 Normy ISO serii 27000 to zbiór najlepszych praktyk w tym zakresie. Certyfikat wydany przez niezależną jednostkę certyfikującą stanowi jednoznaczny dowód podjęcia wszelkich kroków w celu zabezpieczenia istotnych informacji przed nieautoryzowanym dostępem lub zmianami.
To jest proces
ISO 27000 zapewnia kompleksowe podejście do tego problemu z uwzględnieniem informacji - gromadzonych w każdej formie - cyfrowej, papierowej, a także wiedzy poszczególnych osób.
Normy ISO serii 27000 to przede wszystkim:
- Poufność - zapewnienie dostępu do informacji tylko osobom upoważnionym.
- Integralność - zapewnienie dokładności i kompletności informacji oraz metod ich przetwarzania.
- Dostępność - zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne.
Warunkiem koniecznym uzyskania certyfikatu jest wdrożenie skutecznego, zgodnego z wymaganiami normy Systemu Zarządzania Bezpieczeństwem Informacji (ang. Information Security Management System).
Ubiegając się o certyfikat, należy rozważyć: potrzeby i cele, realizowane zadania, wielkość i strukturę jednostki, wymogi prawne oraz wynikające z nich wymagania bezpieczeństwa. Aby osiągnąć powyższe cele, niezbędne jest systematyczne podejście, obejmujące całość zagadnień z tym związanych.
Krok po kroku
Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji jest procesem długotrwałym - zwraca uwagę portal iso27000.pl - wymagającym przeprowadzenia szeregu czynności. Wpływ na czas wdrożenia i certyfikowania SZBI ma między innymi wielkość organizacji. Niemniej jednak w procesie tym można wskazać następujące etapy:
1. Uzyskanie wsparcia od kierownictwa.
Łatwiej powiedzieć niż zrobić. Dobrym sposobem jest wskazanie kierownictwu na przykład aktualnych luk bezpieczeństwa, zagrożeń i ewentualnych strat, wynikających z braku systemu oraz korzyści, jakie daje jego posiadanie.
2. Zdefiniowanie zakresu SZBI.
Należy wskazać, co system zarządzania bezpieczeństwem informacji będzie obejmował, na przykład jakie jednostki, departamenty, zespoły, systemy itd.
3. Kolejne równolegle etapy to:
- Przygotowanie Deklaracji Stosowania.
Należy określić cele stosowania zabezpieczeń oraz zabezpieczenia odpowiednie dla budowanego przez organizację SZBI oraz uzasadnić, które są odpowiednie, a które nie.
- Zinwentaryzowanie zasobów.
Inwentaryzacja powinna obejmować wszystkie systemy informacyjne, sieci, bazy danych, inne zasoby informacyjne, dokumenty itd. zgodnie ze zdefiniowanym zakresem SZBI.
4. Przeprowadzenie analizy ryzyka.
Aby przeprowadzić analizę ryzyka, najlepiej skorzystać z gotowej i uznanej metodyki. Istnieją różne metody analizy ryzyka. Przykład metody został omówiony na przykład w normie ISO/IEC TR 13335 Information technology - Guiedlines for the management of IT Security.
5. Przygotowanie Planu Postępowania z Ryzykiem.
Plan przedstawia jakie zabezpieczenia będą zastosowane w celu ograniczenia zidentyfikowanych ryzyk, zwykle poprzez odwołanie się do zabezpieczeń proponowanych w ISO/IEC 27002, innych standardów lub dobrych praktyk, stosowanych w organizacji.
6. Opracowanie programu wdrażania SZBI.
Etap ten polega na opracowaniu ogólnego programu, zbudowanego z szeregu pojedynczych projektów wdrożeniowych. Projekty odnoszą się do zbioru dobrych praktyk, opisanych w standardzie ISO/IEC 27002. Na tym etapie osoby odpowiedzialne za tworzenie SZBI zazwyczaj potrzebują pomocy doświadczonych profesjonalistów z zakresu bezpieczeństwa informacji (szczególnie w zakresie kierowania grupą roboczą, odpowiedzialną za tworzenie SZBI). Opracowanie projektów wymaga również współpracy z różnymi komórkami organizacyjnymi, takimi jak IT, audytu wewnętrznego, ryzyka, zgodności, HR czy finansowa.
7. Implementacja programu wdrożenia SZBI.
Na tym etapie implementuje się zabezpieczenia zgodnie z opracowanym programem wdrażania SZBI. Poszczególne projekty programu realizowane są przez różne komórki organizacyjne. Ważne jest, aby całość prac była nadzorowana i zarządzana.
8. Eksploatacja SZBI.
Na SZBI składa się szereg procesów, którym towarzyszą polityki, standardy, procedury, wytyczne itd. Należy pamiętać, że budowanie systemu bezpieczeństwa nie polega na jednostkowym wdrożeniu. Jest to ciągły i stale trwający proces, co doskonale oddają słowa Bruce Sheiner’a: "Bezpieczeństwo nie jest produktem, lecz procesem". Proces ten wymaga finansowania, ciągłego kierowania oraz doskonalenia, aby zapewnić, że jest on odpowiedni i sprawdza się w organizacji.
9. Dokumentowanie SZBI.
SZBI mieści w sobie szereg dokumentów, takich jak opracowane polityki bezpieczeństwa, standardy, procedury, wytyczne itp. Oprócz tego, w trakcie eksploatacji systemu generowane są różnego rodzaju zapisy, na przykład raporty z analizy ryzyka, różne logi, raporty z przeglądu logów, raporty z audytów itp. Dokumentacja, wchodząca w skład SZBI, wymaga właściwego przechowywania oraz zarządzania. Ma ona decydujące znaczenie zarówno dla zapewnienia poprawnej eksploatacji systemu i w celu potwierdzenia (w szczególności przed audytorami), że ustanowiony i wdrożony system funkcjonuje i jest efektywny.
10. Sprawdzanie zgodności.
Nie zawsze jest tak, że wdrożone i przekazane do wykonania zarządzenia rzeczywiście będą wykonywane. Rozdział 15 normy ISO/IEC 27002 zawiera zabezpieczenia, dotyczące zapewnienia zgodności, zarówno z wewnętrznymi (na przykład polityką bezpieczeństwa) jak i zewnętrznymi (na przykład przepisy prawa) wymaganiami.
11. Podejmowanie działań korygujących.
Wynikiem przeglądów powinny być działania korygujące, mające na celu wyeliminowanie wszelkich zidentyfikowanych niezgodności oraz niedoskonałości, a tym samym zapewniające ciągłe ulepszanie SZBI. Zarządzanie systemem oparte na pętli Deminga PDCA (ang. Plan-Do-Check-Act) umożliwia systematyczne i ciągłe dostosowywanie systemu do wymagań narzucanych przez sytuację przy jednoczesnym uwzględnieniu ryzyka, związanego z bezpieczeństwem informacji.
12. Ocena przedcertyfikacyjna.
Kiedy SZBI zostanie wdrożony, a jego funkcjonowanie ustabilizuje się, kierownictwo powinno podjąć decyzję o przeprowadzeniu audytu sprawdzającego, czy SZBI funkcjonuje poprawnie (na przykład prace w tym zakresie można zlecić zewnętrznemu konsultantowi). Audyt ten jest obszerną oceną zgodności, w czasie której dokonuje się przeglądu między innymi Deklaracji Stosowania oraz Planu Postępowania z Ryzykiem. Etap ten ma na celu upewnienie się, że w trakcie wdrażania SZBI nic ważnego nie pominięto.
13. Audyt certyfikacyjny.
W przypadku wdrożonego i poprawnie funkcjonującego systemu, kierownictwo może podjąć decyzję o przeprowadzeniu certyfikacji. W tym przypadku wybiera i zaprasza się akredytowaną organizację certyfikującą. Audytorzy sprawdzają istnienie dowodów świadczących o wdrożeniu i funkcjonowaniu SZBI, takich jak Polityka Bezpieczeństwa, Deklaracja Stosowania, Plan Postępowania z Ryzykiem, zapisy operacyjne itd. Audytorzy starają się potwierdzić, że System Zarządzania Bezpieczeństwem Informacji jest odpowiedni i wystarczający, aby spełnić wymagania organizacji. Audytorzy potwierdzają również, czy ustanowiona polityka bezpieczeństwa jest stosowana w praktyce.
Gdy system zostanie prawidłowo wdrożony i korygowany, przyniesie istotne korzyści. Jakie? Trudno to oszacować. Ale widać je wyraźnie, gdy z powodu braku SZBI organizacja ponosi ogromne straty.
Opr. CR |
