ISTOTA WDROŻENIA

Przeciętnemu pracownikowi bezpieczeństwo informacji kojarzy się z tajemnicą organizacji, systemem informatycznym, wirusami oraz włamaniami do zasobów informatycznych firmy. Tymczasem bezpieczeństwo informacji obejmuje swym zakresem o wiele szersze zagadnienia związane z systemem informacyjnym firmy/ Urzędu/ ZOZ-u. Są to: informacje o ofertach, innowacjach, projektach, kontraktach, klientach/petentach/ pacjentach oraz wiedza posiadana przez kluczowych pracowników i kadrę zarządzającą.

Dlaczego warto wdrożyć system zarządzania bezpieczeństwem informacji wg ISO 27001?

Wysoki poziom bezpieczeństwa to istotny atut biznesowy/ komercyjny. Obecnie organizacje są oceniane i porównywane pod względem zabezpieczenia informacji. Klienci/ partnerzy biznesowi coraz częściej przywiązują dużą wagę do bezpieczeństwa, zwłaszcza w sytuacji porównywalnych ofert produktowych.

Rosnąca wartość informacji powoduje wzrost zagrożeń dla nich, stąd niezwykłej wagi problemem stała się ochrona informacji. Inne zasoby, takie jak pieniądze, potrafimy bezpiecznie przechowywać, lecz ochrona informacji jest jeszcze niedoceniana.

Normy serii ISO 27000 definiują bezpieczeństwo informacji jako zapewnienie dostępności, integralności i poufności informacji, przez co odnoszą się również do ich dokładności, zgodności z prawem, wewnętrznymi zasadami oraz potrzebami biznesowymi. Informacje powinny być dostępne „na czas", czyli wtedy gdy osoby upoważnione ich potrzebują. Zarządzanie bezpieczeństwem informacji wymaga zbudowania systemu opartego na identyfikacji aktywów informacyjnych, analizie ryzyka i ciągłym doskonaleniu.

KORZYŚCI WDROŻENIA

• Spełnienie wymagań ustawowych:
        o ustawa o ochronie danych osobowych,
        o ustawa o ochronie informacji niejawnych,
        o ustawa o dostępie do informacji publicznej,
        o ustawa o prawie autorskim i prawach pokrewnych.
• Ochrona informacji znajdujących się w obiegu;
• Wiarygodność firmy dla klienta;
• Zabezpieczanie informacji na wypadek katastrofy lub awarii;
• Wzrost świadomości pracowników w zakresie bezpieczeństwa informacji;
• Zapewnienie klientów, że ich informacje znajdują się pod właściwą ochroną;
• Oszacowanie ryzyka związanego z zarządzaniem informacją;
•  Wprowadzenie okresowych audytów bezpieczeństwa informacji.

OPIS CYKLU WDROŻENIOWEGO

Niezbędne jest określenie, które informacje mają w firmie największą wartość i na jakie zagrożenia są narażone. Dla tych informacji przeprowadza się analizę ryzyka. Jest to podstawa do optymalnego inwestowania w bezpieczeństwo oraz dalszego doskonalenia systemu zarządzania. Za opracowanie systemu, jak przy każdym innym projekcie wdrożeniowym, odpowiadają różne osoby w firmie. Kierownictwo odpowiada za opracowanie Polityki Bezpieczeństwa, akceptację analizy ryzyk oraz zapewnienie zasobów niezbędnych do wdrożenia zabezpieczeń. Za szkolenia i zarządzanie personelem odpowiada działa kadr i szkoleń. Ochrona fizyczna, jeżeli takowa jest, za zapewnienie bezpieczeństwa fizycznego. Dział IT dba o bezpieczeństwo teleinformatyczne. Wszyscy pracownicy odpowiadają natomiast za spełniania przepisów prawa , do czego w naturalny sposób są zobligowani.

Aby możliwe było określenie specyficznych i optymalnych celów i działań związanych z bezpieczeństwem, organizacja musi w pierwszej kolejności oszacować zagrożenia i ryzyko. Występuje wiele metod prowadzenia tego procesu, przez co nie istnieje jedna uniwersalna i najlepsza. Konkretna metodyka może być stworzona tylko dla konkretnej instytucji.
Wiele metod wykorzystuje tablice oraz łączy mierniki subiektywne i empiryczne. Nie można ocenić z góry, czy użyta metoda jest dobra czy zła. Ważniejsze jest, aby organizacja korzystała z takiej metody, która jest dla niej wygodna. Do której ma zaufanie i która pozwoli uzyskać powtarzalne wyniki.

Etapy analizy ryzyka:

• Identyfikacja i wycena aktywów (oszacowanie potencjalnie negatywnych następstw dla działalności biznesowej);
• Oszacowanie zagrożeń;
• Oszacowanie podatności;
• Oszacowanie istniejących/ planowanych zabezpieczeń;
• Oraz ponowne oszacowanie ryzyka (szczątkowego) aby móc określić czy to (złagodzone) ryzyko jest ryzykiem dopuszczalnym.

Po ich identyfikacji konieczne jest ich zrozumiałe udokumentowanie i stosowanie w odniesieniu do wszystkich osób działających na rzecz organizacji. Dokumenty te muszą być do dyspozycji kierownictwa, pracowników i określonych niezależnych stron (np. audytorzy wewnętrzni, audytorzy certyfikujący itd.). Udokumentowane cele i działania bezpieczeństwa, dokumentacji polityki bezpieczeństwa i procedur, tak samo jak wszystkie inne zapisy istotne dla bezpieczeństwa informacji, są określane jako System Zarządzania Bezpieczeństwem Informacji w organizacji.

Wdrożony system należy systematycznie doskonalić. Incydenty rejestrować. Podejmować działania zapobiegawcze. Wszystko po to, aby efektywność systemu zarządzania wzrastała. Informacja jest jednym z najważniejszych zasobów w każdej organizacji. Właściwe zarządzanie informacją i jakością jest niezbędnym warunkiem dalszego rozwoju firmy/ Urzędu/ ZOZ-u.

Bezpieczeństwo informacji oznacza zabezpieczanie poufności, integralności i dostępności do niej. Wiąże się to z zapewnieniem gwarantowanego poziomu jakości - informacje muszą być poprawne oraz dostępne tylko dla uprawnionych podmiotów, w odpowiednim czasie i tylko na odpowiednich stanowiskach.
Wdrożenie zabezpieczeń nie oznacza osiągnięcia zaplanowanego poziomu bezpieczeństwa. Równie ważnymi zadaniami są: zdefiniowanie zasad bezpiecznego przetwarzania informacji, szkolenie i uświadamianie pracowników, monitorowanie aktualnego stanu bezpieczeństwa, jak i stałe doskonalenie i adaptacja do zmieniającego się otoczenia.

Brak polityki dotyczącej ochrony i bezpieczeństwa informacji to nie tylko wykluczenie z możliwości ubiegania się o intratne kontrakty, to również odpowiedzialność administracyjna, cywilna i karna osób odpowiedzialnych za ochronę tego typu informacji.