Zarządzanie bezpieczeństwem systemu informatycznego jest ciągłym procesem, który składa się z określonej liczby etapów, które należy skrupulatnie wdrożyć, aby osiągnąć zamierzone efekty w kwestii podniesienia poziomu bezpieczeństwa. Norma nazywa się ISO 27001. Tylko czym ona jest i jak wygląda pełen proces wdrożeniowy?

Czym jest ISO 27001?

Pełna nazwa tej normy to Technika Informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania. Zawarte w niej wymogi dotyczą zarówno ustanowienia, jak i wdrożenia, ale także utrzymania oraz ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji w firmie. To zbiór najlepszych działań, które dotyczą sposobów zarządzania ochroną i gwarantujących ochronę danych klientów.

Jakie są etapy wdrażania wymagań ISO 27001?

Istnieje 5 istotnych kroków do wdrożenia wymagań ISO 27001. Są one następujące:

1. Szkolenie pozwalające uzyskanie odpowiednich kompetencji – na początku należy przeprowadzić kurs wprowadzający w tematykę, z zakresu przygotowywania, wdrażania i nadzoru nad systemem bezpieczeństwa informacji, ponieważ żadne czynności nie będą skuteczne, jeżeli są podszyte brakiem wiedzy i planu. ISO 27001 szkolenie jest dostępne w formie stacjonarnej, jak i online, przeprowadza je wiele firm i jest ono ogólnodostępne.

2. Konieczność powołania zespołu zarządzania bezpieczeństwem informatycznego – polega na identyfikowaniu nowych wymogów w kwestii bezpieczeństwa, kiedy są wprowadzane zmiany w systemie informatycznym. Podlegają one ciągłym zmianom na skutek szybkiej aktualizacji usług oraz technologii, a także pojawianie się nowych zagrożeń. Do najistotniejszych procesów, które wchodzą w skład zarządzania bezpieczeństwem systemu informatycznego, zalicza się zarządzanie: ryzykiem, zmianami, konfiguracją. Każda istotna modyfikacja w systemie informatycznym powinna zostać poddana analizie po względem jej wpływu na poziom bezpieczeństwa. W sytuacji wprowadzenia niewielkich zmian analiza może być przeprowadzona podczas spotkania, ponieważ nie jest wymagane zanalizowanie pełnego poziomu ryzyka.

3. Zarządzanie konfiguracją – to proces weryfikacji zmian w systemie. Nadrzędnym celem bezpieczeństwa w tym procesie jest świadomość i wiedza wprowadzonych zmian. Zarządzanie konfiguracją gwarantuje: wdrożenie zmian, nieobniżających skuteczności funkcjonowania systemu, ogólnego bezpieczeństwa instytucji skuteczności mechanizmów zabezpieczających oraz wprowadzenie stosownych modyfikacji, które dotyczą planowania stałości działania oraz odtwarzania po awarii. Obejmuje także weryfikację legalności oprogramowania, inwentaryzację zasobów organizacji oraz sprawdzenie mechanizmów kontrolnych przechowywania oprogramowania.

4. Zarządzanie ryzykiem – polega na oszacowaniu ryzyka mającego na celu zmniejszenie go na tyle, aby osiągnął poziom akceptowalny dla przedsiębiorstwa. Proces zarządzania ryzykiem włącza się w planowanie, nabywanie, rozwój, przeprowadzanie testów oraz czynności, które służą właściwemu rozmieszczeniu systemów informatycznych. Skuteczny program do zarządzania ryzykiem powinien gwarantować osiągnięcie celów biznesowych instytucji przez:

– efektywniejszą ochronę systemów informacyjnych, służących do przechowywania, przetwarzania oraz przesyłania danych, które należą do organizacji,

– umożliwienie kadrze zarządzającej wyjaśnienie swoich decyzji, które dotyczą wydatków na zarządzanie ryzykiem, które jest zaplanowane w budżecie.

To dyrektor jednostki powinien zdefiniować cel programu zarządzania ryzykiem oraz cele szczegółowe. Wdrożenie całego planu wymaga powołanie do dziania specjalnego komitetu, a także zespołu wykonawczego przy jednoczesnym wsparciu kadry kierowniczej w dziedzinie identyfikacji ryzyka oraz rozwoju strategii postępowania z ryzykiem.

5. Identyfikacja ryzyka – na rynku istnieje wiele możliwości wskazywania ryzyka. To charakter badanego obszaru i obszar, który dotyczy zarządzania ryzykiem, określa najlepszą technikę. Do ważnych narzędzi, które identyfikują ryzyko, zaliczamy:

• analizę środowiskową, czyli ocena wpływu zmian środowiska zewnętrznego na czynności zarządzania oraz kontroli w instytucji,
• scenariusze zagrożeń – pozorowanie awarii oraz słabości systemu kontroli wewnętrznej,
• analiza ewentualnych strat – ocena z punktu widzenia zasobów przedsiębiorstwa,
• identyfikacja systemowa – ocena wpływu wszelkich czynników ryzyka, które są możliwe do zidentyfikowania.

ISO 27001 jest Techniką informatyczną, której odpowiednie wdrożenie zapewnia, że firma spełnia niezbędne wymagania regulacyjne nakładane przez prawo. Są one wymagane od podmiotów przetwarzających dane osobowe, dostawców niektórych usług cyfrowych i operatorów słów kluczowych, czyli podmiotów z sektora energetycznego, bankowego, transportu kolejowego i lotniczego. Oprócz tego zalicza się także służbę zdrowia, a także operatorów systemów przemysłowych. Niemniej jednak przedsiębiorstwa z innych branż również wdrażają ten system, by wzbudzić zaufanie klientów oraz spełnić wymagania branżowe.