Pełen artykuł

BOSTON
Tendencje
Zarządzanie
bezpieczeństwem informacji
Bezpieczeństwo informacji można zdefiniować jako systematyczne podejście do zarządzania kluczowymi
informacjami firmy w celu zapewnienia ich bezpieczeństwa. Obejmuje ono ludzi, procesy i systemy
informatyczne. To ostanie zdanie należy szczególnie dobrze zapamiętać. W dzisiejszych czasach nie
możemy bowiem ograniczać bezpieczeństwa do samych tylko systemów informatycznych. Takie podejście
bowiem nie poprawi poziomu bezpieczeństwa w naszej organizacji, a spowoduje wzrost kosztów.
Ł
amałem ludzi, nie hasła” - pisze w swojej
książce chyba najsłynniejszy hacker, Kevin
Mitnick, Tym stwierdzeniem dowodzi on, że na
bezpieczeństwo informacji należy spojrzeć z szerszej
perspektywy niż tylko informatycznej. Podejście to
potwierdza również organizacja normalizacyjna ISO,
która wydała międzynarodową normę ISO 27001
specyfikującą wymagania wobec Systemu Zarządzania Informacją. Norma ta oparta jest na powszechnie
znanym standardzie brytyjskim BS 7799-2 (polskie
tłumaczenie PN-I-07799-2).
Komu zależy na bezpieczeństwie
informacji?
Intuicyjnie nasuwa się odpowiedź, że każda organizacja potrzebuje chronić swoje informacje i postępować z nimi w sposób gwarantujących ich bezpieczeństwo, tj. poufność, integralność i dostępność.
W dzisiejszych czasach, gdy informacja jest w wielu
wypadkach towarem cenniejszym niż dobra materialne, takie myślenie ma uzasadnienie. W każdej
firmie znajdują się komputery, a w nich MB, jeśli nie
GB cennych danych. A i to nie wszystko. Na regałach
mamy jeszcze rzędy segregatorów, a w szafach archiwizacyjnych masę teczek. Czy wszystkie te informacje należy chronić w jednakowo restrykcyjny sposób?
– Nie. O tym jakie wprowadzić zabezpieczenia i czy rzeczywiście są one potrzebne decydują klasy informacji
i ryzyka, jakie niesie ze sobą utrata jednego z atrybutów bezpieczeństwa tych informacji (poufność, integralność, dostępność).
Przy określaniu ryzyka związanego z danym typem informacji z pomocą przychodzi nam audit bezpieczeństwa. Dobry audit (kompleksowo przeprowadzony i obejmujący wszystkie elementy Systemu
Zarządzania Bezpieczeństwem Informacji) powinien
pomóc nam odpowiedzieć na pytania:
• jakie aktywa informacyjne mamy w organizacji
(inwentaryzacja aktywów informacyjnych),
• jaką klasyfikację danych obecnie stosujemy,
• jakie zabezpieczenia wprowadziliśmy na ile są
one skuteczne i stosowane.
Taki audit „stanu zerowego” powinien być wstępem do
tworzenia Systemu Zarządzania Bezpieczeństwem Informacji. Na tym poprzestać jednak nie można.
Definicja auditów w normie ISO 9000:2005
(na której bazują wszystkie inne normy specyfikujące wymagania względem systemów zarządzania)
mówi: „audit to systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów oraz ich
obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu”. Zatem organizacja, która zdecydowała się opracować Politykę Bezpieczeństwa,
musi auditować bezpieczeństwo w sposób ciągły.
W ten sposób mamy już pierwszą kategorię organizacji potrzebujących auditów bezpieczeństwa informacji - firmy, które wdrożyły System Zarządzania
Bezpieczeństwem Informacji. Czy jednak tylko one
potrzebują auditu? - Nie.
Nie używamy komputera wyłącznie
do gry w pasjansa
Wszędzie tam gdzie przekazywana jest informacja
pomiędzy zleceniodawcą a odbiorcą coraz częściej
pojawia się wymóg zagwarantowania jej poufności,
dostępności w każdym momencie, integralności i niezaprzeczalności. Są to wcześniej wspomniane atrybuty bezpieczeństwa informacji. W obecnych czasach
PIOTR WRZESIŃSKI
Jest konsultantem IsecMana. Zajmuje się aspektami związanymi z systemami zarządzania od 7
lat. Jest czynnym auditorem i konsultantem systemów zarządzania takich jak: bezpieczeństwo
informacji wg ISO 27001, jakość wg ISO 9001 i
środowisko wg ISO 14001. Autor wielu szkoleń
i specjalista w dziedzinie bezpieczeństwa informacji w jednostkach certyfikacyjnych, doradca
dla firm z różnych branż gospodarki.
18
www.boston-review.com
podmioty współpracujące lub pracujące dla banków,
towarzystw ubezpieczeniowych, firm windykacyjnych
i firm marketingowych prowadzących bazy danych
osobowych są zobowiązane do wprowadzenia zasad
bezpieczeństwa informacji i wykazania się wynikiem
auditu bezpieczeństwa informacji. W firmach pracujących dla sektora bankowego spotkałem się nawet
ze swoistym rodzajem auditu bezpieczeństwa drugiej
strony (czyli zleceniodawca przeprowadza badanie
u swojego odbiorcy).
Do tej pory sytuacja taka miała miejsce powszechnie w sektorze motoryzacyjnym, budowlanym, medycznym i farmaceutycznym, a podstawą
auditów był System Zarządzania Jakością w oparciu
o wymagania norm: ISO 9001, ISO/TS 16949 czy
też ISO 13485. Podobieństwo bezpieczeństwa informacji i jakości nie poprzestaje tylko na wcześniej
wspomnianych auditach dostawców. Kiedyś trapił
nas problem jakości wyrobów i pracy organizacji.
Wówczas w odpowiedzi na takie zapotrzebowanie
powstał System Zarządzania Jakością i norma ISO
9001. Później w wyniku troski o środowisko naturalne powstał System Zarządzania Środowiskowego
i norma ISO 14001. W tym samym mniej więcej
czasie zajęto się bezpieczeństwem i higieną pracy
i opracowano specyfikację OHSAS 18001. Teraz
nadszedł czas „społeczeństwa informacyjnego”
i coraz większe znaczenie ma bezpieczeństwo informacji i regulacja w postaci normy ISO 27001.
Czy możemy stwierdzić, że nasza organizacja nie
potrzebuje systemu zarządzania bezpieczeństwem informacji? Jeśli używamy komputera wyłącznie do gry
w pasjansa, to tak. W przeciwnym wypadku zapewne
już nieświadomie jakieś zabezpieczenia wprowadziliśmy sami lub zrobiła to za nas komórka IT. Wszyscy
zapewne słyszeliśmy w telewizji lub w radiu o przypadkach ujawnienia istotnych danych na śmietnikach,
o odtwarzaniu danych z twardych dysków, które pochodziły z zakupionych na giełdzie sprzętów komputerowych, czy też o kradzieżach laptopów z bardzo ważnymi danymi prominentnych osób w kraju. Czy naszą
organizację stać na takie sytuacje? – Z pewnością nie.
Z tego właśnie powodu należy jak najszybciej przeprowadzić audit bezpieczeństwa informacji, a następnie
opracować system zarządzania bezpieczeństwem informacji. Dziś bezpieczeństwo informacji to już nie tylko moda i cenny papierek, ale także wymóg nowoczesnej gospodarki, w której, funkcjonujemy bez względu
na to, czy nam się to podoba, czy też nie. ◆
Nr 1/2007 (2)