Obszary i cele bezpieczeństwa sieci i informacji

W dokumencie wyróżniono siedem obszarów bezpieczeństwa:

- kierowanie i zarządzanie ryzykiem, obejmujące cele bezpie-czeństwa związane z kierowaniem i zarządzaniem ryzykiem w zakresie bezpieczeństwa sieci i informacji;

- bezpieczeństwo zasobów ludzkich, obejmujące cele związane z bezpieczeństwem personelu;

- bezpieczeństwo systemów i obiektów, obejmujące fizyczne i logiczne bezpieczeństwo systemów oraz urządzeń sieciowych i

informa-tycznych;

- zarządzanie operacyjne, obejmujące procedury operacyjne, zarządzanie zmianą i zarządzanie aktywami;

- zarządzanie incydentami, obejmujące wykrywanie, reakcję, raportowanie i komunikowanie o incydentach;

- zarządzanie ciągłością działalności, obejmujące strategie ciągłości i plany awaryjne łagodzące skutki poważnych awarii i/lub

katastrof naturalnych;

- monitorowanie, audytowanie i testowanie, który obejmuje monitorowanie, badanie i audyt sieci i systemów urządzeń informatycznych oraz obiektów.

Każdy z wymienionych obszarów ma przyporządkowane cele bezpieczeństwa (w sumie jest ich 25), w ramach każdego z celów zostały zaprezentowane środki bezpieczeństwa i przykładowe dowody ich stoso-wania. Środki są pogrupowane w trzech różnych poziomach zaawansowa-nia: podstawowym, standardzie branżowym oraz wysoce zaawansowanym.

Obszar kierowanie i zarządzanie ryzykiem obejmuje cztery cele:

politykę bezpieczeństwa informacji (ustalenie i utrzymanie właściwej polityki bezpieczeństwa informacji), kierowanie i zarządzanie ryzykiem

(ustalenie i utrzymanie właściwych ram kierowania i zarządzania ryzykiem, w celu określania i reagowania na zagrożenia dla sieci informacyjnych

System prawny a porządek prawny, Wydawnictwo Naukowe Uniwersytetu Szczecińskiego, Szczecin 2008, s. 335 i n.

114

i usług), role i obowiązki bezpieczeństwa (ustalenie i utrzymanie właściwej struktury ról i obowiązków bezpieczeństwa) oraz bezpieczeństwo aktywów stron trzecich (ustanowienie i utrzymanie polityki, wymogów bezpieczeń-stwa w odniesieniu do umów ze stronami trzecimi, aby zapewnić, że zależ-ność od stron trzecich nie wpływa negatywnie na bezpieczeństwo sieci i/lub usług)⁶³. Należy podkreślić, że w analizowanym dokumencie termin „stro-ny trzecie” dotyczy stron (organizacji, osób fizycz„stro-nych), z którymi współ-pracuje dostawca w celu świadczenia usług, tj. sprzedawcy produktów do dostawcy, inni dostawcy, konsultanci doradzający dostawcy, audytorzy

dokonujący badania dostawcy, firmy, którym dostawca zleca prace, itp.

W związku z tym określenie to nie odnosi się do klientów, społeczeństwa, władz rządowych lub organów regulacyjnych⁶⁴.

Obszar drugi – bezpieczeństwo zasobów ludzkich – obejmuje pięć celów. Są to: kontrole przygotowania (wykonanie odpowiednich kontroli przygotowania personelu [pracownicy, wykonawcy i użytkownicy będący

stronami trzecimi], jeśli wymagają tego ich zadania i obowiązki), wiedza i szkolenia z obszaru bezpieczeństwa (upewnienie się, że pracownicy mają

wystarczającą wiedzę dotyczącą bezpieczeństwa oraz, że są objęci regu-larnymi szkoleniami bezpieczeństwa), zmiany personalne (ustalenie i utrzy-manie właściwego procesu zarządzania zmianami personalnymi lub zmia-nami ról i obowiązków pracowników), postępowanie z naruszeniami (usta-nowienie i utrzymanie procesu dyscyplinarnego dla pracowników, którzy naruszają zasady bezpieczeństwa, lub szerszego procesu, obejmującego na-ruszenia bezpieczeństwa spowodowane przez personel)⁶⁵.

Obszar trzeci – bezpieczeństwo systemów i obiektów – obejmuje cztery cele: bezpieczeństwo fizyczne i środowiskowe (ustanowienie i utrzy-manie odpowiedniego fizycznego i środowiskowego bezpieczeństwa syste-mów oraz urządzeń sieciowych i informatycznych), bezpieczeństwo dostaw (ustanowienie i utrzymanie odpowiedniego bezpieczeństwa dostaw energii elektrycznej, paliwa itp.), kontrola dostępu do sieci i systemów informa-tycznych (ustanowienie i utrzymanie właściwej [logicznej] kontroli dostępu do sieci i systemów informatycznych), integralność sieci i systemów infor-matycznych (ustanowienie i utrzymanie integralności sieci i systemów

in-63 W. Hoff, Wytyczne…, s. 11–13.

64 Ibidem, s. 8.

65 Ibidem, s. 13–15.

115 formatycznych oraz ochrona przed wirusami, wstrzykiwaniem kodu i in-nym złośliwym oprogramowaniem, które może zmieniać funkcjonalność systemów)⁶⁶.

Obszarowi czwartemu – zarządzaniu operacyjnemu – są przypo-rządkowane trzy cele. Są to: procedury operacyjne (ustanowienie i utrzy-manie procedur operacyjnych dotyczących funkcjonowania krytycznych sieci i systemów informatycznych przez pracowników), zarządzanie zmianą (ustanowienie procedur zarządzania zmianą dla krytycznych sieci i sys-temów informatycznych w celu zminimalizowania prawdopodobieństwa incydentów spowodowanych przez zmiany), zarządzanie aktywami (usta-nowienie i utrzymanie procedur w zakresie zarządzania aktywami i kontroli

konfiguracji w celu zarządzania dostępnością aktywów i konfiguracji sieci i systemów informatycznych o znaczeniu krytycznym)⁶⁷.

Obszar piąty – zarządzanie incydentami – obejmuje również trzy cele: procedury zarządzania incydentami (ustanowienie i utrzymanie pro-cedur zarządzania incydentami i przekazywanie ich do odpowiednich pra-cowników), potencjał wykrywania incydentów (określenie i utrzymanie po-tencjału wykrywania incydentów), raportowanie i informowanie o incyden-tach (ustanowienie i utrzymanie odpowiednich procedur raportowania i ko-munikowania incydentów, z uwzględnieniem przepisów krajowych w spra-wie raportowania o incydentach do władz rządowych)⁶⁸.

Obszar szósty – zarządzanie ciągłością działalności – łączy w sobie dwa cele: strategię ciągłości usług i plany awaryjne (określenie i utrzymanie planów awaryjnych i strategii zapewnienia ciągłości działania

sieci i usług komunikacyjnych) oraz możliwości usuwania skutków awarii

(ustalenie i utrzymanie odpowiedniej zdolności usuwania skutków awarii w celu przywrócenia usług sieciowych i komunikacyjnych w przypadku

naturalnych i/lub poważnych awarii)⁶⁹.

Obszar siódmy – monitorowanie, audytowanie i testowanie – to pięć celów związanych z monitorowaniem, badaniem i audytem sieci i sys-temów urządzeń informatycznych oraz obiektów. Są to: zasady monito-rowania i rejestmonito-rowania (ustanawianie i utrzymanie systemów i funkcji mo-nitorowania i rejestrowania krytycznych sieci i systemów

komunikacyj-66 Ibidem, s. 15–17.

67 Ibidem, s. 18–19.

68 Ibidem, s. 20–21.

69 Ibidem, s. 21–23.

116

nych), ćwiczenie planów awaryjnych (ustanowienie i utrzymanie polityki te-stowania i ćwiczenia wykonywania kopii zapasowych i planów awaryj-nych, jeżeli są konieczne we współpracy ze stronami trzecimi), testowanie sieci i systemów informatycznych (ustanowienie i utrzymanie polityki testo-wania sieci i systemów informatycznych, w szczególności w przypadku podłączenia do nowych sieci lub systemów), oceny bezpieczeństwa (usta-lenie i utrzymanie właściwej polityki dokonywania oceny bezpieczeństwa sieci i systemów informatycznych), monitorowanie zgodności (ustanowie-nie i utrzyma(ustanowie-nie polityki monitorowania zgodności z normami i wymogami prawnymi)⁷⁰.

5. Działania regulacyjne dotyczące nadzoru środków