Standardy i zgodności

Standardy i zgodności obejmują ramy, normy oraz przepisy prawne kształtujące bezpieczeństwo informacji i cyberbezpieczeństwo w organizacjach oraz produktach IT. Ich celem jest stworzenie spójnego systemu odniesień, dzięki któremu organizacje mogą skutecznie wdrażać, testować i utrzymywać bezpieczeństwo, a produkty i usługi mogą być oceniane oraz certyfikowane zgodnie z wymogami rynkowymi i prawnymi.

  • Spójne podejście do zarządzania bezpieczeństwem (Governance, Risk & Compliance).
  • Formalną ocenę bezpieczeństwa produktów i systemów.
  • Branżowe mechanizmy certyfikacji i zgodności dla aplikacji i IoT.
  • Wytyczne techniczne i metodyki testów bezpieczeństwa.
  • Regulacyjne wymogi prawne w sektorach krytycznych (finanse, usługi cyfrowe, dane osobowe).

Dokumenty i programy:

  • Normy i certyfikaty organizacyjne (Governance, Risk & Compliance)
    Skupione na procesach, zarządzaniu i audytach bezpieczeństwa informacji.
    ISO/IEC 27001 (ISMS), ISO/IEC 27005 (zarządzanie ryzykiem), CISA (audyt systemów IT), CRISC (ryzyko IT), CISSP (zarządzanie bezpieczeństwem).

  • Ocena i certyfikacja produktów IT (Product Security Evaluation)
    Formalna weryfikacja bezpieczeństwa urządzeń i aplikacji.
    NIAP (program rządu USA), Common Criteria (ISO/IEC 15408), Protection Profiles (np. APP PP, MAPP).

  • Branżowe programy certyfikacyjne i zgodności (Industry Schemes)
    Ocena bezpieczeństwa aplikacji i urządzeń w ramach ekosystemów rynkowych.
    MASA (Google Play, OWASP MASVS/MASTG), ioXt Alliance (mobilne i IoT), PCI DSS (systemy przetwarzające dane kart płatniczych).

  • Standardy techniczne i metodologie (Technical Standards & Testing Frameworks)
    Zestawy kontrolne, przewodniki i frameworki do testów bezpieczeństwa.
    NIST (SP 800-53, SP 800-115, CSF), OWASP (ASVS, WSTG, Top 10), PTES, OSSTMM, CWE Top 25, CVE.

  • Regulacje prawne i sektorowe (Legal & Regulatory Compliance)
    Wymogi narzucone przez prawo i regulatorów w poszczególnych sektorach.
    DORA (odporność cyfrowa w sektorze finansowym, UE), NIS2 (dyrektywa o bezpieczeństwie sieci), RODO/GDPR (ochrona danych osobowych), EBA Guidelines.