Zarządzanie bezpieczeństwem informacji

Zarządzanie bezpieczeństwem informacji – proces w fazie Projektowania Usług (ang. Service Design) odpowiedzialny za zapewnienie, że: poufność, integralność i dostępność zasobów organizacji, informacji, danych oraz usług informatycznych odpowiada uzgodnionym potrzebom organizacji biznesowej. Proces Zarządzania bezpieczeństwem informacji wspiera bezpieczeństwo organizacji biznesowej, które ma szerszy zakres niż proces dostawcy usług informatycznych i obejmuje obsługę dokumentów papierowych, dostęp do budynków, połączenia telefoniczne, itd. w obrębie całej organizacji.

Celem procesu zarządzania bezpieczeństwem informacji (ang. ISM) jest ochrona interesów tych firm, które opierają swoją działalność na informacjach oraz zapewnienie bezpieczeństwa systemów i kanałów komunikacyjnych, które dostarczają różnorodne informacje, przed zagrożeniami związanymi z awariami w zakresie dostępności, poufności oraz integralności.

Pojęcie informacji obejmuje takie składniki jak bazy danych, przechowalnie danych czy metadane. Termin ten uwzględnia także wszystkie kanały przekazywania oraz ujawniania różnorodnych informacji.

Mając to na uwadze procedury ISM powinny uwzględniać:

• plany oraz politykę bezpieczeństwa organizacji biznesowej
• teraźniejsze operacje biznesowe i ich potrzeby w zakresie bezpieczeństwa
• przyszłe plany i potrzeby organizacji
• wymogi legislacyjne
• zobowiązania oraz zakres odpowiedzialności w zakresie bezpieczeństwa zawarte w umowie SLA
• ryzyko biznesowe oraz procesy zarządzania ryzykiem w IT

Zarządzanie bezpieczeństwem informacji zapewnia utrzymanie polityki bezpieczeństwa informacji oraz wspomaga proces spełniania potrzeb firmy względem polityki bezpieczeństwa i wymagań ładu korporacyjnego. Procedury ISM podnoszą ponadto świadomość w firmie o potrzebie zabezpieczenia wszelkich zasobów informacyjnych.

Zarządzanie bezpieczeństwem informacji (ISM) jest działaniem z zakresu nadzoru w ramach struktur ładu korporacyjnego. Zapewnia strategiczny kierunek i punkt ogniskujący rozwój wszystkich działań z zakresu bezpieczeństwa. Gwarantuje realizację wszystkich celów strategicznych, zarządzanie ryzykiem bezpieczeństwa informacji czy odpowiedzialne korzystanie z informacyjnych zasobów organizacji biznesowej.

METODY I TECHNIKI

Kluczowymi działaniami procesu zarządzania bezpieczeństwem informacji są:

• wytwarzanie, przeglądanie i ulepszanie polityki bezpieczeństwa informacji
• ogłaszanie, implementowanie oraz egzekwowanie wymagań polityki bezpieczeństwa
• ocena i klasyfikacja wszystkich zasobów informacyjnych oraz dokumentacji
• implementacja oraz rozwój zestawów kontroli bezpieczeństwa
• monitorowanie i zarządzanie wszelkimi wyłomami w zabezpieczeniach oraz przy okazji poważniejszych incydentów
• analizowanie, raportowanie i podejmowanie działań zmierzających do redukcji skali problemów z zabezpieczeniami i wpływu tych incydentów na bezpieczeństwo informacji
• planowanie i wykonywanie przeglądów zabezpieczeń oraz audytów

WYZWALACZE

• nowe lub zmienione wytyczne ładu korporacyjnego
• nowa luz zmieniona polityka bezpieczeństwa w firmie
• nowe lub zmienione usługi lub potrzeby organizacji
• naruszenia usługi lub komponentów IT

WEJŚCIA

• informacje biznesowe zawarte w ogólnej strategii biznesowej organizacji
• nadzór oraz bezpieczeństwo wynikające z wytycznych ładu korporacyjnego oraz polityki bezpieczeństwa firmy
• szczegóły odnośnie incydentów lub naruszeń w zakresie bezpieczeństwa
• procedury oceny ryzyka oraz raporty

WYJŚCIA

• polityka zarządzania bezpieczeństwem informacji
• system informacji o zarządzaniu bezpieczeństwem (SMIS)
• zestaw zabezpieczeń
• audyty bezpieczeństwa i raporty

ROLE

• Menedżer ds. bezpieczeństwa informacji (właściciel procesu) – jest on odpowiedzialny za zapewnienie poufności, integralności i dostępności zasobów, informacji, danych i usług IT w organizacji. Jest również zwykle zaangażowany w procesy zarządzania bezpieczeństwem w zakresie szerszym niż tylko dostawca usług IT, bowiem działa on w ramach całej organizacji.

ODPOWIEDZIALNOŚĆ

Macierz odpowiedzialności: Proces zarządzania bezpieczeństwem informacji.

Rola ITIL/Podproces	Menedżer ds. bezpieczeństwa informacji	Właściciel usługi	Analityk aplikacji	Analityk techniczny	Operator IT	Menedżer ds. wyposażenia
Zaprojektowanie mechanizmów kontroli bezpieczeństwa	A R	R	R	R
Testowanie bezpieczeństwa	A R				R	R
Zarządzanie incydentami związanymi z bezpieczeństwem	A R
Przegląd bezpieczeństwa	A R

A: (ang. Accountable) Odpowiedzialność zarządcza – zgodnie z modelem RACI, osoba ostatecznie odpowiedzialna za prawidłowość i dokładne wypełnianie procesu zarządzania bezpieczeństwem informacji. w ITIL^®.

R: (ang. Responsible) Odpowiedzialność – zgodnie z modelem RACI, osoba odpowiedzialna za realizację zadań w procesie zarządzania bezpieczeństwem informacji w ITIL^®.

POWIĄZANIA

• Proces zarządzania poziomem świadczenia usługi – zapewnia wsparcie przy określaniu potrzeb bezpieczeństwa i zakresu odpowiedzialności.
• Proces zarządzania uprawnieniami dostępu – wspomaga proces przyznawania i odbierania dostępu, a także usprawnia zastosowanie odpowiedniej polityki.
• Proces zarządzania zmianą – procedury ISM wspomagają ten proces poprzez ocenę zmian i ich wpływu na bezpieczeństwo informacji.
• Proces zarządzania incydentami – ISM wspomaga ten proces w znajdowaniu rozwiązań dla różnego rodzaju incydentów i naruszeń bezpieczeństwa i podejmowaniu uprawomocnionych działań korygujących.
• Proces zarządzania ciągłością usług informatycznych – oba procesy współpracują przy ocenie wpływów na biznes i ryzyka biznesowego.

Poniższa tabela zwiera przykładowe krytyczne czynniki sukcesu (CSF) dla procesu zarządzania bezpieczeństwem informacji (ang. ISM), uzupełnione typowymi dla tego procesu kluczowymi wskaźnikami wydajności (KPI). Wszelkie osiągnięcia związane z potencjalnymi KPI powinny być monitorowane i wykorzystywane w celu zidentyfikowania możliwości rozwoju, co powinno zostać zapisane w rejestrze CSI.

Krytyczny czynnik sukcesu	Kluczowy wskaźnik wydajności
Organizacja jest zabezpieczona przed wszelkimi naruszeniami bezpieczeństwa.	Procentowy spadek naruszeń bezpieczeństwa.
Określenie klarowanej i uzgodnionej polityki, spójnej z potrzebami organizacji.	Zmniejszenie niezgodności polityki bezpieczeństwa informacji z polityką bezpieczeństwa organizacji.
Procesy zabezpieczające, które są uprawomocnione, odpowiednie i wspierane przez wyższe kierownictwo.	Wzrost akceptacji i zgodności procedur bezpieczeństwa.
Efektywny marketing i edukacja w zakresie potrzeb bezpieczeństwa.	Zwiększona świadomość o potrzebie wdrażania polityki bezpieczeństwa informacji w całej organizacji.

Wyzwania

• Zapewnienie odpowiedniego wsparcia dla polityki bezpieczeństwa informacji ze strony samej organizacji – cele procesu zabezpieczenia informacji nie mogą zostać zrealizowane bez widocznego wsparcia i poparcia ze strony najwyższego szczebla kierowniczego w danej firmie.

Ryzyka

• Brak zaangażowania samej organizacji przy procesach ISM.
• Brak zaangażowania ze strony kierownictwa lub brak zasobów albo środków finansowych na utrzymanie procesu.
• Dokonywanie analizy ryzyka bez udział procedur zarządzania dostępnością i procesów ITSCM.

• Polityka bezpieczeństwa informacji – ten aspekt polityki ISM powinien mieć pełne wsparcie ze strony najwyższego kierownictwa działów IT oraz całej organizacji oraz obejmować wszelkie obszary zabezpieczania informacji, odpowiednie dla realizacji celów ISM.
• Ocena i zarządzanie ryzykiem – formalne procedury oceny i zarządzania ryzykiem, w odniesieniu do zachowania bezpieczeństwa informacji oraz ich przetwarzania, są procesami fundamentalnymi. ISM bardzo często korzysta z procedur ITSCM czy zarządzania dostępnością, w celu przeprowadzania oceny ryzyka.
• System zarządzania bezpieczeństwem informacji (ISMS) – system ten jest podstawą dla implementacji i rozwoju efektywnych, pod względem kosztowym, programów zabezpieczających informacje, które wspierają cele organizacji.