- Pamiątkowa 2/18, Poznań
Bezpieczeństwo IT to nie tylko silne hasła i antywirus. To uporządkowany zbiór wymogów, które chronią dane przed wyciekiem, utratą i nieuprawnionym dostępem. Problem w tym, że standardowe certyfikacje (ISO 27001, SOC 2) są drogie, czasochłonne i wymagają zaangażowania całej organizacji przez wiele miesięcy. To projekt, którego podejmują się przeważnie duże korporacje.
Na ratunek mniejszym organizacjom przychodzi NIST 800-171 – praktyczny, amerykański standard bezpieczeństwa stworzony pierwotnie dla firm współpracujących z sektorem obronnym, ale równie dobrze sprawdzający się jako najlepsze praktyki higieny IT dla każdej firmy, która chce zadbać o bezpieczeństwo bez wielomiesięcznych projektów certyfikacyjnych.
Audyt bezpieczeństwa IT oparty o NIST 800-171 to dokładne sprawdzenie 110 środków bezpieczeństwa w Twojej firmie: od zarządzania hasłami i dostępem, przez kopie zapasowe i monitoring, aż po reagowanie na incydenty i szkolenia pracowników. Efektem końcowym jest przejrzysty raport z oceną dojrzałości i konkretny plan naprawczy uporządkowany według priorytetów i realnego wpływu na bezpieczeństwo.
Szczegółowe informacje o najnowszej, trzeciej odsłonie standardu NIST 800-171 i wymogach każdego obszaru zostały opisane w publikacji pt. “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations”.
Audyt bezpieczeństwa IT oparty o NIST 800-171 kierujemy do firm, które:
– przetwarzają wrażliwe dane,
– chcą uporządkować procesy w obszarze IT,
– chcą zlokalizować luki w zabezpieczeniach, zanim dojdzie do incydentu,
– mają w planach kolejne certyfikacje (np. ISO27001, SOC2), i potrzebują punktu wyjścia.
NIST 800-171 składa się ze 110 wymogów kontrolnych pogrupowanych w 14 obszarów. Podczas audytu sprawdzamy każdy z nich. Poniżej kluczowe wymogi w pigułce:
Kto ma dostęp do jakich danych? Czy stosujecie zasadę najmniejszych uprawnień? Czy dostępy poddawane są okresowej weryfikacji?
Czy pracownicy wiedzą, jak rozpoznać phishing? Czy prowadzicie szkolenia z zakresu bezpiecznego postępowania z danymi?
Czy wiecie, kto, kiedy i z jakiego urządzenia logował się do systemów? Czy takie zdarzenia są monitorowane?
Czy wiecie, jakie oprogramowanie jest zainstalowane na firmowych komputerach? Czy konfiguracja jest udokumentowana i aktualna?
Czy stosujecie uwierzytelnianie wieloskładnikowe? Jak zarządzacie hasłami i ich rotacją?
Jak reagujecie na podejrzaną aktywność? Czy macie plan działania, odpowiedzialne osoby i procedury?
Jak zarządzacie aktualizacjami systemów i oprogramowania? Kto ma dostęp fizyczny do urządzeń?
Jak zabezpieczacie fizyczne nośniki danych ?
Czy serwerownia jest zamknięta i monitorowana? Kto ma do niej dostęp?
Czy identyfikujecie i oceniacie zagrożenia dla firmowych danych? Jak często?
Czy regularnie testujecie zabezpieczenia?
Czy stosujecie szyfrowanie dane i filtrujecie ruch sieciowy?
Czy wdrożyliście nowoczesne oprogramowanie antywirusowe, systemy wykrywania intruzów i monitoring nietypowej aktywności?
Jak sprawdzacie nowych pracowników? Co się dzieje z dostępami po odejściu z firmy?
Zaczynamy od 30-minutowej rozmowy: poznajemy Waszą firmę, ustalamy zakres audytu i harmonogram. Na tej podstawie przygotowujemy wycenę, podpisujemy umowę i zabieramy się do pracy. Od pierwszej rozmowy do raportu mija zwykle od czterech do sześciu tygodni.
Sam audyt to nie tylko suchy kwestionariusz w Excelu do wypełnienia – to rozmowy z osobami odpowiedzialnymi za poszczególne obszary. Wiemy, że czasem pytania dotyczące spraw IT mogą być niezrozumiałe, dlatego w ITmafia stawiamy na ludzki kontakt i komunikację werbalną, a wszystkie badane zagadnienia tłumaczymy najlepiej, jak umiemy.
Nie. NIST 800-171 nie wymaga zewnętrznej certyfikacji. Efektem jest raport z oceną zgodności, który można wykorzystać wewnętrznie, przedstawić kontrahentom lub oprawić w ramkę i powiesić na ścianie.
Od pierwszej rozmowy do dostarczenia raportu upływa zwykle 4-6 tygodni. Czas zależy od wielkości firmy, liczby lokalizacji i złożoności środowiska.
Nie. Raport pomaga priorytetyzować prace naprawcze. Zalecamy zająć się obszarami oznaczonymi krytycznym i wysokim priorytetem niezwłocznie; pozostałe można zaplanować na później.
Oczywiście! Wraz z opracowaniem raportu przygotowujemy ofertę na prace naprawcze. Możemy zrealizować wszystkie obszary lub tylko wybrane – zależnie od priorytetów i budżetu.
Tak, oba standardy nakierowane są na ten sam cel – bezpieczeństwo informacji – ale są innymi instrumentami.
NIS2 to unijna dyrektywa prawna, obowiązkowa dla podmiotów kluczowych i ważnych w sektorach krytycznych (energia, transport, zdrowie, IT, finanse). Dotyczy głównie firm zatrudniających 50+ osób lub z obrotem powyżej 10 mln EUR. Za niezgodność grożą kary do 10 mln EUR lub 2% rocznego obrotu.
NIST 800-171 to z kolei konkretna, techniczna lista wymogów bezpieczeństwa, która nie jest prawnie obowiązkowa, ale w dużym stopniu pokrywa się z wymogami NIS2. Firma, która wdroży rekomendacje z audytu NIST 800-171, automatycznie realizuje dużą część technicznych wymogów NIS2 w obszarach takich jak: kontrola dostępu, zarządzanie incydentami, szyfrowanie, segmentacja sieci, zarządzanie podatnościami czy szkolenia pracowników.
Skorzystaj z formularza kontaktowego, a my odezwiemy się do Ciebie najszybciej, jak to możliwe.
