Certyfikowany znaczy bezpieczny

Justyna Płudowska
opublikowano: 23-05-2006, 00:00

Nowoczesna firma nie może pozwolić sobie na to, aby nie zarządzać bezpieczeństwem informacji.

Informacja jest jednym z najważniejszych aktywów przedsiębiorstwa. Straty powstające z powodu braku zabezpieczenia mogą narazić organizację na poważne koszty i utratę reputacji. W coraz większym stopniu instytucje, ich systemy i sieci informatyczne stają w obliczu zagrożeń pochodzących z wielu źródeł (szpiegostwo, wandalizm, brak świadomości pracowników, pożar lub powódź). Ochrona przed takimi zagrożeniami zapewnia firmie dodatkową, specyficzną polisę ubezpieczeniową. Jest istotnym czynnikiem w utrzymaniu konkurencyjności, wizerunku instytucji, płynności finansowej oraz zgodności z przepisami prawa.

— System bezpieczeństwa informacji łatwiej się wdraża wówczas, gdy organizacja posiada system zarządzania jakością (zgodny z ISO 9001:2001). Jednakże nie jest on wymagany, może pomóc, ale i bez niego można sobie poradzić. Certyfikat ISO 27001:2005 (BS 7799:2-2002) może być zarówno pierwszym certyfikatem na system zarządzania, jak i kolejnym, np. czwartym — mówi Anna Jasik, menedżer ds. marketingu w Kema Quality Polska.

Gdzie szukać

Bezpieczeństwo informacji to trzy obszary. Poufność, czyli zapewnienie dostępu do informacji tylko osobom upoważnionym. Integralność, czyli dokładność i kompletność informacji oraz metod jej przetwarzania. Ostatni, ale nie mniej istotny obszar to dostępność, czyli zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne.

— Informacja może przybierać różne formy. Może być wydrukowana lub zapisana na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w rozmowie. Niezależnie od tego, w jakiej formie jest przechowywana lub za pomocą jakich środków jest udostępniana, zawsze powinna być w odpowiedni sposób chroniona — podkreśla Radosław Frydrych, prezes firmy doradczej Meritum — Doradztwo i Szkolenia.

Ludzie, systemy i pieniądze

Niezwykle ważnym elementem przy wdrażaniu systemu zarządzania bezpieczeństwem informacji jest zaangażowanie kierownictwa. Bez niego nie wypracuje się zasad zgodnych z przyjętą kulturą organizacyjną firmy.

— Nie da się zapewnić 100 proc. bezpieczeństwa informacji, dlatego ważnym czynnikiem jest dobrze przeprowadzona analiza ryzyka. Należy skupić się na zagrożeniach newralgicznych dla organizacji i nie tracić zasobów na mało istotne — wyjaśnia Radosław Frydrych.

Bardzo ważne są jasno określone cele takiego systemu oraz uświadomienie ich pracownikom.

— Oprócz opracowywania i wdrażania procedur należy pamiętać o szkoleniach i ciągłym podnoszeniu świadomości ludzi — uważa Radosław Frydrych.

Firmy są w coraz większym stopniu uzależnione od systemów i usług informatycznych, co oznacza, że są bardziej podatne na zagrożenia utraty informacji. Zabezpieczenie, jakie można osiągnąć środkami technicznymi, jest ograniczone i powinno być wspierane przez odpowiednie zarządzanie i zasady postępowania. Określenie zabezpieczeń, które powinny być zastosowane, wymaga starannego planowania, zwracania uwagi na szczegóły oraz zaangażowania pracowników każdego szczebla. Może wymagać także udziału dostawców, klientów i udziałowców.

— Organizacja chcąca chronić informacje musi zwrócić uwagę nie tylko na zabezpieczenia techniczno-informatyczne, ale również na aspekty ludzkie. Świadomość pracowników, przestrzeganie odpowiednich procedur i działanie w zgodzie z polityką firmy stanowią drugi, ważny filar, na którym buduje się bezpieczeństwo informacji — twierdzi Anna Jasik.

Racjonalne wykorzystanie środków, jakie są przeznaczone na zapewnienie bezpieczeństwa informacji, gwarantuje szacowanie ryzyka. Należy zidentyfikować zagrożenia, ocenić podatność firmy na nie i prawdopodobieństwo ich wystąpienia. Jednym z najważniejszych punktów jest określenie potencjalnych skutków ich zaistnienia.

— Wydatki ponoszone na zabezpieczenia powinny być odniesione do strat w działalności biznesowej, które mogłyby być rezultatem naruszeń bezpieczeństwa. Należy oszacować zarówno szkody, uwzględniając potencjalne konsekwencje złamania poufności informacji, jak i realne prawdopodobieństwo takiego złamania, biorąc pod uwagę istniejące zagrożenia, podatności i aktualnie stosowane zabezpieczenia — wyjaśnia Radosław Frydrych.

Kiedy wdrażać

Każda firma posiada informacje, które należy szczególnie chronić. Należy rozważyć wdrożenie systemu bezpieczeństwa informacji, kiedy przedsiębiorstwo ma cenne dane, a nie jest pewne ich ochrony. Powinno zdecydować się na wdrożenie normy zgodnej z ISO 27001:2005, gdy wykorzystuje w swoich działaniach informacje klientów, dla których bezpieczeństwo może stać się wyróżnikiem na rynku (firmy medyczne, prawnicze, księgowe, informatyczne). A na pewno w przypadkach gdy ma kłopoty i ponosi straty z powodu niewłaściwego przepływu i dostępu do danych. n

Jak patrzeć na ISO 27001

Anna Gerymska, dyrektor UDT-CERT

Bezpieczeństwo informacji oznacza, że jest ona chroniona przed różnymi zagrożeniami w taki sposób, aby zapewnić ciągłość prowadzenia działalności, zminimalizować straty, maksymalizować zwrot nakładów na inwestycje i działania o charakterze biznesowym.

Bezpieczeństwo informacji charakteryzowane jest więc przez 3 cechy - poufność

(czyli udostępnienie informacji tylko osobom upoważnionym), integralność (czyli zapewnienie dokładności i kompletności danej informacji oraz metod jej przetwarzania) oraz dostępność (czyli umożliwienie upoważnionym osobom dostępu do potrzebnych mu danych).

Bezpieczeństwo informacji w zdecydowany sposób podnosi wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 - Information Security Management System (ISMS).

Norma ISO/IEC 27001 została opublikowana w październiku 2005 r. i stanowi podstawę certyfikacji systemu zarządzania bezpieczeństwem informacji zastępując normę brytyjską BS 7799-2:2002, która będzie jeszcze obowiązywać do kwietnia 2007 r. ISO/IEC 27001 jest zbudowana w sposób umożliwiający wdrożenie jej postanowień przy wykorzystaniu niektórych elementów pochodzących z norm ISO 9001 oraz ISO 14001. W załączniku C do normy ISO 27001 znajdują się tabele przedstawiające korespondencje wymagań między tymi normami. A wymagań wspólnych jest sporo, np. w stosunku do audytów wewnętrznych, przeglądu dokonywanego przez kierownictwo czy też doskonalenia systemu zarządzania bezpieczeństwem informacji.

Wdrożenie wymagań ISO/IEC 27001 wiąże się z określeniem polityki systemu zarządzania bezpieczeństwem informacji, określeniem i oszacowaniem ryzyka, a następnie ze zidentyfikowaniem i oceną wariantów postępowania z ryzykami. Kolejnym krokiem będzie wybranie celów zabezpieczeń i przygotowanie deklaracji stosowania. Do wdrożenia systemu należy opracować i wprowadzić plan postępowania z ryzykiem oraz uruchomić wybrane zabezpieczenia.

ISO 27001 zawiera w załączniku A wymagania zaczerpnięte z ISO /IEC 17799:2005. I o ile organizacja nie może wyłączyć wymagań zawartych w samej normie ISO 27001, to możliwe jest wyłączenie niektórych wymagań zawartych w załączniku A. Z tym, że każde z wyłączeń musi zostać starannie uzasadnione. Zwykle udaje się wyłączyć jedynie kilka wymagań.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Justyna Płudowska

Polecane

Inspiracje Pulsu Biznesu