ISO27000 - Systemowe zarządzanie bezpieczeństwem informacji

W ostatnich miesiącach Międzynarodowy Komitet ISO dokonał znacznych zmian w standardach serii ISO 27000. Normy tej serii od kilku ostatnich lat wskazywały wytyczne i kierunek jak zarządzać bezpieczeństwem informacji.

Na sprawę bezpieczeństwa najczęściej patrzymy przez pryzmat zagrożeń, które to budują świadomość, iż to jest właśnie ryzyko. Taki schemat działania buduje swojego rodzaju automatyzmy związane z wykorzystywaniem podatności. Na tej podstawie prawie wszyscy pracujący w branży IT, bezpieczeństwie informacji postrzegają ryzyko i ciągle doskonalą swoje zasoby, infrastrukturę IT do tego, aby eliminować podatności. W pewnych okolicznościach możliwa jest eliminacja wszystkich podatności, ale nie można wyeliminować zagrożenia.

Wprowadzone przez Międzynarodowy Komitet ISO zmiany w standardach serii ISO 27000 objęły wytyczne (ISO27001), zabezpieczenia (ISO27002), a także prowadzenie procesu zarządzania ryzykiem (ISO27005, ISO31000). Normy tej serii od kilku ostatnich lat wskazywały wytyczne i kierunek jak zarządzać bezpieczeństwem informacji, na co zwrócić szczególną uwagę przy zabezpieczaniu informacji bez względu na branżę. Wykorzystanie tych wytycznych niejako zmusza na ciągle do myślenia właśnie w kategoriach zagrożenia niż szansy. Dlatego też od momentu, kiedy pojawiły się nowe wydania norm ISO27001 i ISO27002 w roku 2013 interesujące było czy to będzie szansa dla polskiego rynku i branży zarządzającej bezpieczeństwem informacji. Nowe wydanie norm PN- ISO/IEC27001:2014-12 i PN-ISO/IEC27002:2014-12 jest dostępne od 4.12.2014 r. na stronach Polskiego Komitetu Normalizacyjnego.

Zobacz również:

Aneks SL

Nowe podejście do zarządzania bezpieczeństwem informacji po raz pierwszy ma charakter przystosowania standardu do wymagań aneksu SL. Aneks SL tworzyć będzie wspólną ramę dla wszystkich systemów zarządzania (już ma zastosowanie dla systemu zarządzania ciągłością działania zgodnie z wymaganiami ISO22301), które w sposób jasny opisują wymagania, jakie ma uwzględniać organizacja poddająca się procesowi certyfikacji.

Kolejna szansa to zmiany w wymaganiach systemowych wpisanych do PN-ISO/IEC27001:2014-12, w których to między innymi pojawiają się zapisy mówiące o kontekście organizacji, definicji udokumentowanej informacji. Kontekst organizacji w nowym standardzie to cele organizacji i oczekiwane wyniki, a także misja samej organizacji. To także kwestie zewnętrzne i wewnętrzne, do których zalicza się rejestr ryzyk, strategię firmy. Kolejna zmiana to definicja udokumentowanej informacji, która zastępuje do tej pory stosowane procedury zarządzania nad dokumentami i zapisami. To także szansa dla organizacji, które chcą korzystać z wymagań nowego standardu do ustanowienia standaryzacji w obszarze procesów związanych z bezpieczeństwem informacji do prowadzonej działalności biznesowej bez konieczności „udowadniania”, że prowadzona jest dokumentacja systemowa.

Ważne jest przywództwo

Aktualne wydania norm kładą także nacisk na przywództwo rozumiane jako przeprowadzanie współtworzących i odpowiedzialnych za bezpieczeństwo informacji w firmie zgodnie z nowymi trendami. Pomimo używania w samym standardzie nadal definicji Najwyższe Kierownictwo jest to położenie mocnego nacisku na Leadership. Rozdziały 6 do 10 zawierające wymagania dotyczące planowania, wsparcia, oceny funkcjonowania i ciągłego doskonalenia zostały dostosowanie do modelu zarządzania systemowego. Układ rozdziałów w stosunku do wersji z roku 2007 został zmieniony tak, aby uwzględniać inne aspekty zarządzania procesowego i systemowego, a nie tylko pętli PDCA (ang. Plan, Do, Check, Act).

Zabezpieczenia w SZBI

Nieodłączonym elementem normy ISO27001 jest załącznik A w którym są zebrane zabezpieczenia, które należy uwzględnić przy wdrażaniu SZBI (System Zarządzania Bezpieczeństwem Informacji). Załącznik A jest łącznikiem, wskazaniem do PN-ISO/IEC27002:2014-12, w którym to standardzie są opisane szczegółowo rodzaje i cele stosowania zabezpieczeń. Wśród najważniejszych zmian dotyczących załącznika A znajduje się ograniczenie liczby zabezpieczeń z 132 do 114. Zmian jest jednak wiele, a najważniejszą z nich jest to, że przed organizacjami otwiera się szansa zastosowania nowych wymagań bezpieczeństwa informacji.

Robert Pławiak jest dyrektorem Biura Strategii i Zarządzania IT w PZU. Jest członkiem Rady Programowej konferencji SEMAFOR 2015 organizowanej przez ISSA Polska, ISACA Warsaw Chapter oraz Computerworld.


TOP 200