Zarządzanie bezpieczeństwem informacji – Samouczek

Zarządzanie bezpieczeństwem informacji

Gwałtowny rozwój informatyzacji niesie za sobą zagrożenia związane z bezpieczeństwem informacji. Zagrożenia te można scharakteryzować za pomocą trzech podstawowych składowych bezpieczeństwa informacji, jakimi są utrata poufności, ograniczenie dostępności i naruszenie integralności informacji. Mogą one mieć charakter zdarzeń przypadkowych (awarie, błędy oprogramowania i pomyłki ludzkie), mogą być powodowane przez czynniki naturalne jak pożar, powódź czy piorun, a mogą być także wynikiem celowych działań ludzi.

Zarządzanie Bezpieczeństwem Informacji

Zagrożenia związane z bezpieczeństwem informacji zmieniały się od początku istnienia informatyki i o ile na początku były to awarie sprzętu, potem błędy oprogramowania, zakłócenia łączności, wirusy, to obecnie daje się zauważyć coraz bardziej celowe i wyrafinowane ataki na systemy informatyczne.

Od początku rozwoju informatyki starano się unikać zagrożeń lub łagodzić skutki ich wystąpienia poprzez zmniejszenie podatności na nie. Stosowano coraz bardziej niezawodne maszyny, ich redundancje, a także coraz lepiej napisane i przetestowane oprogramowanie, w tym oprogramowanie do tworzenia kopii zapasowych, antywirusowe, wykrywające ataki sieciowe oraz zapewniające szyfrowanie, podpisy cyfrowe oraz rozwiązania organizacyjne i prawne. Początkowo rozwiązania organizacyjne były proponowane przez poszczególne firmy, np. IBM, stosujące też sprawdzone standardy ochrony fizycznej. Jednak dopiero w 1982 roku pojawił się w USA dokument „Orange Book” (obecnie jego rozwiązania są znane jako Common criteria i przedstawione w normie ISO/IEC 15408). Obecne normy dotyczące bezpieczeństwa informacji, opracowane przez ISO i IEC, są uważane za podstawę bezpiecznych rozwiązań, gdyż rozwiązania wprowadzane w pojedynczych firmach zawsze budziły obawy co do tego, czy rzeczywiście chronią interes wszystkich i czy po prostu dla obniżenia kosztów lub zwiększenia zysków nie zrezygnowano z niektórych zabezpieczeń.

Ważną rolę w bezpieczeństwie informacji pełnią rozwiązania prawne, w których coraz częściej powoływane są normy z zakresu bezpieczeństwa informacji. Przykładem jest rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. W rozporządzeniu tym powołano się aż na cztery normy dotyczące bezpieczeństwa informacji opracowane przez podkomitet ISO/IEC JTC 1 SC 27 i przetłumaczone przez Komitet Techniczny nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych. Komitet ten, będący organem technicznym Polskiego Komitetu Normalizacyjnego, jest jednym z większych. Zajmuje się m.in. współpracą z ISO w zakresie prac prowadzonych w ISO/IEC/JTC 1/SC 27, tj. opiniowaniem opracowanych norm międzynarodowych, a następnie nadzorowaniem ich tłumaczenia na język polski.

Podstawowymi normami w zakresie zarządzania bezpieczeństwem informacji i budowy systemów zarządzania bezpieczeństwem informacji są normy z rodziny ISO/IEC 27000. Najważniejsze z nich to: Polska Norma PN-ISO/IEC 27000:2014-11 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Przegląd i terminologia jest wprowadzeniem normy ISO/IEC 27000:2014 Information technology – Security techniques – Information security management systems – Overview and vocabulary. W normie zamieszczono przegląd systemów zarządzania bezpieczeństwem informacji i terminy oraz definicje wspólnie stosowane w rodzinie norm SZBI. Norma może być stosowana we wszystkich typach organizacji (np. przedsiębiorstwach komercyjnych, agencjach rządowych, instytucjach charytatywnych) niezależnie od ich wielkości. Norma jest niezbędna (powołanie normatywne) do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), z uwagi na przeniesienie do niej rozdziału „Terminy i definicje” z norm ISO/IEC 27001 i ISO/IEC 27002. Z tego względu jest niezbędna w procesie certyfikacji SZBI na zgodność z ISO/IEC 27001.

Polska Norma PN-ISO/IEC 27001:2014-12 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania jest wprowadzeniem normy  ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements. W normie określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w organizacji, z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Nie dopuszcza się pominięcia żadnego z wymagań określonych w rozdziałach od 4 do 10, jeśli organizacja deklaruje zgodność z normą. Norma w poprzedniej wersji była jedną z najlepiej sprzedających się Polskich Norm. Jest ona normą referencyjną, przywoływaną w aktach prawnych, polskich i unijnych, stanowi też podstawę certyfikacji dla systemów zarządzania bezpieczeństwem informacji. Jest stosowana na całym świecie i przez wiele polskich organizacji jako kanon bezpieczeństwa informacji.

Ostatnią normą przywołaną w ww. rozporządzeniu Rady Ministrów jest norma PN-ISO/IEC 24762:2010 Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie. Jest to wprowadzenie normy ISO/IEC 24762:2008. Nowelizacja ISO/IEC 24762 została wstrzymana, ponieważ norma została wycofana i zastąpiona przez ISO/IEC 27036 – wieloczęściową normę zapewniającą szeroki poziom poradnictwa w zakresie nabywania usług IT od dostawców.

Normy dotyczące zarządzania bezpieczeństwem informacji uważa się obecnie za najważniejsze dla tej dziedziny, gdyż bez wsparcia managerów nie udaje się wdrożyć żadnych skutecznych zabezpieczeń. Sprawami norm dotyczących zarządzania bezpieczeństwem informacji zajmuje się pierwsza grupa robocza ISO/IEC/JTC 1/SC 27 WG 1, z którą ściśle współpracuje KT 182.

Kolejnym obszarem ważnym dla bezpieczeństwa informacji jest kryptografia, którą zajmuje się podkomitet JTC 1/SC 27. Powszechnie uważa się, że nie ma bezpiecznych rozwiązań kryptograficznych, których algorytm nie jest znany i starannie przetestowany, tajne natomiast pozostają klucze kryptograficzne. Zagadnieniami tymi zajmuje się druga grupa robocza ISO/IEC/JTC 1/SC 27 WG 2. Innym obszarem jest budowa kryteriów oceny stosowanych rozwiązań z zakresu bezpieczeństwa systemów teleinformacyjnych. Do tego obszaru należy wspomniana norma ISO/IEC 15408. Zagadnieniami tymi zajmuje się trzecia grupa robocza ISO/IEC/JTC 1/SC 27/WG 3. Kolejnym obszarem są zabezpieczenia w bezpieczeństwie zarówno informacji, jak i usług. Zagadnieniami tymi w ramach ISO zajmuje się czwarta grupa robocza ISO/IEC/JTC 1/SC 27/WG 4. Ostatnim obszarem jest zarządzanie identyfikacją i technologie zapewniające prywatność – zagadnienia cieszące się obecnie dużym zainteresowaniem. Wydano już kilka norm z tego obszaru. Zagadnieniami tymi w ramach ISO zajmuje się piąta grupa robocza ISO/IEC/JTC 1/SC 27/WG 5.

Podkomitet ISO/IEC/JTC 1/SC 27 współpracuje z innymi podkomitetami takimi jak ISO/IEC/JTC 1/SC 34 oraz ISO/IEC/JTC 1/SC 38. Pierwszy z nich ISO/IEC/JTC 1/SC 34 zajmuje się zagadnieniami związanymi z opisem i przetwarzaniem dokumentów elektronicznych, w tym architekturą i formatami przetwarzania, formatami prezentacji, interfejsami aplikacyjnymi, architekturą zawartości i notacją, mechanizmami podpisu cyfrowego i szyfrowania dokumentów elektronicznych. Drugi ISO/IEC/JTC 1/SC 38 zajmuje się zagadnieniami związanymi z normalizowaniem interoperacyjności rozpowszechnianych platform aplikacyjnych w dziedzinie usług sieciowych web.services, architekturą (SOA) Service-Oriented Architecture oraz przetwarzaniem informacji w chmurze znanym powszechnie jako Cloud computing.

Należy podkreślić, że obecnie wzrost zagrożeń związanych z bezpieczeństwem informacji i ochrony prywatności oraz inicjatywy Unii Europejskiej dotyczące zmian w przepisach ochrony danych osobowych wskazują na rosnącą potrzebę stosowania coraz doskonalszych rozwiązań w zakresie bezpieczeństwa informacji. Normy ISO/IEC opracowywane w ww. podkomitetach ISO/IEC/JTC 1 opisują powszechnie uznane najlepsze praktyki i zaleca się stosować je powszechnie.

Źródło: Polski Komitet Normalizacyjny (PKN)

Udostępnij przez:

Średnia ocen
0 z 0 głosów.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Strona POKSINSKI.COM używa plików cookies zgodnie z warunkami Polityki prywatności. Pozostając na stronie akceptujesz te warunki. | Polityka prywatności |

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close