ISO/IEC 27001 ang. Information security management systems

Standard ISO 27001 wywodzi się od standardu BS 7799, opublikowanego w roku 1989 przez brytyjską organizację CCSC (Commercial Computer Security Centre). W 1995 roku norma ta została aktualizowana i wydana jako BS 7799:1995, a następnie odnowiona w roku 1999, po dokonanym wtedy gruntownym przeglądzie. Po kolejnych latach norma ta została zaklasyfikowana jako Międzynarodowy Standard Zarządzania Bezpieczeństwem Informacji - ISO 17799:2000.

W roku 1998 opublikowano drugą cześć standardu czyli BS7799-2, w celu zapewnienia wsparcia dla procesów tworzenia i ustalania wymagań dla systemów SZBI. Aby umożliwić integrację standardu z innymi takimi jak np. ISO 9001 czy ISO 14001:1996 BS 7799-2 został przeanalizowany w celu powiązania go z cyklem PDCA, czyli cyklem Deminga, który miał umożliwić standardowi rozszerzenie zakresu na procesy ustalania, implementowani, działania, monitorowani, przeglądania, utrzymywania oraz rozwijania systemów zarządzania bezpieczeństwem informacji. Taka wersja standardu została opublikowana w roku 2002 a po kolejnych przeglądach została oficjalnie wydana jako norma ISO/IEC 27001:2005.

Obecnie druga cześć standardu BS funkcjonuje jako ISO 27001, podczas gdy cześć pierwsza zbudowała fundamenty pod normę ISO/IEC 27002. W dalszym okresie planowane są publikacje kolejnych norm serii ISO/IEC 27000 - słownictwo i terminologia, ISO/IEC 27002 (obecnie znane jako BS 7799-1 oraz ISO/IEC 17799) - praktyczne zasady zarządzania bezpieczeństwem informacji, ISO/IEC 27003 - porady i wskazówki dotyczące implementacji systemu zarządzania bezpieczeństwem informacji (ISMS), ISO/IEC 27004 - system zarządzania bezpieczeństwem informacji - wskaźniki i pomiar, oraz ISO/IEC 27005 (obecnie BS 7799-3) - zarządzanie ryzykiem bezpieczeństwa informacji.

Systemy SZBI są instrumentem, który każdej organizacji zapewnia wzrost wartości, ponieważ jej zasoby informacyjne są stale pod ochroną. Obecne środowisko biznesowe przywiązuje ogromna wagę do bezpieczeństwa swoich informacji, gdyż jedną ze strategii firm jest umiejętne dzieleni się owymi zasobami celem zwiększenia przychodów. Ze względu na rożne regulacje, akty prawne i zabezpieczenie przewagi rynkowej zasoby informacyjne wymagają ochrony.

Wiele organizacji posiada narzędzia kontroli informacji. W większości przypadków są to firmy z branż telekomunikacyjnych, finansowych oraz informatycznych. Warto chociażby podkreślić, iż sama norma ISO 27001 jest tak sformułowana, że nadaje się do zastosowania we wszystkich typach organizacji, niezależnie od ich typu, wielkości czy rodzaju.

Sama implementacja systemów SZBI nie wystarcza do zapewnienie bezpieczeństwa. Systemy SZBI bywają bowiem często zbyt chaotycznie, nieuporządkowanie wdrażane lub po prostu zostają implementowane jako sposób ad hoc na poradzenie sobie z zaistniałym problemem. Standard ISO/IEC 27001 wymusza z kolei, aby procesy zarządzania:

• systematycznie sprawdzały, analizowały ryzyka związane z bezpieczeństwem informacji danej firmy; z uwzględnieniem zagrożeń, luk systemowych i wpływów
• skupiały się na projektowaniu i implementowaniu spójnych i kompleksowych zestawów kontroli bezpieczeństwa informacji lub innych narzędzi radzenie sobie z zagrożeniami, który uznawane są za niedopuszczalne
• adaptowały nadrzędne procesy zarządzania w celu zapewnienia spójności systemów SZBI z ogólnymi wytycznymi firmy względem bezpieczeństwa informacji

Seria standardów ISO 27001 prowadzi do wniosku, iż wiele aspektów zarządzania bezpieczeństwem informacji powinno być poddanych działaniu systemów SZBI, przy uwzględnieniu takich kwestii jak czynniki ludzkie, techniczne, organizacyjne czy społeczne, z których każdy składa się na złożoność zagadnienia. Sam standard ISO 27001 dzieli się na dwie części:

• ISO 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements
• ISO 17799:2005 - Information technology -- Security techniques -- Code of practice for information security management

Standard 27001:2005 zapewnia wymagania względem zarządzania systemami SZBI', które są zgodne z ustalonymi celami, poddane pomiarom potrzeb oraz mają oddawać oczekiwania wszystkich zainteresowanych stron. Druga cześć, czyli ISO 17799 to w istocie zalecania, pogrupowane w 11 obszarach:

• Polityka bezpieczeństwa (ang. Security policy)
• Organizacja bezpieczeństwa informacji (ang. Organization of information security)
• Zarządzanie aktywami (ang. Asset management)
• Bezpieczeństwo zasobów ludzkich (ang. Human resources security)
• Bezpieczeństwo fizyczne i środowiskowe (ang. Physical and environmental security)
• Zarządzanie systemami i sieciami (ang. Communications and operations management)
• Kontrola dostępu (ang. Access control)
• Zarządzanie ciągłością działania (ang. Business continuity management)
• Pozyskiwanie, rozwój i utrzymanie systemów informatycznych (ang. Information systems acquisition, development and maintenance)
• Zarządzanie incydentami związanymi z bezpieczeństwem informacji (ang. Information security incident management)
• Zgodność z wymaganiami prawnymi i własnymi standardami (ang. Compliance)

Dla każdego obszaru opracowana jest odpowiednia praktyka, opisująca poziom bezpieczeństwa informacji oraz mechanizmy kontroli służące do poradzenia sobie z zaistniałymi zagrożeniami.

Efektywny proces zarządzania bezpieczeństwem informacji z uwzględnieniem standardu ISO 27001 można osiągnąć poprzez systematyczną ocenę ryzyka, mogące wpłynąć na bezpieczeństwo informacji firmy, wdrożoną poprzez kontrolowanie luk istniejących w systemach, technologiach i innych mediach.

! Osobny artykuł: Cykl Deminga.

Norma ISO/IEC 27001 stosuje dobrze znany model „Planuj – Wykonuj – Sprawdzaj – Działaj” czyli PDCA, który jest stosowany do całej struktury procesów SZBI. Proces wdrażania SZBI według cyklu Deminga dzieli się na:

• Planuj - ustanowienie SZBI, czyli ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
• Wykonuj - wdrożenie i eksploatacja SZBI, czyli wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.
• Sprawdzaj - monitorowanie i przegląd SZBI, czyli pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.
• Działaj - utrzymanie i doskonalenie SZBI, czyli podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

Planowanie SZBI

Wedle normy ISO 27001 na poziomie organizacyjnym pierwszym krokiem jest zaplanowanie całego procesu poprzez przygotowanie dokumentacji SZBI, określającej kontekst oraz zakres systemu oraz politykę jego działania. Dokumentacja taka powinna być przygotowana przy wsparciu rady nadzorczej firmy i oddawać nastawienie kierownictwa względem obszaru zarządzania bezpieczeństwem informacji. W swoim podstawowym zarysie dokumentacja taka definiuje przede wszystkim Politykę Bezpieczeństwa Informacji oraz Oświadczenie o zastosowaniach.

Polityka Bezpieczeństwa Informacji (PBI)

PBI powinna uwzględniać jasne i klarowne oświadczenie kierownictwa względem zaangażowania się w zarządzanie bezpieczeństwem informacji w celu zapewnienie zgodności procesu z celami biznesowymi firmy oraz wszelkimi regulacjami prawnymi. Polityka ta powinna skrótowo określać standardy, wymagania, zasady, procesy poszerzania wiedzy o bezpieczeństwie, obowiązki, role i motywacje oraz ciągłość biznesową oraz procedury raportowania incydentów. Polityka ta powinna określać kryteria oceny danych zagrożeń z uwzględnieniem dostępnych zasobów.

PBI w swoisty sposób określa oraz dokumentuje znaczenie bezpieczeństwa informacji dla organizacji poprzez określenie wspólnych związków, kontekstu, zakresu oraz celów. Powinna określać także schemat systematycznego działania względem oceny ryzyka. Dokument ten powinien być napisany w przystępny sposób i przyciągać uwagę tych, których codzienne aktywności są powiązane z zakresem działania SZBI.

PBI powinno także opracować mechanizmy przeglądu SZBI oraz samej dokumentacji PBI, w celu zapewnienia zgodności w razie jakichkolwiek zmian środowiska organizacyjnego, uwarunkowań biznesowych i prawnych czy przemian technologicznych.

Identyfikacja zasobów oraz ocena i zwalczenie ryzyka

Dla celów samego standardu każda firma jest scharakteryzowana w kategoriach swoich zasobów, miejsca pochodzenia, technologii oraz obszaru biznesowego lub usługowego w którym działa. Te zmienne determinują różnego rodzaju zagrożenia dla bezpieczeństwa informacji, którym firma musi umieć sprostać. Określenie kontekstu SZBI jest w istocie relacją pomiędzy obszarami wymagającymi ochrony a środowiskiem biznesowym. Poprzez określenie kontekstu SZBI determinuje się także jego zakres. Po ustaleniu Polityki rozpocząć można z kolei trzy istotne procesy - identyfikacja zasobów oraz ocena i zwalczenie ryzyka - podzielone na 7 etapów.

• Identyfikacja zasobów
• etap I - dla każdego zasobu zdefiniowanego w ramach zakresu i kontekstu SZBI wymogi bezpieczeństwa powinny być przeanalizowane. Każdy zasób powinien posiadać właściciela, który byłby odpowiedzialny za jego bezpieczeństwo. Ponadto powinien być stworzony rejestr zasobów zawierający dane właściciela, wartość zasobu, wymogi bezpieczeństwa, lokację.
• Ocena ryzyka - celami procesu jest identyfikacja, ocena oraz priorytetyzacja ryzyka, jeśli odnosi się ono do jednego z zasobów. Na ten proces składa sie kilka etapów:
• etap II: analiza zagrożenia - systematyczne podejście do determinowania możliwych zagrożeń dla zasobów informacyjnych. Zamo zagrożenie jest to tylko możliwość złamania zabezpieczeń
• etap III: analiza podatności - określenie słabych stron obrony danego zasobu, określających podatność na ataki
• etap IV: ocena wpływu - dla każdego wymogu względem bezpieczeństwa zasobów informacyjnych powinien być określony wpływ złamania zabezpieczeń
• etap V: ocena ryzyka - określa ona zarówno wpływ np. koszta hipotetycznego naruszenia bezpieczeństwa, jak i szansę udanego złamania zabezpieczeń
• etap VI: określenie i ocena działań zapobiegawczych - dla tych zagrożeń, które nie są akceptowalne powinny być ustalone mechanizmy i procedur zwalczania. Mogą one być ukierunkowane na przeniesienie zasobu, któremu grozi pewne niebezpieczeństwo lub na zmniejszenie wpływu ryzyka lub podniesienie odporności danego zasobu
• Zwalczanie ryzyka
• etap VII: wybór zabezpieczeń - na tym etapie należy wybrać odpowiednie zabezpieczenia, które zmniejszą podatność zasobów na zagrożenia.

Oświadczenie o zastosowaniach

Dokument ten oficjalnie zachowuje dane odnośnie:

• decyzji względem wybranych zabezpieczeń wraz z uzasadnieniem dlaczego wybrano akurat te, a nie inne
• aktualnie zaimplementowanych i działających zabezpieczeń
• tych zabezpieczeń, które nie zostały zaimplementowane i dlaczego

Wykonanie w SZBI

Na tym etapie zaczyna się prawdziwa implementacja zaleceń Deminga, po której to implementacji organizacja posiadać będzie w pełni działający system zarządzania bezpieczeństwem informacji, efektywnie zmniejszający ryzyko. Na tym etapie firma musi ponadto ustalić odpowiednie metody zarządzania, zasoby, obowiązki względem zarządzania ryzykiem bezpieczeństwa informacji. Organizacja musi zdefiniować także metody monitorowania efektywności procedur zwalczania ryzyka, co w oczywisty sposób prowadzi do etapu sprawdzania, wg. cyklu Deminga.

Sprawdzanie w SZBI

Na końcu tego etapu raport opisujący wyniki wydajnościowe SZBI powinien być dany kierownictwu do oceny efektywności systemu. Wydajność procesu jest oceniana oraz mierzona przy udziale polityki SZBI, celów oraz doświadczeń wynikających z praktycznego stosowania systemu.

Działania SZBI

Na zakończenie cyklu podejmowane są działania zapobiegawcze oparte na analizie audytów SZBI oraz przeglądów, w celu rozwoju procedur SZBI.

Norma ISO 27001 jest podstawą dla zarządzana IT w każdej organizacji. Dzięki temu standardowi rozpoznawana jest waga informacji stosowanych przez organizację. Wiele tych zasobów informacyjnych, które mają spore znaczenie dla organizacji, jest przechowywany na danym sprzęcie IT i z tego także względu jest podatna na pewne zagrożenia.

SZBI nie jest jednakże powiązana tylko z problemami działów IT, gdyż wiele istniejących podatności na zagrożenia zasobów informacyjnych wynika nie tylko z samej infrastruktury IT, ale ma także podłoże socio-techniczne i związane jest np. z personelem. Identyfikacja zasobów i ocena ryzyka powinny mieć zatem szeroki zakres.