Bezpieczeństwo systemów informacyjnych ebook

© ‌edu-Libri s.c. 2012

Redakcja merytoryczna ‌i korekta: edu-Libri

Projekt ‌okładki ‌i stron tytułowych: GRAFOS

Wydawnictwo ‌edu-Libriul. Zalesie 15, ‌30-384 Krakówe-mail: [email protected]

Skład i ‌łamanie: GRAFOSDruk i oprawa: ‌Sowa Sp. ‌z ‌o.o., ‌Warszawa

ISBN 978-83-63804-00-8ISBN ‌e-book ‌978-83-63804-01-5 (PDF)

Wstęp

Przygotowaliśmy ten poradnik, kierując się własnym doświadczeniem – a zajmujemy się tymi zagadnieniami od ponad 20 lat – i obserwacjami czynionymi przy okazji licznych spotkań zawodowych, w których uczestniczymy. Ma on być odpowiedzią na specyfikę wyzwań, stawianych coraz częściej z jednej strony przez przepisy, a z drugiej strony przez wykształcone przez kilkanaście lat wzorce dobrych praktyk, w tym normy – międzynarodowe i krajowe. Ustawiają one na dającym się określić, niekiedy bardzo wysokim, poziomie poprzeczkę wymagań, jakie muszą być spełniane przez poszczególne organizacje. Co ciekawe, dotyczą one zagadnień z wielu obszarów i aspektów prowadzenia biznesu, w tym prawa i kilku dyscyplin techniki. Oznacza to, że nie jest możliwe, aby osoby odpowiedzialne za bezpieczeństwo informacji i systemów, w jakich są one przetwarzane, mogły być specjalistami w każdej z nich. A mimo że nie są specjalistami od wszystkiego, to muszą sprostać stawianym im zadaniom. To dlatego w tej dziedzinie tak wielkie znaczenie mają standardy dobrych praktyk.

Poradnik mówiący o tym, jak zapewniać odpowiedni poziom bezpieczeństwa systemów informacyjnych musi odwoływać się do pełnej interpretacji tego zagadnienia, a to oznacza przedstawienie nierozerwalnej triady problemowej: ryzyko – bezpieczeństwo – ciągłość działania. Z jednej strony, rozwiązania zapewniania bezpieczeństwa, jeśli mają być racjonalne, zawsze są odpowiedzią na określone rodzaje ryzyka, co oznacza, że logicznym początkiem zapewniania bezpieczeństwa jest identyfikowanie i analiza poszczególnych rodzajów ryzyka zagrażających organizacji. Z drugiej strony, żadne zabezpieczenia nie mogą być zawsze i w każdych warunkach skuteczne, a więc należy zakładać ich zawodność i na taką okoliczność szykować plany zapewniania ciągłości działania.

Powyższe wnioski są podstawą pomysłu na ten poradnik. Pokazuje on, jak interpretować kwestie bezpieczeństwa systemów informacyjnych, jakimi standardami (normami) i metodami się posługiwać, do jakich wzorców dobrych praktyk sięgać, jakie ośrodki doskonalące te praktyki obserwować, z jakim środowiskiem specjalistów się konsultować. Poradnik jest szczegółowy, w wielu fragmentach ma charakter list kontrolnych, które mają podpowiadać, jakie problemy i rozwiązania rozważać.

Poradnik jest skierowany w pierwszej kolejności do administratorów bezpieczeństwa systemów informacyjnych, ale nie tylko. Także do szeroko rozumianej kadry kierowniczej organizacji różnych branż, charakteru i wielkości, bowiem od tej kadry, znacznie częściej niż od administratorów, zależy faktyczne bezpieczeństwo. Także do specjalistów różnych profesji, którzy do zapewniania bezpieczeństwa mogą się w organizacjach przyczyniać. Rzecz bowiem w tym, że stan bezpieczeństwa budują wszyscy, a zburzyć go może już jedna osoba.

Poradnikowi nadaliśmy formę książki elektronicznej. Taki jest duch czasów, w których pracujemy, ale równocześnie ta forma powinna przysłużyć się i Czytelnikom, i treści. Posługującym się nią specjalistom będzie łatwiej mieć ją pod ręką. Autorom będzie łatwiej rozwijać jej treść, uważamy bowiem, że poradniki elektroniczne nieuchronnie zmierzają ku formule tematycznego repozytorium informacji, które stale jest wzbogacane o nowe treści, w dodatku w różnych formach. Chcielibyśmy, aby nasz poradnik można było w przyszłości aktualizować zgodnie ze zmieniającymi się standardami, wzbogacać o np. znaczące case-study, nowocześnie ilustrować, dopasowywać fragmentami do krystalizujących się specjalizacji w dziedzinie bezpieczeństwa.

1. Wprowadzenie

Organizacje zawsze były narażone na ryzyko błędów i przestępstw, ale skala tego zjawiska i szybkość, z jaką te niekorzystne zdarzenia mogą obecnie wystąpić, znacznie się zwiększyła. Wynika to z faktu, że współczesne systemy informacyjne nie pełnią już tylko funkcji wspomagających działalność organizacji, lecz stanowią jej integralną, istotną część. Informacje to kapitał, który − podobnie jak inne ważne aktywa − jest niezbędny do prowadzenia działalności biznesowej organizacji.

Oddzielenie technologii informacyjnej od np. zarządzania finansami czy innych zadań realizowanych przez organizacje staje się niemożliwe. Wykorzystanie komputerów osobistych i sieci teleinformatycznych rośnie w stopniu i tempie dotąd niespotykanym. Przeważnie nie ma też już możliwości zastąpienia systemów informatycznych manualnym przetwarzaniem danych. Na przykład, wraz z rozwojem systemów komputerowych, przepływ środków pieniężnych odbywa się w skali całego świata, a wobec tego problemy dotyczące systemów teleinformatycznych mogą przyczyniać się do powstawania poważnych problemów w organizacjach, a nawet do ich upadłości. Niewywiązywanie się z zobowiązań umownych, czy inne zakłócenia, czasem powodowane nawet przez organizacje o dobrym standingu finansowym, poprzez reakcję łańcuchową mogą narazić inne podmioty na dotkliwe straty, powodując zagrożenie dla całego systemu gospodarczego.

Dlatego zapewniany poziom bezpieczeństwa musi być efektywny kosztowo, a więc adekwatny do rzeczywistego poziomu ryzyka, czyli ewentualnych strat organizacji i prawdopodobieństwa ich urzeczywistnienia się.

Ochrona danych oraz wszystkich zasobów przeznaczonych do ich przetwarzania i składowania powinna koncentrować się na ochronie kluczowych procesów biznesowych. Pojmowanie informacji i jej atrybutów zmienia się w kontekście współczesnych procesów realizowanych w organizacji, a wymagania w zakresie bezpieczeństwa systemów informacyjnych muszą być analizowane w każdym stadium procesu.

Dla zapewnienia jednoznaczności użytych pojęć, warto przytoczyć definicje systemów informacyjnego, informatycznego oraz teleinformatycznego:

„System informacyjny można określić jako posiadającą wiele poziomów strukturę pozwalającą użytkownikowi na przetwarzanie, za pomocą procedur i modeli, informacji wejściowych w wyjściowe. Natomiast system informatyczny jest wydzieloną, skomputeryzowaną, częścią systemu informacyjnego” [Kisielnicki, Sroka, 2005, s. 18].

System teleinformatyczny to zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu Prawa telekomunikacyjnego [Dz.U. z 2004 r., nr 171, poz. 1800, z późn. zm.].

Niniejszy poradnik ma na celu przekazanie czytelnikowi szeregu wskazówek i rozwiązań, które pomogą mu zastosować właściwe metody przygotowania procedur i środków zaradczych pozwalających na określenie poziomu ryzyka związanego z ewentualnym urzeczywistnieniem się niekorzystnych zdarzeń. Zakres tematyczny został oparty na najistotniejszych standardach zarządzania bezpieczeństwem systemów informacyjnych: [PN-ISO/IEC 27001:2007], [PN-ISO/IEC 17799:2007], [ISO/IEC 27005:2011] oraz na szeregu opracowań (patrz bibliografia), artykułów, raportów i referatów konferencyjnych, do których czytelnik może mieć utrudniony dostęp albo może mieć trudności z wyborem potrzebnych mu treści.

Opracowanie to jest poradnikiem zarówno w kwestiach pojęciowych, jak i w rozwiązywaniu praktycznych problemów związanych z zarządzaniem bezpieczeństwem systemów informacyjnych. Nie oznacza to jednak, że podaje szczegółowe rozwiązania. Zainteresowany nimi czytelnik powinien sięgnąć dodatkowo do specjalistycznych opracowań.

1.1. Co to jest bezpieczeństwo informacji?

Człowiek żyje i będzie żył w środowisku potencjalnych zagrożeń, które uaktywnione wskutek niekorzystnych zmian w przestrzeni naturalnej lub cywilizacyjnej mogą zamienić się w realne niebezpieczeństwa, a w ich następstwie w stanyniekorzystne dla życia bądź zdrowia ludzkiego, środowiska naturalnego i cywilizacyjnego, czy też prowadzonej działalności gospodarczej. Oznacza to, że poczucie bezpieczeństwa podmiotu (obiektu, organizacji, aglomeracji) jest zmienne, nie jest dobrem danym raz na zawsze. W świecie realnym stale występują zagrożenia, zarówno ze strony sił natury, jak i niezamierzonych lub zamierzonych skutków działalności człowieka. W szczególnym przypadku dotyczy to działalności społecznej i gospodarczej.

Współczesne organizacje są silnie uzależnione od informacji. Zasoby informacyjne wpływają na ich pozycję na rynku, warunkując sukces w prowadzeniu biznesu, w tym także utrzymanie konkurencyjności. Informacje jako zasoby organizacji, podobnie jak np. środki trwałe czy inne ważne aktywa, są niezbędne do prowadzenia działalności biznesowej i z tego powodu powinny być chronione przed zagrożeniami. Jest to szczególnie ważne w coraz bardziej zintegrowanym środowisku biznesowym, gdyż informacje są narażone na stale zwiększającą się liczbę i coraz większą różnorodność zagrożeń płynących z wielu źródeł oraz wykorzystujących istniejące podatności zasobów.

Informacja w organizacji może funkcjonować w wielu różnych formach, może być wydrukowana lub zapisana odręcznie na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w czasie rozmowy, może być też znana pracownikom, ale formalnie nie być zarejestrowana. Niezależnie od tego, jaką formę przybiera informacja lub za pomocą jakich środków jest udostępniana oraz utrwalana, zawsze powinna być w odpowiedni sposób chroniona, jeśli jest uważana za wrażliwą. I tak na przykład, brak ochrony informacji dotyczących sposobu zarządzania personelem, stosowanych technologii, dystrybucji i metod sprzedaży produktów może być wykorzystany przez konkurencję i spowodować obniżenie efektywności prowadzonej działalności gospodarczej. Każdy podmiot musi zatem czynić starania o zapewnienie stabilności stanu bezpieczeństwa, bowiem błędy w przetwarzaniu informacji lub ochronie ich przechowywania mogą prowadzić do znaczących strat operacyjnych i finansowych, a także wpływać na reputację organizacji.

Zapewnianie bezpieczeństwa informacji oznacza jej ochronę przed rozmaitymi zagrożeniami w celu zapewnienia ciągłości działania, minimalizacji ryzyka niepowodzenia i maksymalizacji możliwości biznesowych, w tym maksymalizacji zwrotu z inwestycji. Działania te, tworząc system bezpieczeństwa podmiotu, majązapewnić akceptowalny poziom (stan) bezpieczeństwa, obejmujący ludzi, procesy i systemy informatyczne [Kołodziński, 2005].

System bezpieczeństwa ustanawiany jest przez wdrażanie odpowiedniego zestawu środków, którymi mogą być: zasady, procesy, procedury, struktury organizacyjne oraz funkcje oprogramowania i sprzętu. Środki zaradcze powinny być tak zaplanowane, wdrażane, monitorowane, przeglądane i w razie potrzeby ulepszane, aby zapewnić spełnienie poszczególnych celów związanych z bezpieczeństwem oraz prowadzoną działalnością biznesową organizacji. Zaleca się, aby działania te były powiązane z pozostałymi procesami zarządzania funkcjonującymi w organizacji [Kołodziński, 2005].

1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?

Informacja oraz wspierające zarządzanie organizacją procesy, systemy i sieci teleinformatyczne są ważnymi aktywami biznesowymi. Identyfikacja potrzeb, osiągnięcie odpowiedniego poziomu oraz utrzymywanie i doskonalenie bezpieczeństwa informacji może być niezbędne do zachowania konkurencyjnej pozycji rynkowej, płynności finansowej, zyskowności, zgodności z wymogami prawnymi oraz pozytywnego wizerunku organizacji. Organizacje, ich systemy informacyjne i sieci są narażone na zagrożenia pochodzące z wielu różnych źródeł, łącznie z przestępstwami z użyciem komputera, szpiegostwem, sabotażem, wandalizmem czy kataklizmami naturalnymi. Wirusy i inne szkodliwe oprogramowania, włamania komputerowe, blokada dostępu przez masowe wysyłanie wiadomości oraz inne szkodliwe działania stają się coraz bardziej powszechne i coraz bardziej technicznie wyrafinowane.

Bezpieczeństwo informacji jest ważne zarówno dla sektora publicznego, jak i prywatnego, służąc także ochronie infrastruktury krytycznej państwa [Ustawa o zarządzaniu kryzysowym]. W obu sektorach bezpieczeństwo informacji może funkcjonować jako dźwignia działalności prowadzonej przez organizację i świadczonych przez nią usług, np. umożliwiając prowadzenie form działalności typu e-urząd lub e-przedsiębiorstwo oraz unikanie lub redukowanie odpowiednich rodzajów ryzyka. Wzajemne przenikanie się sieci publicznych i prywatnych oraz współużytkowanie zasobów informacyjnych utrudnia jednak – choć nie uniemożliwia − utrzymanie kontroli dostępu. Na skuteczność centralnych, wyspecjalizowanych mechanizmów zarządzania, w których należy uwzględnić to, że dane znajdują się w różnych miejscach i w wielu egzemplarzach (np. na skutek replikacji baz danych), wpływa także ogólny trend ku rozproszonemu przetwarzaniu danych. Wiele systemów informacyjnych − zwłaszcza te, które były tworzone w dość odległej przeszłości − nie zostało zaprojektowanych tak, aby były bezpieczne we współczesnym tego pojmowaniu.

Należy sobie zdawać sprawę, że bezpieczeństwo, realizowane tylko za pomocą środków technicznych, może być ograniczone, dlatego zaleca się wspieranie go przez odpowiednie zarządzanie i procedury. Określenie, jakie mechanizmy zarządzania zaleca się stosować, wymaga starannego i szczegółowego przeanalizowania oraz zaplanowania. Zarządzanie bezpieczeństwem informacji, aby było skuteczne, wymaga udziału wszystkich pracowników organizacji, czyli sięga do sfery kultury organizacji. Może także wymagać współpracy akcjonariuszy, dostawców, klientów lub innych podmiotów zewnętrznych. Do jego zapewnienia potrzebne może być także specjalistyczne, zewnętrzne doradztwo.

1.3. Cele, strategie i polityki w zakresie bezpieczeństwa informacji

Aby zarządzanie bezpieczeństwem było skuteczne, należy sformułować cele, strategię i zasady zapewniania bezpieczeństwa w organizacji (rys. 1.1). Cele identyfikują to, co ma być osiągnięte, strategie określają, jak osiągnąć cele, a polityka precyzuje to, co ma być operacyjnie wykonane.

Cele, strategie i poszczególne rodzaje polityki mogą być opracowane hierarchicznie − od poziomu całej organizacji do poziomu operacyjnego jej komórek. Powinny odzwierciedlać potrzeby organizacji i brać pod uwagę wszelkie występujące w niej ograniczenia, a jednorodność i spójność działań oraz rozwiązań powinny być zapewnione na każdym poziomie i pomiędzy poziomami.

Spójna strategia bezpieczeństwa systemów informatycznych powinna być stosowana do wszystkich działań związanych z ich rozwojem, utrzymaniem i eksploatacją. Ochrona powinna być zapewniona w całym cyklu życia informacji i systemów informacyjnych, od ich planowania do wycofania z eksploatacji.

Bezpieczeństwo stanowi część odpowiedzialności biznesowej na każdym poziomie kierowniczym organizacji. Cele, strategie i polityka powinny być rozwijane i aktualizowane w wyniku cyklicznych przeglądów systemu zapewniania bezpieczeństwa (np. analiza ryzyka, audyty bezpieczeństwa) oraz w wyniku zmian w celach działania organizacji.

1.4. Czynniki decydujące o bezpieczeństwie systemów informacyjnych

Bezpieczeństwo systemów informacyjnych jest oparte na wymienionych dalej czynnikach [Livre Blanc…, 1999, s. 21; Byczkowski, Zawiła-Niedźwiecki, 2008].

„Dostępność to zdolność systemów do wykonywania określonych zadań na ustalonych z góry warunkach dotyczących: podmiotu wykorzystującego, czasu, terminów i wydajności”. Dostępność polega na:

„Integralność tocecha polegająca na zapewnieniu identyczności informacji wdwóch punktach czasui przestrzeni”. Można tu wyróżnić:

Integralność polega na:

„Poufność to cecha polegająca na zagwarantowaniu tajemnicy informacji oraz dostępu do nich tylko w zakresie przyznanych uprawnień”. Poufność polega na:

Rozliczalność (audytowalność)to zapewnienie możliwości kontrolowania prawidłowości wykonywania funkcji”. Z tym czynnikiem może być związana usługa niezaprzeczalności, jaką można zrealizować, stosując kryptografię asymetryczną do ochrony informacji. Rozliczalność polega na zapewnieniu możliwości rekonstrukcji przetwarzania na wszystkich poziomach (logika kodowania, przebieg procesów, postać danych wynikowych) w sytuacji kontroli lub konieczności przedstawienia dowodów.

Niezaprzeczalność toniemożność zaprzeczenia przez żadną ze stron układu komunikacyjnego uczestnictwa w realizowanych operacjach, np. że odebrała bądź nadała komunikat.

Czynniki te należy rozpatrywać, analizując bezpieczeństwo informacji w trakcie jej przepływu w procesach, w których jest wykorzystywana, oraz w trakcie jej składowania, przechowywania lub archiwizowania (dostęp, kompletność, możliwość odtworzenia). W tabeli 1.1 przedstawiono krótkie wyjaśnienie znaczenia poszczególnych czynników bezpieczeństwa.

Naruszenie poufności, integralności, dostępności, rozliczalności, autentyczności i niezaprzeczalności informacji i usług może mieć negatywny wpływ na organizację. Wobec tego istnieje podstawowa potrzeba ochrony informacji i zarządzania zabezpieczeniami systemów informacyjnych w organizacji. Ta potrzeba jest szczególnie istotna we współczesnych środowiskach gospodarczych, ponieważ wiele organizacji jest wzajemnie połączonych wewnętrznie i zewnętrznie za pośrednictwem sieci systemów teleinformatycznych.

1.5. Jak określać wymagania bezpieczeństwa?

Organizacja powinna określić wymagania bezpieczeństwa, jakie powinny obowiązywać w przypadku systemów informacyjnych. Wymagania te określa się na podstawie metodycznego szacowania ryzyka, ustalenia zagrożeń, analizy obowiązujących przepisów prawa oraz z uwzględnieniem specyfiki danej organizacji.

W celu określenia wymagań należy więc przeprowadzić oszacowanie ryzyka zgodnie z aktualnie obowiązującą strategią i celami organizacji. Podczas szacowania ryzyka:

Wyniki szacowania ryzyka umożliwiają dobór odpowiednich działań zarządczych i priorytetów zarządzania ryzykiem i bezpieczeństwem informacji oraz wdrażanie mechanizmów zarządzania, wybranych w celu ochrony przed zidentyfikowanymi rodzajami ryzyka. Zaleca się okresowe powtarzanie szacowania ryzyka, aby uwzględnić wszelkie zmiany, które mogą wpływać na jego wyniki.

Niezależnie, należy zgromadzić, zapoznać się i wdrożyć wszelkie obowiązujące przepisy prawne, statutowe, regulacje wewnętrzne, zobowiązania kontraktowe, jakie organizacja, jej partnerzy biznesowi, wykonawcy oraz dostawcy usług mają wypełnić. Ponadto należy rozpoznać środowisko społeczno-kulturowe, w jakim funkcjonuje organizacja i jej pracownicy.

Na koniec należy wypracować zbiór zasad, celów i wymagań dotyczących przetwarzania informacji, który w optymalny sposób będzie wspierał prowadzoną działalność.

1.6. Zarządzanie bezpieczeństwem informacji

Zarządzanie bezpieczeństwem systemów informacyjnych jest procesem prowadzonym w celu osiągnięcia i utrzymywania odpowiedniego poziomu poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności informacji. Najistotniejszymi działaniami w zarządzaniu bezpieczeństwem systemów informacyjnych są:

Działania te muszą być podporządkowane celom biznesowym, wzajemnie ze sobą koordynowane, a uzyskane wyniki, wykonywane prace i podejmowane decyzje komunikowane uczestnikom tych procesów, którzy powinni być świadomi strategii i celów swojej organizacji. Aby wypełnić te obowiązki, działania te muszą się stać elementami ogólnego planu zarządzania organizacją (rys. 1.2).

Wymaga to:

Wszystkie te elementy muszą uwzględniać zapisy regulacji prawnych, standardów i norm oraz zapewniać bezpieczeństwo osobowe i fizyczne. Ujmuje to dokument − Polityka bezpieczeństwa.

Kolejność realizowania podstawowych procesów przedstawia rysunek 1.3.

Podejście procesowe w zarządzaniu bezpieczeństwem informacji

Przyjęta zasada zgodności tego poradnika z normami nakazuje zastosowanie podejścia procesowego dla ustanawiania, wdrażania, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w organizacji (ang. ISMS − Information Security Management System). Aby efektywnie funkcjonować, organizacja powinna zidentyfikować i wykonać wiele działań. Te z nich, które wykorzystują zasoby i są systematycznie zarządzane w celu przekształcenia danych wejściowych w dane wyjściowe, można rozpatrywać jako proces. Często dane wyjściowe jednego procesu stanowią dane wejściowe kolejnego procesu. Zastosowanie systemu procesów w organizacji, wraz z identyfikacją i interakcją tych procesów, a także zarządzanie nimi określa się jako „podejście procesowe” [PN-ISO/IEC 27001:2007].

Podejście procesowe do zagadnienia zarządzania bezpieczeństwem informacji zwraca uwagę ich użytkowników na szczególne znaczenie:

Tabela 1.2. Procedury w modelu PDCA stosowane w procesach SZBI

Plan − planuj (ustanowienie SZBI)

Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji, tak aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.

Do − wykonuj (wdrożenie i eksploatacja SZBI)

Wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.

Check − sprawdzaj (monitorowanie i przegląd SZBI)

Szacowanie i – tam gdzie ma zastosowanie – pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie kierownictwu raportów do przeglądu.

Act − działaj (utrzymanie i doskonalenie SZBI)

Podejmowanie działań korygujących i zapobiegawczych przy wykorzystaniu wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewni ciągłego doskonalenia SZBI.

Norma [PN-ISO/IEC 27001:2007] wskazuje model cyklu doskonalenia „Planuj−Wykonuj−Sprawdzaj−Działaj” (PDCA)1, który odnosi się do wszystkich procesów SZBI. Rysunek 1.4 przedstawia, w jaki sposób SZBI przyjmuje wymagania bezpieczeństwa informacji i oczekiwania zainteresowanych stron jako wartość wejściową i poprzez niezbędne działania i procesy dostarcza wartości wyjściowych bezpieczeństwa informacji, które spełniają te wymagania i oczekiwania. Przyjęcie modelu PDCA odzwierciedla także zasady określone w zaleceniach OECD2 [Przegląd − Wytyczne OECD…, 2003], na których opiera się modelowe zapewnianie bezpieczeństwa systemów informacyjnych i sieci. Tabela 1.2 zawiera krótki opis każdej z czterech procedur modelu PDCA w odniesieniu do zarządzania bezpieczeństwem informacji.

Model ten będzie stosowany również w pozostałych procesach opisanych w tym podręczniku. We wszystkich procesach struktura tego modelu pozostanie taka sama (rys. 1.4 będzie w nich przywoływany), jednakże opis procedur będzie każdorazowo nieco inny niż podany w tabeli 1.2.

Poniżej pokrótce opisano każdy z etapów zarządzania bezpieczeństwem informacji w ujęciu modelu PDCA.

Ustanowienie SZBI (Planuj). Wdrażanie SZBI rozpoczyna się od zdefiniowania zakresu, jaki obejmuje system zarządzania bezpieczeństwem informacji. W następnym kroku opracowywana jest polityka SZBI („polityka bezpieczeństwa”). Według [PN-ISO/IEC 27001:2007] jest to dokument, który wyznacza ogólny kierunek i zasady działania w odniesieniu do bezpieczeństwa informacji. Polityka SZBI bierze pod uwagę wymagania biznesowe i prawne dotyczące danej organizacji i określa kryteria, według których będzie szacowane ryzyko oraz określana struktura organizacyjna.

Po zdefiniowaniu polityki bezpieczeństwa należy od strony metodycznej przygotować analizę ryzyka. Norma nakazuje zdefiniowanie i opisanie procesu analizy ryzyka oraz wyznaczenie kryteriów akceptowania ryzyka, przy czym nie narzuca żadnej konkretnej metody. Wymaga jedynie, żeby proces ten był formalnie opisany i powtarzalny.

Po oszacowaniu ryzyka, co kończy etap jego analizy, należy określić, co zrobić z każdym zidentyfikowanym rodzajem ryzyka. Produktem tego etapu jest dokumentacja tego systemu (norma narzuca minimalną zawartość dokumentacji). Proces ustanowienia systemu kończy się akceptacją (zatwierdzeniem) kierownictwa czyli tzw. akredytacją SZBI. Polega ona na zaakceptowaniu szczątkowych rodzajów ryzyka (czyli również akceptacji środków zaradczych, wyznaczonych do łagodzenia ryzyka) oraz wydaniu rozporządzeń wewnętrznych dających możliwość wdrożenia ustanowionego systemu.

Wdrożenie i eksploatacja SZBI (Wykonuj).Na tym etapie wdrażane są środki zaradcze, wybrane w toku ustanawiania SZBI, i wszelkie procedury zapewniające sprawne działania całego systemu zarządzania bezpieczeństwem informacji, a więc: procedury związane z zarządzaniem ryzykiem, procedury zarządzania eksploatacją i zasobami oraz procedury i zabezpieczenia zdolne do jak najszybszego wykrycia incydentów związanych z naruszeniem bezpieczeństwa i podjęciem reakcji. Bardzo ważnym elementem wdrażania tego systemu są zarówno szkolenia dotyczące wdrażanych procedur, jak i szkolenia uświadamiające, obejmujące wszystkich pracowników.

Monitorowanie i przegląd SZBI (Sprawdź). Bardzo ważną cechą systemu zarządzania bezpieczeństwem informacji wg [PN-ISO/IEC 27001:2007] jest zdolność do samodoskonalenia. Żeby to osiągnąć, w system muszą być wbudowane mechanizmy reagowania na błędy wewnętrzne systemu i incydenty związane z naruszaniem bezpieczeństwa oraz procedury okresowych przeglądów SZBI. Procedura reagowania na błędy i incydenty jest stosowana, jeśli taka sytuacja zaistnieje. Natomiast okresowo (w zdefiniowanych odstępach czasu) należy dokonywać przeglądów SZBI, czyli:

Utrzymanie i doskonalenie SZBI (Działaj). Procedury reagowania na błędy, incydenty oraz niezgodności wykryte podczas przeglądów muszą prowadzić do podjęcia działań korygujących lub prewencyjnych. Kolejne kroki działań korygujących powinny być udokumentowane. Poza nimi, w miarę możliwości powinny być również podjęte działania prewencyjne w celu ochrony przed powstawaniem takich niezgodności w przyszłości. Na przykład, jeśli coroczny audyt wewnętrzny wykazał zbyt dużą liczbę niezgodności, to należy rozważyć częstsze przeglądy bezpieczeństwa.

Budując system zarządzania bezpieczeństwem informacji, warto zachować zdrowy rozsądek i umiar w rozwiązaniach. Należy mieć świadomość, że nie istnieje standardowy system, który pasuje do każdego typu organizacji. Rozważając budowę systemu zarządzania bezpieczeństwem informacji, warto stosować podejście zindywidualizowane. Przede wszystkim już na etapie planowania można zwrócić uwagę na biznesowe aspekty działalności firmy. System zarządzania bezpieczeństwem informacji nie może bowiem zakłócać działalności firmy, choć niewątpliwie zastosowane środki zaradcze siłą rzeczy wpływają na czas przetwarzania informacji, wydajność i ponoszone koszty. Jeśli np. korzysta się z zewnętrznych specjalistów, to należy dać im szansę „nauczenia się” firmy, poznania najważniejszych procesów i celów biznesowych. Wszystkie osoby zaangażowane w tworzenie systemu zarządzania bezpieczeństwem, w tym zwłaszcza zespół wewnętrzny, powinny przyjąć jako zasadę nadrzędną, że „najważniejszy jest biznes”.

1.7. Standardy związane z zarządzaniem bezpieczeństwem systemów informacyjnych

Tworząc to opracowanie, autorzy kierowali się aktualnymi aktami prawnymi oraz standardami polskimi i międzynarodowymi, dokładając starań, aby żaden z poruszanych w tych dokumentach aspektów nie został pominięty. Sami będąc uczestnikami formułowania niektórych z tych norm, zdają sobie sprawę z doniosłości zawartych w nich informacji, gdyż każdy standard to wyważone propozycje rozwiązań zaproponowane przez ekspertów delegowanych z określonego środowiska i przeznaczone dla tego środowiska. W tym przypadku standardy związane z zarządzaniem bezpieczeństwem zostały opracowane przez wybitnych specjalistów zajmujących się ochroną zasobów informacyjnych. Z uwagi na to, że akty prawne oraz standardy są pisane w sposób sformalizowany i zwięzły, a w poszczególnych normach poruszana jest tylko ściśle określona tematyka, dołożono starań, aby z jednej strony uprościć prezentację sformalizowanych zapisów, a z drugiej szerzej wyjaśniać treść i ducha tych dokumentów oraz dokonać agregacji wiedzy zawartej w wielu normach.

Najpowszechniejszą – choć nie jedyną – organizacją skupiającą gremia opracowujące standardy jest ISO/IEC. ISO (Międzynarodowa Organizacja Normalizacyjna) i IEC (Międzynarodowa Komisja Elektrotechniczna) tworzą wyspecjalizowany system światowej normalizacji międzynarodowej. Krajowe jednostki normalizacyjne, będące członkami ISO lub IEC, uczestniczą w opracowywaniu norm międzynarodowych za pośrednictwem komitetów technicznych (TC) i podkomitetów (SC) tych organizacji, powołanych do prowadzenia prac w określonych dziedzinach działalności technicznej. Komitety techniczne ISO i IEC współpracują w obszarach wspólnych zainteresowań. Oprócz nich udział w tych pracach biorą również inne organizacje międzynarodowe, rządowe i pozarządowe, związane z ISO i IEC.

Standardy są opracowywane w procesie składającym się z 6 etapów:

1 – przedłożenia,

2 – przygotowania (powstaje dokument oznaczony akronimem WD),

3 – szkicu przygotowanego przez komitet (CD),

4 – opisu konsultacji (DIS),

5 – szkicu standardu międzynarodowego (FDIS),

6 – przyjęcia standardu międzynarodowego (ISO/IEC).

Standardy podlegają rewizji w cyklu 4-letnim. W 1987 r. Międzynarodowa Organizacja Normalizacyjna (ISO) oraz Międzynarodowa Komisja Elektrotechniczna (IEC) wspólnie utworzyły Połączony Komitet Techniczny nr 1 (JTC1) w celu opracowywania standardów w zakresie technologii informatycznych. Kierunki działania JTC1 i strukturę Komitetu pokazano na rys. 1.5. Spośród aktualnie pracujących siedemnastu podkomitetów JTC1 problematyką bezpieczeństwa informacji zajmują się SC27 (IT Security techniques), SC6 (Telecommunications and information exchange between systems), a także SC17 (Identification cards and related devices) i częściowo w TC68 (Banking, securities and other financial services).

Głównym zadaniem komitetów technicznych jest opracowywanie norm międzynarodowych, lecz w wyjątkowych okolicznościach komitet techniczny może proponować opublikowanie raportu technicznego (TR) o charakterze informacyjnym. Najpierw jest on opracowywany w postaci szkiców (DTR) w jednym z trzech typów:

W niniejszym poradniku wykorzystano również raporty techniczne dotyczące zarządzania bezpieczeństwem, a w szczególności:

Raporty techniczne typów 1 i 2 podlegają przeglądowi w ciągu trzech lat od opublikowania, aby umożliwić podjęcie decyzji co do tego, czy mogą być przekształcone w normy międzynarodowe. Raporty techniczne typu 3 nie muszą być nowelizowane tak długo, aż zawarte w nich dane przestaną być uznawane za ważne lub użyteczne.

Standardy ISO/IEC związane bezpośrednio z zarządzaniem bezpieczeństwem systemów informacyjnych przedstawia rysunek 1.6.

Są to tylko standardy bezpośrednio związane z zagadnieniem zarządzania bezpieczeństwem systemów informacyjnych, ale istnieje szereg innych, proponujących rozwiązania służące ograniczaniu ryzyka związanego z innymi obszarami aktywności biznesowej i administracyjnej.

Rysunek 1.7 przedstawia bogatszy zestaw standardów. W tym przypadku zostały one podzielone na następujące sfery działalności organizacji:

Sfery te są związane z kompetencjami dotyczącymi podobnych zakresów działalności zawodowej.

Oprócz usytuowania na różnych sferach różnymi obwódkami wyróżniono takie aspekty, jak:

Standardy są opracowywane przez rozmaite gremia, które starają się współpracować ze sobą. Przedstawia to rysunek 1.8, obrazujący współpracę organizacji ONZ, ISO oraz CEN przy zabezpieczaniu dokumentów podróży.

Niniejszemu poradnikowi nadano strukturę wynikającą zwłaszcza z zakresu norm:

Normy te podają wymagania i praktyczne zasady zarządzania bezpieczeństwem informacji, co oznacza, że zawierają informacje dosyć ogólne. Może się okazać, że dla praktyków jest to niewystarczające. Dlatego tam, gdzie było to możliwe, rozszerzono zakres o treści z norm bardziej szczegółowych, np. uwzględniono standardy:

Tak przygotowana struktura została wypełniona wiedzą pozyskaną z szeregu innych standardów, podręczników, przewodników, artykułów oraz z praktycznych doświadczeń autorów.

Takie ujęcie zarządzania bezpieczeństwem informacji z wykorzystaniem podstawowych standardów przedstawia rysunek 1.9, a tabela 1.3 zawiera opisy uzupełniające ten schemat.

Tabela 1.3. Proces tworzenia systemu bezpieczeństwa na podstawie podstawowych standardów

Ustanowienie polityk

Określenie zakresu

Przeprowadzenie szacowania ryzyka

Polityki muszą być opracowane, rozwijane i/lub dopasowane do ochrony zasobów w organizacji, wykorzystując dobre praktyki zapewniania bezpieczeństwa, zwłaszcza normy [PN-ISO/IEC 27001] i [PN-ISO/IEC 17799].

Proces opracowania SZBI (ISMS) wymaga określenia zakresu – podjęcie decyzji, co (np. produkty, usługi, środowisko itp.) ma być objęte politykami bezpieczeństwa i standardami. 

Analiza wpływu na działalność gospodarczą (biznes) jak również ustalenie krytyczności zasobów pozwala określić poziom ryzyka i strat. Ponadto pomagają w podjęciu decyzji, jakie działania – jeśli występuje taka potrzeba – powinny zostać podjęte

[ISO/IEC TR 13335-1÷5]

[ISO/IEC 27005]

Zarządzanie ryzykiem

Dopasowanie polityki obiektów sterowania bezpieczeństwem

Dokument i uzasadnienie obiektów sterowania bezpieczeństwem

Zarządzanie ryzykiem, ciągłością działania i incydentami oraz wartościowanie zasobów pomaga utrzymywać ryzyko na dopuszczalnym poziomie poprzez przeniesienie go, unikanie lub zastosowanie środków sterowania bezpieczeństwem.

Załącznik A normy [PN-ISO/IEC 27001] oraz plan wdrożenia systemu bezpieczeństwa wskazują cele sterowania bezpieczeństwem i rozwiązania umożliwiające wpływanie na poziom ryzyka i podatności.

Jeśli polityki, cele sterowania bezpieczeństwem i rozwiązania zostały wybrane i/lub ustalone, powinien zostać opracowany raport o odpowiedniości zastosowania, uzasadniający to podejście lub metodologię (certyfikacja i akredytacja).

Zależności pomiędzy [PN ISO17799] a [PN-ISO/IEC 27001]

[PN-ISO/IEC 17799] jest zbioremwskazówek, jak dojrzale zarządzać bezpieczeństwem systemów informacyjnych i ma wspierać osoby odpowiedzialne za inicjowanie, wdrażanie lub utrzymywanie bezpieczeństwa w ich organizacji.

[PN-ISO/IEC 27001] określa wymagania dla ustalenia, wdrożenia i dokumentowania SZBI. Ta część standardu stanowi specyfikację, na podstawie której organizacje mogą być oceniane i certyfikowane.

1.8. Zarządzanie ryzykiem a zarządzanie bezpieczeństwem informacji

Zarządzanie ryzykiem jest integralną częścią zarządzania bezpieczeństwem. Fakt ten w sposób dobitny podkreślony został w raporcie technicznym [ISO/IEC TR 13335-3:1998]. Na rysunku 1.10 przedstawiono schemat kompleksowego zarządzania bezpieczeństwem.

Jak wynika z tego rysunku, zarządzanie ryzykiem jest kluczowym składnikiem, bez którego cały proces zarządzania bezpieczeństwem informacji w zasadzie jest niemożliwy do zrealizowania. Niestety nie można powiedzieć, że organizacje − nawet te najpoważniejsze – zdają sobie z tego w pełni sprawę. Jeszcze bardziej istotną rolę procesowi zarządzania ryzykiem wyznaczono w normie [PN-ISO/IEC 27001:2007]. Właściwie nie ma w niej rozdziału, w którym nie określono by wytycznych do stosowania przynajmniej niektórych czynności wchodzących w skład tego procesu. Na przykład, w podrozdziale 4.2 normy [PN-ISO/IEC 27001:2007] określającym Ustanowienie i zarządzanie SZBI, większość wytycznych dotyczy właśnie zarządzania ryzykiem. Stawiane są w nim wymienione dalej wymagania.

4.2.1.

c) Zdefiniować podejście do szacowania ryzyka w organizacji

1) Wskazać metodykę szacowania ryzyka, odpowiednią dla SZBI, określić bezpieczeństwo informacji w kontekście prowadzonej działalności, wymagania prawne i wymagania nadzoru.

2) Opracować kryteria akceptacji ryzyka i określić akceptowalne poziomy ryzyka (patrz 5.1f)).

Wybrana metodyka szacowania ryzyka powinna zapewnić, że szacowanie to daje porównywalne i powtarzalne rezultaty.

Istnieją różne metodyki szacowania ryzyka. Przykłady metodyk szacowania ryzyka zostałyomówione w rozdziale3.

d) Określić ryzyko

1) Określić aktywa znajdujące się w zakresie SZBI oraz właścicieli4 tych aktywów.

2) Określić zagrożenia dla tych aktywów.

3) Określić podatności, które mogą być wykorzystane przez zagrożenia.

4) Określić skutki utraty poufności, integralności i dostępności w odniesieniu do aktywów.

e) Analizować i oceniać ryzyko

1) Oszacować szkody i straty biznesowe w organizacji, które mogą wyniknąć z naruszenia bezpieczeństwa, biorąc pod uwagę potencjalne konsekwencje utraty poufności, integralności i dostępności aktywów.

2) Oszacować realne prawdopodobieństwo zdarzenia się takiego naruszenia bezpieczeństwa w świetle istotnych zagrożeń i podatności oraz konsekwencji związanych z tymi aktywami oraz aktualnie wdrożonymi zabezpieczeniami.

3) Wyznaczyć poziomy ryzyka.

4) Stosując kryteria określone w 4.2.1c)2), stwierdzić, czy ryzyko jest akceptowalne, czy też wymaga postępowania z ryzykiem.

f) Zidentyfikować i ocenić warianty postępowania z ryzykiem

Możliwe działania obejmują:

1) zastosowanie odpowiednich zabezpieczeń,

2) poznanie i zaakceptowanie ryzyka, w sposób świadomy i obiektywny, przy założeniu że jasno spełnia warunki wyznaczone w polityce organizacji oraz kryteria akceptowania ryzyka,

3) unikanie ryzyka,

4) przeniesienie związanych rodzajów ryzyka biznesowego na innych uczestników, np. ubezpieczycieli, dostawców.

g) Wybrać cele stosowania zabezpieczeń i zabezpieczenia jako środki postępowania z ryzykiem

Cele stosowania zabezpieczeń i zabezpieczenia należy wybrać i wdrożyć w taki sposób, aby spełniały wymagania zidentyfikowane w procesach szacowania ryzyka i postępowania z ryzykiem. Wybierając, należy brać pod uwagę kryteria akceptacji ryzyka, jak również wymagania prawne, wymagania nadzoru oraz zobowiązania wynikające z umów.

h) Uzyskać akceptację kierownictwa dla proponowanych rodzajów ryzyka szczątkowego

i) Uzyskać autoryzację kierownictwa do wdrażania i eksploatacji SZBI

j) Przygotować deklarację stosowania. Deklaracja stosowania powinna zawierać:

1) cele stosowania zabezpieczeń i zabezpieczenia oraz uzasadnienie ich wyboru,

2) cele stosowania zabezpieczeń i zabezpieczenia już wdrożone,

3) informację o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wraz z uzasadnieniem wykluczenia.

1.9. Punkt wyjścia zapewniania bezpieczeństwa informacji

Po określeniu wymagań bezpieczeństwa oraz oszacowaniu ryzyka podejmowane są decyzje co do dalszego postępowania z nim. Na tym etapie są wybierane i wdrażane środki sterowania bezpieczeństwem (środki zaradcze, zabezpieczenia), których zadaniem jest ograniczenie ryzyka do akceptowalnego poziomu. Środki te mogą być wybrane ze standardów wymienionych w tym podręczniku lub innych zbiorów zabezpieczeń. Ponadto – jeśli zachodzi taka potrzeba – mogą zostać zaprojektowane i wytworzone nowe środki w celu spełnienia specyficznych wymagań organizacji. Wybór środków sterowania bezpieczeństwem zależy od kryteriów akceptowania ryzyka, wariantów postępowania z ryzykiem oraz od ogólnego podejścia do zarządzania nim, jaki obowiązuje w organizacji. Wybrane środki sterowania bezpieczeństwem powinny uwzględnić krajowe i międzynarodowe przepisy prawne i regulacje wewnętrzne związane z zarządzaniem bezpieczeństwem informacji.

Nakłady na środki sterowania bezpieczeństwem powinny odpowiadać potencjalnym stratom, jakie mogą spowodować niekorzystne zdarzenia. Środki sterowania bezpieczeństwem uważane, z prawnego punktu widzenia, za najważniejsze, to:

Powszechnie stosowane są następujące środki sterowania bezpieczeństwem:

Środki te pasują do specyfiki większości organizacji, a ich doboru należy dokonywać według wyników szacowania ryzyka.

1.10. Krytyczne czynniki sukcesu

Według standardu [PN-ISO/IEC 27002:2007] sukces w uzyskaniu właściwego poziomu bezpieczeństwa informacji w organizacji zależy od: