Ustawa o krajowym systemie cyberbezpieczeństwa a podmioty medyczne

Zewnętrzny podmiot świadczący usługę cyberbezpieczeństwa

W tej sytuacji jedynym realnym rozwiązaniem będzie pozyskanie zewnętrznego podmiotu świadczącego usługę cyberbezpieczeństwa, zgodnie z ustawą. Odrębnym problemem będzie weryfikacja, czy dany podmiot rzeczywiście spełnia wymogi ustawy, nie przewidziano bowiem żadnej ścieżki certyfikacji.

Podmiot taki może zapewnić także wspomniany już wcześniej wymóg ciągłego monitorowania, którego to definicji w ustawie zabrakło. Można tu jedynie oprzeć się na definicji zawartej w dokumencie stworzonym przez amerykańską organizację standaryzacyjną NIST CAESARS Framework Extensions: An Enterprise Continouos Monitoring Technical Reference Model (Second Draft). Ostatnia wersja tego dokumentu została wydana w 2012 roku i w następujący sposób (tłumaczenie autora) definiuje ciągły monitoring:

„Ciągły monitoring to bieżący proces obserwacji prowadzony w celu dostarczenia ostrzeżenia. Zdolność prowadzenia ciągłego monitoringu oznacza, że bieżąca obserwacja i analiza stanu systemu umożliwia dostarczenie wsparcia dla podejmowania decyzji odnośnie świadomości sytuacyjnej i odchyleń od stanu oczekiwanego (czyli prawidłowego działania systemu – uwaga autora)”.

Uzupełnieniem powyższego jest definicja zawarta w innej publikacji NIST Special Publication (SP) 800-137, a mianowicie:
„(…) ciągły monitoring oznacza utrzymywanie bieżącej świadomości odnośnie bezpieczeństwa informacji, podatności (systemu informacyjnego – uwaga autora) oraz zagrożeń dla wsparcia procesu zarzadzania ryzykiem w organizacji”.

Zwraca uwagę bardzo szerokie rozumienie procesu ciągłego monitoringu zawarte w tej drugiej definicji, wskazujące na całokształt aspektów bezpieczeństwa informacji (a więc także dotyczącego posiadania właściwych procedur, personelu, wykonywania czynności kontrolnych etc.) oraz konieczności rozpoznawania podatności, a więc powtarzanego odpowiednio często (wymóg analizy ryzyka!) procesu skanowania systemu informatycznego. Stąd już tylko krok do wniosku, że aby sprostać tym wymogom, potrzebne jest rozwiązanie klasy [...]

Ten materiał dostępny jest dla Subskrybentów.

Wybierz pakiet subskrypcji dla siebie i ciesz się dostępem do bazy merytorycznej wiedzy!

Wybierz subskrypcję

Masz aktywną Subskrypcję?

Zaloguj się

Nie masz jeszcze konta w serwisie? Dołącz do nas