ISO 22301 i KSC 2.0 – dlaczego ciągłość działania staje się fundamentem bezpieczeństwa organizacji
W tym artykule przeczytasz o tym jakie znaczenie ma Ciągłość działania w kontekście NIS2 i odniesieniu do normy ISO 22301
ISO 22301 i KSC 2.0 – dlaczego ciągłość działania staje się fundamentem bezpieczeństwa organizacji
Infrastruktura IT w organizacji ma sens tylko wtedy, kiedy działa. W praktyce oznacza to coś znacznie więcej niż samo uruchomienie systemów, serwerów czy usług sieciowych. Kluczowe staje się zapewnienie ich dostępności, odporności oraz zdolności organizacji do utrzymania działania nawet w sytuacji awarii lub incydentu.
To właśnie dlatego pojęcie ciągłości działania staje się dziś jednym z najważniejszych elementów nowoczesnego cyberbezpieczeństwa.
Ma to szczególne znaczenie nie tylko z perspektywy biznesowej, ale również w odniesieniu do nowych wymagań regulacyjnych, takich jak KSC 2.0 wdrażający dyrektywę NIS2. Ustawodawca bardzo wyraźnie wskazuje, że organizacje mają nie tylko wdrażać środki bezpieczeństwa, ale również zapewniać zdolność do utrzymania działania swoich usług.
I właśnie w tym miejscu pojawia się ISO 22301.
Ciągłość działania to nie jeden mechanizm
Jednym z najczęściej popełnianych błędów jest utożsamianie ciągłości działania wyłącznie z:
- backupem,
- zapasową serwerownią,
- UPS-em,
- procedurą Disaster Recovery.
W rzeczywistości ciągłość działania jest procesem obejmującym całą organizację.
Nie istnieje jedno uniwersalne rozwiązanie, które zapewni ciągłość działania każdej organizacji. Nie da się również sprowadzić tego zagadnienia do pojedynczego systemu lub technologii.
Każda organizacja posiada:
- inne procesy,
- inne usługi krytyczne,
- inne ryzyka,
- inną tolerancję przestojów,
- inne zależności biznesowe i technologiczne.
Dlatego poprawne wdrożenie ciągłości działania wymaga podejścia systemowego.
Proces ten rozpoczyna się od:
- określenia kontekstu organizacji,
- identyfikacji procesów krytycznych,
- analizy wpływu na biznes, czyli BIA,
- analizy ryzyka,
- określenia zasobów krytycznych.
Dopiero później możliwe jest projektowanie:
- strategii ciągłości działania,
- procedur awaryjnych,
- planów odtworzeniowych,
- mechanizmów reagowania kryzysowego,
- testów i ćwiczeń.
Na końcu pozostaje jeszcze jeden bardzo istotny element: ciągłe monitorowanie oraz doskonalenie całego procesu.
KSC 2.0 bardzo mocno odnosi się do ciągłości działania
W projekcie KSC 2.0, szczególnie w art. 8, można zauważyć bardzo silne powiązanie pomiędzy cyberbezpieczeństwem a odpornością operacyjną organizacji.
Ustawa wskazuje między innymi na konieczność:
- zarządzania ryzykiem,
- obsługi incydentów,
- zapewnienia ciągłości działania,
- odtwarzania po awarii,
- zarządzania kryzysowego,
- testowania zabezpieczeń,
- dokumentowania działań bezpieczeństwa.
W praktyce oznacza to, że organizacja ma być przygotowana nie tylko na zapobieganie incydentom, ale również na funkcjonowanie w sytuacji kryzysowej.
To bardzo istotna zmiana podejścia. Przez wiele lat cyberbezpieczeństwo koncentrowało się głównie na ochronie sieci, systemów, stacji roboczych, aplikacji oraz danych.
Obecnie coraz większe znaczenie ma zdolność organizacji do utrzymania działania mimo wystąpienia incydentu.
I właśnie tutaj bardzo wyraźnie pojawia się ISO 22301.
ISO 22301 – norma odporności organizacyjnej
ISO 22301 jest międzynarodową normą dotyczącą systemu zarządzania ciągłością działania, czyli BCMS – Business Continuity Management System.
Norma opisuje sposób przygotowania organizacji do:
- zakłóceń,
- awarii,
- incydentów,
- kryzysów,
- utraty dostępności usług,
- problemów organizacyjnych lub technologicznych.
W praktyce ISO 22301 nie skupia się wyłącznie na IT. To bardzo ważne.
Norma obejmuje:
- ludzi,
- procesy,
- technologię,
- komunikację,
- dostawców,
- lokalizacje,
- zależności biznesowe,
- zarządzanie kryzysowe.
Dzięki temu organizacja jest w stanie spojrzeć na bezpieczeństwo w znacznie szerszy sposób niż wyłącznie przez pryzmat cyberataków.
Dlaczego ISO 22301 bardzo dobrze wspiera KSC 2.0
Jeżeli dokładnie przeanalizujemy wymagania KSC 2.0, można zauważyć, że wiele z nich bezpośrednio pokrywa się z wymaganiami ISO 22301.
Dotyczy to szczególnie obszarów takich jak:
- analiza ryzyka,
- analiza wpływu na biznes,
- strategie ciągłości działania,
- procedury reagowania,
- Disaster Recovery,
- komunikacja kryzysowa,
- ćwiczenia i testy,
- ciągłe doskonalenie.
W praktyce oznacza to, że organizacja wdrażająca ISO 22301 buduje bardzo mocny fundament pod spełnienie części wymagań KSC 2.0 związanych z odpornością operacyjną.
Oczywiście sama norma ISO 22301 nie pokrywa całości wymagań cyberbezpieczeństwa. Nie zastępuje zarządzania podatnościami, SIEM, SOC, segmentacji sieci, MFA, monitorowania bezpieczeństwa ani ochrony systemów.
Natomiast bardzo skutecznie porządkuje obszar:
- odporności,
- utrzymania usług,
- organizacji działania w kryzysie,
- odtwarzania po awarii.
Ciągłość działania to dziś element bezpieczeństwa
Jedną z najważniejszych zmian ostatnich lat jest odejście od traktowania ciągłości działania jako oddzielnego zagadnienia organizacyjnego.
Obecnie NIS2, KSC 2.0, DORA, wytyczne ENISA oraz nowoczesne frameworki bezpieczeństwa coraz wyraźniej pokazują, że bezpieczeństwo organizacji oznacza również zdolność do utrzymania działania.
Bo z perspektywy biznesu nie ma większego znaczenia, czy organizacja została zatrzymana przez ransomware, awarię zasilania, błąd administratora, problem dostawcy, awarię centrum danych czy błąd aplikacji.
Efekt końcowy jest dokładnie taki sam: organizacja przestaje działać.
Dlatego właśnie ciągłość działania staje się dziś jednym z najważniejszych elementów nowoczesnego podejścia do bezpieczeństwa.