Informacje w organizacji znajdują się na różnych nośnikach. Mogą być zapisane i przechowywane w wersji papierowej, na nośnikach magnetycznych, płytach CD, przenośnych pamięciach. Cenne informacje przesyłamy, przekazujemy w postaci prezentacji, zdjęć i przekazujemy ustnie. Szacuje się, że ok. 30 % informacji organizacji przechowywanych jest na nośnikach papierowych, 30-40% pozostaje w umysłach pracowników, ok. 30-40% na nośnikach elektronicznych.
Wiele z tych danych to dane bardzo istotne, a konsekwencje ich utraty mogą być bardzo groźne dla przedsiębiorstwa.
Należy je chronić przed różnymi zagrożeniami, w taki sposób by zapewnić ciągłość prowadzenia działalności, zminimalizować straty, maksymalizować zwrot nakładów na inwestycje i działania o charakterze biznesowym. System zarządzania bezpieczeństwem informacji ma za zadanie zapewnić dostęp informacji, jednak tym osobom, które mają uprawnienia w zakresie zgodnym z potrzebami, ma również chronić przed utratą informacji lub dostępem do niej przez niepowołane osoby oraz ma wprowadzać porządek i opisywać działania operacyjne firmy, by utrwalić dobre praktyki wśród pracowników. SZBI to również sposób na utrzymanie integralności informacji. Oznacza to, że mają być one dokładne, wiarygodne i kompletne poprzez zapobieganie celowemu lub przypadkowemu zniszczeniu lub tak zafałszowaniu informacji.
We wdrożeniu Polityki Bezpieczeństwa bądź szczerzej – systemu zarządzania bezpieczeństwem informacji służą norma PN-ISO/IEC 17799:2005 (BS 7799-1:2000). Zamieszczono w niej praktyczne zasady mogące być punktem wyjścia do tworzenia przez organizację własnych wytycznych polityki bezpieczeństwa informacji spójnej z polityką bezpieczeństwa firmy i uwzględniającej specyfikę i wielkość instytucji. Intencją twórców tej normy było dostarczenie wspólnej, możliwie jednolitej podstawy do rozwijania przez organizację własnych standardów BI i efektywnego sposobu nim zarządzania. Celem normy jest także budowanie zaufania w kontaktach między instytucjami, które powierzają sobie swoje zasoby informacyjne lub je współdzielą.
Normą drugiego typu zawierającą wytyczne dotyczące systemu zarządzania jest ISO 27001 (PN-I–07799-2:2005) (BS 7799-2:2002) systemy zarządzania bezpieczeństwem informacji-część 2: specyfikacja i wytyczne stosowania. Mówi ona o tym jak należy zaprojektować system zarządzania bezpieczeństwem informacji i jak go utrzymać aby stale odpowiadał szybko zmiennym warunkom otoczenia. W tej normie określono wymagania dotyczące ustanawiania wdrażania, eksploatacji, śledzenia (monitorowania)i przeglądów oraz utrzymywania i doskonalenie udokumentowanego SZBI.
Duży nacisk położono na spójność SZBI z innymi funkcjonującymi w organizacji systemami zarządzania a szczególnie z systemem zarządzania jakością i systemem zarządzania środowiskowego. Dodatkowo organizacje wdrażające SZBI muszą pamiętać o wymaganiach prawnych. Polskie ustawy dotyczące ochrony danych wciąż nie są przestrzegane w organizacjach a wielu z nich dotyczą. Są to ustawy o:
· Ochronie informacji niejawnych
· Ochronie danych osobowych
· Ochronie osób i mienia
· Ochronie konkurencji i konsumentów
· Rachunkowości
· oraz Kodeks Spółek Handlowych
Na zgodność z tą normą organizacja może certyfikować swój system zarządzania bezpieczeństwem informacji i właśnie to tą normę a nie BS 7799 wdrażać powinny przedsiębiorstwa. Okres przejściowy dla firm z systemem wg starej wersji normy trwa do października 2007 roku.
Przedsiębiorstwo, które zamierza wdrożyć system i certyfikować SZBI muszą przejść etapy związanie z określeniem zakresu samego systemu, oszacować wartości występujące w firmie, określić politykę bezpieczeństwa i systematycznego podejścia do szacowania ryzyk. Analiza ryzyka powinna hierarchizować, które informacje są najważniejsze dla ciągłości działania firmy i to gdzie się znajdują (na których nośnikach) i co im zagraża ale także na bieżąco monitorować, jak zmienia się ich bezpieczeństwo. Wdrażanie systemu bezpieczeństwa informacji często uświadamia organizacji jakie mogą być skutki utraty pewnych ważnych informacji, dlatego należy określić straty biznesowe i skutki naruszenia ich bezpieczeństwa, a następnie określić warianty postępowania z zagrożeniami. Organizacja powinna przystąpić do opracowania dokumentacji systemowej w tym i instrukcji dla pracowników, które pomagają wyrobić nawyki i utrwalić zasady postępowania np.: z systemem informatycznym przy przetwarzaniu danych osobowych. W celu zapewnienia działania systemu po wdrożeniu niezbędny jest monitoring i przeglądy oraz ciągle doskonalenie.
Ponieważ większość organizacji obecnie jest skomputeryzowana i działa w sieci, a na serwerach przechowuje właśnie cenne dane, wiele organizacji przy SZBI skupia się na zabezpieczeniach sieci i systemów, które i tak są z reguły bardzo dobrze utrzymane, natomiast bardzo istotne są również:
- Bezpieczeństwo fizyczne, które oznacza wyznaczenie granic obszarów bezpiecznych, zabezpieczenie wejścia do ważnych pomieszczeń, ochronę przed zagrożeniami zewnętrznymi i środowiskowymi oraz określenie zasad postępowania w obszarach bezpiecznych i dostępu publicznego np. przy dostawach i załadunkach.
- Zabezpieczenia sprzętu tj.: Rozmieszczenie sprzętu i jego ochrona, zasilanie, bezpieczeństwo okablowania, konserwacja sprzętu, zabezpieczenie sprzętu poza siedzibą firmy, bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia, wynoszenie mienia.
- Bezpieczeństwo logiczne czyli zarządzania dostarczeniem usług przez strony trzecie: system obejmuje dostarczanie usług, wprowadza monitorowanie i przegląd usług które organizacja zleca do wykonania podwykonawcom i również zarządza zmianami w usługach stron trzecich.
Dalej skupiając się na bezpieczeństwie systemu informatycznego należy mieć na uwadze zagadnienia dotyczące:
· Bezpieczeństwa logiczne przy planowaniu i obiorze systemu,
· Ochronie przed szkodliwym oprogramowaniem i kodem mobilnym,
· Dotyczących kopii zapasowych informacji,
· Zabezpieczeń sieci i usług sieciowych,
· Postępowania z nośnikami,
· Wymiany informacji, usług i handlu poprzez internet o raz
· W jaki sposób monitorować użycie systemu.
· Kontrola dostępu wg zakresu odpowiedzialności użytkowników
· Kontrola dostępu do sieci
· Kontrola dostępu do systemów operacyjnych
· Kontrola dostępu do aplikacji i informacji
· Kontrola dostępu przy pracy na odległość
· Dobór i utrzymanie sprzętu i oprogramowania
Bardzo istotnym elementem SZBI jest zarządzanie incydentami związanymi z bezpieczeństwem informacji. Organizacja powinna uczyć się wychwytywać i raportować zdarzenia i słabe punkty mające wpływ na bezpieczeństwo informacji. Należy określać odpowiedzialność i procedury postępowanie w razie ich wystąpienia.
Organizacja powinna przewidzieć incydenty takie jak
· Utrata sprzętu czy infrastruktury, usługi,
· Niewłaściwe działanie systemu lub jego przeciążenie,
· Błędy ludzkie
· Niezgodność z wytycznymi lub polityką bezpieczeństwa
· Naruszenie bezpieczeństwa fizycznego
· Niekontrolowane zmiany i modyfikacje systemu
· Włamania do systemu
· Wirusy i konie trojańskie
Organizacja powinna podejmować działania w celu wyeliminowania przyczyn powstania incydentu, tak aby zapobiec powtórnym wystąpieniom. Stąd tak ważne jest, by stworzyć procedurę związaną z zarządzaniem incydentami i określić wymagania takiej jak identyfikacja niezgodności, stwierdzenie przyczyn jej wystąpienia, ocena potrzeby działań zapobiegających powtórzeniom, wskazania i wdrożenie działań korygujących, sporządzanie zapisów rezultatów działań i przeglądu podjętych działań.
Przed certyfikacją organizacja powinna przeprowadzić audity, by zweryfikować czy poszczególne elementy SZBI są zgodne z międzynarodowymi standardami, przepisami i obowiązującym prawem oraz i czy zgadzają się ze zidentyfikowanymi wymaganiami bezpieczeństwa informacji, a także czy są skutecznie wdrożone i zarządzane i wykonywane zgodnie z przyjętymi zasadami i instrukcjami.
Należy pamiętać, że nie jest możliwe stworzenie systemu, który byłby w 100% bezpieczny, należy dążyć do ideału ale trudno osiągnąć stan równowagi pomiędzy wymaganą w normie ISO 9001 skuteczną komunikacją wewnętrzną a kontrolą dostępu, o której wspominają standardy dotyczące bezpieczeństwa informacji.
