Strona główna » Aktualności » Zapewnienie bezpieczeństwa informacji podstawą funkcjonowania organizacji

Zapewnienie bezpieczeństwa informacji podstawą funkcjonowania organizacji

Cen­trum Cer­ty­fi­ka­cji Jako­ści Wydzia­łu Bez­pie­czeń­stwa, Logi­sty­ki i Zarzą­dza­nia WAT, akre­dy­to­wa­ne przez Pol­skie Cen­trum Akre­dy­ta­cji, od ponad 20 lat pro­wa­dzi dzia­łal­ność cer­ty­fi­ka­cyj­ną w obsza­rze zarzą­dza­nia bez­pie­czeń­stwem infor­ma­cji.

Infor­ma­cje są naj­cen­niej­szym zaso­bem czę­sto prze­wyż­sza­ją­cym war­tość środ­ków pro­duk­cji. Ten kto posia­da wła­ści­we infor­ma­cje i potra­fi je efek­tyw­nie wyko­rzy­stać, naj­czę­ściej wyprze­dza kon­ku­ren­cję. Z punk­tu widze­nia regu­la­cji praw­nych koniecz­ne jest zapew­nie­nie bez­pie­czeń­stwa danych oso­bo­wych, danych sta­no­wią­cych np. tajem­ni­cę lekar­ską, adwo­kac­ką, przed­się­bior­stwa czy też infor­ma­cji, któ­rych nie­upraw­nio­ne ujaw­nie­nie mogło­by spo­wo­do­wać istot­ne zagro­że­nie dla pod­sta­wo­wych inte­re­sów Rze­czy­po­spo­li­tej Pol­skiej, doty­czą­cych porząd­ku publicz­ne­go, obron­no­ści, bez­pie­czeń­stwa, sto­sun­ków mię­dzy­na­ro­do­wych lub gospo­dar­czych pań­stwa.

Utrzy­ma­nie cią­gło­ści dzia­łal­no­ści oraz mini­ma­li­za­cji skut­ków incy­den­tów moż­li­we jest dzię­ki wdro­że­niu sys­te­mu zarzą­dza­nia bez­pie­czeń­stwem infor­ma­cji (ISMS) zgod­nie z wyma­ga­nia­mi pol­skiej nor­my PN-EN ISO/IEC 27001.  Spraw­dzia­nem sku­tecz­no­ści oraz pozio­mu jako­ści funk­cjo­no­wa­nia sys­te­mu jest jego cer­ty­fi­ka­cja prze­pro­wa­dzo­na przez nie­za­leż­ną jed­nost­kę cer­ty­fi­ku­ją­cą. Wzra­sta­ją­ce zain­te­re­so­wa­nie cer­ty­fi­ka­cją ISMS oraz sta­le rosną­ca licz­ba wyda­nych cer­ty­fi­ka­tów potwier­dza­ją potrze­bę uzy­ska­nia obiek­tyw­ne­go dowo­du speł­nie­nia wyma­gań nor­ma­tyw­nych i wzmoc­nie­nia ryn­ko­we­go wize­run­ku fir­my dba­ją­cej o bez­pie­czeń­stwo infor­ma­cji wszyst­kich swo­ich inte­re­sa­riu­szy. Cer­ty­fi­ko­wa­ny sys­tem zarzą­dza­nia nie tyl­ko wyróż­nia orga­ni­za­cję na tle kon­ku­ren­cji, ale doku­men­tu­je wyko­rzy­sta­nie naj­lep­szych, uzna­nych na świe­cie prak­tyk zapew­nia­ją­cych pouf­ność danych prze­twa­rza­nych w orga­ni­za­cji.

Dla orga­ni­za­cji wdro­że­nie ISMS jest decy­zją stra­te­gicz­ną, pod­ję­tą w opar­ciu o potrze­by i wyzna­czo­ne cele dzia­łal­no­ści. Zało­że­niem jest, aby sys­tem zarzą­dza­nia bez­pie­czeń­stwem infor­ma­cji był czę­ścią pro­ce­sów funk­cjo­nu­ją­cych w orga­ni­za­cji oraz ogól­nej struk­tu­ry zarzą­dza­nia, a tak­że, aby bez­pie­czeń­stwo infor­ma­cji inte­gro­wa­ło pro­ce­sy, sys­te­my infor­ma­cyj­ne i zabez­pie­cze­nia. W nor­mie PN-EN ISO/IEC 27001 okre­ślo­no wyma­ga­nia doty­czą­ce usta­na­wia­nia, utrzy­my­wa­nia i cią­głe­go dosko­na­le­nia sys­te­mu zarzą­dza­nia bez­pie­czeń­stwem infor­ma­cji. Orga­ni­za­cja na pod­sta­wie osza­co­wa­ne­go ryzy­ka biz­ne­so­we­go two­rzy sys­tem zło­żo­ny z poli­ty­ki, pro­ce­sów, pro­ce­dur, struk­tu­ry orga­ni­za­cyj­nej, opro­gra­mo­wa­nia i sprzę­tu do ochro­ny okre­ślo­nych akty­wów infor­ma­cyj­nych. Prze­wod­ni­kiem w opra­co­wa­niu zabez­pie­czeń jest załącz­nik A nor­my PN-EN ISO/IEC 27001 sta­no­wią­cy wzor­co­wy wykaz 114 celów sto­so­wa­nia zabez­pie­czeń.  Pod­sta­wo­wym ele­men­tem ISMS podob­nie jak w sys­te­mach zarzą­dza­nia jako­ścią, śro­do­wi­skiem czy bez­pie­czeń­stwem higie­ny i pra­cy jest poli­ty­ka, któ­ra wska­zu­je ogół zamie­rzeń i zobo­wią­zań kie­row­nic­twa w zakre­sie pro­wa­dze­nia dzia­łal­no­ści w aspek­cie utrzy­ma­nia bez­pie­czeń­stwa infor­ma­cji. Klu­czo­wym jest wyzna­cze­nie zakre­su upraw­nień i odpo­wie­dzial­no­ści, funk­cji per­so­ne­lu w zależ­no­ści od reali­zo­wa­nych zadań doty­czą­cych ochro­ny infor­ma­cji. Jest to nie­zbęd­ne do pla­no­wa­nia i reali­za­cji dzia­łań ope­ra­cyj­nych, w tym sza­co­wa­nia ryzy­ka i okre­śle­nia try­bu postę­po­wa­nia z ryzy­kiem. Opra­co­wa­nie Dekla­ra­cji Sto­so­wa­nia jest wyma­ga­niem nor­my, ale też swo­istym i zwar­tym kom­pen­dium o sto­so­wa­nych zabez­pie­cze­niach z uwzględ­nie­niem podat­no­ści i ryzy­ka.

Do sze­ro­kiej gamy zabez­pie­czeń zali­cza się:

  • stwo­rze­nie struk­tu­ry orga­ni­za­cyj­nej sys­te­mu oraz zasad bez­pie­czeń­stwa oso­bo­we­go (przed, w cza­sie i po zakoń­cze­niu zatrud­nie­nia w orga­ni­za­cji),
  • regu­la­cje zwią­za­ne z kla­sy­fi­ka­cją infor­ma­cji i zarzą­dza­niem akty­wa­mi infor­ma­cyj­ny­mi obej­mu­ją­cy­mi pro­ce­sy, dzia­ła­nia biz­ne­so­we, infor­ma­cje w każ­dej dostęp­nej for­mie, wie­dzę i kom­pe­ten­cje pra­cow­ni­ków, sprzęt infor­ma­tycz­ny słu­żą­cy do gro­ma­dze­nia i prze­twa­rza­nia infor­ma­cji (ser­we­ry, kom­pu­te­ry, urzą­dze­nia elek­tro­nicz­ne, urzą­dze­nia łącz­no­ści, opro­gra­mo­wa­nie),
  • regu­ły kon­tro­li i zarzą­dza­nia dostę­pem użyt­kow­ni­ków do sys­te­mów i apli­ka­cji, w tym sto­so­wa­nia poli­tyk czy­ste­go biur­ka i ekra­nu,
  • pro­ce­du­ry eks­plo­ata­cji środ­ków prze­twa­rza­nia infor­ma­cji (np. zarzą­dza­nie zmia­na­mi, pojem­no­ścią, ochro­na przed szko­dli­wym opro­gra­mo­wa­niem, two­rze­nie kopii zapa­so­wych, zarzą­dza­nie podat­no­ścia­mi tech­nicz­ny­mi),
  • regu­ły bez­pie­czeń­stwa śro­do­wi­sko­we­go i fizycz­ne­go,
  • tryb dzia­łań w zakre­sie kryp­to­gra­fii,
  • zasa­dy bez­pie­czeń­stwa komu­ni­ka­cji,
  • pro­ce­du­ry pozy­ski­wa­nia, roz­wo­ju i utrzy­my­wa­nia sys­te­mów infor­ma­tycz­nych,
  • stan­dar­dy rela­cji z dostaw­ca­mi i współ­pra­cy z pod­wy­ko­naw­ca­mi z okre­śle­niem klau­zul bez­pie­czeń­stwa prze­twa­rza­nia danych w ramach reali­za­cji zobo­wią­zań (umów, kon­trak­tów, zamó­wień),
  • sys­tem utrzy­my­wa­nia zgod­no­ści z wyma­ga­nia­mi praw­ny­mi i kon­trak­to­wy­mi,
  • zarzą­dza­nie incy­den­ta­mi zwią­za­ny­mi z bez­pie­czeń­stwem infor­ma­cji, w tym ana­li­zie przy­czyn i zapla­no­wa­nia odpo­wied­nich dzia­łań korek­cyj­nych i kory­gu­ją­cych w celu ich wyeli­mi­no­wa­nia w przy­szło­ści. Reje­stra­cja incy­den­tów w celu gro­ma­dze­nia wie­dzy na przy­szłość,
  • zarzą­dza­nie cią­gło­ścią dzia­ła­nia – zapro­jek­to­wa­nie mecha­ni­zmów, któ­re odpo­wied­nio zasto­so­wa­ne, potra­fią utrzy­mać reali­za­cję istot­nych dzia­łań, a tak­że odtwo­rzyć zakłó­co­ne przez incy­dent pro­ce­sy. Zasa­dy zapew­nie­nia cią­gło­ści dzia­łal­no­ści w orga­ni­za­cji przed­sta­wio­no sze­rzej w nor­mie PN- EN ISO 22301 „Bez­pie­czeń­stwo i odpor­ność – Sys­te­my Zarzą­dza­nie cią­gło­ścią dzia­ła­nia. Wyma­ga­nia”.

W zależ­no­ści od zakre­su i spe­cy­fi­ki dzia­łal­no­ści oraz moż­li­wo­ści, orga­ni­za­cja two­rzy swój indy­wi­du­al­ny, skro­jo­ny na mia­rę potrzeb zbiór zabez­pie­czeń w zakre­sie zapew­nie­nia ochro­ny infor­ma­cji. Brak albo nie­wła­ści­wa ochro­na infor­ma­cji może skut­ko­wać utra­tą repu­ta­cji, zaufa­nia i wia­ry­god­no­ści u klien­tów oraz może przy­czy­niać się do nie­speł­nie­nia wyma­gań praw­nych i pono­sze­nia dotkli­wych kar finan­so­wych. Dla­te­go zbu­do­wa­nie i utrzy­my­wa­nie sys­te­mu zarzą­dza­nia bez­pie­czeń­stwem infor­ma­cji wpły­wa na obni­że­nie ryzy­ka zwią­za­ne­go z zacho­wa­niem pod­sta­wo­wych atry­bu­tów infor­ma­cji jakim są pouf­ność, dostęp­ność i inte­gral­ność poprzez wdro­że­nie spraw­dzo­nych zabez­pie­czeń odpo­wied­nio do posia­da­nych środ­ków finan­so­wych, zaso­bów ludz­kich i infra­struk­tu­ry. Nawią­zu­jąc do jed­ne­go z głów­nych wyma­gań ISMS doty­czą­ce­go two­rze­nia kopii zapa­so­wych, para­fra­zu­jąc powie­dze­nie „ludzie dzie­lą się na tych, któ­rzy robią kopie zapa­so­we i tych, któ­rzy będą je robi­li”, war­to już teraz wdro­żyć sys­tem chro­nią­cy naj­waż­niej­sze akty­wa w orga­ni­za­cji, zanim doświad­czy­my ich stra­ty, cza­sem bez­pow­rot­nie.

Cen­trum Cer­ty­fi­ka­cji Jako­ści WAT
fot. knee0/Adobe Stock