Budowanie SZBI

ISO 27002 Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji to kluczowy dokument systemu zarządzania według ISO 27001 oraz pierwsze z zagadnień omawianych szerzej przez ISO 27002. Nie będziemy skupiać się na zaletach jakie niesie za sobą decyzja o ustanowieniu takiej polityki, lecz bardziej na roli, przywództwie i odpowiedzialności najwyższego kierownictwa. Jeżeli jednak chcielibyście się dowiedzieć więcej o zaletach, możecie znaleźć je na stronie głównej oraz w artykule „A po co mi te procedury?”. Polityka bezpieczeństwa informacji nie bez przyczyny pojawia się jako najważniejszy element „załącznika A” stanowiącego wzorcowy wykaz celów stosowania zabezpieczeń (A.5). W niniejszym rozdziale możemy wymienić dwa zabezpieczenia mające na celu określenie przez kierownictwo wytycznych i okazanie wsparcia dla działań na rzecz bezpieczeństwa informacji. Ciekaw jestem co będziecie w stanie powiedzieć o swoim kierownictwie po przeczytaniu artykułu.

Zabezpieczenie 5.1.1 – Polityki bezpieczeństwa informacji

Przywództwo i zaangażowanie

Zanim przejdziemy do definiowania jakie polityki, procedury, regulaminy powinny wchodzić w skład systemu zarządzania bezpieczeństwem informacji, zastanówmy się nad rolą osób na najwyższym szczeblu w organizacji. Wytyczne w tym zakresie możemy znaleźć w normie ISO 27001, punkt 5 – Przywództwo. Najwyższe kierownictwo powinno wykazywać przywództwo i zaangażowanie w budowanie systemu zarządzania. Ale jak to w większości przypadków bywa, dla managment’u wyznacznikiem zaangażowania jest rzucona w eter informacja Robimy!!!. Jednak jak wskazuje norma ISO 27002, to właśnie na kadrze kierowniczej spoczywa najważniejszy obowiązek. Określenie celów i kierunku działania na rzecz bezpieczeństwa informacji. Poza tym zbiór polityk powinien być przez nią zatwierdzony, opublikowany i zakomunikowany wszystkim właściwym stronom – wewnętrznym i zewnętrznym. Dobrze gdyby SZBI nie powstawał ze względu na „widzimisię” prezesa, tylko było ustanowiony zgodnie z kierunkiem strategicznym organizacji. Kierunek ten może ulec modyfikacji przez bieżące i przewidywane środowisko, w którym występują zagrożenia dla bezpieczeństwa informacji.

Kierunki działania

Aby stwierdzić czy obrany przez nas kierunek uwzględnia kluczowe zagrożenia należy przeprowadzić analizę ryzyka. Wyniki analizy ryzyka powinny zostać przekazane do kadry zarządzającej i przez nią zaakceptowane. Na tej podstawie wyciągniemy wnioski, w jakich obszarach musimy podjąć dodatkowe działania. Do czynników oddziałujących na kierunek i cele zaliczyłbym również „apetyt” na podtrzymanie założeń biznesowych. Dlaczego apetyt? Ponieważ nie zawsze linia biznesowa musi iść w parze z innymi wymaganiami. Czasem firmy podejmują ryzyko będąc świadomymi, że ich postępowanie nie jest zgodne z oczekiwaniami określonej grupy odbiorców. Czyli „nie zrobimy czegoś choć liczymy się z tym, że mogą nas spotkać konsekwencje„. Takiej elastyczności nie będziemy mieli w przypadku konieczności spełnienia wymogów prawnych. A przepisów związanych z bezpieczeństwem informacji jest minimum dwadzieścia, z naciskiem na cyberbezpieczeństwo, dane osobowe i finanse. Jeżeli nie przymusi nas ustawodawca, wymoże to klient poprzez informację zwrotną o zadowoleniu lub nie z proponowanych przez nas usług.

Formalności

Przechodząc do sedna, na najwyższym poziomie kierownictwo powinno ustanowić „Politykę Bezpieczeństwa Informacji”. Sztandarowy dokument stanowiący zobowiązanie do przestrzegania zawartych w nim zasad. Zawierający określenie zakresu – obszaru i granic systemu zarządzania bezpieczeństwem informacji oraz zwięzły opis kluczowych zabezpieczeń. Czy trzeba obejmować polityką całą organizację? Nie. Możemy wskazać, że jest to jeden z procesów, np. „Relacje z dostawcami” a kluczowym zabezpieczeniem będzie w tym przypadku „Weryfikacja kontrahentów poprzez audyt zgodności z normą przed podjęciem współpracy”. Zaleca się aby na niższym poziomie politykę bezpieczeństwa informacji wspierały różne polityki, procedury i instrukcje tematyczne. Z tych mniej oczywistych należy wymienić „Politykę przechowywania materiału dowodowego”, „Procedurę postępowania z informacjami” czy nawet „Instrukcję przebywania w obszarach bezpiecznych”. Zestaw tych dokumentów powinien być zakomunikowany właściwym osobom oraz dostępny dla wszystkich zainteresowanych stron, jeśli jest to właściwe. A w wielu przypadkach jest, ponieważ nasi współpracownicy powinni stosować i tym samym uświadamiać swoich podwładnych o oczekiwanym poziomie bezpieczeństwa.

Wykaz polityk wspomnianych literalnie w normie ISO 27002, które może zawierać Polityka Bezpieczeństwa Informacji:

Zabezpieczenie 5.1.2 – Przegląd polityk bezpieczeństwa informacji

Przegląd

Każdy dokument wchodzący w ramy SZBI powinien zostać poddany przeglądowi w zaplanowanych odstępach czasu lub gdy wystąpią istotne zmiany. Najczęściej spotykanym odstępem czasowym jest rok, dlatego istotne jest aby wykonywać to również przed i po modyfikacji dokumentacji. Dlaczego? Po pierwsze, aby oszacować jak planowana zmiana wpłynie na pozostałe zapisy w podpolitykach. Po drugie, aby sprawdzić czy zaproponowane zmiany wpłynęły na przydatność, adekwatność i wydajność procesów. Jednak zapis o tym, że określona polityka, procedura lub instrukcja zostanie poddana przeglądowi nie jest wystarczająca do przeprowadzenia działań audytowych. Powinniśmy również opisać w jaki sposób przeprowadzimy proces audytu aby uniknąć konfliktu interesów, zagwarantować bezstronność i uczciwość. Najwyższe kierownictwo ma obowiązek zainicjować audyt oraz zapewnić ww. zasady. Z uwagi na fakt, że każda polityka powinna mieć przypisanego właściciela, łatwiej będzie nam dobrać niezależnego audytora lub zespół audytowy. Wytyczne do przeprowadzania audytu znajdziemy w ISO 19011 ale poniżej postaram się przedstawić jego kluczowe elementy.

Cel

Pomijając niektóre działania podczas całego procesu, należy przygotować harmonogram działań, zapewnić wybór odpowiednich osób oraz określić cele dla każdego pojedynczego audytu. Harmonogram powinien być dostosowany do liczby i znaczenia procesów, dostępności audytorów, wyników poprzednich audytów i wielu innych aspektów. Może być to zadanie dla pełnomocnika ds. ISO lub audytora wiodącego. Wybór członków zespołu powinien opierać się przede wszystkim na ich kompetencjach. Jeżeli nie posiadamy osób dysponujących odpowiednią wiedzą możemy wspomóc się audytorami zewnętrznymi. Dobrym rozwiązaniem jest przydzielenie minimum dwóch audytorów do jednego zadania. Jeden z nich nie musi być mocno związany z audytowanym obszarem, natomiast drugi może pełnić rolę eksperta. Grunt w tym aby wykazać ich wystarczającą wiedzę, niezależność i obiektywizm. Jak się zapewne domyślacie odpowiedzialnym za określenie celów audytu jest najwyższe kierownictwo. Cele określają co ma być osiągniete przez każdy pojedynczy audyt np. zbadanie poziomu zgodności, ocena skuteczności systemu lub określenie możliwości doskonalenia.

Wyniki

Znając wszystkie szczegóły tzn. cel audytu, metodę audytu, zespół audytorów możemy przejść do zbierania próbek. Próbki można zbierać za pomocą wywiadu, obserwacji, analizy udokumentowanej informacji lub łącząc wszystkie te metody. Tylko informacje posiadające wysoki stopień weryfikacji mogą być uznane za dowody audytowe. Jeżeli próbka zostanie uznana za dowód, audytor ma obowiązek zarejestrować ją w jakiejś postaci. Może być to pieczęć na weryfikowanym dokumencie lub materiał multimedialny nagrany na płycie, o czym informacja powinna się znaleźć w raporcie. Raporty ze wszystkich audytów powinny być przekazane do osoby odpowiedzialnej za ich koordynację. Wynik audytu powinien dać odpowiedź o poziomie zgodności, potrzebie wdrożenia korekty lub podjęcia działań korygujących. Z kolei te informacje należy przedstawić na przeglądzie zarządzania. Dane wyjściowe z przeglądu zarządzania powinny zawierać postanowienia związane z możliwościami dalszego doskonalenia. Oznacza to, że rolą najwyższego kierownictwa jest podjęcie decyzji o działaniach na rzecz bezpieczeństwa informacji.

Obowiązki

Na koniec pozostaje tylko jedno pytanie, „a jak przeprowadzić przegląd polityk, za które odpowiada najwyższe kierownictwo?” Niestety w większości organizacji trudno o taką kulturę organizacyjną aby bez przeszkód można było „skrytykować” prezesa. Tak samo jak zapewnić pełną niezależność będąc na podległym stanowisku. Jedyna rada to skorzystać z audytu zewnętrznego, który może obawiać się jedynie braku rozliczenia wystawionej faktury. Niemniej, skoro nie mamy wpływu na rozliczenie naszych przełożonych, dobrze mieć chociaż elementarną wiedzę, czego od nich oczekiwać. Najwyższe kierownictwo ma obowiązek:

  1. Określić cele i kierunki działania na rzecz bezpieczeństwa informacji,
  2. Zaakceptować ryzyko szczątkowe po analizie,
  3. Ustanowić Politykę Bezpieczeństwa Informacji,
  4. Zainicjować audyt wewnętrzny lub zewnętrzny i określić jego cele,
  5. Podjąć decyzje poaudytowe o działaniach na rzecz bezpieczeństwa informacji.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.