Ramy bezpieczeństwa cybernetycznego
Podejście Cybersecurity składa się z pięciu elementów.
- Zidentyfikuj
- Chronić
- Wykryj
- Odpowiedz
- Przywróć
Zarządzanie aktywami
Dane, personel, urządzenia, systemy i obiekty, które umożliwiają organizacji osiągnięcie celów biznesowych, są identyfikowane i zarządzane zgodnie z ich względną ważnością dla celów biznesowych organizacji i strategii ryzyka.
Urządzenia i systemy fizyczne w organizacji są inwentaryzowane
Platformy programowe i aplikacje w ramach organizacji są inwentaryzowane
Mapowane są przepływy komunikacji i danych w organizacji
Zewnętrzne systemy informacyjne są katalogowane
Zasoby (np. sprzęt, urządzenia, dane i oprogramowanie) są szeregowane według ich klasyfikacji i wartości biznesowej
Określono role i obowiązki w zakresie bezpieczeństwa cybernetycznego dla wszystkich pracowników i interesariuszy zewnętrznych (np. dostawców, klientów, partnerów).
Otoczenie biznesowe
Misja, cele, interesariusze i działania organizacji są rozumiane i uszeregowane pod względem ważności; informacje te są wykorzystywane do podejmowania decyzji dotyczących ról w zakresie bezpieczeństwa cybernetycznego, odpowiedzialności i zarządzania ryzykiem.
Rola organizacji w łańcuchu dostaw została zidentyfikowana i zakomunikowana
Zidentyfikowano i zakomunikowano miejsce organizacji w infrastrukturze krytycznej i sektorze przedsiębiorstw.
zidentyfikowano i zakomunikowano priorytety misji, celów i działań organizacji
zidentyfikowano zależności i funkcje krytyczne dla dostarczania usług krytycznych
Zidentyfikowano wymagania dotyczące odporności w celu wsparcia świadczenia usług krytycznych.
Zarządzanie
Polityki, procedury i procesy zarządzania i monitorowania wymagań regulacyjnych, prawnych, ryzyka, środowiskowych i operacyjnych organizacji są zrozumiałe i stanowią podstawę zarządzania ryzykiem cyberbezpieczeństwa.
Polityka bezpieczeństwa informacji organizacji jest wdrożona.
Role i obowiązki w zakresie bezpieczeństwa informacji są skoordynowane i dopasowane do ról wewnętrznych i partnerów zewnętrznych.
Prawne i regulacyjne wymogi dotyczące bezpieczeństwa cybernetycznego, w tym obowiązki w zakresie prywatności i swobód obywatelskich, są rozumiane i uwzględniane.
Procesy zarządzania i zarządzania ryzykiem uwzględniają ryzyko związane z bezpieczeństwem cybernetycznym.
Ocena ryzyka
Organizacja rozumie ryzyko związane z cyberbezpieczeństwem dla działań organizacyjnych (w tym misji, funkcji, wizerunku lub reputacji), aktywów organizacyjnych i osób fizycznych.
Podatności aktywów są identyfikowane i dokumentowane
Informacje o zagrożeniach i podatnościach są otrzymywane z forów i zasobów służących wymianie informacji
Zagrożenia, zarówno wewnętrzne jak i zewnętrzne, są identyfikowane i dokumentowane
Identyfikowane są potencjalne skutki biznesowe i prawdopodobieństwo ich wystąpienia.
Zagrożenia, podatności, prawdopodobieństwo i wpływ są wykorzystywane do określenia ryzyka
Określane są środki zaradcze dotyczące ryzyka i ustalane priorytety
Strategia zarządzania ryzykiem
Priorytety, ograniczenia, tolerancja ryzyka i założenia organizacji są identyfikowane i wykorzystywane do wspierania decyzji dotyczących ryzyka operacyjnego.
Procesy zarządzania ryzykiem są ustanowione, zarządzane i zatwierdzane przez interesariuszy w organizacji.
Tolerancja organizacji na ryzyko jest zdefiniowana i jasno wyrażona
Organizacja określa tolerancję na ryzyko w oparciu o swoją rolę w analizie infrastruktury krytycznej i ryzyka specyficznego dla danego sektora
Kontrola dostępu
Dostęp do aktywów i powiązanych obiektów jest ograniczony do uprawnionych użytkowników, procesów lub urządzeń oraz do uprawnionych działań i transakcji.
Zarządzanie tożsamością i poświadczeniami dla uprawnionych urządzeń i użytkowników
Fizyczny dostęp do aktywów jest zarządzany i chroniony
zarządza się dostępem zdalnym
Zarządzanie prawami dostępu odbywa się z poszanowaniem zasady najmniejszych uprawnień i podziału obowiązków.
Chroniona jest integralność sieci, w tym w stosownych przypadkach segregacja sieci.
Świadomość
Personel i partnerzy organizacji otrzymują edukację w zakresie cyberbezpieczeństwa i są odpowiednio przeszkoleni do wykonywania obowiązków i odpowiedzialności związanych z bezpieczeństwem informacji zgodnie z odpowiednimi politykami, procedurami i umowami.
Wszyscy użytkownicy są poinformowani i przeszkoleni
Uprawnieni użytkownicy rozumieją role i obowiązki
Interesariusze zewnętrzni (np. dostawcy, klienci, partnerzy) rozumieją role i obowiązki
Kierownictwo wyższego szczebla rozumie role i obowiązki
Pracownicy ochrony fizycznej i bezpieczeństwa informacji rozumieją swoje role i obowiązki
Bezpieczeństwo danych
Informacje i zapisy (dane) są zarządzane zgodnie ze strategią ryzyka organizacji w celu ochrony poufności, integralności i dostępności informacji.
Dane w stanie spoczynku są chronione
Chronione są dane w tranzycie
Aktywa są formalnie zarządzane podczas usuwania, przekazywania i dysponowania nimi
Utrzymywana jest wystarczająca pojemność w celu zapewnienia dostępności
Wdrożone są środki ochrony przed wyciekiem danych
Do weryfikacji integralności oprogramowania, oprogramowania sprzętowego i informacji stosowane są mechanizmy kontroli integralności.
Środowisko(a) rozwojowe i testowe są oddzielone od środowiska produkcyjnego
Proces i procedury bezpieczeństwa informacji
Procesy i procedury bezpieczeństwa informacji (PR.IP): Polityki bezpieczeństwa (obejmujące cel, zakres, role, obowiązki, zaangażowanie kierownictwa i koordynację między jednostkami organizacyjnymi), procesy i procedury są utrzymywane i wykorzystywane do zarządzania ochroną systemów i aktywów informacyjnych.
Ustanowiona i utrzymywana jest podstawowa konfiguracja systemów informatycznych/sterowania przemysłowego.
Wdrożony jest cykl rozwoju systemu dla zarządzania systemami.
Istnieją procesy kontroli zmian konfiguracji.
Kopie zapasowe informacji są ustanowione, utrzymywane i okresowo testowane.
Przestrzegane są polityki i przepisy dotyczące fizycznego środowiska funkcjonowania aktywów organizacji.
Dane są niszczone zgodnie z polityką.
Procesy bezpieczeństwa są stale doskonalone
Skuteczność technologii ochrony jest udostępniana odpowiednim stronom Plany reagowania (reagowanie na incydenty i ciągłość działania) oraz plany odzyskiwania (odzyskiwanie po incydentach i odzyskiwanie po katastrofach) są wdrożone i zarządzane
plany reagowania i odzyskiwania są testowane
cyberbezpieczeństwo jest uwzględnione w polityce kadrowej (np. kontrola personelu)
Opracowano i wdrożono plan zarządzania podatnościami
Konserwacja
Konserwacja i naprawy elementów przemysłowego systemu sterowania i informacji są przeprowadzane zgodnie z polityką i procedurami.
Konserwacja i naprawa aktywów organizacyjnych jest wykonywana i rejestrowana w sposób terminowy, przy użyciu zatwierdzonych i kontrolowanych narzędzi.
Zdalna konserwacja aktywów organizacyjnych jest zatwierdzana, rejestrowana i wykonywana w sposób uniemożliwiający dostęp osób nieupoważnionych.
Technika ochronna
Techniczne rozwiązania w zakresie bezpieczeństwa są zarządzane w celu zapewnienia bezpieczeństwa i odporności systemów i aktywów, zgodnie z odpowiednimi politykami, procedurami i umowami.
Zapisy audytów/logów są określone, udokumentowane, wdrożone i przeglądane zgodnie z polityką
Nośniki wymienne są chronione, a ich użycie ograniczone zgodnie z polityką
Dostęp do systemów i aktywów jest kontrolowany z poszanowaniem zasady najmniejszej funkcjonalności
Sieci komunikacyjne i kontrolne są chronione
Anomalie i zdarzenia
Anomalie są wykrywane w odpowiednim czasie, a potencjalny wpływ zdarzeń jest zrozumiały.
Ustanawia się i zarządza bazą operacji sieciowych i oczekiwanych przepływów danych dla użytkowników i systemów
Obserwowane zdarzenia są analizowane w celu zrozumienia celów i metod ataku
Dane o zdarzeniach są agregowane i korelowane z wielu źródeł i czujników
Określany jest wpływ zdarzeń i ustalane są progi alarmowe dla incydentów
Stałe monitorowanie bezpieczeństwa
System informacyjny i aktywa są monitorowane w dyskretnych odstępach czasu w celu identyfikacji zdarzeń związanych z cyberbezpieczeństwem i weryfikacji skuteczności środków ochrony.
Sieć jest monitorowana w celu wykrycia potencjalnych zdarzeń związanych z bezpieczeństwem cybernetycznym
środowisko fizyczne jest monitorowane w celu wykrycia potencjalnych zdarzeń związanych z bezpieczeństwem cybernetycznym
Działania personelu są monitorowane w celu wykrycia potencjalnych zdarzeń związanych z bezpieczeństwem cybernetycznym
Wykryto złośliwy kod
Wykryto nieautoryzowany kod mobilny
Monitorowana jest aktywność zewnętrznych dostawców usług w celu wykrycia potencjalnych zdarzeń cyberbezpieczeństwa
Sprawdzana jest obecność nieautoryzowanego personelu, nieautoryzowanych połączeń, nieautoryzowanych urządzeń i nieautoryzowanego oprogramowania
Przeprowadzane są skanowania pod kątem podatności
Procesy wykrywania
Procesy i procedury wykrywania są utrzymywane i testowane w celu zapewnienia terminowej i odpowiedniej świadomości zdarzeń anomalnych.
Planowanie reakcji
Procesy i procedury reagowania są wdrażane i utrzymywane, aby zapewnić terminową reakcję na wykryte zdarzenia związane z bezpieczeństwem cybernetycznym.
Plan reagowania jest wdrażany w trakcie lub po wystąpieniu zdarzenia
Komunikacja
Działania w zakresie reagowania są koordynowane odpowiednio z wewnętrznymi i zewnętrznymi zainteresowanymi stronami, w tym z zewnętrznym wsparciem ze strony organów ścigania.
Personel zna swoją rolę i kolejność działań, gdy wymagana jest reakcja
Zdarzenia są zgłaszane zgodnie z ustalonymi kryteriami
Informacje są przekazywane zgodnie z planami reagowania
Koordynacja z zainteresowanymi stronami odbywa się zgodnie z planami reagowania
Dobrowolna wymiana informacji z zewnętrznymi zainteresowanymi stronami w celu uzyskania szerszej świadomości sytuacyjnej w zakresie bezpieczeństwa cybernetycznego
Analiza
Analiza jest przeprowadzana w celu zapewnienia odpowiedniej reakcji i wsparcia działań naprawczych.
Sprawdzane są raporty z systemów wykrywania
Zrozumiały jest wpływ zdarzenia
Prowadzone są badania kryminalistyczne
Incydenty są kategoryzowane zgodnie z planami reagowania
Łagodzenie skutków
Prowadzone są działania mające na celu zapobieganie rozprzestrzenianiu się zdarzenia, łagodzenie jego skutków i likwidację incydentu.
Incydenty są ograniczane
Incydenty są łagodzone
Nowo zidentyfikowane podatności są ograniczane lub dokumentowane jako akceptowane ryzykod
Ulepszenia
Organizacyjne działania w zakresie reagowania są ulepszane poprzez wyciąganie wniosków z obecnych i poprzednich działań w zakresie wykrywania/reagowania.
Plany reagowania uwzględniają zdobyte doświadczenia
Strategie reagowania zostały zaktualizowane
Planowanie odbudowy
Procesy i procedury odzyskiwania są wdrażane i utrzymywane w celu zapewnienia terminowego odzyskiwania systemów lub aktywów dotkniętych zdarzeniami związanymi z bezpieczeństwem cybernetycznym.
Plan naprawczy zostanie wdrożony w trakcie lub po wystąpieniu zdarzenia
Ulepszenia
Planowanie i procesy naprawcze zostaną udoskonalone poprzez uwzględnienie zdobytych doświadczeń w przyszłych działaniach.
Plany odbudowy uwzględniają wyciągnięte wnioski.
Strategie odbudowy są aktualizowane
Komunikacja
Działania naprawcze są koordynowane z podmiotami wewnętrznymi i zewnętrznymi, takimi jak centra koordynacyjne, dostawcy usług internetowych, właściciele atakowanych systemów, ofiary, inne CSIRT i sprzedawcy.
Zarządzanie relacjami publicznymi
Przywrócenie reputacji po zdarzeniu
Działania naprawcze są przekazywane wewnętrznym interesariuszom oraz zespołom wykonawczym i zarządzającym
System.InvalidCastException: Unable to cast object of type 'System.Xml.XmlDocument' to type 'System.Xml.XmlElement'. at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.DetermineRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId) at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.GetRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId) at Umbraco.Web.Routing.DefaultUrlProvider.GetUrl(UmbracoContext umbracoContext, Int32 id, Uri current, UrlProviderMode mode) at Umbraco.Web.Routing.UrlProvider.<>c__DisplayClass16_0.<GetUrl>b__0(IUrlProvider provider) at System.Linq.Enumerable.WhereSelectArrayIterator`2.MoveNext() at System.Linq.Enumerable.FirstOrDefault[TSource](IEnumerable`1 source, Func`2 predicate) at Umbraco.Web.Routing.UrlProvider.GetUrl(Int32 id, Uri current, UrlProviderMode mode) at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text, UrlProvider urlProvider) at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text) at ASP._Page_Views_Partials_grid_editors_rte_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Rte.cshtml:line 5 at System.Web.WebPages.WebPageBase.ExecutePageHierarchy() at System.Web.Mvc.WebViewPage.ExecutePageHierarchy() at System.Web.WebPages.WebPageBase.ExecutePageHierarchy(WebPageContext pageContext, TextWriter writer, WebPageRenderingBase startPage) at System.Web.Mvc.RazorView.RenderView(ViewContext viewContext, TextWriter writer, Object instance) at System.Web.Mvc.BuildManagerCompiledView.Render(ViewContext viewContext, TextWriter writer) at Umbraco.Core.Profiling.ProfilingView.Render(ViewContext viewContext, TextWriter writer) at System.Web.Mvc.HtmlHelper.RenderPartialInternal(String partialViewName, ViewDataDictionary viewData, Object model, TextWriter writer, ViewEngineCollection viewEngineCollection) at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model, ViewDataDictionary viewData) at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model) at ASP._Page_Views_Partials_grid_editors_base_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Base.cshtml:line 20