W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Jak oceniać środki bezpieczeństwa i ochrony prywatności w systemach informacyjnych?

23.11.2023

Kolejna publikacja z serii Narodowych Standardów Cyberbezpieczeństwa (NSC) prezentuje ewolucyjną wersję poradnika w zakresie oceniania środków bezpieczeństwa i ochrony prywatności w systemach informacyjnych oraz organizacjach.

Na granatowym tle po lewej stronie kształt otwartej książki

Jak oceniać środki bezpieczeństwa i ochrony prywatności w systemach informacyjnych?

Przeprowadzanie oceny zabezpieczeń nie może polegać na wypełnianiu list kontrolnych, uzyskiwaniu prostych wyników typu "zaliczone/niezaliczone", czy generowaniu dokumentacji w celu uzyskania pozytywnego wyniku inspekcji lub audytu. Testowanie i ocenianie środków bezpieczeństwa w systemie lub organizacji ma kluczowe znaczenie dla procesu zarządzania ryzykiem i jego pomiaru. Pozwala między innymi na określenie zakresu, w jakim zabezpieczenia są prawidłowo wdrożone oraz, czy działają zgodnie z przeznaczeniem i przynoszą pożądane rezultaty. Ponadto wyniki takiej oceny zabezpieczeń służą jako wskaźnik jakości procesów zarządzania ryzykiem, pomagają zidentyfikować mocne i słabe strony bezpieczeństwa i prywatności w systemach oraz zapewniają plan działania służący identyfikacji i ustalaniu priorytetów i korygowaniu zidentyfikowanych niedociągnięć.

Niniejsza publikacja NSC 800-53A, Ocenianie środków bezpieczeństwa i ochrony prywatności w systemach informacyjnych oraz organizacjach, podzielona jest na trzy części. Pierwsza zawiera metodologię i zestaw procedur przeprowadzania oceny środków bezpieczeństwa i ochrony prywatności stosowanych w systemach i organizacjach w ramach procesu zarządzania ryzykiem. Druga – katalog procedur oceny bezpieczeństwa i ochrony prywatności, które mogą być wykorzystane do opracowania planów oceny środków bezpieczeństwa wraz ze wskazówkami dotyczącymi analizy wyników oceny. Zaś trzecia przedstawia szczegółowe informacje dotyczące oceny, w tym podstawowe referencje, definicje i terminy, akronimy, opis metod przeprowadzania oceny, wytyczne dotyczące testów penetracyjnych, zawartość raportów z oceny bezpieczeństwa i prywatności oraz informacje na temat automatyzacji przeprowadzanych ocen.

 
{"register":{"columns":[]}}