ISO 27001 – Załącznik A – Dlaczego warto się z nim zapoznać?
Załącznik A do noromy ISO 27001 jest prawdopodobnie najbardziej znanym załącznikiem ze wszystkich norm ISO – zapewnia podstawowe narzędzie do zarządzania zagrożeniami bezpieczeństwa informacji: listę punktów kontroli bezpieczeństwa (lub zabezpieczeń), które mają być stosowane w celu poprawy bezpieczeństwa zasobów informacyjnych. Niniejszy artykuł ma na celu zapewinienie zrozumienia struktury Załącznika A, a także jego związek z główną częścią ISO 27001 oraz ISO 27002.
Najlepszym sposobem zrozumienia Aneksu A jest myślenie o nim jako o katalogu kontroli bezpieczeństwa informacji, z których możesz wybierać – spośród 114 punktów kontroli wymienionych w ramach 14 domen w Aneksie Możesz je wykorzystać w na dwa główne sposoby:
- Projektując strategię bezpieczeństwa firmy – poprzez wybór tych punktów kontroli, które mają zasotosowanie do Twojej organizacji. Nazwijmy to podejście apriori.
- Ocena gotowości organizacji do procesu zarządzania bezpieczeństwem informacji – odnosząc polityki bezpieczeństwa i technologie do poszczególnych punktów kontroli z Aneksu A. Nazwijmy to podejście a posteriori – ponieważ oceniamy już wdrożoną strategię bezpieczeństwa.
Wspomniana lista punktów kontroli ISO 27001 to znajduje się w 14 domenach opisanych w Aneksie A. Wbrew pozorom nie wszystkie są zorientowane na IT – oto zestawienie, które pokazuje na czym skupiają się punkty kontroli. Są to sekcje:
- związane z kwestiami organizacyjnymi: A.5, A.6., A.8, A.15
- dotycząca zasobów ludzkich: A.7
- związane z IT: A.9, A.10, A.12, A.13. A.14, A.16, A.17
- dotycząca bezpieczeństwa fizycznego: A.11
- dotycząca zagadnień prawnych: A.18
Procentowo przedstawia się to następująco:
Patrząc na powyższy wykres możemy zauważyć, że ponad 50% to punkty kontroli związane z posiadaną infrastrukturą IT. To dlatego specjaliści w zakresie cyberbezpieczeństwa mocno bazują na normie ISO 27001.
Poniżej prezentujemy rozszerzenia 14 domen ISO 27001 w podziale na zidentyfikowane wyżej sekcje:
DOMENY ZWIĄZANE Z IT:
- A.9 Kontrola dostępu – mechanizmy kontroli zarządzania prawami dostępu użytkowników, systemów i aplikacji oraz zarządzania obowiązkami użytkowników
- A.10 Kryptografia – kontrole związane z szyfrowaniem i zarządzaniem kluczami
- A.12 Bezpieczeństwo operacyjne – wiele kontroli związanych z zarządzaniem produkcją IT: zarządzanie zmianą, zarządzanie wydajnością, złośliwe oprogramowanie, tworzenie kopii zapasowych, logowanie, monitorowanie, instalacja, podatności itp.
- A.13 Bezpieczeństwo komunikacji – kontrole związane z bezpieczeństwem sieci, segregacją, usługami sieciowymi, przesyłaniem informacji, przesyłaniem wiadomości itp.
- A.14 Pozyskiwanie, rozwój i utrzymanie systemu – mechanizmy kontrolne określające wymagania bezpieczeństwa oraz bezpieczeństwo w procesach rozwoju i wsparcia
- A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji – mechanizmy kontroli zgłaszania zdarzeń i słabych punktów, określanie odpowiedzialności, procedury reagowania i gromadzenie dowodów
- A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania – mechanizmy kontrolne wymagające planowania ciągłości działania, procedur, weryfikacji i przeglądu oraz redundancji IT
DOMENY ZWIĄZANE Z KWESTIAMI ORGANIZACYJNYMI:
- A.5 Polityki bezpieczeństwa informacji – kontrole sposobów, w jaki polityki są pisane i przeglądane
- A.6 Organizacja bezpieczeństwa informacji – kontrola przydzielania obowiązków; obejmuje również sterowanie urządzeniami mobilnymi i telepracą
- A.8 Zarządzanie aktywami – kontrole związane z inwentaryzacją aktywów i dopuszczalnym wykorzystaniem; również do klasyfikacji informacji i obsługi mediów
- A.15 Relacje z dostawcami – kontrole dotyczące tego, co należy uwzględnić w umowach i jak monitorować dostawców
DOMENY ZWIĄZANE Z KWESTIAMI ZAGADNIEŃ PRAWNYCH
- A.18 Zgodność (Compliance) – kontrole wymagające identyfikacji obowiązujących przepisów i regulacji, ochrony własności intelektualnej, ochrony danych osobowych oraz przeglądów bezpieczeństwa informacji
DOMENY ZWIĄZANE Z KWESTIĄ ZASOBÓW LUDZKICH
- A.7 Bezpieczeństwo zasobów ludzkich – kontrole przed zatrudnieniem, w trakcie i po zatrudnieniu
DOMENY ZWIĄZANE Z KWESTIAMI BEZPIECZEŃSTWA FIZYCZNEGO:
- A.11 Bezpieczeństwo fizyczne i środowiskowe – kontrole określające bezpieczne obszary, kontrole wejścia, ochrona przed zagrożeniami, bezpieczeństwo sprzętu, bezpieczna utylizacja, polityka czystego biurka i czystego ekranu itp.
W powyższych domenach zawiera się 114 punktów kontroli bezpieczeństwa – które należy wdrożyć, by zapewnić bezpieczeństwo informacji – i zorganizowa je w system. Dla przypomnienia – System Zarządzania Bezpieczeństwem Informacji (SZBI) to zestaw zasad, które firma musi ustanowić, aby:
- zidentyfikować interesariuszy i ich oczekiwania wobec firmy w zakresie bezpieczeństwa informacji
- określić, jakie ryzyko istnieje dla informacji
- zdefiniować kontrole (zabezpieczenia) i inne metody łagodzenia, aby spełnić zidentyfikowane oczekiwania i poradzić sobie z ryzykiem,
- wyznacz jasne cele dotyczące tego, co należy osiągnąć dzięki bezpieczeństwu informacji
- wdrożyć wszystkie kontrole i inne metody postępowania z ryzykiem
- stale mierzyć, czy wdrożone mechanizmy kontrolne działają zgodnie z oczekiwaniami
- dokonywać ciągłych ulepszeń, aby cały SZBI działał lepiej
Jako podsumowanie warto dodać, że podstawowym celem ISO 27001 jest ochrona trzech aspektów informacji:
- Poufność: tylko osoby upoważnione mają prawo dostępu do informacji.
- Integralność: tylko upoważnione osoby mogą zmieniać informacje.
- Dostępność: informacja musi być dostępna dla upoważnionych osób zawsze, gdy jest to potrzebne.
I to przez pryzmat tych trzech aspektów powinniśmy patrzeć na wdrażane punkty kontroli bezpieczeństwa.