Zarządzanie bezpieczeństwem informacji
Fot. Adobe Stock/ © Tierney
Gwałtowny rozwój informatyzacji niesie za sobą zagrożenia związane z bezpieczeństwem informacji. Zagrożenia te można scharakteryzować za pomocą trzech podstawowych składowych bezpieczeństwa informacji, jakimi są: utrata poufności, ograniczenie dostępności i naruszenie integralności informacji. Mogą one mieć charakter zdarzeń przypadkowych (awarie, błędy oprogramowania i pomyłki ludzkie), mogą być powodowane przez czynniki naturalne jak pożar, powódź czy piorun, a mogą być także wynikiem celowych działań ludzi.
Zagrożenia związane z bezpieczeństwem informacji zmieniały się od początku istnienia informatyki. O ile na początku były to awarie sprzętu, potem błędy oprogramowania, zakłócenia łączności, wirusy, o tyle obecnie daje się zauważyć coraz bardziej celowe i wyrafinowane ataki na systemy informatyczne.
Od początku rozwoju informatyki starano się unikać zagrożeń lub łagodzić skutki ich wystąpienia poprzez zmniejszenie podatności na nie. Stosowano coraz bardziej niezawodne maszyny, ich redundancje, a także coraz lepiej napisane i przetestowane oprogramowanie, w tym oprogramowanie do tworzenia kopii zapasowych, antywirusowe, wykrywające ataki sieciowe oraz zapewniające szyfrowanie, podpisy cyfrowe oraz rozwiązania organizacyjne i prawne. Początkowo rozwiązania organizacyjne były proponowane przez poszczególne firmy, np. IBM, stosujące też sprawdzone standardy ochrony fizycznej. Jednak dopiero w 1982 roku pojawił się w USA dokument „Orange Book" (jego rozwiązania są znane jako Common criteria i przedstawione w normie ISO/IEC 15408). Obecne normy dotyczące bezpieczeństwa informacji, opracowane przez ISO i IEC, są uważane za podstawę bezpiecznych rozwiązań, gdyż rozwiązania wprowadzane w pojedynczych firmach zawsze budziły obawy co do tego, czy rzeczywiście chronią interes wszystkich i czy po prostu dla obniżenia kosztów lub zwiększenia zysków nie zrezygnowano z niektórych zabezpieczeń.
Ważną rolę w bezpieczeństwie informacji pełnią rozwiązania prawne, w których coraz częściej przywoływane są normy z zakresu bezpieczeństwa informacji. Przykładem jest Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Obecnie funkcjonuje jako Obwieszczenie Prezesa Rady Ministrów z dnia 9 listopada 2017 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Obwieszczenie zawiera jednolity tekst Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. (Dz. U. z 2016 r. poz. 113), z uwzględnieniem zmian wprowadzonych rozporządzeniem Rady Ministrów z dnia 14 października 2016 r. zmieniającym Rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. poz. 1744).
W rozporządzeniu tym powołano się aż cztery razy na normy dotyczące bezpieczeństwa informacji opracowane przez podkomitet ISO/IEC JTC 1/SC 27 i przetłumaczone przez Komitet Techniczny nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych. Komitet ten, będący Organem Technicznym działającym przy Polskim Komitecie Normalizacyjnym, jest jednym z większych. Zajmuje się m.in. współpracą z ISO w zakresie prac prowadzonych w ISO/IEC JTC 1/SC 27, tj. opiniowaniem opracowanych norm międzynarodowych, a następnie nadzorowaniem ich tłumaczenia na język polski. Są to następujące normy: PN-ISO/IEC 27001, PN-ISO/IEC 27002, PN-ISO/IEC 27005, PN-ISO/IEC 24762.
Podstawowymi normami w zakresie zarządzania bezpieczeństwem informacji i budowy systemów zarządzania bezpieczeństwem informacji są normy z rodziny ISO/IEC 27000. Najważniejsza z nich – Polska Norma PN-EN ISO/IEC 27000:2017-06 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Przegląd i terminologia – jest wprowadzeniem normy EN ISO/IEC 27000:2017, czyli ISO/IEC 27000:2016 Information technology – Security techniques – Information security management systems – Overview and vocabulary. W normie zamieszczono przegląd systemów zarządzania bezpieczeństwem informacji i terminy oraz definicje wspólnie stosowane w rodzinie norm SZBI. Norma może być stosowana we wszystkich typach organizacji (np. przedsiębiorstwach komercyjnych, agencjach rządowych, instytucjach charytatywnych) niezależnie od ich wielkości. Norma jest niezbędna (powołanie normatywne) do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), z uwagi na przeniesienie do niej rozdziału „Terminy i definicje" z norm ISO/IEC 27001 i ISO/IEC 27002. Z tego względu jest niezbędna w procesie certyfikacji SZBI na zgodność z ISO/IEC 27001.
Polska Norma PN-EN ISO/IEC 27001:2017-06 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania jest wprowadzeniem normy EN ISO/IEC 27001:2017, czyli ISO/IEC 27001:2013 + AC1:2014 + AC2:2015 Information technology – Security techniques – Information security management systems – Requirements. W normie określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w organizacji, z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania, dotyczące szacowania i postępowania z ryzykiem w bezpieczeństwie informacji. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Nie dopuszcza się pominięcia żadnego z wymagań określonych w rozdziałach od 4 do 10, jeśli organizacja deklaruje zgodność z normą. Norma w poprzedniej wersji była jedną z najlepiej sprzedających się Polskich Norm. Jest ona normą referencyjną, przywoływaną w aktach prawnych, polskich i unijnych, stanowi też podstawę certyfikacji dla systemów zarządzania bezpieczeństwem informacji. Jest stosowana na całym świecie i przez wiele polskich organizacji jako kanon bezpieczeństwa informacji.
Polska Norma PN-EN ISO/IEC 27002:2017-06 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji jest wprowadzeniem normy EN ISO/IEC 27002:2017, czyli ISO/IEC 27002:2013+AC1:2014+AC2:2015 Information technology – Security techniques – Code of practice for information security controls. W normie podano zalecenia dotyczące standardów bezpieczeństwa informacji w organizacjach i praktyk zarządzania bezpieczeństwem informacji, w tym wyboru, wdrażania i zarządzania zabezpieczeniami, z uwzględnieniem środowiska (środowisk), w którym (których) w organizacji występuje (-ą) ryzyko w bezpieczeństwie informacji. Norma jest przeznaczona do stosowania przez organizacje, które zamierzają wybierać zabezpieczenia w ramach procesu wdrażania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z ISO/IEC 27001, wdrażać powszechnie akceptowane zabezpieczenia informacji oraz opracować własne zalecenia w zakresie zarządzania bezpieczeństwem informacji. W poprzedniej wersji była jedną z najlepiej sprzedających się Polskich Norm. Jest normą referencyjną, przywoływaną w aktach prawnych, polskich i unijnych. Jest stosowana na całym świecie i przez wiele polskich organizacji jako kanon bezpieczeństwa informacji.
W zasobach Polskich Norm jest jeszcze norma PN-ISO/IEC 27005:2014-01 Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji, która jest wprowadzeniem normy ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management. W lipcu 2018 roku opublikowano najnowszą edycję normy ISO/IEC 27005 Information technology — Security techniques — Information security risk management.
Ostatnią normą przywołaną w ww. rozporządzeniu Rady Ministrów jest norma PN-ISO/IEC 24762:2010 Technika informatyczna – Techniki bezpieczeństwa – Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie. Jest to wprowadzenie normy ISO/IEC 24762:2008. Nowelizacja ISO/IEC 24762 została wstrzymana, ponieważ norma została wycofana i zastąpiona przez ISO/IEC 27036 – wieloczęściową normę zapewniającą szeroki poziom poradnictwa w zakresie nabywania usług IT od dostawców.
Normy dotyczące zarządzania bezpieczeństwem informacji uważa się obecnie za najważniejsze dla tej dziedziny, gdyż bez wsparcia managerów nie udaje się wdrożyć żadnych skutecznych zabezpieczeń. Sprawami norm dotyczących zarządzania bezpieczeństwem informacji zajmuje się pierwsza grupa robocza ISO/IEC JTC 1/SC 27/ WG 1, z którą ściśle współpracuje KT 182.
Drugim obszarem ważnym dla bezpieczeństwa informacji jest kryptografia, którą zajmuje się podkomitet JTC 1/SC 27. Powszechnie uważa się, że nie ma bezpiecznych rozwiązań kryptograficznych, których algorytm nie jest znany i starannie przetestowany, tajne natomiast pozostają klucze kryptograficzne. Zagadnieniami tymi zajmuje się druga grupa robocza ISO/IEC JTC 1/SC 27/WG 2.
Innym obszarem jest budowa kryteriów oceny stosowanych rozwiązań z zakresu bezpieczeństwa systemów teleinformacyjnych. Do tego obszaru należy wspomniana norma ISO/IEC 15408. Zagadnieniami tymi zajmuje się trzecia grupa robocza ISO/IEC JTC 1/SC 27/WG 3.
Kolejnym obszarem są zabezpieczenia w bezpieczeństwie zarówno informacji, jak i usług. Tymi kwestiami w ramach ISO zajmuje się czwarta grupa robocza ISO/IEC JTC 1/SC 27/WG 4.
Ostatni obszar to zarządzanie identyfikacją i technologie zapewniające prywatność – zagadnienia cieszące się obecnie dużym zainteresowaniem. Wydano już kilka norm na ten temat. W ramach ISO tymi zagadnieniami zajmuje się piąta grupa robocza ISO/IEC JTC 1/SC 27/WG 5.
Podkomitet ISO/IEC JTC 1/SC 27 współpracuje z innymi podkomitetami, takimi jak ISO/IEC JTC 1/SC 34 oraz ISO/IEC JTC 1/SC 38. Pierwszy z nich, ISO/IEC JTC 1/SC 34 zajmuje się zagadnieniami związanymi z opisem i przetwarzaniem dokumentów elektronicznych, w tym architekturą i formatami przetwarzania, formatami prezentacji, interfejsami aplikacyjnymi, architekturą zawartości i notacją, mechanizmami podpisu cyfrowego i szyfrowania dokumentów elektronicznych. Drugi, ISO/IEC JTC 1/SC 38 zajmuje się zagadnieniami związanymi z normalizowaniem interoperacyjności rozpowszechnianych platform aplikacyjnych w dziedzinie usług sieciowych web services, architekturą Service-Oriented Architecture (SOA) oraz przetwarzaniem informacji w chmurze, znanym powszechnie jako cloud computing.
Należy podkreślić, że obecnie wzrost zagrożeń związanych z bezpieczeństwem informacji i ochrony prywatności oraz inicjatywy Unii Europejskiej dotyczące zmian w przepisach ochrony danych osobowych, wskazują na rosnącą potrzebę stosowania coraz doskonalszych rozwiązań w zakresie bezpieczeństwa informacji. Normy ISO/IEC opracowywane w ww. podkomitetach ISO/IEC JTC 1 opisują powszechnie uznane najlepsze praktyki i zaleca się stosować je powszechnie.
Dlatego też obecnie KT 182 współpracuje również z komitetem CEN/CLC JTC 13 Cybersecurity and Data Protection, który stanowi europejski odpowiednik komitetu ISO/IEC JTC1/SC 27. Jego obszarem działania jest cyberbezpieczeństwo i ochrona danych. Zajmuje się opracowaniem standardów w zakresie ochrony danych, technik ochrony informacji i bezpieczeństwa, ze szczególnym uwzględnieniem cyberbezpieczeństwa, obejmującego wszystkie współbieżne aspekty rozwijającego się społeczeństwa informacyjnego, w tym:
- ramy organizacyjne i metodologie, w tym systemy zarządzania IT;
- wytyczne dotyczące ochrony danych i prywatności;
- procesy i systemy oceny produktów;
- wytyczne techniczne w zakresie bezpieczeństwa teleinformatycznego i bezpieczeństwa fizycznego;
- inteligentną technologię, obiekty, rozproszone urządzenia obliczeniowe, usługi danych.
Obejmuje to identyfikację i ewentualne przyjęcie już dostępnych lub będących w trakcie opracowywania norm, które mogłyby wesprzeć jednolity rynek cyfrowy UE i różne wnioski normalizacyjne i/lub dyrektywy/rozporządzenia Komisji Europejskiej. W razie potrzeby normy te zostaną uzupełnione przez raporty techniczne TR i specyfikacje techniczne TS. Szczególna uwaga zostanie zwrócona na normy ISO/IEC JTC 1, ale nie będzie się do tego ograniczać. Uwzględnione zostaną również inne SDO i organizacje międzynarodowe, takie jak ISO, IEC, ITU-T, IEEE, NIST lub fora przemysłowe. Dla odpowiednich norm rozważane będą różne opcje:
- identyczne przyjęcie jako EN z wykorzystaniem np. umowy wiedeńskiej (Vienna Agreement) lub umowy frankfurckiej (Frankfurt Agreement);
- przyjęcie jako EN z dodatkowymi/uzupełniającymi wymogami, na przykład w celu spełnienia europejskich wymogów prawnych.