Pełen artykuł
Transkrypt
Pełen artykuł
BOSTON Tendencje Zarządzanie bezpieczeństwem informacji Bezpieczeństwo informacji można zdefiniować jako systematyczne podejście do zarządzania kluczowymi informacjami firmy w celu zapewnienia ich bezpieczeństwa. Obejmuje ono ludzi, procesy i systemy informatyczne. To ostanie zdanie należy szczególnie dobrze zapamiętać. W dzisiejszych czasach nie możemy bowiem ograniczać bezpieczeństwa do samych tylko systemów informatycznych. Takie podejście bowiem nie poprawi poziomu bezpieczeństwa w naszej organizacji, a spowoduje wzrost kosztów. Ł amałem ludzi, nie hasła” - pisze w swojej książce chyba najsłynniejszy hacker, Kevin Mitnick, Tym stwierdzeniem dowodzi on, że na bezpieczeństwo informacji należy spojrzeć z szerszej perspektywy niż tylko informatycznej. Podejście to potwierdza również organizacja normalizacyjna ISO, która wydała międzynarodową normę ISO 27001 specyfikującą wymagania wobec Systemu Zarządzania Informacją. Norma ta oparta jest na powszechnie znanym standardzie brytyjskim BS 7799-2 (polskie tłumaczenie PN-I-07799-2). Komu zależy na bezpieczeństwie informacji? Intuicyjnie nasuwa się odpowiedź, że każda organizacja potrzebuje chronić swoje informacje i postępować z nimi w sposób gwarantujących ich bezpieczeństwo, tj. poufność, integralność i dostępność. W dzisiejszych czasach, gdy informacja jest w wielu wypadkach towarem cenniejszym niż dobra materialne, takie myślenie ma uzasadnienie. W każdej firmie znajdują się komputery, a w nich MB, jeśli nie GB cennych danych. A i to nie wszystko. Na regałach mamy jeszcze rzędy segregatorów, a w szafach archiwizacyjnych masę teczek. Czy wszystkie te informacje należy chronić w jednakowo restrykcyjny sposób? – Nie. O tym jakie wprowadzić zabezpieczenia i czy rzeczywiście są one potrzebne decydują klasy informacji i ryzyka, jakie niesie ze sobą utrata jednego z atrybutów bezpieczeństwa tych informacji (poufność, integralność, dostępność). Przy określaniu ryzyka związanego z danym typem informacji z pomocą przychodzi nam audit bezpieczeństwa. Dobry audit (kompleksowo przeprowadzony i obejmujący wszystkie elementy Systemu Zarządzania Bezpieczeństwem Informacji) powinien pomóc nam odpowiedzieć na pytania: • jakie aktywa informacyjne mamy w organizacji (inwentaryzacja aktywów informacyjnych), • jaką klasyfikację danych obecnie stosujemy, • jakie zabezpieczenia wprowadziliśmy na ile są one skuteczne i stosowane. Taki audit „stanu zerowego” powinien być wstępem do tworzenia Systemu Zarządzania Bezpieczeństwem Informacji. Na tym poprzestać jednak nie można. Definicja auditów w normie ISO 9000:2005 (na której bazują wszystkie inne normy specyfikujące wymagania względem systemów zarządzania) mówi: „audit to systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów oraz ich obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu”. Zatem organizacja, która zdecydowała się opracować Politykę Bezpieczeństwa, musi auditować bezpieczeństwo w sposób ciągły. W ten sposób mamy już pierwszą kategorię organizacji potrzebujących auditów bezpieczeństwa informacji - firmy, które wdrożyły System Zarządzania Bezpieczeństwem Informacji. Czy jednak tylko one potrzebują auditu? - Nie. Nie używamy komputera wyłącznie do gry w pasjansa Wszędzie tam gdzie przekazywana jest informacja pomiędzy zleceniodawcą a odbiorcą coraz częściej pojawia się wymóg zagwarantowania jej poufności, dostępności w każdym momencie, integralności i niezaprzeczalności. Są to wcześniej wspomniane atrybuty bezpieczeństwa informacji. W obecnych czasach PIOTR WRZESIŃSKI Jest konsultantem IsecMana. Zajmuje się aspektami związanymi z systemami zarządzania od 7 lat. Jest czynnym auditorem i konsultantem systemów zarządzania takich jak: bezpieczeństwo informacji wg ISO 27001, jakość wg ISO 9001 i środowisko wg ISO 14001. Autor wielu szkoleń i specjalista w dziedzinie bezpieczeństwa informacji w jednostkach certyfikacyjnych, doradca dla firm z różnych branż gospodarki. 18 www.boston-review.com podmioty współpracujące lub pracujące dla banków, towarzystw ubezpieczeniowych, firm windykacyjnych i firm marketingowych prowadzących bazy danych osobowych są zobowiązane do wprowadzenia zasad bezpieczeństwa informacji i wykazania się wynikiem auditu bezpieczeństwa informacji. W firmach pracujących dla sektora bankowego spotkałem się nawet ze swoistym rodzajem auditu bezpieczeństwa drugiej strony (czyli zleceniodawca przeprowadza badanie u swojego odbiorcy). Do tej pory sytuacja taka miała miejsce powszechnie w sektorze motoryzacyjnym, budowlanym, medycznym i farmaceutycznym, a podstawą auditów był System Zarządzania Jakością w oparciu o wymagania norm: ISO 9001, ISO/TS 16949 czy też ISO 13485. Podobieństwo bezpieczeństwa informacji i jakości nie poprzestaje tylko na wcześniej wspomnianych auditach dostawców. Kiedyś trapił nas problem jakości wyrobów i pracy organizacji. Wówczas w odpowiedzi na takie zapotrzebowanie powstał System Zarządzania Jakością i norma ISO 9001. Później w wyniku troski o środowisko naturalne powstał System Zarządzania Środowiskowego i norma ISO 14001. W tym samym mniej więcej czasie zajęto się bezpieczeństwem i higieną pracy i opracowano specyfikację OHSAS 18001. Teraz nadszedł czas „społeczeństwa informacyjnego” i coraz większe znaczenie ma bezpieczeństwo informacji i regulacja w postaci normy ISO 27001. Czy możemy stwierdzić, że nasza organizacja nie potrzebuje systemu zarządzania bezpieczeństwem informacji? Jeśli używamy komputera wyłącznie do gry w pasjansa, to tak. W przeciwnym wypadku zapewne już nieświadomie jakieś zabezpieczenia wprowadziliśmy sami lub zrobiła to za nas komórka IT. Wszyscy zapewne słyszeliśmy w telewizji lub w radiu o przypadkach ujawnienia istotnych danych na śmietnikach, o odtwarzaniu danych z twardych dysków, które pochodziły z zakupionych na giełdzie sprzętów komputerowych, czy też o kradzieżach laptopów z bardzo ważnymi danymi prominentnych osób w kraju. Czy naszą organizację stać na takie sytuacje? – Z pewnością nie. Z tego właśnie powodu należy jak najszybciej przeprowadzić audit bezpieczeństwa informacji, a następnie opracować system zarządzania bezpieczeństwem informacji. Dziś bezpieczeństwo informacji to już nie tylko moda i cenny papierek, ale także wymóg nowoczesnej gospodarki, w której, funkcjonujemy bez względu na to, czy nam się to podoba, czy też nie. ◆ Nr 1/2007 (2)