Norma ISO 27001 - Wprowadzenie cz. 1 - Security Bez Tabu

Norma ISO 27001 – Wprowadzenie cz. 1

Co to jest norma ISO 27001 i dlaczego prędzej czy później ją poznasz?

Norma ISO 27001 (lub ISO/IEC 21001) to międzynarodowa norma standaryzująca Systemy Zarządzania Bezpieczeństwem Informacji (SZBI). Przedstawia ona model SZBI, a także określa wymagania dla ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu. Zarządzanie bezpieczeństwem informacji związanie jest nie tylko z ochroną systemów informatycznych. Służy także zapewnieniu bezpieczeństwa danych osobowych, informacji handlowych oraz innych informacji stanowiących tajemnicę przedsiębiorstwa.

W swojej codziennej pracy masz właśnie styczność z przetwarzaną informacją. Znajomość dobrych praktyk lub wymagań stojących przed Tobą znacznie ułatwi Ci pracę i zaoszczędzi nerwów. W jaki sposób?

Będziesz wiedzieć z jaką częścią wymagań SZBI wg ISO 27001 masz do czynienia w trakcie wykonywania swoich zadań. Będziesz wiedzieć pod jakim kątem będą one sprawdzane. Nawet jeśli Twoja organizacja nie stosuje się do żadnych standardów to trzymanie się tych najbardziej rozpoznawalnych pomoże Ci uniknąć błędów teraz i w przyszłości.

W tym artykule skupie się na wprowadzeniu Cię w świat ISO 27001 tak abyś po przeczytaniu go miał przynajmniej “zielone pojęcie”. Możliwe, że informacji przedstawionych będzie o wiele więcej niż potrzebujesz. Potratuj też proszę ten wpis jako opracowanie.

Odpowiedzmy sobie na często zadawane pytania związane z ISO 27001.

Jaka jest historia powstania normy?

ISO/IEC 27001 jest to norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji. Została ogłoszona 14 października 2005 r. na podstawie brytyjskiej normy BS 7799-2 opublikowanego przez BSI. W Polsce normę ISO/IEC 27001 opublikowano 4 stycznia 2007 r. jako PN-ISO/IEC 27001:2007. Norma ta zastąpiła PN-I-07799-2:2005 czyli polską wersję brytyjskiego standardu BS 7799-2.

Obecnie aktualną polską wersją normy jest PN-EN ISO/IEC 27001:2017-06 z 10 stycznia 2018 roku

Jak uzyskać dostęp do normy?

Dokument ISO/IEC 27001 jest licencjonowany i w wersji polskiej możliwy do zakupienia w sklepie Polskiego Komitetu Normalizacyjnego.

Twoja organizacja, w większości przypadków, powinna mieć dostęp do treści normy. Jeżeli nie otrzymasz jej do wglądu od pracodawcy i nie chcesz jej zakupić to dobrym pomysłem jest poszukanie jej w bibliotece miejskiej.

Po co organizacjom certyfikacja?

W latach dwutysięcznych zauważono, że jednym z najcenniejszych aktywów organizacji jest informacja. W związku z tym organizacje chciały mieć możliwość weryfikowania faktycznego poziomu bezpieczeństwa u swoich partnerów biznesowych. Samo dopuszczenie do audytu mogłoby oznaczać, że SZBI nie istnieje lub nie spełnia swojej funkcji. Wymagałoby to pokazania wszystkich szczegółów przetwarzania informacji osobie z zewnątrz.

Z powyższego wynikła potrzeba powołania instytucji niezależnych potwierdzających spełnienie wymagań i zgodność z normą ISO 27001. Organizacja chcąca zdobyć to poświadczenie zaprasza akredytowaną jednostkę certyfikującą do przeprowadzenia audytu certyfikacyjnego. Pomyślne zakończenie audytu jest podstawą do wydania takiego certyfikatu. Jest on ważny przez trzy lata.

Czy norma ISO 27001 jest “techniczna”?

Nie. Zawiera wiele aspektów technicznych. Norma zwraca dużo uwagi na zasoby inne niż informatyczne. Paradoksalnie okazuje się, że bezpieczeństwo informatyczne jest w organizacjach często na akceptowalnym poziomie. Sytuacje nie techniczne albo związane nie z przetwarzaniem danych a samym procesem i środowiskiem w jakim się odbywa często mogą umykać organizacji. To są np. informacje wynoszone przez pracowników lub dostęp do pomieszczeń dla osób które nie powinny go posiadać. Dlatego jest potrzebne takie kompleksowe podejście w systemie zarządzania bezpieczeństwem informacji.

Norma PN-ISO/IEC 27001 stosuje znany już dobrze model PDCA, który jest stosowany do całej struktury procesów SZBI. Proces wdrażania SZBI został zdefiniowany jako:

  1. Planuj – ustanowienie SZBI – ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
  2. Wykonuj – wdrożenie i eksploatacja SZBI – wdrożenie i eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.
  3. Sprawdzaj – monitorowanie i przegląd SZBI – pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.
  4. Działaj – utrzymanie i doskonalenie SZBI – podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma ISO 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka. Znajdziesz je w Załączniku A i Tablicy A.1. Nie zawierają konkretnych rozwiązań ani instrukcji. Pomogą Ci natomiast zastanowić się czy stosujemy opisane zabezpieczenia i czy są one wystarczające dla naszej organizacji.

Opis zabezpieczeń z Załącznika A dotyczy następujących obszarów:

  1. Polityka bezpieczeństwa,
  2. Organizacja bezpieczeństwa informacji,
  3. Zarządzanie aktywami,
  4. Bezpieczeństwo zasobów ludzkich,
  5. Bezpieczeństwo fizyczne i środowiskowe,
  6. Zarządzanie systemami i sieciami,
  7. Kontrola dostępu,
  8. Zarządzanie ciągłością działania,
  9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
  10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  11. Zgodność z wymaganiami prawnymi i własnymi standardami.

Czy potrzebuje czegoś jeszcze?

Na pewno przyda Ci się trochę wolnego czasu. Jeżeli zależy Ci na większym zrozumieniu treści normy ISO 27001 to możesz wybierać w dokumentach składających się na rodzinę norm ISO:

  1. Standard podstawowy 27000 (Vocabulary standard -4.2). To norma słownikowa, która przedstawia pojęcia wykorzystywane w pozostałych normach. Przyda się aby upewnić się czy rozumiemy to samo czytając normę.
  2. Normy zawierające wymagania (Requirement standards 4.3) 27001, 27006, 27009. Nas interesuje przede wszystkim norma 27001. Pozostałe dotyczą firm akredytujących i certyfikujących.
  3. Standardy zawierające pewne wytyczne, przewodniki (Guideline standards 4.4) 27002, 27003, 27004, 27005, 27007, TR 27008, 27013, 27014, TR 27016. W tym przypadku interesuje nas przede wszystkim norma 27002, która jest można powiedzieć uzupełnieniem, rozszerzeniem normy 27001 i wyjaśnieniem zabezpieczeń.
  4. Mamy normy sektorowe (Sector specyfic guideline standards 4.5) 27010, 27011, 27015, 27017, 27018, 27019.
  5. Serie 30, 40 norm, które określają szczegółowo, jak określone zabezpieczenia powinny być wdrażane.

Takim rekomendowanym minimalnym zestawem ISO dla administratora/specjalisty IT powinno być:

  1. 27000:2018 – przegląd i terminologia,
  2. 27001:2017 – wymagania,
  3. 27002:2013 – zabezpieczenia (controls).

Nawet jeśli będziesz korzystać z wyżej wymienionych dokumentów wybiórczo, ba pewno wspomoże to Twoją pracę.

Podsumowanie

To dopiero pierwsza część wprowadzenia do normy ISO/IEC 27001. Skupiłem się przede wszystkim na tym czym ta norma jest i jakie założenia realizuje. W kolejnych częściach przedstawię Ci jak z tej normy możesz korzystać w swojej codziennej pracy i jakie konkretne korzyści będziesz z tego mieć.

O tytułowej normie wspominałem w artykule: 7 Standardów Wspomagających Bezpieczeństwo IT.

Jeden komentarz do “Norma ISO 27001 – Wprowadzenie cz. 1”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *