Zarządzanie bezpieczeństwem informacji w organizacji

Transkrypt

1 Mariusz Giemza 1 Zarządzanie bezpieczeństwem informacji w organizacji Wstęp Początek XXI wieku jest czasem wysokiego tempa rozwoju technik informatycznych, umożliwiających zgromadzenie w jednym fizycznym miejscu dużego zasobu danych. Właściwe wykorzystywanie i zachowanie tego zasobu staje się priorytetem w zarządzaniu organizacją. Opracowanie danych prowadzi do powstania informacji, która w wyniku tego procesu staje się wartością dla organizacji. Z tego powodu bezpieczeństwo informacji spotyka się z coraz większym zainteresowaniem ze strony wielu organizacji. Informacja traktowana jest też jako bardzo ważny element zasobów biznesowych, dlatego też zauważyć można wzrost działań mających na celu zabezpieczenia jej przed nieautoryzowanym dostępem, zmianami lub kradzieżą. Utrata lub udostępnienie informacji stanowiących tajemnicę lub wartość intelektualną lub handlową wiąże się z utratą reputacji, zakończeniem działalności na rynku, a nawet problemami natury prawnej. Z tego właśnie względu informację należy chronić oraz odpowiednio nią zarządzać. Organizacje zainteresowane wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji zmuszone są przeprowadzić dogłębną analizę swoich zasobów w celu określenia możliwych zagrożeń oraz podatności na te zagrożenia. Analiza ryzyka pozwala ustalić sposób, w jaki można wyeliminować (a przynajmniej zminimalizować) zagrożenia. Jeden ze słynnych na świecie hakerów Kevin Mitnick, w książce pod tytułem Łamałem ludzi nie hasła udowodnił, iż na bezpieczeństwo informacji należy spojrzeć z szerszej perspektywy, nie tylko technicznej, ale i społecznej. Z pomocą przychodzą liczne rozwiązania i narzędzia pozwalające w odpowiedni sposób zabezpieczyć organizację od strony sprzętowej, programowej czy systemowej. Wdrożenie konkretnych zabezpieczeń nie oznacza zapewnienia całkowitego bezpieczeństwa. Organizacja musi określić sposób przetwarzania informacji, monitorowania systemów przechowywania i przetwarzania informacji oraz przeprowadzać szkolenia mające na celu uświadamianie jej pracowników. W proces zapewnienia bezpieczeństwa zasobów informacyjnych powinni się włączyć wszyscy pracownicy (w tym, zgodnie z zasadami zarządzania jakością, najwyższe kierownictwo). W miarę konieczności w procesie tym winny brać udział też inne organizacje, które współpracują z daną organizacją posiadającą wdrożony SZBI. Zarządzanie bezpieczeństwem informacji musi uwzględniać także wymagania prawne obowiązujące w danym kraju. W Polsce do wymagań prawnych zalicza się przede wszystkim: 1. Ustawę z dnia 16 VI 1993 r. o zwalczaniu nieuczciwej konkurencji - art Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych art Ustawę z dn. 22 stycznia 1999 r. o ochronie informacji niejawnych art Ustawę z dnia 27 lipca 2007 r. o ochronie baz danych - art Ustawę z dnia 6 września 2001 r. o dostępie do informacji publicznej art Mariusz Giemza - dr inż., Katedra Zarządzania Jakością, Uniwersytet Ekonomiczny w Krakowie.

2 30 Mariusz Giemza Dokumenty te narzucają klasyfikację określonych rodzajów informacji. Charakteryzują również wymagania dotyczące oznaczania, przetwarzania i przechowywania danych (zarówno w formie papierowej, jak i elektronicznej). Nowoczesnym rozwiązaniem umożliwiającym w sposób kompleksowy zapewnienie bezpieczeństwa informacji w organizacji jest realizacja wymagań zamieszczonych w normie PN-ISO/IEC 27001:2007 (będąca wprowadzeniem ISO/IEC 27001:2005). Normy z rodziny ISO serii 9000 czy serii są z powodzeniem stosowane w wielu organizacjach, umożliwiają zarządzanie określonym aspekt funkcjonowania. Dlatego kolejna seria norm ISO/IEC o numerze umożliwia opracowanie, wdrożenie i rozwijanie SZBI organizacji. Charakterystyka norm ISO/IEC serii Grupa norm ISO/IEC serii jest najnowszą rodziną norm. Część norm jestjuż opublikowana, natomiast część pozostaje jeszcze w opracowaniu. Dotychc opublikowano następujące normy: 1. ISO/IEC 27000:2009 Information technology - Security techniques - Information security management systems - Overview and vocabulary. W normie mieszczono ogólne informacje dotyczące SZBI, przedstawiono pojęcia i definicje stosowane w SZBI, opisano cykl PDCA w kontekście zapewnienia bezpieczeństwa informacji. 2. PN-ISO/IEC 27001: Technika informatyczna - Techniki bezpieczeństwa - Systemy Zarządzania Bezpieczeństwem Informacji - Wymagania - norma została opublikowana w listopadzie 2005 r. Zastąpiła istniejącą już normę BS :2002, jej celem jest również uzupełnienie normy ISO/IEC 17799:2005 (Standard ma zapewnić specyfikację dla SZBI w organizacji, a także umożliwić przeprowadzenie auditu i certyfikacji. W normie zastosowano podejście procesowe, system jest dostosowany do integracji wymagań norm ISO 9001:2 oraz ISO 14001: ISO/IEC 27002:2005 Information technology - Security techniąues Code of practice for information security management. W normie zamieszczono najlepsze praktyki dotyczące nadzoru obszarów zarządzania bezpieczeństwem informacji w organizacji, takich jak: - polityka bezpieczeństwa, - organizacja ochrony informacji, - zarządzanie aktywami, - bezpieczeństwo zasobów ludzkich, - fizyczne i środowiskowe bezpieczeństwo, - komunikacja i zarządzanie operacji, - kontrola dostępu, - nabywanie systemów informacyjnych, rozwój i utrzymanie, - zarządzanie przypadkami ochrony informacji, - zarządzanie współpracą z klientem. 4. ISO/IEC 27005:2008 Information technology - Security techniąues - Information security risk management. W normie zawarto informacje dotyczące technik

3 Zarządzanie bezpieczeństwem informacji w organizacji 31 pozwalających na zarządzanie ryzykiem, które mogłoby doprowadzić do naruszenia bezpieczeństwa informacji. 5. PN-ISO/IEC 27006: Technika informatyczna - Techniki bezpieczeństwa - Wymagania dla jednostek prowadzących audit i certyfikację Systemów Zarzą dzania Bezpieczeństwem Informacji. W normie przedstawiono wymagania i podano wytyczne dla jednostek prowadzących audit i certyfikację SZBI jako uzupełnienie wymagań zawartych w 1SO/IEC i ISO/IEC ISO/IEC 27011:2008 Information technology - Security techniques - Informa tion security management guidelines for telecommunications organizations based on ISO/IEC W normie zamieszczono wytyczne do wprowadzenia SZBI dla organizacji z sektora telekomunikacji. 7. PN-ISO/IEC 27799: Informatyka w ochronie zdrowia - Wytyczne w zakresie wprowadzenia normy ISO/IEC w sektorze medycznym - norma jest dokumentem opracowanym na potrzeby instytucji branży medycznej, opisuje możliwości wprowadzania systemu ochrony informacji poprzez wdrożenie wymagań normy ISO/IEC Dotychczas opracowane normy ISO serii są spójne z pozostałymi systemami zarządzania wdrażanymi w organizacjach (ISO 9001:2008 oraz ISO 14001:2005). Opracowanie wszystkich norm z rodziny standardów ISO serii pozwoli w odpowiedni sposób podchodzić do kwestii bezpieczeństwem informacji w każdej organizacji. Do norm pozostających w opracowaniu zalicza się natomiast normy 2 : 1. ISO/IEC Technika informatyczna Techniki bezpieczeństwa - Prak tyczne zasady zarządzania bezpieczeństwem informacji - norma zawierać bę dzie wskazówki dotyczące tworzenia, wdrażania Systemu Zarządzania Bezpie czeństwem Informacji. 2. ISO/IEC Technika informatyczna - Techniki bezpieczeństwa - Wskaź niki i pomiar w bezpieczeństwie informacji - znaleźć się w niej mają zagadnie nia związane z mierzeniem i raportowaniem efektywności SZBI w odniesieniu zarówno do samego procesu zarządzania bezpieczeństwem, jak i poszczegól nych zabezpieczeń. 3. ISO/IEC Technika informatyczna Techniki bezpieczeństwa - Wy tyczne do auditów Systemów Zarządzania Bezpieczeństwem Informacji - w normie zostaną zdefiniowane dobre praktyki dla przeprowadzania auditów wewnętrznych i certyfikacyjnych SZBI. 4. ISO/IEC Technika informatyczna - Techniki bezpieczeństwa - Goto wość ICT do ciągłości działania - norma będzie dotyczyć ciągłości działania. 5. ISO/IEC Technika informatyczna - Techniki bezpieczeństwa - Wy tyczne w zakresie cyberbezpieczeństwa - sugerowana nazwa normy jest propo zycją dla opracowania standardu dotyczącego bezpieczeństwa w Internecie. 6. ISO/IEC norma jest propozycją zastąpienia istniejącej normy ISO/IEC 18028:2006 dotyczącej bezpieczeństwa sieci teleinformatycznych. Składać się ma z siedmiu norm: 2

4 32 Mariusz Giemza ISO/IEC l - Information technology Security techniques - Network security Guidelines for network security, - ISO/IEC Information technology - Security techniques - Network security - Guidelines for design and implementation of network, - ISO/IEC IT network security - Reference networking scenarios - Risks, design, technologies and control issues, - ISO/IEC IT network security Security network information with network security getaways - Risks, design techniąues and control issues, - ISO/IEC IT network security - Secure remote access - Risks, design techniąues and control issues, ISO/IEC IT network security - Securing Communications across networks using Virtual Private Networks, - ISO/IEC IT network security - Guidelines for the design and im plementation of network security. 7. ISO/IEC Technika informatyczna - Techniki bezpieczeństwa - Wytyczne w zakresie bezpieczeństwa aplikacji. Budowa systemu zarządzania bezpieczeństwem informacji Informacja traktowana jest jako kluczowy towar, któremu przypisuje się odpowiednią wartość, przydatność i znaczenie. Określenie jej wartości jest niezmiernie istotne dla każdego rodzaju organizacji 3. Fakt ten determinuje podejmowanie działań mających na celu zabezpieczenie istotnych dla funkcjonowania informacji przed jakimkolwiek nieautoryzowanym dostępem. Aby ochrona informacji była skuteczna i przynosiła jak najwięcej korzyści, musi być odpowiednio zarządzana. Z tego właśnie względu wiele organizacji wdraża lub deklaruje konieczność wdrożenia SZBI opracowanego na bazie wymagań norm ISO/IEC 27001:2005 oraz ISO/IEC 27002:2005. W normach tych określono wymagania dotyczące ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia udokumentowanego SZBI w kontekście ryzyka, szczególnie ryzyka związanego z prowadzeniem działalności gospodarczej. W normie PN-ISO/IEC 27001:2007 zamieszczono wymagania Systemu Zarządzania Bezpieczeństwem Informacji. Coraz częściej posiadanie certyfikatu na zgodność z tą normą jest podstawowym wymogiem, który organizacja musi spełnić zawierając kontrakty z partnerami handlowymi. Wprowadzenie takiego systemu powinno mieć charakter strategiczny (biorąc pod uwagę potrzeby i cele biznesowe, wymagania bezpieczeństwa, realizowane procesy w organizacji oraz jej wielkość i strukturę organizacyjną). System jest tak zaprojektowany, aby uzyskać zaufanie zainteresowanych stron, a także po to, aby zapewnić odpowiednie zabezpieczenia chroniące aktywa informacyjne. Podobnie jak w innych normach ISO, dotyczących systemów zarządzania w organizacjach, zaleca się stosowanie podejścia procesowe- T. Humphreys, ISMS users welcome ISO/IEC the new international benchmark, ISO Management Systems, March - April 2006, s. 9. P. Mąkosa, System zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001: Wprowadzenie, ABC Jakości. Akredytacja. Badania. Certyfikacja. Quality Review, 2007, nr 1-2, s. 19.

5 Zarządzanie bezpieczeństwem informacji w organizacji 33 go w celu ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia SZBI. Rysunek l. Model PDCA stosowany w procesach SZBI Źródło: PN-ISO/IEC 27001:2007, s. 7. Poszczególne etapy tego procesu opisane są następująco : 1. Plan (planuj) - jest to etap, w trakcie którego następuje ustanowienie polityki SZBI, celów, procesów, a także procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji, tak aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji. 2. Do (wykonaj) - na tym etapie następuje wdrożenie i realizacja polityki SZBI, zabezpieczeń, procesów oraz procedur. 3. Check (sprawdź) - etap ten obejmuje szacowanie oraz pomiar wydajności pro cesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie kierownictwu raportów do przeglądu. 4. Act (działaj) - następuje podejmowanie działań korygujących i zapobiegaw czych w oparciu o wyniki wewnętrznego auditu SZBI przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłe go doskonalenia SZBI. Zastosowanie tego modelu odzwierciedla również zasady określone w zaleceniach OECD (Organisation for Economic Co-operatlon and Development) dotyczące bezpieczeństwa sieci i systemów teleinformatycznych. Zasady te są następujące: świadomość uczestników, odpowiedzialność uczestników, reakcja uczestników, szacowanie ryzyka, opracowanie i wdrożenie bezpieczeństwa, zarządzanie bezpieczeństwem, powtórne szacowanie. 5 PN-ISO/IEC 27001:2007: Technika informatyczna - Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji - Wymagania, s. 7.

6 34 Mariusz Giemza Norma PN-ISO/IEC 27001:2007 została zaprojektowana w taki sposób, aby umożliwić każdej organizacji dopasowanie się do zawartych w normie wymagań lub też zintegrowanie SZBI z istniejącymi lub projektowanymi systemami zarządzania, na przykład z ISO 9001:2008 i/lub ISO 14001:2004 (w rozdziale O, punkt 0.3 jest zapis: niniejszą Normę Międzynarodową dostosowano do ISO 9001:2000 i ISO 14001:2004, aby wspierać jej spójne i zintegrowane wdrażanie i eksploatację wraz z innymi normami dotyczącymi zarządzania. Jeden odpowiednio zaprojektowany system zarządzania może zatem spełnić wymagania wszystkich norm" 6. Norma składa się z części podstawowej oraz trzech załączników. Część podstawowa definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi auditami, przeglądami oraz ciągłym doskonaleniem SZBI. W załącznikach zawarto następujące informacje : 1. Załącznik A - zamieszczono cele stosowania zabezpieczeń i zabezpieczenia, załącznik dotyczy rozdziału 4 normy, punkty od A.5 do A Załącznik B przedstawiono zasady OECD dotyczących bezpieczeństwa telein formatycznego i powiązano z fazami modelu PDCA. 3. Załącznik C zawiera powiązania ISO 9001, ISO z normą PN-ISO/IEC 27001:2007, wykazano powiązania pomiędzy poszczególnymi punktami wy mienionych norm. Wymagania PN-ISO/IEC 27001:2007 normy nie narzucają rodzaju nośnika informacji, na którym ma być utrwalony ustanowiony SZBI wymagania odnoszą się zarówno do informacji zapisanej w formie pisemnej jak i przechowywanej na nośnikach elektronicznych. Z oczywistych względów zakres dostępu do odpowiednich zasobów informacji, szczególnie gdy system jest w postaci elektronicznej, zależny jest od hierarchii stanowiska osoby zainteresowanej. W rozdziale 4.1. normy zamieszczono wymaganie, iż organizacja powinna ustanowić, wdrożyć, eksploatować, monitorować, przeglądać, utrzymywać i stale doskonalić udokumentowany SZBI w kontekście prowadzonej działalności i ryzyka występującego w organizacji" 8. Podstawą tego procesu jest model PDCA (rysunek 1.). Działania przedstawione w tym modelu określają najistotniejsze cechy Systemu Zarządzania Bezpieczeństwem Informacji 9 : decyzje podejmowane są na podstawie jasno określonych danych wejściowych, elementem systemu jest zdolność samoistnej naprawy SZBI. Poszczególne etapy modelu zostały opisane w rozdziale 4.2 normy, w którym przedstawiono działania, jakie organizacja powinna podjąć na każdym z etapów. Wszystkie te działania są wymagane przez normę w celu kompletnego wdrożenia SZBI w organizacji. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji Wdrożenie Systemu Zarządzania Bezpieczeństwa Informacji rozpoczyna się od zdefiniowania zakresu i granic systemu (uwzględniając profil prowadzonej działal- 6 ibidem, s ibidem, s ibidem, s P. Mąkosa, op. cit., s

7 Zarządzanie bezpieczeństwem informacji w organizacji 35 ności, organizację, aktywa i technologie). Kolejnym etapem jest opracowanie Polityki SZBI, czyli dokumentu wyznaczającego kierunek działania w zakresie bezpieczeństwa informacji w organizacji. Powinna zawierać także kryteria zarządzania ryzykiem w organizacji oraz metody i techniki wykorzystywane podczas analizy i zarządzania ryzykiem. Ważne jest, aby proces zarządzania ryzykiem (a także analiza ryzyka) był ciągle doskonalony zgodnie z założeniami modelu cyklu PDCA. Wymagania normy nakładają na organizację obowiązek zdefiniowania i opisania tego procesu oraz wyznaczania kryteriów akceptowania ryzyka. Ogólnie metody stosowane do oceny ryzyka dzielą się na 10 : 1. Metody jakościowe (qualitative) - wyniki uzyskuje się w postaci określeń typu: ryzyko większe niż..., podobne jak..., proces analizy związków przyczynowo- -skutkowych jest dość szczegółowy. 2. Metody ilościowe (quantitative) - wyniki analizy uzyskuje się w konkretnych jednostkach miary, zwykle w kwotach pieniężnych, powstałych z pomnożenia wielkości prawdopodobieństwa niekorzystnego zdarzenia i potencjalnych strat; prawdopodobieństwo pełni rolę współczynnika wagowego. Zakończeniem ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji jest dokumentacja wdrożonego systemu, która powinna zawierać: udokumentowane cele polityki i deklaracje, zakres systemu, zabezpieczenia i procedury wspomagające system, opis metod szacowania ryzyka, plan postępowania z ryzykiem, udokumentowane procedury potrzebne do zapewnienia skutecznego planowania, eksploatacji i sterowania procesami bezpieczeństwa informacji oraz pomiaru skuteczności zabezpieczeń, zapisy wymagane przez normę PN-ISO/IEC 27001:2007, deklarację stosowania (która dostarcza podsumowania dotyczącego postępowa nia z ryzykiem ). Każdy ustanowiony i wdrożony System Zarządzania Bezpieczeństwem Informacji powinien zawierać odniesienie do wymagań normy w udokumentowanych procedurach (zdefiniowanych, udokumentowanych, wdrożonych i utrzymywanych) określonych w normie. Ostatnim etapem ustanowienia systemu jest zaakceptowanie go przez najwyższe kierownictwo. Chodzi przede wszystkim o akceptację ryzyka szczątkowego oraz wydanie rozporządzeń wewnętrznych, które umożliwiają wdrożenie ustanowionego Systemu Zarządzania Bezpieczeństwem Informacji. Kwestii zaangażowania kierownictwa poświęcono osobny rozdział normy (Rozdział 5 - Odpowiedzialność kierownictwa). W rozdziale tym zamieszczono wymaganie, w myśl którego kierownictwo powinno być zaangażowane w ustanowienie, wdrożenie, eksploatację, monitorowanie, przegląd, utrzymanie i doskonalenie systemu poprzez: ustanowienie Polityki Bezpieczeństwa Informacji, 10 A. Białas, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, Warszawa 2006, s.76.

8 36 Mariusz Giemza zapewnienie, że cele i plany systemu zostały ustanowione, określenie ról i zakresów odpowiedzialności dotyczących bezpieczeństwa infor macji, informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informa cji i zgodności z Polityką Bezpieczeństwa Informacji, a także odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia, zapewnienie zasobów do ustanowienia, wdrażania, eksploatacji, monitorowania, przeglądania, utrzymywania i doskonalenia systemu (zasoby potrzebne do zapewnienia, że procedury bezpieczeństwa informacji wspierają działania bizne sowe, identyfikacji i odniesienia się do wymagań prawnych i nadzoru oraz zobowiązań wynikających z umów, utrzymywania odpowiedniego bezpieczeń stwa poprzez zastosowanie wszystkich wdrażanych zabezpieczeń, przeprowa dzania przeglądów oraz poprawy skuteczności systemu), podejmowanie decyzji dotyczących akceptacji ryzyka i jego akceptowalnego poziomu, zapewnienie przeprowadzania auditów wewnętrznych, przeprowadzanie przeglądów systemu realizowanych przez kierownictwo. Wdrożenie i eksploatacja Systemu Zarządzania Bezpieczeństwem Informacji Na tym etapie następuje przygotowanie planu postępowania z ryzykiem, który określa odpowiednie działania kierownictwa, zakresy odpowiedzialności i priorytety dla zarządzania ryzykiem związanym z bezpieczeństwem informacji. Niezbędne jest wdrożenie zabezpieczeń, które zostały wybrane na etapie ustanawiania SZBI. Przede wszystkim należy jednak wdrożyć procedury zapewniające sprawne działanie całego systemu, a więc procedury i zabezpieczenia z zakresu zarządzania ryzykiem, eksploatacją i zasobami oraz ze zdolnością do możliwie najszybszego wykrycia przypadków związanych z naruszeniem bezpieczeństwa i podjęcia odpowiednich działań. Ponadto organizacja ma obowiązek zapewnić, że personel mający przypisane zakresy odpowiedzialności posiada kompetencje do realizacji wymaganych zadań poprzez: określenie koniecznych kompetencji, które mają wpływ na SZBI, zapewnienie odpowiednich szkoleń lub podjęcie innych działań mających na celu realizację tych potrzeb, ocenę skuteczności zapewnionego szkolenia i podjętych działań, prowadzenie zapisów dotyczących edukacji, umiejętności, szkolenia, doświad czenia i kwalifikacji. Świadomość funkcjonowania systemu w organizacji jest czynnikiem bardzo ważnym, dlatego na szkoleniach zasady jego działania powinny zostać przedstawione w sposób jasny i zrozumiały, tak aby wszyscy pracownicy poprawnie je interpretowali. Ważna jest rola najwyższego kierownictwa, które powinno wykazywać postawę pełnej akceptacji wdrażanego SZBI. Szkolenia powinny być prowadzone okresowo oraz stanowić element szkoleń wewnętrznych dla nowych pracowników. Monitorowanie i przegląd Systemu Zarządzania Bezpieczeństwem Informacji Jedną z najważniejszych cech SZBI jest zdolność samoistnego doskonalenia. Aby mogło to nastąpić, już na etapie przygotowywania systemu należy przewidzieć

9 Zarządzanie bezpieczeństwem informacji w organizacji 37 mechanizmy, które będą odpowiedzialne za reagowanie na błędy systemu oraz incydenty związane z bezpieczeństwem informacji w organizacji, a także procedury okresowych przeglądów systemu. Wdrożone procesy muszą być inicjowane nie tylko w czasie, gdy zaistnieje sytuacja wymagająca ich zastosowania, ale również w przypadku, gdy istnieje prawdopodobieństwo wystąpienia niepożądanej sytuacji. Działania zapobiegawcze świadczą o prawidłowym zaprojektowaniu mechanizmów służących ciągłemu doskonaleniu systemu (opracowanie okresowych działań lub narzędzi monitorujących służy ciągłemu doskonaleniu poprzez dostarczanie danych wejściowych, których analiza pozwala na podjęcie odpowiednich decyzji w celu doskonalenia systemu). Podstawowymi narzędziami służącymi do monitorowania SZBI są: regularne przeglądy skuteczności systemu (w tym zgodności z polityką i celami systemu oraz przeglądami zabezpieczeń), wykonywane na podstawie wyników auditów bezpieczeństwa, incydentów, rezultatów pomiarów skuteczności, sugestii oraz informacji zwrotnych od wszystkich zainteresowanych stron, przeglądy szacowania ryzyka w zaplanowanych odstępach czasu, przeglądy ryzyka szczątkowego oraz przeglądy poziomów ryzyka akceptowalnego (biorąc pod uwagę zmiany zachodzące w organizacji, technologii, celów biznesowych i procesów, zidentyfikowanych zagrożeń, skuteczności wdrożonych zabezpie czeń oraz zewnętrznych zdarzeń), audity wewnętrzne systemu w zaplanowanych odstępach czasu (wykonywanych przez organizację lub w jej imieniu na potrzeby wewnętrzne), przeglądy systemu realizowane przez kierownictwo (w celu zapewnienia, że zakres jest odpowiedni oraz udoskonalenia procesu SZBI są zidentyfikowane), uaktualnianie planów bezpieczeństwa (na podstawie wyników monitorowania i przeglądów działalności), rejestrowanie działań i zdarzeń mogących mieć wpływ na skuteczność lub wydajność realizacji systemu. Utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji Mając opracowane i wdrożone procedury dotyczące reagowania na błędy, incydenty oraz niezgodności, wykryte podczas przeglądu SZBI muszą skutkować podjęciem odpowiednich działań korygujących lub zapobiegawczych. Zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007 wszystkie procedury działań zapobiegawczych powinny być udokumentowane. W normie zamieszczono zapis, że należy również wyciągać wnioski z doświadczeń w dziedzinie bezpieczeństwa informacji, nie tylko własnych, ale także innych organizacji (pkt 4.2.4). Działania zapobiegawcze są istotnym elementem świadczącym o prawidłowym zrozumieniu funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji. Powinny usuwać zarówno przyczynę szkody, jak i jej skutki. Obowiązkiem organizacji jest wdrażanie do systemu wszystkich udoskonaleń oraz zapewnienie, że osiągną one zamierzone cele. Podsumowanie Funkcjonowanie i rozwój większości organizacji uzależnione jest od ciągłego dostępu do określonych informacji. Utrata integralności i poufności informacji może

10 38 Mariusz Giemza spowodować straty finansowe, konsekwencje prawne, a także wpłynąć na wizerunek organizacji. Może również przesądzić ojej istnieniu na rynku. Najważniejszym powodem wdrażania w organizacji systemu opartego na normie PN-ISO/IEC 27001:2007 jest zapewnienie możliwie jak najwyższego poziomu bezpieczeństwa informacji. System Zarządzania Bezpieczeństwem Informacji dotyczy nie tylko wszystkich procesów przebiegających w organizacji, ale także ludzi w niej zatrudnionych (od pracowników najniższego szczebla aż do najwyższego kierownictwa) oraz współpracujących organizacji i klientów. Ważne są wszystkie obszary bezpieczeństwa - osobowe, prawne i fizyczne. Jak każdy normatywny system zarządzania winien być poddany procesowi certyfikacji. Certyfikowany system jest dowodem rzetelnego podejścia pracowników do zagadnienia bezpieczeństwa informacji. Przynosi także organizacji wiele korzyści, np. obniżenie kosztów działania i zwiększenie wydajności, uświadomienie ryzyka związanego z bezpieczeństwem, ochronę samej organizacji, uruchomienie brakujących procesów, powiększenie grona klientów, uzyskanie przewagi nad konkurencją czy też satysfakcja klientów, co w konsekwencji przekłada się na korzyści materialne. Certyfikowany System Zarządzania Bezpieczeństwem Informacji może właściwie zabezpieczyć organizację przed utratą, kradzieżą czy podmianą informacji oraz skutkami tych zdarzeń. Wdrażanie takich systemów ma kluczowe znaczenie dla organizacji i jej wizerunku. Literatura [1] Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, Warszawa [2] Humphreys T., ISMS users welcome ISO/IEC the new International benchmark, ISO Management Systems, March-April [3] Mąkosa P., System zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001: Wprowadzenie, ABC Jakości. Akredytacja. Badania. Certyfikacja. Quality Review 2007, nr 1-2. [4] Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, Dz.U. 1993, nr 47,poz [5] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. 1997, nr 133, poz [6] Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Dz.U. 1999, nr 11, poz. 95. [7] Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych, Dz.U. 2001, nr 128, poz [8] Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej, Dz.U. 2001, nr 112, poz [9] Źródło internetowe: