Prawa i przepisy regulujące bezpieczeństwo cybernetyczne
6. System zarządzania bezpieczeństwem informacji (ISMS, SZBI)
6.1. Ramy ISMS
System zarządzania bezpieczeństwem informacji [1] (ISMS) to zbiór zasad mających na celu utrzymanie poufności, integralności i dostępności informacji poprzez zastosowanie procesu zarządzania ryzykiem oraz zapewnienie zainteresowanych stron, że ryzyko jest odpowiednio zarządzane. [2]
W ramach ISMS chronione są aktywa, zarządza się ryzykiem związanym z bezpieczeństwem informacji i monitoruje się już wdrożone środki.
System zarządzania bezpieczeństwem informacji oznacza tę część systemu zarządzania, która opiera się na podejściu do systemu teleinformatycznego opartym na analizie ryzyka. Ta część systemu zarządzania określa, w jaki sposób bezpieczeństwo informacji i danych jest ustanawiane, wdrażane, obsługiwane, monitorowane, przeglądane, utrzymywane i doskonalone.
Już z powyższej definicji jasno wynika, że ISMS jest częścią procesów i ogólnego systemu zarządzania organizacją oraz jest zintegrowany z tymi systemami.
ISMS może być stosowany do organizacji jako całości, jak również do elementu organizacyjnego w organizacji lub do specjalnie wyznaczonego systemu informacyjno-komunikacyjnego lub jego części.
"ISMS może być wdrożony i stosowany zarówno w organizacji zatrudniającej dziesięciu pracowników, jak i w dużym holdingu, który może zatrudniać tysiące osób. Mówiąc wprost, istnieje tylko jeden ISMS, i to taki, który został opisany w normie ISO/IEC 27001. Jednak interpretacja i wdrażanie poszczególnych zaleceń może się znacznie różnić w zależności od skali systemu, liczby użytkowników, sposobu przetwarzania danych, ich wartości, a przede wszystkim realnych zagrożeń bezpieczeństwa itp. Strategia ISMS nie jest zwykle opisywana tak szczegółowo w małych i średnich firmach, jak ma to miejsce w dużych, zwłaszcza międzynarodowych organizacjach.
ISMS ma zastosowanie nie tylko do przedsiębiorstw przemysłowych i organizacji prywatnych - ISMS dotyczy wszystkich organizacji, w tym instytucji publicznych i organów rządowych. Dowodem na to jest istnienie wielu krajowych uchwał rządowych i resortowych zalecających i/lub wymagających wdrożenia ISMS w organizacjach kontrolowanych przez państwo i mających siedzibę w państwie. " [3]
Szereg norm ISMS ma na celu pomóc organizacjom wszystkich typów i rozmiarów we wdrożeniu i obsłudze ISMS. Składa się on z następujących norm międzynarodowych o wspólnym tytule Technika informatyczna - Techniki bezpieczeństwa [4] (wymienionych poniżej w kolejności numerycznej):
· ISO/IEC 27000 |
Systemy zarządzania bezpieczeństwem informacji - przegląd i słowniczek |
· ISO/IEC 27001 |
Systemy zarządzania bezpieczeństwem informacji - wymagania |
· ISO/IEC 27002 |
Zestaw procedur dotyczących środków bezpieczeństwa informacji |
· ISO/IEC 27003 |
Wytyczne dotyczące wdrażania systemu zarządzania bezpieczeństwem informacji |
· ISO/IEC 27004 |
Zarządzanie bezpieczeństwem informacji - pomiar |
· ISO/IEC 27005 |
Zarządzanie ryzykiem w zakresie bezpieczeństwa informacji |
· ISO/IEC 27006 |
Wymagania dla jednostek audytujących i certyfikujących systemy zarządzania bezpieczeństwem informacji |
· ISO/IEC 27007 |
Wytyczne dotyczące audytowania systemów zarządzania bezpieczeństwem informacji |
· ISO/IEC TR 27008 |
Wytyczne dla audytorów środków bezpieczeństwa informacji |
· ISO/IEC 27009 |
Specyficzne dla branży zastosowanie normy ISO/IEC 27001 - Wymagania |
· ISO/IEC 27010 |
Zarządzanie bezpieczeństwem informacji w komunikacji międzysektorowej i międzyorganizacyjnej |
· ISO/IEC 27011 |
Wytyczne dotyczące zarządzania bezpieczeństwem informacji dla organizacji telekomunikacyjnych oparte na normie ISO/IEC 27002 |
· ISO/IEC 27013 |
Wytyczne dotyczące zintegrowanego wdrażania norm ISO/IEC 27001 i ISO/IEC 20000-1 |
· ISO/IEC 27014 |
Zarządzanie i kierowanie bezpieczeństwem informacji |
· ISO/IEC TR 27015 |
Wytyczne dotyczące zarządzania bezpieczeństwem informacji w sektorze usług finansowych |
· ISO/IEC TR 27016 |
Zarządzanie bezpieczeństwem informacji - Ekonomika organizacji |
· ISO/IEC 27017 |
Zestaw praktyk dotyczących środków bezpieczeństwa informacji dla usług w chmurze w oparciu o ISO/IEC 27002 |
· ISO/IEC 27018 |
Zestaw procedur ochrony informacji umożliwiających identyfikację osób (PII) w chmurach publicznych działających jako podmioty przetwarzające PII |
· ISO/IEC 27019 |
Wytyczne dotyczące zarządzania bezpieczeństwem informacji oparte na normie ISO/IEC 27002 dla systemów kontroli procesów specyficznych dla sektora energetycznego |
Poniżej wymieniono normy międzynarodowe, które nie są wymienione pod tym wspólnym tytułem, ale są również częścią serii norm ISMS: |
|
· ISO 27799 |
Informatyka w ochronie zdrowia - Systemy zarządzania bezpieczeństwem informacji w ochronie zdrowia zgodne z normą ISO/IEC 27002 [5] |
Rozwiązanie ISMS wymaga systemowego i kompleksowego podejścia, uwzględniającego zasady i elementy w całym cyklu życia bezpieczeństwa cybernetycznego. System zarządzania ISMS opiera się na cyklu Deminga, czyli cyklu PDCA (Plan-Do-Check-Act; Planuj-Wykonaj-Sprawdź-Działaj).
Cykl PDCA to jedna z podstawowych zasad zarządzania, polegająca na stopniowej poprawie jakości procesów, usług, danych, produktów itp. poprzez ciągłe powtarzanie czterech podstawowych czynności: planuj-wykonaj-sprawdź-działaj.
Obecnie istnieje wiele wariantów cyklu PDCA [6] , a jedną z odpowiednich modyfikacji tego cyklu, która ma zastosowanie również w dziedzinie bezpieczeństwa cybernetycznego, jest wariant OPDCA, który rozszerza oryginalny model poprzez dodanie fazy Obserwacji przed fazą Planowania.
Cykl PDCA lub niektóre jego modyfikacje mogą być stosowane do wszystkich procesów ISMS. W najprostszy sposób model ten można przedstawić jako niekończące się koło:
Obraz: Model PDCA [7]
Model PDCA został również przedstawiony w normie ISO/IEC 27001:2005 i ilustruje, w jaki sposób system ISMS przyjmuje wymagania dotyczące bezpieczeństwa informacji i oczekiwania interesariuszy jako dane wejściowe, a następnie wykorzystuje niezbędne działania i procesy w celu uzyskania wyników w zakresie bezpieczeństwa informacji, które spełniają te wymagania i oczekiwania.
Rysunek: Model PDCA zastosowany do procesów ISMS [8]
Plan (ustanowienie ISMS) |
Ustanowienie polityki, celów, procesów i procedur ISMS związanych z zarządzaniem ryzykiem i poprawą bezpieczeństwa informacji w celu osiągnięcia wyników zgodnych z ogólną polityką i celami organizacji. |
Do (wdrożenie i eksploatacja ISMS) |
Wdrożenie i stosowanie polityk, środków, procesów i procedur ISMS. |
Kontrola (monitorowanie i przegląd ISMS) |
Ocenianie, tam gdzie to możliwe, i mierzenie wydajności procesu w odniesieniu do polityki ISMS, celów i praktycznych doświadczeń oraz zgłaszanie wyników kierownictwu organizacji do przeglądu. |
Jednej (utrzymywanie i doskonalenie ISMS) |
Podejmowanie działań korygujących i zapobiegawczych w oparciu o wyniki audytu wewnętrznego ISMS oraz przeglądu systemu zarządzania przez kierownictwo w celu osiągnięcia ciągłego doskonalenia ISMS. |
Norma ISO/IEC 27001 promuje przyjęcie podejścia procesowego do ustanawiania, wdrażania, obsługi, monitorowania, utrzymywania i doskonalenia ISMS organizacji. W szczególności nacisk kładzie się na:
· zrozumienie wymagań organizacji w zakresie bezpieczeństwa informacji oraz potrzeby ustanowienia polityki i celów w zakresie bezpieczeństwa informacji,
· wdrażanie i stosowanie środków zarządzania bezpieczeństwem informacji w kontekście zarządzania ogólnym ryzykiem związanym z działalnością organizacji,
· monitorowanie i przegląd wyników i skuteczności ISMS,
· Ciągłe doskonalenie oparte na obiektywnych pomiarach.
"W przypadku ISMS w organizacji należy jasno opisać organizację zarządzania, obowiązki w zakresie bezpieczeństwa informacji na wszystkich szczeblach zarządzania, organy zawodowe oraz role w systemie bezpieczeństwa informacji.
Bezpieczeństwo informacji musi być odzwierciedlone w strukturze organizacyjnej organizacji, tak aby obejmowało działania i współpracę kierownictwa, osób odpowiedzialnych za systemy aplikacji, usługi operacyjne, użytkowników końcowych oraz osób odpowiedzialnych za poszczególne działania. Bezpieczeństwo informacji wymaga ścisłej współpracy między wszystkimi tymi grupami personelu oraz zapewnienia szkoleń z zakresu bezpieczeństwa informacji, tak aby oprócz osób odpowiedzialnych za bezpieczeństwo informacji i innych elementów bezpieczeństwa w organizacji, także personel zarządzający informacjami oraz wszyscy użytkownicy technologii informacyjnych posiadali podstawową wiedzę na temat bezpieczeństwa informacji." [9]
W związku z powyższym możliwe jest zdefiniowanie standardowych celów ISMS w organizacji:
· zapewnienie bezpieczeństwa systemów i usług teleinformatycznych,
· zapewnienie ciągłości działania systemów i usług teleinformatycznych,
· ochrona danych i informacji,
· ochrona innych aktywów,
· radzenie sobie z zagrożeniami, zdarzeniami i incydentami, w tym zapobieganie im,
· poprawa bezpieczeństwa systemów i usług informacyjno-komunikacyjnych,
· Podnoszenie ogólnej świadomości użytkowników w zakresie bezpieczeństwa i zagrożeń bezpieczeństwa (edukacja),
· dzielenie się doświadczeniami z innymi podmiotami.
Wdrożenie ISMS w organizacji nie może jednak zapewnić pełnego bezpieczeństwa jej aktywów. Jednak wdrożenie ISMS może znacznie zmniejszyć ryzyko ingerencji w zasoby do akceptowalnego poziomu. Cały system jest tylko tak silny, jak jego najsłabsze ogniwo. W tym przypadku najsłabszym ogniwem, a zarazem największym zagrożeniem dla bezpieczeństwa informacji, jest człowiek.[1] Zwany dalej ISMS
[2] Por. Wprowadzenie do ISO/IEC 27001
[3] POŽÁR, Josef i Luděk NOVÁK. Podręcznik pracy kierownika ds. bezpieczeństwa. Praga: POŽÁR, Josef i Luděk NOVÁK. System zarządzania bezpieczeństwem informacji. [online]. Dostępne pod adresem: https://www.cybersecurity.cz/data/srib.pdf s. 1
[4] Wspólny tytuł "Technika informatyczna - techniki bezpieczeństwa" wskazuje, że niniejsze normy międzynarodowe zostały opracowane przez ISO/IEC JTC 1 Technika informatyczna, Podkomisja SC 27 Techniki bezpieczeństwa IT
[5] Przegląd norm znajduje się w EN ISO/IEC 27000 (369790) - Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Przegląd i glosariusz
[6] ROSER, Christoph. Wiele smaków PDCA [online]. Dostępne pod adresem: https://www.allaboutlean.com/pdca-variants/
[7] Cykl PDCA. [online].Dostępne pod adresem: https://www.creativesafetysupply.com/glossary/pdca-cycle/
[8] Zmodyfikowany i uzupełniony model PDCA. Oryginalny model został wprowadzony w normie ISO/IEC 27001:2005 str. 7
[9] POŽÁR, Josef i Luděk NOVÁK. Podręcznik pracy kierownika ds. bezpieczeństwa. Praga: POŽÁR, Josef i Luděk NOVÁK. System Zarządzania Bezpieczeństwem Informacji. [online]. Dostępne pod adresem: https://www.cybersecurity.cz/data/srib.pdf s. 2