Dokładne wprowadzenie do strategii, standardów i procedur zapewnienia bezpieczeństwa informacji
16 lipca 2002 r.
Identyfikator artykułu: 1155
Strategie, standardy i procedury bezpieczeństwa informacji - część 1
W chwili obecnej nie jest żadną tajemnicą, jak ważne jest wdrożenie w przedsiębiorstwie kompleksowego programu bezpieczeństwa informacji. Jednakże opracowanie takiego programu z oddzielnych komponentów rzadko przynosi oczekiwane rezultaty. Najbardziej efektywnym podejściem jest wykorzystanie sprawdzonej metodologii, przy użyciu której program bezpieczeństwa jest tworzony z uwzględnieniem specyficznych potrzeb firmy.
Sposób tworzenia strategii bezpieczeństwa został szczegółowo omówiony w jednym z wcześniejszych artykułów pt. „Tworzenie skutecznych strategii bezpieczeństwa." Celem zapoczątkowanej niniejszą publikacją serii czterech artykułów jest dokładne przedstawienie wszystkich elementów wymaganych do utworzenia skutecznego programu bezpieczeństwa – strategii, standardów i procedur. Mimo że elementy te są często wzajemnie ze sobą powiązane i używane wymienne, to nie są jednoznaczne. Niniejsza seria artykułów ma na celu zaprezentowanie różnic pomiędzy strategiami, standardami i procedurami oraz powiązanymi z nimi dokumentami, jednocześnie podkreślając, jak ważną pełnią one rolę przy tworzeniu kompleksowego wewnątrzfirmowego programu bezpieczeństwa.
Dr. Stuart Broderick
Wszyscy doskonale rozumieją, że skuteczne programy bezpieczeństwa informacji maja newralgiczne znaczenie dla firm, które chcą się rozwijać w coraz bardziej niebezpiecznym środowisku internetowym. Jednakże, jak zwykle diabeł tkwi w szczegółach.
Strategie, standardy i procedury bezpieczeństwa informacji to zestaw wielu wzajemnie z sobą powiązanych dokumentów wykorzystywanych do zarządzania i ochrony informacji, które są firmom niezbędne do prowadzenia działalności biznesowej obecnie i w przyszłości. Niestety dyskusje dotyczące „strategii”, „standardów” i „procedur” bezpieczeństwa informacji są często mylące. Pełno w nich nieporozumień, błędnych informacji i sprzeczności.
Z perspektywy bezpieczeństwa informacji terminy te nie tylko są niezbyt klarownie zdefiniowane w języku angielskim, ale również trudno je przetłumaczyć na inne języki. Mając to wszystko na względzie, niezwykle ważne jest zdefiniowanie w pierwszej kolejności roboczych terminów, które będą powszechnie zrozumiałe niezależnie od używanego języka.
Różnice między strategią, standardem i procedurą
Najlepszym sposobem przedstawienia tego najważniejszego zestawu dokumentów dotyczących ochrony informacji jest posłużenie się przykładem:
- Strategia bezpieczeństwa dokumentuje, dlaczego firma chroni informacje.
- Standardy firmowe dokumentują, co firma zamierza zrobić, aby wdrożyć system i zarządzać bezpieczeństwem informacji.
- Procedury dokumentują dokładnie, w jaki sposób firma zamierz osiągnąć wymagania określone standardami i strategiami wyższego poziomu.
Strategia bezpieczeństwa
Firmowa strategia bezpieczeństwa informacji to jeden dokument, który określa filozofię, wymagania odnośnie przepisów i korzyści dla firmy wynikające z zabezpieczenia zasobów informacyjnych. Wskazuje ona środowisko, personel i procesy, których dotyczy strategia oraz konsekwencje związane z jej nieprzestrzeganiem. Strategia bezpieczeństwa informacji jest jedną z wielu strategii stosowanych w firmie. Pozostałe dotyczą przede wszystkim krytycznych obszarów działalności, takich jak kadry, urządzenia i finanse. Strategia bezpieczeństwa informacji powinna stanowić ich uzupełnienie.
Standardy
Standardy bezpieczeństwa informacji tworzy wiele dokumentów dotyczących wszystkich obszarów działalności firmy, w których wykorzystywane są informacje. Obejmują one fizyczne, administracyjne i logiczne (techniczne) kontrole bezpieczeństwa, których celem jest ochrona informacji. Zazwyczaj jeden z dokumentów definiuje zawartość i układ całej firmowej dokumentacji dotyczącej bezpieczeństwa. W wielu przypadkach przedsiębiorstwa będą posiadały dziesiątki dokumentów definiujących standardy bezpieczeństwa informacji.
Procedury
Procedury bezpieczeństwa informacji opisują szczegółowo rzeczywiste działania, które muszą zostać podjęte w celu sprostania określonym w standardach wymogom odnoszącym się do danego zadania, procesu bezpieczeństwa lub ochrony zasobu informacyjnego.
Określenie wartości firmowych zasobów informacyjnych
Wiele firm podchodzi do bezpieczeństwa informacji w sposób rozproszony i zakłada, że wszystkie dane muszą być chronione. Warto sobie jednak zadać pytanie, czy takie podejście rzeczywiście jest najlepsze. A może niektóre informacje są zbyt dobrze lub nieodpowiednio chronione?
Aby zapewnić prawidłową ochronę zasobów informacyjnych, należy najpierw poznać rodzaj ich posiadanych zasobów i ich wartość: Poniżej przedstawiono definicje tych terminów.
Zasoby informacyjne – urządzenia, procesy lub dane związane z informacjami, które firma uznaje za warte ochrony.
Wartość informacji – wartość lub koszty związane z:
- wewnętrzną wartością,
- tworzeniem,
- przechowywaniem
- oraz utrzymywaniem i zarządzaniem informacją.
Dopiero po ustaleniu wartości informacji można ocenić, w jaki sposób najlepiej ją chronić. Ochrona informacji wymaga inwestycji początkowych i ciągłych niezależnie od tego, czy dotyczy urządzeń, oprogramowania, przechowywania czy personelu.
Poniżej znajdują się podstawowe zalecenia, o których należy pamiętać podczas oceny wymaganego poziomu ochrony informacji:
- Jeśli informacja nie przedstawia dla firmy żadnej wartości, nie warto jej chronić.
- Jeśli utrata (tymczasowa lub trwała), ujawnienie lub zmiana informacji nie ma wpływu na działalność firmy, nie warto jej przechowywać ani chronić. Usunięcie informacji pozwoli uzyskać oszczędności.
- Nie wszystkie informacje są tak samo ważne. Dlaczego zatem zapewniać im jednakowy poziom ochrony?
Każdorazowo należy przeprowadzić ocenę ryzyka i analizę wpływu na przedsiębiorstwo utraty (tymczasowej lub trwałej), ujawnienia lub zmiany informacji w celu określenia wymaganego poziomu ochrony. Do momentu przeprowadzenia takiej analizy nigdy tak do końca nie wiadomo, czy informacja jest chroniona niedostatecznie, nadmiernie czy odpowiednio.
W związku z zeszłoroczną tragedią związaną z atakiem na World Trade Center mogliśmy się przekonać, że informacje nie są przechowywane tylko w systemach komputerowych, ale również na papierze. Dlatego ochrona najważniejszych firmowych informacji powinna uwzględniać dane znajdujące się na papierze, w komputerach i innych nośnikach nieelektronicznych. Utrata określonego rodzaju informacji bez możliwości ich odzyskania może mieć dla firmy katastrofalne skutki.
Ochrona informacji nie jest zadaniem łatwym i wymaga zaangażowania i wysiłków w zakresie zarządzania.
W następnej części
Wskazówki dotyczące tworzenia i zawartości dobrej strategii bezpieczeństwa informacji.
Przydatne odnośniki:
O autorze
Dr Stuart Broderick jest odpowiedzialny za rozwój usług bezpieczeństwa w firmie Symantec. Symantec Security Services dostarcza zabezpieczenia wykorzystujące najnowsze technologie, informacje dotyczące najlepszych metod postępowania i wiedzę w zakresie bezpieczeństwa, a także zlokalizowane na całym świecie zasoby, by pomagać firmom prowadzącym działalność internetową odnieść sukces na rynku. Dr Broderick przez wiele lat pracował na stanowiskach starszego konsultanta ds. bezpieczeństwa oraz kierownika ds. rozwoju biznesowego w największych firmach technologicznych we Wielkiej Brytanii i Stanach Zjednoczonych. W trakcie 19-letniej kariery zawodowej zajmował się tworzeniem programów szkoleniowych, a także opracowywaniem i wdrażaniem kluczowych programów zarządzania bezpieczeństwem, przeprowadzaniem instalacji, wdrażaniem strategii, procedur i metod postępowania. Artykuły dr Broderick są często publikowane w specjalistycznej prasie dotyczącej zagadnień bezpieczeństwa informacji i technologii. Uczestniczył również jako prelegent w wielu międzynarodowych konferencjach.
