Zadania Pełnomocnika ds. SZBI i Pełnomocnika ds. Cyberbezpieczeństwa

Funkcjonujący system bezpieczeństwa działa całkiem sprawnie, jeżeli jest pod nadzorem osoby lub zespołu osób dedykowanych do nadzorowania i monitorowania bezpieczeństwa informacji, w tym cyberbezpieczeństwa. Jednym z zadań Pełnomocnika ds. Cyberbezpieczeństwa jest monitorowanie pojawiających się nowych zagrożeń dla aktywów i podatności wpływających krytycznie na możliwość utrzymania wymaganego poziomu bezpieczeństwa dla systemów informatycznych. Monitorowanie zmian w wymaganiach jest zadaniem Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Szczególnie ważne jest reagowanie na zmiany w normach, które są podstawą oprogramowania zasad zabezpieczeń organizacyjnych, fizycznych oraz technicznych w systemach informatycznych.

 

W lutym 2022 roku została wydana trzecia wersja normy ISO/IEC 27002. Dla systemu zarządzania bezpieczeństwem Informacji jest podstawą wyboru zabezpieczeń. Ważne jest również powiązanie tego standardu z normą ISO/IEC 27001, która w załączniku normatywnym A określa cele zabezpieczeń i zabezpieczenia. Jednak rozwinięcie zabezpieczeń i ich opis oraz możliwe sposoby realizacji możemy znaleźć w normie ISO/IEC 27002. Jest stosowana jako odniesienie do określania i wdrażania zabezpieczeń w postępowaniu z ryzykiem związanym z bezpieczeństwem informacji w systemie zarządzania bezpieczeństwem informacji opartym na ISO/IEC 27001. Po ludzku mówiąc „dwójka” w w rodzinie norm serii 27k może być stosowana jako zestaw wytycznych dla organizacji o różnej wielkości i strukturze organizacyjnej określający standardowy zestaw zabezpieczeń dla informacji.

 

Nowa norma ISO/IEC 27002:2022 to również nowy tytuł. Wskazuje na połączenie w ekosystemie bezpieczeństwa trzech podstawowych obszarów: bezpieczeństwa informacji, cyberbezpieczeństwa oraz ochrony prywatności, w szczególności w znaczeniu ochrony danych osobowych. Jest to tylko i aż zmiana tytułu, ponieważ same zmiany w treści standardu odzwierciedlają intencję autorów podkreśloną już w samym tytule. Wiąże się to również ze zmianą struktury dokumentu, co widać w sposobie prezentacji zabezpieczeń za pomocą prostego podziału na zabezpieczenia organizacyjne, dotyczące osób/personelu, fizyczne oraz technologiczne. Jest to podział, na który osobiście długo czekałem, ponieważ stosujemy w firmie ten podział pomimo jego braku w poprzednich wersjach normy praktycznie od początku prowadzenia wdrożeń i konsultacji w zakresie bezpieczeństwa informacji. Jest to podział bardziej intuicyjny, pozwalający łatwiej klasyfikować zabezpieczenia na potrzeby szacowania ryzyka. Tworzenie wykazów zabezpieczeń organizacyjnych, ludzkich, fizycznych i technologicznych (związanych głównie z aspektami bezpieczeństwa systemów informatycznych), które można w prosty sposób powiązać z ryzykiem występującym w danym obszarze działalności, pozwala łatwiej określić szacowaną skuteczność planowanych i stosowanych rozwiązań. Dodano również atrybuty zabezpieczeń, które znamy z wytycznych NIST czy ISACA. Typ zabezpieczenia umożliwia uzyskanie perspektywy kiedy i w jaki sposób zabezpieczenie modyfikuje ryzyko. Wartości atrybutów to Preventive, Detective oraz Corrective. Preventive to zabezpieczenie, która ma na celu zapobieganie wystąpieniu incydentu bezpieczeństwa informacji. Detective zabezpieczenie stosowane w przypadku wystąpienia incydentu bezpieczeństwa informacji. Corrective to zabezpieczenie działajace po wystąpieniu incydentu bezpieczeństwa informacji. Dobra praktyka wskazuje na konieczność stosowania zabezpieczeń o różnym charakterze, dzięki czemu możemy uzyskać wymagany poziom skuteczności systemu bezpieczeństwa. Dobrym przykładem jest stosowanie zasady ograniczającej użytkownika systemu informatycznego razem z właściwą konfiguracją systemu, która ogranicza możliwości naruszenia zasady przez użytkownika oraz umożliwia detekcję tych naruszeń.

 

Oprócz typu zabezpieczenia dodano jeszcze kilka innych atrybutów, które przez praktyków były już stosowane wcześniej. Na co działa zabezpieczenie tj. z perspektywy jakiej cechy informacji zabezpieczenie przyczyni się do zachowania wymaganego poziomu bezpieczeństwa: poufności, integralności i dostępności. Ponadto każde zabezpieczenie posiada atrybut domeny bezpieczeństwa, w której znajdują się np. Governance, Protection czy Defence.

 

Control type

Information security properties

Cybersecurity concepts

Operational capabilities

Security Domains

#Preventive

#Detective

#Confidentiality

#Integrity

#Availability

#Protect

#Detect

#Physical_security

#Protection

#Detection

Ogólnie zabezpieczenia zostały zmienione. Niektóre z nich zostały połączone, niektóre usunięte i zostały dodane zupełnie nowe zabezpieczenia.

Zmiany w normie ISO/IEC 27002 dotkną niebawem również normy ISO/IEC 27001. Powinniśmy przygotować się do wprowadzenia tych zmian nie tylko z uwagi na uzyskanie zgodności z najnowszą wersją standardu, ale również dostosowanie do praktyk ułatwiających zarządzanie zabezpieczeniami, a w szczególności ich właściwy wybór i przyporządkowanie do odpowiedniego rodzaju ryzyka.

Autor: Artur Cieślik