Nowoczesne metody zarządzania bezpieczeństwem informacji zostały ujęte w normie ISO 27001, która stanowi specyfikację systemów zarządzania bezpieczeństwem informacji. Na zgodność z nią mogą być prowadzone audyty pozwalające wydawanie stosownych certyfikatów.
Norma wyszczególnia jedenaście obszarów, jakie mają wpływ na bezpieczeństwo informacji w organizacji. Są to:
- polityka bezpieczeństwa,
- organizacja bezpieczeństwa informacji,
- zarządzanie aktywami,
- bezpieczeństwo zasobów ludzkich,
- bezpieczeństwo fizyczne i środowiskowe,
- zarządzanie systemami i sieciami,
- kontrola dostępu,
- zarządzanie ciągłością działania,
- pozyskiwanie, rozwój i utrzymanie systemów informatycznych,
- zarządzanie incydentami związanymi z bezpieczeństwem informacji,
- zgodność z wymaganiami prawnymi i własnymi standardami.
W ramach polityki bezpieczeństwa danej organizacji wymienione zostają rodzaje zabezpieczeń mających na celu ochronę informacji. Wyszczególnić można zabezpieczenia fizyczne, zabezpieczenia informatyczne, zabezpieczenia organizacyjne oraz zabezpieczenia administracyjne i rozwiązania prawne.
■ Zabezpieczenia fizyczne
Zabezpieczenia fizyczne to rodzaj zabezpieczeń mających na celu zabezpieczenie okien, drzwi, ścian oraz instalacji. Zakładają one wykorzystanie takich metod, jak montaż systemów alarmowych, czujników oraz kamer monitoringu przemysłowego.
■ Zabezpieczenia informatyczne
Zabezpieczenia informatyczne to zabezpieczenia wykorzystujące metody i środki informatyki, wśród których należy wyróżnić rozwiązania sprzętowe oraz programowe. Do metod zabezpieczeń związanych z systemami komputerowymi zaliczają się przede wszystkim szyfrowanie informacji, stosowanie zapory sieciowej oraz wykorzystywanie wirtualnych sieci prywatnych.
Szyfrowanie informacji
Szyfrowanie stanowi jedną z podstawowych, a zarazem najbardziej skutecznych metod zabezpieczania przesyłanych informacji. Proces ten polega na przekształceniu informacji w sposób nieczytelny za pomocą funkcji matematycznej, co zapewnia tajność dla osób trzecich.
Współcześnie wykorzystywane jest szyfrowanie z kluczem publicznym, gdzie ten sam klucz zostaje użyty do szyfrowania informacji i deszyfrowania, oraz szyfrowanie z kluczem prywatnym, gdzie do szyfrowania informacji wykorzystywany jest klucz publiczny, a do jej odszyfrowania klucz prywatny.
Stosowanie zapory sieciowej
W zapewnieniu bezpieczeństwa informacji istotne jest stosowanie zapory sieciowej. Współcześnie wykorzystywane są trzy główne metody jej pracy: filtrowanie pakietów, które pozwala przepuszczać i zatrzymywać określone dane według wcześniej wskazanych wytycznych, ekranowana podsieć, polegająca na stworzeniu sieci prywatnej oddzielonej od innych sieci dwoma routerami, a także dual-home-gateway, dzięki któremu możliwe jest filtrowanie przepływającej informacji na poziomie zarówno nagłówka pakietu, jak i zawartości jego pola danych.
Wykorzystywanie wirtualnych sieci prywatnych
Metodą pozwalającą zwiększyć bezpieczeństwo informacji jest wykorzystanie wirtualnych sieci prywatnych, czyli VPN, które stanowią wydzieloną cząstkę ze struktury sieci publicznej.
Pozostałymi metodami stosowanymi w ramach zabezpieczeń informatycznych w celu zapewnienia bezpieczeństwa informacji w danej jednostce organizacyjnej są stosowanie podpisów elektronicznych, tworzenie kopii bezpieczeństwa oraz instalacja systemów operacyjnych umożliwiających przyznawanie praw do poszczególnych plików i folderów.
■ Zabezpieczenia organizacyjne
Zabezpieczenia organizacyjne polegają na przeprowadzeniu zmian organizacyjnych, które służą zwiększeniu poziomu bezpieczeństwa systemu. Metodami stosowanymi przy tworzeniu tego rodzaju zabezpieczeń są:
- projektowanie i wdrażanie regulaminów oraz procedur pracy,
- stwarzanie i wdrażanie procedur postępowania awaryjnego,
- kształtowanie odpowiedzialności osobistej pracowników za ochronę informacji w danej jednostce organizacyjnej.
■ Zabezpieczenia administracyjne
Zabezpieczeniami administracyjnymi są systemy certyfikacji potwierdzające przydatność do pracy w warunkach danej organizacji. Certyfikaty dotyczą zarówno personelu, jak i sprzętu, technologii oraz wykorzystywanego oprogramowania.
■ Rozwiązania prawne
Jako rozwiązania prawne rozumie się wszelkie uregulowania w prawie karnym, które służą ochronie bezpieczeństwa informacji.
Dlaczego warto wdrożyć nowoczesne metody zarządzania bezpieczeństwem informacji w swojej firmie?
Wdrożenie nowoczesnych metod zarządzania bezpieczeństwem informacji w firmie zgodnie z normą ISO 27001 pomaga jednostkom organizacyjnym poprawić bezpieczeństwo informacji, zapobiegając ich wyciekom i kradzieży. Zastosowanie tych metod sprawia, że dana organizacja może skutecznie gromadzić i przetwarzać dane, a następnie dokonywać ich analizy i podejmować trafne decyzje bez narażania klientów, kontrahentów i partnerów biznesowych. Zapewnienie właściwego bezpieczeństwa informacji to także ochrona własnych interesów przed atakami konkurencji, które mogą doprowadzić do strat zarówno finansowych, jak i moralnych.
Kto powinien być odpowiedzialny za wdrożenie nowoczesnych metod zarządzania bezpieczeństwem informacji w firmie?
Za wdrożenie metod zarządzania bezpieczeństwem informacji odpowiada zarząd danej jednostki organizacyjnej. Może on w tym celu powołać menadżera do spraw bezpieczeństwa informacji, który angażuje się w procesy zarządzania bezpieczeństwem i jest odpowiedzialny za zapewnienie poufności, integralności i dostępności informacji w organizacji. Pozostali pracownicy odpowiedzialni są za decyzje związane z bezpieczeństwem informacji w zakresie ustanowionych wcześniej ram kompetencyjnych.
