6. System zarządzania bezpieczeństwem informacji (ISMS, SZBI)

6.9. PODSUMOWANIE ROZDZIAŁU

ℹ️

PODSUMOWANIE

·      Istnieje wiele powodów, dla których warto przyjąć i wdrożyć zasady bezpieczeństwa cybernetycznego. Najczęstsze z nich to na przykład negatywne skutki ekonomiczne w przypadku udanego ataku cybernetycznego, podczas którego skradzione zostaną dane wrażliwe. Udany atak cybernetyczny może również zagrozić własnym operacjom i funkcjonowaniu organizacji, ponieważ dostęp do systemów komputerowych lub danych może być ograniczony np. przez oprogramowanie typu ransomware. Innym powodem wdrożenia bezpieczeństwa cybernetycznego może być również utrata wiarygodności zagrożonej organizacji.

·      Obecnie najważniejszym dokumentem Unii Europejskiej odnoszącym się do kwestii cyberbezpieczeństwa jest DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/1148 z dnia 6 lipca 2016 r. dotycząca środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w całej Unii.

·      System zarządzania bezpieczeństwem informacji (ISMS) to zbiór zasad mających na celu ochronę poufności, integralności i dostępności informacji poprzez zastosowanie procesu zarządzania ryzykiem oraz zapewnienie zainteresowanych stron, że ryzyko jest odpowiednio zarządzane.

·      Rozwiązanie ISMS wymaga systemowego i kompleksowego podejścia, uwzględniającego zasady i elementy w całym cyklu życia bezpieczeństwa cybernetycznego. System zarządzania ISMS opiera się na cyklu Deminga, czyli cyklu PDCA (Plan-Do-Check-Act; Planuj-Wykonaj-Sprawdź-Działaj).

·      Cykl PDCA to jedna z podstawowych zasad zarządzania, polegająca na stopniowej poprawie jakości procesów, usług, danych, produktów itp. poprzez ciągłe powtarzanie czterech podstawowych czynności: planuj-wykonaj-sprawdź-działaj.

·      Wartość ryzyka jest najczęściej wyrażana jako funkcja wpływu, zagrożenia i podatności. Na przykład do rzeczywistej oceny ryzyka można wykorzystać następującą funkcję:

Ryzyko = wpływ * zagrożenie * podatność

·      Polityka bezpieczeństwa oznacza zbiór zasad i reguł określających sposób zapewnienia ochrony aktywów.

·      Zdefiniowanie bezpieczeństwa organizacyjnego, a w szczególności zakotwiczenie bezpieczeństwa cybernetycznego lub bezpieczeństwa technologii informacyjno-komunikacyjnych w już funkcjonujących strukturach organizacji, ma bardzo istotne znaczenie dla potencjalnego zarządzania zagrożeniami lub atakami cybernetycznymi.

·      Aktywa to wszystko, co ma wartość dla danej osoby, organizacji lub państwa.

·      Zasoby pomocnicze to zasoby techniczne, pracownicy i wykonawcy zaangażowani w eksploatację, rozwój, zarządzanie lub bezpieczeństwo systemu teleinformatycznego.

·      Podstawowym składnikiem aktywów jest informacja lub usługa przetwarzana lub dostarczana przez system teleinformatyczny.

·      Zarządzanie ciągłością działania (BCM) to proces identyfikowania kluczowych elementów (systemów i procesów) w organizacji, a następnie ustanawiania procesów i procedur zapewniających ciągłość działania lub odtworzenie tych elementów na wcześniej określonym poziomie, na którym można nadal wykonywać podstawowe zadania organizacji.


🗝️

SŁOWA KLUCZOWE, KTÓRE WARTO ZAPAMIĘTAĆ

·       Dyrektywa NIS

·       ISMS

·       PDCA

·       Zagrożenie

·       Ryzyko

·       Impact

·       Podatność na zagrożenia

·       Polityka bezpieczeństwa

·       Aktywa

·       Bezpieczeństwo fizyczne

·       Zarządzanie ciągłością działania


PYTANIA KONTROLNE   

·      Zdefiniuj ISMS.

·      Co to jest cykl PDCA i jak się go stosuje?

·      Jakie elementy można zaliczyć do bezpieczeństwa fizycznego?

·      Co to jest zarządzanie ciągłością działania?

·      Zdefiniuj pojęcie zagrożenia.

·      Zdefiniuj pojęcie ryzyka.

·      Zdefiniuj pojęcie wpływu.

·      Zdefiniuj pojęcie podatności na zagrożenia.

·      Zdefiniuj pojęcie aktywów.

·      Jakie aktywa rozpoznajemy i co to jest aktywum?