Firma, która decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji opartego o międzynarodową normę ISO 27001 musi pamiętać o podstawowych aspektach wymaganych przez normę: poufności, integralności i dostępności danych. Informacja jest dla firmy jedną z najcenniejszych form aktywów – to nie tylko dane osobowe klientów i pracowników, ale wszelkie informacje o kontraktach, towarach, metodach produkcyjnych, planowanych działaniach, rozwoju i historii firmy, które nie powinny wydostawać się poza posiadanie osób uprawnionych do tej wiedzy. W jaki sposób ISO 27001 pozwala je zabezpieczyć, jakie dane wymagają ochrony w ramach zapewniania bezpieczeństwa informacji i o czym informują nas zasady poufności, integralności i dostępności danych wprowadzone w ISO 27001?
Jakie dane wymagają ochrony zgodnie z koniecznością zapewniania bezpieczeństwa informacji?
Rozporządzenie o Ochronie Danych Osobowych (RODO) obowiązujące na terenie całej Unii Europejskiej wymaga, by każdy administrator danych zapewnił odpowiedni poziom bezpieczeństwa informacji dla wszystkich danych osobowych, a więc zarówno danych podstawowych (imię, nazwisko, adres), jak i danych wrażliwych (np. danych medycznych). Informacje, jakie podlegają ochronie w ramach wdrożonego w firmie Systemu Zarządzania Bezpieczeństwem Informacji opartego o ISO 27001 to jednak nie tylko dane osobowe klientów czy pracowników firmy, ale także wszelkie dane i informacje istotne z perspektywy firmy dla jej prawidłowego funkcjonowania, rozwoju czy utrzymania konkurencyjności na rynku. Informacje to aktywa, które powinny być odpowiednio zabezpieczone i chronione przed utratą, uszkodzeniem czy wydostaniem się poza firmę.
Ochronę informacji należy zagwarantować w obszarze cyfrowym, na którym obecnie skupia się wiele firm ze względu na dużą liczbę zagrożeń ze strony niesprawnego sprzętu, nieoczekiwanych awarii, wirusów czy hakerów.
Jednocześnie jednak trzeba pamiętać, że informacja to nie tylko dane przechowywane w bazach danych i plikach na komputerze, ale także wszelkie dokumenty na papierze, poczta przychodząca i wychodząca, zdjęcia, filmy, projekty, prezentacje, a nawet informacje przekazywane słownie.
Zapewnienie bezpieczeństwa danych będzie tu opierało się więc nie tylko na wykorzystaniu programów do ochrony danych cyfrowych, ale przede wszystkim na przygotowaniu wewnętrznej polityki bezpieczeństwa, dopracowaniu procesów, procedur i struktury organizacyjnej firmy, identyfikacji zagrożeń i monitorowaniu wdrażanych rozwiązań, a także ciągłym doskonaleniu w celu zapewnienia bezpieczeństwa pomimo pojawiających się nowych źródeł zagrożenia.
Poufność, integralność i dostępność danych a ISO 27001
Norma ISO 27001 będąca jednym z najważniejszych standardów w zakresie bezpieczeństwa i ochrony danych i informacji wprowadza konieczność spełnienia trzech zasadniczych aspektów ochrony informacji w celu zagwarantowania ich pełnego bezpieczeństwa. Mowa tu o:
- Poufności, czyli upewnieniu się że dostęp do informacji posiadają wyłącznie osoby uprawnione do posiadania takiego dostępu. Poufność obejmuje zarówno wykluczenie dostępu dla osób spoza firmy, jak i tych wewnątrz – nie każdy pracownik czy partner biznesowy musi i powinien posiadać dostęp do wszystkich informacji i kluczowych danych firmy.
- Integralności, czyli konieczności zapewnienia dokładności i kompletności przechowywanych informacji poprzez opracowanie odpowiednich metod ich przechowywania, przekazywania i przetwarzania.
- Dostępności, czyli potrzebie ustanowienia bezpiecznego i łatwego dostępu do informacji i związanych z nimi zasobów dla osób, które są uprawnione do ich posiadania, przechowywania i przetwarzania.
Wszystkie powyższe aspekty są ze sobą nierozerwalnie połączone i muszą zostać spełnione, by możliwe było rozważanie bezpieczeństwa informacji zgodnego z wymogami ISO 27001. Dbając wyłącznie o część z powyższych aspektów można dość szybko utracić kontrolę nad pozyskiwanymi i przechowywanymi informacjami, a tym samym utracić wypracowany poziom ich bezpieczeństwa pomimo pozornego stosowania najlepszych zabezpieczeń technicznych.
Jak skutecznie zabezpieczać informacje zgodnie z ISO 27001?
Wszystkie informacje będące w posiadaniu firmy mają swoją wartość i powinny zostać zabezpieczone na wypadek utraty dostępu, kradzieży, zniszczenia sprzętu, nieoczekiwanych awarii czy nieuprawnionych zmian. Wdrożenie ISO 27001 oznacza w pierwszej kolejności konieczność rozważenia kwestii bezpieczeństwa informacji na podstawie wyżej wymienionych aspektów, a wraz z nimi ustanowienia odpowiedniej polityki działania, systemu zarządzania bezpieczeństwem, schematów reagowania w sytuacjach kryzysowych oraz fizycznych zabezpieczeń informacji i danych. Wśród metod skutecznego zabezpieczania informacji znajdą się nie tylko programy chroniące przed nieuprawnionym dostępem do komputerów, wykrywające i usuwające wirusy czy szyfrujące dane przesyłane drogą elektroniczną, ale też systemy weryfikacji dostępu pracowników, kopie zapasowe dokumentów przechowywanych w formie papierowej, fizyczne systemy ograniczania dostępu do informacji i wewnętrzne regulaminy bezpieczeństwa chroniące informacje będące w posiadaniu różnych osób w obrębie firmy.