Rozdział 4: Zarządzanie aktywami informacyjnymi

Transkrypt

1 Zarządzanie aktywami informacyjnymi System Zarządzania Bezpieczeństwem Informacji (SZBI w literaturze anglojęzycznej ISMS Information Security Management System) określa, w jaki sposób Organizacja zarządza bezpieczeństwem swych aktywów informacyjnych. Wbrew ciągle jeszcze panującej opinii SZBI nie zajmuje się zarządzaniem bezpieczeństwem systemów komputerowych, lecz bezpieczeństwem informacji, niezależnie od formy i nośników używanych do jej przechowywania i dystrybucji. Przedmiotem zainteresowania SZBI będzie więc także informacja na nośnikach papierowych, a nawet informacja przekazywana ustnie. Sprzęt komputerowy, urządzenia sieciowe itp. mają znaczenie dla SZBI wynikające z ich znaczenia dla bezpieczeństwa informacji. Opracowanie specjalnych standardów SZBI oraz wprowadzanie formalnego procesu audytu, który kończy się wydaniem certyfikatu zgodności SZBI z formalnymi wymaganiami zestawionymi w normie PN-ISO/IEC Nazewnictwo norm wprowadza nieco zamieszania, ponieważ ISO stosuje numerację: ISO/IEC Information Security Management System - Requirements ISO/IEC Code of Practice for Information Security Management System W Polsce numeracje jest nieco inna: PN-ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji - Wymagania PN-ISO/IEC 17799:2007 Praktyczne zasady zarządzania bezpieczeństwem informacji Obie normy wywodzą się z norm British Standard: BS (ISO/IEC 27001) oraz BS (ISO/IEC 27002). Związek pomiędzy tymi normami jest dość oczywisty: Norma PN-ISO/IEC (a zwłaszcza jej załącznik A) jest podstawą certyfikacji SZBI i materiałem dla audytorów. Norma PN-ISO/IEC jest przeznaczona przede wszystkim dla organizacji ustanawiających i wdrażających SZBI oraz dla firm konsultingowych wspomagających to działanie. Postępowanie według zaleceń normy PN-ISO/IEC powinno doprowadzić do ustanowienia SZBI, który następnie zostanie poddany audytowi sprawdzającemu spełnienie przez ten system wymagań normy PN-ISO/IEC Norma ISO/IEC (PN-ISO/IEC 17799) określa kolejność postępowania podczas ustanawiania SZBI oraz definiuje następujące podstawowe zagadnienia, które powinny być wzięte pod uwagę podczas ustanawiania SZBI. Należy jednak zwrócić uwagę, że norma zawiera jak kązdy tego typu dokument zawiera sformułowania ogólne, które powinny być odpowiednio dostosowane do potrzeb Organizacji ustanawiającej i wdrażającej SZBI. Działania wstępne Pierwszym, niezbędnym i bardzo ważnym etapem jest spotkanie z kierownictwem Organizacji oraz uzyskanie wsparcia Kadry Zarządzającej dla działań związanych z ustanawianiem SZBI. Wdrożenie SZBI jest praktycznie niemożliwe bez aktywnego wsparcia kierownictwa, które musi być przekonane o korzyściach biznesowych, które można uzyskać w wyniku wdrożenia SZBI. W wyniku tego spotkania powinien powstać dokument, w którym powinny zostać zestawione (C) Tomasz Barbaszewski str. 1 z 17

2 potrzeby Organizacji w zakresie zarządzania bezpieczeństwem informacji. Dokument ten powinien zawierać zestawienie przewidywanych korzyści, które powinna uzyskać Organizacja w wyniku ustanowienia SZBI oraz preliminarz kosztów z tym związanych, stanowi on bowiem bazę niezbędną dla podjęcia decyzji biznesowej umożliwiającej dalsze działania. Kolejnym krokiem jest określenie zakresu wprowadzania SZBI i przygotowanie dokumentu definiującego ten zakres. Dokument ten wyznacza ramy dalszych działań, a więc powinien zostać zaakceptowany przez kierownictwo Organizacji. W tym miejscu warto podkreślić, że dokumenty opracowywane w ramach ustanawiania SZBI powinny zawierać odpowiednią stronę informacyjną. Przykład formatu takiej strony umieszczono na zakończenie tego rozdziału. Strony informacyjne znacznie ułatwiają nadzór nad procesem wdrażania SZBI i powinny stanowić dobry przykład zarządzania informacją oraz jej bezpieczeństwem. Zakres działań zmierzających do ustanowienia SZBI powinien zostać ew. skorygowany oraz zaakceptowany przez Kierownictwo Organizacji oraz powinien być zgodny z zaleceniami normy PN-ISO/IEC Mamy więc już na samym początku drogi do czynienia z prostym cyklem P-D- C-A. Inwentaryzacja aktywów Ostatnim i bardzo ważnym krokiem jest przeprowadzanie inwentaryzacji zasobów informacyjnych i sporządzenie spisu aktywów będących w dyspozycji organizacji. W zadaniu tym pomocne będzie podejście procesowe i przyporządkowanie aktywów informacji realizowanych przez Organizację procesów biznesowych. Jeśli Organizacja wdrożyła już odpowiednie normy rodziny ISO 9000 przygotowanie takiej bazy danych będzie znacznie ułatwione. Spis aktywów informacyjnych Organizacja może również przygotować we własnym zakresie. W spisie aktywów mogą się znaleźć (przykładowo) następujące pozycje: Aktywa niematerialne: Informacje w formie cyfrowej, Informacje w innej (nie cyfrowej) formie, Oprogramowanie (kody wynikowe oraz licencje na wykorzystywanie programów), Oprogramowanie kody źródłowe wraz z licencjami i dokumentacją, Bazy i zbiory danych, Wzory dokumentów, Bazy wiedzy, Dokumentacje techniczne, Archiwa. Aktywa materialne związane z przetwarzaniem informacji: (C) Tomasz Barbaszewski str. 2 z 17

3 Serwery i farmy serwerów, Komputery obliczeniowe, klastry itp. Urządzenia sieciowe, Stacjonarne komputery osobiste, Komputery przenośne (wszystkie rodzaje), Urządzenia peryferyjne itp... Zasoby ludzkie. System Zarządzania Bezpieczeństwem Informacji Inwentaryzację należy przeprowadzić wykorzystując odpowiednio przygotowane arkusze spisowe: Numer inwentarzowy: Opis: Właściciel: Zarządzający: Użytkownicy: Lokalizacja: Klasyfikacja: Okres ważności: Sposób likwidacji: Kopia awaryjna (wykonywanie): Kopia awaryjna (przechowywanie): Wymagania: Dostępność: Integralność: Poufność: Sporządził: Zatwierdził: Jednostka organizacyjna: Organizacja: Dnia: Dnia: (C) Tomasz Barbaszewski str. 3 z 17

4 Najczęściej do oceny wartości aktywu stosuje się skalę trójstopniową dla określenia stopnia wymagań: niski wartość 1 średni wartość 2. wysoki wartość 3. Za miarę wartości aktywu przyjmuje się sumę wartości przypisanych stawianym wymaganiom, na przykład: dostępność = 3 integralność = 2 poufność = 1 Wartość aktywu = 6 Wartości aktywów zostaną użyte w następnym etapie analizie ryzyka. Arkusze spisowe będą się oczywiście różnic w zależności od rodzaju spisywanego aktywu. Opisując na przykład serwer lub komputer osobisty należy ocenić wymagania zbiorczo dla wszystkich danych, które są nich przechowywane lub przetwarzane i przyjąć za obowiązujące najwyższe wymaganie. (C) Tomasz Barbaszewski str. 4 z 17

5 Klasyfikacja informacji Klasyfikacja informacji jest podstawą ZSBI. Organizacja wprowadzająca ZSBI powinna ustanowić Politykę Klasyfikacji Informacji (zał. A do PN-ISO/IEC 27001). Polityka powinna umożliwiać przypisanie każdej tworzonej lub otrzymywanej informacji do określonej grupy. Zalecane jest utworzenie co najmniej 3 grup klasyfikacyjnych informacji, lecz w razie potrzeby (np. przetwarzanie w organizacji danych niejawnych w sensie Ustawy) organizacja może zdefiniować w Polityce Kwalifikowania Informacji więcej grup. Klasyfikacja informacji powinna jednoznacznie określać warunki przypisania informacji do określonej grupy oraz osobę odpowiedzialną za dokonanie takiego przypisania. Właściciel informacji Pojęcie właściciela informacji nie jest związane z klasycznym pojęciem własności (np. w sensie praw autorskich), ponieważ prawa do informacji tworzonych w Organizacji, a dla informacji otrzymywanych z zewnątrz są określane przez ich prawnych właścicieli. Właściciel informacji w systemie SZBI określa osobę odpowiedzialną za zarządzanie tą informacją. Jest to zazwyczaj kierownik działu, w którym informacja powstała lub osoba, która otrzymała takie uprawnienia. Właściciel informacji dokonuje jej zakwalifikowania do określonej w Polityce Kwalifikowania Informacji grupy i dokonuje jej odpowiedniego oznaczenia. Właściciel informacji jest jedyną osobą uprawnioną do zmiany kwalifikacji informacji. Zmiana kwalifikacji informacji nie może być dokonywana w górę, to znaczy informacja o niższym stopniu ochrony nie może być przeniesiona do grupy, dla której przewidziano wyższy stopień ochrony. Postępowanie z informacją Niezależnie od tego, do jakiej grupy należy informacja Polityka Klasyfikacji Informacji musi określać sposoby postępowania z informacją: 1. Sposób oznaczania informacji, 2. Odpowiedzialność osób tworzących lub otrzymujących informację, 3. Warunki kopiowania informacji oraz postępowania z kopiami, 4. Sposoby i warunki dystrybucji informacji, 5. Sposoby archiwizacji informacji lub nieodwracalnego jej usunięcia. Sposoby postępowania z informacją powinny być uzależnione od grupy, do której informacja została zakwalifikowana przez jej właściciela. Polityka Kwalifikowania Informacji powinna jednoznacznie definiować sposoby postępowania z informacją i określać poziomy, jakim powinny odpowiadać jej podstawowe atrybuty dostępność, integralność oraz poufność. (C) Tomasz Barbaszewski str. 5 z 17

6 Przykładowa Polityka Kwalifikowania Informacji Dokument określający Politykę Kwalifikowania Informacji powinien spełniać ogólne wymagania dla dokumentów tworzonych w ramach ustanawiania SZBI (część informacyjna) oraz powinna mu towarzyszyć odpowiednia deklaracja stosowania. Polityka Kwalifikowania Informacji powinna określać co najmniej trzy grupy kwalifikacyjne: 1. Informacje ogólnodostępne (publiczne), 2. Informacje do użytku wewnętrznego w ramach Organizacji, 3. Informacje poufne, o podwyższonym stopniu ochrony i ograniczonym obiegu wewnątrz organizacji. Informacje ogólnodostępne (publiczne) Do grupy tej należy kwalifikować informacje spełniające następujące warunki: 1. Informacja jest przeznaczona do powszechnego wykorzystywania. Okresowa utrata dostępności do informacji nie stanowi zagrożenia dla ciągłości działania Organizacji i ryzyko z tym związane określono jako akceptowalne. 2. Zachowanie integralności informacji posiada ograniczone (np. wizerunkowe) znaczenie dla Organizacji. Utrata integralności nie rodzi skutków finansowych lub prawnych dla Organizacji. 3. Poufność nie jest zachowywana. W grupie tej znajdą się więc wszelkie informacje marketingowe, broszury, zawartość publicznych stron WWW (łączenie z BIP Biuletynem Informacji Publicznej), publicznie dostępne raporty finansowe, katalogi i wszelkie inne informacje udostępniane bez konieczności spełnienia przez ich odbiorcę jakichkolwiek warunków np. automatycznie generowane odpowiedzi na pocztę elektroniczną w okresie urlopu pracownika. W pewnych przypadkach może być konieczne zachowanie integralności informacji przeznaczonych do udostępniania publicznego (np. aktów prawnych lub ich projektów, dokumentacji zamówień publicznych, kody oprogramowania itp.). W razie takiej konieczności w Polityce Kwalifikowania Informacji należy przewidzieć dodatkową podgrupę, do której będą kwalifikowane informacje udostępniane publicznie, lecz o podwyższonym stopniu ochrony i zastosować dodatkowe mechanizmy kontroli integralności dystrybuowanej informacji oraz przewidzieć możliwość weryfikacji jej integralności przez odbiorcę. (C) Tomasz Barbaszewski str. 6 z 17

7 Oznaczanie informacji przeznaczonych do udostępniania publicznego Polityka Kwalifikowania Informacji powinna określać sposób oznaczania przynależności informacji go określonej grupy. W przypadku informacji udostępnianych publicznie dość rzadko stosuje się umieszczanie tego oznaczenia wewnątrz samej informacji (choć zdarzają się wyjątki np. IBM Disclosed Bulletin). Zarządzanie informacją wymaga jednak, aby towarzyszył jej dodatkowy rekord (metryczka) informacyjna zawierająca dane o: 1. Właścicielu informacji, 2. Zakwalifikowaniu informacji do grupy udostępnianych publicznie i ew. dodatkowych mechanizmach ochrony, 3. Okresie obowiązywania informacji, 4. Sposobie archiwizacji informacji lub o jej braku. Szczegółowy format takiego rekordu jest pozostawiony do decyzji organizacji i zazwyczaj uzależniony od wykorzystywanego systemu obiegu dokumentów. Wiele przykładów Polityki Kwalifikowania Informacji nie przewiduje co prawda obowiązku wprowadzania jakichkolwiek oznaczeń dla informacji udostępnianych publicznie, jest to jednak niekorzystne choćby z tego względu, że znajomość okresu ważności informacji znacznie ułatwia organizację usuwania nieaktualnych informacji z systemu (lub ich archiwizowanie) i tym samym zapobiega możliwym nieporozumieniom. Zarządzanie kopiami informacji udostępnianych publicznie Informacje zakwalifikowane do tej grupy mogą być powielane bez ograniczeń w dowolnej formie. Nie można więc zaliczyć do tej grupy utworów w rozumieniu Prawa Autorskiego, chyba, że właściciel tych praw dopuścił taką możliwość (np. odpowiednią licencją Creative Commons, licencją GPL lub inną licencją publiczną). Odpowiedzialność za zarządzanie kopią informacji (w szczególności za jej aktualność) spoczywa na odbiorcy informacji, który tą kopię wykonał. Dystrybucja informacji udostępnianych publicznie Nie podlega ograniczeniom, jeśli nie narusza ogólnych przepisów prawa. Usuwanie informacji udostępnianych publicznie Nie określa się żadnych dodatkowych wymagań w przypadku informacji w formie elektronicznej w postaci pliku wystarcza standardowe skasowanie go z wykorzystaniem standardowej funkcji systemu operacyjnego, nośniki zawierające informacje zakwalifikowane do tej grupy (papier, tworzywa sztuczne, urządzenia elektroniczne itp.) mogą być przekazywane do recyklingu. (C) Tomasz Barbaszewski str. 7 z 17

8 Informacje o istotnym znaczeniu dla Organizacji (do użytku wewnętrznego) Do tej grupy kwalifikowane są informacje o istotnym znaczeniu dla funkcjonowania Organizacji, do których dostęp powinny mieć jedynie osoby pozostające w związku prawnym z Organizacją (np. w stosunku zatrudnienia). Udostępnienie tych informacji osobom (zarówno fizycznym, jak i prawnym), które nie pozostają w takim związku wymaga formalnej autoryzacji i zgody osób zarządzających Organizacją. Ewentualne ujawnienie lub przejęcie informacji należących do tej grupy przez osoby nieuprawnione nie może skutkować ryzykiem poważnego zakłócenia działania Organizacji. Atrybuty jakości informacji zakwalifikowanych do tej określa się następująco: 1. Dostępność ograniczona do osób posiadających odpowiednie autoryzacje, dystrybucja informacji jedynie do osób uprawnionych, 2. Integralność weryfikacja integralności informacji jest obowiązkowa, 3. Poufność nie jest wymagana, lecz odbiorcy informacji są zobowiązani do ochrony otrzymywanych informacji należących do tej grupy. W grupie tej powinny się znaleźć wszelkie informacje niezbędne do sprawnego działania Organizacji obowiązujące procedury, zarządzenia, materiały szkoleniowe, okólniki, raporty, kontrakty i porozumienia z podmiotami zewnętrznymi, wewnętrzne listy mailingowe i książki telefoniczne, dokumentacje projektowe i wykonawcze, dokumenty wymieniane z innymi podmiotami (wydawane decyzje itp.), dane osobowe itp. Oznaczanie informacji Informacje o istotnym znaczeniu dla Organizacji powinny być wyraźnie oznaczone odpowiednią adnotacją np. Do użytku wewnętrznego. Oznaczenie to powinno być integralną częścią informacji (np. znajdować się w nagłówku informacji umieszczanym na każdej jej stronie). Niezależnie od umieszczenia odpowiedniego oznaczenia informacji powinna towarzyszyć opisana w poprzednim rozdziale metryczka informacyjna. Dodatkowe mechanizmy ochrony Właściciel informacji dokonuje klasyfikacji informacji, wprowadza odpowiednie jej oznaczenie oraz określa listę osób, którym informacja ma być udostępniona. Odbiorca informacji jest odpowiedzialny za odpowiednie zabezpieczenie informacji podczas jej przetwarzania oraz przechowywania, niezależnie od formy i nośnika, na którym informacja jest przechowywana. (C) Tomasz Barbaszewski str. 8 z 17

9 Zarządzanie kopiami Kopie informacji do użytku wewnętrznego mogą być wykonywane jedynie przez pracowników Organizacji lub przez współpracujące z nią podmioty, których upoważnieni przedstawicieli podpisali z Organizacją odpowiedni dokument o zachowaniu poufności (tak zwany NDA NonDisclosure Agreement). Kopia informacji do użytku wewnętrznego podlega takim samym zasadom ochrony jak jej oryginał. Dystrybucja informacji do użytku wewnętrznego Wewnątrz Organizacji: 1. w przypadku przekazywania informacji na nośniku należy go umieścić w odpowiedniej kopercie poczty wewnętrznej, 2. do dystrybucji w postaci elektronicznej dopuszczalne jest jedynie wykorzystywanie wewnętrznego systemu poczty elektronicznej wyposażonego w mechanizm zapobiegający przypadkowemu lub zamierzonemu wysłaniu informacji na adres zewnętrzny. Na zewnątrz Organizacji: 1. Na nośnikach odpowiednio zabezpieczony list polecony za potwierdzeniem odbioru lub przesyłka kurierska, 2. W postaci elektronicznej poczta elektroniczna wyposażona w działający mechanizm szyfrowania przesyłek. 3. Telefaxem pod warunkiem uwierzytelnienia numeru odbiorcy. Usuwanie informacji do użytku wewnętrznego Należy zastosować mechanizmy uniemożliwiające odzyskanie usuwanej informacji do użytku wewnętrznego. Informacja i wszystkie jej kopie muszą być bezwarunkowo usunięta po upływie terminu jej ważności lub na udokumentowane polecenie jej Właściciela. Za archiwizację informacji do użytku wewnętrznego odpowiada jej Właściciel. 1. Dokumenty w postaci papierowej należy użyć niszczarki dokumentów, 2. Dokumenty na nośnikach elektronicznych w przypadku wycofania nośnika (np. krążka CD/DVD) z dalszego użycia należy go przekazać to odpowiedniego działu (np. IT) w celu przeprowadzenia likwidacji. Nośniki, na których niemożliwe jest skasowanie danych (np. CD Read Only) należy przed przekazaniem uszkodzić fizycznie. Z nośników, na których możliwe jest kasowanie danych należy przed przekazaniem do likwidacji skasować wszelkie informacje stosując standardowe mechanizmy systemu operacyjnego (np. procedurę formatowania). (C) Tomasz Barbaszewski str. 9 z 17

10 3. Jeśli nośnik (np. komputer), na którym znajduje się informacja do użytku wewnętrznego podlegająca usunięciu będzie w dalszym ciągu wykorzystywany przez tego samego użytkownika należy skasować tą informację posługując się standardowymi mechanizmami systemu operacyjnego. W przypadku przekazywania nośnika (komputera, dysku przenośnego itp.) innemu użytkownikowi należy skasować wszelkie zawarte na nim informacje do użytku wewnętrznego i przekazać go wyznaczonemu działowi w celu zakończenia procedury kasowania zawartych na nim informacji. Informacje poufne Grupa informacji poufnych obejmuje informacje o kluczowym znaczeniu dla Organizacji. Do grupy tej należy kwalifikować wszelkie informacje, których ujawnienie nieuprawnionym osobom lub podmiotom może skutkować istotnym zakłóceniem działania Organizacji, niekorzystnymi konsekwencjami prawnymi, finansowymi lub technicznymi, naruszeniem własności intelektualnej itp. Grupa ta może obejmować np. wynagrodzenia pracowników, dane medyczne, dokumenty finansowe, opracowania działów rozwoju, dokumentacje techniczne, plany biznesowe itp. Nadzorowane atrybuty informacji poufnych: 1. Dostępność ograniczona jedynie do osób wyznaczonych przez Właściciela informacji. 2. Integralność ściśle kontrolowana z wykorzystaniem mechanizmów kryptograficznych (funkcje skrótu, podpisy cyfrowe, certyfikaty itp.). 3. Poufność wymagana. Informacja musi być szyfrowana lub skutecznie zabezpieczona w sposób fizyczny. Korzystanie z informacji jest dozwolone jedynie w pomieszczeniach, do których dostęp jest kontrolowany i w których nie mogą przebywać bez nadzoru osoby nieuprawnione. Oznaczanie informacji Musi być umieszczone przez Właściciela w sposób trwały na każdej stronie dokumentu i zawierać numer jego egzemplarza oraz liczbę sporządzonych egzemplarzy. Oznaczenie podlega kontroli integralności identycznej jak stosowana dla całego dokumentu. Dodatkowe mechanizmy ochrony Osoba sporządzająca dokument poufny w porozumieniu z jego Właścicielem jest odpowiedzialna za jego dystrybucję jedynie do osób umieszczonych na przygotowanej liście. Na liście dystrybucyjnej mogą być umieszczane jedynie osoby, a nie np. Działy Organizacji. Lista zawiera numer egzemplarza dokumentu, który został dostarczony danej osobie. Odbiorca informacji poufnej jest zobowiązany do potwierdzenia faktu jej otrzymania i może z niej korzystać jedynie w sposób gwarantujący zachowanie jej poufności oraz przechowywania informacji poufnej w taki sposób, aby żadne inne osoby nie mogły uzyskać do niej dostępu. (C) Tomasz Barbaszewski str. 10 z 17

11 Zarządzanie kopiami Kopiowanie informacji poufnej w jakikolwiek sposób jest zabronione. W przypadku konieczności uzyskania dodatkowego egzemplarza dokumentu lub przeniesienia go na inny nośnik wymagane jest każdorazowe uzyskanie zezwolenia Właściciela informacji, który dokona rejestruje ten fakt na liście dystrybucyjnej danej informacji. Dystrybucja informacji poufnej Wewnątrz Organizacji: 1. przekazanie nośnika z informacją umieszczonego w zamkniętej kopercie przez umyślnego pracownika, 2. W formie elektronicznej jedynie pod warunkiem wykorzystywania wewnętrznego systemu poczty elektronicznej skonfigurowanego w taki sposób, aby nie było możliwe dostarczanie poczty na adresy zewnętrzne. Wymagane jest obustronne uwierzytelnienie nadawcy i odbiorcy, zapewnienie integralności oraz szyfrowanie przesyłanych danych. Na zewnątrz Organizacji: 1. Na nośniku umieszczonym w zabezpieczonej przed otwarciem przesyłce poleconej za zwrotnym potwierdzeniem odbioru. 2. W formie przekazu elektronicznego jedynie pod warunkiem wykorzystywania bezpiecznego kanału komunikacyjnego (bezpiecznej wirtualnej sieci prywatnej w trybie tunelowania np. ESP IPSec). Usuwanie informacji poufnej Usuwanie informacji poufnej podlega podobnym procedurom, jak przewidziane dla informacji do użytku wewnętrznego pod warunkiem stosowania niszczarek dokumentów posiadających odpowiedni certyfikat. Nośniki typu Read Only (CD ROM, DVD ROM) muszą być zostać skutecznie zniszczone fizycznie. Z nośników umożliwiających zapis pliki zawierające informacje poufne należy usunąć stosując program realizujący wielokrotny zapis danych losowych (np. wipe, eraser lub podobne). Wycofywane lub przekazywane nośniki należy całkowicie skasować i przekazać do do działu IT. (C) Tomasz Barbaszewski str. 11 z 17

12 Uwagi końcowe Przedstawiona powyżej Polityka Kwalifikowania Informacji jest jedynie przykładem i powinna być dostosowana do potrzeb konkretnej Organizacji wynikających z przeprowadzonej analizy ryzyka. W wielu przypadkach wprowadzane jest pojęcie informacji niekwalifikowanej, która nie jest przedmiotem tej Polityki, a więc niejako pozostaje poza SZBI. Osobiście uważam takie rozwiązanie za nieprawidłowe, ponieważ nie istnieje informacja, która nie posiada żadnego (choćby wizerunkowego) znaczenia dla Organizacji. W organizacjach administracyjnych starannego potraktowania wymagają informacje udostępniane w ramach obowiązujących Biuletynach Informacji Publicznych. Są to informacje, które muszą być z mocy ustawy dostępne bez ograniczeń, jednak niewątpliwie muszą posiadać atrybut kontroli integralności. Z tego też względu wiele urzędów udostępnia te informacje w formie zeskanowanych dokumentów papierowych, przeciwko czemu protestują (i słusznie) organizacje pozarządowe, ponieważ przy sporządzaniu swych opinii pragnęłyby posługiwać się dokumentami w postaci edytowalnej. Wymagania dla poszczególnych grup informacji określane w Polityce Kwalifikowania Informacji powinny być również dostosowane do wymagań organizacji, a co najważniejsze nie powinny kolidować z wymaganiami aktów prawnych wyższego rzędu aby wymienić jedynie Ustawy o ochronie danych osobowych lub informacji niejawnych. Informacje chronione z mocy ustaw nie powinny pozostawać poza ustanawianym systemem zarządzania bezpieczeństwem informacji. Zakwalifikowanie aktywu informacyjnego jest podstawą do jego wyceny dla potrzeb analizy ryzyka na przykład: Klasyfikacja aktywu: Dostępność Integralność Poufność Wartość aktywu Informacja publiczna: Średnia - 2 Niska - 1 Brak Do użytku wewnętrznego Wysoka - 3 Średnia - 2 Średnia Informacja poufna Wysoka- 3 Wysoka - 3 Wysoka (C) Tomasz Barbaszewski str. 12 z 17

13 Ocena i szacowanie zagrożeń i podatności Pojęcia te są często błędnie interpretowane. Najlepiej posłużyć się przykładem komputer PC ze standardowym systemem operacyjnym, bez jakichkolwiek dodatkowych zabezpieczeń niewątpliwie charakteryzuje się wysokim poziomem podatności, jeśli jednak umieścimy go w klatce Faraday a, nie podłączymy do sieci komputerowej i powierzymy do użytkowania jednemu użytkownikowi to poziom zagrożenia należy ocenić jako bardzo niewielki. Odwrotnie, ten sam komputer wyposażony w zaawansowane programy zabezpieczające, lecz podłączony bezpośrednio do sieci Internet będzie charakteryzować się niskim poziomem podatności, lecz wysokim - zagrożenia. Oceny podatności i zagrożeń dokonujemy także zazwyczaj w skali trójstopniowej identycznie jak wartości aktywów. Ostatnim etapem jest oszacowanie prawdopodobieństwa wystąpienia niekorzystnego zdarzenia. Przypisujemy mu wagi liczbowe najczęściej od 1 (zdarzenie nie występuje lub jego prawdopodobieństwo jest znikome) do 5 (zdarzenie występuje często lub jest bardzo prawdopodobne). (C) Tomasz Barbaszewski str. 13 z 17

14 Przykładowy schemat analizy ryzyka: Inwentaryzacja aktywów Wycena wartości aktywów - W Identyfikacja zagrożeń i podatności Z i V Oszacowanie prawdopodobieństwa - P Ocena poziomu ryzyka R=W*Z*V Wpływ na działalność biznesową - B: 0 bez znaczenia... 5 średni katastrofalny Całkowite ryzyko = R*B Opracowany w ten sposób materiał jest podstawą do podjęcia decyzji biznesowych zaakceptowania ryzyka, podjęcia działań zmierzających do ograniczenia poziomu ryzyka i jego wpływu na działalność biznesową lub delegacji ryzyka. Ewentualne decyzje o wprowadzeniu dodatkowych zabezpieczeń lub podjęcie działań organizacyjnych zmierzających do ograniczenia wpływu ryzyka wymaga ponownego przeprowadzenia analizy ryzyka (cykl P-D-C-A). (C) Tomasz Barbaszewski str. 14 z 17

15 Analiza ryzyka jest bazą do przygotowania Planu Postępowania z Ryzykiem. Plan ten powinien zawierać: zestawienie zidentyfikowanych ryzyk, propozycje działań, które należy podjąć w związku ze zidentyfikowanym i ocenionym ryzykiem (wdrożenie zabezpieczeń, opracowanie odpowiednich procedur, wprowadzenie zmian organizacyjnych), zasoby, które są niezbędne do realizacji planu postępowania z ryzykiem, priorytety realizacji umieszczonych w planie działań, osoby odpowiedzialne za realizację działań przewidzianych w planie, proponowany harmonogram realizacji działań. Kolejnym dokumentem jest Deklaracja Stosowania. Dokument zawiera zestawienie powodów oraz celów wprowadzenia zabezpieczeń, a także opis samych zabezpieczeń. Deklaracja stosowania powinna również zawierać krótkie uzasadnienie merytoryczne wyboru określonych zabezpieczeń. Forma Deklaracji Stosowania może być dowolna, lecz w praktyce jest ona zdeterminowana wynikami analizy ryzyka: zidentyfikowane ryzyko wraz z jego oceną, cel wprowadzenia zabezpieczenia, wybór sposobu zabezpieczenia, opis zabezpieczenia wraz z uzasadnieniem, spodziewane efekty zastosowania zabezpieczeń. Powyższe dokumenty po ich opracowaniu są przedkładane Kierownictwu Organizacji w celu: akceptacji pozostawionych szczątkowych ryzyk, zatwierdzenia i wdrożenia Planu Postępowania z Ryzykiem. Akceptacja Planu Postępowania z Ryzykiem raz Deklaracji Stosowania kończy wstępny etap ustanawiania SZBI i umożliwia przystąpienie do opracowywania Programu Implementacji SZBI. Uwagi praktyczne Etap wstępny ustanawiania SZBI ma bardzo duże znaczenie dla powodzenia i szybkiego przeprowadzenia tego przedsięwzięcia. Nie jest to możliwe bez wsparcia Kierownictwa Organizacji. Należy jednak również zwrócić uwagę na uzyskanie zrozumienia dla podejmowanych działań przez pracowników zatrudnionych w Organizacji. Podczas spotkania z Kierownictwem warto zwrócić uwagę, że odpowiednia polityka informacyjna, ew. wspomagana krótkimi szkoleniami powinna być głównie nastawiona na wzmocnienie motywacji wewnętrznej pracowników i ich identyfikowania się z celami Organizacji, do którym należy również zarządzanie bezpieczeństwem informacji. Podejmowane podczas ustanawiania i wdrażania SZBI działania są niekiedy postrzegane jako ograniczenie swobody pracowników zwłaszcza dotyczy to pracowników o wyższej pozycji służbowej. Kształtowanie świadomości pracowników o znaczeniu aktywów informacyjnych w nowoczesnej Organizacji wpływa także bardzo korzystnie na ich efektywność. Wdrażanie SZBI jest znakomitą okazją do przekonania pracowników, że zarówno (C) Tomasz Barbaszewski str. 15 z 17

16 informacja, jak i środki techniczne wykorzystywane do jej dystrybucji, przetwarzania oraz przechowywania są powierzonymi im środkami produkcji i powinni dbać we własnym interesie o wykorzystywanie ich zgodnie z przeznaczeniem to znaczy do realizacji procesów biznesowych Organizacji. Ustanowienie SZBI wiąże się z wprowadzeniem szeregu procedur nie powinno się wymuszać ich stosowania postępowanie zgodnie z tymi procedurami powinno być dla pracownika naturalne i oczywiste. Tylko wówczas procedury (a tym samym zasady bezpieczeństwa informacji) nie będą omijane. Procedury powinny być więc w miarę proste i ściśle związane z zadaniami, które wykonuje pracownik. Związek pomiędzy procedurami bezpieczeństwa i możliwością sprawnej pracy powinien stać się dla każdego pracownika jasny i oczywisty. Dokumentowanie działań podczas ustanawianie SZBI Podczas wdrażania SZBI powstaja szereg dokumentów i zestawień. Najprawdopodobniej (cykl P-D-C-A) będą one podlegały korektom. Warto więc już podczas etapu wstępnego zadbać o właściwy i przejrzysty sposób zarządzania nimi. Każdy dokument, niezależnie od tego, czy będzie przechowywany w postaci klasycznej, czy elektronicznej powinien zawierać odpowiednią metryczkę informacyjną: Tytuł dokumentu: Identyfikator dokumentu: Wersja: Data opracowania: Klasyfikacja informacji: Opracował: Zatwierdził: Lista dystrybucyjna: Otrzymują: Cel przekazania: Lista zmian: Wersja Strona Data: Opis dokonanej zmiany: Wprowadził Zatwierdził (C) Tomasz Barbaszewski str. 16 z 17

17 Powyższa wersja jest oczywiście przykładowa. Jeśli Organizacja wykorzystuje system zarządzania dokumentami to oczywiście może być on stosowany także do dokumentów związanych z ustanawianiem SZBI. Rola konsultanta przy wdrażaniu SZBI Wbrew powszechnej opinii ustanowienie SZBI nie jest zadaniem zbyt trudnym jest jednak niewątpliwie zadaniem złożonym. Wiele Organizacji może się podjąć realizacji takiego projektu własnymi siłami, jednak należy sie liczyć z tym, że spowoduje to konieczność wyłączenia (lub przynajmniej ograniczenia) kilku pracowników z realizacji standardowych zadań. Dodatkowo brak dobrej znajomości procesu ustanawiania SZBI, niezbędnych dokumentów itp. powoduje, że ryzyko niepowodzenia audytu przedcertyfikacyjnego jest duże, a konieczność podejmowania wielu prób wydłuża czas realizacji projektu i oczywiście zwiększa jego koszty. Przeciwstawnym rozwiązaniem jest zaangażowanie specjalistycznej firmy konsultingowej. Nie należy jednak liczyć na to, że będzie ona w stanie dobrze wykonać swoje zadania bez codziennej współpracy z wieloma pracownikami Organizacji. Każda Organizacja ma bowiem swoją specyfikę oraz wypracowane sposoby działania i traktowania informacji. W dużych jednostkach przeprowadzenie pełnej i kompletnej inwentaryzacji aktywów oraz poprawne określenie ich wartości może się okazać wręcz niemożliwe. Oczywiście wiele niezbędnych do przystąpienia do ustanowienia SZBI danych jest dostępnych rutynowo w Organizacji (w działach Inwentaryzacji, Bezpieczeństwa, IT itp.) jednak moja praktyka wykazała, że niezbędna jest ich weryfikacja np. wiele posiadanych i zinwentaryzowanych licencji na wykorzystywanie oprogramowania nie jest faktycznie wykorzystywanych, na niektórych serwerach (np. WWW) jest wykorzystywane Wolne i Otwarte lecz nie jest to nigdzie zewidencjonowane (brak jest również wymaganej kopii licencji GPL), komputery osobiste bywają często wykorzystywane do innych zadań itp. Rzetelne przeprowadzenie inwentaryzacji aktywów nie jest w takiej sytuacji możliwe bez ścisłej współpracy z pracownikami Organizacji. Bardzo korzystnym rozwiązaniem, które znakomicie sprawdza się w praktyce jest nawiązanie współpracy z doświadczonym konsultantem, lecz pozostawienie części zadań w gestii pracownika organizacji. Pracownik ten powinien móc efektywnie współpracować z działami Organizacji oraz z konsultantem, którego zadaniem będzie wówczas przygotowywanie odpowiednich ankiet oraz zbiorcze opracowywanie danych. W ten sposób utrzymany zostaje dobry kontakt z pracownikami Organizacji i otrzymywane dane są poprawne i wiarygodne, a równocześnie dokumenty i procedury opracowywane w procesie ustanawiania SZBI odpowiadają wymaganiom formalnym. Wielu konsultantów współpracuje z jednostkami certyfikującymi i dzięki temu znają oni wymagania ich audytorów. Unika się dzięki temu przykrych niespodzianek i konieczności powtarzania audytów. Dodatkowo oddelegowany do współpracy z konsultantem pracownik zdobywa wiedzą praktyczną w zakresie ustanawiania i wdrażania SZBI i może pełnić funkcję audytora wewnętrznego. (C) Tomasz Barbaszewski str. 17 z 17