Systemy Bezpieczeństwa Informacji

Rozwój technologii informatycznych spowodował, że zarówno w życiu prywatnym jak i w ramach działalności biznesowej lub statutowej przedsiębiorstw i organizacji przetwarzana jest w danym okresie czasu praktycznie nieporównywalnie większa ilość informacji i danych niż jeszcze kilkanaście, a może nawet kilka lat temu. Rola informacji zarówno w kontekście ich poufności jak również dostępności i integralności zawsze była bardzo istotna. Zwiększona ilość informacji, rozwój informatyzacji, ułatwienie dostępu do danych, usprawnienie procesów przekazywania lub pobierania ich znacznych ilości w niewielkich jednostkach czasu, rozwój technologii przechowywania informacji i wiele innych czynników przyczyniło się do wzrostu zainteresowania systemami zarządzania bezpieczeństwem informacji. Podejście to pozwala organizacjom odpowiednio przygotować się na zakłócenia związane z brakiem dostępności i integralności lub utratą poufności danych oraz wiele innych czynników.

Dodatkowym czynnikiem determinującym stały wzrost zainteresowania tematyką bezpieczeństwa informacji są potrzeby dostosowywania organizacji do wymagań mających zastosowanie przepisów prawa i innych wymagań, których celem jest zapewnienie ochrony określonym grupom interesariuszy. Zastosowanie w tym zakresie mają między innymi wymagania przedstawione w:

• Rozporządzenie RODO czyli Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz mające w tym zakresie zastosowanie przepisy prawa krajowego. Interesariuszami tych przepisów są osoby fizyczne, których dane są przetwarzane.

• Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Interesariuszami tych przepisów są firmy i osoby korzystające z usług z zakresu cyberbezpieczeństwa.

• Dobre Praktyki Spółek Notowanych na GPW – podręcznik GPW. Interesariuszami tych dobrych praktyk są interesariusze spółki notowanej na GPW.

Korzyści z wdrożenia i stosowania systemów zarządzania lub zapewnienia bezpieczeństwa informacji:

• minimalizacja ryzyka wystąpienia zdarzeń związanych z bezpieczeństwem informacji (w tym również kar), czyli pro-aktywna identyfikacja podatności aktywów informacyjnych, zagrożeń i ich skutków w odniesieniu do sterowania operacyjnego oraz definiowanie odpowiednich działań zmniejszających ryzyko,

• gotowość organizacji na incydenty związane z bezpieczeństwem informacji oraz dzięki odpowiednim procedurom ich skuteczne przezwyciężenie (efektywna odpowiedź na incydenty minimalizująca ich wpływ na organizację),

• podniesienie wiarygodność organizacji w oczach klientów, inwestorów i udziałowców (interesariuszy),

• zapewnienie bezpieczeństwa interesom Klientów,

• pozytywny wpływ na ochronę i poprawę reputacji firmy i danej marki,

• zapewnienie zgodności z mającymi zastosowanie przepisami prawa lub wymaganiami ubezpieczycieli,

• zapewnienie ochrony aktywów informacyjnych,

• wzrost świadomości pracowników i osób pracujących w imieniu organizacji odnośnie bezpieczeństwa informacji.

Skuteczność wszystkich systemów zarządzania lub zapewnienia bezpieczeństwa informacji opiera się na analizie i ocenie ryzyka. To właśnie uzyskane wyniki oceny ryzyka stanowią podstawę do przyjęcia oraz wdrożenia adekwatnych sposobów, w tym środków do eliminacji lub redukcji poziomu ryzyka dla konkretnych, mających zastosowanie w danej organizacji zagrożeń dla bezpieczeństwa informacji. Podkreślić należy, że bezpieczeństwo informacji to nie tylko zapewnienie odpowiedniej poufności informacji. Bezpieczeństwo informacji należy rozpatrywać również w kontekście dostępności i integralności informacji. Oznacza to, że przeprowadzana analiza i ocena ryzyka oraz określenie działań odnoszących się do ryzyka musi dotyczyć również tych atrybutów informacji. To czy większą rolę odgrywa poufność czy też dostępność i integralność zależy od rodzaju informacji oraz jej wagi dla danej organizacji. Zwyczajowo mówiąc o bezpieczeństwie ma się na myśli zabezpieczenie przed dostępem osób nieupoważnionych jednak w wielu przypadkach brak dostępności do informacji (dla osób upoważnionych) może być poważniejszy, jeśli chodzi o skutki niż utrata poufności informacji mniej istotnych. Dobrym przykładem do zobrazowania takiej sytuacji jest utrata dostępności do serwera, na którym organizacja przechowuje swoje wszystkie informacje. W dzisiejszych czasach, jeśli nie zostały zapewnione odpowiednie środki bezpieczeństwa (np. drugi serwer z pełną synchronizacją zainstalowany w innej lokalizacji z automatycznym przełączeniem na wypadek awarii serwera głównego, kopie zapasowe danych i systemów itp.) skutki mogą być bardzo dotkliwe, ponieważ mogą skutecznie zakłócić funkcjonowanie całej firmy lub organizacji. Możemy to porównać np. z utratą mało istotnych dla firmy danych, których ochrona nie jest wymagana na mocy obowiązujących przepisów prawa. W innych przypadkach brak dostępności do mniej istotnych danych będzie miał znacznie mniejsze konsekwencje niż pozyskanie przez osoby nieupoważnione dostępu do istotnych strategicznych danych lub np. utrata poufności przetwarzanych danych osobowych, a szczególnie danych wrażliwych, jeśli dana firma czy organizacja je przetwarza.

W związku z powyższym na pierwszych etapach wdrażania systemów bezpieczeństwa informacji należy znaczną uwagę poświęcić na przeprowadzenie kompleksowej i szczegółowej oceny ryzyka utraty poufności, dostępności i integralności danych, których ma dotyczyć dany system bezpieczeństwa. Posiadając te informacje można przygotować i wdrożyć skuteczny system bezpieczeństwa informacji.

W kontekście bezpieczeństwa informacji szczególną uwagę należy zwrócić również na zagadnienie zarządzania sztuczną inteligencją (AI). Chociaż norma ISO/IEC 42001 nie odnosi się wprost do kwestii bezpieczeństwa informacji, zdecydowaliśmy się zakwalifikować ją do standardów tego typu ze względu na unikalny charakter tej technologii. Specyfika AI, obejmująca jej dynamiczny rozwój, autonomiczne podejmowanie decyzji oraz trudności z wyjaśnialnością działania algorytmów, generuje bowiem specyficzne wyzwania w obszarze ryzyka technologicznego, prawnego, etycznego oraz społecznego. Wdrożenie systemu zarządzania zgodnego z ISO/IEC 42001 umożliwia odpowiedzialne zarządzanie cyklem życia technologii AI, przyczyniając się jednocześnie do zwiększenia przejrzystości i nadzoru, co jest istotnym uzupełnieniem dla klasycznych systemów bezpieczeństwa informacji opartych m.in. na normach ISO/IEC 27001 czy ISO 27701.

Opis projektów wdrożeniowych został przedstawiony na stronach przedstawiających szczegóły konkretnych systemów, do których zaliczamy:

• System zarządzania bezpieczeństwem informacji zgodny z wymaganiami normy ISO /IEC 27001 ,




• Dyrektywa NIS2 / Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC).




• System ochrony danych osobowych zgodny z mającymi zastosowanie przepisami prawa (Rozporządzenie RODO, Ustawa o ochronie danych osobowych i inne przepisy prawa krajowego),




• System zarządzania informacjami o prywatności zgodny z wymaganiami ISO 27701,

  
  

• System Bezpieczeństwa dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo zgodny z obowiązującymi w tym zakresie przepisami prawa,




• System Bezpiecznej Wymiany Informacji w branży automotive TISAX ® (Trusted Information Security Assessment Exchange).
  UWAGA: TISAX ® jest zarejestrowanym znakiem towarowym ENX Association. Malon Group sp. z o.o. nie jest w relacji biznesowej z ENX Association. Wskazanie znaku towarowego TISAX ® nie oznacza żadnego oświadczenia właściciela znaku towarowego, dotyczącego przydatności opisywanych tutaj usług,




• System zarządzania sztuczną inteligencją zgodny z wymaganiami ISO 42001.

  
  

Serdecznie zapraszamy do zapoznania z naszą ofertą
dotyczącą poszczególnych standardów związanych z bezpieczeństwem informacji


Zachęcamy Państwa do bezpośredniego kontaktu z naszym biurem. Nasi pracownicy chętnie odpowiedzą na pytania, wyjaśnią szczegóły dotyczące naszych usług i pomogą dopasować najlepszą ofertę do Państwa potrzeb.