Systemy Bezpieczeństwa Informacji

Systemy Bezpieczeństwa Informacji


Rozwój technologii informatycznych spowodował, że zarówno w życiu prywatnym jak i w ramach działalności biznesowej lub statutowej przedsiębiorstw i organizacji przetwarzana jest w danym okresie czasu praktycznie nieporównywalnie większa ilość informacji i danych niż jeszcze kilkanaście, a może nawet kilka lat temu. Rola informacji zarówno w kontekście ich poufności jak również dostępności i integralności zawsze była bardzo istotna. Zwiększona ilość informacji, rozwój informatyzacji, ułatwienie dostępu do danych, usprawnienie procesów przekazywania lub pobierania ich znacznych ilości w niewielkich jednostkach czasu, rozwój technologii przechowywania informacji i wiele innych czynników przyczyniło się do wzrostu zainteresowania systemami zarządzania bezpieczeństwem informacji. Podejście to pozwala organizacjom odpowiednio przygotować się na zakłócenia związane z brakiem dostępności i integralności lub utratą poufności danych oraz wiele innych czynników.


Dodatkowym czynnikiem determinującym stały wzrost zainteresowania tematyką bezpieczeństwa informacji są potrzeby dostosowywania organizacji do wymagań mających zastosowanie przepisów prawa i innych wymagań, których celem jest zapewnienie ochrony określonym grupom interesariuszy. Zastosowanie w tym zakresie mają między innymi wymagania przedstawione w:

  • Rozporządzenie RODO czyli Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz mające w tym zakresie zastosowanie przepisy prawa krajowego. Interesariuszami tych przepisów są osoby fizyczne, których dane są przetwarzane.

  • Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Interesariuszami tych przepisów są firmy i osoby korzystające z usług z zakresu cyberbezpieczeństwa.

  • Dobre Praktyki Spółek Notowanych na GPW – podręcznik GPW. Interesariuszami tych dobrych praktyk są interesariusze spółki notowanej na GPW.

 

Korzyści z wdrożenia i stosowania systemów zarządzania lub zapewnienia bezpieczeństwa informacji:

  • minimalizacja ryzyka wystąpienia zdarzeń związanych z bezpieczeństwem informacji (w tym również kar), czyli pro-aktywna identyfikacja podatności aktywów informacyjnych, zagrożeń i ich skutków w odniesieniu do sterowania operacyjnego oraz definiowanie odpowiednich działań zmniejszających ryzyko,

  • gotowość organizacji na incydenty związane z bezpieczeństwem informacji oraz dzięki odpowiednim procedurom ich skuteczne przezwyciężenie (efektywna odpowiedź na incydenty minimalizująca ich wpływ na organizację),

  • podniesienie wiarygodność organizacji w oczach klientów, inwestorów i udziałowców (interesariuszy),

  • zapewnienie bezpieczeństwa interesom Klientów,

  • pozytywny wpływ na ochronę i poprawę reputacji firmy i danej marki,

  • zapewnienie zgodności z mającymi zastosowanie przepisami prawa lub wymaganiami ubezpieczycieli,

  • zapewnienie ochrony aktywów informacyjnych,

  • wzrost świadomości pracowników i osób pracujących w imieniu organizacji odnośnie bezpieczeństwa informacji.

Skuteczność wszystkich systemów zarządzania lub zapewnienia bezpieczeństwa informacji opiera się na analizie i ocenie ryzyka. To właśnie uzyskane wyniki oceny ryzyka stanowią podstawę do przyjęcia oraz wdrożenia adekwatnych sposobów, w tym środków do eliminacji lub redukcji poziomu ryzyka dla konkretnych, mających zastosowanie w danej organizacji zagrożeń dla bezpieczeństwa informacji. Podkreślić należy, że bezpieczeństwo informacji to nie tylko zapewnienie odpowiedniej poufności informacji. Bezpieczeństwo informacji należy rozpatrywać również w kontekście dostępności i integralności informacji. Oznacza to, że przeprowadzana analiza i ocena ryzyka oraz określenie działań odnoszących się do ryzyka musi dotyczyć również tych atrybutów informacji. To czy większą rolę odgrywa poufność czy też dostępność i integralność zależy od rodzaju informacji oraz jej wagi dla danej organizacji. Zwyczajowo mówiąc o bezpieczeństwie ma się na myśli zabezpieczenie przed dostępem osób nieupoważnionych jednak w wielu przypadkach brak dostępności do informacji (dla osób upoważnionych) może być poważniejszy, jeśli chodzi o skutki niż utrata poufności informacji mniej istotnych. Dobrym przykładem do zobrazowania takiej sytuacji jest utrata dostępności do serwera, na którym organizacja przechowuje swoje wszystkie informacje. W dzisiejszych czasach, jeśli nie zostały zapewnione odpowiednie środki bezpieczeństwa (np. drugi serwer z pełną synchronizacją zainstalowany w innej lokalizacji z automatycznym przełączeniem na wypadek awarii serwera głównego, kopie zapasowe danych i systemów itp.) skutki mogą być bardzo dotkliwe, ponieważ mogą skutecznie zakłócić funkcjonowanie całej firmy lub organizacji. Możemy to porównać np. z utratą mało istotnych dla firmy danych, których ochrona nie jest wymagana na mocy obowiązujących przepisów prawa. W innych przypadkach brak dostępności do mniej istotnych danych będzie miał znacznie mniejsze konsekwencje niż pozyskanie przez osoby nieupoważnione dostępu do istotnych strategicznych danych lub np. utrata poufności przetwarzanych danych osobowych, a szczególnie danych wrażliwych, jeśli dana firma czy organizacja je przetwarza.

W związku z powyższym na pierwszych etapach wdrażania systemów bezpieczeństwa informacji należy znaczną uwagę poświęcić na przeprowadzenie kompleksowej i szczegółowej oceny ryzyka utraty poufności, dostępności i integralności danych, których ma dotyczyć dany system bezpieczeństwa. Posiadając te informacje można przygotować i wdrożyć skuteczny system bezpieczeństwa informacji.


Opis projektów wdrożeniowych został przedstawiony na stronach przedstawiających szczegóły konkretnych systemów, do których zaliczamy:



Serdecznie zapraszamy do zapoznania z naszą ofertą
dotyczącą poszczególnych standardów związanych z bezpieczeństwem informacji


Zachęcamy Państwa do bezpośredniego kontaktu z naszym biurem. Nasi pracownicy chętnie odpowiedzą na pytania, wyjaśnią szczegóły dotyczące naszych usług i pomogą dopasować najlepszą ofertę do Państwa potrzeb.




Centrum Doradczo Szkoleniowe MALON Sp. z o. o.

Wrocław, ul. Józefa Piłsudskiego 74, budynek NOT
biuro@iso.org.pl
tel. (71) 789 08 41 lub 604 20 90 431
faks (71) 791 39 09


 

Back to Top