Informacje są najcenniejszym zasobem często przewyższającym wartość środków produkcji. Ten kto posiada właściwe informacje i potrafi je efektywnie wykorzystać, najczęściej wyprzedza konkurencję. Z punktu widzenia regulacji prawnych konieczne jest zapewnienie bezpieczeństwa danych osobowych, danych stanowiących np. tajemnicę lekarską, adwokacką, przedsiębiorstwa czy też informacji, których nieuprawnione ujawnienie mogło spowodować istotne zagrożenie dla podstawowych interesów Rzeczypospolitej Polskiej, dotyczących porządku publicznego, obronności, bezpieczeństwa, stosunków międzynarodowych lub gospodarczych państwa.
Artykuł przygotowany przez CCJ WAT
Z uwagi na wartość informacji, świadomość możliwości wystąpienia incydentów takich jak przekazanie informacji nieuprawnionym podmiotom, wprowadzenie nieautoryzowanych zmian, szpiegostwo, złośliwe oprogramowanie (np. koń trojański, rootkit, robak sieciowy), włamania (np. włamanie do aplikacji, bot), oszustwa komputerowe (np. phishing, kradzież tożsamości), sabotaż komputerowy, ataki na serwis DoS determinuje do opracowania mechanizmów obrony przed takimi zagrożeniami. W dobie powiększającej się skali i rodzajów ryzyk, zarówno na poziomie lokalnym jak i globalnym konieczne staje się posiadanie systemu zapewniającego bezpieczeństwo informacji, które określane jest jako zapewnienie poufności, dostępności i integralności informacji. Kluczem sukcesu jest osiągnięcie celów biznesowych zintegrowanych z celami bezpieczeństwa informacji.
Utrzymanie ciągłości działalności oraz minimalizacji skutków incydentów możliwe jest dzięki wdrożeniu systemu zarządzania bezpieczeństwem informacji (ISMS) zgodnie z wymaganiami polskiej normy PN-EN ISO/IEC 27001. Sprawdzianem skuteczności oraz poziomu jakości funkcjonowania systemu jest jego certyfikacja przeprowadzona przez niezależną jednostkę certyfikującą. Centrum Certyfikacji Jakości Wydziału Bezpieczeństwa, Logistyki i Zarządzania Wojskowej Akademii Technicznej (CCJ WAT), akredytowane przez Polskie Centrum Akredytacji, od ponad 20 lat prowadzi działalność certyfikacyjną, w zakresie systemów zarządzania w tym obszarze zarządzania bezpieczeństwem informacji. Wzrastające zainteresowanie certyfikacją ISMS oraz stale rosnąca liczba wydanych certyfikatów potwierdzają potrzebę uzyskania obiektywnego dowodu spełnienia wymagań normatywnych i wzmocnienia rynkowego wizerunku firmy dbającej o bezpieczeństwo informacji wszystkich swoich interesariuszy. Certyfikowany system zarządzania nie tylko wyróżnia organizację na tle konkurencji, ale dokumentuje wykorzystanie najlepszych, uznanych na świecie praktyk zapewniających poufność danych przetwarzanych w organizacji.
Dla organizacji wdrożenie ISMS jest decyzją strategiczną, podjętą w oparciu o potrzeby i wyznaczone cele działalności. Założeniem jest, aby system zarządzania bezpieczeństwem informacji był częścią procesów funkcjonujących w organizacji oraz ogólnej struktury zarządzania, a także bezpieczeństwo informacji integrowało procesy, systemy informacyjne i zabezpieczenia. W normie PN-EN ISO/IEC 27001 określono wymagania dotyczące ustanawiania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Organizacja na podstawie oszacowanego ryzyka biznesowego tworzy system złożony z polityki, procesów, procedur, struktury organizacyjnej, oprogramowania i sprzętu do ochrony określonych aktywów informacyjnych. Przewodnikiem w opracowaniu zabezpieczeń jest załącznik A normy PN-EN ISO/IEC 27001 stanowiący wzorcowy wykaz 114 celów stosowania zabezpieczeń i zabezpieczeń.
Podstawowym elementem ISMS podobnie jak w systemach zarządzania jakością, środowiskiem czy bezpieczeństwem higieny i pracy jest polityka, która wskazuje ogół zamierzeń i zobowiązań kierownictwa w zakresie prowadzenia działalności w aspekcie utrzymania bezpieczeństwa informacji. Kluczowym jest wyznaczenie zakresu uprawnień i odpowiedzialności, funkcji personelu w zależności od realizowanych zadań dotyczących ochrony informacji. Jest to niezbędne do planowania i realizacji działań operacyjnych, w tym szacowania ryzyka i określenia trybu postępowania z ryzykiem. Opracowanie Deklaracji Stosowania jest wymaganiem normy ale też swoistym i zwartym kompendium o stosowanych zabezpieczeniach z uwzględnieniem podatności i ryzyka. Do szerokiej gamy zabezpieczeń zalicza się:
W zależności od zakresu i specyfiki działalności oraz możliwości organizacja tworzy swój indywidualny, skrojony na miarę potrzeb zbiór zabezpieczeń w zakresie zapewnienia ochrony informacji.
Wiele organizacji dopiero po utracie kluczowych aktywów doceniło wagę słów Klausa Naumanna, byłego szefa sztabu Bundeswehry oraz przewodniczącego Komitetu Wojskowego NATO, że „bezpieczeństwo nie jest wszystkim, ale bez bezpieczeństwa wszystko jest niczym”. Zarówno z poziomu życia codziennego jak i zawodowego spotykamy się z wieloma problemami ochrony informacji albo już doświadczyliśmy materializacji ryzyk w związku z zaistnieniem incydentów bezpieczeństwa informacji. Poniżej kilka wybranych przykładów uzmysławiających, że zagrożenia nie są tylko teorią, która nas nie dotyczy ale mogą wystąpić, jeśli nie będziemy z odpowiednim wyprzedzeniem, podejmować skutecznych działań wpisujących się w ramy zweryfikowanego systemu:
Powyższe wymienione przypadki nie są odosobnione i dowodzą, że brak albo niewłaściwa ochrona informacji może skutkować utratą reputacji, zaufania i wiarygodności u klientów oraz może przyczyniać się do niespełnienia wymagań prawnych i ponoszenia dotkliwych kar finansowych. Dlatego zbudowanie i utrzymywanie systemu zarządzania bezpieczeństwem informacji wpływa na obniżenie ryzyka związanego z zachowaniem podstawowych atrybutów informacji jakim są poufność, dostępność i integralność poprzez wdrożenie sprawdzonych zabezpieczeń odpowiednio do posiadanych środków finansowych, zasobów ludzkich i infrastruktury. Nawiązując do jednego z głównych wymagań ISMS dotyczącego tworzenia kopii zapasowych, parafrazując powiedzenie „ludzie dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili”, warto już teraz wdrożyć system chroniący najważniejsze aktywa w organizacji, zanim doświadczymy ich straty, czasem bezpowrotnie.
Artykuł przygotowany przez CCJ WAT
Oj, tak. Dzięki temu nikt w organizacji nie wie co i jak działa i nikt nie wie dlaczego. Nie wie również do czego ma uprawnienia a do czego ne ma. Tak wygląda "bezpieczeństwo". W zasadzie bezpieczeństwo nigdy się nie kończy i spece są w stanie sparaliżować działanie każdej organizacji.
Każdy urząd z gov w nazwie na każdym szczeblu w pierwszej kolejności, potem wszystkie jednostki samorządowe i służby zdrowia ... winny mieć cyber ochronę. Chodzi o sprzęt, łącza, szkolenia, kompetencję, wsparcie dla informatyków pracujących tam za lichy grosz. To państwo, MC, NASK, jednostki cywilne i wojskowe powinny zająć się tym tematem. Od dołu ku górze. Góra da sobie zawsze radę. Problem jest u podstaw piramidy wymiany informacji. Każdy informatyk pracujący w takich jednostkach winien być dobrze opłacanym państwowym funkcjonariuszem będącym pod ochroną i kontrolą służb państwowych. Czytam te wizje - typu obecny artykuł - jak elaboraty o polskiej marynarce wojennej. Jaka ma być, jakie są cele. S-F. Różnica jest tylko taka, że na polu cyber już JESTEŚMY na wojnie.