SZBI – system zarządzania bezpieczeństwem informacji wg ISO/IEC 27001

SZBI – czym jest system zarządzania bezpieczeństwem informacji

SZBI, czyli system zarządzania bezpieczeństwem informacji, to system zarządzania służący do ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia bezpieczeństwa informacji w organizacji. ISO/IEC 27001 wskazuje, że wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacjach każdego rodzaju, wielkości i charakteru.

To nie jest pojedyncza procedura ani zbiór przypadkowych zabezpieczeń technicznych. SZBI obejmuje wymagania organizacyjne, procesowe, personalne, fizyczne i technologiczne oraz wymaga podejścia opartego na ryzyku.

Od czego zaczyna się SZBI

Wdrożenie SZBI zaczyna się od zrozumienia organizacji i jej kontekstu. Organizacja powinna określić istotne czynniki zewnętrzne i wewnętrzne, potrzeby i oczekiwania stron zainteresowanych oraz ustalić zakres systemu zarządzania bezpieczeństwem informacji.

• czynniki zewnętrzne i wewnętrzne wpływające na SZBI
• strony zainteresowane i ich wymagania
• granice i zakres SZBI
• interfejsy i zależności z innymi organizacjami
• udokumentowanie zakresu systemu

Bez prawidłowo ustalonego zakresu nie da się poprawnie ocenić ryzyka, dobrać zabezpieczeń ani wykazać spójności całego systemu.

Rola kierownictwa w SZBI

ISO/IEC 27001 wymaga zaangażowania najwyższego kierownictwa. To kierownictwo odpowiada za ustanowienie polityki bezpieczeństwa informacji, celów bezpieczeństwa informacji, zapewnienie zasobów oraz integrację wymagań SZBI z procesami organizacji.

• ustanowienie polityki bezpieczeństwa informacji
• określenie celów bezpieczeństwa informacji
• zapewnienie zasobów
• przydzielenie ról, odpowiedzialności i uprawnień
• wspieranie ciągłego doskonalenia

Jeżeli kierownictwo nie bierze odpowiedzialności za SZBI, system zwykle pozostaje tylko dokumentacją bez realnego wpływu na organizację.

Ocena i postępowanie z ryzykiem w bezpieczeństwie informacji

SZBI wg ISO/IEC 27001 opiera się na procesie oceny ryzyka i postępowania z ryzykiem. Organizacja ma ustalić kryteria ryzyka, identyfikować ryzyka związane z utratą poufności, integralności i dostępności informacji, wskazywać właścicieli ryzyka, analizować następstwa i prawdopodobieństwo oraz nadawać ryzykom priorytety.

• ustalenie kryteriów akceptacji i oceny ryzyka
• identyfikacja ryzyk dla poufności, integralności i dostępności
• wskazanie właścicieli ryzyka
• analiza skutków i prawdopodobieństwa
• określenie poziomów ryzyka
• ustalenie priorytetów postępowania z ryzykiem

Następnie organizacja musi określić sposób postępowania z ryzykiem i wdrożyć plan postępowania z ryzykiem w bezpieczeństwie informacji.

Deklaracja Stosowania i dobór zabezpieczeń

Jednym z kluczowych elementów SZBI jest Deklaracja Stosowania. Norma wymaga określenia niezbędnych zabezpieczeń, porównania ich z Załącznikiem A oraz uzasadnienia zarówno wyboru zabezpieczeń, jak i ewentualnego pominięcia wybranych zabezpieczeń z Załącznika A.

• wykaz niezbędnych zabezpieczeń
• uzasadnienie ich wyboru
• informacja, czy zabezpieczenia są wdrożone
• uzasadnienie pominięcia zabezpieczeń z Załącznika A

Deklaracja Stosowania nie jest dodatkiem formalnym. To dokument pokazujący, jakie zabezpieczenia organizacja rzeczywiście uznała za potrzebne i dlaczego.

Cele bezpieczeństwa, kompetencje i dokumentacja

Norma wymaga ustanowienia celów bezpieczeństwa informacji dla odpowiednich funkcji i szczebli organizacji. Cele mają być spójne z polityką, monitorowane, komunikowane i aktualizowane. Organizacja ma także zapewnić zasoby, kompetencje, uświadamianie personelu, zasady komunikacji oraz odpowiedni nadzór nad udokumentowanymi informacjami.

• cele bezpieczeństwa informacji
• zasoby potrzebne do SZBI
• kompetencje osób mających wpływ na bezpieczeństwo informacji
• uświadamianie personelu
• komunikacja wewnętrzna i zewnętrzna
• tworzenie, aktualizacja i nadzór nad dokumentacją

W praktyce oznacza to, że SZBI musi być nie tylko opisany, ale też nadzorowany i możliwy do wykazania na podstawie udokumentowanych informacji.

Działanie, pomiary, audyty i doskonalenie

ISO/IEC 27001 wymaga planowania i nadzorowania działań operacyjnych, okresowej oceny ryzyka, wdrożenia planów postępowania z ryzykiem, monitorowania i pomiarów, prowadzenia audytów wewnętrznych oraz wykonywania przeglądów zarządzania.

• planowanie i nadzór nad procesami
• okresowa ocena ryzyka oraz ocena po istotnych zmianach
• monitorowanie skuteczności działań i zabezpieczeń
• audyty wewnętrzne SZBI
• przeglądy zarządzania
• reakcja na niezgodności i działania korygujące
• ciągłe doskonalenie systemu

SZBI ma być systemem działającym stale, a nie jednorazowym wdrożeniem wykonanym wyłącznie do audytu.

Jakie obszary obejmują zabezpieczenia w SZBI

Załącznik A do ISO/IEC 27001 grupuje zabezpieczenia w cztery główne obszary: organizacyjne, personalne, fizyczne i technologiczne. Obejmują one m.in. polityki bezpieczeństwa, role i odpowiedzialności, klasyfikację informacji, kontrolę dostępu, zarządzanie tożsamością, bezpieczeństwo dostawców, zarządzanie incydentami, wymagania prawne, szkolenia, pracę zdalną, bezpieczeństwo fizyczne, ochronę urządzeń końcowych, kopie zapasowe, logowanie, monitorowanie, zarządzanie podatnościami, konfiguracją i bezpieczeństwem sieci.

• zabezpieczenia organizacyjne
• zabezpieczenia personalne
• zabezpieczenia fizyczne
• zabezpieczenia technologiczne

Dobór zabezpieczeń powinien wynikać z oceny ryzyka i potrzeb organizacji, a nie z kopiowania gotowych list bez analizy.

Co daje organizacji wdrożony SZBI

Dobrze wdrożony SZBI porządkuje odpowiedzialności, wiąże zabezpieczenia z rzeczywistym ryzykiem, wymusza regularny nadzór nad bezpieczeństwem informacji i pozwala kierownictwu podejmować decyzje na podstawie udokumentowanych danych.

• uporządkowanie wymagań bezpieczeństwa informacji
• lepsze powiązanie zabezpieczeń z realnym ryzykiem
• nadzór nad dokumentacją i działaniami operacyjnymi
• regularna ocena skuteczności systemu
• czytelny podział ról i odpowiedzialności
• przygotowanie do audytu wewnętrznego lub certyfikacyjnego

SZBI nie zastępuje zarządzania organizacją. On porządkuje obszar bezpieczeństwa informacji i integruje go z procesami organizacji.

Zobacz także: analiza ryzyka w SZBI

Zobacz także: audyt zgodności NIS2

Potrzebujesz wsparcia przy SZBI?

Jeżeli chcesz uporządkować system zarządzania bezpieczeństwem informacji, określić zakres SZBI, przeprowadzić ocenę ryzyka, przygotować Deklarację Stosowania albo sprawdzić zgodność z ISO/IEC 27001, skontaktuj się w sprawie audytu lub przeglądu dokumentacji.

Kontakt:

• Napisz do nas: kri@audytor.bialystok.pl
• Zadzwoń: 85 6881418