ISO 27001 – Załącznik A – Dlaczego warto się z nim zapoznać?


Home / Aktualności / ISO 27001 – Załącznik A – Dlaczego warto się z nim zapoznać?


Załącznik A do noromy ISO 27001 jest prawdopodobnie najbardziej znanym załącznikiem ze wszystkich norm ISO – zapewnia podstawowe narzędzie do zarządzania zagrożeniami bezpieczeństwa informacji: listę punktów kontroli bezpieczeństwa (lub zabezpieczeń), które mają być stosowane w celu poprawy bezpieczeństwa zasobów informacyjnych. Niniejszy artykuł ma na celu zapewinienie zrozumienia struktury Załącznika A, a także jego związek z główną częścią ISO 27001 oraz ISO 27002.


Najlepszym sposobem zrozumienia Aneksu A jest myślenie o nim jako o katalogu kontroli bezpieczeństwa informacji, z których możesz wybierać – spośród 114 punktów kontroli wymienionych w  ramach 14 domen w Aneksie Możesz je wykorzystać w na dwa główne sposoby:


  1. Projektując strategię bezpieczeństwa firmy – poprzez wybór tych punktów kontroli, które mają zasotosowanie do Twojej organizacji. Nazwijmy to podejście apriori.
  2. Ocena gotowości organizacji do procesu zarządzania bezpieczeństwem informacji – odnosząc polityki bezpieczeństwa i technologie do poszczególnych punktów kontroli z Aneksu A. Nazwijmy to podejście a posteriori – ponieważ oceniamy już wdrożoną strategię bezpieczeństwa.


Wspomniana lista punktów kontroli ISO 27001 to znajduje się w 14 domenach opisanych w Aneksie A. Wbrew pozorom nie wszystkie są zorientowane na IT – oto zestawienie, które pokazuje na czym skupiają się punkty kontroli. Są to sekcje:


  • związane z kwestiami organizacyjnymi: A.5, A.6., A.8, A.15

  • dotycząca zasobów ludzkich: A.7

  • związane z IT: A.9, A.10, A.12, A.13. A.14, A.16, A.17

  • dotycząca bezpieczeństwa fizycznego: A.11

  • dotycząca zagadnień prawnych: A.18

Procentowo przedstawia się to następująco:


Patrząc na powyższy wykres możemy zauważyć, że ponad 50% to punkty kontroli związane z posiadaną infrastrukturą IT. To dlatego specjaliści w zakresie cyberbezpieczeństwa mocno bazują na normie ISO 27001. 


Poniżej prezentujemy rozszerzenia 14 domen ISO 27001 w podziale na zidentyfikowane wyżej sekcje:


DOMENY ZWIĄZANE Z IT:

  • A.9 Kontrola dostępu – mechanizmy kontroli zarządzania prawami dostępu użytkowników, systemów i aplikacji oraz zarządzania obowiązkami użytkowników
  • A.10 Kryptografia – kontrole związane z szyfrowaniem i zarządzaniem kluczami
  • A.12 Bezpieczeństwo operacyjne – wiele kontroli związanych z zarządzaniem produkcją IT: zarządzanie zmianą, zarządzanie wydajnością, złośliwe oprogramowanie, tworzenie kopii zapasowych, logowanie, monitorowanie, instalacja, podatności itp.
  • A.13 Bezpieczeństwo komunikacji – kontrole związane z bezpieczeństwem sieci, segregacją, usługami sieciowymi, przesyłaniem informacji, przesyłaniem wiadomości itp.
  • A.14 Pozyskiwanie, rozwój i utrzymanie systemu – mechanizmy kontrolne określające wymagania bezpieczeństwa oraz bezpieczeństwo w procesach rozwoju i wsparcia
  • A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji – mechanizmy kontroli zgłaszania zdarzeń i słabych punktów, określanie odpowiedzialności, procedury reagowania i gromadzenie dowodów
  • A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania – mechanizmy kontrolne wymagające planowania ciągłości działania, procedur, weryfikacji i przeglądu oraz redundancji IT



DOMENY ZWIĄZANE Z KWESTIAMI ORGANIZACYJNYMI: 

  • A.5 Polityki bezpieczeństwa informacji – kontrole sposobów, w jaki polityki są pisane i przeglądane
  • A.6 Organizacja bezpieczeństwa informacji – kontrola przydzielania obowiązków; obejmuje również sterowanie urządzeniami mobilnymi i telepracą
  • A.8 Zarządzanie aktywami – kontrole związane z inwentaryzacją aktywów i dopuszczalnym wykorzystaniem; również do klasyfikacji informacji i obsługi mediów
  • A.15 Relacje z dostawcami – kontrole dotyczące tego, co należy uwzględnić w umowach i jak monitorować dostawców


DOMENY ZWIĄZANE Z KWESTIAMI ZAGADNIEŃ PRAWNYCH

  • A.18 Zgodność (Compliance) kontrole wymagające identyfikacji obowiązujących przepisów i regulacji, ochrony własności intelektualnej, ochrony danych osobowych oraz przeglądów bezpieczeństwa informacji


DOMENY ZWIĄZANE Z KWESTIĄ ZASOBÓW LUDZKICH

  • A.7 Bezpieczeństwo zasobów ludzkich – kontrole przed zatrudnieniem, w trakcie i po zatrudnieniu

DOMENY ZWIĄZANE Z KWESTIAMI BEZPIECZEŃSTWA FIZYCZNEGO:

  • A.11 Bezpieczeństwo fizyczne i środowiskowe – kontrole określające bezpieczne obszary, kontrole wejścia, ochrona przed zagrożeniami, bezpieczeństwo sprzętu, bezpieczna utylizacja, polityka czystego biurka i czystego ekranu itp.


W powyższych domenach zawiera się 114 punktów kontroli bezpieczeństwa – które należy wdrożyć, by zapewnić bezpieczeństwo informacji – i zorganizowa je w system. Dla przypomnienia –  System Zarządzania Bezpieczeństwem Informacji (SZBI) to zestaw zasad, które firma musi ustanowić, aby:


  • zidentyfikować interesariuszy i ich oczekiwania wobec firmy w zakresie bezpieczeństwa informacji

  • określić, jakie ryzyko istnieje dla informacji

  • zdefiniować kontrole (zabezpieczenia) i inne metody łagodzenia, aby spełnić zidentyfikowane oczekiwania i poradzić sobie z ryzykiem,

  • wyznacz jasne cele dotyczące tego, co należy osiągnąć dzięki bezpieczeństwu informacji

  • wdrożyć wszystkie kontrole i inne metody postępowania z ryzykiem

  • stale mierzyć, czy wdrożone mechanizmy kontrolne działają zgodnie z oczekiwaniami

  • dokonywać ciągłych ulepszeń, aby cały SZBI działał lepiej

Jako podsumowanie warto dodać, że podstawowym celem ISO 27001 jest ochrona trzech aspektów informacji:
  • Poufność: tylko osoby upoważnione mają prawo dostępu do informacji.

  • Integralność: tylko upoważnione osoby mogą zmieniać informacje.

  • Dostępność: informacja musi być dostępna dla upoważnionych osób zawsze, gdy jest to potrzebne.

I to przez pryzmat tych trzech aspektów powinniśmy patrzeć na wdrażane punkty kontroli bezpieczeństwa.

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.