Normy SERII 27000

System zarządzania bezpieczeństwem informacji według ISO 27001 – to najczęściej stosowany standard. Stosują go organizacje, dla którycbh bezpieczeństwo informacji jest niezmiernie ważne, a także te, dla których jest ono gwarantem ciągłości biznesowej i ma bezpośredni wpływ na sukces ekonomiczny.

Wykorzystanie zabezpieczeń technicznych i organizacyjnych wdrożonych w systemie zarządzania bezpieczeństwem informacji opartym o wymagania ISO 27001 może pomóc w szybszym przygotowaniu się do spełnienia wymagań RODO, jak również uchroni przed wdrożeniem zbędnych i kosztownych zabezpieczeń, zapewni lepszy nadzór nad systemem bezpieczeństwa oraz pozwoli na zmniejszenie kosztów dostosowania do wymagań RODO.

 

ISO 27000

 

Ta bezpłatna norma1 zawiera podstawowe zasady, koncepcje i słownictwo wykorzystywane w standardach serii 27000.

 

Bardzo praktycznie i przystępnie wyjaśnia definicje i pojęcia. Przykładowo, postępowanie z ryzykiem – to proces modyfikujący ryzyko. Do tej definicji dodane są trzy noty.

 

Pierwsza z nich wskazuje, że na postępowanie z ryzykiem może się składać:

  • jego unikanie – nie robić tego, co powoduje ryzyko,
  • podjęcie ryzyka, a nawet ryzykowanie więcej, jeśli ma to przynieść korzyści,
  • usunięcie źródła ryzyka,
  • zmianę prawdopodobieństwa zdarzenia,
  • zmodyfikowanie możliwych skutków,
  • „podzielenie się” ryzykiem z inną stroną (np. ubezpieczenie),
  • świadome zaakceptowanie ryzyka.

 

W drugiej nocie zaznaczono, że postępowanie z negatywnymi skutkami może polegać na zmniejszaniu, eliminacji, redukcji czy zapobieganiu ryzyku.

 

ISO 27000 stanowi też wykaz norm będących członkami rodziny. W nocie do rodziny standardów zaznaczono, że część tytułu normy Technika informatyczna – Techniki bezpieczeństwa oznacza, że standardy zostały przygotowane przez Joint Technical Committee ISO/IEC składający się z podkomitetów JTC 1 oraz SC 27. Co ciekawe, jeden standard, który mimo że jest „w rodzinie”, nie ma nic wspólnego z tym komitetem – to ISO 27799 Informatyka w ochronie zdrowia – Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC 27002.

 

Szczególnie ciekawa w normie ISO 29000 jest niewielka część poświęcona czynnikom, dzięki którym można zaimplementować system zarządzania bezpieczeństwem informacji:

  • zasady bezpieczeństwa informacji dopasowane do organizacji i jej celów,
  • ramy systemu zgodne z kulturą organizacyjną,
  • zauważalne wsparcie kierownictwa,
  • zrozumienie wymagań bezpieczeństwa wynikające z zarządzania ryzykiem (ISO 27005),
  • skuteczny program budowania świadomości,
  • sprawny proces zarządzania incydentami,
  • sprawne zarządzanie ciągłością działania,
  • oceny systemu pozwalające go rozwijać.

 

ISO 27001

 

Norma ISO 27001 określa wysokopoziomowe wymagania niezbędne do ustanowienia, wdrożenia, utrzymania i rozwijania systemu zarządzania bezpieczeństwem informacji w odniesieniu do organizacji. Wymagania są bardzo ogólne i sama norma nakazuje, aby system „szyć na miarę” organizacji. Wymagania podzielone są na następujące obszary:

  • organizacja – jej otoczenie, oczekiwania „interesariuszy”[2], wymagania prawne,
  • przywództwo – zaangażowanie, role i odpowiedzialności, zasady bezpieczeństwa,
  • planowanie – szacowanie i postępowanie z ryzykiem,
  • wsparcie – zasoby niezbędne do zarządzania systemem, świadomość bezpieczeństwa, dokumentacja,
  • działania operacyjne,
  • ocena funkcjonowania systemu,
  • doskonalenie.

 

Wartościową częścią tej normy jest załącznik A z listą zabezpieczeń informacji. Pierwsze odniesienie do niego pojawia się w części poświęconej postępowaniu z ryzykami bezpieczeństwa informacji, gdzie nakazuje się zdefiniować, jakie zabezpieczenia są potrzebne, aby odpowiednio ryzykiem zarządzić. Później zaleca się, aby te zabezpieczenia porównać z tymi z załącznika A, aby upewnić się, że nic istotnego nie umknęło uwadze. Według tej normy zabezpieczenia z załącznika stanowią minimalne wymagania, a niezastosowanie jakiegokolwiek z nich trzeba uzasadnić i udokumentować.

 

ISO 27002

 

Standard stanowi praktyczne i opisowe uzupełnienie ISO 27001. Cele stosowania zabezpieczeń omówione w tej normie są powszechnie uznawanymi praktykami. Konstrukcja dokumentu ściśle wiąże się z budową załącznika A 
normy ISO 27001. Dla każdego wymagania zdefiniowanego w tym załączniku w normie ISO 27002 zawarto odpowiednie zalecenia. Znajomość ISO 27002 jest konieczna przy stosowaniu normy ISO 29151 dedykowanej ochronie danych osobowych.

 

ISO 27005

 

Norma ISO 27005 podaje wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji. Według niej systematyczne podejście do zarządzania ryzykiem w bezpieczeństwie informacji jest niezbędne, aby:

  • móc określić potrzeby organizacji w zabezpieczaniu informacji,
  • utworzyć skuteczny system zarządzania bezpieczeństwem informacji.

 

ISO 27018

 

To praktyczne zasady zabezpieczania danych osobowych w publicznych chmurach obliczeniowych. Norma odwołuje
się do wymagań ISO 27002. Standard ten będzie interesujący dla dostawców chmur i ewentualnie dla ich klientów.