- Wszystko się zmienia. Zmienia się też podejście do problematyki zarządzania ryzykiem IT. Niestety, chcąc być na bieżąco trzeba poświęcić sporo czasu na studiowanie nowości ...
We wrześniu, a więc stosunkowo niedawno, National Institute of Standards and Technology (NIST) opublikował kolejną, piątą już wersję tzw. specjalnej publikacji uchodzącej powszechnie za standard w dziedzinie zarządzania bezpieczeństwem technologii informatycznych: „Security and Privacy Controls for Information Systems and Organizations”.
Publikacja w całości poświęcona jest zagadnieniom zapewnienia bezpieczeństwa i ochrony prywatności związanych z wykorzystywaniem technologii informatycznych. W porównaniu z wcześniejszymi wersjami (wydaniami) dokonano kilku zmian. Część z nich miała charakter redakcyjny i precyzujący istniejące dotychczas zapisy. Ale też pojawiły się nowe idee skutkujące utworzeniem rodziny mechanizmów kontrolnych w ramach zarządzania ryzykiem łańcucha dostaw. Rzecz jasna, dotyczy to łańcucha dostaw technologii informatycznych a nie np. towarów, podzespołów i półproduktów wykorzystywanych w produkcji przemysłowej.
Ogółem, w publikacji zdefiniowanych jest 20 grup (rodzin) mechanizmów kontrolnych w zakresie zarządzania bezpieczeństwem i prywatnością w aspekcie technologii informatycznych:
- Sterowanie dostępem
- Świadomość i szkolenia
- Audyt i odpowiedzialność
- Ocena, autoryzacja i monitorowanie
- Zarządzanie konfiguracją
- Planowanie ciągłości
- Identyfikacja i autentykacja
- Reagowanie na incydenty
- Utrzymanie
- Ochrona nośników
- Ochrona fizyczna i środowiskowa
- Planowanie
- Zarządzanie programem
- Bezpieczeństwo personelu
- Przetwarzanie i transparentność informacji osobowych
- Ocena ryzyka
- Nabywanie systemów i usług
- Ochrona systemów i komunikacji
- Integralność systemów i informacji
- Zarządzanie ryzykiem łańcucha dostaw
Jak widać, dwie grupy mają bezpośrednie odwołania do mechanizmów zarządzania ryzykiem – tutaj ryzykiem IT.
Ocena ryzyka
To grupa (rodzina), w ramach której zdefiniowano 9 głównych kategorii mechanizmów kontrolnych (ang: controls):
Zarządzanie ryzykiem łańcucha dostaw
Jak już wspomnieliśmy, to nowa grupa (rodzina), nie było jej we wcześniejszych wersjach standardu NIST 800-53. Zawiera 12 głównych kategorii:
1. Zasady i procedury
2. Plan zarządzania ryzykiem łańcucha dostaw
- Powołanie zespołu zarządzania ryzykiem łańcucha dostaw
3. Kontrole i procesy łańcucha dostaw
- Zróżnicowane źródła dostaw
- Ograniczanie szkód
- Odpowiedzialność dostawców obejmuje odpowiedzialność poddostawców
4. Pochodzenie
- Tożsamość
- Śledzenie i monitorowanie
- Weryfikacja oryginalności i niezmienności
- Integralność łańcucha dostaw – pochodzenie
5. Strategie, narzędzia i metody pozyskiwania
- Odpowiednia dostawa
- Oceny przed wyborem, akceptacją, modyfikacją lub aktualizacją
6. Oceny i przeglądy dostawców
- Testy i analizy
7. Bezpieczeństwo funkcjonowania łańcucha dostaw
8. Umowy powiadamiania
9. Odporność na manipulacje i wykrywanie
- Wiele etapów w cyklu życia rozwoju systemu
10. Inspekcja systemów lub komponentów
11. Autentyczność składników / komponentów
- Szkolenie w zakresie podrabiania / fałszowania
- Kontrola konfiguracji utrzymania i napraw składników
- Skanowanie zapobiegające podrabianiu / fałszowaniu
12. Dysponowanie składnikami systemów
Warto pamiętać, że to nie jedyna publikacja, z której mogą czerpać osoby odpowiedzialne za systemy zarządzania ryzykiem – szczególnie w dużych firmach i organizacjach.
W „Bibliotece Zarządzania Ryzykiem” powinny się również znaleźć inne publikacje NIST:
- NIST SP 800-53B; Control Baselines for Information Systems and Organizations; October 2020
- NIST SP 800-37 R2; Risk Management Framework for Information Systems and Organizations; December 2018
- NISTIR 8286; Integrating Cybersecurity and Enterprise Risk Management (ERM); October 2020
Tej ostatniej publikacji poświęciliśmy osobny artykuł.