System zarządzania bezpieczeństwem informacji (SZBI) – to część całościowego systemu zarządzania, oparta na podejściu wynikającym z ryzyka biznesowego. SZBI odnosi się do:
- ustanawiania,
- wdrażania,
- eksploatacji,
- monitorowania,
- utrzymywania
- i doskonalenia bezpieczeństwa informacji.
System zarządzania bezpieczeństwem informacji składa się z wielu elementów, w tym:
- działania z planowania,
- określenie organizacyjnych struktury,
- obowiązków,
- zdefiniowanie polityki bezpieczeństwa,
- procedur,
- ustalenie procesów i przydzielenie zasobów.
Najbardziej znaczącymi celami większości systemów zarządzania bezpieczeństwem informacji jest:
- ochrona biznesu i wiedz kompanii od wycieku i/lub zniszczenia oraz
- gwarancja majątkowych praw i interesów.
Środki zapewniające bezpieczeństwo informacji nie mogą ograniczać oraz komplikować biznesowych procesów przetwarzania informacji, ani obiegu informacji, ponieważ może to zagrozić osiągnięciu celów biznesowych i rozwój organizacji.
System zarządzania bezpieczeństwem informacji musi zagwarantować osiągnięcia takich celów jak:
- zapewnienie poufności,
- uniemożliwienie niesankcjonowanego dostępu do informacji krytycznej,
- integralność informacji i związanych z nią procesów (stworzenie, wprowadzenie,obróbki, wycofywania, niszczenia) oraz dostępności informacji itp.
Ustalone cele można osiągnąć przy udanym rozwiązaniu takich głównych zadań, jak:
wyznaczenie odpowiedzialnych za bezpieczeństwo informacji,
zdefiniowanie i zastosowanie oceny ryzyka dotyczącego bezpieczeństwa informacji,
przeprowadzenia szacowania ryzyka,
opracowanie systemu zarządzania ryzykami bezpieczeństwa informacji,
opracowanie polityk i procedur dostępu do zasobów informacyjnych (w tym metody ich oceny), nadzoru bezpieczeństwa informacji w organizacji.
Budowa SZBI pozwala wyraźnie wyznaczyć wzajemnie powiązania procesów i podsystemów bezpieczeństwa informacji, a przy tym: kto za nich odpowiada, jakie zasoby finansowe i ludzkie są konieczne dla ich efektywnego funkcjonowania, itd.
Główne funkcje systemu zarządzania bezpieczeństwem informacji:
- wykrycie i analiza ryzyk związanych z bezpieczeństwem informacji,
- planowanie i praktyczna realizacja procesów, skierowanych na minimalizację ryzyk,
- kontrola tych procesów,
- ciągle wprowadzenie do procesów minimalizacji ryzyk (poprzez działania korygujące).
Skuteczne zarządzanie bezpieczeństwem informacji bazuje się na zasadach:
- podejścia kompleksowego – zarządzanie bezpieczeństwem informacji powinno ogarniać wszystkie elementy systemu informacyjnego i uwzględniać wszelkie aktualne czynniki stwarzające ryzyko, które mogą wystąpić w systemie przebiegu informacji przedsiębiorstwa (zarówno wewnątrz, jak i na zewnątrz),
- koordynacji z zadaniami biznesowymi i strategią przedsiębiorstwa,
- wysokiego poziom sterowności,
- adekwatnśoci generowanej i wykorzystywanej informacji,
- efektywności (skuteczności) – optymalnego bilansu między możliwościami, wydajnością i kosztami SZBI,
- ciągłości działania,
- podejścia procesowego – powiązania procesów zarządzania do zamkniętego cyklu planowania, wykonania, sprawdzenia, audytu i korygowania (PDCA) oraz utrzymania nierozerwalnego związku między etapami.
Jednym z kluczowych czynników skuteczności systemu zarządzania bezpieczeństwem informacji organizacji jest jego budowa w oparciu o normę międzynarodową ISO/IEC 27001.
Wymagania normy ISO 27001 stanowią narzędzie do:
Wymagania normy ISO 27001 stanowią narzędzie do:
- opracowania,
- wdrażania,
- utrzymania,
- monitoringu,
- wsparcia
- i doskonalenia dobrze udokumentowanego systemu zarządzania bezpieczeństwem informacji w kontekście rozpatrzenia ryzyk biznesowych.
SZBI zapewnia wybór adekwatnych i proporcjonalnych środków nadzoru i ochrony informacji, co powoduje zaufanie stron zainteresowanych.
Trzeba zwrócić też uwagę i na inne normy/ standardy w zakresie bezpieczeństwa informacji. W praktyce światowej wykorzystują dość dużą ilość norm, standardów, metodyk, które reglamentują procesy zarządzania bezpieczeństwem informacji, na przykład:
- ISM3,
- COBIT,
- ITIL / ITSM,
- BSI-100-2,
- ISO13335-5,
- CRAMM,
- ISO 15408.
Lecz warto odznaczyć, że one są kompatybilne z ISO 27001, a także podobne do niej.
Autor: Maryna Kuczyńska