Bezpieczeństwo Informacji – KRI, KSC – ISO 27001

Bezpieczeństwo Informacji - KRI, KSC - ISO 27001

AUDYT ZGODNOŚCI, KLASYFIKACJA AKTYWÓW, ANALIZA RYZYKA, WDROŻENIE  I OPRACOWANIE DOKUMENTACJA SZBI, SZKOLENIA PRACOWNIKÓW, AUDYT I WSPARCIE POWDROŻENIOWE

NORMA ISO/IEC:

BEZPIECZEŃSTWO INFORMACJI – Krajowe Ramy Interoperacyjności – ISO 27001

Informacja to podstawa działalności każdej organizacji (podmiotu). Jest fundamentalnym elementem działalności zarówno z punktu widzenia biznesowego jak i spełnienia wymagań prawnych.

Kluczowym elementem każdej Organizacji jest bezpieczeństwo przetwarzania informacji – ich bezpieczeństwo (zachowanie atrybutów integralności, poufności i dostępności informacji), ponieważ łatwo sobie wyobrazić przykre konsekwencje wynikające z utraty, wycieku informacji w skutek ich kradzieży, czy też przypadkowego zniszczenia.

Ochrona informacji w pierwszej kolejności wymaga ich identyfikacji, następnie określenie w jakim kontekście są one przetwarzane, w tym jakie wymagania prawne znajdują zastosowanie , a następnie podjęcie odpowiednich działań w celu opracowania systemu zarządzania bezpieczeństwem informacji (SZBI) według wymogów normy ISO/IEC 27001.

Dzięki SZBI organizacja zapewni odpowiednie środki w zakresie ochrony informacji, a w szczególności w zakresie zachowania poufności, integralności  i dostępności informacji.

Swoimi założeniami obejmuje procesy, infrastrukturę i systemy informatyczne, jak również najbardziej podatny na zagrożenia czynnik ludzki. System ten określa wymagania oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w podmiocie, a w konsekwencji zmniejsza ryzyko wystąpienia incydentu oraz wpływu jego negatywnych skutków na organizację.

ISO/IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji oparta na procesowej metodzie usprawniania systemów ISMS. W oparciu o ISO/IEC 27001 można uzyskać certyfikację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) obejmującą ludzi, procesy oraz infrastrukturę i systemy informatyczne przedsiębiorstwa, niezależnie od jego wielkości i charakteru działalności. Wdrożenie SZBI podnosi poziom bezpieczeństwa przetwarzanych w firmie informacji, budując tym samym wiarygodność i zaufanie udziałowców, partnerów i klientów.

Czym jest POLSKA NORMA PN-ISO/IEC 27001

Norma ISO/IEC 27001 określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji uwzględniając wymagania organizacji w zakresie jej działalności. Określa wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji i mają charakter ogólny oraz są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. PN-ISO/IEC 27001 to norma referencyjna, przywoływana w aktach prawnych, polskich i unijnych oraz jest stosowana jako wyznacznik spełnienia bezpieczeństwa informacji w organizacji.

W zakresie przepisów prawa norma PN-ISO/IEC 27001 pozwala na utrzymanie zgodności z :

  • Rozporządzeniem Rady Ministrów ws. Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
  • Rozporządzeniem o Ochronie Danych Osobowych (RODO),
  • Ustawą o krajowym systemie cyberbepieczeństwa,
  • Ustawą o zwalczaniu nieuczciwej konkurencji,
  • Ustawą o ochronie informacji niejawnych,
  • Ustawą o dostępie do informacji publicznej,
  • Ustawą o prawie autorskim i prawach pokrewnych.

Krajowy System Cyberbezpieczeństwa (KSC) – ISO 27001

5 lipca 2018 r. Sejm RP przyjął ustawę o krajowym systemie cyberbezpieczeństwa, implementującą do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej (tzw. dyrektywę NIS).

Według najważniejszych założeń ustawy Operatorzy Usług Kluczowych oraz Dostawcy Usług Cyfrowych są zobowiązani do wdrożenia dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej zgodnej z wymaganiami norm PN-EN ISO/IEC 27001 i PN-EE ISO 22301  oraz szacowania ryzyka związanego z cyberbezpieczeństwem i wdrażania adekwatnych zabezpieczeń.

Istotnym obowiązkiem OUK jest również wdrożenie procesu zarządzania incydentami, przekazywanie w ciągu 24 godzin informacji o poważnych incydentach i ich obsługa we współpracy z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego).

Bezpieczeństwo obrotu gospodarczego w coraz większym stopniu zależy od bezpieczeństwa sieci, systemów i usług informatycznych. Przeniesienie wielu usług do cyberprzestrzeni sprawia, iż systemy IT przetwarzają coraz więcej krytycznych danych dla funkcjonowania organizacji, przez co stają się częstym celem ataków przestępców starających się przejąć kluczowe informacje lub sparaliżować pracę firmy.

Odpowiedzią na powyższe zagrożenia jest ustawa o krajowym systemie cyberbezpieczeństwa, wdrażająca Dyrektywę NIS, która nakłada nowe obowiązki na operatorów usług mających kluczowe znaczenie dla funkcjonowania krytycznej działalności społecznej lub gospodarczej, czyli tzw. usług kluczowych.

Znajdą się wśród nich największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale oraz podmioty tworzące infrastrukturę cyfrową.

Proponowana przez nas usługa stanowi narzędzie, dzięki któremu będą Państwo w stanie wdrożyć skuteczne zabezpieczenia, szacować ryzyko związane z cyberbezpieczeństwem i przekazywać informacje o poważnych incydentach do wyznaczonych organów. W ramach wsparcia w implementacji postanowień ustawy o cyberbezpieczeństwie oferujemy:

  • audyt systemu cyberbezpieczeństwa,
  • przeprowadzenie procesu szacowania ryzyka,
  • szkolenie dla personelu z zakresu bezpieczeństwa informacji,
  • opracowanie dokumentacji cyberbezpieczeństwa,
  • wsparcie we wdrożeniu odpowiednich i proporcjonalnych środków cyberbezpieczeństwa.

 

Obszary objęte w SZBI:

  • polityka bezpieczeństwa informacji,
  • organizacja bezpieczeństwa informacji,
  • bezpieczeństwo zasobów ludzkich,
  • zarządzanie aktywami,
  • kontrola dostępu,
  • kryptografia,
  • bezpieczeństwo fizyczne i środowiskowe,
  • bezpieczna eksploatacja,
  • bezpieczeństwo komunikacji,
  • pozyskiwanie, rozwój i utrzymanie systemów,
  • relacje z dostawcami,
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
  • zgodność.

Wdrożenie –  zostaną opracowane zostaną m.in.:

  • polityka bezpieczeństwa informacji,
  • metodyka szacowania i postępowania z ryzykiem,
  • deklaracja stosowania,
  • polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
  • zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
  • polityka klasyfikacji informacji,
  • polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
  • procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
  • polityka zarządzania kopiami zapasowymi,
  • procedura zarządzania incydentami,
  • plan ciągłości działania,
  • procedura audytu wewnętrznego.

Etapy wdrożenia ISO/IEC 27001

  • audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
  • klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
  • analiza ryzyka – nasz zespół wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
  • opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
  • opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
  • szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz  postępowanie w sytuacji naruszenia normy,
  • szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
  • audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez nasz zespół wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
  • wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.

Korzyści:

  • zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
  • stałe udoskonalanie systemu zabezpieczeń informacji,
  • zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
  • tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
  • może pomóc w uzyskaniu statusu preferowanego kontrahenta.
Obszary SZBI

Obszary objęte w SZBI:

  • polityka bezpieczeństwa informacji,
  • organizacja bezpieczeństwa informacji,
  • bezpieczeństwo zasobów ludzkich,
  • zarządzanie aktywami,
  • kontrola dostępu,
  • kryptografia,
  • bezpieczeństwo fizyczne i środowiskowe,
  • bezpieczna eksploatacja,
  • bezpieczeństwo komunikacji,
  • pozyskiwanie, rozwój i utrzymanie systemów,
  • relacje z dostawcami,
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,
  • zgodność.
Wdrożenie

Wdrożenie –  zostaną opracowane zostaną m.in.:

  • polityka bezpieczeństwa informacji,
  • metodyka szacowania i postępowania z ryzykiem,
  • deklaracja stosowania,
  • polityka użytkowania urządzeń komputerowych, mobilnych i telepracy,
  • zobowiązanie do zachowania poufności, stosowania polityk i procedur SZBI,
  • polityka klasyfikacji informacji,
  • polityka kontroli dostępu, zarządzania hasłami, stosowania zabezpieczeń kryptograficznych, czystego biurka i czystego ekranu, usuwania i niszczenia informacji, pracy w strefach bezpieczeństwa,
  • procedury operacyjne dla systemów teleinformatycznych i zarządzania zmianami,
  • polityka zarządzania kopiami zapasowymi,
  • procedura zarządzania incydentami,
  • plan ciągłości działania,
  • procedura audytu wewnętrznego.
Etapy wdrożenia

Etapy wdrożenia ISO/IEC 27001

  • audyt zgodności z wymogami ISO/IEC 27001 – zespół odpowiedzialny za wdrożenie Systemu zapoznaje się ze specyfiką Państwa podmiotu sprawdzając, w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez ustawodawcę,
  • klasyfikacja aktywów – inwentaryzacja i analiza aktywów oraz wyznaczenie im odpowiedniego poziomu bezpieczeństwa,
  • analiza ryzyka – nasz zespół wraz z wyznaczonymi pracownikami organizacji identyfikuje zasoby oraz przeprowadza analizę ryzyka, mającą na celu opracowanie planu wdrożenia zabezpieczeń w newralgicznych obszarach organizacji,
  • opracowanie zabezpieczeń – etap ściśle powiązany z analizą ryzyka,
  • opracowanie i wdrożenie dokumentacji SZBI – opracowanie pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki,
  • szkolenia pracowników z SZBI – szkolenia mające na celu zapoznanie kierownictwa oraz pracowników z wymaganiami normy ISO 27001, w tym m.in., sposoby odpowiedniego zabezpieczenia informacji, postępowanie z dokumentacją systemową oraz  postępowanie w sytuacji naruszenia normy,
  • szkolenie audytorów wewnętrznych SZBI – zapewnienie odpowiedniego poziomu posługiwania się normą w celu przeprowadzenia audytów wewnętrznych w organizacji,
  • audyt powdrożeniowy na zgodność z wymogami ISO/IEC 27001 –audyt przeprowadzany przez nasz zespół wraz z wyznaczonymi audytorami wewnętrznymi, mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego,
  • wsparcie powdrożeniowe w zakresie utrzymania i przeglądów SZBI.
Korzyści

Korzyści:

  • zyskanie wizerunku organizacji, dla której bezpieczeństwo informacji jest priorytetem
  • stałe udoskonalanie systemu zabezpieczeń informacji,
  • zmniejszenie ryzyka wystąpienia incydentu oraz jego negatywnych następstw,
  • tworzenie procedur ochrony informacji na wszystkich poziomach, w całej organizacji,
  • może pomóc w uzyskaniu statusu preferowanego kontrahenta.

Skontaktuj się z naszym doradcą:

Przygotujemy indywidualną wycenę.

Udzielimy fachowej porady.

Przyjedziemy na konsultację.

Napisz do nas:

Nasi doradcy zawsze odpowiedzą na Państwa pytania.

Służymy zawsze fachową wiedzą:

: biuro@ochrona-danych.net

: biuro@opentech.com.pl