Bezpieczeństwo informacji definiowane jest jako zbiór przedsięwzięć, mających na celu ochronę informacji ważnego elementu współczesnego systemu gospodarczego, jakim jest instytucja bądź przedsiębiorstwo, zapewniających jego efektywne i niezawodne funkcjonowanie. Informację uznaje się za bezpieczną wówczas, gdy zagwarantowane są wszystkie atrybuty jej bezpieczeństwa:
- poufność (confidentiality) – zapewnienie, że informacja nie jest udostępniania bądź ujawniana osobom, podmiotom i procesom nieuprawnionym,
- spójność (integrity) – precyzyjność, dokładność oraz kompletność informacji,
- dostępność (availability) – możliwość autoryzowanego wykorzystania danych i informacji w pożądanym czasie,
- rozliczalność (accountability) – jednoznaczne przypisanie określonego zakresu działań do jednego podmiotu,
- autentyczność (authenticity) – zapewnienie, że tożsamość podmiotu bądź zasobu jest zgodna z deklarowaną (dotyczy to użytkowników, procesów, systemów, a nawet instytucji),
- niezawodność (reliability) – stałe, spójne zamierzone zachowania oraz skutki.
Biorąc pod uwagę powyższe cechy, bezpieczeństwo informacji należy rozmieć wielowymiarowo, uwzględniając nie tylko wielość atrybutów informacji podlegających ochronie, ale także różnorodność form ich występowania (np. w postaci pliku danych, wydruku, zapisu w formie elektronicznej i tradycyjnej, rekordu w bazie danych czy wiadomości przekazywanej ustnie).
Dla kogo ważne jest bezpieczeństwo informacji?
Problematyka bezpieczeństwa informacji w dzisiejszym świecie dotyczy praktycznie wszystkich podmiotów rządowych, samorządowych, komercyjnych i organizacji non-profit. Wszystkie funkcjonujące na rynku organizacje zobowiązane są do skutecznego zarządzania bezpieczeństwem informacji. Wobec powyższego wiele z nich poszukuje odpowiednich wytycznych w tym zakresie.
Odpowiedzią na tę potrzebę jest system zarządzania zgodny z ISO 27001, umożliwiający zarządzanie bezpieczeństwem informacji w sposób kompleksowy i usystematyzowany, oparty na podejściu wynikającym z ryzyka biznesowego.
Certyfikacja systemu zarządzania bezpieczeństwem informacji ISO 27001?
Współczesne przedsiębiorstwa, zarówno polskie, jak i zagraniczne, coraz większą wagę przywiązują do poziomu bezpieczeństwa informacji. Jakość świadczonych usług nie jest oceniana jedynie stopniem zadowolenia odbiorców, ale także przyjętymi przez organizację procedurami zarządzania związanymi z ochroną powierzanych, gromadzonych i przetwarzanych informacji. Z tego względu wzrasta liczba przedsiębiorstw i instytucji zainteresowanych wdrażaniem systemu zarządzania bezpieczeństwem informacji.
Dowodem na zastosowanie w tym obszarze międzynarodowych standardów i dobrych praktyk jest wdrożenie certyfikowanego systemu zarządzania bezpieczeństwem informacji, zgodnego z normą ISO 27001.
Podmioty ubiegające się o certyfikację zobowiązane są do zbudowania dobrze funkcjonującego systemu zarządzania bezpieczeństwem informacji, zgodnego z wymaganiami normy, która jest jego podstawą.
W normie ISO 27001 określonych zostało 36 celów oraz 136 zabezpieczeń. W oparciu o własny szacunek ryzyka, przedsiębiorstwo samo decyduje, jakiego rodzaju zabezpieczenia włączy do swojej struktury. Istnieje również możliwość zastosowania dodatkowych zabezpieczeń, nie uwzględnionych w tej normie.
W procesie akredytowanej certyfikacji, jednostki certyfikujące, które oceniają zgodność z normą oraz skuteczność działania systemu zarządzania bezpieczeństwem informacji, szukają dowodów na to, że organizacja zdolna jest zagwarantować bezpieczeństwo trzech podstawowych cech informacji:
- poufności,
- spójności,
- dostępności.
Jednostki, którym przyznano certyfikat zgodności z normą ISO/IEC 27001, uzyskują wizerunek firmy przywiązującej najwyższą wagę do bezpieczeństwa własnych i powierzonych przez klientów informacji poprzez wdrożenie niezbędnych środków ostrożności, które zabezpieczają system przed takim zagrożeniom, jak nieuprawniony dostęp czy nieautoryzowana modyfikacja.
Ochrona informacji wymogiem współczesności
Sukcesy rynkowe przedsiębiorstw od zawsze uzależnione były od jakości świadczonych usług czy oferowanych produktów. Ale jakość współcześnie nie oznacza już tylko zagwarantowania satysfakcji czy zadowolenia klienta przedmiotem oferty, ale dotyka też wielu różnych aspektów związanych z zarządzaniem organizacją.
Niewątpliwie wartością wysoko cenioną przez klientów i kontrahentów są procedury związane z ochroną i bezpieczeństwem przetwarzanych i wymienianych informacji. Aby zachowywać zdolność do przetrwania i rozwoju, firmy zmuszone są nieustannie reagować na zachodzące w ich otoczeniu zmiany. Taka sytuacja powoduje, iż coraz więcej podmiotów gospodarczych wdraża bądź deklaruje konieczność wdrożenia systemu zarządzania bezpieczeństwem informacji.
Światowym standardem, stanowiącym zbiór wymagań, zaleceń oraz dobrych praktyk w tym obszarze, jest norma ISO/IEC 27001.
Priorytetem dla przedsiębiorstw staje się kompleksowa ochrona zasobów informacyjnych i systemów je przetwarzających przed zagrożeniami, które w dzisiejszym świecie przybierają coraz to bardziej wyrafinowane formy.