Norma dotycząca bezpieczeństwa informacji ISO/IEC 27001 bez tabu

Czym właściwie jest Certyfikowany System Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 i dlaczego największe instytucje finansowe, takie jak banki, przykładają do niego tak wielką wagę? Jakie normy trzeba spełnić, by go uzyskać i czy rzeczywiście wnosi on realną wartość na rynek informacji? Nasza redakcja postanowiła przybliżyć temat normy 27001 również od praktycznej strony w oparciu o doświadczenie firmy technologicznej Transparent Data.

Jaką wartość na rynek informacji wnosi ISO/IEC 27001?

Gdy myślimy o wsparciu własnego biznesu zewnętrznie pozyskaną informacją gospodarczą lub biznesową, tym co w pierwszej kolejności bierzemy pod uwagę, to jej aktualność oraz wiarygodność. Nikomu nie jest bowiem potrzebna przedawniona informacja, skoro istnieje jej zmieniona, świeższa wersja. Domysły, opinie, nierzetelne dane to nie fakty, na których chcemy opierać swoje decyzje.

Jeżeli dokładnie zastanowimy się nad procedurą zakupu informacji gospodarczej i biznesowej szybko dojdziemy do jeszcze jednego wniosku – nie tylko ważne jest, co kupujemy, ale również od kogo. To, w jaki sposób przechowywana jest informacja, kto ma do niej dostęp, w jaki sposób jest chroniona przed niepożądanym wyciekiem ma równie istotne znaczenie. Przypomnijmy sobie choćby głośny tegoroczny wyciek danych z systemu PESEL czy naruszenie danych osobowych Klientów Netii. Powtórzmy to jeszcze raz, to od kogo kupujemy informacje ma znaczenie. To jeden z powodów, dla których najpotężniejsze instytucje, takie jak m.in. banki, decydują się na współpracę jedynie z certyfikowanymi tą normą przedsiębiorstwami.

Czym właściwie jest Certyfikowany System Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001?

Ogólnie mówiąc, System Zarządzania Bezpieczeństwem Informacji zgodny z międzynarodową normą ISO/IEC 27001 stanowi zbiór reguł określający wprowadzenie i udoskonalanie w firmie niezależnie ocenianego systemu identyfikacji zagrożeń oraz precyzyjnego systemu zabezpieczeń we wszystkich obszarach działalności.

Certyfikat i wymogi jego uzyskania ustalone zostały przez Międzynarodową Organizację Normalizacyjną (ISO z ang. The International Organization for Standardization), która stanowi obecnie największą na świecie pozarządową organizację ustanawiającą biznesowe standardy oraz Międzynarodową Komisję Elektrotechniczną (IEC z ang. International Electrotechnical Commission), będącą najbardziej znaną globalną organizacją opracowującą normy z zakresu technologii. Standardy przygotowywane przez te jednostki stanowią podstawę norm krajowych oraz odniesienie dla kontraktów i przetargów międzynarodowych.

Spełnianie normy ISO/IEC 27001 świadczy o zapewnieniu najwyższej ochrony wszelkich danych biznesowych oraz poufnych, a tym samym minimalizacji ryzyka, że uzyska do nich nielegalny dostęp osoba nieupoważniona.

Uzyskanie tego certyfikatu plasuje obok największych przedsiębiorstw na rynku takich jak Comarch, Bank Zachodni WBK, Orange czy PKP. Jest to szczególne wyróżnienie, bowiem mało która firma z rodzimego rynku zajmująca się dostarczaniem informacji gospodarczej oraz biznesowej czy wdrażaniem narzędzi wspierających analizę informacji dla biznesu poszczycić się może spełnianiem tej normy.

Porozmawiajmy o ISO/IEC 27001 z praktykami – wywiad z Arkadiuszem Hajdukiem, CEO technologicznej firmy Transparent Data, która niedawno uzyskała niniejszy certyfikat

RI: Zacznijmy od podstawowego pytania – co daje firmie uzyskanie certyfikatu ISO/IEC 27001 w praktyce? Jak wpływa ona na działalność biznesową?

AH: Sam proces uzyskania zgodności z normą wnosi niebagatelną wartość w wewnętrzne procesy firmy, jej misję i cele – pozwala uporządkować stosowane praktyki i wspiera wyrabianie dobrych nawyków dbania o bezpieczeństwo informacji przez pracowników firmy każdego szczebla. Jako jedyny taki standard pozwala również zweryfikować czy przyjęte przez firmę rozwiązania rzeczywiście stoją na najwyższym poziomie czy też należy jeszcze udoskonalić system bezpieczeństwa. Taka wiedza dla firmy nastawionej na rozwój jest zawsze nieoceniona. Zewnętrznie natomiast uzyskanie ISO/IEC 27001 otwiera drzwi do współpracy z najbardziej wymagającymi Klientami, takimi jak np. banki czy globalne korporacje. Innymi słowy, dodatnio wpływa na wzrost zaufania Klientów i wiarygodność firmy na rynku.

RI: Skoro wartość normy ISO/IEC 27001 przyczynia się do wzrostu zaufania Klientów i wiarygodności firmy, to dlaczego inne polskie przedsiębiorstwa zajmujące się dostarczaniem informacji gospodarczych nie starają się o ten certyfikat?

AH: Procedura uzyskania ISO/IEC 27001 jest długa, skomplikowana i wymaga od firmy spełnienia bardzo precyzyjnych wymogów dotyczących systemu identyfikacji zagrożeń oraz zabezpieczeń informacji gospodarczych, biznesowych i poufnych. Certyfikowany System Zarządzania Bezpieczeństwem Informacji powszechnie kojarzy się z wieloma miesiącami przygotowań i szkoleniami, przez co większość firm najprawdopodobniej sądzi, że jest on dostępny tylko dla największych graczy o pokaźnych kapitałach i setkach pracowników.

RI: Ale Transparent Data się to udało, mimo że jest to stosunkowo mała firma..

AH: To prawda, Transparent Data złamała stereotyp, że rozmiar ma znaczenie (śmiech – przyp. redakcji). Jesteśmy małą, ale w zamian bardzo zwinną i szybką firmą technologiczną, dlatego mimo zwiększonej ilości obowiązków, jakie spadły na nas wraz z przygotowaniami do audytu certyfikującego, przeszliśmy gładko przez całą procedurę.

RI: Czy spełnienie międzynarodowych norm bezpieczeństwa zarządzania informacją było trudne? Czy wiązało się z wdrożeniem skomplikowanych procedur?

AH: Wiele z wymaganych procedur bezpieczeństwa stosowaliśmy już przed uzyskaniem ISO/IEC 27001, więc wdrożenie nie było dla nas szczególnie trudne. Całe doświadczenie okazało się być jednak bardzo wartościowe z punktu widzenia kultury organizacyjnej – robiliśmy już wiele rzeczy przed ISO, ale dopiero ujrzenie ich spisanych w formie wymagań uświadomiło nam w pełni dlaczego to robimy. Zdecydowanie na tym zyskaliśmy jako organizacja.

RI: A co w całym procesie ubiegania się o certyfikat było najtrudniejsze?

AH: Zapewne nie powinienem mówić o tym na głos, ale bądźmy transparentni – najtrudniejsza była formalna część, czyli stosy dokumentów czekających na wypełnienie. Niestety na tę czynność należy sobie zarezerwować kilka tygodni i pamiętać, że każda zmiana w firmie, choćby tak z pozoru drobna jak wymiana komputera, wymaga wypełnienia nie jednego dodatkowego dokumentu, a pełnego folderu dokumentów.

RI: Czego może spodziewać się firma starająca się o certyfikat ISO/IEC 27001? Czy mógłbyś opowiedzieć jak wygląda cały proces?

AH: Cóż, może zatem od początku. Tym co trzeba zrobić na samym starcie, to wnikliwe przestudiowanie wymogów zawartych w ISO/IEC 27001, a następnie przeanalizowanie pod ich kątem wszystkich dokumentów, jakie firma już posiada. Jeżeli znajdziemy braki lub niezgodności, musimy dostosować wewnętrzne polityki do międzynarodowej normy i przeedytować dokumenty lub stworzyć nowe. Następnym krokiem jest przeszkolenie wszystkich pracowników i całej kadry zarządzającej z polityk obowiązujących w normie ISO/IEC 27001. Wymaga to oczywiście wyznaczenia w firmie odpowiednich osób, które od A do Z staną się odpowiedzialne za projekt. Dopiero wtedy można zacząć wdrażać konieczne systemy bezpieczeństwa, przy czym muszą one “popracować” w naturalnym codziennym środowisku firmy minimum kilka miesięcy, a to czy rzeczywiście działają powinno zostać potwierdzone przez wewnętrzny audyt, co oznacza z kolei, że ktoś w firmie musi być certyfikowanym audytorem wewnętrznym lub uzyskać stosowane uprawnienia. Jeżeli mamy już za sobą stworzenie całej dokumentacji, szkolenia pracowników i w praktyce rzeczywiście stosujemy się do wskazanych norm, dopiero wtedy mamy zielone światło, by rozpocząć oficjalne starania o pozyskanie certyfikatu. Musimy wówczas wyszukać zewnętrzną jednostkę certyfikującą systemy zarządzania i być gotowym na niezależny audyt zewnętrzny. To dopiero po tej formalnej ocenie, firma otrzymuje certyfikat.

RI: Zdradzisz nam jakieś konkretne polityki, które określa standard zarządzania bezpieczeństwem informacji?

AH: Najważniejszym, co trzeba opracować to Księga Zintegrowanego Systemu Zarządzania, która definiuje cały zakres obowiązków jakie należy spełnić, by być zgodnym ze standardem ISO/IEC. To w niej zawiera się cały wykaz procedur, instrukcji, polityk, zasobów firmy i schematów odpowiedzialności kierownictwa. Dalej mamy m.in. Politykę Bezpieczeństwa Informacji, która definiuje zakres odpowiedzialności i obowiązków związanych z przetwarzaniem danych osobowych (np. obowiązki Administratora Bezpieczeństwa Informacji, Administratora Systemów Informatycznych, Pełnomocnika ds. Zarządzania Systemem Zintegrowanym oraz pozostałych pracowników firmy). To w niej opisane jest również, jakimi rodzajami danych zarządzamy jako firma, w jakich systemach są one przetwarzane czy jakich zbiorów danych jesteśmy administratorem. Z innych głównych polityk wymienić możemy np. Politykę Zarządzania Ciągłością Działania, która ma na celu zagwarantowanie stabilności pracy w  zakresie przetwarzania informacji. Zawarte muszą być w niej  m.in. scenariusze postępowania w razie cyberataku, awarii systemu, awarii zasilania, pożarów, kataklizmów, nieobecności kluczowych pracowników czy utraty ważnych dla firmy aktywów.

RI: A z polityk wynikają zapewne stosowane zabezpieczenia, szyfrowania i oprogramowania, o których już nam nie możesz opowiedzieć, prawda? Brzmi jak sporo przygotowań. Co sprawiło, że dotrwaliście do końca?

AH: Najwyższą wartością w branży informacji gospodarczej jest bezpieczeństwo, aktualność i kompletność danych. Dzięki wysokiej technologii, pozwalającej nam agregować i przetwarzać informacje w czasie rzeczywistym druga i trzecia potrzeba Klientów od zawsze jest przez nas spełniana. Pierwsza wartość dotycząca bezpieczeństwa, która blisko powiązana jest z inną istotną cechą jaką jest wiarygodność, musiała być jednak niezależnie zewnętrznie oceniona, by móc mówić, że spełniamy najwyższe międzynarodowe standardy. Wraz z rozwojem firmy, doszliśmy do wniosku, że same referencje od obecnych Klientów to za mało. Mierzmy wyżej i pokażmy, że firma technologiczna, to nie tylko synonim szybkich i nowoczesnych rozwiązań, ale i poważnego podejścia do bezpieczeństwa informacji biznesowych i gospodarczych.

RI: A z punktu widzenia Klienta? Jaka jest rzeczywista wartość ISO/IEC 27001 w biznesie?

AH: By wytłumaczyć najprościej wagę normy 27001 w obszarze informacji gospodarczej możemy przyrównać firmy dostarczające Business Information do mennic. Każda firma dostarcza na rynek informacje gospodarcze, czyli złoto. Te bardziej świadome firmy starają się zwiększyć bezpieczeństwo swoich Klientów i swoje własne zachowując szczególne środki ostrożności, takie jak ochrona konwoju lub dodatkowe zamykania na szyfry. ISO 27001 w tym porównaniu to oddział specjalny oraz gruby 15mm łańcuch z trzema kłódkami – jedną na szyfr, drugą na odcisk palca a trzecią na to, co akurat zjadłeś na śniadanie.

RI: Mamy jeszcze ostatnie pytanie na koniec, jak długo ważny jest certyfikat ISO/IEC 27001?

AH: Standardowo 3 lata, przy czym przynajmniej raz w roku jednostka certyfikująca przyjeżdża do firmy ponownie sprawdzając zarówno zgodność z normami ISO/IEC 27001 jak i to, czy rzeczywiście firma dąży do udoskonalania systemów. W przeciwieństwie do większości innych standardów, ten jest zatem wyjątkowy. Praca nie kończy się na samym jego uzyskaniu. Trzeba być jeszcze przygotowanym na to, by go utrzymać.