Audyty bezpieczeństwa firm

Polityka Bezpieczeństwa organizacji jest całokształtem działań mających na celu zidentyfikowanie oraz zdefiniowanie obiektów, zjawisk i działań, których celem jest ochrona żywotnych interesów firmy, organizacji, jej zasobów, w tym informacyjnych.

Politykę bezpieczeństwa organizacji kształtuje zarząd oraz managerowie odpowiedzialni za bezpieczeństwo w ścisłej współpracy z administratorami systemów informacyjnych.
Strategie realizacji Polityki Bezpieczeństwa określają administratorzy systemów.
Zadanie opracowania i realizacji taktyk spoczywa zarówno na administratorach jak i użytkownikach.
Prawidłowo opracowana Polityka Bezpieczeństwa powinna charakteryzować się zrozumiałym i czytelnym przedstawieniem zagadnień, opisem wszystkich najważniejszych zagadnień obejmujących sferę zarządzania oraz strategii sposobów realizacji bezpieczeństwa w organizacji.
Z Polityką bezpieczeństwa powinni zostać zapoznani wszyscy pracownicy organizacji użytkujący system informacyjny organizacji.

Zarządzanie bezpieczeństwem informacji to dziedzina obejmująca zagadnienia z pogranicza informatyki, prawa, organizacji i zarządzania, zajmująca się definiowaniem aspektów bezpieczeństwa dla instytucji i jej systemów teleinformatycznych, jego osiąganiem i utrzymywaniem. Jest to ciągły i złożony proces umożliwiający bezpieczną realizację misji, do której instytucję powołano. Proces ten zachodzi w stale zmieniającym się środowisku, przy występowaniu coraz to nowych form zagrożeń i wyzwań dla instytucji, a także przy niebywałym postępie technologicznym.

W czasach społeczeństwa informacyjnego - instytucje rządowe i komercyjne, a nawet poszczególne jednostki stają się coraz bardziej uzależnione od szybkiego, niezawodnego, a przede wszystkim bezpiecznego przetworzenia ogromnych ilości informacji. Rosnąca wartość informacji powoduje wzrost zagrożeń dla nich, stąd niezwykłej wagi problemem stała się ochrona systemów teleinformatycznych i przetwarzanych w nich informacji. Wraz z rozwojem systemów rozwijano technologię zabezpieczeń, jednak dziś same zabezpieczenia już nie wystarczają - należy je optymalnie dobierać, odpowiednio stosować w harmonii z zasadami eksploatacji systemów przetwarzania i wreszcie odpowiednio nimi zarządzać.

Zabezpieczenia są kosztowne, więc muszą być dobrane stosownie do zagrożeń oraz do wartości szkód, które by można ponieść w sytuacji, gdy ich nie zastosujemy. Dobór zabezpieczeń powinien zostać poprzedzony starannym określeniem celów bezpieczeństwa dla instytucji i jej systemów, uwzględniających realizację misji instytucji w sytuacji występowania zagrożeń. Wdrożenie zabezpieczeń nie oznacza jeszcze osiągnięcia zaplanowanego poziomu bezpieczeństwa. Równie ważnymi zadaniami są: zdefiniowanie zasad bezpiecznego przetwarzania informacji, szkolenie i uświadamianie pracowników, monitorowanie aktualnego stanu bezpieczeństwa, jak i stałe doskonalenie i adaptacja systemów oraz organizacji do zmieniającego się otoczenia.
Realizujemy kompleksowe opracowanie Polityki Bezpieczeństwa, elementów strategii jej realizacji oraz Zarządzania Bezpieczeństwem zarówno dla firm komercyjnych czy też dużych korporacji, ale także instytucji, a wszystko w oparciu o wymagane podstawy prawne i standardy normatywne.

Bezpieczeństwo IT

Jeden z elementów bezpieczeństwa odgrywający zasadniczą rolę we współczesnym świecie nasyconym urządzeniami i sieciami teleinformatycznymi.

Stosowana przez nas metodologia budowy bezpieczeństwa IT w firmie i organizacji łączy ze sobą następujące elementy:

• Bezpieczeństwo teleinformatyczne określane jest jako wszelkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, autentyczności, rozliczalności i niezawodności.

• Politykę bezpieczeństwa instytucji w zakresie systemów. Obejmuje ona zasady, zarządzenia i procedury, które określają, jak zasoby - włącznie z informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w instytucji i jej systemach teleinformatycznych.
• Politykę (zarządzanie) bezpieczeństwa informacji (systemów informatycznych) obejmuje zespół procesów zmierzających do osiągnięcia i utrzymywania ustalonego poziomu bezpieczeństwa, tzn. poziomu poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności.

Realizacja Polityki Bezpieczeństwa Informacji obejmuje działania, takie jak:

• określenie celów (co należy chronić), strategii (w jaki sposób) i polityk bezpieczeństwa systemów informatycznych w instytucji (jakie konkretne przedsięwzięcia należy podjąć),
• identyfikowanie i analizowanie zagrożeń dla zasobów,
• identyfikowanie i analizowanie ryzyka,
• określenie adekwatnych zabezpieczeń,
• monitorowanie wdrożenia, eksploatacji (skuteczności) zabezpieczeń,
• opracowanie i wdrożenie programu szkoleniowo-uświadamiającego,
• wykrywanie incydentów i reakcja na nie.

Zarządzanie bezpieczeństwem systemów informatycznych
jest zbiorem procesów zawierających inne procesy bezpośrednio lub pośrednio związane z bezpieczeństwem. Kluczowym jest tu proces zarządzania ryzykiem z podprocesem analizy ryzyka. Istotnymi z punktu widzenia bezpieczeństwa są również procesy zarządzania konfiguracją oraz zarządzania zmianami.

Zarządzanie ryzykiem powinno być prowadzone podczas całego okresu eksploatacji systemu, wtedy tylko gwarantowana jest jego efektywność. Analiza ryzyka - jest głównym procesem zarządzania ryzykiem, identyfikuje ryzyko, które ma być kontrolowane lub akceptowane. Analiza ryzyka obejmuje ocenę wartości zasobów, zagrożeń, podatności i następstw w aspekcie naruszenia poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Pełny cykl analizy ryzyka może być stosowany:

• dla nowych systemów,
• dla eksploatowanych systemów - w dowolnym momencie życia systemu,
• podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń,
• podczas projektowania systemu,
• przy planowaniu znaczących zmian w systemie.

Proces zarządzania ryzykiem sprowadza się do porównywania określonego ryzyka z zyskami i/lub kosztami zabezpieczeń oraz wypracowywania strategii ich wdrożenia oraz polityki bezpieczeństwa instytucji w zakresie systemów informatycznych zgodnej z polityką bezpieczeństwa instytucji i celami działania instytucji. Po analizie zysków i/lub kosztów oraz potencjalnych następstw spośród wielu możliwych do zastosowania zabezpieczeń wybierane jest właściwe, przy jednoczesnej akceptacji wielkości ryzyka szczątkowego. Należy ponadto mieć na uwadze, że zabezpieczenia mogą wprowadzać własne podatności. Trzeba więc skupić uwagę nie tylko na redukcji znanego ryzyka, lecz również nie wprowadzać nowego, związanego z zabezpieczeniem.

Stosowane są różne metody analizy ryzyka. Niezależnie od tego, jakiej użyjemy, decydująca jest równowaga między czasem a kosztem identyfikacji, kosztem zabezpieczeń a osiągniętym poziomem bezpieczeństwa. Analiza ryzyka jest pracochłonna, jednak w większości systemów wystarczy wprowadzenie tzw. ochrony podstawowej, którą określa się jako minimalny zbiór zabezpieczeń ustalony dla systemu lub instytucji.

Skuteczność działań w dziedzinie bezpieczeństwa zależy od osiągnięcia i utrzymywania wysokiego poziomu fachowości i świadomości personelu, który jest powszechnie uważany za najsłabsze ogniwo. Osiąga się to przez program działań uświadamiających, szkoleniowych, motywujących i dyscyplinujących. Program musi dotykać wszystkich szczebli organizacji instytucji i musi być dostosowany do ich specyfiki.

Bezpieczeństwo musi być utrzymywane i ciągle monitorowane. Analizowany jest wpływ zmian na bezpieczeństwo, kontrolowana permanentnie rozliczalność, sprawdzane są - coraz częściej automatycznie - dzienniki działań (logi), używane są narzędzia do wykrywania i odstraszania intruzów, praktykowany jest kontrolowany audyt itp.

Nawet najlepsze zabezpieczenia nie likwidują do końca ryzyka szczątkowego. Należy być zawsze przygotowanym na wypadek niekorzystnych zdarzeń, mając przygotowane różne warianty planów awaryjnych, opisujące różne scenariusze zachowań, uwzględniające między innymi:

• różne okresy trwania awarii,
• częściową lub pełną utratę funkcjonalności,
• brak dostępu do pomieszczeń lub budynków zajmowanych przez instytucję.

Plany odtwarzania po katastrofach opisują sposoby przywrócenia systemu do pierwotnego stanu, uwzględniając elementy, takie jak:

• kryteria definiujące katastrofę,
• odpowiedzialnego za wprowadzenie w życie planu odtwarzania,
• odpowiedzialnych za poszczególne działania odtwarzające,

opis działań odtwarzających.

Cele działania instytucji tworzą razem plany, strategie i politykę bezpieczeństwa w zakresie systemów informatycznych dla instytucji. Instytucja musi mieć zapewnioną możliwość prawidłowego funkcjonowania, z ryzykiem ograniczonym do akceptowalnego poziomu. Nie istnieją absolutnie skuteczne zabezpieczenia, stąd instytucja musi być przygotowana do odtwarzania swego stanu po incydentach.

Opracowujemy szczegółowe warunki bezpieczeństwa dla systemów teleinformatycznych zawarte w ustawie o ochronie informacji niejawnych oraz zgodnie z wymaganiami zawartymi w Rozporządzeniu Rady Ministrów z dnia 25 sierpnia 2005 r w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz.U.05.171.1433 z 2005 r.). W przypadku przetwarzania danych zawartych w ustawie o ochronie danych osobowych opracowujemy procedury i wymagania zgodnie z Rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.04.100.1024

Polityka bezpieczeństwa

Podstawowym dokumentem regulującym zasady ochrony informacji w przedsiębiorstwie jest polityka bezpieczeństwa.

Ogólne bezpieczeństwo informacji ma szersze znaczenie niż bezpieczeństwo teleinformatyczne, gdyż obejmuje także informację znajdującą się poza systemami teleinformatycznymi, występującymi na nośnikach tradycyjnych np. dokumentach papierowych, mikrofilmach lub środkach łączności i zapisu akustyczno-wizualnego. Jednak ze względu na podstawową rolę elektronicznego przetwarzania informacji we współczesnych organizacjach, bezpieczeństwo teleinformatyczne zajmuje dominującą rolę i jest często utożsamiane z bezpieczeństwem informacji.

Ponadto bezpieczeństwo teleinformacyjne, związane ze stosowaniem środków łączności, zostało wchłonięte, ze względów technologicznych, przez bezpieczeństwo teleinformatyczne.

Szczególne znaczenie dla kompleksowego przedstawienia zagadnień bezpieczeństwa informacji ma trójpoziomowy model odniesienia oparty o cele, strategie i polityki organizacji.

• Cel – identyfikuje to co ma być osiągnięte,
• Strategia – określa jak osiągnąć wytyczony cel,
• Polityka – podaje konkretne zasady realizacji.

Na pierwszym poziomie są precyzowane podstawowe zasady bezpieczeństwa i wytyczne dla całej organizacji. Wyrażone jest to w postaci polityki bezpieczeństwa instytucji.
Na poziomie drugim modelu odniesienia rozpatrywane jest bezpieczeństwo konkretnych systemów teleinformatycznych, bezpieczeństwa fizycznego oraz osobowego. Określa się to mianem polityki bezpieczeństwa teleinformatycznego instytucji.
Trzeci poziom bezpieczeństwa organizacji dotyczy bezpieczeństwa systemów teleinformatycznych funkcjonujących w organizacji. Określane jest to jako zestaw praw, zasad i najlepszych praktyk, regulujących sposób ochrony informacji wrażliwej oraz usług krytycznych wewnątrz określonego systemu.

Polityka bezpieczeństwa jest wyrażeniem tych celów i szczegółowym opisem sposobów ich realizacji do poziomu technicznych procedur włącznie.
Bez zbudowania systemu zarządzania bezpieczeństwem i stworzenia polityki bezpieczeństwa, organizacje często są zarządzane w oparciu o intuicję oraz rozmyte "zasady".
Prowadzi to do nadmiernego rozbudowania zabezpieczeń i nieuzasadnionego wzrostu kosztów utrzymania, zaniedbania systemów lub narażenia firmy na duże straty wynikające z incydentów, których można było uniknąć.

Można stwierdzić, że cele, strategie i polityki mogą być opracowane hierarchicznie od poziomu instytucji do poziomu eksploatacyjnego. Zaleca się, aby odzwierciedlały one potrzeby instytucji i uwzględniały wszelkie występujące w instytucji ograniczenia; jednorodność powinna być zapewniona na każdym poziomie i pomiędzy poziomami. Bezpieczeństwo wchodzi w skład odpowiedzialności na każdym poziomie kierowniczym instytucji i w każdej fazie cyklu życia systemów. Cele, strategie i polityki powinny być utrzymywane i aktualizowane w oparciu o wyniki cyklicznych przeglądów bezpieczeństwa (na przykład analizy ryzyka, audytów bezpieczeństwa) oraz zmian w celach działania instytucji.

Trójpoziomowy model odniesienia przenosi się na strukturę zarządzania bezpieczeństwem oraz strukturę opracowanej dokumentacji zarządzania bezpieczeństwem informacji.

Tworząc Politykę bezpieczeństwa opieramy się na procesach wynikających z:

• Wymagań polskiego prawa
• Wytycznych norm i poradników (PN-ISO 27001:2005, PN-ISO/IEC 27001:2007, PN-I-13335-1:1999)

Kompleksowa polityka bezpieczeństwa każdego poziomu powinna uwzględniać wszystkie niezbędne elementy i tworzyć spójny synergetyczny system.

Zasada synergii oznacza współpracę różnych czynników (w tym przypadku elementów – podsystemów bezpieczeństwa), której efekt jest większy niż suma ich oddzielnego działania. Inaczej formułując, synergiczność działań - wspólne działanie dające większe, lepsze efekty; działania uzupełniają się poprzez synchronizacje.

W każdym ujęciu polityka bezpieczeństwa powinna uwzględniać:

• Podsystem ochrony teleinformatycznej
• Podsystem ochrony fizycznej i środowiska
• Podsystem zarządzania zasobami ludzkimi (bezpieczeństwo osobowe)
• Zgodność z aktami prawnymi i normatywnymi mającymi wpływ na przebieg funkcjonowania procesów biznesowych
• Podsystem zarządzania bezpieczeństwem

W każdym modelu zarządzania bezpieczeństwem należy uwzględnić różne zagrożenia na jakie potencjalnie narażone są zasoby [aktywa]. Zbiór zagrożeń ulega stałym zmianom w czasie i jest znany tylko częściowo.

Istotą funkcjonowania każdego modelu jest zapewnienie bezpiecznego, skutecznego i efektywnego przebiegu procesu działania i eliminacja potencjalnych zagrożeń.

Model zarządzania bezpieczeństwem powinien zawierać następujące elementy:

• Klasyfikacji informacji (chronionej ustawowo i prawnie np. niejawna, wrażliwa, krytyczna itd).
• Analizy (zagrożeń i oceny) ryzyka.
• Systemów zabezpieczeń (z ich technologiami).
• Polityki bezpieczeństwa informacji (z jej składowymi).
• ISMS (systemu zarządzania bezpieczeństwem informacji).

System bezpieczeństwa organizacji powinien być systemem kompleksowym, tzn. wszystkie metody ochrony fizycznej, organizacyjnej, kadrowej, teleinformatycznej muszą być stosowane łącznie w spójny sposób, inaczej system taki będzie posiadał luki – synergia działania.

Zarządzanie bezpieczeństwem systemów informatycznych oznacza ciągły proces składający się z pewnej liczby innych procesów (subprocesów).
Dla celów jednoznacznego i przejrzystego zaprezentowania w tym rozdziale zagadnień określono definicję terminu proces.

I tak zgodnie ze słownikiem języka polskiego:
Proces oznacza przebieg następujących po sobie i powiązanych przyczynowo określonych zmian, stanowiących stadia, fazy, etapy rozwoju czegoś; przebieg, rozwijanie się, przeobrażanie się czegoś.

Zgodnie z normą PN-I-13335-1:1999 do najistotniejszych procesów wchodzących w skład procesu zarządzania bezpieczeństwem systemów informatycznych można zaliczyć:

• zarządzanie konfiguracją,
• zarządzanie zmianami,
• zarządzanie ryzykiem.

Zarządzanie konfiguracją jest procesem weryfikacji zmian w systemie.
Podstawowym celem bezpieczeństwa w tym zakresie jest wiedza i świadomość wprowadzonych zmian.

Zarządzanie konfiguracją ma gwarantować:

• wprowadzanie zmian, które nie obniżą efektywności funkcjonowania systemu, skuteczności mechanizmów zabezpieczających oraz ogólnego bezpieczeństwa organizacji,
• wprowadzanie stosownych zmian dotyczących planowania ciągłości działania i odtwarzania po katastrofie.

Proces zarządzania konfiguracją nie dotyczy tylko zmian konfiguracji, lecz również obejmuje:

• weryfikację legalności oprogramowania,
• sprawdzenie mechanizmów kontrolnych przechowywania oprogramowania
• inwentaryzację zasobów organizacji.
• istnienie procedur gwarantujących, że w rejestrze zasobów wskazane są wyłącznie istniejące i autoryzowane składniki konfiguracji;
• stosowanie procedur zapewniających rejestrowanie wszelkich zmian konfiguracji;
• aktualność, spójność i kompletność rejestru konfiguracji;
• istnienie konfiguracji wzorcowej, czyli punktu kontrolnego używanego do ewentualnego powrotu po zmianach;
• stosowanie oprogramowania antywirusowego;
• stosowanie procedur zabraniających używania własnego i nielicencjonowanego oprogramowania;
• istnienie polityki zarządzania wersjami;
• stosowanie procedur sprawdzania legalności oprogramowania.

Szybki rozwój usług i technologii, a także ciągłe pojawianie się nowych zagrożeń oraz podatności sprawia, że systemy informatyczne podlegają nieustanny zmianom. Mogą one dotyczyć:

• nowych procedur i funkcji systemu,
• aktualizacji oprogramowania, zmian sprzętowych,
• pojawienia się nowych użytkowników,
• wprowadzenia dodatkowych połączeń sieciowych i międzysieciowych.

Każda planowana zmiana w systemie informatycznym powinna być poddana analizie pod kątem jej wpływu na bezpieczeństwo, z uwzględnieniem związanych z nią rodzajów ryzyka oraz potencjalnych zysków i kosztów.

Skuteczny proces zarządzania zmianami zapewnia spójność infrastruktury informatycznej, odpowiedni poziom bezpieczeństwa informacji przy projektowaniu nowych rozwiązań oraz wdrożenie komponentów o wysokiej jakości.

Wdrożenie polityki bezpieczeństwa opiera się na szkoleniach wszystkich klas użytkowników i wprowadzaniu poprawek do systemów.

Opis certyfikacji

Zarządzanie bezpieczeństwem informacji jest zjawiskiem stosunkowo nowym na rynku polskim, w przeciwieństwie do krajów rozwiniętych i często niewłaściwie rozpoznanym i interpretowanym przez kierownictwo i personel działów informatycznych organizacji.

Systemy zarządzania bezpieczeństwem są coraz bardziej skomplikowane, a proces ich opracowania jest coraz kosztowniejszy.

Znaczenia nabiera problem oceny jakości samych systemów, ale także prawidłowości procesu ich opracowania i wdrażania.

Tymi zagadnieniami zajmują się akredytowane firmy, które po dokonaniu wizyt w organizacji, ocenieniu jej systemu zarządzania wystawiają Certyfikat wykazujący, że organizacja spełnia zasady określone w normie ISO/IEC 27001.

Po otrzymaniu Certyfikatu rejestracji auditowana firma, jest w sposób regularny odwiedzana przez organizację certyfikującą, w celu oceny, czy firma ta nadal działa zgodnie z wymaganiami normy i doskonali system zarządzania.

Z przeprowadzonych procesów Certyfikacji wynikają korzyści, pozwalające udowodnić firmom konkurencyjnym, klientom, inwestorom oraz pracownikom, że dana firma spełnia określone normy, jej działalność jest efektywna a myślenie ukierunkowane na przyszłość. Proces regularnych auditów zapewnia ciągłość stosowania, monitorowania i usprawniania działalności, co zwiększa odpowiedzialność, zaangażowanie i motywację personelu. W dużej mierze uzyskanie Certyfikatu może mieć wpływ na całokształt działalności poszerzając możliwości utrzymania się na rynku biznesowym.
 

Norma ISO 27001

Norma ISO/IEC 27001:2005 jest międzynarodowym standardem dotyczącym zarządzania bezpieczeństwem informacji wydanym w 2005 przez ISO (International Organization for Standardization) i Międzynarodowy Komitet Elektrotechniczny (International Electrotechnical Commission) opracowanym na podstawie wycofanej już brytyjskiej normy BS7799-2:2002. Istnieją również wydane przez Polski Komitet Normalizacyjny polskie odpowiedniki obu standardów - aktualny PN-ISO/IEC 27001:2007 oraz wycofany PN-I-07799:2005. ISO/IEC 27001:2005 określa wymagania dla ustanowienia, wdrożenia, zarządzania, monitorowania i przeglądu udokumentowanego systemu zarządzania bezpieczeństwem informacji (SZBI) oraz 11 obszarów mechanizmów kontrolnych obejmujących:

• politykę bezpieczeństwa,
• organizację bezpieczeństwa,
• zarządzanie aktywami,
• bezpieczeństwo zasobów ludzkich,
• bezpieczeństwo fizyczne i środowiskowe,
• zarządzanie systemami i sieciami,
• kontrolę dostępu,
• pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
• zarządzanie incydentami bezpieczeństwa,
• zarządzanie ciągłością działania,
• zapewnienie zgodności z wymaganiami wewnętrznymi i prawnymi.

Na tej podstawie należy stwierdzić, iż opisywany standard gwarantuje w pełni kompleksowe podejście do problemu bezpieczeństwa informacji, obejmując swym zakresem nie tylko zagadnienia związane z teleinformatyką, lecz również z bezpieczeństwem osobowym, fizycznym oraz organizacyjno-prawnym.

Standard ISO/IEC 27001

Zgodnie z PN-ISO/IEC 27001:2007 system zarządzania bezpieczeństwem informacji (ISMS — Information Security Management System) jest to ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.

ISMS dotyczy struktury organizacyjnej, polityki, zaplanowanych działań, zakresów odpowiedzialności, zasobów, procesów oraz procedur. Na proces planowania i implementacji ISMS wpływają potrzeby i cele biznesowe organizacji, wymagania bezpieczeństwa, wykonywane procesy oraz wielkość i struktura jednostki. Wdrożenie systemu zarządzania bezpieczeństwem informacji powinno być dla organizacji decyzją strategiczną.