NIS 2, RODO, ISO 27001, ISO 22301, BS 16000 to dzisiejsi nasi aktorzy:
- NIS 2 – dyrektywa UE w sprawie wspólnego, wysokiego poziomu cyberbezpieczeństwa. Celem jest, jak nazwa wskazuje WSPÓLNY i WYSOKI poziom w Unii Europejskiej.
- RODO – rozporządzenie UE w sprawie ochrony osób, w związku z przetwarzaniem ich danych osobowych.
- ISO 27001 – standard zarządzania bezpieczeństwem informacji (niech was tytuł nie zmyli, część z niego to nazwa komitetu).
- ISO 22301 – standard zarządzania ciągłością działania (podobnie jak wyżej – częścią tytułu jest nazwa komitetu).
- BS 16000 – brytyjski standard (wydany przez BSI – odpowiednik naszego PKN), a tak naprawdę przewodnik po zarządzaniu bezpieczeństwem strategicznym i operacyjnym.
Co odróżnia naszych aktorów?
Cele wdrażania systemów. Pierwszy jest publiczny, w wymiarze szerszym niż RODO, potencjalne skutki są zawsze mierzone w ilości osób, których dotknęło zdarzenie, incydent, czy poważny incydent. Ta “masowość” jest zaszyta w samych definicjach. W wymiarze szerszym niż RODO, ponieważ RODO z kolei ma za zadanie chronić każdą jednostkę. Ten cel (RODO-wy) jest nieco inny. Co do zasady (piękna fraza) równoważyć ambicje i zapędy administratora danych z prawami i wolnościami osoby.
To ostatnie zdanie wskazuje już różnicę między przepisami, a normami i standardami. ISO 27001, 22301 czy BS 16000 mają cel i zakres wyznaczony przez najwyższe kierownictwo. Z dawnych prac, gdzie byłem konsultantem w trakcie tworzenia jednej z aplikacji rynkowych do szacowania i oceny ryzyka dopiero sięgnięcie po angielską wersję rozjaśniło pozostałym członkom zespołu o jakie to cele chodzi.
Są to cele STRATEGICZNE. Zatrzymam się, bo wiem, że na rynku bardzo mało jest wiedzy łączącej normy ISO z zarządzaniem strategicznym. A pozwolę się sobie uznać za specjalistę w jednym i drugim (pierwszą strategię pisałem w 2006 roku).
Otóż cele strategiczne to takie daleko, daleko sięgające, długoletnie. W omawianym przypadku będzie to np. taki:
Jako organizacja działamy w zgodzie z przepisami prawa (compliance).
Jest to JEDEN z wielu celów, zaspokaja grupę interesariuszy – administrację (podstawowo), a dopiero z kontekstu organizacji możemy wypisać szczegółowo kogo jeszcze (zdefiniować naszych klientów, ale tu już występują jako klienci). Jednak sama zgodność, taka nazwijmy to sucha (saute) to to, czego organy nadzoru lub nadzorcze od nas wymagają. W tym celu zmieści się RODO, NIS 2, zmieści się też BHP, ochrona PPOŻ, ochrona środowiska i wszystko co zapisano w przepisach, a dotyczy naszej organizacji.
Ale… jest jedno bardzo poważne “ale”.
Organizacja nie powstała po to, aby być TYLKO zgodna z przepisami. Ma właścicieli, akcjonariuszy, udziałowców. Ma klientów. Ma dostawców. Ma też swoje społeczne grup fanów lub wprost przeciwnie. I oczekiwania tych grup interesariuszy też muszą być rozpoznane, a jeśli są akceptowalne być podstawą celów strategicznych (jako podstawy do sub-strategii, realizujących strategię główną).
Punkt widzenia zależy od punktu siedzenia
Dodajmy kolejnych naszych aktorów. Niech to będzie:
- Bezpiecznik od ochrony fizycznej osób i mienia
- Inspektor ochrony PPOŻ
- IOD
- Bezpiecznik od NIS 2
- I “pełnorasowy” bezpiecznik od ochrony informacji (tajemnica przedsiębiorstwa, pracodawcy i wszystkie inne w ujęciu skutków korporacyjnych, a nie branżowych).
Bezpiecznik od fizycznej
Zadania: ochrona osób i mienia zgodnie z definicją, a więc w przypadku mienia ochrona przed przestępstwami i wykroczeniami oraz skutkami z tych zdarzeń oraz przed wtargnięciem (wejściem) osób nieuprawnionych.
Jak działa: robi sobie swoją analizę zagrożeń, tworzy plan ochrony określający formy ochrony (stałe, doraźne, konwoje), też zabezpieczenie techniczne (elektroniczne – od telewizji, przez kontrolę dostępu, po systemy sygnalizacji włamania i napadu).
Przychodzi IOD do bezpiecznika od fizycznej: ej… ale ja w tym pokoju mam bardzo ważne dane (nie musi nawet mówić jakie, wystarczy – prawnie chronione i to high risk). Bezpiecznik od fizycznej – dobra podciągnę zabezpieczenia o klasę czy dwie (np. zmiana szaf odpornych na włamanie).
Przychodzi NIS 2 do bezpiecznika od fizycznej: ej… ale te systemy co są w pokoju na piętrze i serwerownia na drugim to one obsługują mega ważne dla mnie funkcje (formalnie dla organizacji te, które stanowią podstawę objęcia NIS-em). Bezpiecznik od fizycznej – spoko, podciągamy. Dodamy na kontroli dostępu coś tam i…
Dygresja. Jak dodamy na kontroli dostępu biometrię, to jeszcze IOD potrzebny… Ale to tylko dygresja.
W podobny sposób przyjdziemy do bezpiecznika od informacji i też mu wskażemy systemy, sieci, aplikacje. Podobnie do strażaka, gdzie też wskażemy co i gdzie jest ważne dla nas.
ISO 27001, ISO 22301
W obu przypadkach początkiem działania są pewne analizy. ISO 27001 – zaczynające się od inwentaryzacji wartościowania zasobów (assets), a następnie oceny jakie zagrożenia mogą je skaleczyć oraz jakie będą skutki tych incydentów.
W przypadku ISO 22301 i ciągłości działania mamy analizę BIA, która wskaże produkty i usługi kluczowe, których brak dostarczenia gdy przekroczy konkretny próg (MTPD, MAO, BIL – to samo, za długo nie ma produktu lub usługi) to firma padnie.
Dlaczego ISO 22301 i 27001 to nie jest rozwiązanie wdrażające NIS 2 czy RODO?
Ponieważ cele i zakres stosowania nie są określone przez najwyższe kierownictwo, a przez prawodawcę (to może być niezgodność z 5.1 obu norm). Najwyższe kierownictwo jest zobowiązane ZIDENTYFIKOWAĆ. I do swoich produktów i usług kluczowych (ciągłość działania) oraz do bezpieczeństwa informacji (w ISO 27001) dodać to, co jest:
- Danymi osobowym – spełniając RODO
- Systemami, sieciami ICT – spełniając NIS 2.
Udanych wdrożeń.