Dołącz do Governautów, zarejestruj się
Załóż konto
Reklama

Drogi użytkowniku!
Wygląda na to, że używasz rozszerzenia blokującego reklamy.
W Governice nie stosujemy nachalnych reklam. Możesz bezpiecznie odblokować je na naszej stronie ;-)
Można tu znaleźć informacje o metodykach służących zapewnieniu bezpieczeństwa informacji, przydatne wiadomości na temat bezpieczeństwa fizycznego czy teleinformatycznego, jak również objaśnienia norm serii ISO/IEC czy opis stanowisk w organizacji związanych z bezpieczeństwem.
ISO/IEC 27001 ang. Information security management systems
ISO oraz IEC na podstawie brytyjskiego standardu BS 7799-2 opublikowanego przez BSI. W Polsce normę ISO/IEC 27001 opublikowano 4 stycznia 2007 r. jako PN-ISO/IEC 27001:2007. Norma ta zastąpiła PN-I-07799-2:2005 czyli polską wersję brytyjskiego standardu BS 7799-2. ISO/IEC 27001:2007 jest specyfikacją systemów zarządzania bezpieczeństwem informacji na zgodność z którą mogą być prowadzone audyty, na podstawie których są wydawane certyfikaty.
ISO/IEC 27001 - norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji (SZBI). Została ogłoszona 14 października 2005 r. przez Pochodzenie/historia/wersje
W roku 1998 opublikowano drugą cześć standardu czyli BS7799-2, w celu zapewnienia wsparcia dla procesów tworzenia i ustalania wymagań dla systemów SZBI. Aby umożliwić integrację standardu z innymi takimi jak np. ISO 9001 czy ISO 14001:1996 BS 7799-2 został przeanalizowany w celu powiązania go z cyklem PDCA, czyli cyklem Deminga, który miał umożliwić standardowi rozszerzenie zakresu na procesy ustalania, implementowani, działania, monitorowani, przeglądania, utrzymywania oraz rozwijania systemów zarządzania bezpieczeństwem informacji. Taka wersja standardu została opublikowana w roku 2002 a po kolejnych przeglądach została oficjalnie wydana jako norma ISO/IEC 27001:2005.
Obecnie druga cześć standardu BS funkcjonuje jako ISO 27001, podczas gdy cześć pierwsza zbudowała fundamenty pod normę ISO/IEC 27002. W dalszym okresie planowane są publikacje kolejnych norm serii ISO/IEC 27000 - słownictwo i terminologia, ISO/IEC 27002 (obecnie znane jako BS 7799-1 oraz ISO/IEC 17799) - praktyczne zasady zarządzania bezpieczeństwem informacji, ISO/IEC 27003 - porady i wskazówki dotyczące implementacji systemu zarządzania bezpieczeństwem informacji (ISMS), ISO/IEC 27004 - system zarządzania bezpieczeństwem informacji - wskaźniki i pomiar, oraz ISO/IEC 27005 (obecnie BS 7799-3) - zarządzanie ryzykiem bezpieczeństwa informacji.
Zastosowanie
Wiele organizacji posiada narzędzia kontroli informacji. W większości przypadków są to firmy z branż telekomunikacyjnych, finansowych oraz informatycznych. Warto chociażby podkreślić, iż sama norma ISO 27001 jest tak sformułowana, że nadaje się do zastosowania we wszystkich typach organizacji, niezależnie od ich typu, wielkości czy rodzaju.
Sama implementacja systemów SZBI nie wystarcza do zapewnienie bezpieczeństwa. Systemy SZBI bywają bowiem często zbyt chaotycznie, nieuporządkowanie wdrażane lub po prostu zostają implementowane jako sposób ad hoc na poradzenie sobie z zaistniałym problemem. Standard ISO/IEC 27001 wymusza z kolei, aby procesy zarządzania:
- systematycznie sprawdzały, analizowały ryzyka związane z bezpieczeństwem informacji danej firmy; z uwzględnieniem zagrożeń, luk systemowych i wpływów
- skupiały się na projektowaniu i implementowaniu spójnych i kompleksowych zestawów kontroli bezpieczeństwa informacji lub innych narzędzi radzenie sobie z zagrożeniami, który uznawane są za niedopuszczalne
- adaptowały nadrzędne procesy zarządzania w celu zapewnienia spójności systemów SZBI z ogólnymi wytycznymi firmy względem bezpieczeństwa informacji
Opis
- ISO 27001:2005 - Information technology -- Security techniques -- Information security management systems -- Requirements
- ISO 17799:2005 - Information technology -- Security techniques -- Code of practice for information security management
Standard 27001:2005 zapewnia wymagania względem zarządzania systemami SZBI', które są zgodne z ustalonymi celami, poddane pomiarom potrzeb oraz mają oddawać oczekiwania wszystkich zainteresowanych stron. Druga cześć, czyli ISO 17799 to w istocie zalecania, pogrupowane w 11 obszarach:
- Polityka bezpieczeństwa (ang. Security policy)
- Organizacja bezpieczeństwa informacji (ang. Organization of information security)
- Zarządzanie aktywami (ang. Asset management)
- Bezpieczeństwo zasobów ludzkich (ang. Human resources security)
- Bezpieczeństwo fizyczne i środowiskowe (ang. Physical and environmental security)
- Zarządzanie systemami i sieciami (ang. Communications and operations management)
- Kontrola dostępu (ang. Access control)
- Zarządzanie ciągłością działania (ang. Business continuity management)
- Pozyskiwanie, rozwój i utrzymanie systemów informatycznych (ang. Information systems acquisition, development and maintenance)
- Zarządzanie incydentami związanymi z bezpieczeństwem informacji (ang. Information security incident management)
- Zgodność z wymaganiami prawnymi i własnymi standardami (ang. Compliance)
Efektywny proces zarządzania bezpieczeństwem informacji z uwzględnieniem standardu ISO 27001 można osiągnąć poprzez systematyczną ocenę ryzyka, mogące wpłynąć na bezpieczeństwo informacji firmy, wdrożoną poprzez kontrolowanie luk istniejących w systemach, technologiach i innych mediach.
Cykl Deminga a ISO 27001
Norma ISO/IEC 27001 stosuje dobrze znany model „Planuj – Wykonuj – Sprawdzaj – Działaj” czyli PDCA, który jest stosowany do całej struktury procesów SZBI. Proces wdrażania SZBI według cyklu Deminga dzieli się na:
- Planuj - ustanowienie SZBI, czyli ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
- Wykonuj - wdrożenie i eksploatacja SZBI, czyli wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.
- Sprawdzaj - monitorowanie i przegląd SZBI, czyli pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.
- Działaj - utrzymanie i doskonalenie SZBI, czyli podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.
Planowanie SZBI
Wedle normy ISO 27001 na poziomie organizacyjnym pierwszym krokiem jest zaplanowanie całego procesu poprzez przygotowanie dokumentacji SZBI, określającej kontekst oraz zakres systemu oraz politykę jego działania. Dokumentacja taka powinna być przygotowana przy wsparciu rady nadzorczej firmy i oddawać nastawienie kierownictwa względem obszaru zarządzania bezpieczeństwem informacji. W swoim podstawowym zarysie dokumentacja taka definiuje przede wszystkim Politykę Bezpieczeństwa Informacji oraz Oświadczenie o zastosowaniach.Polityka Bezpieczeństwa Informacji (PBI)
PBI powinna uwzględniać jasne i klarowne oświadczenie kierownictwa względem zaangażowania się w zarządzanie bezpieczeństwem informacji w celu zapewnienie zgodności procesu z celami biznesowymi firmy oraz wszelkimi regulacjami prawnymi. Polityka ta powinna skrótowo określać standardy, wymagania, zasady, procesy poszerzania wiedzy o bezpieczeństwie, obowiązki, role i motywacje oraz ciągłość biznesową oraz procedury raportowania incydentów. Polityka ta powinna określać kryteria oceny danych zagrożeń z uwzględnieniem dostępnych zasobów.PBI w swoisty sposób określa oraz dokumentuje znaczenie bezpieczeństwa informacji dla organizacji poprzez określenie wspólnych związków, kontekstu, zakresu oraz celów. Powinna określać także schemat systematycznego działania względem oceny ryzyka. Dokument ten powinien być napisany w przystępny sposób i przyciągać uwagę tych, których codzienne aktywności są powiązane z zakresem działania SZBI.
PBI powinno także opracować mechanizmy przeglądu SZBI oraz samej dokumentacji PBI, w celu zapewnienia zgodności w razie jakichkolwiek zmian środowiska organizacyjnego, uwarunkowań biznesowych i prawnych czy przemian technologicznych.
Identyfikacja zasobów oraz ocena i zwalczenie ryzyka
Dla celów samego standardu każda firma jest scharakteryzowana w kategoriach swoich zasobów, miejsca pochodzenia, technologii oraz obszaru biznesowego lub usługowego w którym działa. Te zmienne determinują różnego rodzaju zagrożenia dla bezpieczeństwa informacji, którym firma musi umieć sprostać. Określenie kontekstu SZBI jest w istocie relacją pomiędzy obszarami wymagającymi ochrony a środowiskiem biznesowym. Poprzez określenie kontekstu SZBI determinuje się także jego zakres. Po ustaleniu Polityki rozpocząć można z kolei trzy istotne procesy - identyfikacja zasobów oraz ocena i zwalczenie ryzyka - podzielone na 7 etapów.- Identyfikacja zasobów
- etap I - dla każdego zasobu zdefiniowanego w ramach zakresu i kontekstu SZBI wymogi bezpieczeństwa powinny być przeanalizowane. Każdy zasób powinien posiadać właściciela, który byłby odpowiedzialny za jego bezpieczeństwo. Ponadto powinien być stworzony rejestr zasobów zawierający dane właściciela, wartość zasobu, wymogi bezpieczeństwa, lokację.
- Ocena ryzyka - celami procesu jest identyfikacja, ocena oraz priorytetyzacja ryzyka, jeśli odnosi się ono do jednego z zasobów. Na ten proces składa sie kilka etapów:
- etap II: analiza zagrożenia - systematyczne podejście do determinowania możliwych zagrożeń dla zasobów informacyjnych. Zamo zagrożenie jest to tylko możliwość złamania zabezpieczeń
- etap III: analiza podatności - określenie słabych stron obrony danego zasobu, określających podatność na ataki
- etap IV: ocena wpływu - dla każdego wymogu względem bezpieczeństwa zasobów informacyjnych powinien być określony wpływ złamania zabezpieczeń
- etap V: ocena ryzyka - określa ona zarówno wpływ np. koszta hipotetycznego naruszenia bezpieczeństwa, jak i szansę udanego złamania zabezpieczeń
- etap VI: określenie i ocena działań zapobiegawczych - dla tych zagrożeń, które nie są akceptowalne powinny być ustalone mechanizmy i procedur zwalczania. Mogą one być ukierunkowane na przeniesienie zasobu, któremu grozi pewne niebezpieczeństwo lub na zmniejszenie wpływu ryzyka lub podniesienie odporności danego zasobu
- Zwalczanie ryzyka
- etap VII: wybór zabezpieczeń - na tym etapie należy wybrać odpowiednie zabezpieczenia, które zmniejszą podatność zasobów na zagrożenia.
Oświadczenie o zastosowaniach
Dokument ten oficjalnie zachowuje dane odnośnie:- decyzji względem wybranych zabezpieczeń wraz z uzasadnieniem dlaczego wybrano akurat te, a nie inne
- aktualnie zaimplementowanych i działających zabezpieczeń
- tych zabezpieczeń, które nie zostały zaimplementowane i dlaczego
Wykonanie w SZBI
Na tym etapie zaczyna się prawdziwa implementacja zaleceń Deminga, po której to implementacji organizacja posiadać będzie w pełni działający system zarządzania bezpieczeństwem informacji, efektywnie zmniejszający ryzyko. Na tym etapie firma musi ponadto ustalić odpowiednie metody zarządzania, zasoby, obowiązki względem zarządzania ryzykiem bezpieczeństwa informacji. Organizacja musi zdefiniować także metody monitorowania efektywności procedur zwalczania ryzyka, co w oczywisty sposób prowadzi do etapu sprawdzania, wg. cyklu Deminga.Sprawdzanie w SZBI
Na końcu tego etapu raport opisujący wyniki wydajnościowe SZBI powinien być dany kierownictwu do oceny efektywności systemu. Wydajność procesu jest oceniana oraz mierzona przy udziale polityki SZBI, celów oraz doświadczeń wynikających z praktycznego stosowania systemu.Działania SZBI
Na zakończenie cyklu podejmowane są działania zapobiegawcze oparte na analizie audytów SZBI oraz przeglądów, w celu rozwoju procedur SZBI.Miejsce w dziedzinie zarządzania
SZBI nie jest jednakże powiązana tylko z problemami działów IT, gdyż wiele istniejących podatności na zagrożenia zasobów informacyjnych wynika nie tylko z samej infrastruktury IT, ale ma także podłoże socio-techniczne i związane jest np. z personelem. Identyfikacja zasobów i ocena ryzyka powinny mieć zatem szeroki zakres.
Bibliografia
- Frameworks for IT Management ISBN 9077212906
- IEC 27001 na Wikipedii en.
- IEC 27001 na Wikipedii pl.
!
ostatnia modyfikacja 20 sierpnia 2016 r.