Wymagania prawne dotyczące wdrożenia PN-ISO/IEC 27001 i PN-ISO/IEC 20000

Podmioty publiczne, podlegające Ustawie z dnia 17 lutego 2005 roku o informatyzacji działalności podmiotów realizujących działania publiczne są zobowiązane do wdrożenia zasad zarządzania bezpieczeństwem informacji. Fakt ten wynika z Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych .

Opisany w par. 20 rozporządzenia katalog zabezpieczeń, które powinny być uwzględnione przy zarządzaniu bezpieczeństwem, stanowi uogólnienie wymagań opisanych w załączniku A normy PN-ISO/IEC 27001. Niektóre zabezpieczenia wymienione w normie nie zostały tutaj wspomniane – dotyczy to na przykład klasyfikacji i oznaczania informacji (A.7.2), rozdzielania środowisk rozwojowych, testowych i produkcyjnych (A.10.1.4), czy też zasad postępowania z danymi testowymi (A.12.4.2) . Jednakże w par. 20 ust. 3 rozporządzenia wskazano, iż „wymagania uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą ”.

W praktyce stanowi to nie lada wyzwanie dla podmiotu podlegającego wymaganiom przywołanej wyżej ustawy. Przede wszystkim należy zdefiniować i wdrożyć kompleksowe, organizacyjno – techniczne, zasady zarządzania bezpieczeństwem informacji, przy czym podstawą są tutaj rekomendacje normy PN-ISO/IEC 17799. Warto podkreślić, że norma ta nie ogranicza się do zagadnień czysto informatycznych, dotyczy również innych obszarów funkcjonowania instytucji, między innymi polityki kadrowej i zasad współpracy z podmiotami zewnętrznymi (dostawcami, klientami, organami władzy).

Podstawą wyboru zabezpieczeń jest formalna analiza ryzyka, dla której bazą są zapisy zawarte w normie PN-ISO/IEC 27005. Standard ten obejmuje cały proces zarządzania ryzykiem, poczynając od szacowania, poprzez postępowanie z ryzykiem, monitorowanie, raportowanie i przeglądy.

Podmiot publiczny winien wdrożyć system zarządzania bezpieczeństwem informacji zgodnie z wymaganiami normy PN-ISO/IEC 27001. Oznacza to konieczność podjęcia szeregu działań, w tym zdefiniowania granic systemu, przyjęcia polityki systemu zarządzania bezpieczeństwem informacji, opracowania deklaracji stosowania. Cały system zarządzania winien być formalnie zaakceptowany i autoryzowany przez kierownictwo instytucji. Również eksploatacja systemu zarządzania wymaga realizacji szeregu formalnych czynności, daleko wykraczających poza techniczne zabezpieczenie infrastruktury informatycznej. Mówimy tutaj między innymi o pomiarach efektywności systemu zarządzania i wdrożonych zabezpieczeń, przeglądach systemu realizowanych przez kierownictwo instytucji, wewnętrznych audytach i wynikających z nich działaniach korygujących oraz zapobiegawczych. Zabezpieczenia i procedury związane z ochroną informacji powinny być udokumentowane, niezbędne jest także dokumentowanie czynności związanych z wdrożeniem, utrzymaniem, optymalizacją i eksploatacją systemu (na przykład tworzenie zapisów potwierdzających realizację określonych procedur bezpieczeństwa). Sposób zarządzania dokumentacją powinien być oczywiście również formalnie określony.

Wprowadzenie mechanizmów zapewniających ciągłość przetwarzania informacji i odtworzenie infrastruktury informatycznej w przypadku wystąpienia sytuacji kryzysowej powinno, zgodnie z rozporządzeniem, być zrealizowane nie tylko w oparciu o rozdział 14 normy PN-ISO/IEC 17799, ale również z uwzględnieniem rekomendacji zawartych w normie PN-ISO/IEC 24762. Standard określa sposób tworzenia planów odtworzeniowych, ich wdrażania z uwzględnieniem szkoleń, oraz – w sposób ogólny - okresowego testowania. Wiele miejsca poświęcono w nim opisowi dość rozbudowanych wymagań dotyczących zabezpieczeń fizycznych i technicznych pomieszczeń związanych z działaniami odtworzeniowymi, w szczególności zapasowych serwerowni.

Analizując zapisy rozporządzenia warto zwrócić uwagę na par. 15, w którym opisano ogólne wymagania dotyczące projektowania, wdrażania i eksploatacji systemów informatycznych oraz wymagania dotyczące udokumentowania procedur zarządzania usługami realizowanymi przez te systemy. Zgodnie z par.15 ust.3 wymagania te uznaje się za spełnione jeżeli zarządzanie usługami odbywa się zgodnie z normami PN-ISO/IEC 20000-1 i PN-ISO/IEC 20000-2.

Wdrożenie w instytucji opisanych powyżej wymagań stanowi złożone zadanie, zdecydowanie wykraczające poza kompetencje samych służb informatycznych. W praktyce oznacza to konieczność wdrożenia zarówno systemu zarządzania bezpieczeństwem informacji jak i systemu zarządzania usługami informatycznymi. Rozporządzenie nie nakłada obowiązku certyfikacji systemów zarządzania. Wymaganie takie zostało określone, w stosunku do systemu zarządzania bezpieczeństwem informacji, w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników . Rozporządzenie dotyczy jednak zarządzania bezpieczeństwem systemu służącego do wydawania certyfikatów kryptograficznych na potrzeby identyfikacji użytkowników, jego zakres zastosowania jest zatem ograniczony.