Zarządzanie bezpieczeństwem informacji w organizacji

Podobne dokumenty
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Krzysztof Świtała WPiA UKSW

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

ISO bezpieczeństwo informacji w organizacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Normalizacja dla bezpieczeństwa informacyjnego

I. O P I S S Z K O L E N I A

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Standard ISO 9001:2015

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

ISO 9001:2015 przegląd wymagań

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Wydanie 07 Urząd Miasta Płocka. Księga środowiskowa

Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

KLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami

Maciej Byczkowski ENSI 2017 ENSI 2017

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Proces certyfikacji ISO 14001:2015

Komunikat nr 115 z dnia r.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

ISO w przedsiębiorstwie

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Normy ISO serii Normy ISO serii Tomasz Greber ( dr inż. Tomasz Greber.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

14. Sprawdzanie funkcjonowania systemu zarządzania bezpieczeństwem i higieną pracy

ISO w Banku Spółdzielczym - od decyzji do realizacji

Wprowadzenie. Przedstawiciel kierownictwa (Zgodnie z PN-EN ISO 9001:2009, pkt )

SYSTEMY ZARZĄDZANIA JAKOŚCIĄ WEDŁUG

Zarządzanie ryzykiem w bezpieczeństwie informacji

Procedura auditów wewnętrznych i działań korygujących

ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Bezpieczeństwo informacji. jak i co chronimy

DOSKONALENIE SYSTEMU JAKOŚCI Z WYKORZYSTANIEM MODELU PDCA

Grzegorz Pieniążek Hubert Szczepaniuk

Zarządzanie bezpieczeństwem i higieną pracy wg. normy ISO 45001

Usprawnienia zarządzania organizacjami (normy zarzadzania)

SYSTEMY ZARZĄDZANIA. cykl wykładów dr Paweł Szudra

Budowanie skutecznych systemów zarządzania opartych na normach ISO

Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki. Warszawa, 25 lutego 2015 r.

BAKER TILLY POLAND CONSULTING

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

Audyt wewnętrzny jako metoda oceny Systemu Zarządzania Jakością. Piotr Lewandowski Łódź, r.

Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008

DCT/ISO/SC/1.01 Księga Jakości DCT Gdańsk S.A. Informacja dla Klientów

Imed El Fray Włodzimierz Chocianowicz

Zarządzanie bezpieczeństwem informacji wg normy BS 7799 Wprowadzenie

Kompleksowe Przygotowanie do Egzaminu CISMP

Wpływ SZŚ na zasadnicze elementy ogólnego systemu zarządzania przedsiębiorstwem. Błędy przy wdrażaniu SZŚ

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

SPIS TREŚCI SPIS TREŚCI Postanowienia ogólne Zastosowanie POWOŁANIA NORMATYWNE TERMINY I DEFINICJE SYSTEM ZA

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Zarządzanie Jakością. System jakości jako narzędzie zarządzania przedsiębiorstwem. Dr Mariusz Maciejczak

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Team Prevent Poland Sp. z o.o. Graficzna prezentacja struktury ISO 9001:2015 i IATF 16949:2016

1

Zdrowe podejście do informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU

Wymagania wobec dostawców: jakościowe, środowiskowe, bhp i etyczne

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

KWESTIONARIUSZ SAMOOCENY KONTROLI ZARZĄDCZEJ dla pracowników. Komórka organizacyjna:... A. Środowisko wewnętrzne

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Zmiany wymagań normy ISO 14001

Powody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO Mariola Witek

Kryteria oceny Systemu Kontroli Zarządczej

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo dziś i jutro Security InsideOut

JAK SKUTECZNIE PRZEPROWADZAĆ AUDITY

ISO nowy standard bezpieczeństwa. CryptoCon,

Szkolenie otwarte 2016 r.

1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ

SKZ System Kontroli Zarządczej

Kwestionariusz samooceny kontroli zarządczej

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

Akredytacja laboratoriów wg PN-EN ISO/IEC 17025:2005

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Bezpieczeńtwo informacji

EUROPEJSKI.* * NARODOWA STRATEGIA SPÓJNOŚCI FUNDUSZ SPOŁECZNY * **

HARMONOGRAM SZKOLENIA

System. zarządzania jakością. Pojęcie systemu. Model SZJ wg ISO 9001:2008. Koszty jakości. Podsumowanie. [Słownik języka polskiego, PWN, 1979] System

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Praktyczne aspekty realizacji auditów wewnętrznych w laboratoriach podejście procesowe.

Korzyści wynikające z wdrożenia systemu zarządzania jakością w usługach medycznych.

Transkrypt:

Mariusz Giemza 1 Zarządzanie bezpieczeństwem informacji w organizacji Wstęp Początek XXI wieku jest czasem wysokiego tempa rozwoju technik informatycznych, umożliwiających zgromadzenie w jednym fizycznym miejscu dużego zasobu danych. Właściwe wykorzystywanie i zachowanie tego zasobu staje się priorytetem w zarządzaniu organizacją. Opracowanie danych prowadzi do powstania informacji, która w wyniku tego procesu staje się wartością dla organizacji. Z tego powodu bezpieczeństwo informacji spotyka się z coraz większym zainteresowaniem ze strony wielu organizacji. Informacja traktowana jest też jako bardzo ważny element zasobów biznesowych, dlatego też zauważyć można wzrost działań mających na celu zabezpieczenia jej przed nieautoryzowanym dostępem, zmianami lub kradzieżą. Utrata lub udostępnienie informacji stanowiących tajemnicę lub wartość intelektualną lub handlową wiąże się z utratą reputacji, zakończeniem działalności na rynku, a nawet problemami natury prawnej. Z tego właśnie względu informację należy chronić oraz odpowiednio nią zarządzać. Organizacje zainteresowane wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji zmuszone są przeprowadzić dogłębną analizę swoich zasobów w celu określenia możliwych zagrożeń oraz podatności na te zagrożenia. Analiza ryzyka pozwala ustalić sposób, w jaki można wyeliminować (a przynajmniej zminimalizować) zagrożenia. Jeden ze słynnych na świecie hakerów Kevin Mitnick, w książce pod tytułem Łamałem ludzi nie hasła udowodnił, iż na bezpieczeństwo informacji należy spojrzeć z szerszej perspektywy, nie tylko technicznej, ale i społecznej. Z pomocą przychodzą liczne rozwiązania i narzędzia pozwalające w odpowiedni sposób zabezpieczyć organizację od strony sprzętowej, programowej czy systemowej. Wdrożenie konkretnych zabezpieczeń nie oznacza zapewnienia całkowitego bezpieczeństwa. Organizacja musi określić sposób przetwarzania informacji, monitorowania systemów przechowywania i przetwarzania informacji oraz przeprowadzać szkolenia mające na celu uświadamianie jej pracowników. W proces zapewnienia bezpieczeństwa zasobów informacyjnych powinni się włączyć wszyscy pracownicy (w tym, zgodnie z zasadami zarządzania jakością, najwyższe kierownictwo). W miarę konieczności w procesie tym winny brać udział też inne organizacje, które współpracują z daną organizacją posiadającą wdrożony SZBI. Zarządzanie bezpieczeństwem informacji musi uwzględniać także wymagania prawne obowiązujące w danym kraju. W Polsce do wymagań prawnych zalicza się przede wszystkim: 1. Ustawę z dnia 16 VI 1993 r. o zwalczaniu nieuczciwej konkurencji - art. 11. 2. Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych art. 36. 3. Ustawę z dn. 22 stycznia 1999 r. o ochronie informacji niejawnych art. 60-64. 4. Ustawę z dnia 27 lipca 2007 r. o ochronie baz danych - art. 11. 5. Ustawę z dnia 6 września 2001 r. o dostępie do informacji publicznej art. 8. 1 Mariusz Giemza - dr inż., Katedra Zarządzania Jakością, Uniwersytet Ekonomiczny w Krakowie.

30 Mariusz Giemza Dokumenty te narzucają klasyfikację określonych rodzajów informacji. Charakteryzują również wymagania dotyczące oznaczania, przetwarzania i przechowywania danych (zarówno w formie papierowej, jak i elektronicznej). Nowoczesnym rozwiązaniem umożliwiającym w sposób kompleksowy zapewnienie bezpieczeństwa informacji w organizacji jest realizacja wymagań zamieszczonych w normie PN-ISO/IEC 27001:2007 (będąca wprowadzeniem ISO/IEC 27001:2005). Normy z rodziny ISO serii 9000 czy serii 14000 są z powodzeniem stosowane w wielu organizacjach, umożliwiają zarządzanie określonym aspekt funkcjonowania. Dlatego kolejna seria norm ISO/IEC o numerze 27000 umożliwia opracowanie, wdrożenie i rozwijanie SZBI organizacji. Charakterystyka norm ISO/IEC serii 27000 Grupa norm ISO/IEC serii 27000 jest najnowszą rodziną norm. Część norm jestjuż opublikowana, natomiast część pozostaje jeszcze w opracowaniu. Dotychc opublikowano następujące normy: 1. ISO/IEC 27000:2009 Information technology - Security techniques - Information security management systems - Overview and vocabulary. W normie mieszczono ogólne informacje dotyczące SZBI, przedstawiono pojęcia i definicje stosowane w SZBI, opisano cykl PDCA w kontekście zapewnienia bezpieczeństwa informacji. 2. PN-ISO/IEC 27001:2007 - Technika informatyczna - Techniki bezpieczeństwa - Systemy Zarządzania Bezpieczeństwem Informacji - Wymagania - norma została opublikowana w listopadzie 2005 r. Zastąpiła istniejącą już normę BS 7799-2:2002, jej celem jest również uzupełnienie normy ISO/IEC 17799:2005 (Standard ma zapewnić specyfikację dla SZBI w organizacji, a także umożliwić przeprowadzenie auditu i certyfikacji. W normie zastosowano podejście procesowe, system jest dostosowany do integracji wymagań norm ISO 9001:2 oraz ISO 14001:2004. 3. ISO/IEC 27002:2005 Information technology - Security techniąues Code of practice for information security management. W normie zamieszczono najlepsze praktyki dotyczące nadzoru obszarów zarządzania bezpieczeństwem informacji w organizacji, takich jak: - polityka bezpieczeństwa, - organizacja ochrony informacji, - zarządzanie aktywami, - bezpieczeństwo zasobów ludzkich, - fizyczne i środowiskowe bezpieczeństwo, - komunikacja i zarządzanie operacji, - kontrola dostępu, - nabywanie systemów informacyjnych, rozwój i utrzymanie, - zarządzanie przypadkami ochrony informacji, - zarządzanie współpracą z klientem. 4. ISO/IEC 27005:2008 Information technology - Security techniąues - Information security risk management. W normie zawarto informacje dotyczące technik

Zarządzanie bezpieczeństwem informacji w organizacji 31 pozwalających na zarządzanie ryzykiem, które mogłoby doprowadzić do naruszenia bezpieczeństwa informacji. 5. PN-ISO/IEC 27006:2009 - Technika informatyczna - Techniki bezpieczeństwa - Wymagania dla jednostek prowadzących audit i certyfikację Systemów Zarzą dzania Bezpieczeństwem Informacji. W normie przedstawiono wymagania i podano wytyczne dla jednostek prowadzących audit i certyfikację SZBI jako uzupełnienie wymagań zawartych w 1SO/IEC 17021 i ISO/IEC 27001. 6. ISO/IEC 27011:2008 Information technology - Security techniques - Informa tion security management guidelines for telecommunications organizations based on ISO/IEC 27002. W normie zamieszczono wytyczne do wprowadzenia SZBI dla organizacji z sektora telekomunikacji. 7. PN-ISO/IEC 27799:2008 - Informatyka w ochronie zdrowia - Wytyczne w zakresie wprowadzenia normy ISO/IEC 17799 w sektorze medycznym - norma jest dokumentem opracowanym na potrzeby instytucji branży medycznej, opisuje możliwości wprowadzania systemu ochrony informacji poprzez wdrożenie wymagań normy ISO/IEC 17799. Dotychczas opracowane normy ISO serii 27000 są spójne z pozostałymi systemami zarządzania wdrażanymi w organizacjach (ISO 9001:2008 oraz ISO 14001:2005). Opracowanie wszystkich norm z rodziny standardów ISO serii 27000 pozwoli w odpowiedni sposób podchodzić do kwestii bezpieczeństwem informacji w każdej organizacji. Do norm pozostających w opracowaniu zalicza się natomiast normy 2 : 1. ISO/IEC 27003 - Technika informatyczna Techniki bezpieczeństwa - Prak tyczne zasady zarządzania bezpieczeństwem informacji - norma zawierać bę dzie wskazówki dotyczące tworzenia, wdrażania Systemu Zarządzania Bezpie czeństwem Informacji. 2. ISO/IEC 27004 - Technika informatyczna - Techniki bezpieczeństwa - Wskaź niki i pomiar w bezpieczeństwie informacji - znaleźć się w niej mają zagadnie nia związane z mierzeniem i raportowaniem efektywności SZBI w odniesieniu zarówno do samego procesu zarządzania bezpieczeństwem, jak i poszczegól nych zabezpieczeń. 3. ISO/IEC 27007 - Technika informatyczna Techniki bezpieczeństwa - Wy tyczne do auditów Systemów Zarządzania Bezpieczeństwem Informacji - w normie zostaną zdefiniowane dobre praktyki dla przeprowadzania auditów wewnętrznych i certyfikacyjnych SZBI. 4. ISO/IEC 27031 - Technika informatyczna - Techniki bezpieczeństwa - Goto wość ICT do ciągłości działania - norma będzie dotyczyć ciągłości działania. 5. ISO/IEC 27032 - Technika informatyczna - Techniki bezpieczeństwa - Wy tyczne w zakresie cyberbezpieczeństwa - sugerowana nazwa normy jest propo zycją dla opracowania standardu dotyczącego bezpieczeństwa w Internecie. 6. ISO/IEC 27033 - norma jest propozycją zastąpienia istniejącej normy ISO/IEC 18028:2006 dotyczącej bezpieczeństwa sieci teleinformatycznych. Składać się ma z siedmiu norm: 2 www.27001.net.

32 Mariusz Giemza ISO/IEC 27033 - l - Information technology Security techniques - Network security Guidelines for network security, - ISO/IEC 27033-2 - Information technology - Security techniques - Network security - Guidelines for design and implementation of network, - ISO/IEC 27033-3 - IT network security - Reference networking scenarios - Risks, design, technologies and control issues, - ISO/IEC 27033 4 - IT network security Security network information with network security getaways - Risks, design techniąues and control issues, - ISO/IEC 27033-5 - IT network security - Secure remote access - Risks, design techniąues and control issues, ISO/IEC 27033-6 - IT network security - Securing Communications across networks using Virtual Private Networks, - ISO/IEC 27033-7 - IT network security - Guidelines for the design and im plementation of network security. 7. ISO/IEC 27034 - Technika informatyczna - Techniki bezpieczeństwa - Wytyczne w zakresie bezpieczeństwa aplikacji. Budowa systemu zarządzania bezpieczeństwem informacji Informacja traktowana jest jako kluczowy towar, któremu przypisuje się odpowiednią wartość, przydatność i znaczenie. Określenie jej wartości jest niezmiernie istotne dla każdego rodzaju organizacji 3. Fakt ten determinuje podejmowanie działań mających na celu zabezpieczenie istotnych dla funkcjonowania informacji przed jakimkolwiek nieautoryzowanym dostępem. Aby ochrona informacji była skuteczna i przynosiła jak najwięcej korzyści, musi być odpowiednio zarządzana. Z tego właśnie względu wiele organizacji wdraża lub deklaruje konieczność wdrożenia SZBI opracowanego na bazie wymagań norm ISO/IEC 27001:2005 oraz ISO/IEC 27002:2005. W normach tych określono wymagania dotyczące ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia udokumentowanego SZBI w kontekście ryzyka, szczególnie ryzyka związanego z prowadzeniem działalności gospodarczej. W normie PN-ISO/IEC 27001:2007 zamieszczono wymagania Systemu Zarządzania Bezpieczeństwem Informacji. Coraz częściej posiadanie certyfikatu na zgodność z tą normą jest podstawowym wymogiem, który organizacja musi spełnić zawierając kontrakty z partnerami handlowymi. Wprowadzenie takiego systemu powinno mieć charakter strategiczny (biorąc pod uwagę potrzeby i cele biznesowe, wymagania bezpieczeństwa, realizowane procesy w organizacji oraz jej wielkość i strukturę organizacyjną). System jest tak zaprojektowany, aby uzyskać zaufanie zainteresowanych stron, a także po to, aby zapewnić odpowiednie zabezpieczenia chroniące aktywa informacyjne. Podobnie jak w innych normach ISO, dotyczących systemów zarządzania w organizacjach, zaleca się stosowanie podejścia procesowe- T. Humphreys, ISMS users welcome ISO/IEC 27001 - the new international benchmark, ISO Management Systems, March - April 2006, s. 9. P. Mąkosa, System zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001:2007 - Wprowadzenie, ABC Jakości. Akredytacja. Badania. Certyfikacja. Quality Review, 2007, nr 1-2, s. 19.

Zarządzanie bezpieczeństwem informacji w organizacji 33 go w celu ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia SZBI. Rysunek l. Model PDCA stosowany w procesach SZBI Źródło: PN-ISO/IEC 27001:2007, s. 7. Poszczególne etapy tego procesu opisane są następująco : 1. Plan (planuj) - jest to etap, w trakcie którego następuje ustanowienie polityki SZBI, celów, procesów, a także procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji, tak aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji. 2. Do (wykonaj) - na tym etapie następuje wdrożenie i realizacja polityki SZBI, zabezpieczeń, procesów oraz procedur. 3. Check (sprawdź) - etap ten obejmuje szacowanie oraz pomiar wydajności pro cesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie kierownictwu raportów do przeglądu. 4. Act (działaj) - następuje podejmowanie działań korygujących i zapobiegaw czych w oparciu o wyniki wewnętrznego auditu SZBI przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłe go doskonalenia SZBI. Zastosowanie tego modelu odzwierciedla również zasady określone w zaleceniach OECD (Organisation for Economic Co-operatlon and Development) dotyczące bezpieczeństwa sieci i systemów teleinformatycznych. Zasady te są następujące: świadomość uczestników, odpowiedzialność uczestników, reakcja uczestników, szacowanie ryzyka, opracowanie i wdrożenie bezpieczeństwa, zarządzanie bezpieczeństwem, powtórne szacowanie. 5 PN-ISO/IEC 27001:2007: Technika informatyczna - Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji - Wymagania, s. 7.

34 Mariusz Giemza Norma PN-ISO/IEC 27001:2007 została zaprojektowana w taki sposób, aby umożliwić każdej organizacji dopasowanie się do zawartych w normie wymagań lub też zintegrowanie SZBI z istniejącymi lub projektowanymi systemami zarządzania, na przykład z ISO 9001:2008 i/lub ISO 14001:2004 (w rozdziale O, punkt 0.3 jest zapis: niniejszą Normę Międzynarodową dostosowano do ISO 9001:2000 i ISO 14001:2004, aby wspierać jej spójne i zintegrowane wdrażanie i eksploatację wraz z innymi normami dotyczącymi zarządzania. Jeden odpowiednio zaprojektowany system zarządzania może zatem spełnić wymagania wszystkich norm" 6. Norma składa się z części podstawowej oraz trzech załączników. Część podstawowa definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi auditami, przeglądami oraz ciągłym doskonaleniem SZBI. W załącznikach zawarto następujące informacje : 1. Załącznik A - zamieszczono cele stosowania zabezpieczeń i zabezpieczenia, załącznik dotyczy rozdziału 4 normy, punkty od A.5 do A. 15. 2. Załącznik B przedstawiono zasady OECD dotyczących bezpieczeństwa telein formatycznego i powiązano z fazami modelu PDCA. 3. Załącznik C zawiera powiązania ISO 9001, ISO 14001 z normą PN-ISO/IEC 27001:2007, wykazano powiązania pomiędzy poszczególnymi punktami wy mienionych norm. Wymagania PN-ISO/IEC 27001:2007 normy nie narzucają rodzaju nośnika informacji, na którym ma być utrwalony ustanowiony SZBI wymagania odnoszą się zarówno do informacji zapisanej w formie pisemnej jak i przechowywanej na nośnikach elektronicznych. Z oczywistych względów zakres dostępu do odpowiednich zasobów informacji, szczególnie gdy system jest w postaci elektronicznej, zależny jest od hierarchii stanowiska osoby zainteresowanej. W rozdziale 4.1. normy zamieszczono wymaganie, iż organizacja powinna ustanowić, wdrożyć, eksploatować, monitorować, przeglądać, utrzymywać i stale doskonalić udokumentowany SZBI w kontekście prowadzonej działalności i ryzyka występującego w organizacji" 8. Podstawą tego procesu jest model PDCA (rysunek 1.). Działania przedstawione w tym modelu określają najistotniejsze cechy Systemu Zarządzania Bezpieczeństwem Informacji 9 : decyzje podejmowane są na podstawie jasno określonych danych wejściowych, elementem systemu jest zdolność samoistnej naprawy SZBI. Poszczególne etapy modelu zostały opisane w rozdziale 4.2 normy, w którym przedstawiono działania, jakie organizacja powinna podjąć na każdym z etapów. Wszystkie te działania są wymagane przez normę w celu kompletnego wdrożenia SZBI w organizacji. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji Wdrożenie Systemu Zarządzania Bezpieczeństwa Informacji rozpoczyna się od zdefiniowania zakresu i granic systemu (uwzględniając profil prowadzonej działal- 6 ibidem, s. 35-36. ibidem, s. 20-36. 8 ibidem, s. 10. 9 P. Mąkosa, op. cit., s. 21-22.

Zarządzanie bezpieczeństwem informacji w organizacji 35 ności, organizację, aktywa i technologie). Kolejnym etapem jest opracowanie Polityki SZBI, czyli dokumentu wyznaczającego kierunek działania w zakresie bezpieczeństwa informacji w organizacji. Powinna zawierać także kryteria zarządzania ryzykiem w organizacji oraz metody i techniki wykorzystywane podczas analizy i zarządzania ryzykiem. Ważne jest, aby proces zarządzania ryzykiem (a także analiza ryzyka) był ciągle doskonalony zgodnie z założeniami modelu cyklu PDCA. Wymagania normy nakładają na organizację obowiązek zdefiniowania i opisania tego procesu oraz wyznaczania kryteriów akceptowania ryzyka. Ogólnie metody stosowane do oceny ryzyka dzielą się na 10 : 1. Metody jakościowe (qualitative) - wyniki uzyskuje się w postaci określeń typu: ryzyko większe niż..., podobne jak..., proces analizy związków przyczynowo- -skutkowych jest dość szczegółowy. 2. Metody ilościowe (quantitative) - wyniki analizy uzyskuje się w konkretnych jednostkach miary, zwykle w kwotach pieniężnych, powstałych z pomnożenia wielkości prawdopodobieństwa niekorzystnego zdarzenia i potencjalnych strat; prawdopodobieństwo pełni rolę współczynnika wagowego. Zakończeniem ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji jest dokumentacja wdrożonego systemu, która powinna zawierać: udokumentowane cele polityki i deklaracje, zakres systemu, zabezpieczenia i procedury wspomagające system, opis metod szacowania ryzyka, plan postępowania z ryzykiem, udokumentowane procedury potrzebne do zapewnienia skutecznego planowania, eksploatacji i sterowania procesami bezpieczeństwa informacji oraz pomiaru skuteczności zabezpieczeń, zapisy wymagane przez normę PN-ISO/IEC 27001:2007, deklarację stosowania (która dostarcza podsumowania dotyczącego postępowa nia z ryzykiem ). Każdy ustanowiony i wdrożony System Zarządzania Bezpieczeństwem Informacji powinien zawierać odniesienie do wymagań normy w udokumentowanych procedurach (zdefiniowanych, udokumentowanych, wdrożonych i utrzymywanych) określonych w normie. Ostatnim etapem ustanowienia systemu jest zaakceptowanie go przez najwyższe kierownictwo. Chodzi przede wszystkim o akceptację ryzyka szczątkowego oraz wydanie rozporządzeń wewnętrznych, które umożliwiają wdrożenie ustanowionego Systemu Zarządzania Bezpieczeństwem Informacji. Kwestii zaangażowania kierownictwa poświęcono osobny rozdział normy (Rozdział 5 - Odpowiedzialność kierownictwa). W rozdziale tym zamieszczono wymaganie, w myśl którego kierownictwo powinno być zaangażowane w ustanowienie, wdrożenie, eksploatację, monitorowanie, przegląd, utrzymanie i doskonalenie systemu poprzez: ustanowienie Polityki Bezpieczeństwa Informacji, 10 A. Białas, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, Warszawa 2006, s.76.

36 Mariusz Giemza zapewnienie, że cele i plany systemu zostały ustanowione, określenie ról i zakresów odpowiedzialności dotyczących bezpieczeństwa infor macji, informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informa cji i zgodności z Polityką Bezpieczeństwa Informacji, a także odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia, zapewnienie zasobów do ustanowienia, wdrażania, eksploatacji, monitorowania, przeglądania, utrzymywania i doskonalenia systemu (zasoby potrzebne do zapewnienia, że procedury bezpieczeństwa informacji wspierają działania bizne sowe, identyfikacji i odniesienia się do wymagań prawnych i nadzoru oraz zobowiązań wynikających z umów, utrzymywania odpowiedniego bezpieczeń stwa poprzez zastosowanie wszystkich wdrażanych zabezpieczeń, przeprowa dzania przeglądów oraz poprawy skuteczności systemu), podejmowanie decyzji dotyczących akceptacji ryzyka i jego akceptowalnego poziomu, zapewnienie przeprowadzania auditów wewnętrznych, przeprowadzanie przeglądów systemu realizowanych przez kierownictwo. Wdrożenie i eksploatacja Systemu Zarządzania Bezpieczeństwem Informacji Na tym etapie następuje przygotowanie planu postępowania z ryzykiem, który określa odpowiednie działania kierownictwa, zakresy odpowiedzialności i priorytety dla zarządzania ryzykiem związanym z bezpieczeństwem informacji. Niezbędne jest wdrożenie zabezpieczeń, które zostały wybrane na etapie ustanawiania SZBI. Przede wszystkim należy jednak wdrożyć procedury zapewniające sprawne działanie całego systemu, a więc procedury i zabezpieczenia z zakresu zarządzania ryzykiem, eksploatacją i zasobami oraz ze zdolnością do możliwie najszybszego wykrycia przypadków związanych z naruszeniem bezpieczeństwa i podjęcia odpowiednich działań. Ponadto organizacja ma obowiązek zapewnić, że personel mający przypisane zakresy odpowiedzialności posiada kompetencje do realizacji wymaganych zadań poprzez: określenie koniecznych kompetencji, które mają wpływ na SZBI, zapewnienie odpowiednich szkoleń lub podjęcie innych działań mających na celu realizację tych potrzeb, ocenę skuteczności zapewnionego szkolenia i podjętych działań, prowadzenie zapisów dotyczących edukacji, umiejętności, szkolenia, doświad czenia i kwalifikacji. Świadomość funkcjonowania systemu w organizacji jest czynnikiem bardzo ważnym, dlatego na szkoleniach zasady jego działania powinny zostać przedstawione w sposób jasny i zrozumiały, tak aby wszyscy pracownicy poprawnie je interpretowali. Ważna jest rola najwyższego kierownictwa, które powinno wykazywać postawę pełnej akceptacji wdrażanego SZBI. Szkolenia powinny być prowadzone okresowo oraz stanowić element szkoleń wewnętrznych dla nowych pracowników. Monitorowanie i przegląd Systemu Zarządzania Bezpieczeństwem Informacji Jedną z najważniejszych cech SZBI jest zdolność samoistnego doskonalenia. Aby mogło to nastąpić, już na etapie przygotowywania systemu należy przewidzieć

Zarządzanie bezpieczeństwem informacji w organizacji 37 mechanizmy, które będą odpowiedzialne za reagowanie na błędy systemu oraz incydenty związane z bezpieczeństwem informacji w organizacji, a także procedury okresowych przeglądów systemu. Wdrożone procesy muszą być inicjowane nie tylko w czasie, gdy zaistnieje sytuacja wymagająca ich zastosowania, ale również w przypadku, gdy istnieje prawdopodobieństwo wystąpienia niepożądanej sytuacji. Działania zapobiegawcze świadczą o prawidłowym zaprojektowaniu mechanizmów służących ciągłemu doskonaleniu systemu (opracowanie okresowych działań lub narzędzi monitorujących służy ciągłemu doskonaleniu poprzez dostarczanie danych wejściowych, których analiza pozwala na podjęcie odpowiednich decyzji w celu doskonalenia systemu). Podstawowymi narzędziami służącymi do monitorowania SZBI są: regularne przeglądy skuteczności systemu (w tym zgodności z polityką i celami systemu oraz przeglądami zabezpieczeń), wykonywane na podstawie wyników auditów bezpieczeństwa, incydentów, rezultatów pomiarów skuteczności, sugestii oraz informacji zwrotnych od wszystkich zainteresowanych stron, przeglądy szacowania ryzyka w zaplanowanych odstępach czasu, przeglądy ryzyka szczątkowego oraz przeglądy poziomów ryzyka akceptowalnego (biorąc pod uwagę zmiany zachodzące w organizacji, technologii, celów biznesowych i procesów, zidentyfikowanych zagrożeń, skuteczności wdrożonych zabezpie czeń oraz zewnętrznych zdarzeń), audity wewnętrzne systemu w zaplanowanych odstępach czasu (wykonywanych przez organizację lub w jej imieniu na potrzeby wewnętrzne), przeglądy systemu realizowane przez kierownictwo (w celu zapewnienia, że zakres jest odpowiedni oraz udoskonalenia procesu SZBI są zidentyfikowane), uaktualnianie planów bezpieczeństwa (na podstawie wyników monitorowania i przeglądów działalności), rejestrowanie działań i zdarzeń mogących mieć wpływ na skuteczność lub wydajność realizacji systemu. Utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji Mając opracowane i wdrożone procedury dotyczące reagowania na błędy, incydenty oraz niezgodności, wykryte podczas przeglądu SZBI muszą skutkować podjęciem odpowiednich działań korygujących lub zapobiegawczych. Zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007 wszystkie procedury działań zapobiegawczych powinny być udokumentowane. W normie zamieszczono zapis, że należy również wyciągać wnioski z doświadczeń w dziedzinie bezpieczeństwa informacji, nie tylko własnych, ale także innych organizacji (pkt 4.2.4). Działania zapobiegawcze są istotnym elementem świadczącym o prawidłowym zrozumieniu funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji. Powinny usuwać zarówno przyczynę szkody, jak i jej skutki. Obowiązkiem organizacji jest wdrażanie do systemu wszystkich udoskonaleń oraz zapewnienie, że osiągną one zamierzone cele. Podsumowanie Funkcjonowanie i rozwój większości organizacji uzależnione jest od ciągłego dostępu do określonych informacji. Utrata integralności i poufności informacji może

38 Mariusz Giemza spowodować straty finansowe, konsekwencje prawne, a także wpłynąć na wizerunek organizacji. Może również przesądzić ojej istnieniu na rynku. Najważniejszym powodem wdrażania w organizacji systemu opartego na normie PN-ISO/IEC 27001:2007 jest zapewnienie możliwie jak najwyższego poziomu bezpieczeństwa informacji. System Zarządzania Bezpieczeństwem Informacji dotyczy nie tylko wszystkich procesów przebiegających w organizacji, ale także ludzi w niej zatrudnionych (od pracowników najniższego szczebla aż do najwyższego kierownictwa) oraz współpracujących organizacji i klientów. Ważne są wszystkie obszary bezpieczeństwa - osobowe, prawne i fizyczne. Jak każdy normatywny system zarządzania winien być poddany procesowi certyfikacji. Certyfikowany system jest dowodem rzetelnego podejścia pracowników do zagadnienia bezpieczeństwa informacji. Przynosi także organizacji wiele korzyści, np. obniżenie kosztów działania i zwiększenie wydajności, uświadomienie ryzyka związanego z bezpieczeństwem, ochronę samej organizacji, uruchomienie brakujących procesów, powiększenie grona klientów, uzyskanie przewagi nad konkurencją czy też satysfakcja klientów, co w konsekwencji przekłada się na korzyści materialne. Certyfikowany System Zarządzania Bezpieczeństwem Informacji może właściwie zabezpieczyć organizację przed utratą, kradzieżą czy podmianą informacji oraz skutkami tych zdarzeń. Wdrażanie takich systemów ma kluczowe znaczenie dla organizacji i jej wizerunku. Literatura [1] Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, Warszawa 2006. [2] Humphreys T., ISMS users welcome ISO/IEC 27001 - the new International benchmark, ISO Management Systems, March-April 2006. [3] Mąkosa P., System zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001:2007 - Wprowadzenie, ABC Jakości. Akredytacja. Badania. Certyfikacja. Quality Review 2007, nr 1-2. [4] Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, Dz.U. 1993, nr 47,poz. 211. [5] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. 1997, nr 133, poz. 883. [6] Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Dz.U. 1999, nr 11, poz. 95. [7] Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych, Dz.U. 2001, nr 128, poz. 1402. [8] Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej, Dz.U. 2001, nr 112, poz. 1198. [9] Źródło internetowe: www.27001.net.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres