Budowanie SZBI

System zarządzania bezpieczeństwem informacji cz. I

System zarządzania bezpieczeństwem informacji – Zarządzanie aktywami.

System Zarządzania Bezpieczeństwem Informacji czyli zestaw wzajemnie powiązanych lub współdziałających elementów organizacji w celu ustalenia polityk, celów oraz procesów wskazujących jak te cele osiągnąć. Poprzez elementy możemy rozumieć czynnik ludzki, panujące w organizacji zasady oraz aktywa wspierające osiąganie zamierzonych rezultatów.

W wielu opracowaniach dotyczących bezpieczeństwa informacji możemy natrafić na analizę ryzyka jako pierwszy etap budowania systemu. Nie bez przyczyny ten aspekt uplasował się na podium spraw z najwyższym priorytetem. W końcu musimy wiedzieć w jakich obszarach nasza organizacja ma lub może mieć problemy w przyszłości. Powinniśmy zaplanować działania, które pozwolą nam je zniwelować lub ograniczyć do poziomu akceptowalnego. Bez wątpienia jest to właściwe podejście, ale moim zdaniem analizę taką należy poprzedzić istotną kwestią, której zarówno my jak i norma PN-ISO/IEC 27002:2017 poświęca cały rozdział.

Mam na myśli zarządzanie aktywami. Warto zainwestować trochę czasu aby dowiedzieć się w posiadaniu jakich aktywów jesteśmy. Jakie mają dla nas szczególne znaczenie i czy nie powinniśmy zaangażować dodatkowych aktywów aby zachować lub podnieść poziom bezpieczeństwa. Bez tego analiza ryzyka będzie udręką, ponieważ co chwilę będziemy uświadamiać sobie istnienie obszarów, o których wcześniej nie pomyśleliśmy. Uwzględniając fakt, że powinna być przeprowadzana iteracyjnie podnosząc poziom szczegółowości oraz przy udziale najwyższego kierownictwa i/lub osób zajmujące kluczowe funkcje. Osoby te na pewno nie będą zadowolone z konieczności przeprowadzania jej od nowa. Po drugie, możemy uwzględnić tylko takie ryzyka, które dla organizacji i osób odpowiedzialnych za ich akceptację i przeprowadzenie działań korygujących nie będą wymagały dużych nakładów środków i pracy. Po trzecie niepotrzebnie stracimy czas na szacowaniu ryzyka aby później powrócić do identyfikacji aktywów i tak w koło Macieju.

Identyfikacja aktywów może być również przydatna dla organizacji, które mają zamiar lub są zobligowane do zarządzania usługami na podstawie normy ISO/IEC 20000-1. W przypadku podmiotów prywatnych będzie to zapewne wynikać z chęci ulepszenia usług. W przypadku podmiotów publicznych gdzie nie istnieje pojęcie „utrzymanie klienta” będzie to wynikać z obowiązku spełnienia wymogów prawnych dotyczących np. Krajowych Ram Interoperacyjności. Norma identyfikuje to jako bazę CMDB (Configuration Management Data Base) czyli bazę zarządzania konfiguracją. Jest to magazyn danych wykorzystywany do zapisu atrybutów elementów konfiguracji i relacji między elementami konfiguracji w trakcie cyklu ich życia. Elementami / komponentami usługi w tym aspekcie mogą być urządzenia, oprogramowanie lub narzędzia wykorzystywane do dostarczania usług. Dokładnie to czego potrzebujemy przy zarządzaniu aktywami. Przecież usługi czy ich komponenty również mogą doprowadzić do powstawania ryzyka.

Oczywiście mogą Państwo budować system zarządzania bezpieczeństwem informacji stosując własne podejście. Jednak chcieliśmy Państwu zaproponować alternatywę a przynajmniej przedstawić w jaki sposób podchodzi do tego auditownia.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.