Jak oceniać środki bezpieczeństwa i ochrony prywatności w systemach informacyjnych?
23.11.2023
Kolejna publikacja z serii Narodowych Standardów Cyberbezpieczeństwa (NSC) prezentuje ewolucyjną wersję poradnika w zakresie oceniania środków bezpieczeństwa i ochrony prywatności w systemach informacyjnych oraz organizacjach.
Jak oceniać środki bezpieczeństwa i ochrony prywatności w systemach informacyjnych?
Przeprowadzanie oceny zabezpieczeń nie może polegać na wypełnianiu list kontrolnych, uzyskiwaniu prostych wyników typu "zaliczone/niezaliczone", czy generowaniu dokumentacji w celu uzyskania pozytywnego wyniku inspekcji lub audytu. Testowanie i ocenianie środków bezpieczeństwa w systemie lub organizacji ma kluczowe znaczenie dla procesu zarządzania ryzykiem i jego pomiaru. Pozwala między innymi na określenie zakresu, w jakim zabezpieczenia są prawidłowo wdrożone oraz, czy działają zgodnie z przeznaczeniem i przynoszą pożądane rezultaty. Ponadto wyniki takiej oceny zabezpieczeń służą jako wskaźnik jakości procesów zarządzania ryzykiem, pomagają zidentyfikować mocne i słabe strony bezpieczeństwa i prywatności w systemach oraz zapewniają plan działania służący identyfikacji i ustalaniu priorytetów i korygowaniu zidentyfikowanych niedociągnięć.
Niniejsza publikacja NSC 800-53A, Ocenianie środków bezpieczeństwa i ochrony prywatności w systemach informacyjnych oraz organizacjach, podzielona jest na trzy części. Pierwsza zawiera metodologię i zestaw procedur przeprowadzania oceny środków bezpieczeństwa i ochrony prywatności stosowanych w systemach i organizacjach w ramach procesu zarządzania ryzykiem. Druga – katalog procedur oceny bezpieczeństwa i ochrony prywatności, które mogą być wykorzystane do opracowania planów oceny środków bezpieczeństwa wraz ze wskazówkami dotyczącymi analizy wyników oceny. Zaś trzecia przedstawia szczegółowe informacje dotyczące oceny, w tym podstawowe referencje, definicje i terminy, akronimy, opis metod przeprowadzania oceny, wytyczne dotyczące testów penetracyjnych, zawartość raportów z oceny bezpieczeństwa i prywatności oraz informacje na temat automatyzacji przeprowadzanych ocen.