www.hakin9.org
hakin9 Nr 6/2007
54
Obrona
Z
drugiej strony, wdrożenie Systemu Zarzą-
dzania Bezpieczeństwem Informacji np. w
celu osiągnięcia zgodności z normą ISO
27001 czy innymi normami, dodaje prestiżu i po-
kazuje firmę jako kompetentną oraz wzbudzają-
cą zaufanie. Do tego dochodzi jeszcze prestiż,
wynikający z posiadania nadal unikalnego w na-
szym kraju certyfikatu bezpieczeństwa informacji,
a to niewątpliwie daje przewagę nad konkurencją.
Bo przecież dla każdej firmy, jak już wspomnia-
łem, informacja jest najcenniejszym aktywem.
Stąd, przekazując swoje plany biznesowe, pro-
jekty, bazy klientów, unikatową wartość intelektu-
alną, chcemy, aby trafiły w dobre ręce i nie prze-
dostały się dalej, dla użytku osób do tego niepo-
wołanych.
Czym tak naprawdę
jest ISO 27001?
Jest to zbiór wytycznych pozwalających każdej
organizacji na wdrożenie sprawnie funkcjonu-
jącego systemu bezpieczeństwa informacji. Na
system bezpieczeństwa składają się następu-
jące dziedziny:
• polityka bezpieczeństwa informacji,
• organizacja bezpieczeństwa informacji,
• zarządzanie aktywami,
• bezpieczeństwo zasobów ludzkich,
• bezpieczeństwo fizyczne i środowiskowe,
• zarządzanie systemami i sieciami,
• kontrola dostępu,
• pozyskiwanie, rozwój i utrzymywanie syste-
mów informatycznych,
• zarządzanie incydentami związanymi z bez-
pieczeństwem informacji,
• zarządzanie ciągłością działania,
• zgodność z przepisami prawnymi.
Norma ta jest przeznaczona dla każdego ro-
dzaju działalności biznesowej oraz instytucji
publicznych.
Bezpieczeństwo informacji
a nowoczesny biznes
Tomasz Polaczek
stopień trudności
W ciągu ostatnich dwóch lat temat bezpieczeństwa informacji
stał się w Polsce bardzo popularny. Z jednej strony, wiele firm
zrozumiało, że informacja jest najważniejszym i najcenniejszym
aktywem dla każdej działalności biznesowej oraz urzędowej, a jej
ochrona powinna być jednym z kluczowych aspektów, jakimi
powinna zająć się każda organizacja.
Co powinieneś wiedzieć
• czym są normy ISO,
• czym jest norma ISO 27001,
• bezpieczeństwo to nie tylko informatyka,
Z artykułu dowiesz się
• po co wdrożyć system zarządzania bezpieczeń-
stwem informacji,
• jakie są korzyści biznesowe,
• czy warto wdrożyć ISO 27001.
Bezpieczeństwo informacji a nowoczesny biznes
hakin9 Nr 6/2007
www.hakin9.org
55
Normę ISO 27001 wspiera norma
ISO 17799:2005, która jest zbiorem
praktyk, jakie można zastosować w
każdej organizacji, w celu podniesie-
nia poziomu bezpieczeństwa.
Często jeszcze jest spotykane
niewłaściwe rozumienie samej nor-
my ISO 27001. Wiele organizacji czy
ludzi postrzega tę normę jako prze-
znaczoną wyłącznie dla informaty-
ków. Nic bardziej błędnego. Patrząc
choćby na sam zakres regulowanych
przez nią zagadnień, można jasno
stwierdzić, że bezpieczeństwo IT to
tylko jeden z obszarów tematycz-
nych normy, ale nie jedyny. To nor-
ma ISO TR/IEC 13335 zajmuje się
aspektami bezpieczeństwa IT.
Kolejnym, często popełnianym
błędem jest podważanie zasadności
posiadania systemu bezpieczeństwa
informacji. Często można jeszcze usły-
szeć następujące stwierdzenia z ust
przedstawicieli kadry zarządzającej:
• to temat dla informatyków,
• my jesteśmy bezpieczni, bo nic
się nie dzieje,
• my już mamy inne systemy ISO,
• zróbcie nam to jak najszybciej, ale
nie pytajcie nas o wiele, bo mamy
inne sprawy do załatwienia,
• my nie przetwarzamy ważnych
informacji.
Walor biznesowy
Firmy, które wdrożyły lub są w trakcie
wdrażania Systemu Zarządzania Bez-
pieczeństwem Informacji, są tak na-
prawdę o krok dalej niż konkurencja.
Wynika to z tego, że mają one coś,
czego konkurencja nie posiada, a co
jest bardzo ważne na rynkach między-
narodowych. Obecnie w naszym kraju
występująca sytuacja jest analogiczna
do tej, z początku lat 90, gdy wcho-
dziły do Polski Systemy Zarządzania
Jakością ISO 9001. Tak, jak teraz
bezpieczeństwo informacji jest nowo-
ścią, jeszcze niestety unikatową dla
wielu rodzimych firm, tak samo było
z systemem ISO 9001. Wtedy firmy,
które zdecydowały wdrożyć ten sys-
tem w swoich strukturach, dostały nie
tylko usługę w postaci uporządkowa-
nia, zoptymalizowania i wprowadzenia
wielu cennych praktyk, ale także,
podobnie jak dzisiaj ma to miejsce
z bezpieczeństwem informacji, były
o krok dalej od konkurencji. I do czego
to doprowadziło? Wówczas te bardziej
dojrzałe firmy zaczęły odnotowywać
wzrost obrotów i zainteresowania ze
strony firm zagranicznych, ponieważ
międzynarodowe korporacje wolały
współpracować z firmami, które osią-
gnęły pewien pułap świadomości i kul-
tury organizacji, a firmy, dla których
System Zarządzania był niepotrzebną
biurokracją, szybko dostrzegły, że je-
go wdrożenie nie tylko przynosi wiele
pozytywów samej organizacji, w jej
wewnętrznych strukturach, ale także
powoduje, że firma staje się bardziej
atrakcyjna na rynku. Doprowadziło
to do sytuacji, w której posiadanie
wdrożonych norm ISO 9001 stało
się koniecznością. I należy pamiętać
o tym, że posiadanie certyfikatu na
zgodność z systemem ISO 9001 dla
firm, które jako pierwsze go wdrożyły,
było dużym atutem, a dla pozostałych,
po prostu koniecznym wymogiem ist-
nienia na rynku i rozwoju firmy.
Analogiczna sytuacja ma miejsce
w dzisiejszych czasach. Firmy, które
już posiadają certyfikat bezpieczeń-
stwa informacji ISO 27001 lub inny, są
o krok dalej niż konkurencja, tak samo
jak miało to miejsce w przypadku Sys-
temów Zarządzania Jakością. Wpływa
to tym samym na większy wzrost za-
interesowania ze strony partnerów, z
którymi rodzime firmy chcą nawiązać
współpracę. Dlaczego tak się dzieje?
Ponieważ w krajach Unii Europejskiej
i państwach spoza niej, większość firm
posiada tego typu systemy, a co za tym
idzie, stawia wymagania również swo-
im partnerom biznesowym, aby udo-
wodnili, że potrafią odpowiednio za-
dbać o bezpieczeństwo informacji. I
jest to naturalna reakcja. Sam fakt po-
siadania w swych strukturach sprawnie
funkcjonującego Systemu Zarządzania
Bezpieczeństwem Informacji nie gwa-
rantuje zamierzonej ochrony, gdyż mo-
że wystąpić sytuacja, w której nasze
dane będą bezpieczne wewnątrz orga-
nizacji, ale przekazane partnerowi w ra-
mach współpracy mogą przedostawać
się w ręce osób niepowołanych, ponie-
waż nasz partner nie ma wystarczają-
cej wiedzy i przeszkolonego persone-
lu w zakresie ochrony i bezpieczeństwa
informacji. Wtedy może teoretycznie
wystąpić sytuacja, w której firma po-
siadająca system bezpieczeństwa za-
stanowi się nad sensem jego posiada-
nia, ponieważ poświęciła ogromne pie-
niądze, czas i zasoby na jego wdroże-
nie, utrzymanie i monitorowanie, a jed-
na sytuacja sprawiła, że cenne dane,
które chroniła i tak wyciekły np. do kon-
kurencji. Dlatego też, w celu uniknięcia
takich sytuacji, naturalną rzeczą jest,
że firmy posiadające dany system, bę-
dą wymagać tego od swoich partnerów
biznesowych.
Mówiąc o czynniku biznesowym
posiadania certyfikatu bezpieczeństwa
informacji, nie możemy zapomnieć o
pozostałych, pozabiznesowych aspek-
tach wdrożenia takiego systemu. Cho-
dzi tu oczywiście o zagrożenia ujaw-
nienia lub kradzieży cennych informa-
cji, na jakie są w dzisiejszych czasach
narażone organizacje. Jesteśmy in-
formowani o spektakularnych włama-
niach hakerów i crackerów, o parali-
żu wielu korporacji spowodowanym
jednym wirusem komputerowym, któ-
ry bardziej dezorganizuje działanie in-
frastruktury informatycznej niż wykra-
da cenne informacje, choć tego typu
techniki też są stosowane. Reasumu-
jąc, w wielu firmach w naszym kraju pa-
nuje niestety przeświadczenie, że Sys-
tem Zarządzania Bezpieczeństwem In-
formacji jest związany wyłącznie z in-
formatyką, w związku z tym temat ten
jest cedowany na działy IT. Jak wspo-
mniałem, jest to poważny błąd w rozu-
mieniu tematyki bezpieczeństwa, po-
woduje on bowiem odsunięcie kierow-
nictwa od zagadnień bezpieczeństwa.
Tutaj warto wspomnieć o najważniej-
szym, a często pomijanym zagrożeniu,
na jakie jest narażona każda organiza-
cja, a mianowicie o najsłabszym ogni-
wie – o człowieku. To nie wirusy kom-
puterowe, nie tylko hakerzy czy cracke-
rzy są największym zagrożeniem, sta-
nowią je natomiast pracownicy organi-
zacji. Cenne informacje wyciekają na
zewnątrz firmy zarówno w sposób nie-
świadomy i przypadkowy, jak i w spo-
sób w pełni świadomy. Jest to duży pro-
blem dla wielu firm, w wyniku wydosta-
nia się na zewnątrz ważnych informacji
konkurencja może się wiele dowiedzieć
hakin9 Nr 6/2007
www.hakin9.org
Obrona
56
o szczegółach naszej działalności. Nie
należy rzecz jasna popadać w parano-
ję, gdy stwierdzi się, że z każdej firmy
wyciekają dane, wynoszone przez pra-
cowników. Trzeba zabezpieczyć się na-
tomiast przed mało komfortową sytu-
acją, w którą firma może popaść. Cho-
dzi szczególnie o kłopoty natury praw-
nej, gdy kontrahent oskarży daną orga-
nizację o wyciek swoich danych.
Dlatego też dobrą praktyką,
a wręcz nieformalnym wymogiem, jest
zadbanie przez firmy o przynajmniej
minimum bezpieczeństwa informacji.
Warto mieć na uwadze, że gdy na-
dejdzie dzień, w którym owe bezpie-
czeństwo zostanie naruszone lub co
gorsza legnie w gruzach, to właśnie
kierownictwo firmy będzie odpowiada-
ło za taki stan rzeczy, a marka firmy,
budowana przez wiele lat ciężką pra-
cą, może w jeden dzień stracić prestiż
i znaczenie. Dlatego warto zadbać
o bezpieczeństwo informacji już teraz.
Największym
zagrożeniem
bezpieczeństwa
jest człowiek
Nie należy jednak zapominać, że na
skuteczną ochronę każdej organizacji
przed wyciekiem jakichkolwiek infor-
macji w ogromnym stopiu wpływa
świadomość pracujących w niej osób.
To człowiek jest najsłabszym ogniwem
każdego systemu bezpieczeństwa
i to celowe działanie człowieka bądź,
co gorsza, jego nieświadome nawyki,
mogą doprowadzić do poważnych
konsekwencji zarówno biznesowych,
jak i prawnych. System bezpieczeń-
stwa nie ma racji bytu, gdy ludzie nie
zachowują go, nie postępują zgodnie
z jego zaleceniami. System, który
w wielu jeszcze firmach pozostaje
jedynie ładnie wyglądającą doku-
mentacją, nie spełni swoich zadań.
Często zdarza się, że pracownicy są
zaangażowani w system w trakcie
jego wdrażania, lecz po zakończeniu
tych operacji, z biegiem czasu omijane
są procedury bądź wiele z nich staje
się martwymi punktami. To właśnie
stanowi największe zagrożenie, nie
tylko zresztą ze strony określonej
organizacji, ale także zagrożenie dla
biznesu. Firma posiadająca system np.
ISO 27001, co roku musi przejść tzw.
audyt nadzoru z jednostki certyfikują-
cej. W przypadku stwierdzenia przez
audytora, że system w organizacji
w ogóle nie istnieje, certyfikat zostaje
wstrzymany, co może się wiązać z po-
ważnymi konsekwencjami dla organi-
zacji na zewnątrz. W przypadku, gdy
certyfikat był wymagany w działalności
biznesowej danej organizacji w jakim-
kolwiek obszarze biznesu, jego utrata
wiąże się z utratą reputacji i zaufania
wśród kontrahentów, współpracowni-
ków. A to może się z kolei przełożyć
na zmniejszenie np. obrotów firmy.
Informacja o tym, że dana organizacja
utraciła certyfikat bezpieczeństwa, jest
sygnałem dla innych podmiotów czy
też konkurencji, że może nie należy
utrzymywać bądź nawiązywać współ-
pracy z organizacją, która przestała
dbać o ochronę ważnych infomacji.
Oczywiście są to nieraz daleko idące
wnioski, ale nie wiemy nigdy, czy tego
typu sytuacja nie będzie miała miejsca
już jutro w jakiejś organizacji.
Dlatego tak ważne jest uświa-
domienie pracowników w zakresie
bezpieczeństwa informacji oraz stałe
szkolenie ich w tym zakresie.
Każdy z nas słyszał w mediach
o przypadkach, gdy znaleziono źle
pocięte dokumenty w koszu na śmieci,
gdy ginęły dyski twarde ważnych po-
staci biznesu i polityki z bardzo ważny-
mi poufnymi danymi. Wszystkie tego
typu przypadki mogą mieć miejsce
właśnie na skutek niskiej świadomości
zagadnień bezpieczeństwa i ochrony
informacji. I dopóki organizacje oraz
instytucje publiczne nie nabędą pełnej
świadomości w zakresie ochrony swo-
ich informacji, takie przypadki będą
odnotowywane.
Polskie realia
W Polsce bezpieczeństwo informacji
rozumiane jest głównie jako ochrona
danych osobowych i informacji nie-
jawnych. Nie każda firma posiada
kancelarię tajną, a przecież każda
przetwarza dane osobowe. Dane
osobowe są informacjami wrażliwy-
mi i należy je odpowiednio chronić.
O ich bezpieczeństwie mówi Ustawa
o Ochronie Danych Osobowych i Roz-
porządzenie MSWiA odnośnie bezpie-
czeństwa systemów informatycznych
przetwarzających dane osobowe.
W tym przypadku, każda firma,
w myśl Ustawy, musi mieć wdrożo-
ną politykę bezpieczeństwa danych
osobowych.
Jednak należy pamiętać, że wdro-
żenie takiej polityki wiąże się wyłącznie
z ochroną informacji pt. dane osobowe.
Tymczasem w organizacjach pozostaje
jeszcze wiele innych danych, o których
bezpieczeństwo zadbać powinien wła-
śnie sprawnie wdrożony i funkcjonujący
system zarządzania bezpieczeństwem
informacji ISO 27001.
Nowe stanowiska?
Należy też zauważyć, że sygnałem
świadczącym o tym, że w Polsce
ochrona informacji staje się ważnym
aspektem działania wielu organiza-
cji jest fakt, że tworzonych jest coraz
więcej stanowisk pracy związanych z
ochroną informacji. Coraz częściej bę-
dą poszukiwani specjaliści od ochrony
informacji - pełnomocnicy ds. bezpie-
czeństwa informacji – taka funkcja jest
wymagana w przypadku, gdy organi-
zacja posiada ISO 27001 czy też sta-
nowisko Administratora Bezpieczeń-
stwa Informacji (ABI), wywodzące się
z zapisów Ustawy o Ochronie Danych
Osobowych.
Ważną cechą osób pełniących te
stanowiska jest posiadanie odpowied-
nio wysokich kompetencji. Potrzebna
tu jest duża wiedza merytoryczna,
a także praktyczna. Na świecie jest
wiele certyfikatów, które można zdo-
być podnosząc swoje kompetencje
w tym zakresie. Od CISA i CISM
nadawanych przez organizację ISA-
CA, poprzez CISSA i audytorów
wewnętrznych i wiodących, których
kształcą jednostki certyfikujące.
Każda z tych kompetencji będzie
potrzebna przy ubieganiu się o tego
typu stanowisko - tego wymagają bo-
wiem opisane tutaj standardy. l
O autorze
Autor jest Product Managerem ds. Za-
rządzania bezpieczeństwem informacji
w Computer Service Support S.A.
Kontakt z autorem:
tomasz_polaczek@css.pl