PASSI- und PRIS-Qualifikationen haben Anspruch auf eine Weiterentwicklung, um sie einerseits an veränderte europäische Regelungen anzupassen und andererseits ihre Flexibilität hinsichtlich der erbrachten Leistungen und ihres Kontextes zu verbessern.
ANSSI hat gerade neue Versionen seiner Anforderungsrepositorys für die Qualifikationen von Information Systems Security Audit Service Providers (PASSI, das auf 2.3 umgestellt wird) und Security Incident Response Service Providers (PRIS, Version 3.0) veröffentlicht. „ Die neuen Standards stellen die Konsistenz mit den aktuellen Arbeiten im Rahmen der europäischen Verordnung „CyberSecurity Act“ sicher. », schreibt ANSSI in seiner Pressemitteilung.
Den aktualisierten Standards (PRIS und PASSI) liegen Übergangshinweise für qualifizierte Anbieter (PRIS und PASSI) bei. Beachten Sie, dass ” Sollten diese neuen Versionen nun zur Referenz werden, können die derzeit laufenden Evaluierungen nach Version 2.0 des PASSI-Frameworks und des PRIS-Frameworks dennoch fortgeführt und abgeschlossen werden », warnt die Agentur.
Artikel der Woche
Bessere Anpassungsfähigkeit an Kundenbedürfnisse
Die wichtigste Änderung besteht in der Schaffung zweier unterschiedlicher Qualifikationsniveaus: „substanziell“ und „hoch“. Der erste sieht vor: „ ein erstes Maß an Garantie insbesondere für die Kompetenz des Diensteanbieters, das ihm entgegengebrachte Vertrauen und seine Fähigkeit, die mit dem Dienst verbundenen Informationen und Medien zu schützen “. Das „hohe“ Niveau wiederum richtet sich an Unternehmen, für die Cyberrisiken bestehen. besonders hoch » oder implizieren ein „ strategische Bedrohung “, die ein „ erfordern verstärkte Garantie » zur Qualität des Dienstleisters.
Eine weitere den beiden Standards gemeinsame Entwicklung ist die Arbeit von ANSSI an den Anforderungen an die zu verwendenden Mittel, einerseits angepasst an die beiden Ebenen „substanziell“ und „hoch“, andererseits an „ betriebliche Einschränkungen von Diensten “. Beachten Sie, dass die Regulierungsbehörde insbesondere das Konzept „ Rahmenhinweis » in seinen Repositories, definiert als „ Dokument, das vom Dienstanbieter in Absprache mit dem Sponsor entwickelt und auf dem neuesten Stand gehalten wird und die Bedingungen des Dienstes festlegt », wodurch bestimmte umständliche Servicevereinbarungen zwischen qualifizierten Dienstleistern und ihren Kunden entfallen.
Schließlich eliminiert das PRIS-Repository den Begriff des Perimeters (eingeschränkt oder breit), um nun Aktivitäten zur Reaktion auf Vorfälle abzudecken: Suche nach Indikatoren für Gefährdung (REC), digitale Untersuchung (INV), Analyse von Schadcode (CODE) sowie Verwaltung und Koordinierung von Untersuchungen (PCI).
Belgium
