Tečaj za vodje skladnosti in implementacije EASA PART-IS.I.OR

Po uspešno opravljenem usposabljanju udeleženci pridobite mednarodno priznano IQNET potrdilo ISMS Implementation and Regulatory Compliance in Civil Aviation (IQNET Academy) in SIQ potrdilo o uspešno opravljenem usposabljanju 

Uvod v Part-IS.I.OR

Informacijska varnost ima ključno vlogo v letalskem sektorju, kjer se digitalizacija operacij in povezanost sistemov vse bolj povečujeta. Uredba Part-IS.I.OR določa jasne zahteve za organizacije, da zagotovijo zaščito svojih informacijskih sistemov in podatkov pred grožnjami, ki bi lahko ogrozile varnost zračnega prometa. Cilj tega regulativnega okvira je vzpostaviti sistematičen in dosleden pristop k upravljanju informacijske varnosti z razvojem politik, izvajanjem varnostnih kontrol in stalnim spremljanjem tveganj.
Organizacije, ki so zajete v to uredbo, morajo zagotoviti učinkovito izvajanje sistema upravljanja informacijske varnosti (ISMS) in skladnost z zahtevami, ki jih določa Evropska agencija za varnost v letalstvu (EASA). Poleg tega je Part-IS.I.OR povezana z drugimi mednarodnimi standardi in regulativnimi okviri, kot sta ISO 27001 in NIS2, kar dodatno krepi varnostni sistem znotraj letalskega sektorja.

Obseg (Scope)

To poglavje določa uporabo zahtev Part-IS.I.OR za organizacije in pristojne organe v letalstvu. Uredba se nanaša na vse subjekte, ki pri svojih operacijah uporabljajo informacijske sisteme, z namenom zaščite varnosti letalstva pred grožnjami, povezanimi z informacijsko varnostjo. Cilj uredbe je zagotoviti dosleden pristop k upravljanju tveganj informacijske varnosti v celotnem letalskem ekosistemu, vključno z operaterji, ponudniki storitev in pristojnimi organi. Poleg tega morajo organizacije dokazati skladnost z uredbo prek internih procesov in nadzornih dejavnosti, kar zagotavlja vzdržnost sistema upravljanja varnosti.

Sistem upravljanja informacijske varnosti (ISMS)

ISMS je okvir za upravljanje sistema informacijske varnosti. Organizacije so dolžne vzpostaviti in vzdrževati ISMS, ki vključuje politike, postopke, vire in odgovornosti za zaščito informacij. ISMS mora biti sorazmeren z velikostjo in kompleksnostjo organizacije ter mora vključevati ukrepe za zaščito zaupnosti, celovitosti in razpoložljivosti podatkov. Učinkovitost ISMS se ocenjuje z neprekinjenim nadzorom, internimi presojami in poročanjem pristojnim organom.

Ocena tveganj informacijske varnosti

Ta dejavnost vključuje identifikacijo, analizo in oceno potencialnih groženj informacijskim sistemom. Organizacije morajo uporabljati priznane metode za oceno tveganj ter zagotoviti, da so vsa ugotovljena tveganja ustrezno dokumentirana in obravnavana. Ocena tveganj mora upoštevati grožnje iz notranjih in zunanjih virov, vključno s kibernetskimi napadi, operativnimi napakami in pomanjkljivostmi v sistemih. Poleg tega mora biti ocena redno posodobljena, da odraža spremembe v tehnološkem okolju in regulativnih zahtevah.

Obravnava tveganj informacijske varnosti

Na podlagi ocene tveganj morajo organizacije izbrati ustrezne ukrepe za zmanjšanje, prenos, sprejem ali odpravo tveganj. Ti ukrepi morajo biti skladni z regulativnimi zahtevami in operativnimi potrebami organizacije. Pri sprejemanju odločitev o obravnavi tveganj morajo organizacije uporabiti pristop, ki temelji na prioritetah, da zagotovijo optimalno razporeditev virov. Poleg tega je treba dokumentirati vse odločitve in povezane aktivnosti, da se zagotovi sledljivost in učinkovitost izvajanja.

Notranji sistem poročanja o informacijski varnosti

IS.I.OR.215 določa obveznost organizacij, da vzpostavijo mehanizme za notranje prijavljanje incidentov in varnostnih groženj. Cilj tega sistema je zagotoviti hitro prepoznavanje in učinkovit odziv na varnostne dogodke znotraj organizacije. Sistem notranjega poročanja mora biti dostopen vsem zaposlenim in omogočati anonimno prijavljanje, da se spodbudi transparentnost. Poleg tega morajo organizacije določiti jasne postopke za analizo in obravnavo prijavljenih dogodkov.

Incidenti informacijske varnosti
Organizacije morajo uvesti sisteme za odkrivanje, prijavo in upravljanje incidentov informacijske varnosti. To vključuje določene protokole za odziv, omilitev posledic in obveščanje pristojnih organov v skladu z IS.I.OR.220. Incidenti lahko vključujejo nepooblaščen dostop do sistemov, uhajanje podatkov ali nenadne prekinitve delovanja informacijskih sistemov. Vsaka organizacija mora imeti načrt odzivanja na incidente, ki omogoča zmanjšanje negativnih posledic in pospeši okrevanje.

Zunanji sistem poročanja o informacijski varnosti

V skladu z IS.I.OR.230 morajo organizacije poročati o pomembnih incidentih pristojnim organom in relevantnim deležnikom. Cilj je zagotoviti pravočasno koordinacijo in zmanjšati vpliv incidentov na varnost zračnega prometa. Poročanje mora vsebovati podrobne informacije o vzrokih, sprejetih ukrepih in načrtovanih izboljšavah. Poleg tega je pomembno, da se poročila redno analizirajo, da se prepoznajo vzorci groženj in izboljšajo varnostni mehanizmi.

Pogodbeno izvajanje aktivnosti ISMS

Če organizacija določenim zunanjim izvajalcem zaupa izvajanje aktivnosti informacijske varnosti, mora zagotoviti, da pogodbeni partnerji izpolnjujejo zahteve Part-IS. To vključuje opredelitev odgovornosti, nadzor nad izvajanjem in varnostne preglede. Vsi pogodbeni odnosi morajo biti formalno določeni v skladu z regulativnimi zahtevami, da se preprečijo varnostne pomanjkljivosti. Organizacije so prav tako odgovorne za redno ocenjevanje učinkovitosti zunanjih izvajalcev storitev.

Zahteve za osebje

Organizacije morajo zagotoviti, da ima osebje, odgovorno za informacijsko varnost, ustrezne kompetence, usposabljanje in dostop do potrebnih virov. IS.I.OR.240 določa minimalne zahteve za kvalifikacije in stalno strokovno izpopolnjevanje. Usposabljanje osebja mora vključevati scenarije resničnih groženj, da se poveča odpornost na kibernetske napade. Organizacije so tudi odgovorne za izvajanje varnostnih pregledov zaposlenih na občutljivih delovnih mestih.

Vodenje evidenc

IS.I.OR.245 zahteva, da organizacije vodijo natančne in ažurirane evidence o vseh dejavnostih, povezanih z ISMS. Cilj je zagotoviti sledljivost in transparentnost pri upravljanju informacijske varnosti. Evidence morajo biti zaščitene pred nepooblaščenim dostopom in dostopne za inšpekcijski pregled pristojnih organov. Dokumentacija mora biti redno pregledana in posodobljena v skladu s spremembami varnostnih zahtev.

Nenehno izboljševanje

IS.I.OR.260 zahteva, da organizacije redno ocenjujejo učinkovitost ISMS in izvajajo izboljšave na podlagi novih groženj, tehnoloških sprememb in rezultatov notranjih presoj. Ta proces organizacijam omogoča pravočasno prepoznavanje in odpravo šibkosti v varnostnih ukrepih. Nenehno izboljševanje ISMS temelji na analizi incidentov, povratnih informacijah zaposlenih in nadzornih poročilih, da se zagotovi optimalna raven varnosti. Organizacije morajo prav tako vzpostaviti sisteme za spremljanje novih varnostnih groženj in prilagajanje politik v skladu z globalnimi varnostnimi trendi.

Zaključek

Izvajanje Part-IS.I.OR organizacijam omogoča strukturiran pristop k upravljanju tveganj informacijske varnosti, s čimer se zagotavlja zaščita kritičnih sistemov in podatkov. Uspešna implementacija ISMS zahteva stalno spremljanje varnostnih incidentov, redne ocene tveganj ter prilagajanje politik in postopkov glede na nove izzive. Organizacije morajo prepoznati pomen nenehnega izboljševanja varnostnih ukrepov in usposabljanja osebja, da ostanejo odporne na vedno bolj sofisticirane grožnje. Skladnost s to uredbo ne zmanjšuje le operativnih tveganj, temveč tudi krepi zaupanje v letalsko industrijo. Naslednji korak za organizacije je pravilna implementacija zahtev Part-IS.I.OR z oceno obstoječega stanja, določitvijo potrebnih izboljšav in razvojem strategije za dolgoročno odpornost proti varnostnim grožnjam.