2007.09_Wdrożenie Systemu Zarządzania Informacji.pdf

Wdrożenie Systemu

Zarządzania Informacji

Bezpieczna firma

Artur Kostowski

stopień trudności

Informacja to jeden z kluczowych zasobów irmy, jest zasadniczym

aktywem wspierającym rozwój i sukces niemal każdej organizacji.

Utrata walorów niematerialnych przedsiębiorstwa, przybierających

postać niechronionych informacji, prowadzi najczęściej do spadku

zaufania kontrahentów i klientów, często też może zagrażać

stabilności irmy i utraty osiąganej przez lata pozycji.

grożeń zarówno wewnętrznych jak i

zewnętrznych, stosuje nadal niesfor-

malizowane metody ochrony informacji. Jed-

nakże, w związku z rosnącym znaczeniem

bezpieczeństwa informacji w kontaktach han-

dlowych, coraz częściej certyikacja na zgod-

ność z normą PN-ISO/IEC 27001:2007 sta-

je się wymogiem formalnym przy zawieraniu

kontraktów z partnerami handlowymi, podob-

nie jak powszechny już wymóg potwierdzenia

certyikatem zgodności z wymaganiami norm

serii ISO 9000 czy ISO 14000 . Obecnie coraz

więcej organizacji zauważa potrzebę solidnego

podejścia do zarządzania bezpieczeństwem

informacji. Praktyka wskazuje, że tylko kom-

pleksowe podejście do bezpieczeństwa infor-

macji, obejmujące nie tylko bezpieczeństwo te-

leinformatyczne, lecz także bezpieczeństwo i-

zyczne, osobowe, jak również prawne, wydaje

się być najlepszym rozwiązaniem. Zakres nor-

my (Rozdz. 1, pkt. 1.1 i pkt. 1.2) określa rodza-

je organizacji, w których norma PN-ISO/IEC

27001 może mieć zastosowanie, jak również

informuje o wymaganiach dotyczących wdro-

żenia zabezpieczeń dostosowanych do potrzeb

pojedynczych organizacji lub ich części znajdu-

jących się w dalszych rozdziałach normy. Wy-

magania opisane w normie PN-ISO/IEC 27001

są ogólne i przeznaczone do stosowania we

wszystkich organizacjach, niezależnie od ty-

pu, rozmiaru i charakteru przedsięwzięć bizne-

sowych, jakie reprezentują. Określa jednak, że

System zarządzania bezpieczeństwem infor-

macji powinien zostać zaprojektowany (zgod-

nie z wymaganiami normy) tak, aby zapewnić

adekwatne i proporcjonalne zabezpieczenia,

które odpowiednio chronią aktywa informacyj-

ne, oraz tak, aby uzyskać zaufanie zaintereso-

Z artykułu dowiesz się

• jak szybko i skutecznie wprowadzić System za-

rządzania bezpieczeństwem informacji,

• co to jest i na czym polega cykl PDCA,

• jakie polskie normy stanowią najlepsze prakty-

ki w zakresie zapewnienia bezpieczeństwa in-

formacji w instytucji.

Co powinieneś wiedzieć

• znać podstawowe wymagania dotyczące bez-

pieczeństwa informacji.

hakin9 Nr 9/2007

www.hakin9.org

W iele organizacji, pomimo licznych za-

Zarządzanie bezpieczeństwem – wdrożenie w instytucji

MAKROOTOCZENIE

rządzania bezpieczeństwem informa-

cji jest zapewnienie ciągłości organi-

zacji, zapobieganie i minimalizowanie

ewentualnych strat. Reasumując, Sys-

tem zarządzania bezpieczeństwem in-

formacji ma zagwarantować organiza-

cji i wszystkim zainteresowanym stro-

nom zachowanie poufności, integral-

ności i dostępności informacji.

ekonomiczne

demograficzne

OTOCZENIE

KONKURENCYJNE

polityczne

klienci

PRZEDSIĘ-

BIORSTWO

dostawcy

prawne

Wymagania (normy)

Podstawową normą międzynaro-

dową zawierającą wymagania dla

systemów zarządzania bezpieczeń-

stwem informacji jest:

Norma PN-ISO/IEC 27001: 2007

Technika informatyczna – Techniki

bezpieczeństwa – Systemy zarzą-

dzania bezpieczeństwem informacji

– Wymagania .

konkurenci istniejący

i potencjalni

społeczne

międzynarodowe

technologiczne

Rysunek 1. Mikrootoczenie i makrootoczenie przedsiębiorstwa. Źródło: G.

Gierszewska, M. Romanowska, Analiza strategiczna przedsiębiorstwa, PWE

1995, str. 33

• Jest to norma, według której jed-

nostki uprawnione (akredytowa-

ne) przeprowadzają proces oce-

ny i certyikacji. Norma deiniuje

System zarządzania bezpieczeń-

stwem informacji (SZBI). Powi-

nien on stanowić część składową

systemu zarządzania instytucją

i być oparty na podejściu wyni-

kającym z ryzyka biznesowego.

Norma zaleca podejście syste-

mowe oparte na ciągłym dosko-

naleniu zgodnie z cyklem PDCA

(ang. Plan-Do-Check-Act ) obej-

mującym: ustanowienie, wdro-

żenie, eksploatację, monitorowa-

nie, przegląd, a także utrzymanie

i doskonalenie SZBI.

wanych stron. Według branży, naj-

częściej System zarządzania bez-

pieczeństwem informacji przyjmo-

wany jest przez irmy telekomunika-

cyjne, inansowe, doradcze i produk-

cyjne. Często w zakresie ISO 27001

certyikują się także agendy rządo-

we, irmy z branży informatycznej i

infrastrukturalnej.

informacji jest SZBI, chociaż dopusz-

czalny jest także angielski skrót ISMS

9 (ang. Information Security Manage-

ment System ). SZBI jest wprowadza-

ny, by skutecznie realizować potrze-

by wszystkich stron zainteresowanych

działalnością organizacji, np. klientów,

udziałowców, akcjonariuszy, władze

państwowe, pracowników, dostaw-

ców (Rysunek 1). Celem Systemu za-

Elementy

bezpieczeństwa

informacji

System zarządzania bezpieczeń-

stwem informacji (SZBI) – to część

całościowego systemu zarządzania,

oparta na podejściu wynikającym z ry-

zyka biznesowego, odnosząca się do

ustanawiania, wdrażania, eksploata-

cji, monitorowania, utrzymywania i do-

skonalenia bezpieczeństwa informa-

cji w organizacji. System zarządzania

obejmuje strukturę organizacyjną, po-

litykę, zaplanowane działania, zakresy

odpowiedzialności, praktyki, procedu-

ry, procesy i zasoby. Podstawowym,

najczęściej używanym skrótem Sys-

temu zarządzania bezpieczeństwem

Zainteresowane

strony

Planuj

(Plan)

Zainteresowane

strony

Wykonuj

(Do)

Ustanowienie

ISMS

Wdrożenie

i eksploatacja ISMS

Utrzymanie

i doskonalenie ISMS

Monitorowanie

i przegląd ISMS

Działaj

(Act)

Wymagania

i oczekiwania

dotyczące

bezpieczeństwa

informacji

Sprawdzaj

(Check)

Zarządzanie

bezpieczeństwem

informacji

Rysunek 2. Model PDCA stosowany w procesach SZBI

www.hakin9.org

hakin9 Nr 9/2007

Bezpieczna firma

OCENA RYZYKA

UTRATY

INFORMACJI

wanie najwyższemu kierownic-

twu wyników przeglądu.

• Działaj – Podejmowanie działań

korygujących i zapobiegawczych

w oparciu o wyniki przeglądu re-

alizowanego przez najwyższe

kierownictwo w celu osiągnięcia

stałego doskonalenia SZBI.

OPRACOWANIE

PLANU

MINIMALIZACJI

RYZYKA UTRATY

INFORMACJI

MONITOROWANIE

PLANU

MINIMALIZACJI

RYZYKA UTRATY

IFORMACJI

Poszczególne etapy modelu PDCA

są opisane w rozdziale 4.2 (Wdro-

żenie i eksploatacja SZBI) normy

PN-ISO/IEC 27001 . W wymienionym

rozdziale opisane są działania, które

organizacja powinna podjąć na każ-

dym z czterech etapów. Poniżej opi-

szemy bardziej szczegółowo dzia-

łania organizacji w poszczególnych

etapach cyklu PDCA:

WDROŻENIE PLANU

MINIMALIZACJI

RYZYKA UTRATY

INFORMACJI

Rysunek 3. Filozoia funkcjonowania systemu zarządzania

bezpieczeństwem informacji w oparciu o analizę ryzyka. Źródło: M. Borucki,

J. Łuczak (red.), Zarządzanie bezpieczeństwem informacji, str. 63

Planuj

– Ustanowienie SZBI

Celem działań podejmowanych na

tym etapie jest opracowanie wytycz-

nych do stworzenia rozwiązań i me-

chanizmów umożliwiających osią-

gnięcie przez organizację odpo-

wiedniego poziomu bezpieczeństwa.

Wdrażanie SZBI powinno rozpocząć

się od zdeiniowania zakresu, jakie-

go będzie dotyczyć SZBI. Następ-

nie należy określić i udokumento-

wać Politykę bezpieczeństwa infor-

macji. Zgodnie z normą PN-ISO/IEC

27001 ma to być dokument ogólny,

który wyznacza ogólny kierunek i za-

sady działania w odniesieniu do bez-

pieczeństwa informacji. Częścią Po-

lityki bezpieczeństwa informacji mu-

si być stworzenie odpowiedniej struk-

tury organizacyjnej, która zapew-

ni osiągnięcie zaplanowanych ce-

lów nadrzędnych organizacji, ponie-

waż wyznacza ona kierunek działa-

nia w zakresie bezpieczeństwa infor-

• Norma PN-ISO/IEC 17799: 2007

Technika informatyczna – Tech-

niki bezpieczeństwa – Praktycz-

ne zasady zarządzania bezpie-

czeństwem informacji

muje cele, zakres stosowania,

procesy i procedury odpowiada-

jące zarządzaniu ryzykiem oraz

zwiększające bezpieczeństwo in-

formacji, tak, aby uzyskać wyni-

ki zgodne z ogólnymi zasadami

i celami instytucji. Jest to z całą

pewnością najtrudniejszy i – obok

opracowywania dokumentacji

– najbardziej pracochłonny etap

wdrożenia SZBI.

• Wykonuj – Wdrożenie i eksplo-

atacja polityki bezpieczeństwa

informacji, zabezpieczeń, proce-

sów i procedur.

• Sprawdź – Szacowanie oraz

– tam, gdzie musi mieć zastoso-

wanie – pomiar wykonania pro-

cesów w odniesieniu do polityki

bezpieczeństwa informacji. Etap

ten obejmuje cele i praktyczne

doświadczenia oraz przekazy-

Norma stanowi swego rodzaju prze-

wodnik (opis, wytyczne) dla irm, któ-

re chcą wdrożyć u siebie system bez-

pieczeństwa informacji tak, aby był

skuteczny. Celem normy jest wdroże-

nie mechanizmów zarządzania, któ-

re zapewnią, że bezpieczeństwo in-

formacji będzie istotnym elementem

funkcjonowania organizacji. Norma

dotyczy wszystkich obszarów bez-

pieczeństwa: izycznego i środowi-

skowego, osobowego, IT, zarządza-

nia ciągłością działania i zapewnie-

nia zgodności z przepisami prawa.

Przygotowanie

do certyikacji

Tworzenie, wdrażanie i eksploatowa-

nie Systemu zarządzania bezpieczeń-

stwem informacji wg PN-ISO/IEC

27001 odbywa się w cyklu składają-

cym się z czterech etapów: Planuj ,

Wykonuj , Sprawdź , Działaj (PDCA)

(Rysunek 2). Norma opisuje te etapy

w sposób następujący:

Terminologia

• poufność zapewnienie dostępu do informacji tylko osobom upoważnionym. utrzy-

manie poufności wymaga, aby informacja nie była dostępna komukolwiek, kto nie

ma odpowiednich uprawnień,

• integralność – zapewnienie dokładności i kompletności informacji, i metod jej prze-

twarzania,

• dostępność – zapewnienie, że użytkownicy mogą korzystać z każdego zasobu in-

formacyjnego organizacji, kiedykolwiek i gdziekolwiek jest on potrzebny, zgodnie

ze stosownymi przywilejami.

• Planuj – Ustanowienie Polityki

bezpieczeństwa informacji. Obej-

hakin9 Nr 9/2007

www.hakin9.org

Zarządzanie bezpieczeństwem – wdrożenie w instytucji

macji w danej organizacji. Najważ-

niejszym elementem ustanowienia

Polityki bezpieczeństwa informa-

cji jest przyjęcie i zaakceptowanie

jej przez najwyższe kierownictwo w

organizacji. W praktyce najczęściej

próby takie podejmują działy telein-

formatyczne, rzadziej – inne jednost-

ki organizacyjne. Wsparcie i koordy-

nacja najwyższego kierownictwa or-

ganizacji pozwoli skoordynować pra-

ce nad wdrożeniem SZBI i zapewni

akceptację przez pracowników. Poli-

tyka bezpieczeństwa informacji po-

winna brać pod uwagę: wymagania

biznesowe dotyczące danej organi-

zacji w odniesieniu do obszaru jej

działania, wielkość i strukturę orga-

nizacyjną, typ konkurencji, wymaga-

nia prawne (bariery prawne), kryte-

ria zarządzania ryzykiem w organi-

zacji oraz metody i techniki jakie bę-

dą wykorzystywane podczas anali-

zy i zarządzania ryzykiem. Po zdei-

niowaniu Polityki bezpieczeństwa in-

formacji należy zdeiniować obszar

analizy ryzyka i przeprowadzić samą

analizę ryzyka. Ważne jest, aby pro-

ces zarządzania ryzykiem (jak rów-

nież sama analiza ryzyka) był proce-

sem powtarzalnym i ciągle doskona-

lonym zgodnie z zasadą PDCA. Nor-

ma wymaga od organizacji zdeinio-

wania i opisania procesu analizy ry-

zyka oraz wyznaczenie kryteriów ak-

ceptowania ryzyka, nie narzucając

konkretnej metody analizy ryzyka,

a wymagając jedynie, by ten proces

był opisany i powtarzalny. Kolejnym

etapem wdrażania SZBI jest prze-

prowadzenie analizy ryzyka zgodnie

z ustanowioną procedurą czy kryte-

riami przez organizację, gdyż ocena

ryzyka utraty informacji jest jednym z

najważniejszych elementów wdraża-

nia i utrzymania SZBI. Okazuje się,

że na podstawie jej wyników ustalić

można, jakie środki kontroli bezpie-

czeństwa należy wdrożyć lub jakie

procedury organizacja winna opra-

cować. Jednocześnie analiza ryzyka

powinna polegać na rzeczywistych i

wiarygodnych informacjach. Oczy-

wiście na potrzeby niniejszego arty-

kułu nie będą omawiane szczegóło-

wo techniki analizy ryzyka, gdyż mo-

gą one z pewnością stanowić treść

odrębnych rozważań. Należy jednak

zawsze pamiętać, że tylko profesjo-

nalna analiza ryzyka pozwoli wdro-

żyć skuteczny SZBI. Następnym kro-

kiem organizacji, po zidentyikowaniu

ryzyka, jest określenie trybu postę-

powania z każdym z wykrytych ry-

zyk. W SZBI możemy ograniczać ry-

zyka przez zastosowanie odpowied-

nich zabezpieczeń, przenosić ryzyka

(np. poprzez ubezpieczenie), unikać

ryzyka i akceptować ryzyka (nie ma

elementów ryzyka pozbawionych za-

grożeń wewnętrznych jak i zewnętrz-

nych – tzw. ryzyko szczątkowe, czyli

takie, które pozostaje po postępowa-

niu z ryzykiem) (Rysunek 3).

Należy pamiętać, że jednym z

najważniejszych celów wdrożenia

SZBI powinno być także zapewnie-

nie ciągłości działania organizacji. Z

tego też powodu warto przeprowa-

dzić analizę ciągłości działania ( Bu-

siness Impact Analysis – BIA ), po-

przez określenie strategii organizacji

w sytuacji wystąpienia zagrożeń.

Ostatnim etapem procesu usta-

nowienia SZBI jest uzyskanie akcep-

tacji kierownictwa, o czym mowa jest

w Rozdziale 4.2.1. (Akceptacja kie-

rownictwa dla proponowanych ryzyk

szczątkowych oraz autoryzacja kie-

rownictwa dla wdrożenia i eksploatacji

SZBI) i Rozdziale 5 Normy (Odpowie-

dzialność kierownictwa za zarządza-

nie i zapewnienie zasobów oraz szko-

lenie, uświadomienie i kompetencje).

Materialnymi produktami powstający-

mi na tym etapie są dokumenty:

• wytyczne do tworzenia Polityki

bezpieczeństwa informacji,

• program budowy Polityki bezpie-

czeństwa informacji,

• plan postępowania z ryzykiem.

Reasumując, ten etap cyklu – usta-

nowienie SZBI – kończyć się winien:

• określeniem zakresu SZBI (pro-

cesy, organizacja itp.),

• określeniem celu stosowania za-

bezpieczeń opartych o rezultaty

i wnioski wynikające z procesów

szacowania i postępowania z ry-

zykiem, np. wymagań bizneso-

wych, wymagań nadzoru czy wy-

magań prawnych w odniesieniu

do bezpieczeństwa informacji,

• udokumentowaną deklaracją po-

lityki SZBI,

• określeniem procedury i za-

bezpieczenia wspomagającego

SZBI,

• opisem metodyki szacowania ry-

zyka i planem postępowania z ry-

zykiem (zidentyikować właściwe

zagrożenia, zidentyikować i za-

klasyikować aktywa organizacji

oraz ich wartość),

• udokumentowaniem procedury po-

trzebnej organizacji do zapewnie-

nia skutecznego planowania, eks-

ploatacji i sterowania procesami

bezpieczeństwa informacji oraz

opisempomiarów skuteczności za-

bezpieczeń,

• wyborem odpowiednich zabez-

pieczeń z Aneksu A Normy,

• udokumentowaną Deklaracją Sto-

sowania (dokument, w którym

opisano cele zabezpieczenia oraz

zabezpieczenia, które odnoszą

się i mają zastosowanie w SZBI

danej organizacji).

Cykl Deminga

Filozoia jakości Wiliama E. Deminga (1900-93) wyrosła na doświadczeniach sukce-

su japońskiego przemysłu i totalnej krytyki amerykańskich metod zarządzania. Zosta-

ła ona na skalę masową zastosowana w Japonii w latach 50–tych XX wieku, a rezul-

tatem tego jest ekspansja japońskich produktów na niemal wszystkie rynki świata. De-

ming uznał, że proces tworzenia jakości produktu czy usługi zależy zarówno od robot-

ników, jak i menedżerów, przy czym 94% wszystkich problemów jakościowych w orga-

nizacji powstaje z winy kierownictwa, które musi zaangażować się w zarządzanie jako-

ścią i zapewnienie jakości przy współpracy z pracownikami. Podstawę wszystkich za-

sad Deminga stanowiła zasada ciągłego udoskonalania, znana dziś pod nazwą Cyklu

Deminga, Koła Deminga lub po prostu PDCA.

Norma PN-ISO/IEC 27001 narzuca

minimalną zawartość dokumentacji

www.hakin9.org

hakin9 Nr 9/2007

Bezpieczna firma

SZBI w postaci udokumentowanych

procedur, co według zapisu zawar-

tego w Uwadze 1 rozdz. 4.3.1 PN-

ISO/IEC 27001 oznacza, że proce-

dura ma być zdeiniowana, udoku-

mentowana, wdrożona i utrzymy-

wana. Oznacza to więc, że każdy

ustanowiony i wdrożony SZBI po-

winien zawierać odniesienie co do

wymagań normy w udokumentowa-

nych procedurach przytaczanych

w tekście wymagań PN-ISO/IEC

27001.

Sprawdź –

Monitorowanie

i przegląd SZBI

Bardzo ważna cechą SZBI wg PN-

ISO/IEC 27001 jest jego zdolność

do samodoskonalenia . Żeby móc

osiągnąć taki stan we wdrożonym

SZBI, już na etapie procesu pro-

jektowania systemu muszą zostać

przewidziane mechanizmy reago-

wania na błędy systemu i incyden-

ty związane z bezpieczeństwem ak-

tywów w organizacji oraz procedu-

ry okresowych przeglądów SZBI.

Proces deinicji takich działań wi-

nien być inicjowany i realizowany

nie tylko jeśli taki przypadek zaist-

nieje, lecz również jeśli występuje

hipotetyczne prawdopodobieństwo

wystąpienia określonej niepożąda-

nej sytuacji. Efektem ciągłego mo-

nitorowania SZBI są działania za-

pobiegawcze, które świadczą o pra-

widłowym zaprojektowaniu mecha-

nizmów doskonalenia systemu. Do

podstawowych narzędzi monitoro-

wania SZBI należą:

Działaj: Utrzymanie

i doskonalenie SZBI

Kolejny element, który jest często

zaniedbywany przez organizacje,

to utrzymanie i doskonalenie SZBI.

Procedury dotyczące reagowania

na błędy, incydenty oraz niezgod-

ności wykryte na drodze przeglądów

muszą skutkować podjęciem działań

korygujących lub zapobiegawczych.

Procedury działań korygujących po-

winny być dokładnie udokumento-

wane. Należy zwrócić uwagę, że to

działania korygujące wraz z korektą

są elementem usuwającym przyczy-

nę niezgodności oraz jej skutki. War-

te jest podkreślenia, że najczęściej

system zarządzania stwarza więcej

problemów podczas jego prawidło-

wego utrzymania, niż na etapie jego

ustanowienia i wdrożenia.

Każde z opisanych powyżej

działań cyklu PDCA jest wymaga-

ne przez normę, aby wdrażany w or-

ganizacji SZBI mógł spełniać jej wy-

magania.

Wykonaj – Wdrożenie

i stosowanie SZBI

Etap ten polega na wdrożeniu zabez-

pieczeń wybranych na poprzednim

etapie – Ustanawiania SZBI. Przede

wszystkim należy jednak wdrożyć

procedury zapewniające sprawne

działanie całego SZBI tzn. procedur i

zabezpieczeń związanych z:

• zarządzaniem ryzykiem,

• zarządzaniem eksploatacją i za-

sobami.

Wybór organizacji

certyikującej

Organizacja certyikująca jest stro-

ną trzecią, która ocenia efektywność

SZBI i wydaje certyikat stwierdzają-

cy spełnienie wymagań normy. Jak

praktyka wskazuje, dobór organiza-

cji certyikujących jest dość skompli-

kowany.

Bez wątpienia osoby podejmują-

ce decyzję wyboru organizacji certy-

ikującej winny wziąć pod uwagę ta-

kie czynniki, jak doświadczenie ze-

społu audytorskiego, cenę, poziom

świadczonych usług, opinię na ryn-

ku i zasięg działania. Kluczową spra-

wą jest wybór organizacji certyikują-

cej, która reprezentuje markę znaną

z rzetelności i solidności.

Do chwili obecnej w Polsce prze-

prowadzono około 20 akredytowa-

nych certyikacji na zgodność z wy-

maganiami BS 7799-2 i ISO 27001 ,

przy prawie 3300 certyikacji na

świecie (dane z początku 2007 r.).

Warto jednak podkreślić, że licz-

ba organizacji chcących certyiko-

wać się w ISO 27001 stale rośnie

(do 2004 r. liczba organizacji z cer-

tyikatem systemu bezpieczeństwa

Jednym z najważniejszych elemen-

tów wdrażania i stosowania SZBI są

szkolenia mające na celu uświado-

mienie tak kierownictwu, jak i ca-

łemu personelowi organizacji, ce-

lu i korzyści płynących z wdroże-

nia SZBI.

• przeglądy skuteczności działania

SZBI,

• przeglądy raportów ryzyka ak-

ceptowalnego,

• audyty wewnętrzne SZBI,

• przeglądy SZBI dokonywane

przez kierownictwo.

ETAPY CERTYFIKACJI

ETAP0 – PRZYGOTOWANIE

ETAP1 – AUDIT DOKUMENTACJI

ETAP2 – AUDIT WDROŻENIA

ETAP3 – DECYZJA

Rysunek 4. Etapy prac jednostki certyikującej

hakin9 Nr 9/2007

www.hakin9.org

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: