Най-лесният начин за съответствие на Директива (ЕС) 2022/2555 на Европейския парламент за киберсигурност, чийто краен срок за въвеждане в България е 17 Октомври 2024 г., е да започнете упорита работа поне година преди крайната дата.
Повечето изисквания не са въпрос на създаване на документ, а на стартиране на комплексен технически проект, включващ в себе си техническият ви и административен персонал.
Колкото по-голяма е компанията ви, толкова повече и по-сложни проекти за промяна на текущите ви ИТ практики ще трябва да стартирате.
Директива (ЕС) 2022/2555 на Европейския парламент за киберсигурност е важен регулаторен акт, който цели да укрепи и хармонизира киберсигурността в рамките на Европейския съюз (ЕС). Създавайки рамка за мерки за киберсигурност, тази директива изисква от държавите-членки да приемат законодателство и да прилагат политики за защита на информационните системи, услугите и данните на своите граждани и бизнеси. В тази статия ще разгледаме някои от най-лесните начини за съответствие с тази директива.
Укрепване на организационната киберсигурност
Едно от основните изисквания на директива (ЕС) 2022/2555 е да се установи ефективна организационна рамка за киберсигурност. Това може да бъде постигнато чрез:
- Назначаване на CISO (мениджър киберсигурност) или екип, отговорен за разработване, прилагане и поддържане на киберсигурностните стратегии и политики на организацията. Това може да бъде и външна CISO услуга.
- Разработване на комплексен план за киберсигурност, който включва процедури за управление на инциденти, обучение на персонала и редовни проверки на състоянието на сигурността. Ето и първия пример за нещо, което за да бъде направено добре, трябва да бъде предшествано от проект. За да разработите план за киберсигурност, трябва първо да преминете през сериозен одит на сигурността, който да опише всички текущи практики за управление на ИТ и всички промени, които ще са Ви необходими, за да съответствате на директивата. Един такъв одит, в зависимост от размера на компанията ви, може да отнеме между 7 и 14 дни. Одитът е прекрасна възможност, и може би най-важният момент, в който да дискутирате всичко, което ви пита одиторът и да си водите бележки, да задавате въпроси. Това е ключово за успеха на целия проект за съответствие с Директивата – ако започнете без одит, направо с имплементация, със сигурност ще имате сериозни проблеми със сроковете и качеството на изпълнение на целия проект.
Идентификация и оценка на риска
Оценката на риска в киберсигурността е ключов компонент от директива (ЕС) 2022/2555. За да бъдат в съответствие с тази директива, организациите трябва да извършват редовни оценки на риска и да идентифицират потенциални заплахи и уязвимости в своите информационни системи. Оценката на риска трябва да включва:
- Анализ на риска: идентифициране на активите, заплахите и уязвимостите, които могат да повлияят на информационните системи и услугите на организацията.
- Оценка на риска: определяне на вероятността и въздействието на различните заплахи, които могат да се появят, и определяне на общия риск за организацията.
- Разработване на стратегии за управление на риска: изготвяне на планове и мерки за намаляване, превенция или ограничаване на риска, като се вземат под внимание разходите и ползите от тези мерки.
Ако ще се справяте с това сами, можете да пуснете в Гугъл запитване от типа „How to perform a risk assessment“ – за съжаление няма много материали на български по темата. За средна компания от 100-200 човека, процесът не би отнел повече от месец, ако е извършен правилно.
Изграждане на технически мерки за сигурност
Съответствието с Директива (ЕС) 2022/2555 изисква организациите да прилагат технически мерки за сигурност, които да защитават информационните системи и данните от неоторизиран достъп, промяна, разрушение или загуба. Някои от основните технически мерки включват:
- Криптиране на данни: използване на силни алгоритми за криптиране за защита на съхраняваните и предаваните данни. Помислете за криптиране на бази данни, конфиденциални файлове, особено клиентски данни. Помислете къде имате копия, къде имате бекъпи, защото те също трябва да бъдат криптирани. Изключително важно е също така да помислите за сигурни начини за управление на ключовете за криптиране – как ще се създават, съхраняват, къде, как ще се дава достъп до тях и как, което е свързано тясно и със следващата точка.
- Управление на идентификацията и достъпа: разработване на политики и процедури за контрол на достъпа, които да гарантират, че само упълномощени потребители могат да получат достъп до информационните системи и ресурси.
- Антивирусна защита и защита от използване и изпълнение на неоторизирани програми и скриптове: използване на актуални антивирусни програми (ние даже бихме поставили за минимум за една организация, използването на EDR) за защита на информационните системи от зловреден софтуер и други заплахи.
- Редовни актуализации и елиминиране на уязвимости: осигуряване на актуализации на софтуера и операционните системи, за да се предотвратят уязвимости, които могат да бъдат експлоатирани от хакери и други злонамерени лица. Например: ако имате инсталиран Adobe Reader, но не го обновявате редовно, отварянето на един зловреден PDF документ може да доведе до пробив на сигурността на цялата организация.
Разработване на процедури за управление на инциденти
Съответствието с Директива (ЕС) 2022/2555 изисква организациите да имат ефективни процедури за управление на инциденти, които да позволяват бързо и адекватно реагиране на киберсигурностни инциденти. Това включва:
- Разработване на план за управление на инциденти: определяне на отговорностите и процедурите за действие при възникване на киберсигурностни инциденти, включително как да се идентифицират, класифицират, регистрират и съобщават инцидентите.
- Обучение на персонала: предоставяне на обучение и упътвания за персонала относно процедурите за управление на инциденти, както и създаване на сигурностна култура, която подчертава важността на киберсигурността.
- Тестване и упражняване на плана за управление на инциденти: провеждане на редовни тестове и упражнения, за да се гарантира, че организацията е подготвена да се справи с реални киберсигурностни инциденти.
Коопериране и обмен на информация
Кооперирането с други организации и държавни органи и обменът на информация между организациите, държавите-членки и Европейския съюз играят ключова роля в съответствието с Директива (ЕС) 2022/2555. За да се постигне това, организациите трябва да:
- Взаимодействат с националните киберсигурностни органи и други съответни институции, като споделят информация за заплахи, уязвимости и инциденти.
- Участват в отраслови инициативи за обмен на информация и сътрудничество, като се присъединят към съответни форуми, асоциации и групи за обмен на информация.
- Прилагат международни стандарти и най-добри практики в областта на киберсигурността, като следват препоръките на органи като ИСО, NIST и ENISA.
Съответствието с Директива (ЕС) 2022/2555 е от съществено значение за организациите, действащи в рамките на Европейския съюз, тъй като тя се стреми да осигури висока степен на киберсигурност в рамките на сектора. Чрез изпълнение на описаните по-горе стъпки, организациите могат да гарантират, че са в съответствие с изискванията на директивата, и по този начин да защитят своите информационни системи, услуги и данни от киберзаплахи и уязвимости.
Следователно, най-лесните начини за съответствие на Директива (ЕС) 2022/2555 включват укрепване на организационната киберсигурност, идентификация и оценка на риска, изграждане на технически мерки за сигурност, разработване на процедури за управление на инциденти, и активно сътрудничество и обмен на информация с други стейкхолдъри. Следвайки тези принципи, организациите могат да постигнат съответствие с директивата и да укрепят своята киберсигурност в дългосрочен план.