Zarządzanie bezpieczeństwem informacji
- Andrzej Białas,
- 01.03.2001
Zarządzanie bezpieczeństwem informacji to nowa dziedzina z pogranicza informatyki, prawa, organizacji i zarządzania, zajmująca się definiowaniem aspektów bezpieczeństwa dla instytucji i jej systemów teleinformatycznych, jego osiąganiem i utrzymywaniem.
Zarządzanie bezpieczeństwem to ciągły i złożony proces umożliwiający bezpieczną realizację misji, do której instytucję powołano. Proces ten zachodzi w stale zmieniającym się środowisku, przy występowaniu coraz to nowych form zagrożeń i wyzwań dla instytucji, a także przy niebywałym postępie technologicznym. W artykule przybliżono standardową terminologię, zwłaszcza związaną z modelami bezpieczeństwa. Zwrócono też uwagę na materiały normatywne i zalecenia dotyczące samego zarządzania bezpieczeństwem informacji.
Bezpieczeństwo - to nie tylko stosowanie zabezpieczeń
Wchodzimy w erę społeczeństwa informacyjnego - instytucje rządowe i komercyjne, a nawet poszczególne jednostki stają się coraz bardziej uzależnione od szybkiego, niezawodnego, a przede wszystkim bezpiecznego przetworzenia ogromnych ilości informacji. Rosnąca wartość informacji powoduje wzrost zagrożeń dla nich, stąd niezwykłej wagi problemem stała się ochrona systemów teleinformatycznych i przetwarzanych w nich informacji. Wraz z rozwojem systemów rozwijano technologię zabezpieczeń, jednak dziś same zabezpieczenia już nie wystarczają - należy je optymalnie dobierać, odpowiednio stosować w harmonii z zasadami eksploatacji systemów przetwarzania i wreszcie odpowiednio nimi zarządzać.
Polecamy artykuł: Bezpieczna poczta
Zabezpieczenia są kosztowne, więc muszą być dobrane stosownie do zagrożeń oraz do wartości szkód, które by można ponieść w sytuacji, gdy ich nie zastosujemy. Dobór zabezpieczeń powinien zostać poprzedzony starannym określeniem celów bezpieczeństwa dla instytucji i jej systemów, uwzględniających realizację misji instytucji w sytuacji występowania zagrożeń. Wdrożenie zabezpieczeń nie oznacza jeszcze osiągnięcia zaplanowanego poziomu bezpieczeństwa. Równie ważnymi zadaniami są: zdefiniowanie zasad bezpiecznego przetwarzania informacji, szkolenie i uświadamianie pracowników, monitorowanie aktualnego stanu bezpieczeństwa, jak i stałe doskonalenie i adaptacja systemów oraz organizacji do zmieniającego się otoczenia.
Bezpieczeństwo nie jest więc aktem jednorazowym, polegającym na wdrożeniu zabezpieczeń, lecz ciągłym, dynamicznym, a przy tym bardzo złożonym procesem, wymagającym stałego nadzoru i przystosowywania się do zmiennych warunków otoczenia.
Bezpieczeństwo musi być rozpatrywane w aspekcie organizacyjnym, technicznym oraz prawnym - jest zawsze dziełem interdyscyplinarnego zespołu specjalistów. Powstała nowa dziedzina nauki i praktyki z pogranicza tych obszarów - zarządzanie bezpieczeństwem informacji, rozwiązujące problemy związane z zapewnieniem i utrzymaniem odpowiedniego poziomu bezpieczeństwa dla instytucji. Wiąże się to z zapewnieniem gwarantowanego poziomu jakości informacji - informacje muszą być poprawne, dostępne tylko dla uprawnionych podmiotów, w odpowiednim czasie i tylko na odpowiednich stanowiskach instytucji.
Jak każda dziedzina zarządzanie bezpieczeństwem informacji wykształciło swoją terminologię, modele i metody działania.
Normy i zalecenia podstawą rozwoju zarządzania bezpieczeństwem informacji
Kluczowym dla zarządzania bezpieczeństwem informacji jest Raport Techniczny - ISO/IEC TR 13335, składający się z pięciu części, z których pierwsza obowiązuje od roku jako Polska Norma. Pozostałe części są w różnym stadium przygotowania. Poszczególne części raportu zawierają następujące informacje:
* ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwem systemów informatycznych:
- terminologia, związki między pojęciami
- podstawowe modele.
* ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów informatycznych:
- różne podejścia do prowadzenia analizy ryzyka
- plany zabezpieczeń
- rola szkoleń i działań uświadamiających
- stanowiska pracy w instytucji związane z bezpieczeństwem.
* ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych:
- formułowanie trójpoziomowej polityki bezpieczeństwa
- rozwinięcie problematyki analizy ryzyka
- rozwinięcie problematyki implementacji planu zabezpieczeń
- reagowanie na incydenty.
* ISO/IEC/TR 13335-4: Wybór zabezpieczeń:
- klasyfikacja i charakterystyka różnych form zabezpieczeń
- dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu.
* ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi:
- dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną.