Wstęp
Dziś porozmawiamy sobie o Systemie Zarządzania Bezpieczeństwem Informacji i o ISO. Przedstawię Ci, czym jest SZBI, co to jest ISO, czym jest informacja i o co chodzi z tą certyfikacją ISO 27001 – i dlaczego firmy tak chętnie przystępują do tego procesu.
Informacja
Informacja zawsze była, jest i wygląda, że zawsze będzie, jedną z najcenniejszych wartości dla człowieka, instytucji, gospodarki, społeczeństwa, państwa czy nawet kultury. Odkąd historia pamięta, ludzie upatrywali w zdobywaniu informacji narzędzia do sprawowania władzy. Zdobywanie informacji, powiązanej z działaniem i decyzjami, może być wykorzystane jako broń w wojnie informacyjnej. W naszym świecie spotykamy zarówno pozytywne jak i negatywne podejście do dzielenia się informacją: z jednej strony staramy się ją chronić, z drugiej zaś strony występują działania zakrojone na dużą skalę, które związane są z jej udostępnieniem masowemu odbiorcy.
Już od starożytnych czasów uważano, że informacje należy chronić, stąd tworzono szyfry, kody, niewidzialnych kurierów czy maszyny typu enigma itp. Wyrafinowane sposoby zdobywania i ukrywania informacji są starsze niż państwa. Na przykład Sun Tsu uważał, że zdobywanie informacji jest podstawowym orężem w wojnie. Na pewno wielu polecało Ci, byś przeczytał książkę Sztuka wojny. Jeśli nie, to ja to robię właśnie dziś, jest to bardzo dobra książka. Tylko nie czytaj od dechy do dechy – przeczytaj część i spędź chwilę na analizie bo inaczej to nie zadziała (sam popełniłem ten błąd, ale wróciłem do książki drugi raz po jakimś czasie i całkiem inaczej zadziałała, gdy przysiadłem i się zastanowiłem). Jak to zawsze powtarzam, bezpieczeństwo to taka gra strategiczna, czy to od strony ofensywnej, czy defensywnej. A wiedza jest nie tylko na technicznych blogach. Książki dotyczące strategii wojennych też Ci pomogą w pracy, może nie bezpośrednio, ale pośrednio na pewno.
Ale wracając, bez wątpienia informacja jest najbardziej poszukiwanym zasobem w dzisiejszych czasach. Wprowadzenie oraz coraz powszechniejsze wykorzystanie technologii informatycznych i komputerowych doprowadziło do sytuacji, w której mamy nieskrępowaną wymianę informacji między odległymi od siebie osobami i systemami. Nie zawsze jest to plusem (np. problemy młodych z niedoborem like’ów na socialach czy określanie siebie poprzez opinie innych), ale tego tematu nie będę zaczynał, bo braknie miejsca na resztę artykułu.
Technika informatyczna umożliwia równocześnie szybkie i poprawne gromadzenie, przechowywanie, przetwarzanie i przekazywanie informacji w wielu dotychczas nieosiągalnych obszarach. Dynamiczny rozwój technik informatycznych oraz ilość przetwarzanych danych wymusiły poszukiwanie rozwiązań, które pozwalają skutecznie zarządzać informacją z uwzględnieniem ryzyk, jakie się z tym wiążą (tak też pojawiło się więcej pracy dla nas, bezpieczników 🙂 .
Logika gospodarki rynkowej sprawia, że przedsiębiorstwa oceniane są przez inwestorów głównie pod kątem ich zdolności do generowania dochodów jak i reputacji. Obserwując inwestorów na giełdzie można zauważyć, że rynek nie reaguje na konkretne zdarzenia, lecz na informacje o zdarzeniach. Podobnie to wygląda wśród klientów firm. Jeśli pojawi się informacja, że firma jest nieodpowiednio chroniona, że dane klientów są nie zabezpieczone, mimo że informacja może być jeszcze niesprawdzona, to firma od razu może stracić na reputacji. Wystarczy, że taka informacja wypłynie od uznanego źródła.
Informacja i umiejętność jej pozyskania stają się kluczowym elementem warunkującym sukces w prowadzeniu biznesu i utrzymaniu konkurencyjności. Dlatego rośnie popyt na OSINT, analityków biznesowych itd.
Tak, wiem, że robi się troszkę biznesowo, ale bezpieczeństwo w 100% zależy od biznesu. To dla nich budujemy bezpieczeństwo w organizacji. Wiem, że ciężko to zrozumieć, ale to my zależymy od nich, a nie oni od nas. Często można mieć mylne pojęcie o tym ze względu na fakt, że jako bezpiecznicy jesteśmy często bardzo decyzyjni w organizacji. I czasem nasze jedno słowo może wstrzymać projekt lub nawet go zakończyć przed startem. Ale robimy to dla organizacji i dla biznesu i musimy zawsze o tym pamiętać. I dążyć do tego, aby dzięki naszym działaniom organizacja nie tylko nie traciła, ale w dłuższej perspektywie zarabiała. Tak możemy wykazać, że to np. dzięki nam firma dostała nowy kontrakt, bo to właśnie my bezpiecznicy + IT dbamy o bezpieczeństwo organizacji, dzięki czemu kontrakt mógł być podpisany.
Definicja informacji
Informacja pochodzi od łacińskiego słowa „informatio”, co oznacza wyobrażenie, wizerunek, zarys, pojęcie. Ciężko o jedną definicję pasującą wszędzie, ponieważ informacja to pojęcie wieloznaczne. Niektórzy badacze ekonomii twierdzą, że informacja to wiedza potrzebna do określenia i realizacji służących do osiągnięcia celu organizacji. Inna definicja mówi, że „informacja to właściwość wiadomości lub sygnału, polegająca na zmniejszeniu nieokreśloności lub niepewności co do stanu albo dalszego rozwoju sytuacji, której wiadomość dotyczy”. Potocznie znowu informacja to pojęcie definiowane jako uświadomienie, nauka czy też nauczanie. ISO nie definiuje szczególnie, czym jest informacja, mówi jedynie, że jest to aktyw organizacji, który może przybierać formy takie, jak:
- wydrukowana
- pisemna
- ustna
- elektroniczna
- wiadomość elektroniczna
- pliki audio, video
Jak widzisz, zależnie od miejsca, gdzie zapytamy, definicja informacji jest inna. Choć moim zdaniem najbardziej logiczną i zrozumiałą jest definicja przyjęta nawet przez NASA. Czyli:
Informacja to wiedza dowolnego rodzaju, którą można się dzielić, niezależnie od formy (czy to fizycznej, czy to cyfrowej), użytej dla jej wyrażenia (reprezentacji). Z kolei dane stanowią zgodnie z tym ujęciem formy reprezentacji konkretnej informacji. Dostęp do informacji wiec jest możliwy dla odbiorcy, który dysponuje danymi, interpretuje je zgodnie z zasadami dotyczącymi konkretnej formy reprezentacji.
Zagrożenia dla informacji w przedsiębiorstwie
Często organizacje mają problem ze zdefiniowaniem zagrożeń, jakie mają w swoich przedsiębiorstwach. Oraz ze zdaniem sobie sprawy, że takie zagrożenia istnieją, zanim jeszcze przejdziemy do systemu zarządzania bezpieczeństwem informacji. Poniżej w krótkiej liście opiszę Ci rodzaje zagrożeń, jakie mogą dotknąć organizację. Oczywiście lista będzie bardzo ogólna, bo każda branża ma swoje specyficzne zagrożenia (i każda organizacja – tym bardziej), więc nie da się wypisać ich wszystkich. Dlatego zawsze będą potrzebni konsultanci czy specjaliści, którzy sprawdzą dokładnie, jakie mamy zagrożenia. Ale wracając, lista obszarów zagrożeń poniżej:
- zagrożenia losowe — takie jak katastrofy, klęski żywiołowe, wypadki
- tradycyjne zagrożenia informacji — szpiegostwo, sabotaż
- zagrożenia technologiczne — zagrożenia związane z gromadzeniem, przechowywaniem, przetwarzaniem i przekazywaniem informacji
- zagrożenia organizacyjne — niedostateczne rozwiązania np. kompetencyjne zasobów itp.
Dzielimy je na:
- wewnętrzne — powstające wewnątrz organizacji
- zewnętrzne — powstające poza organizacją
- fizyczne — utrata danych ze względu np. na zagrożenia losowe
W których ataki możemy podzielić jeszcze na:
- Ataki aktywne — aktywnie oddziałują na system np. poprzez wtargnięcie do bazy i kopiowanie danych
- Ataki pasywne — pasywne wyciąganie danych np. MITM
Tak, wiem, że strasznie ogólny ten podział, ale chciałem go wstawić gdyby trafiło, że przeczyta go osoba nietechniczna i nie znająca takich zależności. Jeśli chcesz więcej informacji na temat różnej maści zagrożeń, znajdziesz ich pełno nie tylko na moim blogu ale również w social mediach, zapraszam cię serdecznie, jeśli jesteś zainteresowany. Jesteśmy na Linkedin, Facebooku, Tiktoku, Instagramie, Youtube.
Czym jest System Zarządzania Bezpieczeństwem Informacji?
System Zarządzania Bezpieczeństwem Informacji (SZBI), to systematyczne podejście do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia bezpieczeństwa informacji w organizacji w celu osiągnięcia celów biznesowych. Strategia ta ma zapewnić ciągłe doskonalenie podjętych działań i procedur w celu optymalizacji ryzyk związanych z naruszeniem poufności, integralność, dostępności (triada CIA) informacji w organizacji.
Na SZBI składają się wszystkie procedury, polityki, regulaminy i instrukcje bezpieczeństwa informacji, które wspólnie zarządzane przez organizację dążą do ochrony jej aktywów informacyjnych. SZBI pozwala uporządkować te wszystkie procedury i zapanować nad nimi. Ale do plusów wdrożenia ISO przejdziemy później 🙂 SZBI bazuje na szacowaniu ryzyka i poziomach ich akceptacji dla organizacji zaprojektowanych tak, aby skutecznie z nim postępować i nim zarządzać. W opracowaniu SZBI oraz w oszacowaniu ryzyka pomoże wam norma ISO 27001, o której zaraz Ci więcej opowiem.
Czym jest rodzina ISO 27000 ?
ISO 27000 to rodzina międzynarodowych norm standaryzująca zarządzanie bezpieczeństwem informacji. Poniżej wylistuję dla Ciebie te normy, które są najczęściej wykorzystywane (ponieważ rodzina 27000 posiada ich już ponad 45).
Legenda: ze standardów zaznaczonych na czerwono można się certyfikować.
Lista:
- ISO 27000 – są to definicje jak i terminy wykorzystywane w rodzinie norm 27000.
- ISO 27001 – jest to główny standard w serii, który zawiera wymagania wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji. Jest on również najbardziej rozpoznawalną normą.
- ISO 27002 – zawiera on wskazówki wdrażania kontroli z załącznika A normy 27001. Jest bardzo przydatny, ponieważ zawiera szczegółowe informacje na temat tych kontroli.
- ISO 27004 – zawiera wskazówki, które pomagają mierzyć bezpieczeństwo informacji w organizacji.
- ISO 27005 – zawiera wskazówki, które pomagają w zarządzaniu ryzykiem w bezpieczeństwie informacji — podaje on szczegóły dotyczące przeprowadzania oceny i postępowania z ryzykiem. Co, jak wspomniałem powyżej, jest najtrudniejsze dla organizacji.
- ISO 27017 – zawiera wytyczne dotyczące bezpieczeństwa informacji w chmurze.
- ISO 27018 – zawiera wytyczne dotyczące ochrony prywatności w chmurze.
- ISO 27031 – zawiera wytyczne dotyczące ciągłości działania.
- ISO 27701 – zawiera wytyczne dotyczące kwestii zarządzania prywatnością informacji – jest on odpowiedzią na RODO.
Czym jest ISO 27001 ?
Norma ISO 27001 to międzynarodowa norma standaryzująca Systemy Zarządzania Bezpieczeństwem Informacji (SZBI). Norma stosuje podejście procesowe w celu ustanowienia, wdrożenia, prowadzenia, monitorowania, przeglądów, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji w organizacji. Zapewnia ona również ramy zarządzania dla wdrożenia SZBI w celu zapewnienia poufności, integralności i dostępności (triada CIA) wszystkich danych organizacji. Inaczej mówiąc, ISO 27001 to zbiór najlepszych praktyk dotyczących sposobów, zarządzania ochroną danych oraz gwarantujących klientom ochronę ich danych.
Założenia normy są uniwersalne: oznacza to, że mogą być zastosowane przez dowolną organizację, niezależnie od obszaru i skali działania, typu, a także branży. Norma ISO/IEC 27001 doskonale współgra z innymi systemami zarządzania, takimi jak ISO 9001 i ISO 14001. Oznacza to, że możliwe jest ich jednoczesne wdrażanie i stosowanie w celu zapewnienia najwyższych standardów. Organizacje, które twierdzą, że wdrożyły ISO 27001, mogą zatem zostać formalnie poddane audytowi i uzyskać certyfikat zgodności z normą.
Aby przeprowadzić certyfikację, niezależny podmiot wysyła do firmy audytorów, których głównym zadaniem jest sprawdzenie, czy procesy, które zapewniają odpowiednią ochronę, są zgodne z zaleceniami normy. Podczas audytu oceniają oni procesy w organizacji, po czym tworzą raport, który następnie analizują inni niezależni audytorzy, aby potwierdzić bezstronność audytorów przeprowadzających audyt. Ostatecznie akredytowana jednostka certyfikująca przyznaje certyfikat, który potwierdza, że system zarządzania bezpieczeństwem informacji spełnia wymagania normy ISO 27001.
Historia ISO 27001
ISO 27001 wywodzi się z normy BS 7799, która została opublikowana przez BSI w 1995. Została ona napisana przez Departament Handlu i przemysłu UK i składała się z 3 części. Część pierwsza, zawierająca najlepsze praktyki zarządzania bezpieczeństwem informacji, została zrewidowana w 1998 i ostatecznie została przyjęta jako ISO 17799 – „Technologia informacyjna – Kodeks postępowania w zarządzaniu bezpieczeństwem informacji” w 2000 r. ISO 17799 została następnie zrewidowana w czerwcu 2005 r. i ostatecznie włączona do serii norm ISO 27000 jako ISO 27002 w lipcu 2007 r.
Druga część BS 7799 została po raz pierwszy opublikowana przez BSI w 1999 r., znana jako BS 7799 Część 2, zatytułowana „Systemy zarządzania bezpieczeństwem informacji — specyfikacja z wytycznymi dotyczącymi użytkowania”. BS 7799-2 koncentrował się na tym, jak wdrożyć system zarządzania bezpieczeństwem informacji (ISMS), odnosząc się do struktury zarządzania bezpieczeństwem informacji i środków kontroli określonych w BS 7799-2, który później stał się ISO 27001. Wersja BS 7799-2 z 2002 r. wprowadziła Plan-Do-Check-Act (PDCA) (model zapewnienia jakości Deminga), dostosowując go do standardów jakości takich, jak ISO 9000. BS 7799 część 2 została przyjęta przez ISO jako ISO 27001 w listopadzie 2005 r.
BS 7799 Część 3 została opublikowana w 2005 r. i obejmuje analizę i zarządzanie ryzykiem. Jest zgodny z normą ISO/IEC 27001. Został zaktualizowany w 2017 r.
W Polsce normę opublikowano 4 stycznia 2007 roku jako PN-ISO 27001:2007. Wówczas norma ta zastąpiła PN-I-07799-2:2005, czyli polski odpowiednik brytyjskiego standardu BS 7799-2. Następnie 2 grudnia 2014 roku w miejsce normy PN-ISO 27001:2007, pojawiła się nowa norma PN-ISO 27001:2014-12.
Aktualną polską wersją normy jest norma ISO 27001:2013, która w polskiej wersji powstała jako PN-EN ISO 27001:2017-06 z 10 stycznia 2018 roku. Tak, wiem, że wygląda to nielogicznie ale jest to jedna i ta sama norma, tylko wersja w języku polskim została opublikowana troszkę później. Choć aktualną wersją jest wersja 2013, to już na ukończeniu mamy wersję ISO 27001:2022. ISO 27002:2022 jest już dostępna i możesz już się z nią zapoznać.
Gdzie kupić dokumenty normy
Normę ISO można kupić w wersji polskiej jak i angielskiej. Nowa wersja zapewne przez jakiś czas będzie bez wersji polskiej.
Poniżej znajdziesz linki do zakupu norm:
- ISO 27001:2013
- ISO 27001:2017 – wersja polska
- ISO 27001:2022
- ISO 27002:2022
Jakie daje korzyści ISO 27001?
Na pewno chcesz poznać korzyści, jakie przyniesie Ci wdrożenie czy certyfikacja z ISO 27001. Poniżej przedstawię Ci to w krótkiej liście:
- Wdrożenie i utrzymanie SZBI znacznie zmniejszy ryzyko naruszenia cyberbezpieczeństwa w organizacji
- Organizacje zgodne z ISO 27001 są lepiej przygotowane do reagowania na zmieniające się zagrożenia bezpieczeństwa informacji
- Niższe koszty — ISO 27001 zapobiega incydentom związanym z bezpieczeństwem — a każdy incydent kosztuje!
- Pomaga w identyfikacji zagrożeń oraz wprowadzeniu właściwych zabezpieczeń
- Potwierdza zaangażowanie organizacji w utrzymanie bezpieczeństwa informacji
- Pomaga we wdrożeniu zabezpieczeń w poszczególnych obszarach działalności
- Pokazuje zaangażowanie w zapewnienie bezpieczeństwa informacji wobec klientów i interesariuszy — co pozwala na zdobycie zaufania interesariuszy i klientów w kwestii bezpieczeństwa danych
- Spełnianie większej liczby wymogów przetargowych poprzez wykazywanie zgodności — możemy uzyskać pierwszeństwo wyboru jako dostawca
- Zapewnienia, że aktywa informacyjne są odpowiednio chronione
- Zachowanie prywatności i integralności oraz dostępności danych
- Wzrost świadomości dotyczącej zagrożeń i konieczności stosowania odpowiednich zabezpieczeń wśród pracowników
- Lepsza organizacja poprzez zdefiniowanie procesów i procedur oraz nadzór nad nimi, przez co pracownicy wiedzą, kiedy i co robić
- Pomoc w zdefiniowaniu ról i obowiązków związanych z przetwarzaniem informacji
- Pomaga w spełnieniu wymagań prawnych i oczekiwań klientów, kontrahentów oraz partnerów biznesowych
- Podniesienie jakości usług i zwiększenie wiarygodności oraz zaufania klientów
- Zapewnia znaczną przewagę konkurencyjną i może skutecznie stanowić licencję na handel z firmami z wysoce regulowanych sektorów
- Może zapewnić zgodność z uznaną normą zewnętrzną lub ułatwić certyfikację jej zgodności, z której często kierownictwo może korzystać, aby wykazać należytą staranność.
Udało mi się wypisać 19 korzyści, choć później z każdej z nich wynika pewnie jeszcze jakieś 100 dla całej organizacji. Naprawdę tych korzyści jest bez liku — dużo finansowych oraz dużo organizacyjnych, ponieważ na przykład poprawa procesu może nam po pierwsze go przyspieszyć, po drugie pomóc oszczędzić na nim.
Co obejmuje norma ISO 27001
Poniżej opiszę Ci główne punkty normy, które organizacja musi spełnić, by być zgodna z tą normą. Normę możemy podzielić na dwa oddzielne byty, które jednak nie mogą istnieć bez siebie. Pierwszym są punkty normy od 4 do 10 w wersji z 2013/2017, a drugim jest załącznik, który mówi o zabezpieczeniach. Większość osób łączy normę z zabezpieczeniami, które są zapisane w deklaracji stosowania, czyli w załączniku normy. Ale organizacja też musi zaimplementować rozwiązania dotyczące punktów normy. Nie będę tutaj opisywał Ci kontroli z załącznika A. Jestem w trakcie tworzenia checklisty (i nie tylko), która pomoże Ci rozwiązać problem wdrażania kontroli z załącznika. Znajdzie się on niedługo w sklepie. Teraz opiszę Ci za to główne punkty normy, byś ogółem wiedział, co z czym się je.
Punkty normy:
- 4. Kontekst Organizacji — Głównym warunkiem wdrożenia SZBI jest zrozumienie organizacji. Należy znaleźć i rozważyć zarówno kwestie wewnętrzne, jak i zewnętrzne, a także zainteresowane strony. Organizacja musi zdefiniować zakres obowiązywania SZBI.
- 5. Przywództwo — Zaangażowanie najwyższego kierownictwa nie dość, że jest niezbędne do odpowiedniego wdrożenia SZBI, ale jest też obowiązkowym wymaganiem dla ISO 27001. Cele SZBI muszą zostać ustalone zgodnie ze strategicznymi celami organizacji i wraz z nimi być aktualizowane w razie potrzeby. Najwyższe kierownictwo musi zapewnić odpowiednie zasoby potrzebne dla SZBI, jak i wsparcie osób wnoszących wkład w SZBI. Najwyższe kierownictwo musi również ustanowić Politykę bezpieczeństwa informacji. Dodatkowo muszą zostać przydzielone tak role, jak i obowiązki dotyczące bezpieczeństwa informacji.
- 6. Planowanie — Należy przeprowadzić analizę ryzyk i szans. Należy analizować ryzyka związane z bezpieczeństwem informacji. Cele bezpieczeństwa informacji nie tylko powinny się opierać na strategii organizacji, ale i na ryzykach, które wynikły podczas ich analizy. Poza tym najwyższe kierownictwo musi promować te cele w organizacji. Na podstawie analizy ryzyka i celów bezpieczeństwa wyprowadza się plan postępowania z ryzykiem, oparty na kontrolach wymienionych w załączniku A.
- 7. Wsparcie — Najwyższe kierownictwo musi zapewnić odpowiednie zasoby, kompetencje pracowników, świadomość i musi komunikować kluczowe kwestie wspierając SZBI. Należy również dokumentować informacje zgodnie z ISO. Informacje muszą być dokumentowane, aktualizowane i kontrolowane, aby wprowadzić, utrzymać i aktualizować dokumentacje do ISO. Spokojnie — o dokumentach będzie poniżej.
- 8. Działania Operacyjne — Procesy należy zaplanować, wdrożyć i kontrolować. Tutaj mamy załączniczek A, który daje nam kontrole, które określiliśmy w deklaracji stosowania w punkcie 6.1.3.
- 9. Ocena Wyników — Należy monitorować, analizować, mierzyć i oceniać SZBI. Należy prowadzić audyty wewnętrzne w określonym czasie i stworzyć Plan audytów. Najwyższe kierownictwo musi również przeprowadzać przeglądy SZBI.
- 10. Doskonalenie — Poprawa jest następstwem oceny. Niezgodności należy rozwiązać, podejmując działania i eliminując przyczyny, jeśli ma to zastosowanie. Ponadto należy wdrożyć proces ciągłego doskonalenia, najlepiej w cyklu Deminga.
Tak, wiem, że masz niedosyt, ale gdybym zaczął się tu rozpisywać, to nie wiem, jak długi byłby ten artykuł. Postaram się stworzyć artykuły pod każdy z punktów normy, by dokładnie Ci je przybliżyć. Ale już tu masz obraz, na czym one polegają.
Kontrole w załączniku A do normy ISO 27001
Dodam jeszcze, że co nieco o załączniku A. Załącznik A w wersji 2013/2017 zawiera 114 kontroli oraz jest podzielony na 14 sekcji jak poniżej:
- 5 Polityki bezpieczeństwa informacji (2 zabezpieczenia)
- 6 Organizacja bezpieczeństwa informacji (7 zabezpieczeń)
- 7 Bezpieczeństwo zasobów ludzkich (6 zabezpieczeń)
- 8 Zarządzanie aktywami (10 zabezpieczeń)
- 9 Kontrola dostępu (14 zabezpieczeń)
- 10 Kryptografia (2 zabezpieczenia)
- 11 Bezpieczeństwo fizyczne i środowiskowe (15 zabezpieczeń)
- 12 Bezpieczeństwo operacji (14 zabezpieczeń)
- 13 Bezpieczeństwo komunikacji (7 zabezpieczeń)
- 14 Pozyskiwanie, rozwój i konserwacja systemu (13 zabezpieczeń)
- 15 Relacje z dostawcami (5 zabezpieczeń)
- 16 Zarządzanie incydentami bezpieczeństwa informacji (7 zabezpieczeń)
- 17 Aspekty bezpieczeństwa informacji w zakresie zarządzania ciągłością działania (4 zabezpieczenia)
- 18 Zgodność (8 zabezpieczeń)
Z normy 27002:2022 wynika, że kontrole będą wyglądały inaczej, ale jak już opublikują ISO 27001:2022, to wrzucę artykuł z aktualizacją.
Wdrożenie normy
Uzyskanie certyfikatu ISO 27001 wymaga od organizacji wdrożenia rozwiązań zgodnych z jej wymogami. Opisałem Ci je powyżej. Konieczne jest przy tym dostosowanie wymogów do specyfiki firmy, ponieważ norma jest ogólna. Odpowiednią wiedzę można zdobyć na specjalistycznych kursach, warsztatach i szkoleniach z SZBI i ISO 27001 lub w innych źródłach. Wiele organizacji korzysta jednak z eksperckiej pomocy w ocenie aktualnego systemu zarządzania bezpieczeństwem informacji i zaplanowaniu oraz wdrożeniu zmian, które pozwolą uzyskać certyfikację ISO 27001. Poniżej opiszę Ci etapy, jakie trzeba podjąć, aby wdrożyć ISO w twojej organizacji.
- Najpierw podczas wdrażania normy ISO 27001 warto przeprowadzić audyt wstępny organizacji, by ją poznać. Znajomość organizacji pozwala sprawdzić, w jakim stopniu rozwiązania stosowane w organizacji spełniają wymagania normy ISO 27001 oraz czy respektują przepisy prawne w zakresie bezpieczeństwa informacji i ochrony danych osobowych.
- Kolejnym etapem jest inwentaryzacja aktywów w organizacji, analiza ryzyka tych zasobów oraz opracowanie zabezpieczeń.
- Następnie należy opracować i wdrożyć dokumentację SZBI oraz przeszkolić pracowników, w tym audytorów wewnętrznych.
- Końcowym etapem jest audyt powdrożeniowy, w którym oceniana jest zgodność podjętych działań i zabezpieczeń z normą i przygotowanie organizacji do audytu certyfikującego.
Wdrażanie zmian w organizacji powinno odbywać się na podstawie podejścia procesowego. Do tego wykorzystuje się z cykl PDCA (Plan, Do, Check, Act – Zaplanuj, Zrealizuj, Sprawdź, Działaj). Postaram Ci się w prosty sposób go przedstawić poniżej tak, jak mnie tego nauczono. Proces ten należy powtarzać cyklicznie.
- Planowanie – Ustal cele i procedury niezbędne do uzyskania określonych wyników (punkty normy 4,5,6,7)
- Realizacja – Wdróż opracowane rozwiązania (punkty normy — 8)
- Sprawdzanie – Monitoruj efektów wprowadzonych zmian (punkty normy — 9)
- Działanie – Podejmuj działania dotyczące ciągłego doskonalenia (punkty normy — 10)
Aby wdrożenie odbyło się sprawnie, należy zastosować poniższe:
- Budować świadomość potrzeby bezpieczeństwa informacji
- Przypisać role i odpowiedzialności za bezpieczeństwo informacji
- Zapewnić ciągłe zaangażowanie kierownictwa i zainteresowanie uczestników
- Cyklicznie szacować ryzyka określając właściwe zabezpieczenia w celu osiągnięcia akceptowalnych poziomów ryzyka
- Wdrożyć aktywne zapobieganie i wykrywanie incydentów związanych z bezpieczeństwem informacji
Wszystkie powyższe punkty pozwolą szybciej i sprawniej wdrożyć SZBI za pomocą cyklu PDCA
Jak długo ważny jest certyfikat ISO 27001?
Certyfikat tak naprawdę ważny jest rok, z tym że prowadzone są cykle 3-letnie. To znaczy co roku przez 3 lata jesteśmy audytowani przez jednostkę certyfikującą. Pierwszym jest audyt, po którym otrzymujemy certyfikat. Po roku mamy kolejny audyt potwierdzający ciągłe doskonalenie SZBI i po kolejnym roku kolejny audyt. I po okresie 3-letnim możemy znowu podejść do audytu certyfikującego. By utrzymać ciągłość certyfikacji — co w niektórych branżach jest konieczne — należy umówić się na audyt przed zakończeniem się poprzedniej certyfikacji.
Wymagane dokumenty przy ISO 27001
Najpierw podkreślę, że dokumenty te są wymagane przez normę, ale niekiedy nie da się czegoś zrobić bez dokumentacji. Na przykład norma nie mówi nic o dokumentowaniu procesów w punkcie normy 8, ale moim zdaniem bez ich rozrysowania oraz rozpisania nie będziemy w stanie ich kontrolować i ulepszać. Dodatkowo wspomnę, że te dokumenty dotyczą normy ISO 2013/2017 (zrobię oddzielny artykuł dotyczący ISO 27001:2022 oraz 27002:2022). Dla przykładu w ISO 27002 mamy kontrolę A.8.9 — zarządzanie konfiguracją, w której będzie niezbędna dodatkowa dokumentacja.
Lista niezbędnych dokumentów:
- Zakres SZBI
- Polityka bezpieczeństwa informacji
- Proces oceny ryzyka bezpieczeństwa informacji
- Plan postępowania z ryzykiem związanym z bezpieczeństwem informacji
- Oświadczenie o zastosowaniu
- Cele bezpieczeństwa informacji
- Dowód kompetencji, ewidencja szkoleń, umiejętności, doświadczenia i kwalifikacji
- Udokumentowane informacje określone przez organizację jako niezbędne dla skuteczności SZBI
- Planowanie operacyjne i kontrola
- Definicja ról i obowiązków w zakresie bezpieczeństwa informacji
- Inwentaryzacja zasobów
- Zasady dopuszczalnego wykorzystania aktywów
- Schemat klasyfikacji informacji
- Polityka kontroli dostępu
- Polityka bezpieczeństwa dostawcy
- Procedura przywracania po katastrofie (DRP)
- Procedura zarządzania incydentami
- Procedury ciągłości działania (BCP)
- Procedury operacyjne zarządzania IT
- Dowody programów audytu i wyniki audytu
- Dowody wyników przeglądów zarządzania
- Dowody charakteru niezgodności i wszelkich późniejszych podjętych działań
- Dowody na wyniki wszelkich działań naprawczych
- Dowody monitorowania i pomiaru wyników (Wyniki przeglądu zarządzania/Wyniki działań naprawczych)
- Dzienniki zdarzeń użytkownika, wyjątków i zdarzeń związanych z bezpieczeństwem
- Udokumentowany proces audytu wewnętrznego (Program/Wyniki audytu wewnętrznego)
- Raport oceny ryzyka bezpieczeństwa informacji
- Raport postępowania z ryzykiem związanym z bezpieczeństwem informacji
- Raport audytu wewnętrznego
- Zasady projektowania bezpiecznych systemów
- Wymagania ustawowe, regulacyjne i umowne
Tu znajdują się tylko wymagane przez standard dokumenty, ale dla przykładu proces zarządzania i monitorowania konfiguracją nie musi być stricte spisany i podczas audytu nie będzie sprawdzane, czy istnieje taki dokument. Ale jak chcesz rozwijać proces, jeśli nawet nie masz go spisanego? Jesteśmy ludźmi, mało kto ma pamięć fotograficzną i jest w stanie odwzorować za każdym razem ten sam proces identycznie. A jak jest na papierze, to podążając za nim, ciężko się pomylić.
ISO 27001 a RODO
Tak, wiem, RODO wszędzie to i tu będzie :). Ale nie martw się, niedużo. Chcę coś powiedzieć o tym, jak ISO może Ci pomóc we wdrożeniu RODO. Mimo że ISO jest bardziej skomplikowane i cięższe do wdrożenia, w mojej opinii to pomoże. RODO wymaga, aby organizacja wdrożyła odpowiednią dokumentację i szczegółowe procedury w celu ochrony przetwarzanych danych osobowych, w czym na pewno może Ci pomóc ISO. Jak sam widzisz trochę tej dokumentacji jest przez ISO wymagane.
Uzyskanie certyfikatu ISO może być bardzo pomocne w dostosowaniu organizacji do wymagań RODO, ponieważ organizacja do certyfikacji ISO wdrożyła zarówno narzędzia operacyjne, jak i techniczne do przeciwdziałania i unikania naruszeń danych. Organizacja podlega również niezależnemu audytowi w zakresie bezpieczeństwa informacji, co minimalizuje ryzyko naruszenia przepisów prawnych w tym zakresie. Na koniec dodam tylko, że wdrożeniem SZBI w organizacji może zająć się zewnętrzna firma (na przykład moja — taka krypto reklama). Dzięki czemu będzie łatwiej Wam zachować zgodność z RODO.
ISO 27001 a NIST
Jeszcze gwoli wyjaśnienia: zarówno NIST, jak i ISO 27001 można wdrażać jednocześnie, lecz nie są one identyczne. NIST został stworzony, aby pomóc amerykańskim agencjom federalnym i organizacjom lepiej zarządzać ich ryzykiem, a ISO stało się międzynarodowym standardem — tak, jak przeczytałeś z historii o ISO powyżej. Poniżej postaram Ci się w tabeli pokazać różnice miedzy ISO i NIST.
ISO | NIST |
ISO 27001 to uznane na całym świecie podejście do ustanowienia i utrzymania SZBI | NIST został stworzony przede wszystkim po to, aby pomóc amerykańskim agencjom federalnym i organizacjom lepiej zarządzać ich ryzykiem |
ISO 27001:2013/2017 Załącznik A zawiera 14 kategorii kontroli ze 114 kontrolami | Frameworki NIST mają różne katalogi kontrolne |
ISO 27001 jest mniej techniczne, z większym naciskiem na zarządzanie oparte na ryzyku, które zawiera zalecenia dotyczące najlepszych praktyk w zakresie zabezpieczania wszystkich informacji | Struktura NIST zawiera trzy kluczowe komponenty: rdzeń, poziomy implementacji oraz profile z każdą funkcją posiadającą kategorie |
ISO 27001 opiera się na niezależnych jednostkach audytujących i certyfikujących | NIST certyfikacja jest dobrowolna |
ISO 27001 zawiera dziesięć klauzul, które prowadzą organizacje przez ich SZBI | Struktura NIST wykorzystuje pięć funkcji do dostosowywania kontroli cyberbezpieczeństwa |
Podsumowanie
Ten artykuł zawiera bardzo wiele informacji. Począwszy od tego, czym jest informacja, poprzez system zarządzania bezpieczeństwem informacji. Poruszyłem również międzynarodowy standard ISO 27001 — czym jest, jego historię, jak wygląda sama norma, co zawiera, jak się ją audytuje, jak się ją wdraża, czym się różni od NIST i jak pomaga przy RODO.
Naprawdę powstał potężny artykuł, który — mam nadzieję — przyniesie Ci ogólne pojęcie o tym standardzie, z czym go się je. Na pewno stworzę więcej artykułów odnośnie ISO. Ten miałem w planach od dawna, nawet zostałem poproszony o niego kilkakrotnie przez moich czytelników, ale wahałem się przed jego stworzeniem — cały czas uważałem, że nie opiszę wszystkiego jak trzeba itd., ale zwalczyłem swoje opory i artykuł w końcu wyszedł.
I jestem z niego bardzo dumny — jest to drugi z tak „ciężkich” artykułów, które napisałem. Ciężki był dla mnie w pisaniu, ponieważ dążyłem do tego, by był on jak najlepszej jakości i przynosił jak najwięcej wartości. Ale po jego stworzeniu jestem równie dumny z niego, jak byłem i jestem z artykułu „Czym jest bezpieczeństwo informacji„. Mam nadzieję, że będzie on tak równie popularny, jak ten wyżej wymieniony i że będzie równie dobrze przez was oceniany. A jeśli chodzi o ocenę, to prosiłbym Cię — zaznacz gwiazdeczką, jak bardzo Ci się podobał, by inni mogli od razu wiedzieć, czy warto zagłębić się w artykuł. Mnie to również pomoże, będę wiedział, czy takie artykuły Ci się podobają i czy ma powstawać ich więcej.
Pozdrawiam – Pusz ????
The form you have selected does not exist.
Jak zabrać się za spis aktywów? Jakie kryteria wziąć pod uwagę?
W aktywa musisz zaliczyć wszelkie zasoby, które uczestniczą w procesach, w których przetwarzana jest informacja. Inaczej mówiąc wszystkie zasoby w organizacji ;). Najlepiej je po kategoryzować np zasoby ludzkie , komputer w wypadku dużych grup będzie nam to pomocne przy analizie ryzyka. Osobiscie jestem zdania, że każdy sprzęt powinien być spisany oddzielnie. Robiąc analizę ryzyka endpointy traktuje jako jeden chyba, że są szczególne przypadki a w wypadku inwentaryzacji mam spisany każdy komputer oddzielnie z informacja o ram,cpu do kogo należy itd tego typu inwentaryzacja powinna być robiona minimum raz w roku w organizacji a najlepiej by to żyło i na bieżąco było uzupełniane by było jasne gdzie jest sprzęt tzn w czyim posiadaniu.