Cyberbezpieczeństwo

 

Mając na uwadze ilość danych gromadzonych i przetwarzanych przez funkcjonujące na rynku podmioty, a także skalę ich oddziaływania, zapewnienie bezpieczeństwa informacji, ale również ciągłości świadczenia usług kluczowych dla gospodarki i bezpieczeństwa publicznego, jest jednym z największych wyzwań bieżących czasów.  

Pojęcie usług kluczowych zostało zdefiniowane przez Ustawę jako usługi o „kluczowym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej”. Cyberbezpieczeństwo, zgodnie z Ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, definiowane jest jako „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”.

 

Uwzględniając wymagania ww. ustawy, wytyczne zawarte w międzynarodowych opracowaniach branżowych, takich jak NIST Cybersecurity Framework, a także wytycznych i wymaganiach norm ISO/IEC 27001, oraz ISO 22301, Urząd Dozoru Technicznego opracował własną metodykę oceny – Framework UDTCyber, która w 2021 r. została rekomendowana przez Ministerstwo Klimatu i Środowiska dla sektora energetyki.

 

Wydanie 2 Framework UDTCyber zostało zaktualizowane o najnowsze wymagania zawarte m.in. w serii norm IEC 62443 oraz najnowszym wydaniu normy PN-EN ISO/IEC 27001:2023. Aktualizacja oparta jest na doświadczeniach UDT zdobytych podczas audytów u największych Operatorów Usług Kluczowych w Polsce i stanowi rozszerzoną wersję Wydania 1 Framework UDTCyber.

 

 Celem metodyki oceny Framework UDTCyber jest umożliwienie:

 

• opracowania struktury ramowej systemu zarządzania, który zapewnia odpowiedni poziom ochrony aktywów informacyjnych w organizacji przy jednoczesnym zachowaniu równowagi pomiędzy dążeniem do redukcji kosztów, a dostarczeniem oczekiwanej wartości przy uwzględnieniu zdefiniowanych ryzyk,
• opracowania systemu oceny organizacji podczas audytu cyberbezpieczeństwa, zgodnego z ustawą o Krajowym Systemie Cyberbezpieczeństwa.

 

Co istotne, metodyka Framework UDTCyber jest uniwersalna i może być stosowana do oceny systemu zarządzania w każdej organizacji.

 

 

 

UDT-CERT w obszarze Cyberbezpieczeństwa realizuje usługi obejmujące:

 

• Audyt Cyberbezpieczeństwa na zgodność z wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 r. – w oparciu o metodykę opisaną w dokumencie Framework UDTCyber
• Audyt bezpieczeństwa potwierdzający zwiększenie  poziomu  bezpieczeństwa  teleinformatycznego zgodnie z Zarządzeniem nr 68/2022/BBIICD Prezesa Narodowego Funduszu Zdrowia z dnia 20 maja 2022 r.

• Certyfikację systemu zarządzania bezpieczeństwem funkcjonalnym (FSM - Functional Safety Management)
• Certyfikację systemu zarządzania bezpieczeństwem informacji wg. wymagań PN-EN ISO/IEC 27001
• Certyfikację systemu zarządzania ciągłością działania wg. wymagań PN-EN ISO 22301
• Szkolenia w obszarze audytu, certyfikacji oraz analizy zagrożeń w obszarze cyberbezpieczeństwa

 

Mając na uwadze doświadczenie UDT-CERT zarówno w obszarze audytów systemów zarządzania, jak również w obszarze bezpieczeństwa procesowego, kompetencje UDT-CERT w zakresie systemów „Security” (odpowiedzialnego za przechowywanie, przetwarzanie oraz przesyłanie informacji) oraz „Safety” (odpowiedzialnego za sterowanie) umożliwiają rzetelną weryfikację spełnienia wymagań dotyczących integralności obu rodzajów systemów komputerowych.

 

Wszystkie organizacje, zainteresowane audytem systemu zarządzania bezpieczeństwem w systemie informacyjnym, zachęcamy do pobrania dokumentu  Framework UDTCyber. 

 

 

Poradnik dobrych praktyk w zakresie cyberbezpieczeństwa urządzeń podlegających dozorowi technicznemu.

 

Zapraszamy do zapoznania się z nowym opracowaniem Zespołu ds. Cyberbezpieczeństwa UDT. W poradniku opisane zostały rozwiązania automatyki przemysłowej operacyjnej oraz zabezpieczającej urządzenia techniczne podlegające dozorowi technicznemu, rodzaje cyberzagrożeń występujących w przemyśle w środowisku OT, jak również środki zapobiegające zagrożeniom z cyberprzestrzeni i/lub łagodzące ich skutki. Przedstawiono także otoczenie prawne i krajowy system cyberbezpieczeństwa, niezbędne definicje, a także rodzaje urządzeń podlegających dozorowi technicznemu oraz charakterystykę związanych z nimi zagrożeń bezpieczeństwa w znaczeniu safety i security. Przedstawiono także autorską metodologię UDT – Framework UDTCyber, umożliwiającą zbudowanie oraz ocenę programu cyberbezpieczeństwa w organizacji.

 

 

Kontakt

 

tel. +48 22 57 22 111

e-mail: cybersecurity@udt.gov.pl