ISO 27001

System Zarządzania Bezpieczeństwem Informacji wg ISO 27001

SZBI

System Zarządzania Bezpieczeństwem Informacji wg ISO 27001 to najpopularniejszy i najczęściej chyba stosowany standard służący do zapewnienia bezpieczeństwa danych. Od zawsze stosują go organizacje, dla których bezpieczeństwo informacji stoi na pierwszym miejscu oraz te, dla których jest ono gwarantem ciągłości biznesowej i ma bezpośredni wpływ na sukces ekonomiczny.

Obowiązujące w sektorze publicznym Rozporządzenie o Krajowych Ramach Interoperacyjności spowodowało, że od 2015 r. standardem tym zaczęły się również interesować jednostki publiczne zobligowane do wdrożenia pewnych minimalnych standardów bezpieczeństwa.

Za sprawą wchodzących właśnie w życie nowych przepisów o ochronie danych osobowych (GDPR / RODO) norma ISO 27001 przeżywa kolejną falę zainteresowania. Wynika to z faktu, iż europejskie Ogólne Rozporządzenie o Ochronie Danych jako obligatoryjny wskazuje model ustanawiania zabezpieczeń bazujący na analizie ryzyka.

System Zarządzania i normy ISO

Systemy Zarządzania (np. bezpieczeństwem, jakością, ciągłością działania) to ustandaryzowane przez ISO zbiory wymogów organizacyjnych, proceduralnych, dokumentacyjnych i technicznych, których wdrożenie ma zagwarantować osiągnięcie określonego stanu (np. bezpieczeństwa). System Zarządzania Bezpieczeństwem Informacji bazuje na poniższym zbiorze norm z rodziny ISO 27000:

  • ISO/IEC 27000 – Ogólny przegląd i terminologia stosowana w normie
  • ISO/IEC 27001 – System Zarządzania Bezpieczeństwem Informacji – wymagania oraz cele zabezpieczeń (zdefiniowane w załączniku A)
  • ISO/IEC 27002 – Praktyczne zasady zabezpieczania informacji (wykaz zabezpieczeń)
  • ISO/IEC 27003 – Przewodnik implementacji
  • ISO/IEC 27004 – Monitorowanie, pomiary, analiza i ocena
  • ISO/IEC 27005 – Zarządzanie ryzykiem w bezpieczeństwie informacji (norma zawiera m.in. katalog zagrożeń, które należy wziąć pod uwagę przy analizie ryzyka).

Pełny zbiór norm z zakresu 27k zawiera jeszcze 40 kolejnych opracowań. Żeby jednak poznać podstawy wystarczą nam w zupełności ISO 27001 oraz ISO 27002.

Normy branżowe i technologiczne

W pozostałych znajdziemy bardziej szczegółowe wytyczne dla konkretnych sektorów i branż – np. telekomunikacja (27011), finanse  (27015), usługi chmurowe (27017), przetwarzanie danych osobowych w chmurze publicznej (27018), energetyka (27019), służba zdrowia (27799). Ponadto wytyczne dotyczące zabezpieczeń dla konkretnych technologii – np. bezpieczeństwo sieci (27033), bezpieczeństwo aplikacji (27034), bezpieczeństwo pamięci masowych (27040).

Do innych wartych wspomnienia należą jeszcze: cyberbezpieczeństwo (27032), business continuity (27031), zarządzanie incydentami bezpieczeństwa (27035), zabezpieczenia przed intruzami (27039), integracja norm ISO 27001 oraz ISO 20000-1 zawierającej dobre praktyki ITIL (27013).

Nie tylko rodzina norm ISO 27000

Poza rodziną norm ISO 27000 przy okazji omawiania kwestii bezpieczeństwa i ciągłości biznesowej warto jeszcze wspomnieć inne normy regulujące ten obszar:

  • ISO 31000 – rodzina standardów dotyczących zarządzania ryzykiem
  • ISO 22301 – System Zarządzania Ciągłością działania

Ze względu na obszerność zagadnienia w tym artykule zajmiemy się jednak wyłącznie normą ISO 27001.

Norma ISO 27001

Opracowania normalizacyjne podlegają ochronie licencyjnej. Nie mogę więc zacytować tutaj wprost treści normy. Każdą z norm można zakupić na stronie Polskiego Komitetu Normalizacyjnego (koszt ok 200zł).

Aby przybliżyć zawartość normy postaram się jednak streścić zawartość najistotniejszych jej rozdziałów. W następujących podpunktach w nawiasach podane będą numery rozdziałów w normie ISO 27001:2013, co powinno ułatwić zainteresowanym odniesienie się do orginalnej dokumentacji. Na czerwono natomiast zaznaczone zostaną wymagania dotyczące obligatoryjnej dokumentacji.

Warto tutaj wspomnieć, że norma ta, podobnie jak wiele innych oparta jest na t.zw. cyklu Deminga określającym kolejne fazy planowania, wdrażania, kontroli i doskonalenia (Plan -> Do -> Check -> Act ).

Kontekst organizacji (rozdz. 4)

Rozdziały 4-7 poświęcone są procesowi planowania i ustanawiania SZBI (faza „Plan” w cyklu Deminga). Rozdział 4. mówi o konieczności ustalenia kontekstu organizacji, czyli m.in. zidentyfikowaniu czynników zewnętrznych i wewnętrznych istotnych dla celu działania organizacji oraz osiągania zamierzonych wyników. Wymaga to również ustalenia jakie strony zainteresowane zostały uznane za istotne dla Systemu Zarządzania Bezpieczeństwem Informacji (dalej będę się posługiwał skrótem SZBI) oraz jakie są wymagania tych stron istotne dla bezpieczeństwa informacji. W rozdziale tym określone też muszą być granice oraz zakres stosowania SZBI, co istotne w formie udokumentowanej.

Przywództwo (rozdz. 5)

Rozdział ten ustanawia wymogi odnośnie Polityki Bezpieczeństwa oraz przywództwa i angażowania się najwyższego kierownictwa w jej ustanowienie, zakomunikowanie oraz weryfikację skuteczności. W dziale tym jest m.in. mowa o  konieczności ustalenia celów bezpieczeństwa informacji i wskazania w jaki sposób wspierają one cele strategiczne organizacji. Jednym z wymagań jest również zintegrowanie wymagań SZBI z głównymi procesami organizacji.

Sama Polityka bezpieczeństwa wg. zapisów rozdziału 5. powinna m.in. określać cele bezpieczeństwa informacji, wymagania konieczne do spełnienia oraz zobowiązanie do doskonalenia SZBI. Powinna ona być opracowana przez najwyższej kierownictwo, udokumentowana i dostępna dla wszystkich w określonym miejscu i formie. Jednym z wymogów normy jest również skuteczny proces komunikowania polityki oraz pojawiających się w niej zmian. To samo tyczy się ustanowienia i komunikowania roli i odpowiedzialności pracowników za realizację zapisów polityki.

Planowanie (rozdz. 6)

Podpunkt 6.1.2 mówi o konieczności opracowania i wdrożenia procesu szacowania ryzyka. Poza samymi kryteriami szacowania ryzyka powinien on również zawierać kryteria akceptacji ryzyka oraz sposoby identyfikowania ryzyk mających wpływ na bezpieczeństwo informacji. Istotnym wymogiem normy jest posiadanie procesu analizy ryzyka w formie udokumentowanej.

Podpunkt 6.1.3 opisuje natomiast zasady postępowania z ryzykiem. W ramach działań obniżających poziom ryzyka opracowany powinien być m.in. plan postępowania z ryzykiem, którego celem jest wybór i wdrożenie odpowiednich zabezpieczeń. Zabezpieczenia zawarte powinny być w deklaracji stosowania, która oprócz obligatoryjnych zabezpieczeń z załącznika A normy może zawierać inne zabezpieczenia wybrane przez organizację. Istotnym wymogiem normy jest aby deklaracja stosowania, plan postępowania i proces postępowania z ryzykiem miały formę udokumentowaną.

Kolejny podpunkt (6.2) mówi m.in. o konieczności weryfikowania i mierzenia spójności celów bezpieczeństwa informacji z polityką bezpieczeństwa. W kontekście celów bezpieczeństwa informacji konieczne jest m.in. ustalenie jakie działania muszą być podjęte, jakie zasoby są do tego potrzebne, kto jest za nie odpowiedzialny i w jakim terminie oraz w jaki sposób zweryfikowane będą wyniki.

Wsparcie (rozdz. 7)

W rozdziale 7. mowa jest o konieczności określenia zasobów i kompetencji niezbędnych do ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia SZBI. Podkreśla się również rolę organizacji w zapewnieniu i weryfikacji powyższych zasobów. Co istotne, dowody kompetencji powinny mieć formę udokumentowaną.

Duży nacisk kładzie się również na konieczność uświadamiania i komunikacji polityki bezpieczeństwa w organizacji. Pracownicy powinni być świadomi ich wkładu w skuteczność SZBI, korzyści z doskonalenia wyników oraz konsekwencji niezgodności z wymogami SZBI. W zakresie komunikacji istotne jest natomiast określenie co, kiedy, kto, komu i w ramach jakich procesów powinien komunikować.

W podpunkcie 7.5 mowa jest o dokumentacji wymaganej przez SZBI, zarówno tej wynikającej z samej normy, jak i tej określonej przez organizację za niezbędną dla skuteczności SZBI. Punkt ten mówi również o konieczności odpowiedniej identyfikacji oraz przeglądu i zatwierdzania dokumentacji. Poruszana jest również kwestia nadzoru, dostępności, ochrony, dystrybucji, przechowywania oraz likwidowania dokumentacji.

Działania operacyjne (rozdz. 8)

Jedyny rozdział normy poświęcony wdrożeniu SZBI (odpowiednik fazy „Do” w cyklu Deminga). Podkreśla się w nim konieczność udokumentowania prawidłowości procesu zarządzania ryzykiem oraz informacji potwierdzających realizację planów bezpieczeństwa informacji. Ryzyko powinno być szacowane w określonych odstępach czasu a wyniki szacowania powinny być dostępne w formie udokumentowanej. Udokumentowane powinny również być informacje na temat wyników postępowania z ryzykiem.

Ocena wyników (rozdz. 9)

Rozdział 9. opisuje mechanizmy kontrolne, a zatem odpowiada fazie „Check” w cyklu Deminga. Mowa jest w nim o konieczności monitorowania, pomiarów, analizy i oceny skuteczności SZBI. Zgodnie z normą organizacja powinna ustalić kto, kiedy i przy użyciu jakich metod dokonuje pomiarów skuteczności. Wyniki monitorowania i pomiarów powinny być dostępne w formie udokumentowanej.

Kolejnym opisanym w tym rozdziale zagadnieniem jest audyt wewnętrzny. Mowa jest m.in. o konieczności ustalenia kryteriów i zakresu audytu oraz opracowania w udokumentowanej formie programu audytów. Program audytów powinien określać częstotliwość, metody oraz odpowiedzialność, a także uwzględniać wyniki poprzednich audytów. Wymaga się również, aby wyniki audytu w formie udokumentowanej przedstawiane były odpowiednim członkom kierownictwa.

Ostatnia część rozdziału 9. związana jest z przeglądem zarządzania (przeglądem zarządczym). Przegląd ten powinien być realizowany w określonych odstępach czasu przez najwyższe kierownictwo w celu zapewnienia stałej przydatności, adekwatności i skuteczności SZBI. Wymogiem normy jest aby wyniki przeglądu zarządzania miały formę udokumentowaną.

Doskonalenie (rozdz. 10)

Jak sama nazwa wskazuje zawartość tego rozdziału odpowiada fazie doskonalenia, czyli „Act” wg cyklu Deminga. Wymaga on określenia w jaki sposób organizacja reaguje na zidentyfikowane niezgodności oraz jakie podejmuje działania korygujące. W ramach tych działań powinno się położyć nacisk na weryfikację ich skuteczności oraz wprowadzenie odpowiednich zmian w SZBI. Informacje na temat niezgodności, podjętych działań korygujących oraz ich wyników powinny zostać udokumentowane. Punkt ten wymaga też określenia w jaki sposób prowadzone jest ciągłe doskonalenie przydatności, adekwatności i skuteczności SZBI.

Podsumowanie

Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą ISO 27001 wymaga uregulowania wielu obszarów, ustanowienia lub zmodyfikowania głównych procesów w organizacji oraz zaangażowania najwyższego kierownictwa. Jego utrzymanie wymaga powtarzalnych działań, których wyniki muszą być mierzone i analizowane, a w razie konieczności powinny za sobą pociągać określone działania naprawcze. Oprócz zaznaczonych w tekście na czerwono wymogów dotyczących dokumentacji, wdrożenie SZBI wiąże się z koniecznością opracowania m.in. następujących procesów:

  • Komunikacji (7.4)
  • Nadzoru nad udokumentowaną informacją (7.5)
  • Procesów niezbędnych do zaspokojenia wymagań bezpieczeństwa informacji, w tym procesów zlecanych na zewnątrz (8.1)
  • Monitorowania, pomiarów, analizy i oceny (9.1)

Oprócz wymaganej wprost dokumentacji nieodzowne wydaję się również udokumentowanie ról, odpowiedzialności i uprawnień poszczególnych osób zaangażowanych w procesy SZBI, a także zasad komunikacji obowiązujących w ramach systemu.

Już wkrótce, w kolejnym artykule postaram się przybliżyć wymogi dotyczące celów zabezpieczeń z załącznika A normy 27001 oraz konkretne zabezpieczenia wskazane w normie 27002.

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.