Artykuł ten jest kontynuacją cyklu poświęconego zarządzaniu bezpieczeństwem informacji zgodnemu z normą ISO/IEC 27001. W kolejnej części zostanie omówiony jeden z modeli zarządzania bezpieczeństwem systemów informatycznych (PDCA).
1. Wprowadzenie
ISO/IEC 27001:20051 jest międzynarodowym standardem dotyczącym zarządzania bezpieczeństwem informacji wydanym w 2005 r. przez ISO (International Organization for Standardization) i Międzynarodowy Komitet Elektrotechniczny (International Electrotechnical Commission), opracowanym na podstawie wycofanej już brytyjskiej normy BS7799-2:2002. Istnieją również wydane przez Polski Komitet Normalizacyjny polskie odpowiedniki obu standardów – aktualny PN-ISO/IEC 27001:2007 oraz wycofany PN-I-07799:2005. ISO/IEC 27001:2005 określa wymagania dla ustanowienia, wdrożenia, zarządzania, monitorowania i przeglądu udokumentowanego systemu zarządzania bezpieczeństwem informacji (SZBI) oraz 11 obszarów mechanizmów kontrolnych obejmujących:
- politykę bezpieczeństwa,
- organizację bezpieczeństwa,
- zarządzanie aktywami,
- bezpieczeństwo zasobów ludzkich,
- bezpieczeństwo fizyczne i środowiskowe,
- zarządzanie systemami i sieciami,
- kontrolę dostępu,
- pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
- zarządzanie incydentami bezpieczeństwa,
- zarządzanie ciągłością działania,
- zapewnienie zgodności z wymaganiami wewnętrznymi i prawnymi.
Na tej podstawie należy stwierdzić, iż opisywany standard gwarantuje w pełni kompleksowe podejście do problemu bezpieczeństwa informacji, obejmując swym zakresem nie tylko zagadnienia związane z teleinformatyką, lecz również z bezpieczeństwem osobowym, fizycznym oraz organizacyjno-prawnym.
2. Standard ISO/IEC 27001
Wg PN 1-0/799-2:2005 system zarządzania bezpieczeństwem informacji (ISMS – Information Security Management System)2 to część całościowego systemu zarządzania oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.
ISMS dotyczy struktury organizacyjnej, polityki, zaplanowanych działań, zakresów odpowiedzialności, zasobów, procesów oraz procedur. Na proces planowania i implementacji ISMS wpływają potrzeby i cele biznesowe, wymagania bezpieczeństwa, wykonywane procesy oraz wielkość i struktura jednostki. Wdrożenie systemu zarządzania bezpieczeństwem informacji powinno być dla organizacji decyzją strategiczną.
USTANOWIENIE SZBI (ISMS)
Ustanowienie efektywnie działającego ISMS wymaga systematycznego podejścia i zwykle prowadzone jest w ramach kilku etapów (rys. 1)3.
Zakres ISMS powinien uwzględniać charakter prowadzonej działalności, zasoby będące w posiadaniu jednostki oraz jej lokalizację i stosowane technologie.
Opracowując politykę ISMS, należy wziąć pod uwagę te same parametry, co w przypadku określania zakresu systemu. Ponadto dokument ten powinien:
- zawierać cele i zasady działania dotyczące zarządzania bezpieczeństwem informacji;
- uwzględniać wymagania biznesowe, prawne, kierownictwa i zobowiązania wynikające z umów;
- wyznaczać kontekst strategiczny oraz kontekst zarządzania ryzykiem;
- wskazywać kryteria oceny ryzyka i strukturę jego szacowania;
- być zaakceptowany przez kierownictwo.
Systematyczne podejście do szacowania ryzyka wymaga:
- wskazania odpowiedniej metody działania;
- określenia bezpieczeństwa informacji w odniesieniu do ryzyka biznesowego, wymagań prawnych i nadzoru;
- ustanowienia polityki ISMS w celu zmniejszenia ryzyk do akceptowalnego poziomu;
- wskazania kryteriów akceptowania ryzyka;
- zidentyfikowania akceptowalnych poziomów ryzyka.
Identyfikacja rodzajów ryzyka polega na:
- wskazaniu zasobów i ich gestorów będących w zakresie ISMS;
- określeniu zagrożeń dla zidentyfikowanych zasobów;
- wskazaniu podatności dla zidentyfikowanych zasobów;
- określeniu skutków materializacji zagrożenia.
Szacowanie ryzyka polega na:
- oszacowaniu potencjalnych strat biznesowych wynikających z naruszenia bezpieczeństwa informacji;
- określeniu realnego prawdopodobieństwa wystąpienia niekorzystnych dla jednostki zdarzeń;
- wyznaczeniu poziomu zidentyfikowanych rodzajów ryzyka; określeniu, czy ryzyko jest akceptowalne.
Istnieją następujące warianty traktowania ryzyka:
- wdrożenie zabezpieczeń,
- unikanie ryzyka,
- zaakceptowanie ryzyka,
- transfer ryzyka, np. na ubezpieczycieli.
Cele stosowania zabezpieczeń i odpowiednie mechanizmy zabezpieczające można wybrać na podstawie załącznika A normy PN-I-07799-2, lecz nie jest to lista wyczerpująca i w niektórych przypadkach celowe jest również użycie zabezpieczeń dodatkowych.
W deklaracji stosowania ISMS powinny być wymienione: zabezpieczenia, uzasadnienie ich wyboru oraz udokumentowane cele stosowania zabezpieczeń.
WDROŻENIE I EKSPLOATACJA SZBI (ISMS)
W celu prawidłowego wdrożenia i eksploatacji ISMS organizacja powinna wykonać kilka podstawowych działań4 (rys. 2).
MONITOROWANIE I PRZEGLĄD SZBI (ISMS)
W ramach monitorowania i przeglądu organizacja powinna:
- wykonywać procedury szybkiego reagowania na incydenty naruszenia bezpieczeństwa informacji;
- realizować regularne przeglądy skuteczności ISMS (zgodność z polityką i celami oraz przegląd zabezpieczeń) z wykorzystaniem wyników audytów bezpieczeństwa;
- wykonywać przeglądy poziomu ryzyka szczątkowego oraz akceptowalnego z uwzględnieniem zmian technologicznych, celów biznesowych, zagrożeń, uregulowań normatywnych i ustawowych;
- przeprowadzać wewnętrzne audyty ISMS z odpowiednio dobraną częstotliwością działań;
- wykonywać przeglądy ISMS realizowane przez kierownictwo (przynajmniej raz w roku).
UTRZYMANIE I DOSKONALENIE SZBI (ISMS)
W celu skutecznego utrzymania i doskonalenia ISMS organizacja powinna wykonać kilka podstawowych działań5 (rys. 3).
Wymagania dotyczące dokumentacji
Prawidłowo opracowana dokumentacja ISMS zawiera:
- deklaracje polityki bezpieczeństwa i celów stosowania zabezpieczeń;
- określenie zakresu ISMS oraz zabezpieczeń potrzebnych do realizacji ISMS;
- raport z procesu szacowania ryzyka;
- plan postępowania z ryzykiem;
- udokumentowane procedury niezbędne do zapewnienia efektywnego zarządzania bezpieczeństwem informacji;
- deklarację stosowania.
W zależności od wielkości organizacji, rodzaju prowadzonej działalności oraz złożoności wymagań bezpieczeństwa zakres dokumentacji ISMS będzie odmienny.
Dokumenty mogą mieć dowolną formę i mogą być przechowywane na dowolnym typie nośnika.
Zasady udostępniania dokumentacji określone są w polityce ISMS.
Przegląd realizowany przez kierownictwo
Norma PN-I-07799-2:2005 zobowiązuje kierownictwo do przeprowadzania regularnych przeglądów ISMS, mających na celu zapewnienie, że system działa poprawnie i skutecznie oraz jest adekwatny do potrzeb organizacji. Przegląd obejmuje ocenę możliwości doskonalenia i potrzeby zmian w ISMS. Wyniki przeglądu powinny być jasno udokumentowane.
Dane wejściowe i wyjściowe przeglądu
Można wskazać następujące dane wejściowe przeglądu realizowanego przez kierownictwo:
- wyniki audytów i przeglądów ISMS,
- informacje zebrane od zainteresowanych stron,
- techniki i procedury możliwe do zastosowania w organizacji w celu udoskonalenia ISMS,
- informacje na temat działań korygujących i naprawczych,
- podatności lub zagrożenia nieobjęte poprzednim oszacowaniem ryzyka,
- działania podjęte w ramach wdrażania rekomendacji z poprzednich przeglądów wykonanych przez kierownictwo,
- zmiany w zakresie ISMS,
- zalecenia dotyczące doskonalenia ISMS.
Do danych wyjściowych omawianego przeglądu należą działania i decyzje mające związek z:
- doskonaleniem ISMS,
- zmianami procedur w zakresie bezpieczeństwa informacji,
- potrzebnymi zasobami.
Wewnętrzne audyty
Wewnętrzne audyty ISMS powinny być odpowiednio zaplanowane i prowadzone regularnie. Celem działań audytowych jest weryfikacja:
- zgodności z wymaganiami normy PN-I-07799-2:2005 innymi regulacjami prawnymi i normatywnymi;
- zgodności z wymaganiami bezpieczeństwa informacji;
- efektywności wdrożenia i utrzymania systemu zarządzania bezpieczeństwem informacji;
- zgodności działania ISMS z zamierzeniami.
Program audytu powinien wskazywać kryteria, zakres, częstotliwość i przyjętą metodykę audytu.
- Na podstawie witryny http://www.iso27000.pl/ firmy PBSG.
- Zamiennie zamiast skrótu ISMS można stosować skrót SZBI. Takie podejście stosowane jest także w niniejszej pracy
- Na podstawie Marian Molski, Małgorzata Łacheta „Przewodnik audytora systemów informatycznych”.
- Na podstawie Marian Molski, Małgorzata Łacheta „Przewodnik audytora systemów informatycznych”.
- Na podstawie Marian Molski, Małgorzata Łacheta „Przewodnik audytora systemów informatycznych”.
Andrzej Wójcik
Zabezpieczenia 5/2008