Jak opracować dokumentację SZBI?

cze 23, 2022

Ochrona informacji, ich poufność i bezpieczeństwo, to podstawa we współczesnych czasach. Niezwykle ważne jest, by odpowiednio zarządzać poufnymi danymi. Każdy podmiot, który wykonuje zadania publiczne, musi stworzyć strategię działania mającą na celu ochronę tych danych, czyli SZBI.

Czym jest dokumentacja SZBI? Co się na nią składa?

System Zarządzania Bezpieczeństwem Informacji to zbiór wszystkich regulaminów, procedur, wytycznych, instrukcji i działań, które mają na celu ochronę wszystkich zasobów informacyjnych w jednostce organizacyjnej. Zapewnienie bezpieczeństwa tych informacji jest regulowane prawnie, zgodnie z ustawą o ochronie danych osobowych, a za niespełnienie określonych wymagań można spotkać się z konsekwencjami takimi jak nakładanie kar czy zakończenie działalności.

Dla informacji najważniejsze są:

• poufność – czyli dostęp tylko dla osób uprawnionych;
• integralność – czyli dokładność i kompletność;
• dostępność – czyli udostępnianie osobom upoważnionym, zgodnie z określonymi potrzebami.

Dla usług najważniejsze są:

• dostępność,

• integralność,

• rozliczalność.

W zapewnieniu skutecznej ochrony danych poufnych należy dokonać analizy i oceny ryzyka, a następnie wdrożyć takie działania, które to ryzyko zminimalizują. W składzie SZBI muszą znaleźć się: polityka bezpieczeństwa danych osobowych (PBDO) i instrukcja zarządzania systemem informatycznym (IZSI), a podstawowym dokumentem jest tu Polityka Bezpieczeństwa Informacji (PBI). 

System Zarządzania Bezpieczeństwem Informacji powinien być zgodny z międzynarodową normą ISO 27001 – uznawanym na całym świecie standardem dotyczącym SZBI, zapewniającym zgodność z wymogami prawnymi takimi jak RODO, rozporządzenie KRI czy ustawa KSC. Uzyskanie certyfikatu to gwarancja bezpieczeństwa gromadzonych danych, znaczne zmniejszenie ryzyka związanego z ewentualnymi nieprawidłowościami oraz zwiększenie reputacji firmy i jej konkurencyjności na rynku. 

Aby go otrzymać, należy przejść przez audyt certyfikacyjny, polegający na zapoznaniu się z dokumentacją SZBI oraz kontroli funkcjonowania systemu w danej firmie. Jeśli wymagania zostaną spełnione, organizacja otrzymuje certyfikat, którego termin ważności wynosi 3 lata. SZBI nie obejmuje tylko ochrony danych osobowych, lecz również bezpieczeństwo osobowe, bezpieczeństwo fizyczne, bezpieczeństwo teleinformatyczne i bezpieczeństwo prawne.

Kogo dotyczy SZBI? 

Firmy, które są zobligowane do wprowadzenia Systemu Zarządzania Bezpieczeństwem Informacji, to m.in. podmioty publiczne, operatorzy usług kluczowych tacy jak przedsiębiorstwa energetyczne, naftowe, gazowe, służba zdrowia, sektor bankowy, dostawcy usług cyfrowych czy instytucje administracji rządowej i samorządowej.

Opracowanie Systemu Zarządzania Bezpieczeństwem Informacji

Decyzję dotyczącą ustanowienia SZBI podejmuje kierownictwo danej organizacji. Następnie należy opracować Program Implementacji SZBI, w ramach którego definiowane są takie elementy jak:

• procesy;
• procedury;
• polityki;
• instrukcje;
• wejścia/wyjścia;
• szkolenia;
• poradniki;
• źródła wiedzy;
• role.

System Zarządzania Bezpieczeństwem Informacji po dokonaniu implementacji powinien odzwierciedlać rzeczywiste procesy w organizacji oraz być uzupełniony o wytyczne zgodne z normą ISO 27001.

Kolejnym krokiem jest przeprowadzenie analizy ryzyka i opracowanie odpowiedniego planu postępowania z nim. Zanim organizacja przystąpi do certyfikacji, system SZBI powinien być w niej utrzymywany od co najmniej miesiąca lub dwóch. W tym czasie należy przeprowadzić odpowiednie szkolenia, wdrożyć wymagane zabezpieczenia dostosowane do planu zarządzania ryzykiem i wykonać przegląd systemu zarządzania. Zdefiniowany i dopracowany system można zgłosić do audytu certyfikującego.

Jak często należy aktualizować procedurę SZBI?

Organizacja, decydując się na wdrożenie Systemu Bezpieczeństwa Informacji, musi pamiętać o tym, że procedura ta wymaga ciągłego doskonalenia i ulepszania. Należy wyznaczyć odpowiednie osoby, zajmujące się tym zagadnieniem. Zdobycie certyfikatu ISO 27001, potwierdzającego, że SZBI jest zgodne z obowiązującym prawem, ma określony termin ważności, należy odnawiać go co 3 lata, upewniając się, że przez cały czas firma zapewnia odpowiednią ochronę zasobów informacyjnych.

Zanim firma zdecyduje się na wprowadzenie SZBI, musi zastanowić się, czy jest świadoma potrzeby bezpieczeństwa informacji, zdolna do przypisania odpowiedzialności za to bezpieczeństwo odpowiedniemu pracownikowi, angażować pracowników, szacować ryzyko w celu jak największego zminimalizowania go, wykrywać i zapobiegać incydentom związanym z bezpieczeństwem informacji, zapewnić wszechstronne podejście do zarządzania danymi, zachować ciągłość szacowania bezpieczeństwa i wprowadzania modyfikacji, jeśli jest to koniecznie. 

Należy zwrócić szczególną uwagę na problemy takie jak: brak odpowiednich, kompetentnych pracowników mogących pracować nad incydentami, zbieranie danych i ich archiwizowanie w sposób nieusystematyzowany oraz brak automatyzacji procesów analitycznych.