Zarządzanie bezpieczeństwem to ciągły i złożony proces umożliwiający bezpieczną realizację misji, do której instytucję powołano. Proces ten zachodzi w stale zmieniającym się środowisku, przy występowaniu coraz to nowych form zagrożeń i wyzwań dla instytucji, a także przy niebywałym postępie technologicznym. W artykule przybliżono standardową terminologię, zwłaszcza związaną z modelami bezpieczeństwa. Zwrócono też uwagę na materiały normatywne i zalecenia dotyczące samego zarządzania bezpieczeństwem informacji.

Bezpieczeństwo - to nie tylko stosowanie zabezpieczeń

Wchodzimy w erę społeczeństwa informacyjnego - instytucje rządowe i komercyjne, a nawet poszczególne jednostki stają się coraz bardziej uzależnione od szybkiego, niezawodnego, a przede wszystkim bezpiecznego przetworzenia ogromnych ilości informacji. Rosnąca wartość informacji powoduje wzrost zagrożeń dla nich, stąd niezwykłej wagi problemem stała się ochrona systemów teleinformatycznych i przetwarzanych w nich informacji. Wraz z rozwojem systemów rozwijano technologię zabezpieczeń, jednak dziś same zabezpieczenia już nie wystarczają - należy je optymalnie dobierać, odpowiednio stosować w harmonii z zasadami eksploatacji systemów przetwarzania i wreszcie odpowiednio nimi zarządzać.

Polecamy artykuł: Bezpieczna poczta

Zabezpieczenia są kosztowne, więc muszą być dobrane stosownie do zagrożeń oraz do wartości szkód, które by można ponieść w sytuacji, gdy ich nie zastosujemy. Dobór zabezpieczeń powinien zostać poprzedzony starannym określeniem celów bezpieczeństwa dla instytucji i jej systemów, uwzględniających realizację misji instytucji w sytuacji występowania zagrożeń. Wdrożenie zabezpieczeń nie oznacza jeszcze osiągnięcia zaplanowanego poziomu bezpieczeństwa. Równie ważnymi zadaniami są: zdefiniowanie zasad bezpiecznego przetwarzania informacji, szkolenie i uświadamianie pracowników, monitorowanie aktualnego stanu bezpieczeństwa, jak i stałe doskonalenie i adaptacja systemów oraz organizacji do zmieniającego się otoczenia.

Bezpieczeństwo nie jest więc aktem jednorazowym, polegającym na wdrożeniu zabezpieczeń, lecz ciągłym, dynamicznym, a przy tym bardzo złożonym procesem, wymagającym stałego nadzoru i przystosowywania się do zmiennych warunków otoczenia.

Bezpieczeństwo musi być rozpatrywane w aspekcie organizacyjnym, technicznym oraz prawnym - jest zawsze dziełem interdyscyplinarnego zespołu specjalistów. Powstała nowa dziedzina nauki i praktyki z pogranicza tych obszarów - zarządzanie bezpieczeństwem informacji, rozwiązujące problemy związane z zapewnieniem i utrzymaniem odpowiedniego poziomu bezpieczeństwa dla instytucji. Wiąże się to z zapewnieniem gwarantowanego poziomu jakości informacji - informacje muszą być poprawne, dostępne tylko dla uprawnionych podmiotów, w odpowiednim czasie i tylko na odpowiednich stanowiskach instytucji.

Jak każda dziedzina zarządzanie bezpieczeństwem informacji wykształciło swoją terminologię, modele i metody działania.

Normy i zalecenia podstawą rozwoju zarządzania bezpieczeństwem informacji

Kluczowym dla zarządzania bezpieczeństwem informacji jest Raport Techniczny - ISO/IEC TR 13335, składający się z pięciu części, z których pierwsza obowiązuje od roku jako Polska Norma. Pozostałe części są w różnym stadium przygotowania. Poszczególne części raportu zawierają następujące informacje:

* ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwem systemów informatycznych:

- terminologia, związki między pojęciami

- podstawowe modele.

* ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów informatycznych:

- różne podejścia do prowadzenia analizy ryzyka

- plany zabezpieczeń

- rola szkoleń i działań uświadamiających

- stanowiska pracy w instytucji związane z bezpieczeństwem.

* ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych:

- formułowanie trójpoziomowej polityki bezpieczeństwa

- rozwinięcie problematyki analizy ryzyka

- rozwinięcie problematyki implementacji planu zabezpieczeń

- reagowanie na incydenty.

* ISO/IEC/TR 13335-4: Wybór zabezpieczeń:

- klasyfikacja i charakterystyka różnych form zabezpieczeń

- dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu.

* ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi:

- dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną.