ZARZĄDZANIE
BEZPIECZEŃSTWEM INFORMACJI

Magdalena Cupryjak

Informacja

Informacja to dane przetworzone (poukładane,
przefiltrowane, pogrupowane itd.) w taki sposób,
że na ich podstawie można wyciągać wnioski,
podejmować decyzje biznesowe. Informacja jest
składnikiem aktywów (wartości), które, podobnie
jak inne ważne aktywa biznesowe, ma zasadnicze
znaczenie dla organizacji, przedsiębiorstw, a tym
samym musi być odpowiednio zabezpieczona.

Informacja

Może być:



Wydrukowana lub zapisana na papierze



Przechowywana w pamięci masowej



Transmitowana pocztą zwykłą lub elektroniczną



Prezentowana na urządzeniach video



Publikowana na stronach WWW



Przekazana ustnie

W każdym jednak przypadku, niezależnie od formy, jaką
informacja przybiera oraz w jaki sposób jest przekazywana
lub składowana wymaga odpowiedniej ochrony!

Klasyfikacja informacji do ochrony:



Informacje

poufne

-

o

zasadniczym

znaczeniu dla organizacji, dostępne tylko dla
osób, którym są niezbędne do realizacji zadań.



Do użytku wewnętrznego

– istotne dla

działania

organizacji,

udostępniane

bez

ograniczeń dla pracowników Organizacji lub
na podstawie porozumień o zachowaniu
poufności.



Publiczne

– udostępniane bez ograniczeń,

przeznaczone do nieograniczonej publikacji.

Bezpieczeństwo informacji

Bezpieczeństwo informacji jest to ochrona
informacji przed szeroką gamą zagrożeń w celu
zapewnienia ciągłości biznesu, minimalizowania
ryzyka biznesowego i maksymalizacji zwrotu z
inwestycji, oraz możliwości biznesowych.

Bezpieczeństwo informacji

Zapewnienie odpowiedniej

jakości informacji

Zapewnienie odpowiedniej

jakości informacji

Bezpieczeństwo informacji

można osiągnąć stosując

różne strategie

Bezpieczeństwo informacji

można osiągnąć stosując

różne strategie

Wykorzystywane strategie

powinny się wzajemnie

uzupełniać

Wykorzystywane strategie

powinny się wzajemnie

uzupełniać

Celem bezpieczeństwa

informacji jest

zabezpieczenie realizacji

istotnych procesów przez

Organizację

Celem bezpieczeństwa

informacji jest

zabezpieczenie realizacji

istotnych procesów przez

Organizację

Bezpieczeńst

wo informacji

Bezpieczeńst

wo informacji

Elementy bezpieczeństwa

informacji

Ludzie

Procesy

Technologie

Atrybuty ochrony informacji

Poufność

Poufność

• zapewnienie, że informacje są dostępne

tylko dla osób uprawnionych do ich dostępu

Integralność

Integralność

• zagwarantowanie

dokładności

i

kompletności informacji, oraz metod ich

przetwarzania

Dostępność

Dostępność

• zapewnienie upoważnionym użytkownikom

dostępu do informacji i związanych z nimi

zasobów, zgodnie z określonymi potrzebami

Zagrożenia dla bezpieczeństwa

informacji i jego źródła

Zagrożenia

Zagrożenia

• Błędy i pomyłki ludzkie

• Naruszenie praw

autorskich

• Szpiegostwo lub kradzież

danych

• Nieuprawnione korzystanie

z informacji

• Kradzieże

• Ataki programistyczne

• Zakłócenia w dostawie

usług

• Siły natury

• Defekty sprzętowe i

programowe

• Błędy eksploatacyjne

Przykłady

Przykłady

• Braki; wiedzy,

przeszkolenia, wypadki

• Piractwo, przekraczanie

licencji

• Nieautoryzowany dostęp

• Szantaż publikacja

informacji

• Uszkodzenie

sprzętu/informacji

• Kradzież sprzętu czy

nośników

• Wirusy, „konie trojańskie”,

blokady dostępu

• Zasilanie, transmisja

danych

• Ogień, powódź, huragan

• Błędy w kodach,

uszkodzenia

• Brak aktualizacji, kontroli

Naruszenie bezpieczeństwa

informacji

Prowadzi do:



Utraty reputacji



Strat finansowych



Utraty kontroli nad własnością intelektualną



Problemów prawnych (dane osobowe itp.)



Utraty zaufania u klientów, partnerów, petentów
itp.



Kosztów związanych z przerwami w działalności

STRATY DOBREJ OPINII O FIRMIE

Przepisy wymuszające zachowanie

bezpieczeństwa informacji

•

Ustawa o ochronie danych osobowych;

•

Ustawa o zwalczaniu nieuczciwej
konkurencji;

•

Ustawa o ochronie informacji niejawnych;

•

Ustawa o dostępie do informacji
publicznej;

•

Ustawa o prawie autorskim i prawach
pokrewnych.

System Zarządzania

Bezpieczeństwem Informacji (SZBI)

Obecnie najlepszym rozwiązaniem jest standard
System Zarządzania Bezpieczeństwem Informacji
(SZBI)

zgodny

z

ISO/

IEC

27001

o

międzynarodowym zasięgu. System ten określa
wymagania, oraz zasady inicjowania, wdrażania,
utrzymania

i

poprawy

zarządzania

bezpieczeństwem informacji w organizacji, oraz
zawiera najlepsze praktyki celów stosowania
zabezpieczeń w jedenastu obszarach zarządzania
bezpieczeństwem informacji.

Polityka

bezpieczeńst

wa informacji

Polityka

bezpieczeńst

wa informacji

Organizacja

bezpieczeńst

wa informacji

Organizacja

bezpieczeńst

wa informacji

Zarządzenie

aktywami

Zarządzenie

aktywami

Zarządzanie

zasobami

ludzkimi

Zarządzanie

zasobami

ludzkimi

Bezpieczeńst

wo fizyczne

Bezpieczeńst

wo fizyczne

Zarządzanie

operacjami i

komunikacją

Zarządzanie

operacjami i

komunikacją

Kontrola

dostępu

Kontrola

dostępu

Akwizycja,

modernizacja

i eksploatacja

Akwizycja,

modernizacja

i eksploatacja

Zarządzanie

incydentami

Zarządzanie

incydentami

Planowanie

ciągłości

działania

Planowanie

ciągłości

działania

Zgodność z

prawem

Zgodność z

prawem

INFORMACJ

A

INFORMACJ

A

poufność

poufność

integralnoś

ć

integralnoś

ć

dostępność

dostępność

Cykl Deminga

Norma PN-ISO/IEC 27001 stosuje znany już
dobrze model „Planuj – Wykonuj –
Sprawdzaj – Działaj” (PDCA), który jest
stosowany do całej struktury procesów
SZBI.

Planuj

Planuj

• ustanowienie SZBI - ustanowienie polityki SZBI, celów, procesów i

procedur istotnych dla zarządzania ryzykiem oraz doskonalenia

bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z

ogólnymi politykami i celami organizacji

Wykonuj

Wykonuj

• drożenie i eksploatacja SZBI - wdrożenie i eksploatacja polityki

SZBI, zabezpieczeń, procesów i procedur

Sprawdza

j

Sprawdza

j

• monitorowanie i przegląd SZBI - pomiar wydajności procesów w

odniesieniu do polityki SZBI, celów i doświadczenia praktycznego

oraz dostarczania raportów kierownictwu do przeglądu

Działaj

Działaj

• utrzymanie i doskonalenie SZBI - podejmowanie działań

korygujących

i

zapobiegawczych

na

podstawie

wyników

wewnętrznego audytu SZBI i przeglądu realizowanego przez

kierownictwo lub innych istotnych informacji, w celu zapewnienia

ciągłego doskonalenia SZBI

Proces wdrażania Systemu ISO/
IEC 27001

Korzyści z wprowadzenia

SZBI:



minimalizacja ryzyka wystąpienia zdarzeń związanych z
bezpieczeństwem informacji (w tym również kar)



pro-aktywna identyfikacja podatności aktywów informacyjnych,
zagrożeń i ich skutków w odniesieniu do sterowania
operacyjnego

oraz

definiowanie

odpowiednich

działań

postępowania z ryzykiem w tym zabezpieczeń);



przygotowanie

organizacji

na

incydenty

związane

z

bezpieczeństwem informacji w tym, dzięki odpowiednim
procedurom,

skuteczne

przezwyciężenie

ich

(efektywna

odpowiedź na incydenty, minimalizacja ich wpływu na
organizację);



wdrożony standard podnosi wiarygodność organizacji w oczach
klientów, inwestorów i udziałowców (wszystkich interesariuszy);



pozytywny wpływ na ochronę i poprawę reputacji firmy i danej
marki;

Korzyści z wprowadzenia

SZBI:



spełnienie

coraz

częściej

występujących

w

prawodawstwie wymagań w tym zakresie, wymagań
obecnych i potencjalnych klientów organizacji, a
także ubezpieczycieli (certyfikat może wpłynąć na
ograniczenie wysokości składki ubezpieczeniowej);



zapewnienie bezpieczeństwa interesom Klienta w
wyniku

poprawnie

funkcjonującego

systemu

zarządzania informacją;



odpowiedni

poziom

jakości

ochrony

aktywów

informacyjnych;



wzrost

świadomości

pracowników

odnośnie

bezpieczeństwa informacji;



zwiększenie przewagi konkurencyjnej organizacji na
rynku

DZIĘKUJĘ ZA

UWAGĘ 