Funkcjonowanie i doskonalenie systemów zarządzania bezpieczeństwem informacji w znowelizowanej normie ISO 27001

Podobne dokumenty
WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zmiany wymagań normy ISO 14001

KLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000

Krzysztof Świtała WPiA UKSW

Promotor: dr inż. Krzysztof Różanowski

ISO 9001:2015 przegląd wymagań

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Wydanie 07 Urząd Miasta Płocka. Księga środowiskowa

Maciej Byczkowski ENSI 2017 ENSI 2017

Normalizacja dla bezpieczeństwa informacyjnego

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO w Dzierżoniowie. Warszawa 8 maja 2013 r.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Najważniejsze zmiany wprowadzone w normie ISO 9001: Wprowadzenie JAKOŚĆ, CERTYFIKACJA, NORMALIZACJA, ZARZĄDZANIE

ISO bezpieczeństwo informacji w organizacji

Kompleksowe Przygotowanie do Egzaminu CISMP

Systemy zarządzania jakością

Proces certyfikacji ISO 14001:2015

Szkolenie pt. Wprowadzenie do nowelizacji normy ISO 9001:2015

Komunikat nr 115 z dnia r.

Normy ISO serii Normy ISO serii Tomasz Greber ( dr inż. Tomasz Greber.

Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

Nowa norma ISO 14001:2015. Poradnik w odcinkach Identyfikacja wymagań i ocena zgodności

I. O P I S S Z K O L E N I A

Standard ISO 9001:2015

Co się zmieni w nowej wersji normy ISO 9001

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

ISO w Banku Spółdzielczym - od decyzji do realizacji

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

KOLEJ NA BIZNES 2017 KOLEJ NA BIZNES PRZEJŚCIE Z IRIS Rev.2.1 NA ISO/TS 22163:2017

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

ISO 9001:2015 ORAZ ISO 14001:2015 REWIZJA NORM CZY JESTEŚ PRZYGOTOWANY?

Bezpieczeństwo informacji. jak i co chronimy

ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Szkolenie otwarte 2016 r.

Standardy zarządzania jakością dla producentów żywności aktualne zagadnienia. dr inż. Ilona Błaszczyk Politechnika Łódzka

ISO w przedsiębiorstwie

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

PRZEWODNIK PO NOWEJ NORMIE

INFORMACJE PODSTAWOWE

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Zarządzanie bezpieczeństwem i higieną pracy wg. normy ISO 45001

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I ŚRODOWISKOWEGO wg ISO 9001 oraz ISO 14001

Czy certyfikacja systemów zarządzania może być. odpowiedzialności przedsiębiorstw? Certyfikacja systemów zarządzania a CSR

CEL SZKOLENIA: DO KOGO SKIEROWANE JEST SZKOLENIE:

14. Sprawdzanie funkcjonowania systemu zarządzania bezpieczeństwem i higieną pracy

Metodyka wdrożenia. System Jakości ISO 9001

Bezpieczeństwo dziś i jutro Security InsideOut

Budowanie skutecznych systemów zarządzania opartych na normach ISO

5. Planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy

INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA ŚRODOWISKOWEGO wg PN-EN ISO 14001:2015

Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008

SZCZEGÓŁOWY HARMONOGRAM KURSU

Praktyczne korzyści dla Organizacji, Najlepsze praktyki płynące z BS Anti-bribery Management System. Joanna Bańkowska Dyrektor Zarządzający BSI

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Szkolenie Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania AW-01

Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa

ZINTEGROWANY SYSTEM ZARZĄDZANIA JAKOŚCIĄ

2.3 Jakie procesy zarządzanie bezpieczeństwem i higieną pracy można zidentyfikować i opisać w przedsiębiorstwie?

Wprowadzenie. Przedstawiciel kierownictwa (Zgodnie z PN-EN ISO 9001:2009, pkt )

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Szkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Audyt energetyczny jako wsparcie Systemów Zarządzania Energią (ISO 50001)

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

SYSTEMY ZARZĄDZANIA ŚRODOWISKOWEGO

Poznań 23 listopada 2016 r. A u t o r : dr inż. Ludwik Królas

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zarządzanie bezpieczeństwem i higieną pracy

1

BAKER TILLY POLAND CONSULTING

PLAN DZIAŁANIA KT 270. ds. Zarządzania Środowiskowego

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA JAKOŚCIĄ wg ISO 9001:2015

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

PRZEWODNIK PO NOWEJ NORMIE

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

SYSTEMOWE ZARZĄDZANIE ŚRODOWISKIEM

Aktualizacja ISO. ISO Revisio ISO 9001:2015. Istota nowelizacji. Jak podchodzić do zmian?

Instrukcja. ocena aspektów środowiskowych PE-EF-P01-I01

Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

POD O EJŚ J CIE I P ROC O ESOW

Transkrypt:

Sławomir Wawak 1 1 Uniwersytet Ekonomiczny w Krakowie Funkcjonowanie i doskonalenie systemów zarządzania bezpieczeństwem informacji w znowelizowanej normie ISO 27001 Operation and improvement of information security management systems in the revised ISO 27001 Słowa kluczowe (3-4): bezpieczeństwo informacji, ISO 27001, nowelizacja, ocena Key words (3-4): information security, ISO 27001, revision, evaluation Streszczenie Bezpieczeństwo informacji staje się coraz ważniejszym aspektem zarządzania organizacją. System zarządzania bezpieczeństwem informacji pozwala na efektywne podejście do tej kwestii. Pierwsza wersja normy ISO 27001 jest oceniana dobrze. Po ośmiu latach funkcjonowania konieczna stała się jednak jej aktualizacja. Nowelizacja wprowadza nowe wymagania, a także poprawia niedoskonałości pierwszej wersji. W artykule omówiono funkcjonowanie pierwszej wersji normy, zmiany wprowadzone przez nowelizację, a także wskazano na konieczne zmiany w przedsiębiorstwach aktualizujących certyfikat. Abstract Information security becomes increasingly important aspect of enterprise management. Information security management system enables top management to efficiently approach this issue. The first version of ISO 27001 is being highly evaluated. However, after eight years some updates were necessary. The 2013 revision introduces new requirements and improves the shortcomings of 2005 version. The article discusses effects of eight year of ISO 27001 availability, changes introduced by the revision, and points out the necessary changes in the enterprises updating their ISO 27001 certificates. Wprowadzenie Rosnące znaczenie bezpieczeństwa informacji skłania przedsiębiorstwa do poszukiwania sposobów zabezpieczenia danych własnych, jak i powierzonych przez klientów. Początkowe nastawienie na zabezpieczenia informatyczne i techniczne okazało się niewystarczające wobec stwierdzenia prób wykorzystania słabości organizacyjnych dla wyłudzenia informacji. Poszukiwania systemowego rozwiązania problemu doprowadziło do powstania zbiorów dobrych praktyk, a w dalszej kolejności standardów. Rozwój norm opisujących systemy zarządzania

stworzył dobrą bazę dla opisania wymagań stawianych systemom zarządzania bezpieczeństwem informacji. W 2014 roku ISO dokonało podsumowania efektów wdrażania wymagań normy ISO 27001:2005 w latach 2006-2013. Jednocześnie w 2013 roku ukazała się nowelizacja tej normy. Stanowi to dobrą okazję dla oceny funkcjonowania dotychczasowego standardu, prezentacji nowych wymagań, a także wskazania obszarów zmian dla przedsiębiorstw, które wdrożyły poprzednią wersję. Zadania te stanowią jednocześnie cele niniejszego opracowania. Publikacja została sfinansowana ze środków przyznanych Wydziałowi Zarządzania Uniwersytetu Ekonomicznego w Krakowie, w ramach dotacji na utrzymanie potencjału badawczego. 1. Funkcjonowanie standardu ISO/IEC 27001:2005 Norma ISO/IEC 27001:2005 została opracowana na podstawie wcześniejszych doświadczeń związanych ze stosowaniem zabezpieczeń w przemyśle, których początkiem było opublikowanie w 1992 roku przez Departament Handlu i Przemysłu Wielkiej Brytanii A code of practice for Information Security Management. W trzy lata później dokument ten został zaktualizowany, rozszerzony i opublikowany jako brytyjska norma BS 7799. W 1999 roku opublikowano pierwszą nowelizację normy, a już rok później, korzystając z szybkiej ścieżki, wydano jako standard międzynarodowy ISO/IEC 17799:2000. Norma ISO/IEC 17799 prezentowała zabezpieczenia organizacji i systemów informatycznych pogrupowane w obszary zabezpieczeń; wskazywała także na możliwe sposoby ich wdrażania i monitorowania skuteczności. W roku 2002 BSI wydało drugi arkusz normy BS 7799, który dotyczył konstrukcji systemu zarządzania bezpieczeństwem informacji (SZBI). Rozszerzał zatem dotychczasowe unormowania o zasady budowania i wdrażania spójne z założeniami systemów zarządzania jakością oraz zarządzania środowiskowego (ISO/IEC 9001:2000 i ISO/IEC 14001:1999). Stał się on, wspomnianą wcześniej, normą międzynarodową ISO/IEC 27001 w 2005 roku. Natomiast norma ISO/IEC 17799 otrzymała nowy numer ISO/IEC 27002. Rodzina norm ISO 27000 początkowo składała się z dwu norm, aby w ciągu kilku następnych lat rozrosnąć się do kilkunastu. W latach 2005-2010 opublikowano następujące normy tej rodziny: ISO/IEC 27000:2009 Technologia informacyjna, techniki bezpieczeństwa, przegląd i terminologia, ISO/IEC 27001:2005 Technologia informacyjna, techniki bezpieczeństwa, system zarządzania bezpieczeństwem informacji, wymagania, ISO/IEC 27002:2005 Technologia informacyjna, techniki bezpieczeństwa,

praktyczne zasady zarządzania bezpieczeństwem informacji, ISO/IEC 27003:2010 Technologia informacyjna, techniki bezpieczeństwa, wskazówki wdrażania systemów zarządzania bezpieczeństwem informacji (SZBI), ISO/IEC 27004:2009 Technologia informacyjna, techniki bezpieczeństwa, pomiary, ISO/IEC 27005:2008 Technologia informacyjna, techniki bezpieczeństwa, zarządzanie ryzykiem w bezpieczeństwie informacji, ISO/IEC 27006:2007 Technologia informacyjna, techniki bezpieczeństwa, wymagania dla instytucji audytujących i certyfikujących w zakresie systemów zarządzania bezpieczeństwem informacji. Ponadto po roku 2010 publikowano kolejne normy odnoszące się do specyfiki sektorów (np. telekomunikacji), komunikacji pomiędzy organizacjami, wybranych obszarów zabezpieczeń, wytycznych dla audytu, a także ekonomiki przedsiębiorstwa. W latach 2006-2013 wydano łącznie 22293 certyfikaty ISO 27001, z czego ponad 35% w Europie (rys. 1). Największy sukces norma odniosła w Japonii, w której miało miejsce ponad 31% ogólnej liczby wdrożeń. W tym samym czasie certyfikowano ponad 232 tys. wdrożeń ISO 9001 i 173 tys. ISO 14001. 25000 20000 22293 15000 10000 5000 7950 świat Europa Polska 0 2007 2008 2009 2010 2011 2012 2013 307 Rys. 1. Liczba wydanych certyfikatów ISO 27001 Źródło: opracowanie na podstawie The ISO Survey 2014.

Procentowy przyrost w ujęciu rocznym jest znacznie wyższy w przypadku normy ISO 27001 (14%) niż w przypadku ISO 9001 (ok. 1%). Można zatem przyjąć, że popularność standardu rośnie. Wzrost ten jest jednak wolniejszy niż zakładano na początku. Norma nie stała się naturalnym rozszerzeniem ISO 9001. Jej zastosowanie ogranicza się do dużych i średnich instytucji, a także wybranych sektorów gospodarki. W Polsce do 2013 roku wydano 307 certyfikatów. Dynamika liczby certyfikatów jest w Polsce nieznacznie wyższa niż średnia europejska i światowa (rys. 2). Spowolnienie gospodarcze spowodowało, znaczne zmniejszenie liczby wydanych certyfikatów w Polsce w latach 2010 i 2011. Niebezpiecznie rośnie także liczba nieprzedłużonych certyfikatów. W 2011 r. sięgnęła ona 12% ogólnej liczby wdrożeń. Ze względu na opóźnienie w raportowaniu, nie opublikowano dotychczas danych za lata 2012 i 2013. Nie jest zatem jasne, czy rezygnacje wynikały ze spowolnienia gospodarczego czy też nieprzydatności standardu. 800 700 600 500 400 300 świat Europa Polska 200 100 0 2007 2008 2009 2010 2011 2012 2013 Rys. 2. Dynamika wdrażania ISO 27001 [2007 = 100] Źródło: opracowanie na podstawie The ISO Survey 2014. System zarządzania bezpieczeństwem informacji zyskał popularność przede wszystkim w sektorze IT, gdzie zanotowano 57% wdrożeń (rys. 3). W czołowej piątce znalazły się także sektory usług innych, budownictwa, transportu i ko-

munikacji oraz wyposażenia elektrycznego i oświetlenia. Łącznie mają one 78% udziału w ogólnej liczbie certyfikowanych systemów ISO 27001. Norma ISO/IEC 27001:2005 została opracowana na bazie struktury stosowanej w normach systemów zarządzania. Jednak ze względu na wyłączenie kluczowej jej części (listy zabezpieczeń) do załącznika, w treści wyraźna była asymetria bardzo rozbudowany rozdział 4 opisujący zasady wdrażania, eksploatacji i monitorowania systemu, a obok w szczątkowej formie rozdziały 5 8. Treść tych rozdziałów odpowiadała rozdziałowi 5 i 8 normy ISO 9001. Szczegółowe wymagania w zakresie wdrażania systemu ograniczały elastyczność stosowania standardu. Próby wdrożenia go przez Autora w instytucjach administracji samorządowej wykazały, że część zabezpieczeń nie ma tu zastosowania lub powinna być stosowana w ograniczonym zakresie. Pozostałe 22% Wyposażenie elektryczne i optyczne 3% Transport i komunikacja 4% Budownictwo 4% Technologie informacyjne 57% Usługi inne 10% Rys. 3. Sektory gospodarki najczęściej wdrażające ISO 27001 (świat) Źródło: opracowanie na podstawie The ISO Survey 2014. Ponadto brakowało wytycznych do wdrażania systemów zarządzania bezpieczeństwem informacji. Zostały one opublikowane dopiero w latach kolejnych. Część z nich występuje wyłącznie w języku angielskim. Braki dotyczyły również podejść do zarządzania ryzykiem. Nadmiernie szczegółowe podejście metod pre-

zentowanych w normie referencyjnej ISO 13335-1 1 powodowało, że niepotrzebnie komplikowano identyfikację czynników ryzyka. Przy tym brak wytycznych dla audytorów powodował, że kurczowo trzymali się oni zaleceń tej normy. Wprowadzenie wymagania zarządzania ryzykiem spowodowało w praktyce powielenie funkcji działań zapobiegawczych. Wprawdzie zachowanie tych działań utrzymywało formalną kompatybilność z innymi standardami, jednak w wielu organizacjach nie podejmowano ich lub jedynie symulowano ich stosowanie. W praktyce identyfikacja czynników ryzyka w pełni zastępowała potrzebę prowadzenia działań zapobiegawczych. Ogólna ocena normy ISO/IEC 27001:2005 jest pozytywna. Wprowadziła ona systemowe podejście do zarządzania bezpieczeństwem informacji. Dzięki temu przedsiębiorstwa mają możliwość szybkiego podniesienia poziomu bezpieczeństwa informacji. Jednocześnie należy zauważyć, że ta norma nie opisuje zaawansowanych technik. Ma ona raczej charakter podstawowy. 2. Zmiany wprowadzone przez nowelizację Zmiany wprowadzone przez nowelizację można zakwalifikować do trzech grup. Pierwszą grupę stanowią zmiany istotnie wpływające na ideę funkcjonowania systemu. Zaliczyć do nich można: wprowadzenie pojęcia kontekstu organizacji, wprowadzenie zainteresowanych stron w miejsce interesariuszy, doprecyzowanie wymagań dla kierownictwa, rozszerzenie wymagań w zakresie celów bezpieczeństwa informacji, położenie większego nacisku na skuteczność planów postępowania z czynnikami ryzyka, rozszerzenie postępowania z czynnikami ryzyka o szanse, rozszerzenie zakresu oceny systemu, wprowadzenie wymagań dotyczących komunikacji. Drugą grupę stanowią zmiany metod stosowanych w standardzie. Należą do niej: rezygnacja z działań zapobiegawczych, uelastycznienie podejścia do dokumentacji, uproszczenie podejścia do szacowania ryzyka. Ostatnią grupę stanowią drobne zmiany, których wpływ na funkcjonowanie systemu jest ograniczony: 1 ISO 13335-1:2004 Technologia informacyjna, techniki bezpieczeństwa, zarządzanie bezpieczeństwem ICT, cześć 1: koncepcje i modele zarządzania bezpieczeństwem ICT, ISO, Geneva 2004

możliwość zastąpienia cyklu PDCA inną koncepcją doskonalenia, ściślejsze powiązanie zabezpieczeń z postępowaniem z czynnikami ryzyka, wprowadzenie pojęcia właściciela czynnika ryzyka zastępującego właściciela aktywów. W pierwszej wersji normy organizacja była zobowiązana do określenia zakresu systemu jedynie opierając się na specyfice działalności, lokalizacji, posiadanych aktywach i technologiach. Identyfikacja ograniczała się zatem do czynników wewnętrznych. Takie podejście mogło być niewystarczające w sytuacji, gdy na bezpieczeństwo informacji istotny wpływ ma otoczenie. Dlatego nowelizacja wprowadza wymaganie oceny zarówno wewnętrznych, jak i zewnętrznych czynników. W tym celu należy wykorzystać normę ISO 31000, która wymienia następujące czynniki [ISO 31000:2009 2009, s. 15]: zewnętrzne: o społeczne i kulturowe, polityczne, prawne, regulacyjne, finansowe, ekonomiczne, ekologiczne, wynikające z funkcjonowania na konkurencyjnym rynku, na poziomie międzynarodowym, krajowym, regionalnym i lokalnym, o kluczowe czynniki i tendencje mające wpływ na cele organizacji, o relacje, postrzeganie oraz wartości zewnętrznych interesariuszy, wewnętrzne: o zarządzanie, struktura organizacyjna, role, odpowiedzialność, o polityki, cele, strategie, do których osiągnięcia organizacja dąży, o potencjał w zakresie zasobów i wiedzy, o relacje, postrzeganie i wartości wewnętrznych interesariuszy, o kulturę organizacyjną, o system informacyjny, przepływ informacji i procesy podejmowania decyzji, o standardy, wytyczne i modele wdrożone przez organizację, o forma i zakres umów. ISO/IEC 27001:2013 podchodzi do tej kwestii jeszcze szerzej i wymaga rozszerzenia pojęcia interesariuszy do zainteresowanych stron. To ich potrzeby i oczekiwania mają być zidentyfikowane i zrozumiane w ramach określania kontekstu organizacji. Dopiero na podstawie tych analiz możliwe jest ustalenie zakresu systemu zarządzania bezpieczeństwem informacji. Zmianie uległo podejście do roli najwyższego kierownictwa organizacji. Poprzednio ograniczało się ono do wykazania zaangażowania przez ustanowienie polityki, celów, określenie ról, itp. Nowelizacja podkreśla rolę przywództwa, któ-

rego miarą mają być wyniki osiągane przez organizację w zakresie realizacji polityk i celów. Należy zatem spodziewać się zmiany praktyki audytu prowadzonego przez firmy certyfikujące i położenie większego nacisku na uzyskiwane efekty podczas rozmów z zarządami organizacji. Nowelizacja zwiększa nacisk na realne funkcjonowanie, a nie tylko dokumentowanie istnienia systemu. Jednym ze środków służących temu jest wprowadzenie wymagania opracowania celów bezpieczeństwa informacji i planowanie ich osiągania. Oznacza to, że organizacje muszą planować i wdrażać zmiany w systemie. Nie jest jednak jasne w jaki sposób powinna postępować organizacja, która zrealizowała swoje cele, a ze względów ekonomicznych czy organizacyjnych nie ma zamiaru lub potrzeby dalej rozwijać systemu. Dotychczas cele były ustalane w polityce oraz dla poszczególnych zabezpieczeń. Miały one charakter statyczny. Znacznie większy nacisk został położony w nowelizacji na planowanie postępowania z czynnikami ryzyka. Obszar ten był dotychczas opisany tylko w kontekście identyfikacji czynników oraz zapewnienia ciągłości działania. Rozszerzone wymagania uwzględniają zarówno czynniki ryzyka, jak i szanse. Obowiązkiem organizacji jest wdrożenie procesu postępowania z czynnikami ryzyka i szansami, który będzie integralną częścią SZBI. Oceniając funkcjonowanie systemu organizacja powinna także oceniać skuteczność identyfikowania i eliminowania czynników ryzyka oraz wykorzystywania szans. Nowelizacja wprowadza także wymagania w zakresie komunikacji. Oczekuje się, że organizacja opracuje zasady lub plan komunikacji, który będzie uwzględniał rodzaje przekazywanych informacji, częstotliwość, adresatów, procesy oraz osoby odpowiedzialne. Nowelizacja wprowadza także szereg mniejszych zmian. Najbardziej widoczną jest rezygnacja z działań zapobiegawczych na rzecz zarządzania ryzykiem. Zmiana ta jest skutkiem powielania się zakresu obu podejść. Działania zapobiegawcze ze względu na nieokreślone źródło informacji o potencjalnych niezgodnościach powodowały problemy w praktycznym zastosowaniu. Metodologia zarządzania ryzykiem jest znacznie bardziej rozbudowana w zakresie identyfikacji czynników ryzyka, ich szacowania, a także podejmowania działań. Podobne zmiany wprowadzane są w pozostałych normach systemów zarządzania. Zrezygnowano z pojęć dokumentów i zapisów. W ich miejsce pojawia się wymóg dokumentowania informacji. To dużo elastyczniejsze podejście pozwala szerzej wykorzystać systemy informatyczne, które w wielu firmach były źródłem większości zapisów w systemie zarządzania bezpieczeństwem informacji. Jednocześnie obowiązek oceny potrzeby i sposobu dokumentowania został przerzucony na kierownictwo przedsiębiorstw. To zarządy będą musiały wykazać, że przyjęte

metody dokumentowania są właściwe, odpowiednie dla firmy, a także z punktu widzenia zainteresowanych stron. Wprowadzenie właściciela czynnika ryzyka w miejsce właściciela aktywów jest krokiem ku pełniejszemu zastosowaniu podejścia systemowego. Może także zachęcić do reorganizacji i optymalizacji struktury organizacyjnej. Rezygnacja z obowiązku identyfikowania zasobów, zagrożeń i podatności spowodowała, że dotychczas stosowane pojęcie właściciela aktywów nie miałoby zastosowania. Zmiany te są wynikiem rezygnacji z metodologii prezentowanej w ISO 13335-1:2004 na rzecz nowocześniejszego podejścia obecnego w normie ISO 31000:2009. Podsumowując omawiane zmiany, warto zwrócić uwagę na zmodyfikowaną strukturę standardu (tabela 1). Rozdziały 4-10 zostały uszeregowane zgodnie z podejściem procesowym. Jednocześnie w tytułach rozdziałów podkreślono kluczowe zadania realizowane przez system zarządzania bezpieczeństwem informacji. Struktura jest spójna z nowymi założeniami dla norm systemów zarządzania, które znajdują odzwierciedlenie także w ISO 9001:2015. Tabela 1. Porównanie struktury omawianych norm ISO 27001:2005 ISO 27001:2013 0 Wprowadzenie 0 Wprowadzenie 1 Zakres normy 1 Zakres normy 2 Powołania normatywne 2 Powołania normatywne 3 Terminy i definicje 3 Terminy i definicje 4 System zarządzania bezpieczeństwem informacji 5 Przywództwo 4 Kontekst organizacji 5 Odpowiedzialność kierownictwa 6 Planowanie 6 Wewnętrzne audyty SZBI 7 Wsparcie 7 Przeglądy SZBI realizowane przez kierownictwo 9 Ocena wyników 8 Działania operacyjne 8 Doskonalenie SZBI 10 Doskonalenie Źródło: opracowanie na podstawie norm PN-ISO/IEC 27001:2007 i PN-ISO/IEC 27001:2014. Znacznej zmianie uległa także struktura zabezpieczeń proponowanych przez załącznik A normy (tabela 2). Zwiększono liczbę grup zabezpieczeń, zmodyfikowano układ zabezpieczeń, zrezygnowano ze zbyt szczegółowych wymagań, które stanowiły przeszkodę we wdrażaniu systemu w niektórych organizacjach. Podobnie jak w poprzedniej wersji normy, wszystkie zabezpieczenia są szczegółowo omawiane w ISO/IEC 27002, która stanowi niezbędny przewodnik dla wdrażania systemu. Tabela 2. Porównanie struktury zabezpieczeń omawianych norm

ISO 27001:2005 ISO 27001:2013 A.5 Polityka bezpieczeństwa A.5 Polityki bezpieczeństwa informacji A.6 Organizacja bezpieczeństwa informacji A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.7 Bezpieczeństwo zasobów ludzkich A.8 Bezpieczeństwo zasobów ludzkich A.8 Zarządzanie aktywami A.9 Bezpieczeństwo fizyczne i środowiskowe A.9 Kontrola dostępu A.10 Zarządzanie systemami i sieciami A.10 Kryptografia A.11 Kontrola dostępu A.11 Bezpieczeństwo fizyczne i środowiskowe A.12 Pozyskanie, rozwój i utrzymanie systemów informacyjnych A.13 Bezpieczeństwo komunikacji A.12 Bezpieczna eksploatacja A.13 Zarządzanie incydentami związanymi z A.14 Pozyskiwanie, rozwój i utrzymanie systemów bezpieczeństwem informacji A.14 Zarządzanie ciągłością działania A.15 Relacje z dostawcami A.15 Zgodność A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania A.18 Zgodność Źródło: opracowanie na podstawie norm PN-ISO/IEC 27001:2007 i PN-ISO/IEC 27001:2014. Głównym efektem wdrożenia wymienionych zmian powinno być porzucenie biurokratycznego podejścia do systemu na rzecz aktywnego jego kształtowania. Nowe wymagania wprowadzają możliwość rozliczania zarządu z efektów funkcjonowania systemu, wymuszają aktywne planowanie jego rozwoju, uwzględniają rolę kierownictwa w planowaniu (szczególnie w zakresie identyfikacji szans), a także zmuszają do oceny skuteczności całego systemu. Zmiany te są korzystne z punktu widzenia badaczy bezpieczeństwa informacji, ale jednocześnie znacząco podnoszą wymagania wobec przedsiębiorstw. Praktyczne efekty zmian ujawnią się, gdy utrze się praktyka audytowania. Dopiero bowiem wymagania firm certyfikujących mogą realnie wymusić wprowadzenie tych zmian. 3. Niezbędne zmiany w certyfikowanych przedsiębiorstwach Przedsiębiorstwa, które uzyskały certyfikat zgodności z ISO/IEC 27001:2005 muszą podjąć działania na rzecz spełnienia nowych wymagań. Mimo, że norma została opublikowana w 2013 r., w Polsce dotychczas niewiele organizacji zdecydowało się na zmiany. Wynikało to między innymi z braku polskiego tłumaczenia. To pojawiło się w grudniu 2014 r. Należy więc oczekiwać, że w 2015 roku znacząca liczba przedsiębiorstw będzie wprowadzać zmiany w swoich systemach. Do najpoważniejszych zmian stojących przed przedsiębiorstwami należy zaliczyć określenie kontekstu organizacji. Organizacje muszą jednoznacznie określić przyczyny stosowania standardu i korzyści, jakich oczekują. Powinny wska-

zać znaczenie bezpieczeństwa informacji oraz określić metody zwiększenia zaangażowania kierownictwa oraz poziomu motywacji załogi. Modyfikacja metodologii oceny ryzyka w kierunku stałego procesu służącego postępowaniu z czynnikami ryzyka zwiększy obciążenie stanowisk pracy związanych z zarządzaniem systemem. W dotychczasowym ujęciu szacowanie ryzyka było działaniem okazjonalnym. Teraz ma stać się jednym z kryteriów podejmowania decyzji o funkcjonowaniu firmy. Wprowadzenie nowego poziomu celów bezpieczeństwa informacji może się okazać początkowo trudne ze względu na brak planów doskonalenia systemu w wielu przedsiębiorstwach. Należy jednak zauważyć, że norma nie wymaga, aby każda komórka organizacyjna miała własne cele w tym zakresie. Można zatem przyjąć, że początkowo wystarczy określenie jednego lub kilku głównych kierunków zmian. Więcej pracy przysporzy także rozszerzenie obowiązków w zakresie monitorowania, pomiaru, analizy i oceny systemu. Konieczność oceny skuteczności zapobiegania czynnikom ryzyka oraz wykorzystywania szans będzie wymagała zwiększenia odpowiedzialności spoczywającej na właścicielach czynników ryzyka i osobach odpowiedzialnych za wykorzystanie szans. Pewnych trudności mogą przysporzyć także nowe wymagania związane z identyfikacją wszystkich zainteresowanych stron, integracją z procesami biznesowymi oraz komunikacją. Jednak w przypadku dobrze zarządzanych firmy, które jednocześnie posiadają certyfikat ISO/IEC 9001, może się okazać, że wymagania te są już spełnione. Ze względu na zmianę listy zabezpieczeń oraz zmianę zasad pomiaru ich skuteczności, znaczącej zmianie ulegną deklaracje stosowania zabezpieczeń. Ten podstawowy dokument SZBI będzie musiał zostać napisany w dużej mierze od nowa, co będzie działaniem pracochłonny. Dodatkowym utrudnieniem może być zmiana zakresu systemu spowodowana identyfikacją nowych zainteresowanych stron i rozszerzeniem kontekstu. Do małych i łatwych do wprowadzenia zmian zaliczyć należy: wprowadzenie udokumentowanej informacji w miejsce dokumentów i zapisów, modyfikację polityki bezpieczeństwa informacji, uproszczenia w prowadzeniu oceny ryzyka, zmiany w zakresach odpowiedzialności, zwiększenie roli najwyższego kierownictwa, działania w zakresie świadomości bezpieczeństwa informacji, zmiany w procesie audytu,

zmiany w procesie przeglądu zarządzania, zmiany w zakresie działań korygujących, rozszerzenie możliwości w zakresie doskonalenia systemu. Należy oczekiwać, że wymagania te są aktualnie w dużej mierze spełnione przez przedsiębiorstwa posiadające certyfikowany system ISO/IEC 27001:2005. Konieczne jest jedynie dostosowanie dokumentacji lub nieznaczne zmodyfikowanie procesów. Podsumowanie Decyzje zarządów przedsiębiorstw o wdrażaniu systemów zarządzania bezpieczeństwem informacji zgodnych z ISO/IEC 27001 dowodzą potrzeby istnienia tego standardu. Należy oczekiwać, że jego popularność będzie rosła w miarę wzrostu zrozumienia znaczenia bezpieczeństwa informacji w przedsiębiorstwach. Organizacje, które nie stosują podejścia systemowego w tym zakresie często popadają w skrajności, od polityki nie mam nic do ukrycia do paranoicznego ukrywania podstawowych informacji przed własnymi pracownikami. Standard wskazuje obszary wymagające troski, a jednocześnie umożliwia sprawne funkcjonowanie organizacji. Nowelizacja wprowadza nowe wymagania wymuszające aktywne budowanie systemu w miejsce podejścia biurokratycznego. Jednocześnie eliminuje niedoskonałości pierwszej wersji normy. Jej wprowadzenie należy ocenić pozytywnie. Jednak ostateczną ocenę należy odłożyć do czasu, gdy większa grupa przedsiębiorstw zaktualizuje swoje certyfikaty. Bibliografia [1] ISO 31000:2009, Risk Management, Principles and Guidelines, ISO, Geneva 2009 [2] PN-ISO/IEC 27001:2007, Technika informatyczna. Techniki Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, Polski Komitet Normalizacyjny, Warszawa 2007 [3] PN-ISO/IEC 27001:2014, Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, Polski Komitet Normalizacyjny, Warszawa 2014 [4] The ISO Survey of Management System Standard Certifications (2006-2013), ISO, Geneva 2014 [5] Wawak S., Bezpieczeństwo informacyjne w kontekście relacji organizacji, w pr. zbior. pod red. J.S. Kardasa Budowanie relacji w zarządzaniu zasobami ludzkimi, Wydawnictwo Studio Emka, Warszawa 2009

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres