Tags: ISO

W normie PN-ISO/IEC 27001:2007 określono wymagania dotyczące ustanowienia, wdrażania, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia udokumentowanego systemu zarządzania bezpieczeństwem informacji (SZBI) w całościowym kontekście ryzyka biznesowego. Wymagania te dotyczą wdrażania zabezpieczeń dostosowanych do potrzeb pojedynczych organizacji lub ich części.
SZBI powinien zostać zaprojektowany tak, aby zapewnić adekwatne i proporcjonalne zabezpieczenia, które chronią aktywa informacyjne oraz pozwalają na uzyskanie zaufania klientów oraz innych zainteresowanych stron. Oznacza to utrzymanie i zwiększenie konkurencyjności, przepływów finansowych, zyskowności, zgodności z przepisami prawa i wizerunkiem handlowym.

Wymagania normy opisane są ogólnie i przeznaczone do stosowania we wszystkich organizacjach, niezależnie od typu, rozmiaru i natury biznesu. Jeżeli jakiegokolwiek wymagania tej normy nie da się zastosować z uwagi na naturę organizacji lub prowadzonej działalności, możliwe jest jego pominiecie. W przypadku pominięcia, twierdzenia o zgodności z niniejszą normą nie są akceptowane, chyba że takie pominięcia nie mają wpływu na możliwości organizacji lub jej odpowiedzialności co do zapewnienia stanu bezpieczeństwa informacji, które spełnia wymagania bezpieczeństwa wyznaczonego przez oszacowanie ryzyka i zastosowanie wymaganego nadzoru. Każde wyłączenie zabezpieczeń, o którego potrzebie zdecydowano na podstawie kryteriów akceptowania ryzyka, należy uzasadnić i temu uzasadnieniu ma  towarzyszyć odpowiednie potwierdzenie, że powiązane ryzyka zostały we właściwy sposób zaakceptowane przez osoby odpowiedzialne.

Ustanowienie systemu zarządzania bezpieczeństwem informacji w organizacji przedsiębiorstwa wraz z identyfikacją i interakcją jej procesów, a także zarządzania nimi może być określone jako „podejście procesowe”. Podejście procesowe to zagadnienia zarządzania bezpieczeństwem informacji, przedstawione w normie PN-ISO/IEC 27001:2007, które zwraca uwagę jej użytkowników na:

•    zrozumienie wymagań bezpieczeństwa informacji w organizacji oraz ustanowienia zasad i celów bezpieczeństwa informacji;
•    wdrożenie i eksploatację zabezpieczeń w celu zarządzania ryzykiem bezpieczeństwa informacji w kontekście całkowitego ryzyka biznesowego organizacji;
•    monitorowanie i przegląd wydajności oraz skuteczności SZBI;
•    ciągłe doskonalenie w oparciu o obiektywny pomiar.

Podejście procesowe stosuje się w celu ustanawiania, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia SZBI w organizacji. Aby efektywnie funkcjonować, organizacja musi zidentyfikować i wykonać wiele działań. Działanie wykorzystujące zasoby i zarządzane, w celu przekształcenia wejść w wyjścia może być rozpatrywane jako proces. Często wyjście jednego procesu stanowi wejście kolejnego procesu.

Niniejsza norma PN-ISO/IEC 27001:2007 stosuje model „Planuj – Wykonuj – Sprawdzaj – Działaj” (PDCA), który jest stosowany do całej struktury procesów SZBI.

Planuj (ustanowienie ISMS) - ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
Wykonuj (wdrożenie i eksploatacja ISMS) - wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.
Sprawdzaj (monitorowanie i przegląd ISMS) - szacowanie i, tam gdzie ma zastosowanie, pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu.
Działaj (utrzymanie i doskonalenie ISMS) - Podejmowanie działań korygujących i zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI .

Przyjęcie modelu PDCA odzwierciedla także zasady określone w zaleceniach OECD , na których opiera się bezpieczeństwo systemów informatycznych i sieci. Niniejsza norma międzynarodowa dostarcza pełnego modelu wdrożenia zasad podanych w zaleceniach, na których opiera się szacowanie ryzyka, projektowanie i wdrażanie bezpieczeństwa, zarządzanie bezpieczeństwem i ponowne szacowanie.
Wymaganie można sformułować następująco: naruszenie bezpieczeństwa informacji nie spowoduje znaczących strat finansowych dla organizacji i nie spowoduje kłopotów w organizacji. W przypadku pojawienia się poważnego incydentu – na przykład penetracji strony WWW, za pomocą, której organizacja realizuje cele biznesowe – powinni być pracownicy odpowiednio przeszkoleni do stosowania właściwych procedur w celu zminimalizowania skutków incydentu.

Zapewnienie bezpieczeństwa informacji w organizacji często zależy od krytycznych czynników, takich jak:
•    polityka bezpieczeństwa informacji, celów i działań w zakresie bezpieczeństwa informacji, które odzwierciedlają cele biznesowe,
•    podejście oraz struktury służące wdrożeniu, utrzymaniu, monitorowaniu i doskonaleniu bezpieczeństwa informacji, które są zgodne z kulturą organizacji,
•    widoczne i zaangażowane wsparcie kierownictwa w zarządzaniu zasobami ludzkimi,
•    właściwe zrozumienie wymagań bezpieczeństwa informacji, szacowanie ryzyka i zarządzanie ryzykiem,
•    skuteczne propagowanie bezpieczeństwa informacji wśród pracowników przedsiębiorstwa,
•    rozpowszechnianie zaleceń dotyczących bezpieczeństwa informacji wśród kadry zarządzającej i pracowników,
•    finansowanie działalności związanych z zarządzaniem bezpieczeństwem informacji,
•    zapewnienie odpowiedniej świadomości, kształcenia i szkoleń,
•    ustanowienie skutecznego procesu zarządzania incydentami związanymi z bezpieczeństwem informacji,
•    wdrożenie systemu mierników oceny efektywności zarządzania bezpieczeństwem informacji oraz mechanizmów sprzężenia zwrotnego służących doskonaleniu tego systemu.

Powyższe zasady mogą być traktowane, jako punkt wyjścia do opracowania zaleceń, która uwzględniają specyfikację organizacji, jednakże nie wszelkie zabezpieczenia i zalecenia umieszczone w normie PN-ISO/IEC 27001:2007 mogą mieć zastosowanie w każdym przedsiębiorstwie. Warto pamiętać, iż przy ochronie informacji, mogą być wykorzystywane dodatkowe mechanizmy i zalecenia, nie zawarte w tej normie.

W momencie, gdy wymagania bezpieczeństwa oraz ryzyka zostały zidentyfikowane i decyzje odnośnie postępowania z ryzykami zostały podjęte, zaleca się wybranie i wdrożenie odpowiednich zabezpieczeń, aby zapewnić, że ryzyka są redukowane do akceptowalnego poziomu. Zabezpieczenia mogą być wybrane z normy ISO/IEC 27001:2005, innych zbiorów zabezpieczeń lub, jeśli zachodzi potrzeba, mogą zostać opracowane nowe zabezpieczenia w celu spełnienia określonych wymagań. Wybór zabezpieczeń zależy od decyzji organizacji opartych na kryteriach akceptowania ryzyka, wariantów postępowania z ryzykiem oraz od ogólnego podejścia do zarządzania ryzykiem wprowadzonego w organizacji. Zaleca się, aby wybór zabezpieczeń uwzględniał odpowiednie krajowe i międzynarodowe przepisy prawne i regulacje wewnętrzne. Niektóre zabezpieczenia zamieszczone w tej normie mogą być wykorzystane jako zasady przewodnie w zarządzaniu bezpieczeństwem informacji, możliwe do stosowania w większości organizacji.

Szereg zabezpieczeń wskazanych w normie można uznać za dobry punkt wyjścia do wdrażania bezpieczeństwa informacji w przedsiębiorstwie. Wynikają one albo z podstawowych wymogów prawa, albo są uznawane za powszechną praktykę w bezpieczeństwie informacji. Zabezpieczenia uważane za najważniejsze dla organizacji z prawnego punktu widzenia, w zależności od stosownego prawodawstwa, to:
•    ochrona i poufność danych osobowych;
•    ochrona zapisów organizacji;
•    prawa do własności intelektualnej.

Zabezpieczenia uznawane za powszechną praktykę w zakresie bezpieczeństwa informacji obejmują:
•    dokument polityki bezpieczeństwa informacji;
•    przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji;
•    uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji;
•    poprawne przetwarzanie w aplikacjach;
•    zarządzanie podatnościami technicznymi;
•    zarządzanie ciągłością działania;
•    zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami.

Zabezpieczenia te mają zastosowanie w większości organizacji i środowisk. Zaleca się zwrócenie uwagi, że jakkolwiek wszystkie zabezpieczenia zamieszczone w normie ISO/IEC 27001:2005 są istotne i zaleca się ich rozważenie, to stopień ich przydatności zaleca się określić z uwzględnieniem poszczególnych ryzyk, na jakie jest narażona organizacja. Powyższe podejście jest uznawane za dobry punkt wyjścia, nie zastąpi ono jednak wyboru zabezpieczeń opartego na szacowaniu ryzyka.