Wdrażanie systemu zarządzania bezpieczeństwem informacji

Procedura przygotowania i wdrożenia systemu zarządzania bezpieczeństwem informacji została opisana w punktach 4.2 i 4.3 normy ISO 27001. Składa się ona z następujących kroków:

• określenie zakresu i granic SZBI,
• określenie polityki SZBI,
• określenie podejścia do szacowania ryzyka,
• określenie ryzyka,
• analiza i ocena ryzyka,
• identyfikacja i ocena wariantów postępowania z ryzykiem,
• wybranie zabezpieczeń,
• akceptacja ryzyka szczątkowego,
• uzyskanie autoryzacji dla wdrożenia systemu,
• opracowanie deklaracji stosowania,
• opracowanie planu postępowania z ryzykiem,
• wdrożenie planu postępowania z ryzykiem,
• wdrożenie zabezpieczeń,
• określenie sposobów mierzenia skuteczności zabezpieczeń,
• szkolenie pracowników i współpracowników.

Zakres systemu zarządzania bezpieczeństwem informacji nie może być dowolnie określony, bowiem musi uwzględniać charakter działalności organizacji. Błędem jest podmiotowe lub przedmiotowe ograniczanie systemu, które może spowodować jego niepełną sprawność. Przykładowo wprowadzenie systemu wyłącznie w biurze obsługi klienta lub tylko w zakresie systemu informatycznego z pewnością nie przyniesie oczekiwanych efektów. W przypadku, gdy organizacja wdrożyła już system zarządzania jakością, dobrym rozwiązaniem jest jego integracja z SZBI. Działanie takie przyczynia się do skrócenia czasu wdrożenia, a jednocześnie do obniżenia kosztów funkcjonowania.

Pomiędzy wspomnianymi systemami występuje wiele podobieństw, jak choćby struktura dokumentacji, na której szczycie znajduje się polityka SZBI. Jej zadaniem jest określenie głównych kierunków i zasad działania w zakresie zapewnienia bezpieczeństwa informacji. Z punktu widzenia zarządzania strategicznego, polityka może być traktowana jako element strategii dotyczący prawidłowego funkcjonowania systemu informacyjnego. Takie spojrzenie pozwala w przypadku zintegrowanego systemu zarządzania na łatwiejsze zarządzanie wieloma politykami występującymi w firmie.

Kluczowym etapem projektowania systemu zarządzania bezpieczeństwem informacji jest opracowanie metody szacowania ryzyka. Norma ISO 27001:2005 nie wskazuje na konkretną metodę, zostawia w tym względzie pewną dowolność. Takie podejście jest uzasadnione, bowiem systemy są wdrażane w różnych organizacjach. Propozycję metody zawiera natomiast norma ISO TR 13335-3:1998. Ogranicza się ona wprawdzie do systemów informatycznych, jednak może być z łatwością zaadaptowana do szerszej kategorii jaką jest system informacyjny¹. Metoda musi być przygotowana w sposób, który umożliwi wielokrotne jej powtarzanie i zapewni porównywalność wyników. Powinna ona uwzględniać nie tylko wymagania prawne, ale także związane z działalnością organizacji. Metoda musi zawierać kryteria, które pozwolą na zdefiniowanie akceptowalnych poziomów ryzyka, a na tej podstawie na podjęcie decyzji o akceptacji.

Norma ISO 27001:2005 wymaga, aby określenie ryzyka było prowadzone w czterech krokach:

1. identyfikacja jakie aktywa (informacje, sprzęt, itp.) znajdują się w organizacji w zakresie wdrażania SZBI oraz kto jest za nie odpowiedzialny,
2. identyfikacja co może stanowić zagrożenie dla tych aktywów,
3. identyfikacja podatności, czyli słabych stron aktywów, które zostać wykorzystane przez zagrożenia,
4. identyfikacja konsekwencji dla aktywów, które mogą mieć miejsce w przypadku wystąpienia zagrożeń.

Nie zostało w normie wskazane jednoznacznie, że zagrożenia i podatności powinny być zidentyfikowane indywidualnie dla każdego typu aktywów, jednak audytorzy certyfikujący systemy niechętnie odnoszą się do metod, w których podatności zostały określone grupowo². Identyfikacja ryzyka jest działaniem pracochłonnym i wymaga uczestnictwa przedstawicieli wszystkich komórek organizacyjnych. Z tego powodu optymalnym sposobem jego przeprowadzenia jest forma szkolenia połączonego z warsztatami.

Analiza ryzyka jest prowadzona na podstawie wyników identyfikacji. Jej celem jest wskazanie strat, jakie może spowodować naruszenie poufności, dostępności, dokładności lub kompletności (integralości) aktywów³. Następnie należy wskazać na prawdopodobieństwo wystąpienia incydentów naruszenia bezpieczeństwa oraz strat uwzględniając przy tym stosowane obecnie zabezpieczenia. Na tej podstawie możliwe jest oszacowanie poziomu ryzyka i podjęcie decyzji czy jest ono akceptowalne, czy też konieczne jest podjęcie dodatkowych działań zabezpieczających.

Norma proponuje cztery rozwiązania: wprowadzenie zabezpieczeń, świadome zaakceptowanie ryzyka, unikanie ryzyka lub przeniesienie go na inne organizacje, np. ubezpieczycieli. Wybór zabezpieczeń jest ułatwiony dzięki obecności w normie listy ponad 100 propozycji, których wdrożenie należy rozważyć. Lista została opracowana na podstawie zasad zarządzania bezpieczeństwem informacji opublikowanych w normie ISO 27002 (poprzednio: ISO 17799).

Akceptacja ryzyka szczątkowego (akceptowalnego) przez kierownictwo oraz zgoda na wdrożenie stanowią przejście od fazy projektowania do implementacji systemu zarządzania bezpieczeństwem informacji. Efektem zakończonej fazy projektowania jest deklaracja stosowania SZBI, która zawiera opis wybranych i wdrożonych zabezpieczeń, a także ewentualne uzasadnienia wyłączenia niektórych zabezpieczeń zalecanych przez normę.

Fazę wdrożenia rozpoczyna opracowanie i wdrożenie planu postępowania z ryzykiem, w którym należy określić działania, które powinny zostać podjęte, ich kolejność oraz wskazać stanowiska odpowiedzialne za wprowadzanie zmian. Dalszym etapem jest wdrożenie zabezpieczeń przewidzianych w deklaracji stosowania oraz określenie sposobu mierzenia ich skuteczności. Pomiar powinien umożliwić w przyszłości nie tylko ocenę działania systemu, ale także efektów porównywanie zmian w czasie. Końcowym etapem fazy wdrożeniowej jest przeprowadzenie szkoleń. Ich celem jest zaznajomienie pracowników z nowymi sposobami organizacji pracy i wyjaśnienie przyczyn wprowadzanych zmian.