Dnia 15 listopada, równolegle w auli Centrum Nowych Technologii Informatycznych Katedry Informatyki, Wydziału Informatyki i Komunikacji Uniwersytetu Ekonomicznego w Katowicach oraz w sali wideokonferencyjnej Polskiego Towarzystwa Informatycznego w Warszawie, odbyło się seminarium dotyczące praktycznego podejścia do wdrożenia normy PN-ISO/IEC 27001. Osoby, które wzięły udział w spotkaniu zdalnie, w biurze PTI w Warszawie mogły w pełni uczestniczyć w obradach i zadawać pytania prelegentom – dzięki nowoczesnym rozwiązaniom zastosowanym w sali konferencyjnej.
Pierwsze wystąpienie – Przemysława Szczurka, Product Managera ds. Bezpieczeństwa Informacji w TUV Nord, dotyczyło przygotowania organizacji do procesu certyfikacji. TUV Nord jest jednostką certyfikacyjną odpowiedzialną za audyt organizacji i weryfikację, czy spełnia ona wymogi posiadania funkcjonującego Systemu Zarządzania Bezpieczeństwem Informacji. Organizacja ma duże doświadczenie w zakresie certyfikacji:
Bazując na analizie tak rozległej praktyki, Przemysław Szczurek przedstawił 10 kroków, jakie powinna przejść każda organizacja, która zamierza wdrożyć PN-ISO/IEC 27001. Zalecenia na kolejnych etapach brzmią następująco:
Uczyń system częścią swojej organizacji !!!
Kolejny prelegent - Jarosław Krawczyk, Kierownik zespołu ds. technicznych w Śląskim Centrum Społeczeństwa Informacyjnego (ŚCSI) w Katowicach, omówił proces certyfikacyjny na przykładzie administracji publicznej. Podkreślił, że Śląskie Centrum Społeczeństwa Informacyjnego w Katowicach posiada nie tylko certyfikację PN-ISO/IEC 27001, lecz także chroni zasoby informacyjne za które jest odpowiedzialne z wykorzystaniem Zintegrowanego System Zarządzania, w którego skład wchodzą:
Wdrożenie tak wszechstronnego systemu to oczywiście proces wieloletni i wieloetapowy. Śląskie Centrum Społeczeństwa Informacyjnego rozpoczęło pracę nad wdrożeniem Zintegrowanego System Zarządzania już w roku 2010, rozpoczynając od audytu wstępnego oceniającego stan istniejący. Kolejne etapy obejmowały opracowanie niezbędnej dokumentacji, realizację wdrożenia, przeprowadzenie niezbędnych warsztatów i szkoleń dla wszystkich zaangażowanych w proces oraz zakup niezbędnego oprogramowania wspomagającego wdrożenie i utrzymanie systemu. Wdrożenie zakończyło się 19.04.2012 r. pozytywnym wynikiem audytu certyfikującego wdrożenie w ŚCSI Zintegrowanego System Zarządzania obejmującego 3 standardy: PN-EN ISO 9001:2009, PN-EN ISO/IEC 27001:2007, ISO/IEC 20000-1: 2005. Zgodnie z koniecznością utrzymania certyfikacji w kolejnych latach, system podlegał recertyfikacji. Ponieważ bezpieczeństwo jest procesem ciągłym, Śląskie Centrum Społeczeństwa Informacyjnego chcąc spełnić wymogi standardów bezpieczeństwa dokonało aktualizacji ISO/IEC 27001:2007 do nowej wersji ISO/IEC 27001:2014. Proces ten był dużym wyzwaniem ze względu na znaczne zmiany w zakresie budowy standardu systemu bezpieczeństwa, jaki wprowadziła Międzynarodowa Organizacja Normalizacyjna aktualizując normę. Z tego względu konieczne było przebudowanie zagadnień związanych z analizą ryzyk organizacji zgodnie z wytycznymi zawartymi w normie PN-ISO 31000:2012 Zarządzanie ryzykiem.
Warto podkreślić, że Zintegrowanego System Zarządzania, jaki funkcjonuje w ŚCSI to ewenement w skali administracji publicznej, co pokazuje badanie pt. „Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności w jednostkach samorządu terytorialnego”. Badanie to zostało przeprowadzone przez Izbę Rzeczoznawców Polskiego Towarzystwa Informatycznego na próbie ok. 340 jednostek samorządowych. Z analizy zebranych danych jasno wynika, że polska administracja publiczna nie tylko nie posiada certyfikacji systemów zarządzania bezpieczeństwem informacji, lecz – co gorsza – nie dysponuje nawet samymi normami. W raporcie czytamy, że „Zdecydowana większość instytucji, tj. 309, co stanowi ponad 91% badanych, nie zakupiła ani jednej normy”. W badaniu przeprowadzonym przez Izbę Rzeczoznawców pytano o zakup normy PN-ISO/IEC 20000, PN-ISO/IEC 27001, PN-ISO/IEC 27005 oraz PN-ISO/IEC 24762. Z powyższego badania wynika, że certyfikacją zgodności z PN-ISO/IEC 27001 Systemów Zarządzania Bezpieczeństwem Informacji może poszczycić się ledwo 3,24% badanej próby, czyli raptem 11 samorządów. Raport z badania dostępny jest bezpłatnie, w wersji drukowanej i elektronicznej (na licencji Creative Commons Uznanie Autorstwa 3.0 Polska); plik pobrać można na stronie: http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
Seminarium zakończyło się wystąpieniem Michał Latochy, pełniącego funkcję Country IT Manager for Poland w Plastic Omnium Auto Sp. z o.o. Ostatni z prelegentów – jako przedstawiciel biznesu z branży samochodowej – zaprezentował doświadczenia wdrożenia PN-ISO/IEC 27001 z punktu widzenia przemysłu. Michał Latocha rozpoczął swoje wystąpienie zgodnie z wytycznymi Hitchcocka – najpierw nastąpiło trzęsienie ziemi, a potem napięcie stale rosło. Na początku prezentacji prelegent przedstawił oświadczenie najwyższego kierownictwa swojej firmy w postaci: „Chciałbym aby Wszyscy tutaj zebrani przyjęli do wiadomości, że nie potrzeba nam ISO27001…”.
Później było coraz ciekawiej – Michał Latocha podzielił się niezwykle interesującym doświadczeniem wdrożenia systemu bezpieczeństwa informacji wbrew bardzo poważnym trudnościom – w firmie, w której najwyższe kierownictwo wyrażało sprzeciw wobec takich działań; w firmie, która w ówczesnym czasie (rok 2010) zmagała się z wielkimi trudnościami wynikającymi z recesji. Mimo tych barier dokonano transformacji w zakresie zarządzania bezpieczeństwem informacji, które zakończyły się certyfikacją zgodności z PN-ISO/IEC 27001.
Narzędziem umożliwiającym przełamanie wcześniejszego oporu kierownictwa była rzetelnie opracowana analiza ryzyk, wskazująca na konsekwencje zastanego stanu rzeczy oraz zawierająca rekomendacje ograniczające zidentyfikowane ryzyka.
Dlaczego zdecydowano się na PN-ISO/IEC 27001? Oto kilka przesłanek, które prelegent wymienił:
Michał Latocha podkreślił również zdecydowaną przewagę przeprowadzenia audytu certyfikacyjnego. Zaplanowanie takich działań wyraźnie motywuje do poprawy bezpieczeństwa organizacji. Pokazuje to przykład jednej w fabryk, w której początkowo przeprowadzono cały proces wdrożenia systemu zarządzania bezpieczeństwem, jednak bez finalnej certyfikacji. Zastosowanie systemu zarządzania bezpieczeństwem informacji nie udało się, co pokazuje, że certyfikacja jednak jest konieczna.
Seminarium zostało organizowane przez ISACA Katowice Chapter we współpracy z Polskim Towarzystwem Informatycznym oraz Polskim Oddziałem IEEE Computer Society. Patronat medialny nad wydarzeniem objął Dziennik Internautów.
Organizatorzy już rozpoczęli pracę nad kolejnym seminarium, którego tematyką będzie norma ISO/IEC 15504. Szczegóły dostępne będą wkrótce.
Opracował Adam Mizerski