W normie zastosowano
podejście procesowe w celu ustanawiania, wdrożenia, eksploatacji,
monitorowania, przeglądu, utrzymania i doskonalenia Systemów Zarządzania
Bezpieczeństwem Informacji (SZBI) w organizacji. Działanie
wykorzystujące zasoby i zarządzane w celu przekształcenia wejść w
wyjścia można rozpatrywać jako proces. Zastosowanie systemu procesów w
organizacji, wraz z identyfikacją i interakcją tych procesów, a także
zarządzanie nimi można określić jako podejście procesowe.
n
Zrozumienie wymagań bezpieczeństwa informacji w organizacji oraz
ustanowienie zasad i celów bezpieczeństwa informacji.
n
Wdrożenie
i eksploatacja zabezpieczeń w celu zarządzania ryzykiem bezpieczeństwa
informacji w kontekście całkowitego ryzyka biznesowego organizacji
n
Monitorowanie i przegląd wydajności oraz skuteczności SZBI
n
Ciągłe
doskonalenie w oparciu o obiektywny pomiar
Model
Planuj – Wykonuj – Sprawdzaj – Działaj (PDCA)
Norma ISO 27001
dostarcza pełen model wdrożenia zasad podanych w zaleceniach OECD
(2OO2), na których opiera się szacowanie ryzyka, projektowanie i
wdrażanie bezpieczeństwa, zarządzanie bezpieczeństwem i ponowne
szacowanie.
System
zarządzania bezpieczeństwem informacji (SZBI)
Organizacja powinna
ustanowić, wdrożyć, eksploatować, monitorować, przeglądać. utrzymywać i
stale doskonalić udokumentowany SZBI w kontekście prowadzonej
działalności i ryzyka występującego w organizacji. Proces opiera się na
modelu PDCA.
Ustanowienie
i zarządzanie SZBI
Organizacja powinna podjąć następujące działania
n
Zdefiniować zakres i granice SZBI, uwzględniając charakterystykę
prowadzonej działalności, organizację, jej lokalizację, aktywa i
technologie.
n
Zdefiniować politykę SZBI uwzględniającą charakterystykę prowadzonej
działalności, organizacji, jej lokalizacji, aktywów i technologii.
n
Zdefiniować podejście do szacowania ryzyka w organizacji.
n
Określić
ryzyka.
n
Analizować i oceniać ryzyka.
n
Zidentyfikować i ocenić warianty postępowania z ryzykiem.
n
Wybrać
cele stosowania zabezpieczeń i zabezpieczenia jako środki postępowania z
ryzykiem.
n
Uzyskać
akceptację kierownictwa dla proponowanych ryzyk szczątkowych.
n
Uzyskać
autoryzację kierownictwa do wdrażania i eksploatacji SZBI.
n
Przygotować deklarację stosowania.
Wdrożenie
i eksploatacja SZBI
Organizacja powinna podjąć następujące działania:
n
Sformułować plan postępowania z ryzykiem, w którym są określone
odpowiednio działania kierownictwa, zakresy odpowiedzialności oraz
priorytety dla zarządzania ryzykami związanymi z bezpieczeństwem
informacji.
n
Wdrożyć
plan postępowania z ryzykiem w celu osiągnięcia zidentyfikowanych celów
stosowania zabezpieczeń, które obejmują rozważenie przydzielania ról i
zakresów odpowiedzialności.
n
Wdrożyć
zabezpieczenia tak, aby osiągnąć cele stosowania zabezpieczeń.
n
Zdefiniować jak mierzyć skuteczność wybranych zabezpieczeń i grup
zabezpieczeń oraz określić jak te mierniki powinny być stosowane w
ocenie skuteczności zabezpieczeń aby otrzymać porównywalne i powtarzalne
rezultaty.
n
Wdrożyć
programy uświadamiania i szkolenia.
n
Zarządzać
eksploatacją SZBI.
n
Zarządzać
zasobami SZBI.
n
Wdrożyć
procedury i inne zabezpieczenia zdolne do zapewnienia natychmiastowego
wykrycia i reakcji na incydenty związane z naruszeniem bezpieczeństwa.
Monitorowanie i
przegląd SZBI
Organizacja powinna podjąć następujące działania:
n
Wykonywać
procedury monitorowania i przeglądu i inne zabezpieczenia.
n
Wykonywać
regularne przeglądy skuteczności SZBI (w tym zgodności z polityką i
celami SZBI oraz przeglądy zabezpieczeń), biorąc pod uwagę wyniki
audytów bezpieczeństwa, incydentów, rezultatów pomiarów skuteczności,
sugestii oraz informacji zwrotnych od wszystkich zainteresowanych stron.
n
Wykonywać
pomiary skuteczności zabezpieczeń w celu weryfikacji ich zgodności z
wymaganiami bezpieczeństwa.
n
Wykonywać
przeglądy szacowania ryzyka w zaplanowanych odstępach czasu, przeglądy
ryzyka szczątkowego oraz przeglądy poziomów ryzyka akceptowalnego,
biorąc pod uwaga zmiany:
n
w
organizacji
n
technologii
n
celów
biznesowych i procesów
n
zidentyfikowanych zagrożeń
n
skuteczności wdrożonych zabezpieczeń
n
zewnętrznych zdarzeń, takich jak zmiany prawa lub stosownych regulacji,
zmiany wynikające z umów
n
oraz
zmiany o charakterze społecznym.
n
Przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu.
n
W
regularnych odstępach czasu wykonywać przeglądy SZBI realizowane przez
kierownictwo.
n
Uaktualniać plany bezpieczeństwa, mając na uwadze wyniki monitorowania i
przeglądy działalności.
n
Rejestrować działania i zdarzenia, które mogą mieć wpływ na skuteczność
lub wydajność realizacji SZBI
Utrzymanie i
doskonalenie SZBI
Organizacja powinna podjąć następujące działania:
n
Wdrażać w
SZBI zidentyfikowane udoskonalenia,
n
Podejmować odpowiednie działania korygujące lub zapobiegawcze
n
Wyciągać
wnioski z doświadczeń w dziedzinie bezpieczeństwa zarówno innych
organizacji, jak i własnych
n
Informować wszystkie zainteresowane strony o działaniach i
udoskonaleniach na odpowiednim do okoliczności poziomie szczegółowości
oraz, jeśli trzeba, uzgodnić sposób dalszego postępowania
n
Zapewnić,
że udoskonalenia osiągają zamierzone cele
Wymagania
dotyczące dokumentacji
Dokumentacja powinna
zawierać zapisy decyzji kierownictwa, zapewniać że działania są zgodne z
decyzjami kierownictwa i politykami oraz zapewniać, że zapisy rezultatów
działań są odtwarzalne.Ważne jest, aby można było wykazać powiązanie
pomiędzy wybranymi zabezpieczeniami i dotyczącymi ich rezultatami
szacowania ryzyka i procesu postępowania z ryzykiem a następnie z
odpowiednimi politykami i celami SZBI.
Nadzór nad dokumentami
i zapisami
Dokumenty
wymagane przez SZBI należy chronić i nadzorować. Należy ustanowić
udokumentowaną procedurę w celu określenia działań kierownictwa
potrzebnych do:
n
zatwierdzenia odpowiednich dokumentów przed ich wydaniem
n
przeglądu
i aktualizacji dokumentów w razie potrzeby oraz ponownego ich
zatwierdzania
n
zapewnienia, że zidentyfikowano zmiany i aktualny status zmian
dokumentów
n
zapewnienia, że najnowsze wersje odpowiednich dokumentów są dostępne w
miejscach ich stosowania
n
zapewnienia, że dokumenty pozostają czytelne i łatwe do zidentyfikowania
n
zapewnia,
że dokumenty są dostępne dla wszystkich, którzy ich potrzebują oraz że
są przesyłane, przechowywane i ostatecznie niszczone zgodnie z
procedurami odpowiednimi do ich klasyfikacji
n
zapewnienia, że dokumenty zewnętrzne są identyfikowane
n
zapewnienia, że rozpowszechnianie dokumentów jest kontrolowane
n
zapobiegania niezamierzonemu stosowaniu nieaktualnych dokumentów
n
zastosowania odpowiedniej ich identyfikacji, jeżeli są zachowane z
jakichkolwiek powodów
Nadzór nad zapisami
n
W celu
dostarczenia świadectwa potwierdzającego zgodność z wymaganiami oraz
skutecznej eksploatacji SZBI powinny być ustanowione i utrzymywane
odpowiednie zapisy. Zapisy te powinny być chronione i nadzorowane. SZBI
powinien uwzględniać wszystkie odpowiednie wymagania przepisów prawa,
wymagania nadzoru (w tym bankowego) i zobowiązania wynikające z umów.
Zapisy powinny być czytelne, łatwe do zidentyfikowania i odtwarzalne.
Należy udokumentować i wdrożyć zabezpieczenia służące identyfikowaniu,
przechowywaniu, ochronie, odtwarzaniu, archiwizacji oraz niszczeniu
zapisów.
Odpowiedzialność
kierownictwa
Kierownictwo powinno
zapewnić świadectwo swojego zaangażowania w ustanowienie, wdrożenie,
eksploatację, monitorowanie, przegląd, utrzymanie i doskonalenie SZBI
przez:
n
ustanowienie polityki SZBI oraz zapewnienie, że cele i plany SZBI
zostały ustanowione
n
określenie ról i zakresów odpowiedzialności w odniesieniu do
bezpieczeństwa informacji
n
informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa
informacji i zgodności z polityką bezpieczeństwa informacji, swojej
odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia
n
zapewnienie wystarczających zasobów do ustanowienia, wdrażania,
eksploatacji monitorowania. przeglądów, utrzymania i doskonalenia SZBI
n
podejmowanie decyzji o kryteriach akceptacji ryzyka i akceptowalnym
poziomie ryzyka
n
zapewnienie przeprowadzania wewnętrznych audytów SZBI
n
przeprowadzanie przeglądów SZBI realizowanych przez kierownictwa
Organizacja powinna określić i zapewnić zasoby potrzebne do:
n
ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu,
utrzymania i doskonalenia SZBI
n
zapewnienia, że procedury bezpieczeństwa informacji wspierają wymagania
biznesowe
n
zidentyfikowania i odniesienia się do wymagań przepisów prawa i wymagań
nadzoru oraz zobowiązań związanych z bezpieczeństwem, a wynikających z
zawartych umów
n
utrzymania odpowiedniego bezpieczeństwa przez poprawne zastosowanie
wszystkich wdrażanych zabezpieczeń
n
przeprowadzenia przeglądów, kiedy zachodzi taka potrzeba, oraz
odpowiedniego reagowania na wyniki tych przeglądów
n
poprawy
skuteczności SZBI tam, gdzie jest to wymagane
Szkolenie,
uświadamianie i kompetencje
Wewnętrzne audyty SZBI
Organizacja powinna
zapewnić, że cały personel, któremu przypisano zakresy odpowiedzialności
określone w SZBI ma kompetencje do realizacji wymaganych zadań przez:
n
określenie koniecznych kompetencji personelu wykonującego prace, które
mają wpływ na SZBI
n
zapewnienie szkolenia lub podjęcie innych działań (np. zatrudnienie
kompetentnego personelu) w celu realizacji tych potrzeb
n
ocenę
skuteczności zapewnionego szkolenia oraz podjętych działań
n
prowadzenie zapisów dotyczących edukacji, szkolenia, umiejętności,
doświadczona i kwalifikacji. Organizacja powinna zapewnić także, aby
cały odpowiedni personel był świadomy związku i znaczenia swoich działań
dotyczących bezpieczeństwa informacji oraz wkładu dla osiągnięcia celów
SZBI
Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w
zaplanowanych odstępach czasu, aby określić czy cele stosowania
zabezpieczeń, zabezpieczenia, procesy i procedury SZBI są:
n
zgodne z
wymaganiami niniejszej normy i odpowiednimi ustawami i przepisami
n
zgodne ze
zidentyfikowanymi wymaganiami bezpieczeństwa informacji
n
skutecznie wdrożone i utrzymywane
n
zgodne z
oczekiwaniami
Jan van Corven
biuletyn@corbo.com.pl
Copyright C 2001 CORBO Polska |