

Wbrew pozorom dyrektywa NIS nie dotyczy wyłącznie podmiotów państwowych. Obowiązuje także podmioty prywatne, będące operatorami usług kluczowych z sektorów, które zostały określone w załączniku 2 dyrektywy (patrz wspomniana ramka). Wiele organizacji posiada swoje wewnętrzne zespoły CSIRT, które często działają w ramach zespołów bezpieczeństwa i nikt nie nazywa ich CSIRT. Wiele osób jest przekonanych, że zatrudnienie kilku specjalistów od bezpieczeństwa oraz zakup systemu typu WAF, DLP czy SIEM rozwiązuje problem zarządzania incydentami bezpieczeństwa. Niestety, nie jest to takie proste. Zapomina się zwykle o wymaganiach organizacyjnych, a niestety organizacja takiego zespołu nie jest prosta.

> NIK WSKAZUJE PROBLEMY

W 2014 roku NIK przeprowadziła kontrolę: „Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej”, zaś w 2015 roku kontrolę: „Zapewnienie bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych”. W trakcie kontroli stwierdzono m.in. brak zespołów CSIRT w kluczowych instytucjach, zaś w tych, gdzie takie zespoły działały, stwierdzono m.in.:

 

  • brak zdefiniowania oraz klasyfikacji incydentów, co utrudniało ich identyfikację oraz rejestrowanie;
  • brak realnie funkcjonujących procedur zgłaszania incydentów, ich rejestrowania oraz sposobu reagowania;
  • brak centralnie prowadzonego rejestru incydentów w ramach organizacji;
  • brak ustaleń dotyczących incydentów w umowach z wykonawcami zewnętrznymi;
  • brak pracy ciągłej w systemie 24/7, praca zespołu odbywała się tylko w dni robocze w standardowych godzinach pracy;
  • zbieranie i analiza incydentów nie obejmowały wszystkich obszarów organizacji;
  • brak łączności, a tym samym współpracy pomiędzy różnymi zespołami reagowania w różnych instytucjach.

 

Z powyższych danych wynika, że wykazane przez NIK niedociągnięcia w zakresie zarządzania incydentami nie dotyczą rozwiązań technicznych. Leżą one po stronie organizacyjnej i dotyczą działań związanych z całym procesem zarządzania bezpieczeństwem teleinformatycznym, a w szczególności z zarządzaniem incydentami.

Zgodnie z rozporządzeniem Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych zarządzanie bezpieczeństwem informacji realizowane ma być w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie m.in. działań związanych z bezzwłocznym zgłaszaniem incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących. Bez odpowiednich procedur organizacyjnych i systemów wspierających zarządzanie w obszarze zarządzania incydentami jest to niemożliwe. Rozporządzenie dotyczy podmiotów publicznych, ale zawarte w nim wskazówki powinny być wzięte pod uwagę przez wszystkie organizacje.

> CO NA TO NORMY

Jak zatem powinno być zorganizowane zarządzanie incydentami związanymi z bezpieczeństwem informacji? Biorąc pod uwagę, że zarządzanie tego typu zdarzeniami jest jedną z usług w organizacji, od razu na myśl przychodzi norma PN-ISO/IEC 20000-1, zawierająca wymagania dla systemu zarządzania usługami. Niestety, ciężko w tej normie doszukać się konkretnych wytycznych na ten temat. Poza kilkoma pobieżnymi zdaniami norma ta odsyła do rodziny norm ISO/IEC 27000, dedykowanych systemom zarządzania bezpieczeństwem informacji.

Podstawową normą tej rodziny jest norma PN-ISO/IEC 27001, która zawiera szereg wymagań związanych z wdrożeniem systemu zarządzania bezpieczeństwem informacji. W przypadku wymagań dotyczących zarządzania incydentami norma zawiera poniższe wytyczne.

 

[...]

 

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych oraz bezpieczeństwa systemów informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"