Zapewnienie bezpieczeństwa informacji podstawą funkcjonowania organizacji

Artykuł przygotowany przez CCJ WAT 

Z uwagi na wartość informacji, świadomość możliwości wystąpienia incydentów takich jak przekazanie informacji nieuprawnionym podmiotom, wprowadzenie nieautoryzowanych zmian, szpiegostwo, złośliwe oprogramowanie (np. koń trojański, rootkit, robak sieciowy), włamania (np.  włamanie do aplikacji, bot), oszustwa komputerowe (np. phishing, kradzież tożsamości), sabotaż komputerowy, ataki na serwis DoS determinuje do opracowania mechanizmów obrony przed takimi zagrożeniami. W dobie powiększającej się skali i rodzajów ryzyk, zarówno na poziomie lokalnym jak i globalnym konieczne staje się posiadanie systemu zapewniającego bezpieczeństwo informacji, które określane jest jako zapewnienie poufności, dostępności i integralności informacji. Kluczem sukcesu jest osiągnięcie celów biznesowych zintegrowanych z celami bezpieczeństwa informacji.

Utrzymanie ciągłości działalności oraz minimalizacji skutków incydentów możliwe jest dzięki wdrożeniu systemu zarządzania bezpieczeństwem informacji (ISMS) zgodnie z wymaganiami polskiej normy PN-EN ISO/IEC 27001. Sprawdzianem skuteczności oraz poziomu jakości funkcjonowania systemu jest jego certyfikacja przeprowadzona przez niezależną jednostkę certyfikującą. Centrum Certyfikacji Jakości Wydziału Bezpieczeństwa, Logistyki i Zarządzania Wojskowej Akademii Technicznej (CCJ WAT), akredytowane przez Polskie Centrum Akredytacji, od ponad 20 lat prowadzi działalność certyfikacyjną, w zakresie systemów zarządzania w tym obszarze zarządzania bezpieczeństwem informacji. Wzrastające zainteresowanie certyfikacją ISMS oraz stale rosnąca liczba wydanych certyfikatów potwierdzają potrzebę uzyskania obiektywnego dowodu spełnienia wymagań normatywnych i wzmocnienia rynkowego wizerunku firmy dbającej o bezpieczeństwo informacji wszystkich swoich interesariuszy. Certyfikowany system zarządzania nie tylko wyróżnia organizację na tle konkurencji, ale dokumentuje wykorzystanie najlepszych, uznanych na świecie praktyk zapewniających poufność danych przetwarzanych w organizacji.

Dla organizacji wdrożenie ISMS jest decyzją strategiczną, podjętą w oparciu o potrzeby i wyznaczone cele działalności. Założeniem jest, aby system zarządzania bezpieczeństwem informacji był częścią procesów funkcjonujących w organizacji oraz ogólnej struktury zarządzania, a także bezpieczeństwo informacji integrowało procesy, systemy informacyjne i zabezpieczenia. W normie PN-EN ISO/IEC 27001 określono wymagania dotyczące ustanawiania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Organizacja na podstawie oszacowanego ryzyka biznesowego tworzy system złożony z polityki, procesów, procedur, struktury organizacyjnej, oprogramowania i sprzętu do ochrony określonych aktywów informacyjnych. Przewodnikiem w opracowaniu zabezpieczeń jest załącznik A normy PN-EN ISO/IEC 27001 stanowiący wzorcowy wykaz 114 celów stosowania zabezpieczeń i zabezpieczeń.

Podstawowym elementem ISMS podobnie jak w systemach zarządzania jakością, środowiskiem czy bezpieczeństwem higieny i pracy jest polityka, która wskazuje ogół zamierzeń i zobowiązań kierownictwa w zakresie prowadzenia działalności w aspekcie utrzymania bezpieczeństwa informacji. Kluczowym jest wyznaczenie zakresu uprawnień i odpowiedzialności, funkcji personelu w zależności od realizowanych zadań dotyczących ochrony informacji. Jest to niezbędne do planowania i realizacji działań operacyjnych, w tym szacowania ryzyka i określenia trybu postępowania z ryzykiem. Opracowanie Deklaracji Stosowania jest wymaganiem normy ale też swoistym i zwartym kompendium o stosowanych zabezpieczeniach z uwzględnieniem podatności i ryzyka. Do szerokiej gamy zabezpieczeń zalicza się:

• stworzenie struktury organizacyjnej systemu oraz zasad bezpieczeństwa osobowego (przed, w czasie i po zakończeniu zatrudnienia w organizacji),
• regulacje związane z klasyfikacją informacji i zarządzaniem aktywami informacyjnymi obejmującymi procesy, działania biznesowe, informacje w każdej dostępnej formie, wiedzę i kompetencje pracowników, sprzęt informatyczny służący do gromadzenia i przetwarzania informacji (serwery, komputery, urządzenia elektroniczne, urządzenia łączności, oprogramowanie),
• reguły kontroli i zarządzania dostępem użytkowników do systemów i aplikacji, w tym stosowania polityk czystego biurka i ekranu,
• procedury eksploatacji środków przetwarzania informacji (np. zarządzanie zmianami, pojemnością, ochrona przed szkodliwym oprogramowaniem, tworzenie kopii zapasowych, zarządzanie podatnościami technicznymi),
• reguły bezpieczeństwa środowiskowego i fizycznego,
• tryb działań w zakresie kryptografii,
• zasady bezpieczeństwa komunikacji,
• procedury pozyskiwania, rozwoju i utrzymywania systemów informatycznych,
• standardy relacji z dostawcami i współpracy z podwykonawcami z określeniem klauzul bezpieczeństwa przetwarzania danych w ramach realizacji zobowiązań (umów, kontraktów, zamówień),
• system utrzymywania zgodności z wymaganiami prawnymi i kontraktowymi,
• zarządzanie incydentami związanymi z bezpieczeństwem informacji, w tym analizie przyczyn i zaplanowania odpowiednich działań korekcyjnych i korygujących w celu ich wyeliminowania w przyszłości. Rejestracja incydentów w celu gromadzenia wiedzy na przyszłość.
• zarządzanie ciągłością działania – zaprojektowanie mechanizmów, które odpowiednio zastosowane, potrafią utrzymać realizację istotnych działań a także odtworzyć zakłócone przez incydent procesy. Zasady zapewnienia ciągłości działalności w organizacji przedstawiono szerzej w normie PN- EN ISO 22301 „Bezpieczeństwo i odporność - Systemy Zarządzanie ciągłością działania. Wymagania”. 

W zależności od zakresu i specyfiki działalności oraz możliwości organizacja tworzy swój indywidualny, skrojony na miarę potrzeb zbiór zabezpieczeń w zakresie zapewnienia ochrony informacji.

Wiele organizacji dopiero po utracie kluczowych aktywów doceniło wagę słów Klausa Naumanna, byłego szefa sztabu Bundeswehry oraz przewodniczącego Komitetu Wojskowego NATO, że „bezpieczeństwo nie jest wszystkim, ale bez bezpieczeństwa wszystko jest niczym”. Zarówno z poziomu życia codziennego jak i zawodowego spotykamy się z wieloma problemami ochrony informacji albo już doświadczyliśmy materializacji ryzyk w związku z zaistnieniem incydentów bezpieczeństwa informacji. Poniżej kilka wybranych przykładów uzmysławiających, że zagrożenia nie są tylko teorią, która nas nie dotyczy ale mogą wystąpić, jeśli nie będziemy z odpowiednim wyprzedzeniem, podejmować skutecznych działań wpisujących się w ramy zweryfikowanego systemu:

• Z 1. Wojskowego Szpitala Polowego w Bydgoszczy wyciekły dane osobowe i medyczne ponad 600 żołnierzy i cywilnych pracowników armii wielu państw, w tym 90 Amerykanów. Wszyscy byli pacjentami polskiego szpitala polowego podczas misji w Iraku w latach 2003-2005. (źródło: wiadomości onet.pl., 02.12.2020),
• Jak podała „Gazeta Wyborcza”, do internetu wyciekły dane tysięcy sędziów i prokuratorów, które miała w swoich zasobach Krajowa Szkoła Sądownictwa i Prokuratury w Krakowie. (źródło: cyberdefence24.pl, 4.03.2021)
• W wyniku cyberataku hakerzy włamali się do systemu komputerowego zakładu uzdatniania wody w miejscowości Oldsmar na Florydzie i próbowali dodać do wody niebezpieczną ilość wodorotlenku sodu - poinformował szeryf hrabstwa Pinellas. Zagrożenie dotyczyło 15 tys. osób. (źródło: cyberdefence24.pl 04.03.2021)
• Portal Zaufana Trzecia Strona w dniu 28.01.2021 r zamieścił informację o ataku ransomware na największą sieć klinik kardiologicznych w Polsce. Ataki ransomware miały na celu grożenie ofiarom publikacją wykradzionych danych. Powoduje to, że nawet firmy, które są gotowe odtworzyć zaszyfrowane systemy z kopii bezpieczeństwa, stają przed trudnym wyborem – czy płacić okup za nieujawnienie danych, czy narażać dane klientów na publikację. Najwyraźniej właśnie to spotkało największą sieć klinik kardiologicznych w Polsce. 

Powyższe wymienione przypadki nie są odosobnione i dowodzą, że brak albo niewłaściwa ochrona informacji może skutkować utratą reputacji, zaufania i wiarygodności u klientów oraz może przyczyniać się do niespełnienia wymagań prawnych i ponoszenia dotkliwych kar finansowych. Dlatego zbudowanie i utrzymywanie systemu zarządzania bezpieczeństwem informacji wpływa na obniżenie ryzyka związanego z zachowaniem podstawowych atrybutów informacji jakim są poufność, dostępność i integralność poprzez wdrożenie sprawdzonych zabezpieczeń odpowiednio do posiadanych środków finansowych, zasobów ludzkich i infrastruktury. Nawiązując do jednego z głównych wymagań ISMS dotyczącego tworzenia kopii zapasowych, parafrazując powiedzenie „ludzie dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili”, warto już teraz wdrożyć system chroniący najważniejsze aktywa w organizacji, zanim doświadczymy ich straty, czasem bezpowrotnie.

Artykuł przygotowany przez CCJ WAT