Zarządzanie bezpieczeństwem a polityka bezpieczeństwa systemu informatycznego w przedsiębiorstwie



Podobne dokumenty
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Krzysztof Świtała WPiA UKSW

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Promotor: dr inż. Krzysztof Różanowski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Strategie analizy ryzyka w opracowywaniu polityki bezpieczeństwa systemu informatycznego

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Informatyka w kontroli i audycie

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Maciej Byczkowski ENSI 2017 ENSI 2017

Polityka bezpieczeństwa informacji instytucji

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Bezpieczeństwo informacji. jak i co chronimy

Normalizacja dla bezpieczeństwa informacyjnego

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Zdrowe podejście do informacji

Mariusz Nowak Instytut Informatyki Politechnika Poznańska

5. Planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy

Ochrona danych i bezpieczeństwo informacji

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Imed El Fray Włodzimierz Chocianowicz

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Recenzja rozprawy doktorskiej mgr Bartosza Rymkiewicza pt. Społeczna odpowiedzialność biznesu a dokonania przedsiębiorstwa

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Szkolenie otwarte 2016 r.

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Proces zarządzania bezpieczeństwem systemu informatycznego w przedsiębiorstwie

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Standard ISO 9001:2015

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Badania rynku turystycznego

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

SZCZEGÓŁOWY HARMONOGRAM KURSU

Zarządzanie bezpieczeństwem informacji w urzędach pracy

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

PRELEGENT Przemek Frańczak Członek SIODO

BAKER TILLY POLAND CONSULTING

Przedszkole Nr 30 - Śródmieście

Kultura usługowa i jej znaczenie dla relacji biznes - IT

Współczesna Gospodarka

osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Kompleksowe Przygotowanie do Egzaminu CISMP

Narzędzia Informatyki w biznesie

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

ISO bezpieczeństwo informacji w organizacji

Zarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej. Maciej Urbaniak.

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

POLITYKA BEZPIECZEŃSTWA

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Kryteria oceny Systemu Kontroli Zarządczej

Szkolenie Ochrona Danych Osobowych ODO-01

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Transkrypt:

Zeszyty Naukowe nr 798 Uniwersytetu Ekonomicznego w Krakowie 2009 Katedra Informatyki Zarządzanie bezpieczeństwem a polityka bezpieczeństwa systemu informatycznego w przedsiębiorstwie Streszczenie. Artykuł poświęcony jest trudnościom, które powstają podczas definiowania terminów bezpieczeństwo systemów informatycznych, zarządzanie bezpieczeństwem i polityka bezpieczeństwa SI. Autor dokonał przeglądu licznych publikacji, norm i standardów z zakresu bezpieczeństwa systemów informatycznych i przedstawił rozbieżności terminologiczne występujące pomiędzy wspomnianymi pojęciami oraz podjął próbę wyjaśnienia przyczyn ich powstania. Ponadto w artykule zaprezentowane zostały definicje tych pojęć zgodne z przyjętymi międzynarodowymi standardami i światową praktyką. Słowa kluczowe: bezpieczeństwo systemów informatycznych, zarządzanie bezpieczeństwem systemów informatycznych, polityka bezpieczeństwa 1. Wprowadzenie Na całym świecie wraz z rozwojem i upowszechnieniem się systemów informatycznych (SI) zagadnienia związane z zapewnieniem ich bezpieczeństwa nabrały niekwestionowanego znaczenia. Polska nie jest tutaj wyjątkiem rodzime przedsiębiorstwa, zmuszone do utrzymania odpowiedniego poziomu bezpieczeństwa w swoich systemach informatycznych, zgłaszają zapotrzebowanie na wszelkie informacje i usługi z tym związane. Naturalną odpowiedzią na rosnące zapotrzebowanie rynku jest pojawienie się licznych publikacji (książek, wytycznych, artykułów itp.) oraz świadczenie przez firmy informatyczne usług z zakresu bezpieczeństwa komputerowego (m.in. w obszarze audytu bezpieczeństwa SI,

86 doradztwa, projektowania i wdrażania zabezpieczeń itp.). Ogromna liczba publikacji oraz usług świadczonych przez liczne firmy informatyczne może sprawiać wrażenie, że na polskim rynku problematyka bezpieczeństwa jest ściśle określona i doskonale znana. Tymczasem okazuje się, że już na etapie definiowania problemu i zakresu działań pojawiają się pewne trudności i niezgodności pojęciowe. Kierownictwa przedsiębiorstw, studiując publikacje z zakresu bezpieczeństwa systemów informatycznych lub oczekując od specjalistycznych firm konkretnej pomocy, niejednokrotnie natrafiają na nieścisłości związane z postrzeganiem i nazywaniem poszczególnych, często elementarnych, zjawisk i działań. Już na początku trudność sprawia zdefiniowanie samego bezpieczeństwa systemu informatycznego. Jednak największe nieścisłości związane są z pojęciem polityki bezpieczeństwa oraz zarządzania bezpieczeństwem. Mimo że wskazane problemy mogą wydawać się czysto teoretyczne i łatwe do rozwiązania poprzez dobór odpowiedniej nomenklatury, w praktyce stwarzają niemałe trudności (np. jeżeli przedsiębiorstwo korzysta z usług różnych firm doradczych, które inaczej definiują zagadnienie bezpieczeństwa i w odmienny sposób postrzegają proces jego osiągnięcia). Dlatego właśnie celem niniejszego artykułu jest zwrócenie uwagi na pewne trudności w definiowaniu wspomnianych pojęć oraz rozbieżności terminologiczne występujące pomiędzy nimi. Autor dokonał przeglądu licznych publikacji, norm i standardów z zakresu bezpieczeństwa systemów informatycznych, porównał występujące tam definicje poszczególnych terminów (ze szczególnym zwróceniem uwagi na rozbieżności między nimi) oraz podjął się próby wyjaśnienia przyczyn powstania tych różnic. Ponadto przedstawił znaczenie omawianych pojęć zgodne z przyjętymi obecnie międzynarodowymi standardami i światową praktyką. 2. Pojęcie bezpieczeństwa systemu informatycznego Bezpieczeństwo, mimo że wydaje się powszechnie zrozumiałe, w rzeczywistości należy do sfery subiektywnych odczuć i może być postrzegane w różny sposób. W Słowniku języka polskiego [Słownik 2002] określa się je jako stan niezagrożenia, spokoju, pewności. Zgodnie z innym słownikiem [Smolski i in. 1999] bezpieczeństwo to pojęcie trudne do zdefiniowania. Sytuacja, w której istnieją formalne, instytucjonalne, praktyczne gwarancje ochrony. W terminologii informatycznej także można znaleźć różne definicje bezpieczeństwa, np.:

Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 87 bezpieczeństwo to miara zaufania, że system i jego dane pozostaną nienaruszone 1 [Adamczewski 2000], bezpieczeństwo komputerowe to stan, w którym komputer jest bezpieczny, tzn. jego użytkownik może na nim polegać, a zainstalowane oprogramowanie działa zgodnie ze stawianymi mu oczekiwaniami [Garfinkel i Spafford 1997], bezpieczeństwo systemów informatycznych polega na ochronie informacji, systemów lub usług przed katastrofami, błędami i manipulacjami, a także na minimalizowaniu prawdopodobieństwa i skutków wystąpienia przypadków naruszenia bezpieczeństwa oraz sprowadza się do zachowania poufności, integralności i dostępności zasobów i usług systemu [Boran 1999]. Traktowanie bezpieczeństwa jako stanu, w którym jego pewne właściwości (tzw. atrybuty bezpieczeństwa) są zachowane, staje się coraz bardziej powszechne. Już w 1992 r. Organizacja Rozwoju i Współpracy Gospodarczej (OECD) w swoich Wytycznych w sprawie bezpieczeństwa systemów informacyjnych określiła i zdefiniowała podstawowe atrybuty bezpieczeństwa systemu takie jak dostępność, poufność i integralność [Adamski 1998]. W 1996 r. Międzynarodowa Organizacja Normalizacyjna (ISO) w raporcie technicznym ISO/IEC TR 13335 uzupełniła listę atrybutów o trzy kolejne rozliczalność, autentyczność i niezawodność [PN-I-13335-1] 2, ponieważ wg ISO zachowanie tylko poufności, integralności i dostępności jest niewystarczające do zapewnienia bezpieczeństwa systemów informatycznych. Wystarczają one jednak do zapewnienia bezpieczeństwa informacji (zob. [PN-ISO/IEC 17799]). Obecnie, zgodnie ze standardami polskimi i międzynarodowymi, pod pojęciem bezpieczeństwa systemów informatycznych rozumiane są wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności systemu [PN-I-13335-1]. Wymienione atrybuty bezpieczeństwa systemu informatycznego należy rozumieć następująco: poufność (ang. confidentiality) właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom; integralność systemu (ang. system integrity) właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od 1 Traktowanie bezpieczeństwa jako pewnej miary ma duże znaczenie dla działań związanych z wyznaczeniem poziomu bezpieczeństwa. 2 Polska norma [PN-I-13335-1] jest tłumaczeniem międzynarodowego raportu technicznego dotyczącego zarządzania bezpieczeństwem systemów informatycznych: ISO/IEC TR 13335-1:1996, Information Technology Guidelines for the Management of IT Security, Part 1: Concepts and Models for IT Security, 1996.

88 nieautoryzowanej manipulacji, celowej lub przypadkowej. Integralność danych (ang. data integrity) właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany; dostępność (ang. availability) właściwość bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot; rozliczalność (ang. accountability) właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; autentyczność (ang. authenticity) właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana. Autentyczność dotyczy takich podmiotów jak użytkownicy, procesy, systemy i informacja; niezawodność (ang. reliability) właściwość oznaczająca spójne, zamierzone zachowanie i jego skutki. Tak sformułowana definicja obejmuje złożony i niejednorodny charakter bezpieczeństwa systemów informatycznych oraz podkreśla konieczność rozpatrywania go na wielu płaszczyznach. Jest ona obecnie przyjęta i uznana na całym świecie. 3. Pojęcie zarządzania bezpieczeństwem i polityki bezpieczeństwa systemu informatycznego uwagi terminologiczne W literaturze światowej terminy polityka bezpieczeństwa (ang. security policy) oraz zarządzanie bezpieczeństwem systemów informatycznych (ang. management of IT security) obowiązywały powszechnie już w latach 90. Opublikowany w 1996 r. raport ISO/IEC TR 13335 Guidelines for the Management of IT Security dodatkowo rozpowszechnił i ujednolicił ich znaczenie. Zgodnie z nim zarządzanie bezpieczeństwem jest pojęciem szerszym niż polityka bezpieczeństwa i obejmuje wszystkie procesy (działania) zmierzające do utrzymania odpowiedniego poziomu bezpieczeństwa. Opracowanie i realizowanie polityki bezpieczeństwa jest tylko jednym z elementów zarządzania bezpieczeństwem. Sama polityka bezpieczeństwa to ustalone zasady (zarządzenia, procedury) określające sposób postępowania z zasobami systemu, zapewniający im odpowiednią ochronę. Tymczasem w polskiej literaturze przedmiotu pojęcia te napotkały na problemy translacyjne i znaczeniowe. Pierwsze wysokonakładowe publikacje poświęcone tym zagadnieniom były tłumaczeniami książek anglojęzycznych (np. [Stallings 1997, Garfinkel i Spafford 1997, Ahuja 1997, Klander 1998]). Występujący w nich termin security policy tłumaczony był różnie, co zależało głównie od tłumacza, nie zawsze obeznanego z tą tematyką. Jednak w opracowaniach polskich autorów również nie było jednorodności. Security policy tłumaczono jako polityka ochrony, polityka bezpieczeństwa lub polityka zabezpieczenia

Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 89 (zob. np. [Stawowski 1998, Piotrowski, Szymaczek 1997]), przy czym polityka zabezpieczenia została przyjęta przez Polski Komitet Normalizacyjny w normie Zabezpieczenia w systemach informatycznych Terminologia wydanej w 1998 r. [PN-I-02000] jako oficjalne tłumaczenie tego terminu. Bardziej istotny jest jednak fakt, że w praktyce nie funkcjonowało pojęcie zarządzania bezpieczeństwem SI. Rolę występującego w literaturze anglojęzycznej management of IT security przypisywano właśnie polityce zabezpieczenia 3 (zob. np. [Piotrowski i Szymaczek 1997, Stawowski 1998, Ciesielczyk i Watras 1998, Górski 1998, Kifner 1999, Szukszta 1999]). Do takiego stanu rzeczy przyczyniło się zapewne samo słowo polityka, które w języku polskim rozumiane jest jako określone działanie [Szymczak 2002], zaś w języku angielskim jako plan działania [Collins English Dictionary 1991]. Dopiero przetłumaczenie, uznanie za normę i opublikowanie przez Polski Komitet Normalizacyjny w 1999 r. raportu ISO/IEC TR 13335 [PN-I-13335-1] sprawiło, że terminy polityka bezpieczeństwa oraz zarządzanie bezpieczeństwem systemów informatycznych zaczęły rozpowszechniać się także w rodzimej literaturze przedmiotu. Dalsze prace Międzynarodowej Organizacji Normalizacyjnej doprowadziły do ustanowienia w 2000 r. międzynarodowej normy ISO/IEC 17799 Code of Practice for Information Security Management. Norma ta wprowadziła obok pojęcia zarządzania bezpieczeństwem systemów informatycznych szersze znaczeniowo pojęcie zarządzanie bezpieczeństwem informacji. Dokument ten również w Polsce, jeszcze przed uznaniem go przez PKN za normę Praktyczne zasady zarządzania bezpieczeństwem informacji [PN-ISO/IEC 17799], zdobył uznanie środowisk informatycznych i ostatecznie przyczynił się do rozpowszechnienia omawianych pojęć. Od tego czasu zarządzaniu bezpieczeństwem systemów informatycznych i zarządzaniu bezpieczeństwem informacji 4 poświęcono wiele 3 Np. M. Stawowski [1998] podaje, że: polityka bezpieczeństwa obejmuje wszystkie przedsięwzięcia realizowane przez kierownictwo, administratorów, personel techniczny, użytkowników oraz innych członków organizacji związane z utrzymaniem odpowiedniego poziomu bezpieczeństwa systemu. 4 Obecnie specjaliści z tej dziedziny są zgodni, że w praktyce terminy zarządzanie bezpieczeństwem systemów informatycznych (lub informacyjnych) i zarządzanie bezpieczeństwem informacji w systemie informatycznym są niemal jednoznaczne, ponieważ opisują to samo zagadnienie, choć z różnych stron. W przypadku zarządzania bezpieczeństwem systemu informatycznego ochronie podlega system informatyczny, a więc także zgromadzone w nim dane i informacje, które są przecież jego częścią. W przypadku zarządzania bezpieczeństwem informacji, aby chronić informację, należy chronić system informatyczny, w którym jest ona zgromadzona. Wynika to z silnego związku informacji z narzędziami do jej gromadzenia i przetwarzania.

90 publikacji (zob. np. [Gaudyn 2001, Wawrzyniak 2001, Total Information 2001, Białas 2001, Niemiec 2002]), szkoleń, warsztatów i konferencji 5. 4. Zarządzanie bezpieczeństwem systemów informatycznych w przedsiębiorstwie Według międzynarodowych i polskich norm zarządzanie bezpieczeństwem systemów informatycznych to proces stosowany w celu osiągnięcia i utrzymania odpowiedniego poziomu ich poufności, integralności, rozliczalności, dostępności, autentyczności i niezawodności (por. [PN-I-13335-1, PrPN-I-13335-2]). W zestawieniu z przedstawioną definicją bezpieczeństwa można stwierdzić, że zarządzanie bezpieczeństwem SI jest procesem, który ma na celu doprowadzenie do osiągnięcia i utrzymania odpowiedniego poziomu bezpieczeństwa systemu informatycznego. Zarządzanie bezpieczeństwem systemów informatycznych jest procesem trwałym, w skład którego wchodzą inne procesy składające się z kolejnych podprocesów [PN-I-13335-1]. Schematycznie przedstawia to rys. 1. Ogólnie przyjmuje się, że na zarządzanie bezpieczeństwem systemów informatycznych składają się następujące procesy: opracowanie polityki bezpieczeństwa SI wynikającej z przyjętych celów i strategii, określenie ról i odpowiedzialności w SI przedsiębiorstwa, zarządzanie ryzykiem, zarządzanie konfiguracją, zarządzanie zmianami, planowanie awaryjne i planowanie odtwarzania systemu po katastrofach, wyspecyfikowanie, wybór i wdrożenie zabezpieczeń, szkolenia i uświadamianie w zakresie bezpieczeństwa, działania bieżące, w skład których wchodzi m.in. eksploatacja zabezpieczeń, audyt bezpieczeństwa, monitorowanie, wykrywanie incydentów i reagowanie na nie. W praktyce realizacja wszystkich wymienionych działań koniecznych do efektywnego zarządzania bezpieczeństwem systemu informatycznego możliwa jest tylko wtedy, gdy bezpieczeństwo stanie się integralną częścią ogólnego zarzą- 5 Np. Warsztaty Zarządzanie bezpieczeństwem informacji Norma ISO 17799:2000 organizowane przez Polską Izbę Informatyki i Telekomunikacji w grudniu 2003 r. w Warszawie. Konferencja Zarządzanie bezpieczeństwem informacji. IT Security Management pod patronatem Stowarzyszenia do spraw Audytu i Kontroli Systemów Informatycznych ISACA (zob. http://www. isaca.org.pl) zorganizowana w styczniu 2004 r. w Warszawie.

Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 91 Zarządzanie bezpieczeństwem systemów informatycznych Opracowanie polityki bezpieczeństwa Zarządzanie konfiguracją SI Zarządzanie ryzykiem Monitorowanie poziomu bezpieczeństwa Uświadamianie i szkolenia użytkowników w zakresie bezpieczeństwa SI Analiza ryzyka Rys. 1. Procesy zarządzania bezpieczeństwem systemów informatycznych wg ISO/IEC TR 13335 Źródło: opracowanie własne na podstawie [PN-I-13335-1]. dzania przedsiębiorstwem 6 i gdy zagadnieniu bezpieczeństwa w przedsiębiorstwie nada się odpowiednią rangę. We współczesnej gospodarce oznacza to, że bezpieczeństwo należy traktować na równi z innymi aspektami działalności przedsiębiorstwa (np. finansami, marketingiem) i rozpatrywać na kilku poziomach. Takie podejście pozwala wyróżnić kilka rodzajów bezpieczeństwa (zob. rys. 2). W hierarchii tej bezpieczeństwo systemu informatycznego, choć znajduje się na najniższym poziomie, w rzeczywistości jest pochodną przyjętych rozwiązań w zakresie bezpieczeństwa systemów informatycznych, które z kolei wynika z ogólnego bezpieczeństwa przedsiębiorstwa. Aby możliwe było funkcjonowanie takiej struktury, na każdym poziomie muszą istnieć odpowiednio sformułowane i spójne cele, strategie i polityka bezpieczeństwa. Cele muszą określać, co należy 6 Należy pamiętać, że bezpieczeństwo systemów informatycznych wymaga planowanego działania i nie należy rozważać go odrębnie. Powinno być cechą całego procesu zarządzania strategicznego, co zapewni, że od samego początku będzie ono zaplanowane i zaprojektowane dla danego systemu. W większości przypadków dodawanie zabezpieczeń w późniejszym okresie będzie trudniejsze i bardziej kosztowne. Niektóre zagadnienia z zakresu bezpieczeństwa systemów informatycznych mają szersze implikacje w zarządzaniu przedsiębiorstwem.

92 Przedsiębiorstwo Cele Strategia Polityka Finanse przedsiębiorstwa Bezpieczeństwa przedsiębiorstwa Marketing przedsiębiorstwa Polityka personalna przedsiębiorstwa Bezpieczeństwo systemów informatycznych Bezpieczeństwo systemu informatycznego (1) Bezpieczeństwo systemu informatycznego (2) Bezpieczeństwo systemu informatycznego (n) Rys. 2. Hierarchia celów, strategii i polityki w przedsiębiorstwie Źródło: opracowanie własne na podstawie [PN-I-13335-1, PrPN-I-13335-2].

Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 93 osiągnąć, strategie jak osiągnąć cele, a polityka formalizować sposób osiągnięcia celów. Oznacza to, że wypracowanie polityki bezpieczeństwa jest jednym z etapów (procesów) zarządzania bezpieczeństwem systemów informatycznych w przedsiębiorstwie. 5. Polityka bezpieczeństwa systemu informatycznego Spośród wszystkich procesów wchodzących w skład zarządzania bezpieczeństwem SI na pierwszym miejscu wymienia się opracowanie odpowiedniej polityki bezpieczeństwa systemu informatycznego. Nie istnieje jednak powszechnie zaakceptowany, dokładny wzór polityki bezpieczeństwa i w wielu kwestiach każde przedsiębiorstwo powinno wypracować swoje rozwiązania [Skuteczne zarządzanie 2003]. Polityka bezpieczeństwa systemu informatycznego to zasady, zarządzenia i procedury, które określają, jak zasoby są zarządzane, chronione i dystrybuowane w instytucji i jej systemach informatycznych [PN-I-13335-1]. Oznacza to, że polityka ta powinna zawierać szczegóły dotyczące zarówno konkretnych wymagań w zakresie bezpieczeństwa, jak i wykorzystanych w systemie zabezpieczeń. Ponadto powinno to być stanowisko najwyższego kierownictwa przedsiębiorstwa, gdyż tylko ono jest władne wydawać stosowne zarządzenia. Przypisywanie tej polityce najważniejszej roli w zarządzaniu bezpieczeństwem jest powszechnie uznane i zgodne z najlepszą praktyką 7. Według niektórych autorów (zob. np. [Kiełtyka 2002]) proces zarządzania bezpieczeństwem sprowadza się do tworzenia polityki bezpieczeństwa, jej realizacji oraz utrzymania osiągniętego poziomu bezpieczeństwa. Co więcej, odpowiednio do poziomów bezpieczeństwa w przedsiębiorstwie, polityka bezpieczeństwa systemu informatycznego musi odzwierciedlać zasady polityki opracowanej na wyższych poziomach (zob. rys. 2), tzn. polityki bezpieczeństwa przedsiębiorstwa (zawierającej podstawowe zasady 7 Doświadczenia wykazały, że dla skutecznego zarządzania bezpieczeństwem w przedsiębiorstwie decydujące są następujące czynniki [PN-ISO/IEC 17799]: opracowanie polityki bezpieczeństwa odzwierciedlającej cele przedsiębiorstwa, podejście do wdrażania zarządzania bezpieczeństwem zgodnie z kulturą przedsiębiorstwa, przypisanie pracownikom zakresu odpowiedzialności za bezpieczeństwo systemu, zauważalne wsparcie i zaangażowanie kadry kierowniczej, właściwe zrozumienie wymagań ochronnych i prawidłowa ocena ryzyka, efektywne propagowanie zasad bezpieczeństwa wśród kierownictwa i pracowników, rozpowszechnianie wytycznych dotyczących polityki bezpieczeństwa wśród wszystkich pracowników i kontrahentów, zapewnienie odpowiednich szkoleń i uświadamiania pracowników w zakresie bezpieczeństwa SI, monitorowanie i kontrola stanu bezpieczeństwa oraz przekazywanie propozycji ulepszeń.

94 i wytyczne dotyczące bezpieczeństwa całego przedsiębiorstwa) oraz polityki bezpieczeństwa systemów informatycznych w przedsiębiorstwie (odzwierciedlającej zasady polityki bezpieczeństwa przedsiębiorstwa i określającej ogólne warunki korzystania z systemów informatycznych). W praktyce jednak trzypoziomowa hierarchia celów, strategii i polityki występuje na ogół tylko w przedsiębiorstwach posiadających więcej niż jeden system informatyczny. W większości przedsiębiorstw struktura ta ulega zazwyczaj spłaszczeniu, co oznacza, że polityka bezpieczeństwa systemu informatycznego powinna wynikać bezpośrednio z przyjętej polityki bezpieczeństwa przedsiębiorstwa. Inaczej mówiąc, warunkiem koniecznym do sformułowania skutecznej polityki bezpieczeństwa systemu informatycznego jest odzwierciedlanie przez nią rzeczywistych potrzeb przedsiębiorstwa w zakresie bezpieczeństwa oraz uwzględnianie istniejących ograniczeń (m.in. finansowych, technicznych, organizacyjnych). Opracowanie polityki bezpieczeństwa systemu informatycznego Projekt systemu ochrony Wdrożenie systemu ochrony Utrzymanie stanu bezpieczeństwa systemu informatycznego Rys. 3. Etapy zarządzania bezpieczeństwem systemów informatycznych Źródło: opracowanie własne. Zarządzanie bezpieczeństwem SI jest zbiorem procesów mającym na celu utrzymanie odpowiedniego poziomu bezpieczeństwa systemów informatycznych w przedsiębiorstwie. Część z nich może zachodzić równolegle, jednak niektóre wymagają realizacji w ściśle określonej kolejności. Dlatego z praktycznego punktu widzenia konieczne jest określenie poszczególnych etapów zarządzania bezpieczeństwem systemu informatycznego. W literaturze przedmiotu można znaleźć wiele opisów i schematów procesu zarządzania bezpieczeństwem SI. Analizując je, warto zauważyć, że poszczególne opracowania podają różną liczbę etapów wchodzących w skład tego procesu i różne rodzaje występujących w nich sprzężeń zwrotnych. Jednak pomimo różnic w poziomie szczegółowości i w nazewnictwie ważne jest to, że

Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 95 we wszystkich opracowaniach można wyróżnić następujące etapy zarządzania bezpieczeństwem SI 8 : opracowanie polityki bezpieczeństwa systemu informatycznego, zaprojektowanie systemu ochrony, wdrożenie systemu ochrony, utrzymanie stanu bezpieczeństwa systemu informatycznego. Istotnym elementem są tutaj sprzężenia zwrotne, które powinny zachodzić pomiędzy dowolnymi etapami (zob. rys. 3). 6. Zakończenie Celem niniejszego opracowania jest zwrócenie uwagi na występujące w polskiej praktyce i literaturze przedmiotu rozbieżności terminologiczne dotyczące zarządzania bezpieczeństwem i polityki bezpieczeństwa systemu informatycznego oraz zdefiniowanie tych pojęć zgodnie z przyjętymi międzynarodowymi standardami. Dodatkowe wyjaśnienia przyczyn pojawienia się omawianych rozbieżności pokazały, że jak to już niejednokrotnie miało miejsce dowolność tłumaczeń oraz spóźnione działania odpowiednich organów normalizacyjnych doprowadziły do sytuacji, w której funkcjonujące na świecie terminy nabrały w Polsce innego znaczenia. Należy jeszcze raz podkreślić, że aby zapewnić właściwy poziom bezpieczeństwa SI, przedsiębiorstwa powinny kompleksowo zarządzać bezpieczeństwem swoich systemów informatycznych, a jednym z etapów prawidłowego zarządzania jest opracowanie odpowiedniej polityki bezpieczeństwa SI. Literatura Adamczewski P. [2000], Leksykon informatyki stosowanej, Wydawnictwo Akademii Ekonomicznej w Poznaniu, Poznań. Adamski A. [1998], Prawo do bezpiecznej sieci [w:] Bezpieczeństwo sieci, Computer- World Raport, 21 września, Warszawa. Ahuja V. [1997], Bezpieczeństwo w sieciach, Zakład Nauczania Informatyki Mikom, Warszawa. Białas A. [2001], Zarządzanie bezpieczeństwem informacji, NetWorld, nr 3. Boran S. [1999], The IT Security Cookbook, http://www.boran.com/security/. 8 Poszczególne etapy zarządzania bezpieczeństwem systemów informatycznych omówione zostały w artykule: Madej J., Sztorc J., Proces zarządzania bezpieczeństwem systemu informatycznego w przedsiębiorstwie, zamieszczonym w niniejszym Zeszycie Naukowym.

96 Ciesielczyk T., Watras G. [1998], Polityka bezpieczeństwa systemów informatycznych [w:] Informatyka w zastosowaniach ekonomicznych, Prace Naukowe Akademii Ekonomicznej we Wrocławiu nr 788, Wrocław 1998. Collins English Dictionary [1991], Harper-Collins Publishers, New York. Garfinkel S., Spafford G. [1997], Bezpieczeństwo w Unixie i Internecie, Wydawnictwo RM, Warszawa. Gaudyn D. [2001], Model zarządzania bezpieczeństwem informacji w organizacji ubezpieczeniowej, rozprawa doktorska, Akademia Górniczo-Hutnicza, Kraków. Górski J. [1998], Polityka bezpieczeństwa informacji, Informatyka, nr 9. Stowarzyszenie do spraw Audytu i Kontroli Systemów Informatycznych ISACA (Information Systems Audit and Control Association), http://www.isaca.org.pl/. Skuteczne zarządzanie bezpieczeństwem zasobów [2003], wywiad z R. Kępczyńskim, IBM Global Services [w:] Zarządzanie zasobami informatycznymi, ComputerWorld White Paper, kwiecień, oprac. IDG Forum, Warszawa. Kiełtyka L. [2002], Komunikacja w zarządzaniu. Techniki, narzędzia i formy przekazu informacji, Agencja Wydawnicza Placet, Warszawa. Kifner T. [1999], Polityka bezpieczeństwa i ochrony informacji, Wydawnictwo Helion, Gliwice. Klander L. [1998], Hacker proof, czyli jak się bronić przed intruzami, Zakład Nauczania Informatyki Mikom, Warszawa. Niemiec A. [2002], Zarządzanie bezpieczeństwem informacji w świetle norm ISO, Wrocław, http://www.prim.com.pl/referaty.htm. Piotrowski J., Szymaczek M. [1997], Projektowanie skutecznych systemów ochrony informacji, Informatyka, nr 7 8. Polska Norma PN-I-02000:1998 [1998], Technika informatyczna Zabezpieczenia w systemach informatycznych. Terminologia, Polski Komitet Normalizacyjny, Warszawa. Polska Norma PN-I-13335-1:1999 [1999], Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa. Polska Norma PN-ISO/IEC 17799:2003 [2003], Technika informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji, Polski Komitet Normalizacyjny, Warszawa. Projekt Polskiej Normy PrPN-I-13335-2 [2000], Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Zarządzanie i planowanie bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa. Słownik języka polskiego [2002], red. M. Szymczak, Wydawnictwo Naukowe PWN, Warszawa. Smolski R., Smolski M., Stadtmüller E.H. [1999], Słownik encyklopedyczny, Wydawnictwo Europa, Wrocław. Stallings W. [1997], Ochrona danych w sieci i intersieci, Wydawnictwo Naukowo-Techniczne, Warszawa. Stawowski M. [1998], Ochrona informacji w sieciach komputerowych, Wydawnictwo ArsKom, Warszawa. Szukszta L. [1999], Polityka bezpieczeństwa systemów informatycznych i telekomunikacyjnych w polskim systemie bankowym, Informatyka, nr 11, Warszawa.

Zarządzanie bezpieczeństwem a polityka bezpieczeństwa 97 Total Information Security Management [2001], dokumentacja metody TISM wersja 1.2 RC 1, European Network Security Institute, http://www.ensi.net/. Wawrzyniak D. [2001], Zarządzanie bezpieczeństwem systemów informatycznych w bankowości, rozprawa doktorska, Akademia Ekonomiczna im. Oskara Langego we Wrocławiu, Wrocław. Security Management and Security Policy on Enterprise Computer Systems The paper describes difficulties in defining expressions: computer system security, security management and security policy on computer system. The author analysed numerous publications, norms and standards devoted to computer systems security and submitted terminological dissimilarities that occur between considered terms, together with an attempt of explanation of their reasons. Moreover, the article presents definitions of these terms, created in accordance with accepted international standards and with world-wide practice.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres