Pokłosiem jednej z konferencji dotyczącej cybersecurity jest informacja o tym, że Ministerstwo Cyfryzacji odstąpiło od uznawania wprost automatycznie systemów opartych o normy ISO 22301 i 27001 jako zgodne z NIS 2. I słusznie. Nie oznacza to, że takie systemy nie mogą wspierać cyberbezpieczeństwa, a właściwie cyberochrony. Zaznaczam, bo z tego zaczyna się cały obszar niezrozumienia w środowisku.
Zacznijmy od definicji
„cyberbezpieczeństwo” oznacza działania niezbędne do ochrony sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób przed cyberzagrożeniami (to definicja z rozporządzenia nazywanego Cyber Security Act. NIS 2 odsyła do niej)
Kolejna definicja
„sieci i systemy informatyczne” oznaczają:
-
a) sieć łączności elektronicznej zdefiniowaną w art. 2 pkt 1 dyrektywy (UE) 2018/1972;
-
b) urządzenie lub grupę wzajemnie połączonych lub powiązanych urządzeń, z których co najmniej jedno, na podstawie programu, automatycznie przetwarza dane cyfrowe; lub
-
c) dane cyfrowe przechowywane, przetwarzane, pobierane lub przekazywane przez elementy określone w lit. a) i b) w celu ich eksploatacji, użycia, ochrony i utrzymania;
I ostatnia, najważniejsza (najważniejsze zaznaczyłem)
„bezpieczeństwo sieci i systemów informatycznych” oznacza odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie zdarzenia, które mogą naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem;
Jeszcze do wstępu, art. 21 ust. 1 NIS 2
Państwa członkowskie zapewniają, aby podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.
Co jest celem NIS 2?
Jak wynika z przytoczonych definicji, celem jest ochrona SIECI I SYSTEMÓW INFORMATYCZNYCH. O skutkach, jakie są brane pod uwagę innym razem.
A co jest celem systemu zarządzania bezpieczeństwem (ochroną) informacji opartym o ISO 27001?
Ten cel określa najwyższe kierownictwo, jednak co do zasady jest to ochrona INFORMACJI.
Analogia, bo bez tego nie pójdzie.
Co jest celem przedsiębiorstw odpowiedzialnych za dostarczanie wody pitnej?
Dostarczanie wody o określonych parametrach, tak żeby nie zabić odbiorców.
To teraz poszukajmy nazwy dla bezpieczeństwa sieci wodociągowych, analogicznej do sieci i systemów IT w ochronie informacji. Bo to mniej więcej tak samo. Cyberbezpieczeństwo (właściwie cyberochrona) to jest ochrona instalacji, systemów, serwerów, tak aby dane utrzymały atrybuty. Tak, jak ochrona sieci wodociągowych jest ochroną wody, ale też i ciśnienia, czy czystości tejże wody, ale jako efekt, a nie cel. Osiągane jest to dzięki utrzymaniu w sprawności i czystości sieci wodociągowej.
Zagadnienia pozornie trudne do rozdzielenia, ponieważ silnie kooperują. Jednak to cybersecurity jest usługowe w stosunku ochrony informacji. A nie jest nią. Jest jej, ochrony częścią, która skupia się na ochronie “kabelków”, tak aby dane (nawet nie informacje) utrzymały swoje atrybuty i były użyteczne dla użytkownika. Jak z wodą, aby mógł ją zagotować.
ISO 27001 – co to jest?
ISO 27001 jest potężnym systemem, którego celem jest ochrona informacji. W tym ma swoje sekcje, nazwijmy to podsystemami, które dbają o tą ochronę (bezpieczeństwo).
Są to np:
- Bezpieczeństwo fizyczne obszarów, w których przetwarzane są informacje. Elementem tego komponentu, czy części jest bezpieczeństwo obszarów, w których są elementy sieci i systemów IT (NIS 2). Ale już nie ma słowa o backupach (tak, trzeba rozciągnąć).
- Bezpieczeństwo zasobów ludzkich, rozumiane jako źródło zagrożenia dla ochrony informacji (nie tylko, ale dla przykładu). Elementem tego komponentu, czy części jest bezpieczeństwo zasobów ludzkich sieci i systemów IT (NIS 2).
Oczywiście tak wyraźnie nie da się tego oddzielić, chodzi bardziej o zrozumienie PUNKTU widzenia, a dokładnie określenia celu i zakresu prac, jakie są do zrealizowania w organizacji.
Argument dodatkowy
Art. 21 wskazuje środki ochrony. Cytat:
Środki, o których mowa w ust. 1, bazują na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami (…)
A nie ochronę INFORMACJI w nich przetwarzanych, przechowywanych, co jest celem SZBI na podstawie ISO 27001.
O ryzyku opowiem innym razem, po webie na którym wskażę miejsce cyberbezpezpieczeństwa, ale tak samo należy czytać podpunkty art. 21. Zapis ust. 2 wskazał ogólny cel, a potem w dół tak samo.