Po co zarządzać bezpieczeństwem? – Z roku na rok wśród polskich firm rośnie popularność systemów zarządzania zgodnych z ISO 9001. Ostatnie badania wskazują, że posiadanie odpowiednich certyfikatów i świadectw jest także coraz częściej czynnikiem uwzględnianym przy wyborze nie tylko dostawców towarów, ale również usług. Dbanie o zapewnienie odpowiedniej jakości nie jest jednak zadaniem prostym – bardzo często wymaga uwzględnienia specyficznych wymagań lub oczekiwań klientów. Dlatego już od wielu lat systemy ISO 9001 są rozszerzane i uzupełniane wymaganiami innych standardów – na przykład związanych z ochroną środowiska (ISO 14001) czy bezpieczeństwem i higieną pracy (PN-N-18001). W poniższym  artykule zagłębimy się w temat, jakim są nowe trendy w bezpieczeństwie informacji.

System bezpieczeństwa informacji każdej organizacji składa się z wielu elementów – ochrony fizycznej obiektów, zabezpieczeń teleinformatycznych czy mechanizmów bezpieczeństwa organizacyjnego.  Ponieważ każda organizacja jest inna, a tworzący ją ludzie mają inne doświadczenia zawodowe – praktycznie nie ma dwóch takich samych systemów bezpieczeństwa. Bardzo często głównym problemem osób zarządzających jest zapewnienie odpowiedniej ochrony fizycznej – jest to czynnik istotny zwłaszcza w przedsiębiorstwach produkcyjnych czy usługowych. Równie powszechne jest koncentrowanie się na zabezpieczeniach teleinformatycznych – trend ten można zaobserwować na przykład poprzez lokowanie komórek odpowiedzialnych za bezpieczeństwo organizacji w strukturach obszaru IT.

Oczywiste jest jednak, że aby zapewnić odpowiedni poziom bezpieczeństwa potrzebna jest informacja o zagrożeniach, jak również wiedza o dostępnych zabezpieczeniach. Podstawą wszelkich działań w tym obszarze powinna być analiza ryzyka. Wiarygodna ocena bezpieczeństwa bez udokumentowanej i przeprowadzanej regularnie analizy ryzyka jest niemożliwa – wdrażane mechanizmy bezpieczeństwa powinny być jedynie efektem, naturalną konsekwencją wyników oceny ryzyka.Bezpieczeństwo informacji to nie tylko zabezpieczenia informatyczne czy fizyczne. To także odpowiednio przeszkolony i świadomy zagrożeń personel, to odpowiednio zdefiniowane umowy z dostawcami, to również sformalizowane i przetestowane plany ciągłości działania. Bezpieczeństwo to proces – i jak każdy proces wymaga ciągłego doskonalenia.

Norma ISO 27001 odpowiada na te oczekiwania – celem standardu jest dostarczenie opartej na analizie ryzyka ramy do budowy systemów bezpieczeństwa informacji wraz z katalogiem kilkuset zabezpieczeń, które mogą być stosowane aby zwiększyć poziom ochrony informacji. Chociaż organizacje są różne i odmienne są ich potrzeby w zakresie bezpieczeństwa, dzięki ISO 27001 mogą budować swoje systemy w podobny sposób. Podobnie jak w przypadku innych standardów zarządzania, takich jak ISO 9001 czy ISO 14001, podstawowym celem ISO 27001 nie jest osiągnięcie określonego poziomu bezpieczeństwa, ale wdrożenie mechanizmów zarządzania, które zapewnią że bezpieczeństwo informacji będzie istotnym elementem funkcjonowania organizacji.

Standard ISO 27001 zorganizowany został w dwóch głównych częściach. W pierwszej zdefiniowane zostały elementy związane z budową systemu zarządzania bezpieczeństwem informacji – takie jak mechanizmy zarządzania ryzykiem, odpowiedzialność kierownictwa, elementy ciągłego doskonalenia czy zasady realizacji audytów wewnętrznych. W drugiej części normy omówiono katalog przykładowych zabezpieczeń, zorganizowanych w 11 obszarów bezpieczeństwa.

Chociaż ISO 27001 bazuje na brytyjskiej normie BS 7799-2, wprowadzono do niej szereg zmian, które powinny zostać uwzględnione przy budowie a także utrzymaniu systemu bezpieczeństwa. Norma BS 7799-2 była krytykowana głównie za trudności interpretacyjne i niejasności, dotyczące zwłaszcza Załącznika A (katalogu zabezpieczeń). Małe i średnie organizacje miały problemy z odpowiednim uwzględnieniem niektórych wymagań – np. zawartych w rozdziale A.10 (Rozwój i utrzymanie systemu).

Norma nie odzwierciedlała także odpowiednio dużej dynamiki w zakresie IT – związanej np. z obszarem e-commerce. W rezultacie Załącznik A normy ISO/IEC 27001 został poważnie przeorganizowany – zmodyfikowano układ rozdziałów, część wymagań została usunięta bądź pogrupowana, dodano także kilka nowych wymagań. Zarządzanie incydentami bezpieczeństwa stało się jednym z głównych obszarów normy.

Zmiany wprowadzono także do głównej części normy – w szczególności doprecyzowano i rozszerzono wymagania związane z pętlą ciągłego doskonalenia (pdca). W obecnej wersji norma wymaga na przykład udokumentowania metodyki analizy ryzyka, a także zapewnienia jej powtarzalności i porównywalności wyników. Nie jest to duża zmiana – tym bardziej, że dokumentowanie metodyki analizy ryzyka było zazwyczaj jednym z podstawowych etapów realizowanych podczas dotychczasowych wdrożeń BS 7799-2.

O wiele większą zmianę wprowadzono do rozdziału 4.2.2 normy, poprzez zdefiniowanie obowiązku mierzenia efektywności wdrożenia poszczególnych wymagań normy w organizacji. Pomiar efektywności – tym bardziej w odniesieniu do ponad 130 wymagań szczegółowych – nie jest zadaniem prostym. Dlatego dostosowanie istniejących systemów BS 7799-2 do wymagań nowej normy będzie często wiązało się z koniecznością przebudowania mechanizmów analizy i oceny ryzyka – w sposób pozwalający na powiązanie poziomów ryzyka z efektywnością wdrożenia poszczególnych zabezpieczeń, wynikających z wymagań normy. Chociaż nie jest to zadanie proste, jego realizacja pozwoli na wdrożenie skuteczniejszych mechanizmów zarządzania ryzykiem.

Zgodnie ze zmienionymi zasadami akredytacji, nowe certyfikaty systemów BS 7799 nie powinny być przyznawane po 24 lipca 2006. Począwszy od tej daty wszystkie nowe systemy bezpieczeństwa powinny być certyfikowane na zgodność z wymaganiami standardu ISO/IEC 27001. W przypadku systemów istniejących, podczas audytu nadzoru lub recertyfikacji powinna nastąpić migracja do nowej normy. Oznacza to, że firmy aktualnie posiadające certyfikat BS 7799 podczas najbliższego audytu nadzoru będą już podlegały weryfikacji według zapisów ISO/IEC 27001.

Ewolucja systemów zarządzania bezpieczeństwem informacji trwa już od ponad dziesięciu lat. Początkowo zapisane w normie BS 7799 najlepsze praktyki traktowane były wyłącznie jako wytyczne, pozwalające na skuteczne zarządzanie bezpieczeństwem informacji. Jednak w kolejnych latach rola bezpieczeństwa w firmach rosła – a w raz z nią potrzeba standaryzacji w tym obszarze. Wraz z przyjęciem w 1999 roku na potrzeby BS 7799 modelu PDCA oraz wprowadzeniem zasad certyfikacji i akredytacji systemów, popularność standardu znacznie wzrosła. Wprowadzenie międzynarodowego odpowiednika – normy ISO/IEC 27001 – na pewno przyczyni się do dalszej popularyzacji systemów bezpieczeństwa. Już dzisiaj firmy z branży nowych technologii częściej decydują się na wdrożenie normy bezpieczeństwa – traktując ją jako naturalne rozszerzenie i uzupełnienie posiadanych systemów jakości.

Skuteczna ochrona danych już od dawna nie jest utożsamiana wyłącznie z obszarem IT. Dlatego w normie ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji: