Prawa i przepisy regulujące bezpieczeństwo cybernetyczne
6. System zarządzania bezpieczeństwem informacji (ISMS, SZBI)
6.4. Bezpieczeństwo organizacyjne
Definicja bezpieczeństwa organizacyjnego, a w szczególności zakotwiczenie bezpieczeństwa cybernetycznego lub teleinformatycznego w już funkcjonujących strukturach organizacji, ma bardzo istotne znaczenie dla potencjalnego zarządzania zagrożeniami lub atakami cybernetycznymi.
Kwestia bezpieczeństwa powinna być rozpatrywana na poziomie operacyjnym, taktycznym i strategicznym w organizacji z perspektywy jej kierownictwa.
Z punktu widzenia bezpieczeństwa ważne jest, aby jednostka (dział) zajmująca się bezpieczeństwem cybernetycznym była oddzielona od jednostki (działu), która zapewnia funkcjonowanie technologii informacyjno-komunikacyjnych. [1]
Przykład: autor spotkał się z administratorem sieci, który został zobowiązany przez pracodawcę do objęcia stanowiska kierownika ds. bezpieczeństwa. W praktyce oznaczałoby to, że administrator opracowywałby wytyczne, których należałoby przestrzegać, a także samodzielnie sprawdzałby je i egzekwował. Absurdalność tej sytuacji jest widoczna na pierwszy rzut oka.
Bezpieczeństwo organizacyjne z założenia polega na tym, że wyznaczone podmioty stosują system zarządzania bezpieczeństwem informacji, aby:
o zapewnić, by polityka bezpieczeństwa i cele ISMS były ustalone w sposób zgodny z kierunkiem strategicznym osoby zobowiązanej,
o zapewnić włączenie ISMS do procesów osoby zobowiązanej,
o zapewnić dostępność zasobów potrzebnych do funkcjonowania ISMS,
o informowanie personelu o znaczeniu ISMS oraz o tym, jak ważne jest osiągnięcie zgodności z jego wymaganiami ze wszystkimi zainteresowanymi stronami,
o zapewnić wsparcie w osiąganiu zamierzonych wyników ISMS,
o kierować i wspierać personel w rozwijaniu skuteczności ISMS,
o promować ciągłe doskonalenie ISMS,
o wspierać osoby pełniące funkcje związane z bezpieczeństwem w promowaniu bezpieczeństwa cybernetycznego w obszarach, za które są odpowiedzialne,
o zapewnić ustanowienie zasad wyznaczania administratorów i osób, które będą pełnić funkcje związane z bezpieczeństwem,
Role bezpieczeństwa to:
· Kierownik ds. bezpieczeństwa cybernetycznego,
· Architekt ds. bezpieczeństwa cybernetycznego,
· Poręczyciel majątkowy,
· Audytor bezpieczeństwa cybernetycznego:
o zapewnia zachowanie poufności administratorów i osób pełniących role związane z bezpieczeństwem,
o zapewnia osobom pełniącym role w zakresie ochrony odpowiednie uprawnienia i zasoby, w tym środki budżetowe, do pełnienia swoich ról i wykonywania związanych z nimi zadań,
o zapewnia testowanie planów ciągłości działania, odzyskiwania danych i procesów związanych z zarządzaniem incydentami związanymi z bezpieczeństwem cybernetycznym.
Aby przypisać i wyświetlić (w tabeli) obowiązki poszczególnych osób (role bezpieczeństwa wg VoKB) w organizacji, należy zastosować macierz odpowiedzialności RACI (matryca RACI). RACI to akronim złożony z początkowych liter słów:
|
R - Odpowiedzialny |
kto jest odpowiedzialny za wykonanie zadania (czynności) |
|
A - Odpowiedzialność (lub zatwierdzający) |
kto jest odpowiedzialny za całe zadanie lub za zapewnienie, że proces jest realizowany zgodnie z wcześniej ustalonymi zasadami |
|
C - konsultowany |
który może udzielać cennych rad lub konsultacji w zakresie zadania, ale nie bierze odpowiedzialności za wykonanie procesu |
|
I - poinformowany |
kto ma być informowany o postępach w realizacji zadania lub decyzjach dotyczących zadania |
Zasadą jest, że tylko jedna osoba ponosi ogólną odpowiedzialność (A - Accountability) za dane zadanie; liczba zaangażowanych osób (R - Responsibility) powinna być odpowiednia do zadania. Metoda RACI jest prostą formą modelu kompetencji. [2]
|
Procesy: |
Rola: |
Komitet KB |
Kierownik KB |
Architekt KB |
Audytor KB |
Gwarant aktywów |
|
Ogólne zarządzanie i rozwój KB |
A |
R |
R |
|
C |
|
|
System zarządzania bezpieczeństwem informacji |
A |
R |
C |
|
C |
|
|
Projektowanie środków bezpieczeństwa |
C |
A |
R |
|
C |
|
|
Wdrażanie środków bezpieczeństwa |
C |
A |
R |
|
C |
|
|
Zapewnienie rozwoju, wykorzystania i bezpieczeństwa aktywów |
|
A |
C |
|
R |
|
|
KB Audyt |
I |
C |
C |
A/R |
C |
|
Rysunek: matryca RACI [3]
[1] Por. Role związane z bezpieczeństwem i ich integracja w organizacji. [online]. Dostępne pod adresem: https://nukib.cz/download/kii-vis/container-nodeid-574/bezpecnostnirolev41.pdf s. 3
[2] Więcej informacji na ten temat można znaleźć np. w Macierzy Odpowiedzialności RACI. [online]. Dostępne pod adresem: https://managementmania.com/cs/matice-odpovednosti-raci lub Role bezpieczeństwa i ich integracja w organizacji. [online]. Dostępne pod adresem: https://nukib.cz/download/kii-vis/container-nodeid-574/bezpecnostnirolev41.pdf s. 6
[3] Macierz RACI w opisie podstawowych procesów związanych z rolami bezpieczeństwa. Relacje między poszczególnymi rolami i procesami bezpieczeństwa mogą się różnić w zależności od organizacji. Role związane z bezpieczeństwem i ich integracja w organizacji. [online]. Dostępne pod adresem: https://nukib.cz/download/kii-vis/container-nodeid-574/bezpecnostnirolev41.pdf s. 7.