Skip to main content
02 czerwiec, 2023

Systemowe zarządzanie bezpieczeństwem informacji

Informacja – to od niej wszystko się zaczyna…

Informacje są produktem realizowanych przez nas każdego dnia zadań. To informacje, a nie zdarzenia, których dotyczą zmieniają rzeczywistość gospodarczą i nasze otoczenie. Decydują o sukcesach i porażkach każdej organizacji więc ich wartość choć często niedoceniana to jest po prostu nie do przecenienia. Ponadto w dzisiejszych czasach możemy bez problemu dostrzec, że zachodzi pewna przeciwstawność w podejściu do informacji – z jednej strony zyskujemy coraz większą świadomość, że informacje powinniśmy chronić, a z drugiej strony cały czas są realizowane na szeroką skalę działania związane z dzieleniem się tymi informacjami, udostępnianie ich szerokiemu gronu odbiorców. Wynika to często nie tyle z chęci, co konieczności upubliczniania różnych informacji dotyczących organizacji. Niełatwo tu popełnić błąd i udostępnić zbyt dużo, lub przez błąd, przypadek czy usterkę udostępnić informację zbyt szerokiemu lub niewłaściwemu gronu odbiorców. Zapewnienie właściwej ochrony informacji, która z jednej strony zapewni, że będziemy zgodni z wymaganiami przepisów prawa a także spełniali wymagania klientów i oczekiwania wszelki interesariuszy organizacji jednocześnie zwracając uwagę i dostosowując się do zmian zachodzących w naszym otoczeniu i pojawiającymi się co chwilę nowymi zagrożeniami jest więc dużym wyzwaniem.

Informacje są przetwarzane w przeróżny sposób i nie można ich ochrony sprowadzać tylko do tych, przetwarzanych cyfrowo i skupiać się tylko na zagrożeniach cyberbezpieczeństwa. Cyberbezpieczeństwo jest problemem rozpatrywanym w wielu aspektach i jego celem jest zaprezentowanie działań związanych z planowaniem i zarządzaniem bezpieczeństwem systemów informatycznych, a także przedstawienie ról i odpowiedzialności pracowników organizacji w tym zakresie. Złośliwe oprogramowanie może się rozprzestrzeniać w ciągu sekund, może być sterowane, modyfikowane i uaktualniane, co oznacza duże zagrożenie dla witryn internetowych, aplikacji webowych oraz infrastruktury informatycznej. Oczywiście najnowsze technologie bezpieczeństwa wychodzą naprzeciw wyzwaniom i pomagają nam w obronie zasobów informacyjnych organizacji dzięki możliwościom wykrywania i zapobiegania włamaniom. Ale ich działanie zależy od operatorów więc bez zdefiniowanych i wdrożonych procedur bezpieczeństwa organizacja może nie być w stanie odpowiednio zareagować na jakiekolwiek zagrożenie. Tym bardziej, że obiektem ataków często nie jest sama infrastruktura i systemy informatyczne, a człowiek. Bezpieczeństwo informacji to nie jest stan a proces oraz wyzwanie organizacyjne a nie tylko „problem informatyczny”. On także musi być świadomy zagrożeń, swojej odpowiedzialności za powierzone aktywa oraz musi umieć korzystać z zabezpieczeń, w które będzie wyposażony. Zapewnienie odpowiedniego poziomu bezpieczeństwa informacji jest niezbędne dla wielu obszarów m.in. dla utrzymania pozycji rynkowej i przewagi konkurencyjnej, zachowania płynności finansowej, spełnienia wymagań prawnych i umownych czy zadbania o właściwy wizerunek organizacji.

Czy da się więc zbudować i utrzymać bezpieczeństwo informacji w organizacji bez systematyzowanego podejścia? Na pewno można próbować, ale jeśli organizacja chce zrobić to właściwie, to powinna to realizować w oparciu o wymagania najlepiej uznanego międzynarodowego standardu, np. ISO/IEC 27001.

We wskazanej Normie Międzynarodowej określone zostały wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w organizacji, z uwzględnieniem uwarunkowań, w których funkcjonuje dana organizacja. Norma określa wymagania (które należy dostosować do specyfiki i potrzeb własnej organizacji), dotyczące szacowania i postępowania z ryzykiem w bezpieczeństwie informacji. Wymagania standardu mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru.

Systemowe zarządzanie bezpieczeństwem informacji obejmuje obszary bezpieczeństwa informatycznego (cyberbezpieczeństwa), ochrony fizycznej oraz bezpieczeństwa osobowego i polega na zapewnieniu podstawowych atrybutów informacji: poufności, dostępności i integralności.

Norma definiuje poszczególne elementy kontroli i sterowania bezpieczeństwem informacji, uporządkowanych w grupy wymagań, co pozwala na zidentyfikowanie i dobranie najwłaściwszych zabezpieczeń adekwatnych dla kontekstu działalności organizacji, kładąc szczególny nacisk na zarządzanie ryzykiem.

Norma dotyczy wszystkich form informacji przetwarzanych w każdy możliwy sposób, w tym także ustnych i graficznych, przetwarzanych w formie cyfrowej jak i tradycyjnej jak i każdego rodzaju informacji, które organizacja uznaje za istotne i wymagające ochrony (w tym m.in. np. dane osobowe).

Systemowe podejście do zarządzania bezpieczeństwem informacji pozwala więc kompleksowo uregulować i usprawnić działanie organizacji we wszystkich obszarach, gdzie jest to niezbędne, m.in.:

  • porządkuje zasady przetwarzania informacji
  • zapewnia ciągłość działania w sytuacjach kryzysowych
  • inwestycje i zmiany zabezpieczeń są dobierane optymalnie, adekwatnie do potrzeb dzięki analizie ryzyka
  • pozwala eliminować lub minimalizować skutki incydentów związanych z naruszeniem bezpieczeństwa informacji (w tym naruszenia ochrony danych osobowych)
  • utrzymuje odpowiednią świadomości pracowników i współpracowników w zakresie wiedzy koniecznej o bezpieczeństwie informacji
  • spełnienie wymagań prawa w zakresie ochrony informacji
  • świadczy o dojrzałości procesów zarządzania danej organizacji

Tak więc atuty systemowego zarządzania bezpieczeństwem informacji są niepodważalne a w praktyce wręcz nieocenione dla każdej organizacji.

W przypadku podmiotów realizujących zadania publiczne przepisy Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne istnieje wymóg opracowania, ustanowienia, wdrożenia, eksploatowania, monitorowania, przeglądania, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji. Wymaganie to uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001. Dlatego też, choć stosowanie norm w polskim porządku prawnym jest co do zasady dobrowolne, to z uwagi na powyższe jest jednak niezbędne.