Baza wiedzy

Oddajemy w Państwa ręce kolejny zestaw publikacji składających się na Narodowe Standardy Cyberbezpieczeństwa. Standardy to metodyczne przewodniki, których celem jest wsparcie przy budowie efektywnego systemu zarządzania bezpieczeństwem informacji w systemach informacyjnych oraz w organizacjach. Najnowsze opracowania dotyczą oceny środków bezpieczeństwa i ochrony prywatności przeprowadzanych w ramach skutecznego zarządzania ryzykiem, osiągania bezpieczeństwa w systemach sterowania przemysłowego oraz przetwarzania w chmurze.  

W skład najnowszego zestawu standardów wchodzą następujące opracowania:

• Ocenianie środków bezpieczeństwa i ochrony prywatności w systemach informacyjnych i organizacjach. Tworzenie skutecznych planów oceny (NSC 800-53A wer. 1.0).

Publikacja zawiera zestaw procedur do przeprowadzania oceny zabezpieczeń i ochrony prywatności stosowanych w systemach informacyjnych i organizacjach. Procedury oceny, wykonywane w różnych fazach cyklu życia systemu, są zgodne z zabezpieczeniami i ochroną prywatności zawartymi w publikacji NSC 800-53, wer. 1.0 - SCCO.

• Ocenianie środków bezpieczeństwa i ochrony prywatności w systemach informacyjnych i organizacjach. Tworzenie skutecznych planów oceny (NSC 800-53A wer. 1 Załącznik F).

Załącznik F do NSC 800-53A wer. 1.0 przedstawia konfigurowalne procedury, które łatwo  można dostosować do wymagań organizacji. Procedury te zapewnią organizacjom elastyczność niezbędną do przeprowadzania oceny zabezpieczeń i ochrony prywatności. Oceny te wspierają procesy zarządzania ryzykiem organizacyjnym i są dostosowane do określonej tolerancji ryzyka organizacji. Publikacja zawiera również informacje na temat budowania efektywnych planów oceny bezpieczeństwa i ochrony prywatności oraz wskazówki dotyczące analizy wyników oceny.

• Przewodnik w zakresie bezpieczeństwa systemów sterowania przemysłowego (NSC 800-82 wer. 1.0).

Publikacja zawiera rekomendacje dotyczące poprawy bezpieczeństwa w systemach sterowania przemysłowego (ICS), w tym w systemach kontroli nadzorczej i pozyskiwania danych (SCADA), rozproszonych systemach sterowania (DCS) oraz innych konfiguracjach systemów sterowania, takich jak programowalne sterowniki logiczne (PLC), przy jednoczesnym uwzględnieniu specyficznych wymagań dotyczących wydajności, niezawodności i bezpieczeństwa.

• Wytyczne dotyczące bezpieczeństwa i prywatności w chmurze publicznej (NSC 800-144 wer. 1.0).

Publikacja przedstawia przegląd wyzwań związanych z bezpieczeństwem i ochroną prywatności w publicznej chmurze obliczeniowej oraz prezentuje czynniki, które organizacje powinny wziąć pod uwagę podczas outsourcingu danych, aplikacji i infrastruktury do środowiska chmury publicznej.

• Ogólne wytyczne dotyczące kontroli dostępu do systemów chmury obliczeniowej (NSC 800-210 wer. 1.0).

Opracowanie zawiera specyfikację kontroli dostępu do chmury oraz zestaw ogólnych wytycznych dotyczących kontroli dostępu do modeli usług w chmurze: IaaS (Infrastructure as a Service - infrastruktura jako usługa), PaaS (Platform as a Service - platforma jako usługa) oraz SaaS (Software as a Service - oprogramowanie jako usługa).

• Model konceptualny przetwarzania we mgle (NSC 500-325 wer. 1.0).

Zarządzanie danymi generowanymi przez czujniki i urządzenia wykonawcze Internetu rzeczy (IoT) jest jednym z największych wyzwań, z jakimi trzeba się zmierzyć podczas wdrażania systemu IoT.  Tradycyjne systemy IoT oparte na chmurze stanowią wyzwanie ze względu na dużą skalę, heterogeniczność i duże opóźnienia występujące w niektórych ekosystemach chmury. Jednym z możliwych rozwiązań jest decentralizacja aplikacji, zarządzania i analizy danych w samej sieci za pomocą modelu rozproszonych i zintegrowanych obliczeń. Podejście to znane jest jako przetwarzanie we mgle (fog computing). W dokumencie przedstawiono model konceptualny mgły i przetwarzania we mgle oraz ich związek z modelami obliczeń opartymi na chmurze dla IoT.