Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Prowadzenie audytu zarządzania bezpieczeństwem organizacyjno-technicznym obiektów (część 2)

Printer Friendly and PDF

W pierwszej części artykułu przedstawione zostały ogólne zasady prowadzenia audytu, dotyczące m.in. planowania audytu, doboru audytorów, przedmiotu, etapów i sposobów audytowania oraz dystrybucji raportu. W tej części artykułu poruszony zostanie istotny problem, jakim jest określenie kryteriów audytu.

Zgodnie z definicją kryteria audytu mogą zawierać odniesienia dotyczące polityki bezpieczeństwa, procedur, norm, wymagań prawnych, wymagań odnoszących się do systemów zarządzania, wymagań kontraktowych, praktyk charakterystycznych dla danego sektora oraz inne wymagania biznesowe. W przypadku systemów zarządzania bezpieczeństwem organizacyjno-technicznym obiektów możemy skorzystać z gotowych, uznanych wzorców zawartych w normach zarządzania bezpieczeństwem informacji, przede wszystkim w normie ISO/IEC 27001:2013 (wydanie PN-ISO/IEC 27001:2014).

Czy można skorzystać z normy dotyczącej bezpieczeństwa informacji w przypadku zarządzania bezpieczeństwem obiektów? Odpowiedź jest jednoznaczna: tak, ponieważ zgodnie z definicją obiekt jest zasobem informacyjnym niezbędnym do realizacji procesów biznesowych, np. procesu zarządzania bezpieczeństwem organizacyjno-technicznym. Oczywiście ten proces jest jednym z wielu procesów zarządzania obiektem, do których należy m.in. zarządzanie eksploatacją, serwisem, podatnościami technicznymi, wszelkimi zmianami organizacyjno-technicznymi czy też ryzykiem.

Co ważne, cytowana norma służy do certyfikacji systemów zarządzania bezpieczeństwem informacji i zawarte w niej wymagania i kryteria są niezbędne do sprawdzenia, czy wdrożony system zarządzania spełnia wymagania dotyczące szeroko rozumianego bezpieczeństwa informacji.

Analogicznie można stosować kryteria zawarte w normie ISO/IEC 27001:2013 w celu przeprowadzenia audytu bezpieczeństwa obiektu – oczywiście po uwzględnieniu i uzupełnieniu wymagań branżowych zawartych w technicznych normach alarmowych.

Połączenie wymagań zawartych w normie ISO/IEC 27001:2013 oraz wymagań zawartych w normach alarmowych daje audytorowi bardzo skuteczne narzędzia do badania bezpieczeństwa zarządzania oraz poprawności funkcjonowania infrastruktury bezpieczeństwa w audytowanym obiekcie.

Normatywne podstawy zarządzania bezpieczeństwem informacji

W celu wykorzystania możliwości opracowania kryteriów audytu należy zapoznać się z normami zarządzania bezpieczeństwem informacji.

Najważniejsze z nich to:

  1. ISO/IEC 27001:2013 (wydanie PN-ISO/IEC 27001:2014) Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania. Ta norma jest uwzględniana podczas certyfikowania systemów zarządzania bezpieczeństwem informacji. W dalszej części artykułu zostaną omówione jej podstawowe zapisy.
  2. ISO/IEC 27002:2013 (wydanie PN-ISO/IEC 27002:2014) Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji. Ta norma jest przeznaczona dla firm oraz innych organizacji, jako podstawa wyboru zabezpieczeń w ramach procesu wdrażania systemu zarządzania bezpieczeństwem informacji (SZBI) z uwzględnieniem ISO/IEC 27001 lub jako wytyczne dla przedsiębiorstw wdrażających powszechnie akceptowane zabezpieczenia informacji. Norma jest również przeznaczona do stosowania w ramach rozwoju branżowych wytycznych dotyczących zarządzania bezpieczeństwem informacji z uwzględnieniem środowiska, w którym występują specyficzne zagrożenia dla bezpieczeństwa informacji, np. przy projektowaniu i instalacji systemów alarmowych.

Należy pamiętać, że podstawą prawidłowego zarządzania bezpieczeństwem jest szacowanie ryzyka – systematyczne i zgodne z przyjętą metodyką zarządzania bezpieczeństwem w danym przedsiębiorstwie. W przypadku systemów zarządzania bezpieczeństwem informacji zastosowanie mają m.in. dwie normy: PN-ISO 31000 Zarządzanie ryzykiem – Zasady i wytyczne. W tej normie podane są zasady i ogólne wytyczne dotyczące zarządzania ryzykiem oraz norma PN-ISO/IEC 27005:2010 Technika informatyczna – Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji. Pierwsza z nich może być stosowana przez każdy podmiot gospodarczy i administracyjny w ciągu całego okresu jego działalności i w odniesieniu do każdego typu ryzyka, bez względu na jego charakter oraz konsekwencje. Norma nie jest stosowana na potrzeby certyfikacji. Jest zbiorem wskazówek dotyczących zarządzania ryzykiem w systemie bezpieczeństwa informacji. Druga z wymienionych norm określa dobre praktyki oraz daje wskazówki dotyczące planowania i wdrażania wspomnianego systemu.

Wybrane terminy i ich definicje

Aby zrozumieć zasady funkcjonowania systemów bezpieczeństwa informacji (w obiektach), trzeba poznać terminy, które stanowią wspólny język opisujący procesy i zasoby mające wpływ na bezpieczeństwo. Informację traktujemy jako aktyw (zasób), który, podobnie jak inne ważne aktywa biznesowe, ma dla przedsiębiorstwa, instytucji czy organizacji wartość i dlatego należy go odpowiednio chronić. Poniżej podane są wybrane definicje terminów z zakresu bezpieczeństwa informacji.

System zarządzania bezpieczeństwem informacji (SZBI) – część systemu zarządzania, stosowana w związku z ryzykiem biznesowym w celu ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. System zarządzania obejmuje strukturę organizacyjną, polityki, działania związane z planowaniem, zakresy odpowiedzialności, praktyki, procedury, procesy i zasoby.

Aktywa (zasoby) – to wszystko, co ma wartość dla przedsiębiorstwa.

Zagrożenie – potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji.

Podatność – słabość aktywu lub grupy aktywów, która może przyczynić się do zaistnienia (zmaterializowania się) zagrożenia.

Zdarzenie związane z bezpieczeństwem informacji – to określony stan systemu (w tym alarmowego), usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem.

Incydent związany z bezpieczeństwem informacji – pojedyncze zdarzenie lub serię niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań i zagrażają bezpieczeństwu informacji i mogą w konsekwencji spowodować znaczne straty lub wręcz przerwać proces biznesowy.

Skutki – rezultat niepożądanego incydentu.

Prawdopodobieństwo – stopień pewności, że incydent (zdarzenie) się zdarzy.

Ryzyko – prawdopodobieństwo, że podatność aktywu lub aktywów oraz istniejące zagrożenie spowodują w efekcie straty (materialne i niematerialne) albo zniszczenie aktywów.

Zabezpieczenie – praktyka, procedura lub inny mechanizm redukujący ryzyko.

System zarządzania bezpieczeństwem obiektu (SZBO)

SZBO stanowi część wykorzystywanego przez przedsiębiorstwo systemu zarządzania, który jest stosowany z powodu istnienia ryzyka biznesowego, w celu ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa obiektu. SZBO obejmuje infrastrukturę techniczną, strukturę organizacyjną, politykę oraz działania związane z planowaniem, eksploatacją, konserwacją i serwisem, zakresy odpowiedzialności, praktyki, procedury, procesy i zasoby.

Obszary zarządzania za pomocą SZBO

Zarządzanie za pomocą systemu zarządzania bezpieczeństwem obiektu dotyczy przede wszystkim następujące obszary:

  • obszar prawno-normatywny, który obejmuje wszystkie regulacje prawno-normatywne, jakim podlega obiekt i podmioty go użytkujące lub powiązane;
  • obszar wymagań biznesowych, który dotyczy zobowiązania zawarte w umowach między zainteresowanymi stronami, które korzystają z obiektu lub w jakiś inny sposób są z nim biznesowo powiązane (np. w umowach dotyczących czynności serwisowych i konserwacyjnych przeprowadzanych przez strony trzecie, w umowach dotyczących dzierżawy pomieszczeń, w których przetwarzane są informacje niejawne itd.);
  • obszar technicznej infrastruktury bezpieczeństwa, który obejmuje szeroko rozumiane systemy zabezpieczenia technicznego, ochrony środowiska, komunikacyjne i teleinformatyczne;
  • obszar zarządzania utrzymaniem obiektu (serwisem, konserwacją), który obejmuje zarządzanie eksploatacją i administrowanie obiektem w celu zapewnienia ciągłości działania systemów organizacyjno-technicznych obiektu zgodnie z wymaganiami prawno-normatywnymi (np. dokumentowanie serwisu i przeglądów systemów alarmowych);
  • obszar zarządzania ryzykiem, który dotyczy procedury szacowania ryzyka i plan postępowania z ryzykiem w celu zapewnienia optymalnej ochrony obiektu przed zagrożeniami wszystkich możliwych kategorii;
  • obszar nadzoru nad konfiguracją i zmianami w obiekcie i jego infrastrukturze, który obejmuje tworzenie dokumentacji opisującej zmiany (rejestru zmian), jakie w trakcie eksploatacji wystąpiły w obiekcie (np. modernizacja systemów alarmowych, która powinna znaleźć swoje odzwierciedlenie w dokumentacji powykonawczej systemu).

Opisane wyżej obszary zarządzania za pomocą SZBO pokazują, że należy sprawdzić poprzez przeprowadzenie audytu, czy infrastruktura w obiekcie jest technicznie zabezpieczona i czy panują w nim bezpieczne warunki środowiskowe. Warto odwołać się w tym miejscu do zapisów opisanej wcześniej normy zarządzania bezpieczeństwem informacji ISO/IEC 270001:2013.

 

Rys. 1. Zasadnicze elementy składowe SZBO

 

Struktura normy ISO/IEC 27001:2013

Można wyodrębnić  następujące fazy wdrażania systemu zarządzania bezpieczeństwem informacji:

  1. Planowanie. Należy ustalić zakres, cele, zasoby, zadania i zaplanować, jak przeprowadzić szacowanie ryzyka w celu zapewnienia uzyskania oczekiwanego funkcjonowania SZBI.
  2. Wykonanie. Należy wykonać niezbędne działania, np. przeprowadzić analizę ryzyka i postępowanie z ryzykiem, zabezpieczyć informacje technicznie, organizacyjnie i prawno-normatywnie.
  3. Sprawdzenie. Należy zapewnić (poprzez stosowanie wskaźników i pomiarów, audyt i kontrolę zarządzania), że zaspokojono potrzeby zainteresowanych stron w zakresie funkcjonowania systemu zarządzania bezpieczeństwem informacji.
  4. Działanie. Należy dokonać przeglądu wyników pomiarów i w razie potrzeby podjąć odpowiednie kroki w celu udoskonalenia Systemu Zarządzania Bezpieczeństwem Informacji lub korekty niezgodności. Nowa wersja normy ISO/lEC 27001:2013 bazuje na modelu ciągłego doskonalenia. Nie ma w niej jednoznacznego odniesienia do cyklu PDCA i znanego wszystkim rysunku modelu PDCA. Wynika to stąd, że chociaż model PDCA jest nadal stosowany, można także stosować inne metody realizacji ciągłego doskonalenia.

 

Rys. 2. Model PDCA (Plan-Do-Check-Act)


Struktura normy

Poniżej znajduje się opis rozdziałów normy w ujęciu zgodnym z modelem PDCA.

Faza planowania (ustanowienia)

Rozdział 4. (Kontekst organizacji) dotyczy określenia czynników zewnętrznych i wewnętrznych, jakie powinna uwzględnić organizacja, aby osiągnąć cel swego działania, i takie, które wpływają na jej zdolność do uzyskania efektywnego działania systemu zarządzania bezpieczeństwem informacji. Ważny jest zakres SZBI, a także zrozumienie kontekstu organizacji oraz oczekiwań zainteresowanych stron.

W rozdziale 5. (Przywództwo) opisane są wymagania dotyczące najwyższego kierownictwa, które powinno ustanowić i zatwierdzić dokument – politykę bezpieczeństwa informacji, zapewnić odpowiednie zasoby, w tym zasoby ludzkie, wspierać działania mające na celu bezpieczeństwo.

Rozdział 6. (Planowanie) dotyczy planowania wszelkich działań odnoszących się do ryzyk i szans osiągnięcia założonych celów mających związek z bezpieczeństwem organizacji.

W rozdziale 7. (Wsparcie) jest mowa o tym, że organizacja powinna zapewnić odpowiednie zasoby, niezbędne kompetencje osób zaangażowanych w funkcjonowanie SZBI oraz wiedzę pracowników i stron współpracujących w zakresie bezpieczeństwa, a także określić zasady przepływu informacji, komunikacji oraz dokumentowania informacji.

Faza wykonywania (wdrażanie i funkcjonowanie)

W rozdziale 8. (Działania operacyjne) jest mowa o tym, że organizacja powinna zaplanować, wdrożyć i nadzorować czynności potrzebne do spełnienia wymagań dotyczących bezpieczeństwa informacji, w tym planowanie i nadzór operacyjny, szacowanie ryzyka oraz postępowanie z ryzykiem.

Faza sprawdzania (monitorowanie i przegląd)

W rozdziale 9. (Ocena funkcjonowania) jest mowa o tym, że organizacja powinna ocenić wyniki działań na rzecz bezpieczeństwa informacji oraz skuteczność systemu zarządzania bezpieczeństwem informacji. Powinna określić, co należy mierzyć i monitorować, ustalić metody monitorowania i pomiaru, nadzorować, mierzyć, analizować, oceniać, przeprowadzać audyty wewnętrzne w zaplanowanych odstępach czasu w celu dostarczenia informacji o tym, czy system zarządzania bezpieczeństwem informacji jest zgodny z wymaganiami organizacji, a także dokonywać przeglądu SZBI w zaplanowanych odstępach czasu w celu zapewnienia jego stałej przydatności, adekwatności i skuteczności.

Faza działania

Rozdział 10. (Doskonalenie) dotyczy zagadnień związanych z ciągłym doskonaleniem oraz badania przydatności, adekwatności i skuteczności systemu zarządzania bezpieczeństwem informacji. Doskonalenie obejmuje także działania korygujące, które mają na celu wyeliminowanie niezgodności.

Stosowanie zabezpieczeń normatywnych

W normie zawarty jest wzorcowy wykaz celów stosowania zabezpieczeń, a w załączniku A wymienione są zabezpieczenia.

Stosowane zabezpieczenia obejmują:

  • rekomendowane i zalecane zabezpieczenia zawarte w normie ISO/IEC 27002:2013,
  • własne (indywidualne) i specyficzne zabezpieczenia wymagane w związku z działalnością danego przedsiębiorstwa, instytucji czy organizacji, np. ochrona informacji przed ulotem elektromagnetycznym czy podsłuchem.

Rys. 3.

 

Poniżej opisany został wzorcowy wykaz celów stosowania zabezpieczeń i stosowane zabezpieczenia wg Załącznika A normy ISO 27001:2013 obejmuje następujące rozdziały numerowane wg normy:

  • A.5 Polityki bezpieczeństwa informacji – wskazanie działań kierownictwa, którymi jest wskazanie wytycznych działań mających na celu bezpieczeństwo informacji zgodnie z wymaganiami biznesowymi oraz właściwymi normami prawnymi i regulacjami oraz wspieranie tych działań;
  • A.6 Organizacja bezpieczeństwa informacji – wskazówki dotyczące sposobu ustanowienia struktury zarządzania w celu zainicjowania oraz nadzorowania wdrażania i eksploatacji systemu bezpieczeństwa informacji;
  • A.7 Bezpieczeństwo zasobów ludzkich – określenie sposobu na to, by pracownicy i kontrahenci rozumieli swoją odpowiedzialność i byli odpowiednimi kandydatami do wypełnienia ról, które są dla nich przewidziane;
  • A.8 Zarządzanie aktywami – pokazanie, w jaki sposób identyfikuje się aktywa organizacji i określa właściwą odpowiedzialność dotyczącą ich ochrony;
  • A.9 Kontrola dostępu – wskazówki dotyczące sposobu ograniczenia dostępu do informacji i środków przetwarzania informacji;
  • A.10 Kryptografia – podanie sposobu zapewnienia właściwego i skutecznego wykorzystania kryptografii do ochrony poufności, autentyczności lub integralności informacji;
  • A.11 Bezpieczeństwo fizyczne i środowiskowe – podanie sposobu zapobiegnięcia nieuprawnionemu fizycznemu dostępowi, szkodom i zakłóceniom informacji i środków przetwarzania informacji należących do organizacji;
  • A.12 Bezpieczna eksploatacja – określenie wymagań, które zapewnią poprawną i bezpieczną eksploatację środków przetwarzania informacji;
  • A.13 Bezpieczeństwo komunikacji – rozdział dotyczący ochrony informacji w sieciach oraz wspomagających je środkach przetwarzania informacji;
  • A.14 Pozyskiwanie, rozwój i utrzymanie systemów – rozdział, w którym jest mowa o tym, że bezpieczeństwo informacji powinno być zapewnione w systemie informacyjnym w całym cyklu jego życia (dotyczy to również systemów informacyjnych dostarczających usług w sieciach publicznych);
  • A.15 Relacje z dostawcami – rozdział dotyczy potrzeby zapewnienia ochrony aktywów organizacji udostępnianych dostawcom;
  • A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji – rozdział, w którym jest mowa o tym, że potrzebne jest spójne i skuteczne podejście do zarządzania incydentami związanymi z bezpieczeństwem informacji – z uwzględnieniem informowania o zdarzeniach i słabościach oraz sposobach ich rozwiązywania;
  • A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania – rozdział, w którym jest mowa o tym, że celem zabezpieczenia jest zapewnienie ciągłości bezpieczeństwa informacji w systemach zarządzania;
  • A.18 Zgodność – rozdział, w którym jest mowa o tym, że zgodność z prawem i zawartymi umowami ma na celu uniknięcie naruszenia zobowiązań prawnych, regulacyjnych lub umownych związanych z bezpieczeństwem informacji oraz innych wymagań dotyczących bezpieczeństwa.

Rys. 4.

 

Podsumowanie

W tej części poznaliśmy podstawowe obszary zarządzania bezpieczeństwem obiektów w ujęciu zapisów i wymagań normy zarządzania bezpieczeństwem informacji ISO/IEC 27001.

Zapoznaliśmy się z modelem wdrażania normy, jej strukturą, celami oraz sposobami zabezpieczenia. Jest to ważna wiedza dla audytora, który musi kierować się obiektywnymi wytycznymi audytowania bezpieczeństwa obiektów. Wspomniano także kilkakrotnie o zarządzaniu ryzykiem. Następny artykuł będzie dotyczył szacowania ryzyka w zarządzaniu bezpieczeństwem obiektów w ujęciu cytowanych w artykule norm.

Opracował
dr inż. Andrzej Wójcik
ekspert i rzeczoznawca ds. bezpieczeństwa technicznego i ochrony informacji
audytor ds. bezpieczeństwa biznesu
andrzej@esinstal.pl

 

Zabezpieczenia 4/2017

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony