Operatorzy Usług Kluczowych zobowiązani są do prowadzenia audytów bezpieczeństwa Systemów Informacyjnych wykorzystywanych do ich świadczenia. Pierwszy z nich ma się odbyć po roku od otrzymania decyzji wyznaczającej, a kolejne w 2-letnich odstępach. Jak jednak przeprowadzić taki audyt - by miał on sens, a nie był tylko „sztuką dla sztuki”, bo termin ucieka? Na to właśnie pytanie postaram się odpowiedzieć w tym artykule.
Cyberbezpieczeństwa nie można pozostać na pastwę niepewności czy polskiego „jakoś to będzie”. Zauważył to nawet ustawodawca, który na wszystkich podmiotach Krajowego Systemu Cyberbezpieczeństwa, wymusza systematyczne szacowanie ryzyka dla systemów informacyjnych służących do zarządzania usługą kluczową dla normlanego funkcjonowania państwa i jego mieszkańców. Czy jednak rozumiemy, że świadomość prawdopodobieństwa wystąpienia oraz skutków materializacji konkretnych zagrożeń w sieciach przemysłowych, to nie „wypełnienie” nakazów prawnych, a biznesowa konieczność?
Operator Usługi Kluczowej zobowiązany jest do wdrożenia kompleksowego systemu zarządzania bezpieczeństwem Systemu Informacyjnego wykorzystywanego do jej świadczenia. Na ten obowiązek składa się bardzo szeroki wachlarz mniej lub bardziej precyzyjnych wymagań organizacyjnych, technicznych i dokumentacyjnych. Czym są więc te Systemy Informacyjne i jak je określić? Bez tego nie wiemy czemu i w jakim zakresie zapewniać nakazane przez ustawę i rozporządzenia środki bezpieczeństwa.
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.