Jak zarządzać ryzykiem cyberbezpieczeństwa w rozległym i wzajemnie powiązanym ekosystemie łańcucha dostaw?
14.06.2024
Publikacja koncentruje się na ryzyku związanym z cyberbezpieczeństwem w całym łańcuchu dostaw. Odnosi się do powiązanego zestawu zasobów i procesów zachodzących pomiędzy wieloma poziomami organizacji, z których każdy jest nabywcą, a które rozpoczynają się wraz z pozyskiwaniem produktów oraz usług i rozciągają się na cały cykl życia produktu i usługi.
Jak zarządzać ryzykiem cyberbezpieczeństwa w rozległym i wzajemnie powiązanym ekosystemie łańcucha dostaw?
Organizacje obawiają się ryzyka związanego z produktami i usługami, które mogą potencjalnie zawierać złośliwe funkcje, być podrobione lub podatne na zagrożenia z powodu niewłaściwych praktyk produkcyjnych i rozwojowych w łańcuchu dostaw. Ryzyko to wiąże się z brakiem zrozumienia sposobu, w jaki nabywana technologia jest rozwijana, integrowana i wdrażana, a także procesów, procedur, standardów oraz praktyk stosowanych w celu zapewnienia bezpieczeństwa, odporności, niezawodności, integralności oraz jakości produktów i usług.
Publikacja NIST SP 800-161r1_wer.1.0_PL, Praktyki zarządzania ryzykiem związanym z cyberbezpieczeństwem w łańcuchu dostaw dla systemów i organizacji, zawiera wskazówki dla organizacji dotyczące identyfikacji, oceny i ograniczania ryzyka cyberbezpieczeństwa w całym łańcuchu dostaw na wszystkich poziomach organizacyjnych. Publikacja integruje zarządzanie ryzykiem cyberbezpieczeństwa w łańcuchu dostaw (ang. cybersecurity supply chain risk management, C-SCRM) z działaniami związanymi z zarządzaniem ryzykiem, poprzez zastosowanie wielopoziomowego, specyficznego dla C-SCRM podejścia, w tym wskazówek dotyczących opracowywania planów wdrażania strategii C-SCRM, polityk C-SCRM, planów C-SCRM oraz ocen ryzyka dla produktów i usług1.
1 Na potrzeby niniejszego dokumentu praktyki oraz regulacje dotyczące zarządzania ryzykiem związanym z cyberbezpieczeństwem w łańcuchu dostaw (C-SCRM) odnoszą się zarówno do środowisk technologii informacyjnych (IT), jak i technologii operacyjnych (OT), w tym do urządzeń i technologii internetu rzeczy (IoT). Podobnie jak środowiska IT, które opierają się na produktach i usługach technologii informacyjno-komunikacyjnych (ICT), środowiska OT opierają się na produktach i usługach OT i ICT, przy czym zagrożenia związane z cyberbezpieczeństwem wiążą się z produktami i usługami ICT/OT, a także dostawcami oraz ich łańcuchami dostaw.