Ryzyk-fizyk

Z dr Elżbietą Andrukiewicz, prezes Stowarzyszenia Wspierania Rozwoju Systemów Zarządzania Bezpieczeństwem Informacji, rozmawia Sławomir Kosieliński.

Z dr Elżbietą Andrukiewicz, prezes Stowarzyszenia Wspierania Rozwoju Systemów Zarządzania Bezpieczeństwem Informacji, rozmawia Sławomir Kosieliński.

Normy jakości z serii ISO 9000 stały się popularną formą uwierzytelnienia przedsiębiorstw i instytucji. Bez wdrożenia systemu bezpieczeństwa żywnościowego zgodnego z zasadami HACCP nie ma mowy o produkcji powideł czy makaronu. Kiedy upowszechnią się normy dotyczące bezpieczeństwa informacji?

Ryzyk-fizyk

dr Elżbieta Andrukiewicz

Wbrew pozorom od przyjęcia normy ISO ważniejsze jest wdrożenie systemu zarządzania bezpieczeństwem informacji. Ta część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego, odnosi się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Pamiętajmy, nie można całkowicie wyeliminować ryzyka np. utraty informacji, ale można je zminimalizować. Temu właśnie służą przeglądy bezpieczeństwa, czyli zgromadzenie informacji niezbędnych do tworzenia systemu bezpieczeństwa ISMS oraz ocena stanu faktycznego zabezpieczeń systemów informacyjnych.

Jakie instytucje są obecnie zainteresowane przeglądami bezpieczeństwa?

Komisja Nadzoru Bankowego coraz większą wagę przykłada do polityki bezpieczeństwa informacji w bankach spółdzielczych. Są one w znacznym stopniu zależne od firm outsourcingowych i mają niewielką kadrę informatyczną, tym bardziej więc należy je wspierać. Znowuż agencje płatnicze, jak Agencja Rynku Rolnego i Agencja Restrukturyzacji i Modernizacji Rolnictwa, mają obowiązek do 2008 r. wdrożyć system bezpieczeństwa informacji. Jest to wymóg Komisji Europejskiej, bez spełnienia którego nie będą mogły wypłacać pieniędzy rolnikom. Od czego należy zacząć taki przegląd?

Od rozpoznania struktury organizacyjnej firmy lub instytucji. Następnie trzeba przeprowadzić analizę ryzyka, zidentyfikować zagrożenia na wszystkich szczeblach zarządzania i określić prawdopodobieństwo ich wystąpienia. Pod tym kątem należy przeanalizować istniejącą infrastrukturę teleinformatyczną.

Ciekawe, kto będzie sponsorem takiej analizy?

Ryzyk-fizyk

Zaprojektowanie systemu bezpieczeństwa wymaga:

To typowe podejście menedżerów w firmach, które odsuwają od siebie jakiekolwiek przypuszczenie, że coś się może u nich złego wydarzyć. Wąsko patrzą na problem, utożsamiając informację z informatyką. Tymczasem bezpieczeństwo informacji dotyczy całej firmy i przegląd bezpieczeństwa informacji leży w kompetencjach zarządu. Zwłaszcza że wdrożenie systemu bezpieczeństwa informacji w dużej firmie może potrwać kilka lat i trzeba je prowadzić etapami.

Stowarzyszenie Wspierania Rozwoju Systemów Zarządzania Bezpieczeństwem Informacji organizuje 30 marca 2006 r. w Warszawie w Hotelu Radisson SAS konferencję "Wyzwania bezpieczeństwa informacji" (http://www.ismspolska.org.pl/ ). Computerworld jest jej patronem medialnym.

Krajowe normy dot. bezpieczeństwa informacji
  • PN-I-13335-1: 1999 - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - pojęcia i modele bezpieczeństwa systemów informatycznych

  • ISO/IEC TR 13335-2:2003 - Zarządzanie i planowanie bezpieczeństwa systemów informatycznych

  • ISO/IEC TR 13335-3:2003 - Techniki zarządzania bezpieczeństwem systemów informatycznych

  • PN ISO/IEC 17799:2003 - Praktyczne zasady zarządzania bezpieczeństwem informacji

  • PN-I- 07799-2:2005 - Systemy zarządzania bezpieczeństwem informacji - specyfikacja i wytyczne stosowania (identyczne z BS 7799-2:2002)
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200