Bezpieczeństwo IT

Normy z rodziny ISO 27000 – co regulują i dlaczego są tak ważne dla bezpieczeństwa informacji?

Viktoria Polikowska

Powiązane usługi

Tagi

Cyberbezpieczeństwo wymaga odpowiedniego podejścia. Skutecznym rozwiązaniem, ograniczającym wpływ zagrożeń na nasze systemy i infrastrukturę IT, a w efekcie na informacje gromadzone przez organizację, jest standaryzacja podejścia do budowy zabezpieczeń.

Można ją osiągnąć przez skuteczne wdrożenie i stosowanie systemów zarządzania bezpieczeństwem informacji. W tym celu warto zajrzeć do norm z rodziny ISO 27000. Stanowią one zbiór standardów dotyczących zarządzania bezpieczeństwem informacji (Information Security Management Systems – ISMS). Zostały opracowane przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC). Mają na celu zapewnienie skutecznego zarządzania bezpieczeństwem informacji w organizacjach oraz chronienie informacji i danych przed zagrożeniami, wyciekiem, utratą lub nieautoryzowanym dostępem.

System Zarządzania Bezpieczeństwem Informacji PN-EN ISO/IEC 27001

Najbardziej rozpoznawalną jest norma PN-EN ISO/IEC 27001 dotycząca Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Nieustannie rozwijająca się technologia stymuluje wzrost liczby i różnorodności zagrożeń cybernetycznych, dlatego skuteczne zarządzanie bezpieczeństwem informacji staje się nieodłącznym elementem strategii każdej organizacji.
Wspomniana norma to przewodnik, który pomaga organizacjom w świadomej ochronie gromadzonych danych, konstruowaniu bezpiecznych procesów przetwarzania informacji oraz dostosowywaniu do nieustannie zmieniających się ryzyk zewnętrznych i wewnętrznych.
System Zarządzania Bezpieczeństwem Informacji zaimplementowany zgodnie z ISO/IEC 27001 stanowi użyteczne narzędzie pozwalające na stworzenie odpowiednich zabezpieczeń uwzględniających specyfikę działania organizacji, jej strategię biznesową oraz cele.
W związku ze zbliżającym się wejściem w życie nowej dyrektywy dotyczącej cyberbezpieczeństwa, coraz szersze grono organizacji będzie zainteresowane wdrożeniem kompleksowego podejścia wynikającego z tej normy, a część będzie wymagać tego od swoich kontrahentów. Procesy realizowane przez SOC Perceptus posiadają certyfikację zgodności z tymi wytycznymi.

Kluczowym punktem ISO/IEC 27001 jest konieczność przeprowadzenia oceny ryzyka (synonim „szacowanie ryzyka”). System zaprojektowano w taki sposób, aby poprzez ocenę ryzyka ustalić konkretne środki zabezpieczające.

Cykl Deminga w SZBI

Cała norma oparta jest o tzw. Cykl Deminga, w którym wyróżniamy cztery zapętlone fazy, widoczne poniżej.

cykle deminga w zarządzaniu bezpieczeństwem informacji

Wszystkie podejmowane przez organizację działania powinny być zaplanowane. Definicji wymagają cele i planowany sposób ich osiągnięcia. Następnie wykonujemy zgodnie z planem czynności potrzebne do osiągnięcia sukcesu. W fazie Check weryfikujemy czy faza Do odzwierciedla zapisy fazy Plan. Faza Act służy korygowaniu niedoskonałości.

Procesy planowane na fundamencie analizy ryzyka

Samo planowanie w zakresie zarządzania bezpieczeństwem informacji jest stricte oparte na zarządzaniu ryzykiem. Cała idea ryzyka jest kluczem, fundamentem, na podstawie którego buduje się wszystkie procesy.

Jeśli istnieje określony cel to zarazem istnieje ryzyko, że nie uda się go osiągnąć. Należy zidentyfikować, co może pójść nie po naszej myśli, a następnie zaplanować, jak temu zapobiegać. Na tym etapie konieczne jest określenie kryteriów akceptacji ryzyka i wytypowaniu tych ryzyk, które będziemy akceptowali oraz tych, które będą musiały ulec np. zredukowaniu. Kryteria oceny powinny być powtarzalne i stosowane w kolejnych cyklach szacowania ryzyka.

Jak to zapewnić?

Określamy metodykę, definiując co będziemy robili, kto to będzie wykonywał, jak często i w oparciu o jakie kryteria. Norma ISO/IEC 27001 nie narzuca konkretnej metodologii, jednak wymaga, aby cały proces szacowania ryzyka od początku do końca był udokumentowany, podobnie jak cały proces zarządzania ryzykiem – od etapu planowania po ocenę skuteczności i ciągłe doskonalenie.

W normie ISO/IEC 27001 możemy znaleźć informację o tym, że na proces szacowania ryzyka składa się:

  • Identyfikacja ryzyka;
  • Analiza ryzyka;
  • Ocena ryzyka.

Ocena ryzyka zgodnie z normami ISO

W kontekście oceny ryzyka warto wspomnieć o normie ISO 27005. Choć sama nie skupia się bezpośrednio na metodyce, to opisuje podejście do zarządzania ryzykiem w obszarze bezpieczeństwa informacji.

Zawiera ona szereg wskazówek dotyczących procesu oceny ryzyka, który może wydawać się prosty, jednak dla osób bez doświadczenia norma ISO 27005 stanowi bardzo cenną pomoc. Natomiast zasady i wytyczne dotyczące metodyki oceny ryzyka opisane są w normie ISO 31000 – Zarządzanie ryzykiem – zasady i wytyczne. Metodologii jest wiele. W organizacjach, w celu analizy ryzyka, najczęściej spotyka się np. Risc Score, FMEA czy 5S.

Po zaplanowaniu i dobraniu metodologii przystępujemy do identyfikacji ryzyka w bezpieczeństwie informacji. To w jaki sposób będziemy je identyfikowali nie jest aż tak ważne z punktu widzenia normy, natomiast ważne, by postawić na jakość, nie na ilość. Co oznacza, że identyfikujemy faktyczne ryzyka, na których należy się skupić. Następnie analizujemy jakie mogą być ich skutki dla organizacji i postawionych celów. Nadajemy im priorytety i planujemy pracę nad kolejnymi obszarami.

Musimy pogodzić się z faktem, że nawet budując wielopłaszczyznową sieć zabezpieczeń nie jesteśmy w stanie wyeliminować ryzyka w 100%. Możemy je zminimalizować, przenieść je na inny podmiot, akceptować i monitorować.

Przeprowadzając analizę ryzyka musimy pamiętać, że nie jest ona jednorazową czynnością wykonaną na potrzebę np. uzyskania certyfikatu. Jest to ciągły i dynamiczny proces, który powinien być regularnie aktualizowany i przeglądany, aby uwzględnić nowe zagrożenia, zmiany poczynione w organizacji oraz te zachodzące w środowisku biznesowym.

Failure Mode and Effect Analysis (FMEA) w bezpieczeństwie informacji

Normy nie określają konkretnych ram regularności przeprowadzania analizy ryzyka ani nie narzucają metodyki jej przeprowadzenia. Należy wybrać taką metodologię, która da nam realną wartość i będzie dopasowana do specyfiki organizacji. Jedną z często wybieranych jest metoda Failure Mode and Effect Analysis (FMEA). Metoda ta pierwotnie stosowana była do identyfikacji potencjalnych problemów w projektach statków kosmicznych. Sukces w środowisku NASA przyczynił się do jej ekspansji na inne dziedziny przemysłu.

FMEA opiera się na precyzyjnej analizie potencjalnych usterek, biorąc pod uwagę powiązane ryzyko. Jej celem jest systematyczne wykrywanie i eliminowanie potencjalnych wad procesów.

Podczas oceny ryzyka w kontekście bezpieczeństwa informacji metoda ta opiera się na trzech kluczowych kryteriach ocenianych punktami od 1 do 10:

  • Stopień wykrywalności – np. jeśli mamy narzędzie takie jak DLP czy UTM to znacząco zwiększamy szansę na wykrycie jakiegoś ryzyka zanim się zrealizuje.
  • Prawdopodobieństwo utraty integralności, dostępności i poufności informacji – np. prawdopodobieństwo wystąpienia ryzyka utraty laptopa pracownika na skutek jego kradzieży;
  • Skutki utraty któregokolwiek z aspektów bezpieczeństwa informacji (poufność, integralność, dostępność) – inaczej skutek materializacji ryzyka np. kradzieży stacji roboczej pracownika.

W ramach określonych limitów punktowych, istotne jest sporządzenie planu zarządzania ryzykiem, obejmującego działania, harmonogram ich realizacji, odpowiedzialne osoby oraz ocenę ryzyka związane z efektywnością podjętych kroków.

Przystępując do analizy ryzyka:

  1. Identyfikujemy wszystkie aktywa. W aspekcie bezpieczeństwa informacji musimy spojrzeć na to bardzo szeroko i zastanowić się nad aktywami niematerialnymi. Są to pracownicy, ich wiedza, doświadczenie, bazy klientów, bazy dostawców, know-how, czyli informacje, których utrata lub wyciek mógłby być bardzo negatywny w skutkach.
  2. Oceniamy wagę tych aktywów dla organizacji (Przykład: ważniejsze dla nas jest know-how czy dane klientów niż materiały marketingowe, które i tak częstokroć są udostępniane dla szerokiego grona odbiorców.)
  3. Do każdego aktywa należy przypisać jego właściciela.
  4. A następnie posiadane w tym obszarze zabezpieczenia.
  5. Dla każdego z aktywów identyfikujemy potencjalne zagrożenie.

Zgodnie z przyjętą metodyką szacując ryzyko uzyskujemy punktację, aby móc priorytetyzować ryzyka oraz przypisać do obranych wcześniej kryteriów.

Najprostszym w wykonaniu i zarazem najmniej kosztownym jest opracowanie procedur, polityk, instrukcji, z którymi zapoznamy naszych pracowników i osoby, które muszą być ich świadome.

Poprawnie wykonane, wdrożone i utrzymywane dokumenty pomagają pracownikom w postępowaniu w określony, bezpieczny sposób. To pozwala na uniknięcie prostych ludzkich błędów, które mogą mieć wpływ na poufność, integralność i dostępność danych, co jest celem SZBI wg. ISO/IEC 27001.

ISO27001:2017 w Perceptus

Chcesz zadbać o cyberbezpieczeństwo?

Skontaktuj się z nami!

Zostaw dane - oddzwonimy

Nasz specjalista odezwie się do Ciebie najpóźniej kolejnego dnia roboczego. Nie musisz wypełniać pola wiadomości, ale krótka informacja o interesującym Cię temacie rozmowy będzie dla nas cenną wskazówką.

Powiązane usługi