ISO/IEC 27001 a ochrona danych organizacji

Zgodność z międzynarodową normą ISO/IEC 27001 zawiera wytyczne dla wdrożenia skutecznego systemu zarządzania bezpieczeństwem informacji (SZBI). Powszechnie kojarzy się on z wieloma miesiącami przygotowań i szkoleń. Nie bez powodu, ponieważ wymaga spełnienia określonych w normie zestawów zabezpieczeń, których zadaniem jest ochrona ważnych, z punktu widzenia organizacji, informacji. Patrząc na kilkadziesiąt stron zaleceń, większość firm najprawdopodobniej dochodzi do wniosku, że ISO/IEC 27001 jest dostępne tylko dla największych przedsiębiorstw, które mają tysiące pracowników i ogromny kapitał. Nic bardziej mylnego! To nie rozmiar firmy ma znaczenie, a wewnętrzna sprawność organizacji.

Czym jest norma ISO/IEC 27001?

ISO/IEC 27001 określa metodologię, której celem jest tworzenie i wdrażanie w organizacjach skutecznych systemów SZBI. Norma ta nie narzuca określonych narzędzi ani rozwiązań jakie organizacja powinna wykorzystać, celem zapewnienia bezpieczeństwa informacji. Zawiera natomiast listę zabezpieczeń-wytycznych, które organizacja powinna wziąć pod uwagę przy zabezpieczaniu ważnych aktywów, bazując na podejściu opartym na ryzyku. W skrócie oznacza to, że głównym rezultatem wdrożenia normy ISO/IEC 27001 jest skuteczny system SZBI, zapewniający bezpieczeństwo informacji na poziomie fizycznym, technicznym i organizacyjnym.

Czym jest SZBI?

SZBI (systemu zarządzania bezpieczeństwem informacji) to ważny element cyberbezpieczeństwa firmy. Jest to zestaw zdefiniowanych polityk, procedur i instrukcji, których głównym celem jest ochrona danych firmy, a także danych jej klientów. Wpływa na obniżenie ryzyka naruszeń bezpieczeństwa danych i cyberataków oraz na ograniczanie negatywnych skutków zdarzeń.

Jaki jest cel ISO/IEC 27001?

Norma ISO/IEC 27001 określa wymagania dla ustanawiania, wdrażania, obsługi, monitorowania, przeglądu, utrzymywania i doskonalenia systemów zarządzania bezpieczeństwem informacji. Norma ISO/IEC 27001 jest zbiorem wytycznych opisujących w jaki sposób wprowadzać zabezpieczenia (praktyczne zasady zabezpieczania informacji opisuje szczegółowo norma ISO/IEC 27002), natomiast stworzony na jej podstawie system SZBI wskazuje co chronić (czyli jakie aktywa/informacje są dla organizacji istotne).

Celem wdrożenia systemu SZBI jest ochrona poufności, integralności i dostępności do danych organizacji.

• Poufność: atrybut zapewniający, że dostęp do danych mają jedynie upoważnione podmioty/systemy/procesy
• Integralność: atrybut zapewniający, że dane nie zostaną zmienione w sposób nienadzorowany
• Dostępność: atrybut zapewniający, że upoważnione podmioty/systemy/procesy mogą w dowolnym momencie uzyskać nieprzerwany dostęp do danych

Spełnienie wymogów ISO/IEC 27001 i zdobycie certyfikatu to znak na to, że dana firma zapewnia przetwarzanym przez nią danym ochronę, dostosowaną do stopnia ich krytyczności. Posiada odpowiednie procedury reagowania i minimalizacji nieuprawnionego dostępu, bardziej odporny na cyberataki system i dobrze wyszkolony i świadomy w zakresie bezpieczeństwa informacji personel.

Jaki jest zakres normy ISO/IEC 27001?

O zgodność z wymogami normy ISO/IEC 27001 powinna dbać każda organizacja, która przetwarza jakiekolwiek informacje (w tym informacje swoich klientów i kontrahentów). System SZBI powinny wprowadzać szczególnie firmy z branży IT, finansowej, farmaceutycznej i zdrowotnej. Jednak zgodność z wymaganiami ISO/IEC 27001 niesie ze sobą korzyści dla każdej organizacji, bez względu na jej wielkość i rodzaj działalności. Naruszenia bezpieczeństwa danych mają miejsce w sektorze zarówno prywatnym, jak i publicznym, wśród organizacji for-profit i non-profit.

Jak wdrożyć ISO/IEC 27001

Normę ISO/IEC 27001 można traktować jako przewodnik, który pozwala każdej organizacji stworzyć dopasowany system SZBI. Firma decyduje, na podstawie przeprowadzanego cyklicznie procesu szacowania ryzyka, które zabezpieczenia sugerowane przez ISO/IEC 27001 powinny być zastosowane celem integracji zidentyfikowanych ryzyk oraz minimalizacji ich zmaterializowania się. Szacowanie ryzyka wymaga dogłębnej analizy procesów biznesowych organizacji, które mają bezpośredni wpływ na bezpieczeństwo informacji.

Jak długo certyfikat ISO/IEC 27001 jest ważny?

Certyfikat ISO/IEC 27001 jest ważny przez 3 lata, natomiast sam system SZBI podlega corocznemu nadzorowi w całym cyklu, przez niezależne akredytowane jednostki certyfikujące na tzw. audycie III strony. W trakcie audytu III strony weryfikowane są wymagania systemowe normy jak również wszelkie procedury eksploatacyjne, które zostały stworzone celem zapewnienia skuteczności systemu SZBI. W trakcie audytu III strony weryfikowane jest czy w organizacji zaszły zmiany (tzw. Kontekst organizacji), które mogłyby mieć bezpośredni wpływ na funkcjonowanie systemu SZBI. Dużo trudniejszym, od pozyskania certyfikacji, jest utrzymanie systemu SZBI w całym jego cyklu.

Holistyczne podejście do ochrony danych

Norma ISO 27001 opiera się na holistycznym podejściu, które analizuje bezpieczeństwo informacji z trzech głównych perspektyw: ludzi, technologii i procesów. Z tego powodu każdy system SZBI powinien obejmować obszary organizacji oraz procesy biznesowe, które z punktu widzenia organizacji (jej kontekstu) należy chronić.

Korzystanie z samej technologii nie wystarczy do zabezpieczenia informacji. W większości przypadków w każdym naruszeniu danych zaangażowany jest czynnik ludzki. Najczęstszą przyczyną wycieku jest omyłkowe wysłanie danych wrażliwych do niepowołanych osób, korzystanie z prywatnych komputerów lub łączenie się z niezabezpieczonymi sieciami.

Właśnie dlatego system SZBI oparty o ISO/IEC 27001 powinien obejmować całą organizację oraz angażować kadrę kierowniczą. Jest to jeden z kluczowych aspektów implementacji normy. Bez wsparcia najwyższego kierownictwa nie jest możliwe skuteczne wdrożenie systemu SZBI.

Najnowszy sprzęt i oprogramowanie są ważne, ale nie należy zapominać o pracownikach, szkoleniach i przestrzeganiu polityk. Norma ISO/IEC 27001 bierze pod uwagę wszystkie te czynniki i dba o to, by poświęcane im było tyle samo uwagi, co technologii.

Główne etapy implementacji normy ISO/IEC 27001

Najważniejsze etapy implementacji ISO/IEC 27001 to:

1. Określenie granic funkcjonowania systemu SZBI
2. Identyfikacja kontekstu organizacji (czyli czynników zewnętrznych i wewnętrznych mający bezpośredni wpływ na osiąganie celów organizacji, w tym zdefiniowanie oczekiwań wobec interesariuszy oraz oczekiwań interesariuszy względem naszej firmy)
3. Ocena ryzyka i analiza luk bezpieczeństwa
4. Określenie planu postępowania z zidentyfikowanym ryzykiem (czyli jakie środki - techniczne, organizacyjne, fizyczne - należy zastosować, aby przeciwdziałać zmaterializowaniu się ryzyku)
5. Stałe monitorowanie skuteczności systemu SZBI poprzez m.in. realizację celów bezpieczeństwa informacji, analizę incydentów, wyniki skanowania podatności technicznych, wyniki testów penetracyjnych, raportów o naruszeniach ochrony danych osobowych, wyników audytów wewnętrznych. Ciągłe dbanie o zwiększanie skuteczności systemu

Ocena ryzyka

Aby móc przeprowadzić proces szacowania ryzyka, większe przedsiębiorstwa mogą zatrudniać w tym celu pracownika lub nawet całe zespoły, dzięki czemu będą w stanie samodzielnie przeanalizować grożące im ryzyko. Z drugiej strony zatrudnienie doświadczonego konsultanta może usprawnić ten proces, jednocześnie pozwalając oszczędzić czas zespołu.

Mniejsze organizacje mogą dojść do wniosku, że ze względu na ich niewielki rozmiar same dokonają oceny ryzyka. Jednak i tutaj pomoc specjalisty może okazać się przydatna, szczególnie jeżeli dana firma nie czuje się na siłach, aby przeprowadzić taką analizę samodzielnie.

Bez względu na to, które rozwiązanie zostanie wybrane, należy zacząć od stworzenia rejestru aktywów informacyjnych, a także przypisać ich właścicielstwo odpowiednim osobom w organizacji. Jest to kluczowe z punktu widzenia wspomnianego rejestru, ponieważ to właściciel aktywa zna jego wartość i powinien zaproponować adekwatne środki mające na celu właściwe zabezpieczenie tych aktywów. Stworzony rejestr jest punktem wejścia do procesu szacowania ryzyka, którego celem jest identyfikacja podatności wynikających z danego aktywa, określenie prawdopodobieństwa i wpływu zmaterializowania się ryzyka powiązanego z danym aktywem.

Organizacja powinna ustanowić kryteria akceptacji i szacowania ryzyka w bezpieczeństwie informacji, aby zapewnić spójne i porównywalne wyniki w kolejnych szacowaniach. Organizacja nie jest ograniczona w wyborze metodologii szacowania ryzyka. Może zdecydować się na analizę ilościową, jakościową lub mieszaną. Wszystko będzie uzależnione od poziomu jej dojrzałości oraz dostępu do informacji, które wymagane są przy szacowaniu ryzyka. Przy szacowaniu ryzykiem organizacja może wspierać się np. Standarem ISO 27005, określającym proces zarządzania ryzykiem w bezpieczeństwie informacji.

Wyniki szacowania ryzyka, jeśli przeprowadzone rzetelnie, powinny dostarczyć informacji na podstawie których organizacji powinna wprowadzać plan postępowania z ryzykiem, którego zadaniem jest ograniczenie zmaterializowania się zidentyfikowanych ryzyk lub ograniczenie jego ewentualnych skutków. Minimalne zabezpieczenia, w zależności od zidentyfikowanego ryzyka, dostarcza załącznik normatywny A.

14 zbiorów mechanizmów kontroli normy ISO/IEC 27001

Aby lepiej zrozumieć, co właściwie oznacza, że system SZBI należy zapoznać się z opisem 14 domen zabezpieczeń, których zadaniem jest zapewnienie bezpieczeństwa informacji na poziomie organizacyjnym, fizycznym, technicznym i prawnym.

Domena	Cele zabezpieczeń
Polityki bezpieczeństwa danych 2 zabezpieczenia	Zapewnienie przez kierownictwo wytycznych i wsparcia dla działań na rzecz bezpieczeństwa informacji, zgodnie z wymaganiami biznesowymi oraz właściwymi normami prawnymi i regulacjami.
Organizacja bezpieczeństwa informacji 7 zabezpieczeń	Ustanowić strukturę zarządzania w celu zainicjowania oraz nadzorowania wdrażania i eksploatacji bezpieczeństwa informacji w organizacji
Bezpieczeństwo zasobów ludzkich 6 zabezpieczeń	Zapewnić, żeby pracownicy i kontrahenci rozumieli swoją odpowiedzialność i byli odpowiednimi kandydatami do wypełnienia ról, do których są przewidziani.
Zarządzanie aktywami 10 zabezpieczeń	Zidentyfikować aktywa organizacji i zdefiniować właściwą odpowiedzialność w dziedzinie ich ochrony.
Kontrola dostępu 14 zabezpieczeń	Ograniczyć dostęp do informacji i środków przetwarzania informacji.
Kryptografia 2 zabezpieczenia	Zapewnić właściwe i skuteczne wykorzystanie kryptografii do ochrony poufności, autentyczności i/lub integralności informacji.
Bezpieczeństwo fizyczne i środowiskowe 15 zabezpieczeń	Zapobiec nieuprawnionemu fizycznemu dostępowi, szkodom i zakłóceniom w informacjach i środkach przetwarzania informacji należących do organizacji.
Bezpieczna eksploatacja 14 zabezpieczeń	Zapewnić poprawną i bezpieczną eksploatację środków przetwarzania informacji.
Bezpieczeństwo komunikacji 7 mechanizmów kontroli	Zapewnić ochronę informacji w sieciach oraz wspomagających je środkach przetwarzania informacji.
Pozyskiwanie, rozwój i utrzymanie systemów 13 zabezpieczeń	Zapewnić, żeby bezpieczeństwo informacji było nieodłączną częścią systemów informacyjnych w całym cyklu życia.
Relacje z dostawcami 5 zabezpieczeń	Zapewnić ochronę aktywów organizacji udostępnianych dostawcom.
Zarządzanie incydentami związanymi z bezpieczeństwem informacji 7 zabezpieczeń	Zapewnić spójne i skuteczne podejście do zarządzania incydentami związanymi z bezpieczeństwem informacji, z uwzględnieniem informowania o zdarzeniach i słabościach.
Spekty bezpieczeństwa informacji w zarządzaniu ciągłością działania 4 zabezpieczenia	Zaleca się uwzględnienie ciągłości bezpieczeństwa informacji w systemach zarządzania ciągłością działania organizacji.
Zgodność 8 zabezpieczeń	Unikać naruszenia zobowiązań prawnych, regulacyjnych lub umownych związanych z bezpieczeństwem informacji oraz innych wymagań dotyczących bezpieczeństwa.

W JAKI SPOSÓB SAFETICA POMAGA ZACHOWAĆ ZGODNOŚĆ Z NORMĄ ISO/IEC 27001?

Przegląd danych poufnych
Safetica zapewnia przegląd przepływów informacji i przechowywania poufnych danych oraz pomaga monitorować operacje użytkowników i dostarcza raporty na temat przetwarzania danych.

Klasyfikacja danych i zasady bezpieczeństwa
Dzięki Safetica można łatwo klasyfikować dane i na tej podstawie stosować zasady DLP i wymuszać pożądane zachowania, gdy użytkownicy wchodzą w interakcję z poufnymi informacjami.

Szyfrowanie danych
Safetica pomaga szyfrować dane. Szyfrowanie jest zarządzane centralnie w konsoli zarządzania Safetica.

Powiadomienie o wycieku danych
W przypadku incydentu związanego z bezpieczeństwem, system powiadomień e-mail Safetica w czasie rzeczywistym powiadamia administratora. Zapewnia szczegóły, dzięki czemu można podjąć szybko działania i zminimalizować wpływ wycieku danych.

Zgodność
Dzięki Safetica i jej zasadom DLP można upewnić się, że jest zgodna nie tylko z ISO/IEC 27001, ale także z innymi przepisami, takimi jak RODO, PCI DSS, HIPAA, CMMC.

Dowiedz się więcej o Safetica