6. System zarządzania bezpieczeństwem informacji (ISMS, SZBI)

6.4. Bezpieczeństwo organizacyjne

Definicja bezpieczeństwa organizacyjnego, a w szczególności zakotwiczenie bezpieczeństwa cybernetycznego lub teleinformatycznego w już funkcjonujących strukturach organizacji, ma bardzo istotne znaczenie dla potencjalnego zarządzania zagrożeniami lub atakami cybernetycznymi.

Kwestia bezpieczeństwa powinna być rozpatrywana na poziomie operacyjnym, taktycznym i strategicznym w organizacji z perspektywy jej kierownictwa.

Z punktu widzenia bezpieczeństwa ważne jest, aby jednostka (dział) zajmująca się bezpieczeństwem cybernetycznym była oddzielona od jednostki (działu), która zapewnia funkcjonowanie technologii informacyjno-komunikacyjnych. [1] 

Przykład: autor spotkał się z administratorem sieci, który został zobowiązany przez pracodawcę do objęcia stanowiska kierownika ds. bezpieczeństwa. W praktyce oznaczałoby to, że
administrator opracowywałby wytyczne, których należałoby przestrzegać, a także samodzielnie sprawdzałby je i egzekwował. Absurdalność tej sytuacji jest
widoczna na pierwszy rzut oka.

Bezpieczeństwo organizacyjne z założenia polega na tym, że wyznaczone podmioty stosują system zarządzania bezpieczeństwem informacji, aby:

o   zapewnić, by polityka bezpieczeństwa i cele ISMS były ustalone w sposób zgodny z kierunkiem strategicznym osoby zobowiązanej,

o   zapewnić włączenie ISMS do procesów osoby zobowiązanej,

o   zapewnić dostępność zasobów potrzebnych do funkcjonowania ISMS,

o   informowanie personelu o znaczeniu ISMS oraz o tym, jak ważne jest osiągnięcie zgodności z jego wymaganiami ze wszystkimi zainteresowanymi stronami,

o   zapewnić wsparcie w osiąganiu zamierzonych wyników ISMS,

o   kierować i wspierać personel w rozwijaniu skuteczności ISMS,

o   promować ciągłe doskonalenie ISMS,

o   wspierać osoby pełniące funkcje związane z bezpieczeństwem w promowaniu bezpieczeństwa cybernetycznego w obszarach, za które są odpowiedzialne,

o   zapewnić ustanowienie zasad wyznaczania administratorów i osób, które będą pełnić funkcje związane z bezpieczeństwem,

Role bezpieczeństwa to:

·      Kierownik ds. bezpieczeństwa cybernetycznego,

·      Architekt ds. bezpieczeństwa cybernetycznego,

·      Poręczyciel majątkowy,

·      Audytor bezpieczeństwa cybernetycznego:

o   zapewnia zachowanie poufności administratorów i osób pełniących role związane z bezpieczeństwem,

o   zapewnia osobom pełniącym role w zakresie ochrony odpowiednie uprawnienia i zasoby, w tym środki budżetowe, do pełnienia swoich ról i wykonywania związanych z nimi zadań,

o   zapewnia testowanie planów ciągłości działania, odzyskiwania danych i procesów związanych z zarządzaniem incydentami związanymi z bezpieczeństwem cybernetycznym.

Aby przypisać i wyświetlić (w tabeli) obowiązki poszczególnych osób (role bezpieczeństwa wg VoKB) w organizacji, należy zastosować macierz odpowiedzialności RACI (matryca RACI). RACI to akronim złożony z początkowych liter słów:

R - Odpowiedzialny

kto jest odpowiedzialny za wykonanie zadania (czynności)

A - Odpowiedzialność

(lub zatwierdzający)

kto jest odpowiedzialny za całe zadanie lub za zapewnienie, że proces jest realizowany zgodnie z wcześniej ustalonymi zasadami

C - konsultowany

który może udzielać cennych rad lub konsultacji w zakresie zadania, ale nie bierze odpowiedzialności za wykonanie procesu

I - poinformowany

kto ma być informowany o postępach w realizacji zadania lub decyzjach dotyczących zadania

Zasadą jest, że tylko jedna osoba ponosi ogólną odpowiedzialność (A - Accountability) za dane zadanie; liczba zaangażowanych osób (R - Responsibility) powinna być odpowiednia do zadania. Metoda RACI jest prostą formą modelu kompetencji. [2]

 

 

Procesy:                 

Rola:

Komitet KB

Kierownik KB

Architekt KB

Audytor KB

Gwarant aktywów

Ogólne zarządzanie i rozwój KB

A

R

R

 

C

System zarządzania bezpieczeństwem informacji

A

R

C

 

C

Projektowanie środków bezpieczeństwa

C

A

R

 

C

Wdrażanie środków bezpieczeństwa

C

A

R

 

C

Zapewnienie rozwoju, wykorzystania i bezpieczeństwa aktywów

 

A

C

 

R

KB Audyt

I

C

C

A/R

C

Rysunek: matryca RACI [3]


[1] Por. Role związane z bezpieczeństwem i ich integracja w organizacji. [online]. Dostępne pod adresem: https://nukib.cz/download/kii-vis/container-nodeid-574/bezpecnostnirolev41.pdf s. 3

[2] Więcej informacji na ten temat można znaleźć np. w Macierzy Odpowiedzialności RACI. [online]. Dostępne pod adresem: https://managementmania.com/cs/matice-odpovednosti-raci lub Role bezpieczeństwa i ich integracja w organizacji. [online]. Dostępne pod adresem: https://nukib.cz/download/kii-vis/container-nodeid-574/bezpecnostnirolev41.pdf s. 6

[3] Macierz RACI w opisie podstawowych procesów związanych z rolami bezpieczeństwa. Relacje między poszczególnymi rolami i procesami bezpieczeństwa mogą się różnić w zależności od organizacji. Role związane z bezpieczeństwem i ich integracja w organizacji. [online]. Dostępne pod adresem: https://nukib.cz/download/kii-vis/container-nodeid-574/bezpecnostnirolev41.pdf s. 7.