Pierwsze wystąpienie – Przemysława Szczurka, Product Managera ds. Bezpieczeństwa Informacji w TUV Nord, dotyczyło przygotowania organizacji do procesu certyfikacji. TUV Nord jest jednostką certyfikacyjną odpowiedzialną za audyt organizacji i  weryfikację, czy spełnia ona wymogi posiadania funkcjonującego Systemu Zarządzania Bezpieczeństwem Informacji. Organizacja ma duże doświadczenie w zakresie certyfikacji:

• 1 800 klientów w Polsce w dziedzinie certyfikacji systemów,
• ponad 4 000 wystawionych certyfikatów osób,
• ponad 25 000 osób przeszkolonych z zakresu jakości.

Bazując na analizie tak rozległej praktyki, Przemysław Szczurek przedstawił 10 kroków, jakie powinna przejść każda organizacja, która zamierza wdrożyć PN-ISO/IEC 27001. Zalecenia na kolejnych etapach brzmią następująco:

1. Zdefiniuj politykę systemu – uwzględniając kontekst działania organizacji, charakterystykę działalności, wymagania biznesowe, operacyjne oraz prawne, które chcesz spełnić.
2. Zdefiniuj cele i zakres systemu - określając, co chronisz, jakie zasoby informacyjne wymagają ochrony.
3. Określ i oszacuj ryzyka - dobierając metodę, jaką będziesz analizował zagrożenia. Jeżeli jest to możliwe - zintegruj wybraną metodę  z procedurami już stosowanymi w organizacji, np. zarządzaniem ryzykiem operacyjnym, ISO 9001.
4. Zdefiniuj warianty postępowania z ryzykiem i oceń, co zrobić z wyznaczonymi ryzykami. Zdefiniuj, jakie zabezpieczenia trzeba zastosować, aby zredukować ryzyko.
5. Zdefiniuj plan wdrożenia systemu - określ działania kierownictwa, role i zakresy odpowiedzialności, priorytety działań. Nie zapomnij o opracowaniu polityki bezpieczeństwa, procedur, instrukcji. Udokumentuj wszystkie te obszary.
6. Wdróż i eksploatuj system - dokonaj wdrożenia zabezpieczeń i niezbędnych procedur zgodnie z planem postępowania.
7. Monitoruj i doskonal system - mierz skuteczność zabezpieczeń, identyfikuj incydenty i błędy. Zbieraj i oceniaj wszystkie uwagi o działaniu systemu.
8. Dokumentuj niezbędne działania - określ, co powinno być dokumentowane w systemie, jakie są twoje wymagania w tym zakresie, jakie istnieją wymagania prawne.
9. Zastanów się, czy warto certyfikować system - przejrzyj swój system pod kątem spełnienia wymagań standardu.
10. Uczyń system częścią swojej organizacji!!!

Kolejny prelegent - Jarosław Krawczyk, Kierownik zespołu ds. technicznych w Śląskim Centrum Społeczeństwa Informacyjnego (ŚCSI) w Katowicach, omówił proces certyfikacyjny na przykładzie administracji publicznej. Podkreślił, że Śląskie Centrum Społeczeństwa Informacyjnego w Katowicach posiada nie tylko certyfikację PN-ISO/IEC 27001, lecz także chroni zasoby informacyjne za które jest odpowiedzialne z wykorzystaniem Zintegrowanego System Zarządzania, w którego skład wchodzą:

• w zakresie bezpieczeństwa - PN-ISO/IEC 27001:2014, 
• w zakresie, jakość - PN-EN ISO 9001:2009,
• w zakresie zapewnienia usług IT - ISO/IEC 20000-1:2011.

Wdrożenie tak wszechstronnego systemu to oczywiście proces wieloletni i wieloetapowy. Śląskie Centrum Społeczeństwa Informacyjnego rozpoczęło pracę nad wdrożeniem systemu już w roku 2010, rozpoczynając od audytu wstępnego oceniającego stan istniejący. Kolejne etapy obejmowały opracowanie niezbędnej dokumentacji, realizację wdrożenia, przeprowadzenie niezbędnych warsztatów i szkoleń dla wszystkich zaangażowanych w proces oraz zakup niezbędnego oprogramowania wspomagającego wdrożenie i utrzymanie Zintegrowanego Systemu Zarządzania. Wdrożenie zakończyło się 19.04.2012 r. pozytywnym wynikiem audytu certyfikującego wdrożenie w ŚCSI zintegrowanego systemu zarządzania obejmującego 3 standardy: PN-EN ISO 9001:2009, PN-EN ISO/IEC 27001:2007, ISO/IEC 20000-1: 2005.

Zgodnie z koniecznością utrzymania certyfikacji w kolejnych latach, system podlegał recertyfikacji. Ponieważ bezpieczeństwo jest procesem ciągłym, Śląskie Centrum Społeczeństwa Informacyjnego chcąc spełnić wymogi standardów bezpieczeństwa dokonało aktualizacji ISO/IEC 27001:2007 do nowej wersji ISO/IEC 27001:2014. Proces ten był dużym wyzwaniem ze względu na znaczne zmiany w zakresie budowy standardu systemu bezpieczeństwa, jaki wprowadziła Międzynarodowa Organizacja Normalizacyjna aktualizując normę. Z tego względu konieczne było przebudowanie zagadnień związanych z analizą ryzyk organizacji zgodnei z wytycznymi zawartymi w normie PN-ISO 31000:2012 Zarządzanie ryzykiem.

Warto podkreślić, że Zintegrowanego System Zarządzania, jaki funkcjonuje w ŚCSI to ewenement w skali administracji publicznej, co wynika z badania pt. „Wdrożenie wybranych wymagań dotyczących systemów informatycznych oraz Krajowych Ram Interoperacyjności w jednostkach samorządu terytorialnego”. Badanie to zostało przeprowadzone przez Izbę Rzeczoznawców Polskiego Towarzystwa Informatycznego na próbie ok. 340 jednostek samorządowych.

Z analizy zebranych danych jasno wynika, że polska administracja publiczna nie tylko nie posiada certyfikacji systemów zarządzania bezpieczeństwem informacji, lecz – co gorsza – nie dysponuje nawet samymi normami. W raporcie czytamy, że „Zdecydowana większość instytucji, tj. 309, co stanowi ponad 91% badanych, nie zakupiła ani jednej normy”. W badaniu przeprowadzonym przez Izbę rzeczoznawców pytano o zakup normy PN-ISO/IEC 20000, PN-ISO/IEC 27001, PN-ISO/IEC 27005 oraz PN-ISO/IEC 24762. Z powyższego badania wynika, że certyfikacją zgodności z PN-ISO/IEC 27001 Systemów Zarządzania Bezpieczeństwem Informacji może poszczycić się ledwo 3,24% badanej próby, czyli raptem 11 samorządów. Raport z badania dostępny jest bezpłatnie,– w wersji drukowanej i elektronicznej (na licencji Creative Commons Uznanie Autorstwa 3.0 Polska) – na stronie:http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf    

Na zdjęciu od lewej: Adam Mizerski, Jarosław Krawczyk, Michał Latocha, Przemysław Szczurek oraz prof. Małgorzata Pankowska. Fot. Filip Woźniczka

Seminarium zakończyło się wystąpieniem Michał Latochy, Country IT Managera for Poland w Plastic Omnium Auto Sp. z o.o. Ostatni z prelegentów –  jako przedstawiciel biznesu z branży samochodowej – zaprezentował doświadczenia wdrożenia PN-ISO/IEC 27001 z punktu widzenia przemysłu. Michał Latocha rozpoczął swoje wystąpienie zgodnie z wytycznymi Hitchcocka – najpierw nastąpiło trzęsienie ziemi,a potem napięcie stale rosło. Na początku prezentacji prelegent przedstawił oświadczenie najwyższego kierownictwa swojej firmy w postaci: „Chciałbym aby Wszyscy tutaj zebrani przyjęli do wiadomości, że nie potrzeba nam ISO27001…”

Później było coraz ciekawiej –  Michał Latocha podzielił się niezwykle interesującym doświadczeniem wdrożenia systemu bezpieczeństwa informacji wbrew bardzo poważnym trudnościom – k  w firmie, w której najwyższe kierownictwo wyrażało sprzeciw wobec takich działań; w firmie, która w ówczesnym czasie (rok 2010) zmagała się z wielkimi trudnościami wynikającymi z recesji. Mimo tych barier dokonano transformacji w zakresie zarządzania bezpieczeństwem informacji, które zakończyły się certyfikacją zgodności z PN-ISO/IEC 27001.

Narzędziem umożliwiającym przełamanie wcześniejszego oporu kierownictwa była rzetelnie opracowana analiza ryzyk, wskazująca na konsekwencje zastanego stanu rzeczy oraz zawierająca rekomendacje ograniczające zidentyfikowane ryzyka.

Dlaczego zdecydowano się na PN-ISO/IEC 27001? Oto kilka przesłanek, które prelegent wymienił:

1. przekornie  –  z lenistwa – gdyż po co szukać innych rozwiązań skoro dostępny jest ogólnie dostępny standard;
2. aby uzyskać przewagę konkurencyjną wśród bardzo wymagających klientów reprezentujących branże samochodową;
3. aby spać spokojnie  i dzięki certyfikacji zewnętrznego podmiotu uzyskać pewność, że system zarządzania bezpieczeństwem informacji działa;
4. aby spełnić wymagania w zakresie aktualnych i przyszłych klientów, dla których powierzenie niezwykle cennych informacji technologicznych wiąże się z poszukiwaniem sprawdzonych partnerów, których wiarygodność została zweryfikowana przez niezależne jednostki certyfikacyjne. 

Michał Latocha podkreślił również zdecydowaną przewagę przeprowadzenia audytu certyfikacyjnego. Zaplanowanie takich działań wyraźnie motywuje do poprawy bezpieczeństwa organizacji. Pokazuje to przykład jednej w fabryk, w której początkowo przeprowadzono cały proces wdrożenia systemu zarządzania bezpieczeństwem, jednak bez finalnej certyfikacji. Zastosowanie systemu zarządzania bezpieczeństwem informacji nie udało się, co pokazuje, że  certyfikacja jednak jest konieczna.

Seminarium zostało organizowane przez ISACA Katowice Chapter we współpracy z Polskim Towarzystwem Informatycznym oraz Polskim Oddziałem IEEE Computer Society.

Patronat medialny nad wydarzeniem objął Dziennik Internautów.

Organizatorzy już rozpoczęli pracę nad kolejnym seminarium, którego tematyką będzie norma ISO/IEC 15504. Szczegóły dostępne będą wkrótce.

Opracował Adam Mizerski