Zakres certyfikacji Firma Bezpieczna Cyfrowo
Zakres oceny w Twojej firmie
Certyfikacja Firma Bezpieczna Cyfrowo (FBC) dotyczy przede wszystkim cyberbezpieczeństwa – odnosi się do ochrony informacji związanych z Twoim biznesem przed zagrożeniami z Internetu. W dzisiejszych czasach większość firm korzysta z urządzeń podłączonych do Internetu, takich jak smartfony i komputery, oraz usług cyfrowych, takich jak poczta e-mail, strony internetowe czy handel elektroniczny.
Zakres oceny w ramach Firmy Bezpiecznej Cyfrowo obejmuje infrastrukturę informatyczną używaną do prowadzenia Twojego biznesu. Są to wszystkie urządzenia, które mają dostęp do danych Twojego biznesu, takich jak służbowe wiadomości e-mail, dane klientów, strona internetowa, usługi online oraz informacje, do których uzyskujesz dostęp zdalnie w chmurze.
Celem programu Firma Bezpieczna Cyfrowo jest zwiększenie odporności Twojego biznesu, Twoich urządzeń i Twoich danych poprzez skuteczną ochronę przed najczęstszymi cyberatakami. Dzięki odpowiednim środkom zabezpieczającym i dobrym praktykom w dziedzinie cyberbezpieczeństwa, możesz znacząco zminimalizować ryzyko incydentów związanych z naruszeniem bezpieczeństwa.
Certyfikacja Firma Bezpieczna Cyfrowo jest przeznaczona dla firm o różnych rozmiarach i skalach działania. Oznacza to, że niezależnie od wielkości firmy, certyfikacja ma na celu zapewnienie odpowiednich standardów bezpieczeństwa cyfrowego.
Zastanów się nad swoją organizacją i rodzajem technologii, której używasz.
Jeśli jesteś konsultantem/-ką, może to oznaczać, że pracujesz sam/a z domu, korzystając z telefonu, komputera i niektórych usług w chmurze. Jeśli jesteś budowlańcem lub prowadzisz biznes usługowy, może to oznaczać, że pracujesz sam/a u klienta z użyciem swojego telefonu komórkowego.
A może Twoja praca obejmuje wiele lokalizacji? Posiadasz fizyczne biuro lub sklep oraz usługi dostępne online?
Czy masz pracowników, którzy pracują z domu lub chcą używać swojego własnego sprzętu do pracy? Czy wszystkie obszary Twojej organizacji mogą spełniać wymagania bezpieczeństwa Firmy Bezpiecznej Cyfrowo?
Jednym z pierwszych kroków, które musisz wykonać podczas ubiegania się o certyfikat Firma Bezpieczna Cyfrowo, jest ustalenie zakresu oceny w Twojej organizacji, czyli określenie, co będzie podlegało ocenie. Oznacza to dokładne wyznaczenie obszarów, które będą uwzględnione w Twojej certyfikacji.
Certyfikowanie całej organizacji
W idealnych warunkach zakresem certyfikatu Firma Bezpieczna Cyfrowo powinna być objęta „cała organizacja” (firma), ponieważ zapewnia to najskuteczniejszą ochronę.
Certyfikowanie tylko części organizacji
W niektórych przypadkach nie jest możliwe objęcie całej firmy zakresem certyfikacji. Dzieje się tak na przykład, jeżeli zdecydujesz się korzystać z urządzeń lub oprogramowania, które nie spełniają wymagań certyfikacji Firmy Bezpiecznej Cyfrowo, ponieważ nie są już wspierane przez producenta. W takim przypadku musisz znaleźć sposób na techniczne oddzielenie tego, co jest objęte zakresem oceny, od tego, czego ona nie dotyczy.
W przypadku certyfikowania tylko części organizacji, koniecznym jest techniczne oddzielenie części infrastruktury IT poprzez utworzenie podsieci. Możesz to osiągnąć tworząc podsieć przy użyciu sieci VLAN lub zapory sieciowej, która będzie kontrolować dostęp do części infrastruktury objętych oceną. Ma to na celu oddzielenie i ochronę tych części przed podatnościami występującymi w sieci, która nie będzie objęta zakresem certyfikacji.
Pamiętaj, że w przypadku braku możliwości certyfikowania całej firmy, musisz jasno opisać, co będzie uwzględnione w zakresie (np. cała organizacja z wyłączeniem sieci rozwojowej). Aby to odpowiednio określić, często potrzebna jest pomoc specjalistów (patrz Pomoc i wsparcie – sekcja poniżej).
Jeśli Twoja organizacja ma wydzieloną sieć dla gości, która nie ma dostępu do danych i usług organizacji, a osobom spoza organizacji umożliwia jedynie korzystanie z Internetu, można ją wyłączyć z zakresu oceny. Przykładem może być sieć dla gości w hotelu lub sieć dla studentów w szkole. Jest to wyjątek od reguły, dla którego zakres certyfikacji nadal może być opisany jako „cała organizacja”.
Granica zakresu
W przypadku certyfikacji Firma Bezpieczna Cyfrowo granicę zakresu wyznaczają zapory sieciowe i routery, które tworzą pierwszą linię obrony pomiędzy Twoimi sieciami i urządzeniami a Internetem. Do tych zapór sieciowych i routerów muszą być stosowane odpowiednie zalecenia bezpieczeństwa.
Sprzęt IT, który nie łączy się z Internetem
Jeśli posiadasz sprzęt IT, który nigdy nie łączy się z Internetem ani z siecią podłączoną do Internetu, nie musisz go zgłaszać.
Praca zdalna
Każda osoba pracująca z domu, niezależnie od tego, ile czasu w ten sposób pracuje, jest klasyfikowana jako „pracownik zdalny”. Urządzenia, których pracownicy zdalni używają do celów biznesowych, są objęte zakresem certyfikacji Firma Bezpieczna Cyfrowo. Dotyczy to również prywatnych telefonów komórkowych posiadających dostęp do służbowej poczty e-mail.
Wszystkie urządzenia mające dostęp do danych lub usług organizacji są objęte zakresem oceny. Dotyczy to urządzeń używanych przez pracowników, wolontariuszy, członków zarządu, członków rady szkół i kontrahentów.
Co to są dane organizacji?
Są to wszelkie elektroniczne dane należące do organizacji, takie jak e-maile, dokumenty biurowe, dane z bazy danych, dane finansowe.
Co to są usługi (cyfrowe) organizacji?
Są to wszelkie aplikacje mobilne, aplikacje w chmurze, usługi w chmurze, zdalne pulpity i rozwiązania do zarządzania urządzeniami mobilnymi, które są własnością organizacji lub są przez nią subskrybowane.
Usługi w chmurze
Wszystkie usługi w chmurze są objęte zakresem oceny i muszą spełniać wymagania Firmy Bezpiecznej Cyfrowo. Jeśli dane lub usługi Twojej organizacji są hostowane w chmurze, to Twoja organizacja ponosi ostateczną odpowiedzialność za spełnienie wymagań FBC w ramach tych usług. W zależności od rodzaju usługi w chmurze, za wdrożenie środków bezpieczeństwa odpowiada Twoja organizacja lub dostawca usługi, ale to Twoja firma podlega certyfikacji (patrz O usługach w chmurze).
Konieczność uwzględnienia urządzeń końcowych
Zakres certyfikacji FBC musi obejmować urządzenia końcowe (np. komputery stacjonarne, laptopy, tablety i urządzenia mobilne używane przez użytkowników).
Pomoc i wsparcie
Jeżeli Twoja firma posiada złożoną strukturę i uważasz, że zakres oceny nie obejmie Twojej całej organizacji, konieczne może okazać się skorzystanie z profesjonalnego wsparcia w celu zaplanowania i wdrożenia odpowiednich zabezpieczeń podsieci w Twojej organizacji. Umożliwi to objęcie wybranej części organizacji zakresem certyfikacji Firma Bezpieczna Cyfrowo. W trakcie pilotażu będziemy gromadzić informacje w celu zrozumienia, czy tego typu wsparcie jest potrzebne firmom. To pozwoli nam zaproponować optymalne rozwiązania na większą skalę.