ISMS NIS2: ako nastaviť riadenie informačnej bezpečnosti v praxi

ISMS, teda Information Security Management System, je spôsob, ako mať informačnú bezpečnosť vo firme riadenú ako systém, nie ako zbierku náhodných opatrení. NIS2 naopak prináša tlak na preukázateľnosť. Nestačí tvrdiť, že bezpečnosť riešite. Potrebujete vedieť ukázať, že máte zodpovednosti, pravidlá, pravidelnú revíziu a rozhodovanie postavené na rizikách.

Preto sa ISMS a NIS2 v praxi prirodzene stretávajú. ISMS dáva firme rámec, NIS2 dáva jasný dôvod, prečo sa oplatí mať tento rámec nastavený systematicky.

ISMS NIS2: prečo to firmy riešia spolu

NIS2 je pre mnohé firmy prvý moment, keď sa bezpečnosť prestane dať riešiť ad hoc. Zrazu potrebujete:

• jasne určených vlastníkov tém a rozhodovania,

• jednotné hodnotenie rizík a priority,

• pravidlá, ktoré platia naprieč firmou, nielen v IT,

• výstupy, ktoré viete predložiť vedeniu aj pri kontrole.

ISMS je práve o tomto. Nehovorí vám len, čo všetko by ste mali mať, ale nastavuje aj to, ako sa bezpečnosť riadi: kto rozhoduje, ako sa schvaľujú výnimky, kedy sa robí revízia a čo je minimálny štandard.

Čo je ISMS v praxi

ISMS nie je jeden dokument. Je to súbor navzájom prepojených častí, ktoré spolu držia systém:

• rozsah a ciele bezpečnosti, teda čo chránite a prečo,

• register aktív a rizík, metodika hodnotenia a pravidlá akceptácie,

• bezpečnostné politiky a interné smernice pre prístupy, údaje, dodávateľov či zálohy,

• roly a zodpovednosti, teda vlastníci rizík, schvaľovanie výnimiek a revízie,

• pravidelná revízia a zlepšovanie, aby systém nezostarol po prvom kvartáli.

Dobre nastavené ISMS je čitateľné pre vedenie, ale zároveň dostatočne konkrétne na to, aby sa podľa neho dalo rozhodovať.

ISMS NIS2 v praxi

Najväčšia hodnota ISMS pri NIS2 je v tom, že viete preukázať logiku. Teda prečo robíte práve tieto kroky a prečo majú prioritu.

Praktický prístup je začať troma otázkami:

• ktoré aktíva a procesy sú pre firmu kritické,

• aké scenáre môžu spôsobiť najväčší dopad, napríklad výpadok, únik údajov alebo neoprávnené platby,

• ktoré riziká sú najpravdepodobnejšie vzhľadom na vaše vystavenie, napríklad cez prístupy, cloud, dodávateľov alebo e-mail.

Z toho potom prirodzene vznikne mapa priorít. A z priorít vzniknú pravidlá a smernice, ktoré ľudia vedia dodržiavať.

Čo musí byť obhájiteľné pred vedením a pri kontrole

V praxi sa kontrola málokedy točí okolo detailov typu, aké máte nastavenie servera. Častejšie ide o otázky, či:

• viete ukázať, kto je vlastníkom rizík a kto rozhoduje o výnimkách,

• viete vysvetliť, ako hodnotíte riziká a prečo je niečo priorita,

• viete ukázať pravidelnú revíziu, teda že ISMS nie je jednorazový dokument,

• viete ukázať výstupy, napríklad prehľad rizík a stav a vývoj riadených rizík v čase.

Práve tu sa často láme rozdiel medzi firmou, ktorá má len dokumenty, a firmou, ktorá má skutočný systém.

ISMS NIS2: ako si to nastaviť bez zbytočnej byrokracie

Najčastejšia chyba je pokúsiť sa nastaviť naraz všetko. Oveľa rozumnejšie je začať minimom, ktoré viete udržať.

Dobré minimum býva najmä toto:

• definovať rozsah, teda čo je v ISMS a čo nie,

• zaviesť jednotné hodnotenie rizík a hranice akceptácie,

• určiť vlastníkov rizík a rytmus revízií,

• zjednotiť základné pravidlá pre prístupy, prácu s údajmi, dodávateľov a zálohy,

• pripraviť jednoduché výstupy pre vedenie, napríklad čo je top riziko, čo je znížené a čo zostáva ako zvyškové.

Keď toto funguje, rozširovanie je oveľa jednoduchšie. Keď toto nefunguje, každý ďalší dokument len pridá chaos.

Kde sa to najčastejšie rozpadne

Ak sa chcete vyhnúť tomu, aby bolo ISMS len formálne, oplatí sa dať pozor najmä na tieto miesta:

• riziká sú pomenované príliš všeobecne, bez konkrétnych scenárov, takže sa nedajú porovnávať,

• chýbajú vlastníci a rozhodovanie sa presúva medzi IT a vedením bez záveru,

• pravidlá existujú, ale nemajú revízny cyklus, takže po zmene dodávateľa alebo procesu prestanú sedieť,

• výnimky sa riešia ústne a nie je dohľadateľné, kto ich schválil a prečo.

Ak toto máte pod kontrolou, ISMS je pri NIS2 veľká opora, nie ďalšia administratíva.

Ako pomáha RiskMinder

Pri nastavovaní ISMS pre NIS2 sa často stretáva rozdielny pohľad IT a vedenia. IT rieši technické témy, vedenie potrebuje jasné priority a výstupy, ktoré sa dajú obhájiť.

RiskMinder podporuje práve praktickú stránku riadenia rizík:

• viesť register aktív, hrozieb, zraniteľností a rizík v jednom prostredí,

• používať jednotné hodnotenie rizík naviazané na NIS2, zákon o kybernetickej bezpečnosti, požiadavky NBÚ a ISO 27001,

• priraďovať vlastníkov rizík a sledovať stav a vývoj riadených rizík, teda či sú neriešené, znížené, zvyškové alebo akceptované,

• pracovať s katalógmi hrozieb, zraniteľností, následkov a opatrení, ktoré sa dajú rozširovať podľa potrieb zákazníka,

• generovať výstupy použiteľné pre vedenie, audit a dohľad.

Keď máte ISMS postavené na prehľade aktív, jednotnom hodnotení rizík a pravidelnej revízii, NIS2 sa rieši oveľa pokojnejšie. Máte systém, ktorý sa dá udržať v čase, a výstupy, ktoré viete obhájiť aj s odstupom.

FAQ