Bezpieczeństwo informacji jako ważny element bezpieczeństwa całej organizacji System Zarządzania Bezpieczeństwem Informacji zgodny z normą PN-ISO/IEC 27001:2007 wdrażany w Centrali PKP Polskie Linie Kolejowe S.A. W ujęciu encyklopedycznym pojęcie bezpieczeństwo jest bardzo szerokie. Zazwyczaj definiowane jest jako stan bądź proces, gwarantujący istnienie podmiotu oraz możliwość jego rozwoju. W ujęciu szczegółowym bezpieczeństwo to stan, który daje poczucie pewności istnienia i gwarancje jego zachowania oraz szanse na doskonalenie. Z punktu widzenie osoby bezpieczeństwo to jedna z podstawowych potrzeb człowieka (oprócz potrzeb fizjologicznych), usytuowana bardzo nisko w modelowej piramidzie jego potrzeb. Bezpieczeństwo odznacza się zazwyczaj brakiem ryzyka utraty czegoś szczególnie cennego dla człowieka (życia, zdrowia, pracy, szacunku, uczuć, dóbr materialnych i dóbr niematerialnych) jak i instytucji (zasobów ludzkich, rzeczowych, finansowych, materialnych, informacyjnych). Statutowa działalność PKP Polskie Linie Kolejowe S.A. nierozerwalnie związana jest właśnie z pojęciem bezpieczeństwo, które w działalności Spółki odmieniane jest przez wszystkie przypadki. Informacja jest współcześnie jednym z najżywotniejszych zasobów każdej organizacji choć z reguły zasobem najsłabiej chroniony. Nie bez przyczyny określa się nas mianem społeczeństwa informacyjnego. Przez wieki ludzie i organizacje uczyli i nadal uczą się chronić siebie oraz ważne zasoby niezbędne do funkcjonowania takie jak pieniądze czy mienie. Lecz czy nauczyli się chronić informacji (o sobie, o firmie w której pracują, o rzeczach które wykonują)? Z punktu widzenia biznesowego informacje posiadają określoną wartość dla organizacji dlatego powinny być chronione w celu zapewnienia jej bezpieczeństwa i ciągłości działania. Ale co tak naprawdę oznacza pojęcie bezpieczeństwo informacji? W skrócie bezpieczeństwo informacji oznacza, że ważne z punktu widzenia prawnego i biznesowego informacje są chronione przed nieuprawnionym dostępem, zniszczeniem, modyfikacją oraz że są zawsze dostępne dla upoważnionej osoby. Dlatego błędne jest powszechnie panujące przeświadczenie, że ochrona informacji skupia się jedynie na atrybucie zachowania jej poufności. Brak dostępności, rozliczalności czy integralności informacji są również niezbędnymi atrybutami jej bezpieczeństwa. W systemie zarządzania organizacją ochrona informacji to zagadnienie zarządcze i organizacyjne, a nie tylko techniczne. Powinno ono naturalnie wpisywać się w proces zarządzania całościowym bezpieczeństwem organizacji. Potrzeba bezpieczeństwa informacji zależy od rodzaju prowadzonej przez organizację działalności, wymagań bezpieczeństwa i stopnia uzależnienia tej działalności od przetwarzania informacji, wielkości instytucji, środowiska, kultury uzasadnieniem tych potrzeb będzie specyficzny dobór zasad, celów i wymagań dotyczących przetwarzania informacji, które zostały opracowane w celu prowadzenia 1
statutowej działalności, do jakiej organizacja została stworzona. Idąc dalej potrzeba ochrony informacji w organizacji wynika z wymagań ustawowych (ustawa o ochronie informacji niejawnych, ustawa o ochronie danych osobowych, ustawa o zwalczaniu nieuczciwej konkurencji, prawo telekomunikacyjne, ustawa o świadczeniu usług droga elektroniczną, prawo własności przemysłowej i inne). Wymagania prawne w sposób obligatoryjny wymuszają na organizacji zapewnienie bezpieczeństwa informacjom (danym) wymogiem ustawowym może być np. konieczność uzyskania świadectwa bezpieczeństwa przemysłowego lub spełnienie wymagań określonych w ustawie o ochronie danych osobowych. W pozostałych przypadkach zazwyczaj potrzeby ochrony informacji mogą wynikać z wymagań statutowych, wymagań wynikających z zawartych umów, kontraktów, dyrektyw, certyfikatów, zobowiązań wobec partnerów biznesowych, kontrahentów, usługodawców w tym wypadku poziom ochrony zależny jest od woli kierownictwa jednostki organizacyjnej. Wszystkie wymagania bezpieczeństwa informacji powinny być ustalane w procesie analizy ryzyka, który stanowi fundamentalną część procesu zarządzania ryzykiem obejmując analizę przewidywanych zagrożeń dla chronionych zasobów informacyjnych, analizę podatności zasobów na te zagrożenia oraz ocenę ryzyka, na jakie narażone są chronione zasoby, w przypadku zaistnienia przewidywanych zagrożeń. Jak wynika z ostatniego badania pod nazwą The Global State of Information Security Survey 2013, aż 88% pracowników firm używa tych samych telefonów komórkowych w pracy co w życiu prywatnym, podczas gdy jednocześnie zaledwie 44% przedsiębiorstw posiada jakiekolwiek procedury dotyczące bezpieczeństwa urządzeń mobilnych, a jeszcze mniej stosuje oprogramowanie zabezpieczające. The Global State of Information Security Survey 2013 to międzynarodowe badanie przygotowane przez firmę doradczą PwC, magazyn CIO oraz magazyn CSO. Zostało przeprowadzone przez internet w terminie od 1 stycznia 2012 r. do 15 kwietnia 2012 r. W badaniu wzięło udział ponad 9.300 menedżerów ze 128 krajów. Jak wynika z raportu, firmy nadal zbyt optymistycznie postrzegają swoje możliwości obrony przed cyberatakami i zbyt mało inwestują w rozwiązania chroniące przed włamaniami oraz co najważniejsze edukację swoich pracowników na temat możliwych zagrożeń. Jak pokazują wyniki, jedynie około 30% przedsiębiorstw na świecie posiada plan działania wobec zagrożeń związanych z mediami społecznościowymi oraz usługami przetwarzania informacji w chmurze. Jednocześnie, mniej niż połowa firm dysponuje strategią bezpieczeństwa obejmującą stosowanie urządzeń przenośnych, a tylko 37% posiada zabezpieczenia przed zagrożeniami związanymi z mobilnym dostępem do danych w pracy. Co ciekawe, Europa - pod względem wykorzystywanych zabezpieczeń teleinformatycznych - wypada słabiej niż średnia światowa, natomiast w naszym regionie częściej problem rozwiązuje się przez wprowadzenie zakazu stosowania urządzeń prywatnych dla celów zawodowych czy w ramach firmowej sieci. 2
Skalę potrzebnych zmian w przedsiębiorstwach najlepiej obrazuje fakt, że jedynie 1/3 ankietowanych menedżerów ma pewność, że w ciągu ostatnich 12 miesięcy nie padła ofiarą ataku w cyberprzestrzeni. Wśród firm, które doświadczyły naruszenia bezpieczeństwa, około 30% poniosło poważne straty finansowe, po ok. 20% straty związane z własnością intelektualną, utratą reputacji i stratą klientów. Wśród czynników uwzględnianych przez przedsiębiorstwa przy ocenie skutków naruszeń, największe znaczenie wydaje się mieć ryzyko utraty klientów, lecz nadal rozważa je tylko 52% respondentów. Pozostałe zagrożenia, w tym utrata reputacji, pozostają również niezauważane przez większość firm (rozważa je jedynie 27% ankietowanych), podczas gdy z badań wynika, że aż 61% klientów zrezygnowałoby z usług firmy w przypadku informacji o włamaniu do jej systemu informatycznego. Od dłuższego czasu maleje wykorzystanie narzędzi wykorzystywanych przez firmy w celu zagwarantowania bezpieczeństwa. Jakąkolwiek ochronę przed zagrożeniami typu spyware i adware posiada obecnie 71% przedsiębiorstw, a odsetek ten spadł z poziomu 83% w roku ubiegłym. Podobny trend można zaobserwować w przypadku innych podstawowych systemów bezpieczeństwa - już prawie dwie trzecie firm przyznaje, że nie wykorzystuje narzędzi do zarządzania incydentami i korelacji zdarzeń (SIEM). Dodatkowo, ochronę utrudnia brak wiedzy firm o tym, gdzie dokładnie przetrzymywane są dane pracowników i klientów. Miejsce przechowywania wrażliwych informacji potrafiło wskazać zaledwie 40% menedżerów, a jedynie 1/3 interesuje się jak zabezpieczone są dane osobowe pracowników i klientów przekazywane podwykonawcom. Według ankietowanych przez PwC najpoważniejszą barierą na drodze do poprawy bezpieczeństwa jest brak zrozumienia po stronie kierownictwa firmy wymieniany częściej niż środki finansowe czy potrzeba wykwalifikowanych pracowników. W firmach spadła także liczba i częstotliwość szkoleń oraz liczba zatrudnionych specjalistów, odpowiedzialnych za ich prowadzenie1. Jak wynika z powyższych statystyk wraz ze wzrostem znaczenia informacji we współczesnym świecie oraz z rozwojem technik przetwarzania informacji istotnym zagadnieniem w dzisiejszym świecie jest zapewnienie bezpieczeństwa informacji przetwarzanych pod każda postacią (tradycyjnie i elektronicznie). Informacje będące w posiadaniu organizacji posiadają swoją realną wartość i mogą być podatne na zagrożenia takie jak, np.: kradzież, zniszczenie czy zafałszowanie. Wraz z rozwojem teleinformatyki pojawiły i nadal pojawiają się nowe zagrożenia jak wirusy komputerowe, oprogramowanie szpiegujące, włamania hakerów, kradzieże numerów kart kredytowych, kradzieże tożsamości, szpiegostwo przemysłowe, które mogą narazić instytucję na straty finansowe. Do problematyki zapewnienia bezpieczeństwa informacji w organizacji można podejść na wiele sposobów, określając i przyjmują różne modele ochrony. Model tzw. zerowy to brak jakichkolwiek zabezpieczeń tzn. w organizacji nie są stosowane żadne środki ochrony informacji. Z reguły obserwowany jest w tych organizacjach, w których kierownictwo uznało, że poziom ryzyka zagrożenia jest niewspółmiernie małe w porównaniu do kosztów wdrożenia polityki bezpieczeństwa oraz w instytucjach, których władze zaniedbały aspekt bezpieczeństwa. W sytuacji gdy pojawi się zagrożenie i spowoduje poważne konsekwencje władze organizacji wydają duże środki na zabezpieczanie instytucji i często wielokrotnie większe na likwidację skutków. 1 http://www.pwc.pl/pl/biuro-prasowe/giss-2013.jhtml z dnia 21 listopada 2012 r. 3
Model 1 to bezpieczeństwo dzięki brakowi zainteresowania ze strony otoczenia. Opiera się na fakcie, że system informacyjny organizacji jest tak mało istotny dla konkurencji i tak mało ciekawy dla włamywaczy że bezpieczeństwo można oprzeć na dużym prawdopodobieństwie braku prób ataku. Model ten bywa zawodny zwłaszcza w odniesieniu do ataków włamywaczy sportowców i wandali. Z kolei model 2 to ochrona na poziomie poszczególnych urządzeń biorących udział w procesie przetwarzania informacji. Model ten jest powszechnie najczęściej stosowaną metodą ochrony, co nie oznacza, że poprawnie zrealizowany jest jak najbardziej właściwy. Natomiast dla całego systemu informacyjnego organizacji ma wadę - jest trudno skalowalny (różne platformy sprzętowe, różne urządzenia, różne systemy operacyjne). Ponadto, pielęgnacja mechanizmów ochrony jest złożona, kosztowna i nieefektywna, wymagając fizycznego dostępu do każdego urządzenia przetwarzającego informacje. Modelem wzorcowym jest model 3 czyli ochrona informacji w skali całego systemu informacyjnego. Model ten zapewnia lepszą ochronę, niż na poziomie pojedynczych urządzeń, a opiera się na kontrolowaniu wszystkich dostępów do urządzeń przetwarzających informacje. Narzędziami wykorzystywanymi w tym modelu są np. silne procedury uwierzytelniania, architektury separujące czy szyfrowanie. Jak opisano powyżej działania w zakresie zabezpieczenia zasobów informacyjnych mogą być wyrywkowe, nieskoordynowane i intuicyjne. Firma, która chce należycie zabezpieczyć swoje informacje powinna zastosować podejście systemowe, w ramach którego będzie zarządzać kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji. Dla podmiotu, który chce świadomie chronić swoje aktywa informacyjne na uwagę zasługuję System Zarządzania Bezpieczeństwem Informacji wg normy PN-ISO/IEC 27001:2007. Jest to norma będąca zbiorem wytycznych pozwalających na wdrożenie efektywnego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI, ISMS). Jest ona przeznaczona dla wszystkich rodzajów instytucji, zarówno dla podmiotów biznesowych jak i podmiotów administracji publicznej. W tym celu w PKP Polskie Linie Kolejowe S.A., z inicjatywy Biura Ochrony Informacji Centrali, uruchomiono projekt pn. Wdrożenie i utrzymanie Systemu Zarządzania Bezpieczeństwem Informacji w PKP Polskie Linie Kolejowe S.A. zgodnie z normą PN-ISO/IEC 27001:2007(SZBI) Etap I: Centrala Spółki. Podstawowym celem projektu jest opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z wymaganiami normy PN-ISO/IEC 27001:2007 stanowiącego efektywny i kompleksowy mechanizm wspierający realizację zadań statutowych Spółki, natomiast w dalszej kolejności certyfikacja tego systemu przeprowadzona przez akredytowaną jednostkę certyfikującą oraz rozszerzenie systemu na pozostałe jednostki organizacyjne. 4
Zakresem projektu objęto: wszystkie komórki organizacyjne Centrali wszystkie lokalizacje komórek organizacyjnych Centrali wszystkie procesy realizowane przez Centralę Spółki wszystkie aktywa zarządzane przez Centralę wszystkie informacje przetwarzane w Centrali Spółki Celem standardu PN-ISO/IEC 27001:2007 jest określenie wymagań dla opartego na analizie ryzyka systemu zarządzania bezpieczeństwem informacji. Podobnie jak w przypadku innych standardów zarządzania, takich jak ISO 9001, podstawowym celem normy PN-ISO/IEC 27001:2007 nie jest automatyczne osiągniecie określonego poziomu bezpieczeństwa, ale sukcesywne wdrożenie mechanizmów zarządzania, które zapewnią, że bezpieczeństwo informacji będzie nadzorowanie i stanie się istotnym elementem zarządzania całościowym bezpieczeństwem całej organizacji i prowadzonej przez nią działalności. Zalety wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą PN-ISO/IEC 27001:2007 to: wsparcie zarządzania obszarem ochrony informacji poprawa funkcjonalna zarządzania wdrożenie sprawdzonych, międzynarodowych standardów w zakresie ochrony informacji, zapewnienia prawidłowego bezpieczeństwa przetwarzanych przez firmę informacji i danych usystematyzowanie i usprawnienie czynności związanych z zapewnieniem ochrony informacji wykrycie możliwych zagrożeń i zapobieganie im stworzenie prawidłowych procedur i instrukcji działania racjonalizacja wydatków w obszarze bezpieczeństwa informacji możliwość uzyskania niezależnego potwierdzenia wysokiego standardu ochrony informacji (certyfikat akredytowany) W chwili obecnej w Spółce funkcjonuje system zarządzania bezpieczeństwem informacji spełniający wiele wymogów stawianych przez normę. Uzyskanie pełnej zgodności stanowi więc naturalną drogę rozwoju tego systemu. Zakres prowadzonego projektu objął m.in.: wstępne szkolenie dla zespołu projektowego z metodyki prowadzenia projektu wdrożenia SZBI szkolenie dla audytorów wewnętrznych przez akredytowaną jednostkę certyfikującą przegląd i ocenę istniejących procedur w obszarze bezpieczeństwa informacji wraz z przeprowadzeniem audytu wstępnego 5
wypracowanie listy procesów objętych SZBI identyfikację aktywów objętych SZBI wypracowanie listy procedur do wytworzenia i wdrożenia w ramach SZBI wypracowanie organizacji zarządzania SZBI wypracowanie opisu procesu zarządzania i utrzymania SZBI opracowanie metodyki zarządzania ryzykiem szkolenia z zakresu opracowanej metodyki zarządzania ryzykiem przeprowadzenia analizy ryzyka opracowanie materiałów szkoleniowych z SZBI szkolenie kadry kierowniczej z SZBI opracowanie specyfikacji wymagań funkcjonalnych dla systemów informatycznych wspomagających proces audytu wewnętrznego SZBI i wspomagającego proces zarządzania ryzykiem w obszarze SZBI Norma PN-ISO/IEC 27001:2007 wprowadza system, który określa wymagania, oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w organizacji, oraz zawiera najlepsze praktyki celów stosowania zabezpieczeń w następujących obszarach zarządzania bezpieczeństwem informacji: polityka bezpieczeństwa informacji organizacja bezpieczeństwa informacji zarządzanie aktywami bezpieczeństwo osobowe bezpieczeństwo fizyczne i środowiskowe zarządzanie systemami i sieciami kontrola dostępu uzyskiwanie, rozwój i utrzymanie systemów informacyjnych zarządzanie incydentami związanymi z bezpieczeństwem informacji zarządzanie ciągłością działania Decyzje związane utrzymaniem i rozwojem obszaru bezpieczeństwa informacji w oparciu o uznany standard świadczą o dużym zaangażowaniu Zarządu Spółki w problematykę zapewnienia odpowiedniego poziomu ochrony aktywów informacyjnych Spółki. Grzegorz Kuta 6