70

BEZPIECZNA FIRMA

HAKIN9

3/2010

Z

godnie z normą ISO 27001, system
zarządzania bezpieczeństwem
informacji to część całościowego

systemu zarządzania organizacją
(przedsiębiorstwem), oparta na
podejściu procesowym wynikającym z
ryzyka biznesowego, odnosząca się do
ustanawiania, wdrażania, eksploatacji,
monitorowania, utrzymywania i doskonalenia
bezpieczeństwa informacji.

Rodzina norm 27000

Spośród wszystkich norm serii 27000
największe znaczenie mają normy ISO
27001 i 27002. Normy te zapewniają
kompleksowe podejście do bezpieczeństwa
informacji. Stosuje się je w odniesieniu do
SZBI. Ich zapisy dotyczą zarówno informacji
papierowej, informacji elektronicznej, jak i
wiedzy pracowników.

Norma ISO/IEC 27001 definiuje wymagania

dla systemu zarządzania bezpieczeństwem
informacji. SZBI powinien stanowić część
składową systemu zarządzania organizacją
i być oparty na analizie ryzyka biznesowego.
Norma zaleca podejście systemowe zgodnie
z cyklem PDCA (Plan-Do-Check-Act) Deminga
obejmującym: ustanowienie, wdrożenie,
eksploatację, monitorowanie, przegląd, a także
utrzymanie i doskonalenie SZBI.

Norma ISO 27001 oparta jest, podobnie

jak norma ISO 9001, na zasadach podejścia

ANDRZEJ GUZIK

Z ARTYKUŁU

DOWIESZ SIĘ

jak wdrożyć system

zarządzania bezpieczeństwem

informacji (ang. ISMS

– Information Security

Management System) w

organizacji.

CO POWINIENEŚ

WIEDZIEĆ

znać podstawowe zasady

ochrony informacji.

procesowego. Umożliwia organizacji budowę
zintegrowanego systemu zarządzania:
zarządzania jakością w oparciu o normę
ISO 9001 i zarządzania bezpieczeństwem
informacji w oparciu o normę ISO 27001.
Wdrożenie w organizacji zintegrowanego
systemu zarządzania może przynieść
organizacji szereg korzyści: pozwala objąć
systemem wszystkie obszary działania
firmy, zwraca uwagę na ochronę informacji
i jej wartość, zwiększa zainteresowanie
technologiami ICT, przyczynia się do
prowadzenia analizy i zarządzania ryzykiem,
zapewnia opracowanie planów ciągłości
działania, przyczynia się do uzyskania
przewagi nad konkurencją i poprawia
wizerunek firmy.

W załączniku A do normy przedstawiono

cele stosowania zabezpieczeń i
zabezpieczenia, które należy zastosować
w przypadku podjęcia decyzji o wdrożeniu
w organizacji SZBI. Norma może być
przydatna dla każdej organizacji, niezależnie
od wielkości czy branży, niezależnie od

Stopień trudności

SZBI receptą na

bezpieczeństwo

informacji

Kompleksowe podejście do bezpieczeństwa informacji

w organizacji wymaga wdrożenia systemu zarządzania

bezpieczeństwem informacji (SZBI). Normy serii ISO 27000

stanowią wymagania, najlepsze praktyki i wytyczne w zakresie

wdrożenia systemu. W przypadku, gdy klient tego wymaga

system można certyfikować.

„Prawdę mówi przysłowie, że
systemy bezpieczeństwa muszą
wygrywać za każdym razem, a
napastnik musi wygrać tylko raz”

Austin Dykes

71

SZBI RECEPTĄ NA BEZPIECZEŃSTWO INFORMACJI

HAKIN9

3/2010

tego, czy organizacja będzie ubiegać
się o certyfikację systemu, czy nie.
Do certyfikacji systemu zarządzania
bezpieczeństwem informacji
przeznaczona jest norma ISO/IEC
27001.

Natomiast norma ISO 27002 zawiera

wytyczne związane z ustanowieniem,
wdrożeniem, eksploatacją,
monitorowaniem, przeglądem,
utrzymaniem i doskonaleniem SZBI.
Norma jest pierwszym standardem
obejmującym kompleksowo zarządzanie
bezpieczeństwem informacji. Celem tej
normy jest wdrożenie mechanizmów
zarządzania, które zapewnią, że
bezpieczeństwo informacji będzie
istotnym elementem funkcjonowania
organizacji. Norma zawiera wytyczne
zarządzania bezpieczeństwem
informacji. Dotyczy wszystkich obszarów
bezpieczeństwa: bezpieczeństwa
fizycznego i środowiskowego,
bezpieczeństwa osobowego,
bezpieczeństwa IT, zarządzania
ciągłością działania i zapewnienia
zgodności z przepisami prawa
(bezpieczeństwa prawnego).

Zgodnie z normą informacja

jest aktywem, który podobnie jak
inne ważne aktywa biznesowe, ma
dla organizacji wartość i dlatego
należy ją odpowiednio chronić.
Dotyczy to zarówno ochrony
informacji własnych organizacji, jak i
zapewnienia bezpieczeństwa informacji
udostępnionych przez klienta.

Bezpieczeństwo informacji według

normy oznacza ochronę informacji
przed różnymi zagrożeniami w taki
sposób, aby zapewnić ciągłość
działania – realizację celów statutowych
organizacji, zminimalizować straty i
zmaksymalizować zwrot nakładów na
inwestycje i działania o charakterze
biznesowym. Norma odnosi się
do trzech aspektów informacji
podlegających ochronie:

• poufności – zapewnienie dostępu

do informacji tylko osobom
upoważnionym,

• integralności – zapewnienie

dokładności i kompletności
informacji i metod jej przetwarzania,

• dostępności – zapewnienia, że

osoby upoważnione mają dostęp
do informacji i związanych z nią
aktywów wtedy, gdy jest im to
potrzebne.

W przypadku informacji biznesowych,
stanowiących tajemnicę przedsiębiorstwa
największe znaczenie dla bezpieczeństwa
informacji ma ochrona poufności, tzn.,
informacja nie powinna być udostępniana
lub ujawniana nieautoryzowanym
osobom, podmiotom lub procesom.

Ustanowienie SZBI

Podjęcie decyzji o wdrożeniu SZBI jest
decyzją strategiczną dla organizacji.
Wymagania zawarte w normie ISO
27001 co do systemu są ogólne
i przeznaczone do stosowania we
wszystkich organizacjach, niezależnie
od typu, rozmiaru i natury biznesu.
Wdrożenie SZBI powinno opierać się
o proces PDCA (ang. Plan-Do-Check-
Act). Cykl ten składa się z czterech
etapów: Planuj, Wykonaj, Sprawdź i
Działaj.

Rodzina norm serii 27000

• ISO/IEC 27000:2009 – słownictwo i terminologia.
• ISO/IEC 27001:2005 – wymagania związane z ustanowieniem, wdrożeniem,

eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu
Zarządzania Bezpieczeństwem Informacji (polski odpowiednik PN-ISO/IEC 27001:
2007 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania
bezpieczeństwem informacji – Wymagania).

• ISO/IEC 27002:2005 – wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją,

monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania
Bezpieczeństwem Informacji (polski odpowiednik PN-ISO/IEC 17799: 2007 Technika
informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zarządzania
bezpieczeństwem informacji).

• ISO/IEC 27003 (w opracowywaniu) – porady i wskazówki dotyczące implementacji

Systemu Zarządzania Bezpieczeństwem Informacji.

• ISO/IEC 27004 (w opracowywaniu) – wskaźniki i pomiar dotyczący Systemu

Zarządzania Bezpieczeństwem Informacji.

• ISO/IEC 27005:2008 – zarządzanie ryzykiem w bezpieczeństwie informacji (projekt

polskiego odpowiednika PN-ISO/IEC 27005 Technika informatyczna – Techniki
bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji).

• ISO/IEC 27006:2007 – wymagania dla podmiotów świadczących usługi audytu i

certyfikacji Systemów Zarządzania Bezpieczeństwem Informacji (polski odpowiednik
PN- ISO/IEC 27006:2009 Technika informatyczna – Techniki bezpieczeństwa
– Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania
bezpieczeństwem informacji).

• ISO/IEC 27007 (w opracowaniu) – wytyczne do zarządzania systemem audytów SZBI.

Rysunek 1.

Rodzina norm ISO 27000 (Źródło: ISO 27000)

BEZPIECZNA FIRMA

72

HAKIN9 3/2010

SZBI RECEPTĄ NA BEZPIECZEŃSTWO INFORMACJI

73

HAKIN9

3/2010

Norma wymaga, aby organizacja

ustanowiła, wdrożyła, eksploatowała,
monitorowała, przeglądała, utrzymywała

i stale doskonaliła udokumentowany
SZBI w kontekście prowadzonej
działalności biznesowej i ryzyka

występującego w organizacji. W ramach
ustanowienia SZBI organizacja powinna
wykonać następujące działania:

• zdefiniować zakres i granice SZBI,
• zdefiniować politykę SZBI,
• zdefiniować podejście do

szacowania ryzyka w organizacji,

• określić ryzyka,
• analizować i oceniać ryzyka,
• zidentyfikować i ocenić warianty

postępowania z ryzykiem,

• wybrać cele stosowania

zabezpieczeń i zabezpieczenia jako
środki postępowania z ryzykiem,

• uzyskać akceptacje kierownictwa

dla proponowanych ryzyk
szczątkowych,

• uzyskać autoryzację kierownictwa

do wdrażania i eksploatacji SZBI
oraz

• przygotować deklarację stosowania.

Zanim organizacja podejmie powyższe
kroki zaleca się przeprowadzenie tzw.
audytu zerowego, wstępnego, czasami
nazywanego przedcertyfikacyjnym.
Najlepiej, aby taki audyt wykonała
firma doradcza. W raporcie z audytu
dostaniemy diagnozę poziomu
bezpieczeństwa informacji na
zgodność z wymaganiami normy ISO
27001. Raport ten będzie stanowił punkt
wyjścia do ustanowienia SZBI.

Jednym z pierwszych kroków jakie

należy wykonać w tym etapie wdrożenia
systemu jest określenie zakresu i
granic SZBI. Najczęściej organizacje
decydują się na objęcie systemem
całego zakresu usług oraz wszystkie
lokalizacje firmy. Niektóre organizacje
decydują się objąć systemem
tylko wybrane jednostki/komórki
organizacyjne lub wybrany proces/
system/usługę, zgodnie z wymaganiami
biznesowymi i wymaganiami klienta.
Oczywiście system może być wdrażany
w całej firmie, a certyfikowany tylko
tam, gdzie wymagają tego cele
biznesowe i rachunek ekonomiczny.
Niemożliwe są wyłączenia co do
wymagań systemowych zawarte w
pierwszej części normy ISO 27001
(rozdziały 4, 5, 6, 7 i 8), natomiast w
części drugiej normy, tj. w załączniku A

Straty z tytułu braku wdrożenia Systemu

Zarządzania Bezpieczeństwem Informacji

• Brak koordynacji polityki bezpieczeństwa pomiędzy różnymi jednostkami organizacyjnymi

organizacji (departament IT, ochrona fizyczna, pion ochrony informacji niejawnych).

• Koncentracja na zabezpieczeniach.
• Wydatki na bezpieczeństwo traktowane jako koszt działania.

Korzyści z wdrożenia Systemu Zarządzania

Bezpieczeństwem Informacji

• Standaryzacja bezpieczeństwa informacji w całej organizacji – stworzenie odpowiednich

struktur nadzorczych.

• Koncentracja na analizie ryzyka.
• Wydatki na bezpieczeństwo traktowane jako inwestycja (możliwość wyznaczenia

wskaźnika zwrotu z inwestycji).

• Przewaga marketingowa na rynku.
• Możliwość niezależnej certyfikacji.
• Zgodność z wymaganiami prawnymi.
• Wzrost świadomości pracowników w zakresie bezpieczeństwa informacji.
• Zarządzanie ciągłością działania.
• Spełnienie wymagań przetargowych.
• Wiarygodność firmy wobec klienta.

Korzyści z wdrożenia Zintegrowanego Systemu

Zarządzania

• Objęcie systemem wszystkich obszarów działalności firmy.
• Zwrócenie szczególnej uwagi na wartość informacji i jej znaczenie.
• Prowadzenie analizy ryzyka i zarządzania ryzykiem.
• Zwiększenie zainteresowania technologiami informatycznymi.
• Opracowanie planów zapewnienia ciągłości działania.
• Zastosowanie podejścia procesowego i ciągłego doskonalenia.
• Jednolita dokumentacja i terminologia.
• Zbliżone zasady audytowania.
• Niższe koszty przygotowania i wdrożenia zintegrowanego systemu.

Najczęściej popełniane błędy w zakresie

bezpieczeństwa informacji

• Brak zasad dotyczących ochrony informacji w organizacji.
• Brak założeń bezpieczeństwa dla systemów teleinformatycznych.
• Brak zasad stałego monitorowania systemów teleinformatycznych i usuwania błędów.
• Brak zasad bezpieczeństwa korzystania z Internetu.
• Brak przeprowadzania analizy zagrożeń i ryzyka dla systemów teleinformatycznych.
• Brak zdefiniowanych sytuacji kryzysowych.
• Brak procedur postępowania w sytuacjach kryzysowych.
• Brak szkoleń pracowników – niska kultura ochrony informacji.

BEZPIECZNA FIRMA

72

HAKIN9 3/2010

SZBI RECEPTĄ NA BEZPIECZEŃSTWO INFORMACJI

73

HAKIN9

3/2010

(normatywny) możliwe są wyłączenia,
o ile dołączy się dokładny opis
oraz uzasadnienie wyłączenia.
Następnie należy zdefiniować
politykę SZBI (zbiór wszystkich polityk
bezpieczeństwa informacji). Możliwe
są tu dwa podejścia: to, co nie jest
zabronione, jest dozwolone i drugie
podejście, to, co nie jest dozwolone
jest zabronione. Drugie podejście
jest stosowane wówczas, gdy zależy
nam na szczególnej ochronie
danych. Przy definiowaniu polityki
(polityk) bezpieczeństwa informacji
powinniśmy odpowiedzieć sobie na
kilka podstawowych, fundamentalnych
pytań: co chcemy chronić (jakie
aktywa/zasoby), przed czym chcemy
je chronić (przed jakimi zagrożeniami),
w jaki sposób chcemy je chronić
(jakie zabezpieczenia wdrożymy) oraz
z jakim skutkiem będziemy je chronić
(jakie ryzyka szczątkowe pozostaną po
wdrożeniu zabezpieczeń).

Jednym z najtrudniejszych

zadań jakie należy wykonać na
etapie ustanowienia SZBI, jest
określenie podejścia organizacji
do szacowania ryzyka. Pomocny
w tym względzie może być raport
techniczny ISO/IEC TR 13335-3 (polski
odpowiednik ISO/IEC TR 13335-3
Technika informatyczna – Wytyczne
do zarządzania bezpieczeństwem
systemów informatycznych Część 3:

Techniki zarządzania bezpieczeństwem
systemów informatycznych), który
zawiera przykłady metodyk szacowania
ryzyka.

W raporcie tym przedstawiono

cztery warianty podejścia do analizy
ryzyka: podejście podstawowego
poziomu bezpieczeństwa, nieformalne,
szczegółową analizę ryzyka i podejście
mieszane. Podstawowa różnica
pomiędzy nimi dotyczy stopnia
szczegółowości analizy ryzyka.

Podejście podstawowego

poziomu bezpieczeństwa polega
na wprowadzeniu standardowych

zabezpieczeń niezależnie od ryzyka
wynikającego z analizy zasobów,
zagrożeń i podatności. Podejście
nieformalne polega na wykorzystaniu
wiedzy i doświadczenia ekspertów,
koncentruje się na zasobach
narażonych na wysokie ryzyko. Z
kolei szczegółowa analiza ryzyka
wymaga identyfikacji i wyceny
aktywów, oszacowania zagrożeń
oraz oszacowania podatności.
Podejście czwarte, mieszane,
obejmuje dwa etapy. W pierwszym
etapie przeprowadza się ogólną
analizę ryzyka dla wszystkich

Rysunek 2.

Model PDCA stosowany w procesach SZBI (Źródło: ISO 27001)

������

������

�������

����

�������

�����

�����������������

��������������

������

��������������

������

����������

�������������

���������

��������������

����������

�����������

����������������

����������

������������

����

���������

�������������������

����������

�������������������

�������������

���������������

Tabela 1.

Stopnie dojrzałości organizacji do zarządzania bezpieczeństwem informacji (Źródło: ISACA)

Stopień

Charakterystyka

0

Brak świadomości

brak zdefiniowania wymagań bezpieczeństwa

bezpieczeństwo traktowane jest jako problem poszczególnych użytkowników

I

Początkowy

świadomość potrzeby

kierownictwo uważa to za problem IT (typu: prawa dostępu, ochrona antywirusowa)

II

Intuicyjny

próby tworzenia zabezpieczeń

brak jednolitego podejścia

efekty zależne od zaangażowania osób zainteresowanych

III

Zdefiniowany

zdefiniowane zasady (w tym polityka bezpieczeństwa) w całej organizacji

procedury bezpieczeństwa są utrzymywane i komunikowane

brak kontroli stosowania

IV

Zarządzany

jednolite podejście dla wszystkich komórek i wszystkich rozwiązań

obowiązuje perspektywa biznesu

funkcjonuje mechanizm kontroli stosowania

V

Optymalizowany

świadome zarządzanie ryzykiem

zgodność strategii bezpieczeństwa ze strategią biznesową

zapewnienie bezpieczeństwa traktowane jako proces (wiedza, doskonalenie)

BEZPIECZNA FIRMA

74

HAKIN9 3/2010

SZBI RECEPTĄ NA BEZPIECZEŃSTWO INFORMACJI

75

HAKIN9

3/2010

zasobów z uwzględnieniem ich
wartości biznesowej i ryzyka, na
które są narażone. Dla wszystkich
zidentyfikowanych zasobów, które są
ważne (wartościowe) dla organizacji,
słabo zabezpieczone, należy
później przeprowadzić szczegółową
analizę ryzyka. W drugim etapie dla
pozostałych zasobów stosuje się
podejście podstawowego poziomu
bezpieczeństwa.

Przyjęcie podejścia mieszanego

zalecane jest dla większości
organizacji. Jest ono najbardziej
efektywne – szczegółowa analiza
ryzyka dla zasobów posiadających
wartość, słabo zabezpieczonych
i narażonych na wysokie ryzyko,
a dla pozostałych zasobów
zastosowanie podstawowego
poziomu bezpieczeństwa – wdrożenie
standardowych zabezpieczeń.

Mając już określoną metodykę

analizy ryzyka można przystąpić
do zinwentaryzowania zasobów i
dokonanie ich klasyfikacji, w tym
przede wszystkim klasyfikacji
zasobów informacyjnych oraz
określenie zasad ich akceptowalnego
użycia. Zaleca się, aby klasyfikacja
informacji była stosunkowo prosta.
Można zastosować na przykład
następujący schemat: informacje
możemy podzielić na upublicznione
(jawne) i nieupublicznione (wrażliwe),
wymagające ochrony. Z kolei
informacje nieupublicznione możemy
dalej podzielić na informacje
wewnętrzne oraz informacje prawnie
chronione (dane osobowe, tajemnica

Dokumentacja Systemu Zarządzania

Bezpieczeństwem Informacji

• Deklaracja polityki SZBI.
• Zakres SZBI.
• Procedury i zabezpieczenia wspomagające SZBI.
• Opis metodyki szacowania ryzyka.
• Raport z procesu szacowania ryzyka.
• Plan postępowania z ryzykiem.
• Procedury zapewniające skuteczne planowanie, eksploatacje i sterowanie procesami

bezpieczeństwa informacji i opis pomiaru skuteczności zabezpieczeń.

• Procedury systemowe SZBI (nadzór nad dokumentami, nadzór nad zapisami, audyt

wewnętrzny SZBI, działania korygujące, działania zapobiegawcze).

• Deklaracja stosowania.

Struktura normy PN-ISO/IEC 17799: 2007 Technika

informatyczna – Techniki bezpieczeństwa –

Praktyczne zasady zarządzania bezpieczeństwem

informacji

• Przedmowa
• Wprowadzenie.
• Zakres normy.
• Terminy i definicja.
• Struktura normy.
• Szacowanie ryzyka i postępowanie z ryzykiem.
• Polityka bezpieczeństwa.
• Organizacja bezpieczeństwa informacji.
• Zarządzanie aktywami.
• Bezpieczeństwo zasobów ludzkich.
• Bezpieczeństwo fizyczne i środowiskowe.
• Zarządzanie systemami i sieciami.
• Kontrola dostępu.
• Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych.
• Zarządzanie incydentami związanymi z bezpieczeństwem informacji.
• Zarządzanie ciągłością działania.
• Zgodność.
• Bibliografia.
• Indeks.

Tabela 2.

Atrybuty informacji podlegające ochronie (Źródło: Opracowanie własne)

Atrybuty

Informacji

Bezpieczeństwo informacji

ISO

27001

Informacje

niejawne

Dane

osobowe

Tajemnica

przedsiębiorstwa

Inne

tajemnice

Poufność

Tak

Tak

Tak

Tak

Tak

Integralność

Tak

Tak

Tak

-

-

Dostępność

Tak

Tak

-

-

-

Rozliczalność

Tak

-

Tak

-

-

Autentyczność

Tak

-

-

-

-

Niezaprzeczalność

Tak

-

-

-

-

Niezawodność

Tak

-

-

-

-

BEZPIECZNA FIRMA

74

HAKIN9 3/2010

SZBI RECEPTĄ NA BEZPIECZEŃSTWO INFORMACJI

75

HAKIN9

3/2010

przedsiębiorstwa, informacje
niejawne, tajemnice zawodowe i inne
tajemnice). Dla każdej grupy informacji
należy następnie określić zasady
ich przetwarzania, które powinny
zostać zatwierdzone przez najwyższe
kierownictwo i zakomunikowane
wszystkim pracownikom w celu
ich stosowania. Następnie należy
przeprowadzić analizę ryzyka dla
zasobów i określić poziomy ryzyka
oraz poziom ryzyka akceptowalnego.
Zabezpieczenia jakie zastosujemy
w celu ograniczenia ryzyk
nieakceptowalnych należy opisać w
planie postępowania z ryzykiem. Zwykle
odwołujemy się do zabezpieczeń
proponowanych w ISO 27002, w innych
standardach lub do dobrych praktyk
stosowanych w organizacji. Na koniec
opracowujemy deklarację stosowania.
Określa ona cele stosowania
zabezpieczeń oraz zabezpieczenia
zastosowane do budowy SZBI, w
tym zawiera opis zastosowanych
wyłączeń. Należy zauważyć, że lista
133 zabezpieczeń zawartych w
załączniku A do normy ISO 27001
nie jest wyczerpująca. Znaczy to, że
organizacja może rozważyć, czy nie są
konieczne dodatkowe cele stosowania
zabezpieczeń i zabezpieczenia.

Produktem etapu ustanowienie

SZBI jest dokumentacja systemowa.
Opracowanie jej stanowi najbardziej
pracochłonne zadanie. Dokumentacja
ta podlega później ocenie na etapie
certyfikacji. Norma ISO 27001 narzuca
minimalną zawartość dokumentacji
SZBI w postaci udokumentowanych

procedur. Ponadto wszystkie dokumenty
i zapisy SZBI powinny być chronione i
nadzorowane.

Wdrożenie

i eksploatacja SZBI

W ramach etapu wdrożenie i
eksploatacja SZBI organizacja
powinna wykonać następujące
działania:

• opracować plan postępowania z

ryzykiem,

• wdrożyć plan postępowania z

ryzykiem,

• wdrożyć zabezpieczenia,
• określić jak mierzyć skuteczność

zabezpieczeń,

• wdrożyć program uświadamiania i

szkolenia pracowników,

• zarządzać eksploatacją SZBI,
• zarządzać zasobami SZBI oraz
• wdrożyć procedury zapewniające

zarządzanie incydentami
związanymi z naruszeniem
bezpieczeństwa.

Na tym etapie organizacja powinna
wdrożyć stosowne zabezpieczenia
wybrane na etapie ustanowienia SZBI
oraz wdrożyć procedury wspomagające
SZBI. Plan postępowania z ryzykiem
określa sposób postępowania
organizacji z ryzykiem: zastosowanie
odpowiednich zabezpieczeń,
przeniesienie ryzyka na np. dostawcę

Struktura normy PN-ISO/IEC 27001: 2007

Technika informatyczna – Techniki bezpieczeństwa

– Systemy zarządzania bezpieczeństwem

informacji – Wymagania

• Przedmowa
• Wprowadzenie.
• Zakres normy.
• Powołania normatywne.
• Terminy i definicje.
• System zarządzania bezpieczeństwem informacji (SZBI).
• Odpowiedzialność kierownictwa.
• Wewnętrzne audyty SZBI.
• Przeglądy SZBI realizowane przez kierownictwo.
• Doskonalenie SZBI.
• Załącznik A (normatywny) Cele stosowania zabezpieczeń i zabezpieczenia.
• Załącznik B (informacyjny) Zasady OECD i niniejsza Norma Międzynarodowa.
• Załącznik C (informacyjny) Powiązania ISO 9001: 2000, ISO 14001: 2004 z niniejszą

Normą Międzynarodową.

• Bibliografia.

Tabela 3.

Model PDCA stosowany w procesach SZBI (Źródło: ISO 27001)

Proces

Opis procesu

Planuj (ustanowienie SZBI)

Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania

ryzykiem oraz doskonalenia bezpieczeństwa informacji, tak aby uzyskać wyniki zgodne

z ogólnymi politykami i celami organizacji

Wykonaj (wdrożenie i eksploatacja SZBI)

Wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów

Sprawdzaj (monitorowanie i przegląd

SZBI)

Szacowanie i tam gdzie ma zastosowanie, pomiar wydajności procesów w odniesieniu

do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie kierownictwu

raportów do przeglądu

Działaj (utrzymanie i doskonalenie SZBI)

Podejmowanie działań korygujących

i zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu

realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia

ciągłego doskonalenia SZBI

76

HAKIN9 3/2010

77

HAKIN9

3/2010

lub ubezpieczyciela, unikanie
ryzyka lub zaakceptowanie ryzyka.
Należy pamiętać, ze podstawowym
celem wdrożenia SZBI powinno być
zapewnienie ciągłości działania
organizacji.

Ważnym zadaniem na etapie

wdrożenia jest kształtowanie
świadomości pracowników np.
poprzez system szkoleń. Działania
uświadamiające są jednym z
najtańszych i najskuteczniejszych
zabezpieczeń, na które stać każdą
firmę. Bezpieczeństwo informacji to
przede wszystkim stan świadomości,
a nie technologia. Technologia tylko
wspomaga i wymusza określone
działania personelu. Bardzo ważne są
zabezpieczenia organizacyjne, często
lekceważone przez przedsiębiorców.
W środowisku IT panuje pogląd, że
technologia IT stanowi panaceum
na wszystko. Z praktyki okazuje się,
że tak nie jest. Rozsądnie dobrane
zabezpieczenia organizacyjne, w tym
świadomość zagrożeń, a dopiero na
końcu technologia wspierająca te
działania, stanowią receptę na sukces i
zapewnienie bezpieczeństwa informacji
zgodnie z wymaganiami biznesowymi,
wymaganiami prawnymi i tzw. dobrymi
praktykami.

Monitorowanie

i przegląd SZBI

W ramach monitorowania i przeglądu
SZBI organizacja powinna wykonać
następujące działania:

• wykonywać procedury

monitorowania i przeglądu,

• wykonywać regularne przeglądy

skuteczności SZBI,

• wykonywać pomiary skuteczności

zabezpieczeń,

• wykonywać przeglądy szacowania

ryzyka,

• przeprowadzać wewnętrzne audytu

SZBI,

• wykonywać przeglądy SZBI,
• uaktualniać plany bezpieczeństwa,
• rejestrować działania i zdarzenia,

które mogą mieć wpływ na
skuteczność lub wydajność
realizacji SZBI.

Z założenia SZBI jest systemem
samonaprawiającym się, opartym na
ciągłym doskonaleniu. Jego zdolność
do samodoskonalenia, wbudowane
mechanizmy sprzężenia zwrotnego
pozwalają skutecznie reagować na
błędy, zdarzenia i incydenty związane
z bezpieczeństwem informacji.
Okresowe dokonywane przeglądy

SZBI oraz audyty wewnętrzne
dostarczają kierownictwu informacji na
temat niezgodności funkcjonowania
SZBI. Stanowią podstawę do jego
doskonalenia. Audytorzy SZBI podczas
audytów badają dowody świadczące
o wdrożeniu i funkcjonowaniu SZBI,
w tym czy ustanowiona polityka
bezpieczeństwa informacji jest
stosowana w praktyce. Natomiast
głównym celem przeglądów SZBI jest
dostarczenie kierownictwu wiedzy na
temat SZBI, jego aktualnego stanu oraz
podjęcie decyzji związanych z dalszym
funkcjonowaniem systemu.

Utrzymanie

i doskonalenie SZBI

W ramach wdrożenia i eksploatacji
SZBI organizacja powinna wykonać
następujące działania:

• wdrażać w SZBI zidentyfikowane

udoskonalenia,

• podejmować odpowiednie działania

korygujące lub zapobiegawcze,

• informować o działaniach i

udoskonaleniach,

• zapewnić, że udoskonalenia

osiągają zamierzone cele.

Na tym etapie organizacja powinna
doskonalić SZBI, wprowadzać
odpowiednie działania korygujące
(eliminujące skutki niezgodności) i
zapobiegawcze (eliminujące przyczyny
niezgodności).

Jak widać wdrożenie SZBI

nie jest zadaniem prostym, jest
działaniem długofalowym. Wymaga
szeregu skoordynowanych działań.
Jednak trud związany z wdrożeniem
opłaca się. Certyfikat SZBI, otwiera
przedsiębiorcom wiele drzwi, stwarza
nowe możliwości biznesowe. Należy
jednocześnie zaznaczyć, że utrzymanie
i doskonalenie SZBI w sensie
biznesowym, stwarza o wiele więcej
trudności niż jego ustanowienie i
wdrożenie.

Certyfikacja SZBI

SZBI można certyfikować. Część
organizacji wdraża system, lecz
nie certyfikuje go. Nadrzędnym

Rysunek 3.

Związki w zarządzaniu ryzykiem (Źródło: PN-I-13335-1)

������

��������������

����������

���������
����������

�������

��������

�����������������

��������������

����������
�����������

������������

����������

��������

������

���������

�����������

�����

��������

�����

����������

�����������

����������

�������

��������

����������

BEZPIECZNA FIRMA

76

HAKIN9 3/2010

77

HAKIN9

3/2010

zadaniem SZBI jest pomoc w
zarządzaniu przedsiębiorstwem,
osiągnięcie wymaganego poziomu
bezpieczeństwa informacji i
utrzymanie go. Sam proces
certyfikacji jest kosztowny i wymaga
udokumentowania jego działania.
Podstawą certyfikacji jest norma
ISO 27001 (następca BS 7799-2).
W Polsce najwięcej certyfikatów wg
serwisu http://www.iso27000.pl/ wydały
jednostki certyfikujące: BSI, następnie
DNV oraz ISOQAR. Aktualnie około
stu organizacji posiada wdrożony i
certyfikowany SZBI. Koszt certyfikacji
(audytu certyfikującego) uzależniony
jest od liczby zatrudnionych w
organizacji (od kilkunastu tysięcy
wzwyż dla małych organizacji).
Audyt certyfikacyjny obejmuje ocenę
dokumentacji, przeprowadzenie
audytu (kilka/kilkanaście osobodni w
zależności od wielkości organizacji),
sporządzenie sprawozdania
oraz wystawienie certyfikatu.
Certyfikat wydawany jest na 3 lata.
Warunkiem utrzymania certyfikatu
jest przeprowadzenie tzw. rocznych
audytów nadzorczych (co 12 miesięcy).
Audyty nadzorcze w przeciwieństwie do
audytu certyfikującego nie obejmują
całego zakresu SZBI, a jedynie jego
część. Ich zadaniem jest doskonalenie
certyfikowanego systemu. Przed
certyfikacją SZBI warto zapoznać się
z normą ISO 27006, ponieważ określa
ona m. in. wymagania i zalecenia
związane z bezpieczeństwem
informacji. Norma podkreśla na
co należy zwrócić uwagę przy
audytowaniu i certyfikacji SZBI, a także
w przygotowaniu się do tego procesu.
Szczególnie cenne są złączniki
informacyjne do normy: załącznik A –
sposoby analizy złożoności organizacji
klienta i aspekty sektorowe, załącznik B
– obszary kompetencji audytora SZBI,
a zwłaszcza załącznik C – czas audytu
certyfikującego SZBI.

Podsumowanie

W każdej organizacji mamy do
czynienia z konglomeratem kilkunastu
różnych tajemnic prawnie chronionych
i informacji biznesowych chronionych

we własnym interesie. Tylko niektóre
z nich: dane osobowe i informacje
niejawne, mają przepisy wykonawcze,
w których to określono wymagania
w zakresie ich ochrony. Większość
tajemnic nie posiada wymagań
co do sposobu ich ochrony, ale
chronić je należy. W przypadku tych
tajemnic, dla których brak wymagań
i wytycznych w zakresie ich ochrony
pomocne mogą być normy serii ISO
27000 i ich polskie odpowiedniki.
Należy przypomnieć, że norma
ISO 27001 odnosi się nie tylko do
bezpieczeństwa teleinformatycznego.
Obszarem jej zainteresowań
jest również bezpieczeństwo
osobowe, bezpieczeństwo fizyczne i
środowiskowe oraz bezpieczeństwo
prawne.

Wdrożenie SZBI zapewnia

organizacji szereg korzyści, m. in.
adekwatny do zagrożeń, wymagań
biznesowych i wymagań wynikających
z przepisów prawa poziom ochrony
wszystkich informacji. Dobór
zabezpieczeń na podstawie wyników
analizy ryzyka zapewnia natomiast
efektywność kosztową. Zachęcam
wszystkich decydentów do podjęcia
trudu wdrożenia systemu. Systemu
można nie certyfikować.

W większości organizacji wydanie

choćby niewielkich pieniędzy, aby
chronić coś, co ma niematerialny
charakter nie zawsze znajduje
uzasadnienie.

Co potrzeba, aby zapewnić w

organizacji bezpieczeństwo informacji?
Trochę wiedzy, trochę procedur, trochę
dobrej woli i trochę pieniędzy, czyli
potrzeba systemu.

Szacunkowo zapewnienie

bezpieczeństwa informacji wymaga
nakładów na poziomie około 5 procent
ogólnych kosztów przeznaczonych na
technologie IT.

Andrzej Guzik

Audytor systemu zarządzania bezpieczeństwem

informacji, audytor systemu zarządzania jakością,

audytor wewnętrzny, ekspert w zakresie ochrony

informacji prawnie chronionych, redaktor portalu

www.ochronainformacji.pl. Kontakt z autorem, e-mail:

a.guzik@ochronainformacji.pl.