Rekomendacje i wytyczne
How to set up CSIRT and SOC
Publikacja ta zawiera wskazówki dla osób zainteresowanych utworzeniem zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub operacyjnego centrum bezpieczeństwa (SOC), a także informacje na temat możliwych ulepszeń dla różnych typów CSIRT i SOC, które istnieją obecnie. Czytelnik otrzyma praktyczne wskazówki, na czym powinien się skupić na poszczególnych etapach tworzenia i doskonalenia poszczególnych struktur.
Etapowe podejście do założenia zespołu CSIRT
Dokument ten zawiera opis procesu stworzenia zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), w tym analizę istnotnych aspektów całego procesu takich jak np. zarządzanie przedsiębiorstwem, zarządzanie procesami i perspektywa techniczna itd.
Cyber Security in the Energy Sector – Recommendations for the European Commission on a European Strategic Framework and Potential Future Legislative Acts for the Energy Sector
Jest to raport opracowany przez EECSP – grupę ekspercką Komisji Europejskiej do spraw cyberbezpieczeństwa w sektorze energii. Niniejszy dokument poprzez analizę poszczególnych wyzwań oraz istniejących polityk rekomenduje przyszłe kroki do podjęcia przez Komisję Europejską w obszarze cyberbezpieczeństwa dla sektora energii.
Raport jest źródłem analiz oraz zaleceń dla sektora energii z punktu widzenia EECSP. Dokument zawiera również podsumowanie bieżących polityk w kontekście cyberbezpieczeństwa sektora energii w Unii Europejskiej.
The Mapping of Security Measures for OES Tool
Narzędzie udostępnione przez ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa), które ułatwia dobór zalecanych norm i standardów w związku z realizowaniem wymagań bezpieczeństwa wynikających z dyrektywy NIS oraz ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Sectorial implementation of the NIS Directive in the Energy sector
Raport dotyczący implementacji dyrektywy NIS w sektorze energii. Szczególnie rekomenduje się zapoznanie z rozdziałem 8 "Security measures for OES in the energy sector", w którym przedstawione zostały sposoby realizacji wymogów bezpieczeństwa w związku z obowiązkami nałożonymi na Operatorów Usługi Kluczowej w oparciu o międzynarodowe normy i standardy. Co więcej, zgodnie z informacjami zebranymi przez ENISA od operatorów z sektora energii, najczęściej stosowanymi normami dla sektora energetycznego są ISO 27001 i ISA / IEC 62443. W dokumencie przedstawiono również normy właściwe dla podsektorów energii elektrycznej, ropy i gazu oraz dobre praktyki wraz z mapowaniem środków bezpieczeństwa.
Sectorial implementation of the NIS Directive in the Energy sector
Recommendations to the European Commission for the Implementation of Sector-Specific Rules for Cybersecurity Aspects of Cross-Border Electricity Flows, on Common Minimum Requirements, Planning, Monitoring, Reporting and Crisis Management.
Jest to publikacja dotycząca rekomendacji Komisji Europejskiej dla wdrażania zasad dotyczących aspektów cyberbezpieczeństwa w transgranicznym przepływie energii elektrycznej, wspólnych minimalnych wymagań, planowania, monitorowania, raportowania oraz zarządzania ryzykiem. Dokument ten został opracowany przez Smart Grid Task Force Expert Group 2 on cybersecurity.
Commission Staff Working Document Accompanying the document "Commission Recommendation on cybersecurity in the energy sector"
Jest to dokument roboczy do zaleceń Komisji Europejskiej nr 2019/553 z dnia 3 kwietnia 2019 r. w sprawie cyberbezpieczeństwa w sektorze energetycznym. Został on opracowany w celu zapewnienia źródła dodatkowych informacji dla cyberbezpieczeństwa w sektorze energetycznym w obszarze polityk, odpowiedniego podejścia do cyberbezpieczeństwa uwzględniającego specyfikę sektora, aktualnych przedsięwzięć właściwych norm międzynarodowych. W opracowaniu można również znaleźć szczegółowe odniesienia do powyższych zaleceń w związku z infrastrukturą krytyczną, wymogami czasu rzeczywistego czy efektów kaskadowych.
Guidelines on assessing DSP security and OES compliance with the NISD security requirements
Niniejsze opracowanie utworzone przez ENISA zawiera w sobie wytyczne kierowane do Operatorów Usługi Kluczowej oraz Dostawców Usług Cyfrowych pozwalające zapewnić zgodność wdrażanych przez nich środków z dyrektywą NIS. W tym dokumencie zostały przedstawione warianty audytu oraz samooceny, które mogą być zastosowane przez OUK i DUC. Przedstawione wytyczne audytu oraz samooceny mogą być pomocne przy ocenianiu spełniania wymogów bezpieczeństwa nakładanych przez dyrektywę NIS, budowaniu systemu bezpieczeństwa informacji i zarządzaniu ryzykiem oraz redukcji podatności czy określaniu zadań w kontekście zapewniania bezpieczeństwa środowisk IT.
Guidelines on assessing DSP security and OES compliance with the NISD security requirements
Good Practices for Security of Internet of Things in the context of Smart Manufacturing
Dokument stworzony przez ENISA, który w swej treści zawiera definicje pojęć jak Przemysł 4.0, Smart Manufacturing, Przemysłowy Internet Rzeczy, kategoryzuje nazewnictwo zasobów będących częścią Przemysłu 4.0 czy wprowadza określenia dotyczące zagrożeń w Przemyśle 4.0 na podstawie scenariuszy ataków i ryzyka. W opracowaniu zostało przedstawione przypisywanie zagrożeń do aktywów, które pozwala wspierać zapewnianie środków bezpieczeństwa wraz z dostosowywaniem ich do wymagań interesariuszy. Wymienione zostały w nim także środki bezpieczeństwa mające zastosowanie w Przemysłowym Internecie Rzeczy, w Smart Manufacturing oraz Przemyśle 4.0, które to również skorelowano z odpowiednimi zagrożeniami. Przedstawione środki bezpieczeństwa zostały podzielone na trzy kategorie: polityki, środki organizacyjne oraz środki techniczne.
Good Practices for Security of Internet of Things in the context of Smart Manufacturing
Study on the Evaluation of Risks of Cyber-Incidents and on Costs of Preventing Cyber-Incidents in the Energy Sector
Opracowanie dotyczące szacowania ryzyka oraz zapobiegania incydentów cyberbezpieczeństwa w sektorze energii, stworzone przez ECOFYS na zlecenie Komisji Europejskiej. Został w nim zawarty ujednolicony przegląd głównych zagrożeń dla cyberbezpieczeństwa wraz ze stosownymi modelami cyberbezpieczeństwa funkcjonującymi w europejskim systemie energetycznym. Ponadto, wskazano w nim sugerowane, rozbudowane podejścia w kontekście szacowania ryzyka w sektorze oraz zbiór rekomendowanych przedsięwzięć wraz z szacunkowymi kosztami wdrożenia oraz inne rekomendacje.
Nowa publikacja ENISA dot. standardów zarządzania ryzykiem
16 marca 2022 r. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa ENISA opublikowała dokument dot. standardów zarządzania ryzykiem. Celem publikacji jest zaprezentowanie standardów dotyczących zarządzania ryzykiem w zakresie cyberbezpieczeństwa, a także opisanie metodyk i narzędzi, które można wykorzystać do zapewnienia zgodności z tymi standardami bądź ich wdrożenia.
Materiały
Nowa publikacja ENISA dot. standardów zarządzania ryzykiemCompendium of Risk Management Frameworks with Potential Interoperability
Dokument opublikowany w styczniu 2022 r. przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Skupia się on wokół tematyki szacowania ryzyka, którego materializacja może skutkować naruszeniem interoperacyjności lub integralności systemów oraz zawartych w nich zasobów. Dokument zawiera omówienie podstawowych metodologii szacowania oraz zarządzania ryzykiem, ze szczególnym uwzględnieniem tych ryzyk których zmaterializowanie grozi naruszeniem interoperacyjności lub integralności systemów oraz zawartych w nich zasobów.
Materiały
Compendium of Risk Management Frameworks with Potential InteroperabilityInteroperable EU Risk Management Framework
Publikacja wydana w styczniu 2022 r. przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), która stanowi ośrodek wiedzy specjalistycznej w zakresie bezpieczeństwa cybernetycznego w Europie. ENISA pomaga UE i należącym do niej krajom przygotować się do zapobiegania problemom dotyczącym bezpieczeństwa informacji, a także do wykrywania takich problemów i reagowania na nie, poprzez zapewnianie praktycznych porad i rozwiązań dla sektorów zarówno publicznego jak i prywatnego w państwach UE oraz w instytucjach UE.
W niniejszym dokumencie przedstawiono propozycje metodologii oraz ram zarządzania ryzykiem ze szczególnym uwzględnieniem ryzyk których materializacja może skutkować zakłóceniami na płaszczyźnie interpretacyjności lub integralności systemów. Proponowana przez ENISA metodologia wykorzystuje czterostopniową skalę do oceny poziomu interoperacyjności dla każdej metody i każdego zestawu połączonych cech. Opisana metodologia jest dostosowana do współczesnych wymogów oraz zagrożeń a jej wykorzystanie pozwala poszerzyć „samoświadomość” danej organizacji oraz zminimalizować potencjalne zagrożenia.