Nowoczesna firma nie może pozwolić sobie na to, aby nie zarządzać bezpieczeństwem informacji.
Informacja jest jednym z najważniejszych aktywów przedsiębiorstwa. Straty powstające z powodu braku zabezpieczenia mogą narazić organizację na poważne koszty i utratę reputacji. W coraz większym stopniu instytucje, ich systemy i sieci informatyczne stają w obliczu zagrożeń pochodzących z wielu źródeł (szpiegostwo, wandalizm, brak świadomości pracowników, pożar lub powódź). Ochrona przed takimi zagrożeniami zapewnia firmie dodatkową, specyficzną polisę ubezpieczeniową. Jest istotnym czynnikiem w utrzymaniu konkurencyjności, wizerunku instytucji, płynności finansowej oraz zgodności z przepisami prawa.
— System bezpieczeństwa informacji łatwiej się wdraża wówczas, gdy organizacja posiada system zarządzania jakością (zgodny z ISO 9001:2001). Jednakże nie jest on wymagany, może pomóc, ale i bez niego można sobie poradzić. Certyfikat ISO 27001:2005 (BS 7799:2-2002) może być zarówno pierwszym certyfikatem na system zarządzania, jak i kolejnym, np. czwartym — mówi Anna Jasik, menedżer ds. marketingu w Kema Quality Polska.
Gdzie szukać
Bezpieczeństwo informacji to trzy obszary. Poufność, czyli zapewnienie dostępu do informacji tylko osobom upoważnionym. Integralność, czyli dokładność i kompletność informacji oraz metod jej przetwarzania. Ostatni, ale nie mniej istotny obszar to dostępność, czyli zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne.
— Informacja może przybierać różne formy. Może być wydrukowana lub zapisana na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w rozmowie. Niezależnie od tego, w jakiej formie jest przechowywana lub za pomocą jakich środków jest udostępniana, zawsze powinna być w odpowiedni sposób chroniona — podkreśla Radosław Frydrych, prezes firmy doradczej Meritum — Doradztwo i Szkolenia.
Ludzie, systemy i pieniądze
Niezwykle ważnym elementem przy wdrażaniu systemu zarządzania bezpieczeństwem informacji jest zaangażowanie kierownictwa. Bez niego nie wypracuje się zasad zgodnych z przyjętą kulturą organizacyjną firmy.
— Nie da się zapewnić 100 proc. bezpieczeństwa informacji, dlatego ważnym czynnikiem jest dobrze przeprowadzona analiza ryzyka. Należy skupić się na zagrożeniach newralgicznych dla organizacji i nie tracić zasobów na mało istotne — wyjaśnia Radosław Frydrych.
Bardzo ważne są jasno określone cele takiego systemu oraz uświadomienie ich pracownikom.
— Oprócz opracowywania i wdrażania procedur należy pamiętać o szkoleniach i ciągłym podnoszeniu świadomości ludzi — uważa Radosław Frydrych.
Firmy są w coraz większym stopniu uzależnione od systemów i usług informatycznych, co oznacza, że są bardziej podatne na zagrożenia utraty informacji. Zabezpieczenie, jakie można osiągnąć środkami technicznymi, jest ograniczone i powinno być wspierane przez odpowiednie zarządzanie i zasady postępowania. Określenie zabezpieczeń, które powinny być zastosowane, wymaga starannego planowania, zwracania uwagi na szczegóły oraz zaangażowania pracowników każdego szczebla. Może wymagać także udziału dostawców, klientów i udziałowców.
— Organizacja chcąca chronić informacje musi zwrócić uwagę nie tylko na zabezpieczenia techniczno-informatyczne, ale również na aspekty ludzkie. Świadomość pracowników, przestrzeganie odpowiednich procedur i działanie w zgodzie z polityką firmy stanowią drugi, ważny filar, na którym buduje się bezpieczeństwo informacji — twierdzi Anna Jasik.
Racjonalne wykorzystanie środków, jakie są przeznaczone na zapewnienie bezpieczeństwa informacji, gwarantuje szacowanie ryzyka. Należy zidentyfikować zagrożenia, ocenić podatność firmy na nie i prawdopodobieństwo ich wystąpienia. Jednym z najważniejszych punktów jest określenie potencjalnych skutków ich zaistnienia.
— Wydatki ponoszone na zabezpieczenia powinny być odniesione do strat w działalności biznesowej, które mogłyby być rezultatem naruszeń bezpieczeństwa. Należy oszacować zarówno szkody, uwzględniając potencjalne konsekwencje złamania poufności informacji, jak i realne prawdopodobieństwo takiego złamania, biorąc pod uwagę istniejące zagrożenia, podatności i aktualnie stosowane zabezpieczenia — wyjaśnia Radosław Frydrych.
Kiedy wdrażać
Każda firma posiada informacje, które należy szczególnie chronić. Należy rozważyć wdrożenie systemu bezpieczeństwa informacji, kiedy przedsiębiorstwo ma cenne dane, a nie jest pewne ich ochrony. Powinno zdecydować się na wdrożenie normy zgodnej z ISO 27001:2005, gdy wykorzystuje w swoich działaniach informacje klientów, dla których bezpieczeństwo może stać się wyróżnikiem na rynku (firmy medyczne, prawnicze, księgowe, informatyczne). A na pewno w przypadkach gdy ma kłopoty i ponosi straty z powodu niewłaściwego przepływu i dostępu do danych. n
Jak patrzeć na ISO 27001
Anna Gerymska, dyrektor UDT-CERT
Bezpieczeństwo informacji oznacza, że jest ona chroniona przed różnymi zagrożeniami w taki sposób, aby zapewnić ciągłość prowadzenia działalności, zminimalizować straty, maksymalizować zwrot nakładów na inwestycje i działania o charakterze biznesowym.
Bezpieczeństwo informacji charakteryzowane jest więc przez 3 cechy - poufność
(czyli udostępnienie informacji tylko osobom upoważnionym), integralność (czyli zapewnienie dokładności i kompletności danej informacji oraz metod jej przetwarzania) oraz dostępność (czyli umożliwienie upoważnionym osobom dostępu do potrzebnych mu danych).
Bezpieczeństwo informacji w zdecydowany sposób podnosi wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 - Information Security Management System (ISMS).
Norma ISO/IEC 27001 została opublikowana w październiku 2005 r. i stanowi podstawę certyfikacji systemu zarządzania bezpieczeństwem informacji zastępując normę brytyjską BS 7799-2:2002, która będzie jeszcze obowiązywać do kwietnia 2007 r. ISO/IEC 27001 jest zbudowana w sposób umożliwiający wdrożenie jej postanowień przy wykorzystaniu niektórych elementów pochodzących z norm ISO 9001 oraz ISO 14001. W załączniku C do normy ISO 27001 znajdują się tabele przedstawiające korespondencje wymagań między tymi normami. A wymagań wspólnych jest sporo, np. w stosunku do audytów wewnętrznych, przeglądu dokonywanego przez kierownictwo czy też doskonalenia systemu zarządzania bezpieczeństwem informacji.
Wdrożenie wymagań ISO/IEC 27001 wiąże się z określeniem polityki systemu zarządzania bezpieczeństwem informacji, określeniem i oszacowaniem ryzyka, a następnie ze zidentyfikowaniem i oceną wariantów postępowania z ryzykami. Kolejnym krokiem będzie wybranie celów zabezpieczeń i przygotowanie deklaracji stosowania. Do wdrożenia systemu należy opracować i wprowadzić plan postępowania z ryzykiem oraz uruchomić wybrane zabezpieczenia.
ISO 27001 zawiera w załączniku A wymagania zaczerpnięte z ISO /IEC 17799:2005. I o ile organizacja nie może wyłączyć wymagań zawartych w samej normie ISO 27001, to możliwe jest wyłączenie niektórych wymagań zawartych w załączniku A. Z tym, że każde z wyłączeń musi zostać starannie uzasadnione. Zwykle udaje się wyłączyć jedynie kilka wymagań.