Rozpoznanie i
szacowanie zagrożeń związanych z systemem informatycznym postępuje
zawsze znacznie wolniej od szybkości wdrażania nowych rozwiązań
technologiczno-organizacyjnych. Dodatkowym elementem ryzyka jest także
fakt, że świadomość ryzyka związanego z wykorzystaniem nowoczesnych
technologii jest niska lub częściowo zafałszowana. Dlatego też na
początku lat 90-tych, Brytyjski Instytut Normalizacji BSI (British
Standards Institution) przedstawił na forum publicznym opracowanie
dotyczące zarządzania bezpieczeństwem informacji w przedsiębiorstwach,
określone jako PD0003. Inicjatywa, w której popularność na początku
wątpili sami twórcy wzbudziła ogromne zainteresowanie przedstawicieli
wielu organizacji. Tezy i przesłanie jakie niosła w sobie powyższa
norma, skłoniły BSI do podjęcia nowych prac, w efekcie których
opracowano zbiór praktycznych porad, wydany w 1995 roku jako norma BS
7799, Code Of Practice For Information Security Management.
Na poszczególnych etapach opracowania ostatecznej wersji standardu
wykorzystywane były doświadczenia
i praktyki ochrony informacji stosowane w wielu znanych międzynarodowych
firmach. W obecnej chwili podstawą systemowych rozwiązań w zakresie
bezpieczeństwa informacji w skali świata jest właśnie norma brytyjska BS
7799. Norma 7799 została zgłoszona przez BSI do Międzynarodowej
Organizacji Normalizacyjnej (ISO) jako podstawa ustanowienia
międzynarodowego standardu zarządzania bezpieczeństwem informacji.
Nadany został jej numer ISO/ IEC 17799. Norma ISO/IEC 17799 przyjęta
została również jako polska norma PN ISO/IEC 17799.
BS
7799 to dwuczęściowa norma:
- BS
7799-1 - standardowy kodeks praktyki, katalog zagadnień, jakie należy
realizować dla potrzeb bezpieczeństwa informacji (Code Of Practice
For Information Security Management):
1. Polityka
bezpieczeństwa.
2. Odpowiedzialność za bezpieczeństwo.
3. Szkolenia z
zakresu systemów informatycznych.
4. Raportowanie
zagrożeń związanych bezpieczeństwem.
5. Kontrola
antywirusowa.
6. Proces zapewnienia
ciągłości procesów biznesowych.
7. Ochrona zbiorów
danych danej instytucji.
8. Kontrola licencji
oprogramowania.
9. Zgodność z
wymogami prawnymi.
10. Zgodność z
polityką bezpieczeństwa.
-
BS
7799-2 - standardowa specyfikacja dla systemów zarządzania
bezpieczeństwem informacji (ISMS - Information Security Management
Systems):
1. Polityka
bezpieczeństwa systemów informatycznych.
2. Organizacja
bezpieczeństwa.
3. Klasyfikacja i
kontrola zasobów.
4. Bezpieczeństwo od
strony personelu.
5. Bezpieczeństwo
fizyczne i środowiskowe.
6. Zarządzanie
komputerami i siecią.
7. Kontrola dostępu
do systemów.
8. Rozwój i
utrzymanie systemów.
9. Zapewnienie
ciągłości działania.
10. Zgodność z
wymaganiami.
BS 7799-1 definiuje
127 elementów kontroli i sterowania bezpieczeństwem informacji,
podporządkowanych 10 grupom wymagań, co pozwala użytkownikom na
zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki
działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w
powyższym zakresie. Wykorzystywane narzędzia sterowania i kontroli
zawierają dalsze szczegółowe techniki uznawane jako najlepsza praktyka w
tym względzie. Aktualne wydanie normy kładzie szczególny nacisk na
zarządzanie ryzykiem, wskazuje także, że użytkownik nie jest zobowiązany
do wdrażania wszystkich technik przywołanych w części pierwszej
standardu, tylko uznanych za najistotniejsze i zapewniające realizację
celów. Katalog dotyczy wszystkich form informacji, w tym także ustnych i
graficznych, powstających z wykorzystaniem telefonów komórkowych i
faksów. Standard uwzględnia najnowsze formy działalności gospodarczej,
np. e-commerce, internet, outsourcing, teleworking, mobile computing.
Międzynarodowe aspiracje brytyjskiej normy podkreśla fakt, że specyfika
rynku brytyjskiego została przywołana w załączniku, a nie w treści samej
normy.
Zawarte w normie BS
7799-1 wymagania znalazły uznanie w wielu firmach brytyjskich. W oparciu
o nabyte doświadczenie w BSI rozpoczęto prace nad kolejnym dokumentem
normalizacyjnym BS 7799-2 Specification for Information Security
Management Systems. Celem przyświecającym twórcom drugiej części
standardu było stworzenie formalnych podstaw dla uruchomienia mechanizmu
certyfikacji istniejących systemów ochrony bezpieczeństwa informacji.
Przewiduje się, że w ramach procesu certyfikacji sprawdzany będzie
aktualnie działający w danej firmie system ochrony bezpieczeństwa
informacji na zgodność z sugestiami zawartymi w normie BS 7799.
BS 7799-2 ilustruje,
w jaki sposób zaprojektować, wdrożyć i poddać certyfikacji system
zarządzania bezpieczeństwem informacji (ISMS - Information Security
Management Systems). Norma wskazuje na sześcioetapowy proces kreowania i
wdrożenia zaprojektowanych rozwiązań; odwołuje się do konieczności
określenia wszystkich aktywów informacyjnych i oszacowania ich
istotności dla organizacji.
20 stycznia 2005 r.
została zatwierdzona do publikacji polskojęzyczna wersja normy BS
7799-2:1999 – ma ona oznaczenie PN-I-07799-2:2005.
Audyt systemu
informatycznego lub też jego wydzielonej części prowadzony przez CORBO
Polska Sp. z o.o. w oparciu o normy BS 7799 oraz PN ISO/IEC 17799
zakłada szczegółową analizę zarówno procesów jak i obszarów
podwyższonego ryzyka związanych z wykorzystaniem technologii
informatycznych. Te oba czynniki przenikają się wzajemnie, tworząc
całościowy kompleks usług informatycznych przedsiębiorstwa. W zależności
od celu kontroli waga obu tych czynników może być różna, zawsze jednak
trzeba uwzględniać ich wzajemne relacje.
W szczególnych
przypadkach procesy związane z wykorzystaniem technologii
informatycznych możemy potraktować jak wydzielone obszary podwyższonego
ryzyka. Taka strategia ma miejsce np. podczas analizy kontrolnej
przeprowadzanej po wykryciu nadużycia w systemie (np. włamania,
nieautoryzowanych czynności operacyjnych, etc.). Są to jednak sytuacje
wyjątkowe, podyktowane potrzebą chwili, kiedy decydującym czynnikiem
jest czas dostarczenia analiz dla odpowiednich decydentów.
Do najważniejszych
procesów związanych z wykorzystaniem technologii informatycznych, które
audytowane są przez pracowników CORBO, należą:
- Zarządzanie
konfiguracją (proces informatyczny odpowiadający za centralne
rejestrowanie i kontrolę jednostek konfiguracyjnych; dane te są
zazwyczaj przechowywane w bazie danych o konfiguracji, zawierającej
definicje relacji pomiędzy jednostkami konfiguracji);
- Zarządzanie
zmianami (proces informatyczny odpowiadający za rejestrowanie wszystkich
zmian w środowisku informatycznym; koordynuje on zlecenia zmian, nadaje
im priorytety, zatwierdza zmiany, planuje wykorzystanie zasobów i
szacuje ryzyko związane ze zmianami);
- Analizę
gospodarczą (analiza strategii biznesowej i zdefiniowanie wymagań
dotyczących uczestnictwa pionu informatycznego w łańcuchu tworzenia
wartości);
- Zarządzanie
klientami (przewidywanie nowych potrzeb, przekazywanie informacji o
wartości usług, monitorowanie poziomu zadowolenia klientów i
użytkowników systemów, rozwiązywanie problemów);
- Tworzenie
strategii informatycznej (strategia informatyczna optymalizująca udział
pionu informatycznego w osiąganiu celów firmy);
- Planowanie
usług (definiowanie wymagań dotyczących usług i identyfikowanie luk w
obecnych możliwościach systemów informatycznych; przekładanie potrzeb
zmian na plany uaktualnień);
- Zarządzanie
poziomem usług (przekładanie planu usług na wymagania operacyjne;
zawieranie umów dotyczących poziomu usług oraz zarządzanie nimi w celu
zapewnienia niezawodnych, ekonomicznych usług opartych na strategii
informatycznej, wymaganiach klientów i możliwościach systemów
informatycznych);
- Zarządzanie
dostępnością (monitowanie dostępności i określanie planów zapewnienia
ciągłości usług; planowanie na wypadek awarii oraz bezpieczeństwo
danych);
- Zarządzanie
pojemnością (monitorowanie możliwości usług informatycznych w celu
zapewnienia nieprzerwanego świadczenia usług);
- Zarządzanie
kosztami (monitorowanie, śledzenie i kontrolowanie kosztów usług w celu
zapewnienia zwrotu kosztów zasobów informatycznych firmy);
- Tworzenie
i testowanie (tworzenie i testowanie usług, infrastruktury (procesów,
ludzi, technologii) i związanych z tym kwestii, zgodnie z projektem
usług);
- Wprowadzenie
do produkcji (zarządzanie wprowadzaniem produktów i usług do środowiska
informatycznego, zgodnie z projektem usług);
- Zarządzanie
operacyjne (obsługa środowiska operacyjnego; prewencyjne gromadzenie
danych o stanie zasobów, szukanie potencjalnych problemów i informowanie
o zdarzeniach, wykonywanie codziennych czynności administracyjnych);
- Zarządzanie
zdarzeniami (obsługa wszystkich zdarzeń, problemów oraz zgłoszeń i
zapytań klientów; przywracanie dostępności usługi w jak najkrótszym
czasie; przekazywanie nierozwiązanych problemów do procesu zarządzania
problemami);
- Zarządzanie
problemami (określenie przyczyny powtarzających się, krytycznych lub
nasilających się problemów; analizowanie środowiska w celu zapobiegania
problemom).
Badanie
bezpieczeństwa systemów informatycznych (w tym bezpieczeństwa
informacji) w przedsiębiorstwie realizowane jest w dwóch fazach. W
pierwszej z nich (nazywanej audytem wstępnym) analizowana jest
istniejąca dokumentacja określająca sposób zarządzania bezpieczeństwem
danych, zgodnie z wymaganiami standardu. Na jej podstawie, w drugiej
fazie projektu, przeprowadzane jest badanie sposobu i skuteczności
implementacji opisanych wytycznych. Prace obejmują przeprowadzenie
wywiadów z wybranymi użytkownikami systemu informacyjnego, oraz
przeprowadzenie wizji lokalnych.
Audyt zgodności z
wytycznymi BS i ISO przeprowadzany przez CORBO uwzględnia, zgodnie z
zaleceniami British Standard Institution, specyfikę biznesową badanego
przedsiębiorstwa. W szczególności implementacja pewnych zaleceń
standardu może być, z punktu widzenia funkcjonowania firmy, niemożliwa
lub niecelowa. Jednym z pierwszych etapów badania jest zatem
zidentyfikowanych tych wymagań, które są adekwatne dla specyfiki
Klienta, a następnie sprawdzanie sposobu i skuteczności ich
implementacji.
W wyniku prac
przeprowadzonych przez firmę CORBO Polska Sp. z o.o. nasz Klient
otrzymuje szczegółowy raport obejmujący:
-
Ogólne podsumowanie
wyników audytu
-
Określenie jednostek
organizacyjnych w przedsiębiorstwie, które poddawane były audytowi
-
Specyfikację punktów
kontrolnych normy, których wdrożenie było weryfikowane (jeżeli wdrożenie
pewnych punktów kontrolnych nie było
uzasadnione)
-
Wyniki badania
dokumentacji
-
Wyniki badania
sposobu wdrożenia i funkcjonowania zasad ochrony informacji
-
Stwierdzone
odstępstwa od wymagań normy
-
Ocenę efektywności
istniejącego systemu zarządzania bezpieczeństwem informacji
-
Zalecane
udoskonalenia istniejącego w przedsiębiorstwie systemu zarządzania
bezpieczeństwem informacji
-
Propozycję planu
wdrożenia zalecanych zmian w systemie zarządzania bezpieczeństwem
informacji
Jarosław Frąk
biuletyn@corbo.com.pl
Copyright C 2001 CORBO Polska |