Norma ISO/IEC 27001

ISO/IEC 27001 to podstawowa norma międzynarodowa dotyczącą tworzenia oraz funkcjonowania systemów zarządzania bezpieczeństwem informacji w organizacji. Jest ona najbardziej rozpoznawalnym reprezentantem całej rodziny norm ISO 27000 obejmującej już ponad kilkadziesiąt norm i zestawów dobrych praktyk. Jej twórcami są uznane globalne instytucje: Międzynarodowa Organizacja Normalizacyjna (International Standardization Organization, ISO) oraz Międzynarodowa Komisja Elektrotechniczna (International ElectrotechnicalCommission, IEC). Polski Komitet Normalizacyjny opublikował na podstawie międzynarodowej wersji krajową normę PN-EN ISO/IEC 27001. W ramach niniejszego artykułu przedstawiony zostanie krótki zarys dotyczący tego czym jest ISO/IEC 27001. Szczególna uwaga poświęcona zostanie roli i przydatności normy dla polskich przedsiębiorstw, w tym przemysłowych.  

Co znajdziesz w tym artykule:

  1. Po co mi ISO/IEC 27001 – jakie korzyści płyną z wdrożenia omawianej normy w przedsiębiorstwie  
  1. Czego dotyczy ISO/IEC 27001 – skrótowy opis normy  
  1. Jak wdrażać ISO/IEC 27001 – uproszczony zestaw kluczowych kroków  

Po co mi ISO/IEC 27001

Wymienić można co najmniej 5 podstawowych korzyści wynikających z wdrożenia ISO/IEC 27001 w firmie:  

1. Zmapowanie luk w systemie cyberbezpieczeństwa firmy 

Proces wdrażania normy, dzięki systemowemu podejściu oraz jednoznacznej liście zabezpieczeń pozwala na wskazanie słabych stron istniejącego systemu cyberbezpieczeństwa w przedsiębiorstwie.  

2. Przejście od silosów i działań wyspowych do procesu zarządzania bezpieczeństwem w przedsiębiorstwie 

Z perspektywy CIO lub CISO, wdrożenie normy to szansa na odpowiednie osadzenie poszczególnych rozwiązań technologicznych i organizacyjnych, a także podejmowanych aktywności, w procesie zarządzania bezpieczeństwem informacji. ISO/IEC 27001 pozwala na wprowadzenie ciągłego procesu opartego na przetestowanych międzynarodowych dobrych praktykach.  

3. Wypełnienie wymagań prawnych nakładanych na poszczególne kategorie przedsiębiorstw w prawodawstwie krajowym 

 Krajowe Rami Interoperacyjności wprost wskazują, że wymagania nakładane na podmiot publiczny lub jednostkę realizującą zadania publiczne, uznaje się za spełnione w wypadku wdrożenia systemu zarządzania bezpieczeństwem informacji opracowanego na podstawie ISO/IEC 27001.  

W wypadku Operatorów Usług Kluczowych wskazanych na podstawie Ustawy o Krajowym Systemie Cyberbezpieczeństwa, jako ich główne zadanie wymieniono wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym służącemu świadczeniu usługi kluczowej. W świetle wymogów dotyczących charakterystyki tego systemu (art. 8, ust. 1-6) przyjąć można, że oparcie logiki systemu w przedsiębiorstwie na normie ISO/IEC 27001 wypełnia cele wskazane przez ustawodawcę. Jednocześnie należy podkreślić, że w wypadku elementów dotyczących zabezpieczenia styku sieci IT oraz OT, niezbędne jest uzupełnienie o działania wynikające z normy ISA/IEC 62443-2-1.  

4. Spełnienie wymogów przetargowych 

Zgodnie z nową ustawą Prawo zamówień publicznych, zamawiający może wymagać w przetargu, aby wykonawcy spełniali wymagania poszczególnych norm (art. 116)1. Biorąc pod uwagę zakres omawianej normy można wskazać, że przedsiębiorstwa, które wdrożyły oraz certyfikowały swój system zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001, stanowić będą grupę pożądanych kontrahentów szczególnie w wypadku branż wrażliwych.  

5. Budowa zaufania wśród klientów oraz partnerów biznesowych 

Informacje stanowią niejednokrotnie najcenniejsze zasoby firmy. Jednocześnie żadna firma, ani żaden konsument nie funkcjonują w próżni, w związku z czym zagrożenia oraz potencjalne płaszczyzny ataku wynikają także z tego jakich partnerów rynkowych wybierają poszczególne podmioty. Bezpieczeństwo całego łańcucha dostaw jest tutaj wysokopoziomowym problemem, który w praktyce, w codziennej działalności przedsiębiorstw przyjmuje postać zaufania jakie budować można, m.in. poprzez wykorzystywanie międzynarodowych, uznanych norm takich jak ISO/IEC 27001.  

Czego dotyczy norma ISO/IEC 27001

Norma ISO/IEC 27001 określa wymogi w zakresie tworzenia, wdrażania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w organizacji (ang. informationsecurity management system, ISMS). Ma on zapewnić zachowanie poufności, integralności oraz dostępności informacji, co z kolei może mieć podstawowe znaczenie dla utrzymania konkurencyjności, płynności finansowej, zysku, zgodności z przepisami prawa oraz wizerunku firmy. W uproszczeniu zarządzanie bezpieczeństwem informacji w organizacji osiąga się poprzez odpowiednio prowadzone procesy szacowania ryzyka oraz ustawiczne zarządzanie ryzykiem. Tak zdefiniowana kultura ryzyka oraz koncepcja ciągłego doskonalenia realizowane są przez szereg niezbędnych działań, m.in. odpowiednie rozpoznanie zasobów oraz otoczenia firmy; stworzenie i aplikację odpowiednich polityk i procedur; wdrożenie dopasowanych zabezpieczeń, w tym rozwiązań technicznych oraz organizacyjnych; przypisanie poszczególnych odpowiedzialności zarządowi oraz pracownikom.  

Jak wdrażać ISO/IEC 27001

Pełne wytyczne w zakresie wdrażania ISO/IEC 27001 opisano w odrębnej normie ISO/IEC 27002. Upraszczając ten proces na potrzeby skrótowej prezentacji, można mówić o pięciu podstawowych krokach: 

1. Planowanie 

Prace koncepcyjne dotyczące m.in. tego jakie osoby w organizacji odgrywać będą poszczególne role w ramach wdrażania oraz funkcjonowania ISMS. Co ważne, niezbędne jest zaangażowanie w ten proces kadry zarządzającej. Obok CISO lub CIO, to właśnie na niej spoczywa ostateczna odpowiedzialność za funkcjonowanie systemu. Niezbędne na tym etapie jest także wskazanie właścicieli systemów oraz informacji w organizacji, którzy powinni mieć aktywną rolę w tworzeniu ISMS. Bez tego wdrożenie systemu napotkać może na opór personelu, pracującego na co dzień z poszczególnymi elementami systemu w inny sposób niż zaplanowano to w ramach ISMS. W tym kroku, a także na potrzeby dalszych działań skorzystać można z tzw. macierzy RACI, która określa możliwe funkcje określonego pracownika: 

  • Odpowiedzialny (Responsible
  • Nadzorujący (Accountable
  • Konsultowany (Consulted)  
  • Informowany (Informed

2. Badanie

W tym kroku należy uświadomić sobie, co określona organizacja powinna chronić. Aby to zrobić należy zmapować aktywa, które dzielą się na dwie podstawowe kategorie: informacyjne oraz pozostałe. Druga z kategorii dotyczy aktywów, które służą do przechowywania, przetwarzania czy przesyłania informacji, a więc mowa m.in. o urządzeniach końcowych (np. laptop), oprogramowaniu, fizycznym biurze, ale też pracownikach czy usługach zewnętrznych (np. dostawcy chmury czy usług marketingowych). Następnie należy określić związek pomiędzy aktywami informacyjnymi a pozostałymi, tak aby zrozumieć zależności. Można w tym celu wykorzystać np. macierz przedstawiającą zależności dwóch kategorii aktywów. 

3. Ocena ryzyka 

W tym kroku należy ocenić wartość określonych aktywów. Pomocne w tym procesie jest m.in. scharakteryzowanie aktywów informacyjnych pod kątem podstawowych przymiotów, czyli bezpieczeństwa, poufności oraz dostępności. Sama ocena wartości może być dokonywana przy wykorzystaniu różnych skali wartości. Często przyjmowaną skalą jest prosty trójpodział na niską – średnią – wysoką. Należy także ocenić kontekst funkcjonowania firmy, który ma bezpośredni wpływ na szacowania ryzyka. Zagrożenia charakterystyczne dla poszczególnych szerokości geograficznych czy branż rynkowych stanowią ważny element prowadzonego procesu. W trakcie oceny ryzyka należy wziąć także pod uwagę obecne już zabezpieczenia – zarówno techniczne, organizacyjne jak i prawne.  

4. Tworzenie, wdrażanie oraz udoskonalanie systemu zarządzania bezpieczeństwem informacji 

 W oparciu o zgromadzone dane możliwe staje się stworzenie systemu zarządzania bezpieczeństwem informacji. Pełną listę zabezpieczeń jaką należy wdrożyć zgodnie z ISO/IEC 27001 znaleźć można w Załączniku A, Tablicy A.1. Bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw środków, do których należeć mogą polityki, praktyki, procedury, struktury organizacyjne i funkcje oprogramowania. Warto wskazać, że zgodnie z normą nie występuje wdrożenie częściowe określonego zabezpieczenia – jest ono uznawane za brak zastosowania zabezpieczenia. Więcej szczegółów na temat tego jak w praktyce budować ISMS znaleźć można w przytaczanej już normie ISO/IEC 27002. W tym miejscy należy wskazać, że sam system zakłada nie tylko wdrożenie poszczególnych zabezpieczeń, ale także ustawiczne zarządzanie bezpieczeństwem informacji m.in. poprzez kontrolowanie realizacji a także monitorowanie rezultatów. Ciągłe udoskonalanie ISMS w odpowiedzi na zmieniające się realia jest inherentną cechą opisywanej normy i systemu.  

5. Certyfikacja  

W celu potwierdzenia wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w firmie należy poddać się procesowi certyfikacji. Opera się on na analizie stanu faktycznego oraz dokumentacji. Certyfikaty ISO/IEC 270001 są ważne przez 3 lata, z zastrzeżeniem, że co roku poddawać należy się audytowi nadzoru. 

Jeśli chcesz dowiedzieć się więcej, obserwuj nasze konta w mediach społecznościowych, aby uzyskać dalsze aktualizacje, gdy pojawi się nowa publikacja lub zapisz się do naszego newslettera.

Tags: cybersecurity; cybersecurity for industry, cybersecurity for automation, cyberbezpieczeństwo, cyberbezpieczeństwo dla automatyki, cyberbezpieczeństwo dla przemysłu, SCADA, SCADvance, SCADvance XP, cyberbezpieczeństwo OT, cyberbezpieczeństwo infrastruktury, OT security, critical infrastructure protection, cyberbezpieczeństwo dla infrastruktury krytycznej

demo scadvance

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Dziękujemy

Odezwiemy się w ciągu 1 dnia roboczego

style>