Zarządzanie ryzykiem w ramach Systemu Zarządzania Bezpieczeństwem Informacji – przewodnik

System Zarządzania Bezpieczeństwem Informacji (SZBI) – co to jest?

System Zarządzania Bezpieczeństwem Informacji (SZBI) to zestaw polityk, procedur, procesów i zabezpieczeń, za pomocą których organizacja ogranicza ryzyko naruszenia i utraty poufnych danych oraz jego konsekwencje. 

Organizacja powinna wdrożyć SZBI ze względów zarówno biznesowych (zabezpieczyć tajemnice przedsiębiorstwa), jak i prawnych. Ochrona informacji jest ustawowym obowiązkiem każdego podmiotu prowadzącego działalność gospodarczą, a za jego niedopełnienie grożą surowe sankcje.

Poprzez SZBI organizacja wypracowuje trzy kluczowe atrybuty bezpieczeństwa informacji:

• Poufność – identyfikuje i klasyfikuje informacje oraz określa uprawnienia dostępu do poszczególnych rodzajów danych.

• Integralność – zapobiega nieuprawnionej modyfikacji, usunięciu lub udostępnieniu informacji.

• Dostępność – zapewnia upoważnionym osobom ciągły dostęp do informacji.

System Zarządzania Bezpieczeństwem Informacji standaryzuje norma ISO/IEC 27001 – model wypracowany przez międzynarodowych ekspertów. SZBI zgodny z tą normą zapewnia wysoki poziom bezpieczeństwa informacji, a proces certyfikacji wzmacnia wizerunek organizacji i jej pozycję na rynku.

Norma ISO/IEC 27001 określa wymagania związane z ustanowieniem, utrzymaniem i doskonaleniem SZBI na różnych poziomach: od zasobów i procesów po technologię. Wymaga m.in. wdrożenia polityki bezpieczeństwa informacji, zarządzania ryzykiem oraz szeregu zabezpieczeń: organizacyjnych, osobowych, fizycznych i technologicznych.

Zarządzanie ryzykiem w SZBI

Zarządzanie ryzykiem związanym z bezpieczeństwem informacji jest podstawą SZBI. Aby przeciwdziałać zagrożeniom i ograniczać wynikające z nich szkody, organizacja musi je najpierw zdefiniować i ocenić. To wymagający proces, bo jak pokazują badania, często okazuje się, że głównym źródłem tych zagrożeń jest sama organizacja – ludzie i procedury. 

Na przykład według raportu ZFODO za aż 86% incydentów naruszenia bezpieczeństwa danych osobowych odpowiadają pracownicy i współpracownicy organizacji. Powodem niemal wszystkich takich zdarzeń (95%) są działania nieumyślne. Organizacja musi więc wziąć pod uwagę zagrożenia zewnętrzne: ataki hakerskie, wyłudzenia danych czy błędy podmiotów przetwarzających dane, ale nie może się do nich ograniczyć.

Proces zarządzania ryzykiem w SZBI obejmuje:

• określenie celu zarządzania ryzykiem;
• analizę ryzyka (identyfikację i ocenę zasobów, zagrożeń i podatności);
• plan postępowania z ryzykiem (wybór strategii, np. unikanie, ograniczanie, przeniesienie);
• wdrożenie zabezpieczeń (z uwzględnieniem systemów, sieci, informacji, użytkowników i wymagań prawnych);
• monitorowanie, raportowanie i doskonalenie procesu.

Narzędzia zarządzania ryzykiem

Norma ISO/IEC 27001 narzuca konieczność stworzenia procedury zarządzania ryzykiem, natomiast same narzędzia i metody organizacja dopasowuje do swoich możliwości i potrzeb.

Do narzędzi identyfikacji i oceny ryzyka należą m.in.:

• Analiza SWOT – identyfikacja mocnych i słabych stron organizacji oraz szans i zagrożeń z zewnątrz. Nadaje szeroki kontekst i jest dobrym punktem wyjścia.

• Burza mózgów – wygenerowanie jak największej liczby pomysłów w grupie. Jej zaletą jest różna perspektywa uczestników i swoboda przepływu myśli, które pomagają rozpoznać zarówno najczęstsze, jak i nietypowe zagrożenia.

• Listy kontrolne – listy potencjalnych zagrożeń, na które trzeba przygotować organizację. To systematyczne podejście sprzyja dobrej organizacji procesów oraz zachowaniu ciągłości działania.

• Analiza scenariuszy zdarzeń – sytuacji, w których może dojść do naruszenia bezpieczeństwa informacji. Pomaga zrozumieć ich przebieg i możliwe konsekwencje oraz opracować plan reakcji.

• Ocena jakościowa ryzyka – subiektywna ocena prawdopodobieństwa wystąpienia zagrożenia i jego wpływu na organizację.

• Ocena ilościowa ryzyka – przypisanie danemu ryzyku wartości liczbowych dotyczących prawdopodobieństwa wystąpienia i potencjalnych strat finansowych; wymaga zastosowania modeli statystycznych i matematycznych.

Organizacja musi także monitorować, raportować i doskonalić zarządzanie ryzykiem. Służą temu przede wszystkim systematyczne audyty, podczas których sprawdza się procedury oraz wykrywa słabe punkty i obszary do doskonalenia. Aby mierzyć i realizować cele, w każdym z kluczowych obszarów organizacja powinna wyznaczyć wskaźniki KPI, np. liczbę incydentów i średni czas reakcji, wyniki testów świadomości pracowników, koszty wdrożenia i utrzymania oraz zwrot z inwestycji.

Certyfikacja Systemu Zarządzania Bezpieczeństwem Informacji

Wdrożenie SZBI zgodnego z normą ISO/IEC 27001 warto zwieńczyć procesem certyfikacji przeprowadzonym przez Polskie Centrum Badań i Certyfikacji S.A. (PCBC S.A.). SZBI zostaje wówczas poddany audytowi – jest on okazją do rozpoznania i skorygowania ewentualnych niezgodności, czyli udoskonalenia procedur, polityk, procesów i zabezpieczeń. Pozytywny wynik audytu gwarantuje uzyskanie certyfikatu PCBC S.A. i IQNet, który jest rozpoznawalny na całym świecie. PCBC S.A. jest jedyną jednostką w Polsce zrzeszoną w IQNet i uprawnioną do wydania tego prestiżowego certyfikatu. Kolejno jednostka certyfikująca przeprowadza audyty nadzoru, co stanowi motywację do utrzymywania i doskonalenia wdrożonego w organizacji SZBI.

Certyfikacja zapewnia organizacji liczne korzyści, m.in.:

• spełnienie wymagań prawnych,
• wysoki poziom ochrony informacji i danych – może zmniejszyć ryzyko zagrożeń prawnych, finansowych i wizerunkowych,
• lepszy nadzór nad procesami przetwarzania informacji,
• wzrost świadomości i zaangażowania pracowników,
• zwiększenie zaufania klientów,
• wzmocnienie pozycji na rynku.

Podejmując decyzję o wdrożeniu standardu i certyfikacji, należy zwrócić uwagę na to, że w 2022 roku norma ISO/IEC 27001 została zaktualizowana – od 2023 jest już dostępna w języku polskim. 

Szkolenia w zakresie SZBI i zarządzania ryzykiem

Jednostka certyfikująca taka jak PCBC S.A. prowadzi nie tylko procesy certyfikacji, lecz także szkolenia z Systemu Zarządzania Bezpieczeństwem Informacji. Część z nich jest przeznaczona dla organizacji – kadr zarządzających, działów IT, a także pozostałych pracowników. Szkolenia te pomagają przygotować się do wdrożenia i certyfikacji SZBI, ale nie wymagają specjalistycznej wiedzy (np. technicznej). Jednostka certyfikująca szkoli ponadto przyszłych audytorów, przygotowując ich do roli audytorów wiodących i wewnętrznych Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z ISO/IEC 27001.

Bezpieczeństwo informacji to nie tylko technologia, lecz także procesy i ludzie, którzy skutecznie zarządzają ryzykiem – od najniższego do najwyższego szczebla. To proces ciągły, nad którym organizacja musi pracować na co dzień i który musi traktować priorytetowo. Tylko wówczas będzie w stanie uniknąć zagrożeń lub ograniczyć ich skutki. Certyfikacja SZBI zgodnie z normą ISO/IEC 27001 wymusza właśnie takie podejście – jest najlepszym środkiem, jaki organizacja może podjąć w celu ochrony swoich informacji.

--------

 Źródło danych: Raport Związku Firm Ochrony Danych Osobowych „Incydenty ochrony danych osobowych 2022”, https://www.zfodo.org.pl/wp-content/uploads/2023/02/raport_zfodo_2022_net-1.pdf (dostęp 23.02.2025).

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.