16 czerwca 2008


 
Norma PN -ISO/IEC 27001
 

W normie zastosowano podejście procesowe w celu ustanawiania, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia Systemów Zarządzania Bezpieczeństwem Informacji (SZBI) w organizacji. Działanie wykorzystujące zasoby i zarządzane w celu przekształcenia wejść w wyjścia można rozpatrywać jako proces. Zastosowanie systemu procesów w organizacji, wraz z identyfikacją i interakcją tych procesów, a także zarządzanie nimi można określić jako podejście procesowe. 

n       Zrozumienie wymagań bezpieczeństwa informacji w organizacji oraz ustanowienie zasad i celów bezpieczeństwa informacji.

n       Wdrożenie i eksploatacja zabezpieczeń w celu zarządzania ryzykiem bezpieczeństwa informacji w kontekście całkowitego ryzyka biznesowego organizacji

n       Monitorowanie i przegląd wydajności oraz skuteczności SZBI

n       Ciągłe doskonalenie w oparciu o obiektywny pomiar

 Model Planuj – Wykonuj – Sprawdzaj – Działaj (PDCA)

Norma ISO 27001 dostarcza pełen model wdrożenia zasad podanych w zaleceniach OECD (2OO2), na których opiera się szacowanie ryzyka, projektowanie i wdrażanie bezpieczeństwa, zarządzanie bezpieczeństwem i ponowne szacowanie.

 System zarządzania bezpieczeństwem informacji (SZBI)

Organizacja powinna ustanowić, wdrożyć, eksploatować, monitorować, przeglądać. utrzymywać i stale doskonalić udokumentowany SZBI w kontekście prowadzonej działalności i ryzyka występującego w organizacji. Proces opiera się na modelu PDCA.

 Ustanowienie i zarządzanie SZBI

Organizacja powinna podjąć następujące działania

n       Zdefiniować zakres i granice SZBI, uwzględniając charakterystykę prowadzonej działalności, organizację, jej lokalizację, aktywa i technologie.

n       Zdefiniować politykę SZBI uwzględniającą charakterystykę prowadzonej działalności, organizacji, jej lokalizacji, aktywów i technologii.

n       Zdefiniować podejście do szacowania ryzyka w organizacji.

n       Określić ryzyka.

n       Analizować i oceniać ryzyka.

n       Zidentyfikować i ocenić warianty postępowania z ryzykiem.

n       Wybrać cele stosowania zabezpieczeń i zabezpieczenia jako środki postępowania z ryzykiem.

n       Uzyskać akceptację kierownictwa dla proponowanych ryzyk szczątkowych.

n       Uzyskać autoryzację kierownictwa do wdrażania i eksploatacji SZBI.

n       Przygotować deklarację stosowania.

 Wdrożenie i eksploatacja SZBI

Organizacja powinna podjąć następujące działania:

n       Sformułować plan postępowania z ryzykiem, w którym są określone odpowiednio działania kierownictwa, zakresy odpowiedzialności oraz priorytety dla zarządzania ryzykami związanymi z bezpieczeństwem informacji.

n       Wdrożyć plan postępowania z ryzykiem w celu osiągnięcia zidentyfikowanych celów stosowania zabezpieczeń, które obejmują rozważenie przydzielania ról i zakresów odpowiedzialności.

n       Wdrożyć zabezpieczenia tak, aby osiągnąć cele stosowania zabezpieczeń.

n       Zdefiniować jak mierzyć skuteczność wybranych zabezpieczeń i grup zabezpieczeń oraz określić jak te mierniki powinny być stosowane w ocenie skuteczności zabezpieczeń aby otrzymać porównywalne i powtarzalne rezultaty.

n       Wdrożyć programy uświadamiania i szkolenia.

n       Zarządzać eksploatacją SZBI.

n       Zarządzać zasobami SZBI.

n       Wdrożyć procedury i inne zabezpieczenia zdolne do zapewnienia natychmiastowego wykrycia i reakcji na incydenty związane z naruszeniem bezpieczeństwa.

 

Monitorowanie i przegląd SZBI

Organizacja powinna podjąć następujące działania:

n       Wykonywać procedury monitorowania i przeglądu i inne zabezpieczenia.

n       Wykonywać regularne przeglądy skuteczności SZBI (w tym zgodności z polityką i celami SZBI oraz przeglądy zabezpieczeń), biorąc pod uwagę wyniki audytów bezpieczeństwa, incydentów, rezultatów pomiarów skuteczności, sugestii oraz informacji zwrotnych od wszystkich zainteresowanych stron.

n       Wykonywać pomiary skuteczności zabezpieczeń w celu weryfikacji ich zgodności z wymaganiami bezpieczeństwa.

n       Wykonywać przeglądy szacowania ryzyka w zaplanowanych odstępach czasu, przeglądy ryzyka szczątkowego oraz przeglądy poziomów ryzyka akceptowalnego, biorąc pod uwaga zmiany:

n       w organizacji

n       technologii

n       celów biznesowych i procesów

n       zidentyfikowanych zagrożeń

n       skuteczności wdrożonych zabezpieczeń

n       zewnętrznych zdarzeń, takich jak zmiany prawa lub stosownych regulacji, zmiany wynikające z umów

n       oraz zmiany o charakterze społecznym.

n       Przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu.

n       W regularnych odstępach czasu wykonywać przeglądy SZBI realizowane przez kierownictwo.

n       Uaktualniać plany bezpieczeństwa, mając na uwadze wyniki monitorowania i przeglądy działalności.

n       Rejestrować działania i zdarzenia, które mogą mieć wpływ na skuteczność lub wydajność realizacji SZBI

 

Utrzymanie i doskonalenie SZBI

Organizacja powinna podjąć następujące działania:

n       Wdrażać w SZBI zidentyfikowane udoskonalenia,

n       Podejmować odpowiednie działania korygujące lub zapobiegawcze

n       Wyciągać wnioski z doświadczeń w dziedzinie bezpieczeństwa zarówno innych organizacji, jak i własnych

n       Informować wszystkie zainteresowane strony o działaniach i udoskonaleniach na odpowiednim do okoliczności poziomie szczegółowości oraz, jeśli trzeba, uzgodnić sposób dalszego postępowania

n       Zapewnić, że udoskonalenia osiągają zamierzone cele

 Wymagania dotyczące dokumentacji 

Dokumentacja powinna zawierać zapisy decyzji kierownictwa, zapewniać że działania są zgodne z decyzjami kierownictwa i politykami oraz zapewniać, że zapisy rezultatów działań są odtwarzalne.Ważne jest, aby można było wykazać powiązanie pomiędzy wybranymi zabezpieczeniami i dotyczącymi ich rezultatami szacowania ryzyka i procesu postępowania z ryzykiem a następnie z odpowiednimi politykami i celami SZBI.

Nadzór nad dokumentami i zapisami

 Dokumenty wymagane przez SZBI należy chronić i nadzorować. Należy ustanowić udokumentowaną procedurę w celu określenia działań kierownictwa potrzebnych do:

n       zatwierdzenia odpowiednich dokumentów przed ich wydaniem

n       przeglądu i aktualizacji dokumentów w razie potrzeby oraz ponownego ich zatwierdzania

n       zapewnienia, że zidentyfikowano zmiany i aktualny status zmian dokumentów

n       zapewnienia, że najnowsze wersje odpowiednich dokumentów są dostępne w miejscach ich stosowania

n       zapewnienia, że dokumenty pozostają czytelne i łatwe do zidentyfikowania

n       zapewnia, że dokumenty są dostępne dla wszystkich, którzy ich potrzebują oraz że są przesyłane, przechowywane i ostatecznie niszczone zgodnie z procedurami odpowiednimi do ich klasyfikacji

n       zapewnienia, że dokumenty zewnętrzne są identyfikowane

n       zapewnienia, że rozpowszechnianie dokumentów jest kontrolowane

n       zapobiegania niezamierzonemu stosowaniu nieaktualnych dokumentów

n       zastosowania odpowiedniej ich identyfikacji, jeżeli są zachowane z jakichkolwiek powodów

Nadzór nad zapisami

n       W celu dostarczenia świadectwa potwierdzającego zgodność z wymaganiami oraz skutecznej eksploatacji SZBI powinny być ustanowione i utrzymywane odpowiednie zapisy. Zapisy te powinny być chronione i nadzorowane. SZBI powinien uwzględniać wszystkie odpowiednie wymagania przepisów prawa, wymagania nadzoru (w tym bankowego) i zobowiązania wynikające z umów. Zapisy powinny być czytelne, łatwe do zidentyfikowania i odtwarzalne. Należy udokumentować i wdrożyć zabezpieczenia służące identyfikowaniu, przechowywaniu, ochronie, odtwarzaniu, archiwizacji oraz niszczeniu zapisów.

 Odpowiedzialność kierownictwa

Kierownictwo powinno zapewnić świadectwo swojego zaangażowania w ustanowienie, wdrożenie, eksploatację, monitorowanie, przegląd, utrzymanie i doskonalenie SZBI przez:

n       ustanowienie polityki SZBI oraz zapewnienie, że cele i plany SZBI zostały ustanowione

n       określenie ról i zakresów odpowiedzialności w odniesieniu do bezpieczeństwa informacji

n       informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informacji i zgodności z polityką bezpieczeństwa informacji, swojej odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia

n       zapewnienie wystarczających zasobów do ustanowienia, wdrażania, eksploatacji monitorowania. przeglądów, utrzymania i doskonalenia SZBI

n       podejmowanie decyzji o kryteriach akceptacji ryzyka i akceptowalnym poziomie ryzyka

n       zapewnienie przeprowadzania wewnętrznych audytów SZBI

n       przeprowadzanie przeglądów SZBI realizowanych przez kierownictwa

Organizacja powinna określić i zapewnić zasoby potrzebne do:

n       ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia SZBI

n       zapewnienia, że procedury bezpieczeństwa informacji wspierają wymagania biznesowe

n       zidentyfikowania i odniesienia się do wymagań przepisów prawa i wymagań nadzoru oraz zobowiązań związanych z bezpieczeństwem, a wynikających z zawartych umów

n       utrzymania odpowiedniego bezpieczeństwa przez poprawne zastosowanie wszystkich wdrażanych zabezpieczeń

n       przeprowadzenia przeglądów, kiedy zachodzi taka potrzeba, oraz odpowiedniego reagowania na wyniki tych przeglądów

n       poprawy skuteczności SZBI tam, gdzie jest to wymagane

 Szkolenie, uświadamianie i kompetencje
 Wewnętrzne audyty SZBI

Organizacja powinna zapewnić, że cały personel, któremu przypisano zakresy odpowiedzialności określone w SZBI ma kompetencje do realizacji wymaganych zadań przez:

n       określenie koniecznych kompetencji personelu wykonującego prace, które mają wpływ na SZBI

n       zapewnienie szkolenia lub podjęcie innych działań (np. zatrudnienie kompetentnego personelu) w celu realizacji tych potrzeb

n       ocenę skuteczności zapewnionego szkolenia oraz podjętych działań

n       prowadzenie zapisów dotyczących edukacji, szkolenia, umiejętności, doświadczona i kwalifikacji. Organizacja powinna zapewnić także, aby cały odpowiedni personel był świadomy związku i znaczenia swoich działań dotyczących bezpieczeństwa informacji oraz wkładu dla osiągnięcia celów SZBI

 Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu, aby określić czy cele stosowania zabezpieczeń, zabezpieczenia, procesy i procedury SZBI są:

n       zgodne z wymaganiami niniejszej normy i odpowiednimi ustawami i przepisami

n       zgodne ze zidentyfikowanymi wymaganiami bezpieczeństwa informacji

n       skutecznie wdrożone i utrzymywane

n       zgodne z oczekiwaniami


Jan van Corven
biuletyn@corbo.com.pl



Copyright C 2001 CORBO Polska