Jak wdrożyć System Zarządzania Bezpieczeństwem Informacji?

Obserwując zmiany regulacyjne w Unii Europejskiej i na świecie w obszarze ochrony infrastruktury teleinformatycznej przedsiębiorstw jak i poszczególnych państw, zauważam zdecydowany wzrost wymagań w zakresie zarządzania bezpieczeństwem informacji. Znajduje to wyraz w wymaganiach nowych norm i regulacji, takich jak: normy z zakresu zarządzania bezpieczeństwem informacji – ISO/IEC 27001, Rozporządzenie o Ochronie Danych Osobowych (RODO) (UE) 2016/679, czy nowa dyrektywa o cyberbezpieczeństwie (UE) 2016/1148. Z drugiej strony temat cyberprzestępczości zaistniał także w   kulturze masowej ( książka „Blackout”, filmy „Szybcy i Wściekli 8” czy „Szklana Pułapka 4.0”) :).

W tym artykule chciałbym się podzielić Naszym doświadczeniem w zakresie definicji i wdrażania Systemu Zarządzania Bezpieczeństwem Informacji opartym na wymaganiach normy ISO/IEC 27001, jako sposobu podniesienia bezpieczeństwa informacji w organizacji, jak i spełnienia powyższych wymagań regulacyjnych.

Jakie firmy powinny zarządzać bezpieczeństwem informacji?

Wdrożenie systemu zrządzania bezpieczeństwem w oparciu o wymagania normy ISO/IEC 27001 jest wolontaryjne. W tym ujęciu to organizacja podejmuje decyzję o wdrożeniu systemu zarządzania zgodnego z wymaganiami ISO/IEC 27001.

Prawidłowe uzyskanie takiego certyfikatu zaświadcza pośrednio, że organizacja spełnia obowiązkowe wymagania regulacyjne, nakładane na nią przez system prawny Na przykład dla obszaru Unii Europejskiej w tym Polski na podstawie obowiązujących przepisów już teraz można wskazać organizacje, od których jest wymagany lub będzie w przyszłości pewien podzbiór systemu zarządzenia bezpieczeństwem informacji. Wśród nich można wyróżnić:

• Operatorów usług kluczowych¹ – np. przedsiębiorstwa energetyczne, naftowe, gazowe, operatorzy systemów dystrybucyjnych, operatorzy systemów przesyłowych, podmioty z sektora transportu lotniczego i kolejowego, sektor bankowy, służba zdrowia, podmioty zaopatrujące w wodę pitną
• Dostawców wybranych usług cyfrowych
• Podmioty przetwarzające dane osobowe ²

Natomiast coraz częściej organizacje decydują się na drożenie Systemu Zarządzania Bezpieczeństwem Informacji ze względu na wymagania branżowe lub też w celu zbudowania zaufania ich klientów.

Czym jest System Zarządzania Bezpieczeństwem Informacji?

ISO/IEC 27000 definiuje System Zarządzania Bezpieczeństwem Informacji (SZBI) jako

zbiór polityk, procedur, wytycznych oraz przydzielonych zasobów oraz aktywności, zarządzanych wspólnie przez organizację w celu ochronnych swoich zasobów informacyjnych.

Biorąc pod uwagę fakt, że bezpieczeństwo opiera się przede wszystkim na ludziach :), warto sparafrazować tę definicję jako

Osoby w organizacji przypisane do zdefiniowanych ról, odpowiedzialne za utrzymywanie i realizację celów stawianych przed organizacją w zakresie ochrony informacji. Działania te są prowadzone w ramach Systemu Zarządzania, na który składają się polityki, procesy, procedury, instrukcje oraz informacje opisujące system zarządzania bezpieczeństwem informacji

Zdefiniowanie Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001

Przy definicji i wdrożeniu Systemu Zarządzania Bezpieczeństwa Informacji warto skorzystać ze wsparcia konsultanta z zakresu bezpieczeństwa informacji lub zbudować/wykorzystać kompetencje wewnątrz organizacji i zakupić gotowy zestaw know-how z zakresu ISO/IEC 27001 jako punkt startowy wdrożenia. Dla każdej z tych opcji można wyróżnić następujące kroki wdrożenia SZBI.

Krok 1. Uzyskanie wsparcia kierownictwa i wyznaczenie celów

Podjęcie decyzji o wdrożeniu SZBI zgodnego z ISO/IEC 27001 powinno zawsze rozpocząć się od uzyskania zaangażowania / potwierdzenia najwyższego kierownictwa w organizacji.  Ta grupa decyduje o przydzieleniu zasobów oraz budżetu na zdefiniowanie i utrzymywanie systemu zarządzania. Wyznacza dla niego cele oraz komunikuje i nadzoruje go w organizacji.

Wyznaczenie celów jest procesem iteracyjnym, czego konsekwencją jest ich coroczna aktualizacja. Cele związane z systemem bezpieczeństwa informacji powinny być wskazane przez najwyższe kierownictwo i odzwierciedlać potrzeby biznesowe oraz regulacyjne organizacji.

Krok 2. Zdefiniowanie zakresu systemu

Wbrew obiegowej opinii wywodzącej się z doświadczeń z normami ISO 9001, norma ISO/IEC 27001 jest dosyć mocno osadzona w realiach i technicznych wymaganiach ochrony informacji. Dlatego organizacja powinna w pierwszej kolejności wybrać te zabezpieczenia i wymagania normy, które się bezpośrednio do niej odnoszą. Norma definiuje procesy, jakie powinny składać się na System Zarządzania organizacji, jak również zabezpieczenia, które organizacja powinna wdrożyć celem ochrony informacji. Wyniki tych działań służą następnie jako wejście do kolejnych kroków wdrożenia.

Krok 3. Inwentaryzacja zasobów i analiza ryzyka

Kolejnym krokiem jest inwentaryzacja zasobów związanych z przetwarzaniem informacji i wykonanie dla nich analizy ryzyka. Czym jest inwentaryzacja zasobów? Jest to systematyczny przegląd, w wyniku którego następuje opisanie zasobów służących przetwarzaniu informacji w organizacji.

Do przykładowych kategorii zasobów można zaliczyć:

• Sprzęt – komputery, telefony, tablety, fizyczne nośniki danych
• Serwery – serwery zarówno fizyczne jak i wirtualne składające się na infrastrukturę teleinformatyczną firmy
• Infrastruktura sieciowa – elementy infrastruktury sieciowej przedsiębiorstwa
• Usługi (w chmurze) – np. Office 365, Amazon Web Services, JIRA, Confluence, DropBox, usługi bankowe, etc.
• Informacje klientów – informacje powierzone przez klientów, zazwyczaj obarczone największym ryzykiem biznesowym
• Inne – kategoria zawierająca papierowe nośniki informacji

Zinwentaryzować należy  tylko te zasoby, które są istotne z punktu widzenia  przetwarzania informacji.  Warto zaznaczyć, że ta część pokrywa się z wymaganiami określonymi w Rozporządzeniu o Ochronie Danych Osobowych (UE) 2016/679, zgodnie z którym organizacja jest zobowiązana wskazać i zarządzać zbiorami danych zawierającymi dane osobowe.

Dla każdego wskazanego zasobu lub ich kategorii, przeprowadza się analizę ryzyka, która ma na celu określenie ryzyka związanego, np. z utratą tego typu informacji. Następnie dla każdego zasobu przydziela się osobę/rolę odpowiedzialną i określa plan postępowania z ryzykiem.

Krok 4. Zdefiniowanie Systemu Zarządzania Bezpieczeństwem Informacji

Na tym etapie wdrożenia mamy już zagwarantowane poparcie kierownictwa, wyznaczone cele, zinwentaryzowane zasoby oraz dostępne wyniki analizy ryzyka i ustalony plan postępowania z ryzykiem. W konsekwencji można przystąpić do definiowania pozostałych elementów Systemu Zarządzania Bezpieczeństwa Informacji oraz implementacji zabezpieczeń w organizacji. Zazwyczaj jest to proces iteracyjny w wyniku, którego definiowane są następujące elementy składające się na SZBI:

• Polityki
• Procesy
• Procedury
• Instrukcje
• Wejścia/Wyjścia
• Szkolenia
• Poradniki
• Źródła wiedzy
• Role
• Źródła normatywne

Ten zakres czynności zazwyczaj przeprowadzany jest przez konsultanta lub pozyskiwany w ramach zakupu gotowego zestawu know-how dla ISO/IEC 27001. W każdym przypadku system zarządzania powinien z jednej strony odzwierciedlać rzeczywiste procesy w organizacji, a z drugiej wnieść wymagane know-how w niezbędnych obszarach.

W ramach definicji know-how należy wskazać osoby z organizacji odpowiedzialne za dany know-how. Będą one wraz z grupą roboczą odpowiedzialne za utrzymywanie, aktualizację i przekazywanie informacji do innych osób w organizacji w fazie utrzymania i ciągłego doskonalenie systemu.

Krok 5. Szkolenia i budowanie kompetencji dla Ról

Na tym etapie organizacja powinna określić kompetencje oraz umiejętności osób/ról zaangażowanych w System Zarządzania Bezpieczeństwem Informacji. Pierwszym krokiem po zdefiniowaniu SZBI jest jego objaśnienie i przekazanie organizacji informacji o zakresie i sposobie działania SZBI oraz wpływie każdego pracownika na bezpieczeństwo informacji. Element ten powinien być wbudowany w system zarządzania organizacji poprzez zdefiniowanie ról, wymagań co do kompetencji osób je pełniących oraz sposobu przekazywania tej wiedzy nowym pracownikom i odświeżania jej u osób już przeszkolonych. Warto zdefiniować na tym etapie szkolenia, poradniki oraz profile kompetencyjne dla poszczególnych ról.

Z przykładowych ról z obszaru bezpieczeństwa informacji warto wymienić te wspólne dla większości wdrożeń, takie jak:

• Pracownik – rola reprezentująca każdą osobę zatrudnioną w organizacji
• Audytor wewnętrzny – rola odpowiedzialna za przeprowadzenie audytów systemów zarządzania
• Administrator IT – rola reprezentująca osoby odpowiedzialne za zarządzanie infrastrukturą IT organizacji
• Najwyższe kierownictwo – rola reprezentująca grupę odpowiedzialną za wytyczanie kierunków i kontrolę organizacji na najwyższym szczeblu
• Rozporządzenie o Ochronie Danych Osobowych (RODO) (UE) 2016/679 wskazuje na konieczność wyboru IODy. Jeżeli w tym momencie do głowy przychodzi Ci mistrz zakonu Jedi, to niestety muszę Cię rozczarować 😉 … chodzi o rolę Inspektora Ochrony Danych (IOD), który sprawuje pieczę nad ochroną danych osobowych w twojej organizacji.

 Krok 6. Utrzymanie i monitorowanie systemu

Przed przystąpieniem do certyfikacji system zarządzania bezpieczeństwem informacji powinien już działać w organizacji. Należy dążyć do tego aby w pełni zdefiniowany system był wdrożony i utrzymywany w organizacji od co najmniej miesiąca lub dwóch przed rozpoczęciem audytu certyfikującego.

Jest to czas na przeprowadzenie wymaganych szkoleń, wykonanie przeglądu systemu zarządzania, wdrożenie wymaganych zabezpieczeń dostosowanie analizy ryzyka i planu zarządzania ryzkiem. W tym okresie powinny być także wykonane pierwsze działania z planu utrzymania infrastruktury i zarządzania bezpieczeństwem informacji.

Dzięki temu, w momencie nadejścia audytu certyfikującego organizacja będzie miała udokumentowane informacje i rekordy wykonania wskazujące na to, że System Zarządzania Bezpieczeństwem Informacji jest wdrożony i skuteczny. Pamiętajmy, że podstawowym wymaganiem dla każdego systemu zarządzania jest jego zdolność do ciągłego doskonalenia uzyskiwana poprzez monitorowanie, audyty wewnętrzne, zgłaszanie akcji korygujących i systematyczne przeglądy systemu zarządzania.

Krok 7. Audyt certyfikujący ISO/IEC 27001

Wdrożenie systemu zarządzania bezpieczeństwem informacji w przedsiębiorstwie jest potwierdzane certyfikatem spełniana wymagań normy ISO/IEC 27001. Aby uzyskać taki certyfikat należy przejść przez audyt certyfikujący przed jednostkę certyfikującą systemy zarządzania. Audyt certyfikujący składa się z dwóch faz. W fazie I zazwyczaj sprawdzany jest zakres i kompletność SZBI – czyli następuje formalna ocena wymaganych elementów systemu zarządzania, w fazie II weryfikowane jest, czy system został wdrożony w organizacji i rzeczywiście odpowiada działaniom przedsiębiorstwa.

Po poprawnym przejściu przez procesy audytu certyfikującego, organizacji przyznawany jest wydawany jest certyfikat ISO/IEC 27001. W celu jego utrzymania konieczne jest utrzymywanie i doskonalenie systemu zarządzania bezpieczeństwem informacji, sprawdzane audytami podtrzymującymi. Po upływie około 3 lat wymagana jest znowu pełna certyfikacja w oparciu o audyt certyfikujący.

Utrzymywanie i ciągłe doskonalenie

Twoja organizacja jest już posiadaczem certyfikatu ISO/IEC27001. Po audycie certyfikującym najwyższe kierownictwo może założyć, że podstawowe zasoby związane z przetwarzaniem informacji i danych osobowych zostały zidentyfikowane, ryzyka są wskazane oraz wdrożono odpowiednie zabezpieczenia i środki, które adresują główne ryzyka.  Czy to oznacza, że możemy już spocząć na laurach? Na pewno nie, tak naprawdę teraz zaczyna się codzienność pracy z zarządzaniem bezpieczeństwem informacji. Podczas wykonywania czynności i zabezpieczeń osoby zaangażowane w te prace będą zgłaszały pomysły usprawnień i zmian. Poprzez przeprowadzanie audytów systemu zarzadzania organizacja będzie pozyskiwała informacje, które z zabezpieczeń i procesów wymagają usprawnień. Wyniki monitorowania działania systemu oraz jego status będzie prezentowany najwyższemu kierownictwu w ramach przeglądu systemu zarządzania.

Najważniejszym założeniem każdego systemu zarządzania jest jego zdolność do ciągłego doskonalenia oraz dostosowania do zmieniającego się kontekstu wewnętrznego i zewnętrznego organizacji.

Korzyści z Systemu Zarządzania Bezpieczeństwem Informacji

Jakie korzyści wynikają dla organizacji z wdrożenia i certyfikacji systemu zarządzania bezpieczeństwem informacji?

1. Firma zdefiniowała i wdraża, poprzez szkolenie i uświadamianie pracowników, oraz stosowanie odpowiednich zabezpieczeń systematyczne podejście do zarządzania bezpieczeństwem informacji – system zarzadzania
2. Ryzyko związane z utratą lub niepowołanym dostępem do informacji jest minimalizowane
3. Buduje się świadomość i kompetencje osób przypisanych do poszczególnych ról w zakresie bezpieczeństwa informacji
4. Wzrasta zaufanie klientów poprzez pokazanie, że firma jest posiadaczem certyfikatu ISO/IEC 27001
5. Spełnione są wymagania regulacyjne wymagane np. przez
   • Rozporządzenie o Ochronie Danych Osobowych (RODO) (UE) 2016/679,
   • czy nową dyrektywę o cyberbezpieczeństwie (UE) 2016/1148

Wdrożenie ISO/IEC 27001 na platformie www.ins2outs.com

ins2outs jest nowoczesną platformą wspierającą systemy zarządzania ISO, która pomaga organizacjom w wyspecyfikowaniu sposobu pracy tak, aby umożliwić wzrost organizacji, zapewnić pomoc w certyfikacji oraz współdzielić know-how z pracownikami. Przy wdrożeniu ISO/IEC 27001 organizacja może skorzystać i skrócić wdrożenie wymagań tej normy w następujący sposób.

 Zdefiniowanie Systemu Zarządzania Bezpieczeństwem Informacji

ins2outs wspiera obydwa sposoby zdefiniowanie SZBI: prace organizacji z konsultantem, jak i zakup gotowego zestawu know-how jako punktu startowego dla wdrożenia, który jest dostępny dla organizacji na platformie ins2outs. Zakup gotowego zestawu know-how ISO/IEC 27001 przyspiesza znacznie projekt wdrożenia, dostarczając firmie punkt startowy dla systemu zarządzania, który następnie wymaga tylko dostosowania i rozszerzenia go do potrzeb organizacji.

Przy pracy z konsultantem, ins2outs dostarcza gotową hierarchię dokumentacji systemu zarządzania, ułatwiając standaryzację i współpracę z wybranym przez organizację konsultantem. Warto dodać, że dzięki platformie ins2outs współpraca z konsultantem jest możliwa zdalnie na tej samej platformie komunikacyjnej.

Na gotowy zestaw know-how z ISO/IEC 27001 składają się następujące treści określające zakres systemu zarządzania:

1. Know-how
   • Polityki
   • Procesy
   • Procedury
   • Instrukcje wejścia/wyjścia (szablony dokumentów i informacji)
2. Edukacja
   • Szkolenia
   • Poradniki
   • Narzędzia
3. Organizacja
   • Role
   • Konteksty
   • Źródła normatywne

Cały zakres systemu zarządzania na ins2outs jest przypisany do poszczególnych zdefiniowanych ról. Dzięki temu, po przypisaniu pracownika do roli, system aktywnie zaprasza go to zapoznania się z treściami, które odpowiadają jego roli w organizacji. Polityki, procesy i gotowe szablony dokumentów lub treści, pomagają w zrozumieniu i wykonywaniu uzgodnionych aktywności w organizacji.

System ins2outs znacząco ułatwia przekazanie informacji o tym, jak funkcjonuje system zarzadzania.

Wspiera komunikowanie celów, budowania kompetencji pracowników oraz gwarantuje proste zgłaszanie zmian i usprawnień SZBI.

Jeżeli zainteresowało Cię wdrożenie systemu zarządzania bezpieczeństwem informacji na platformie ins2outs lub chciałbyś się dowiedzieć czegoś więcej, to skontaktuj się z Nami ins2outs@pro4people.com lub odwiedź naszą stronę https://ins2outs.com/

¹ (UE) 2016/1148
² (UE) 2016/679