ISO 27035 – omówienie normy dotyczącej zarządzania incydentami bezpieczeństwa informacji
Incydenty związane z bezpieczeństwem informacji mogą poważnie zaszkodzić każdej firmie. Aby chronić zasoby informacyjne organizacje muszą podejmować szereg działań mających na celu zapobieganie i skuteczne zarządzanie incydentami. Z pomocą przychodzi międzynarodowy standard ISO 27035.
ISO 27035 (lub ISO/IEC 27035) to międzynarodowa, rozpoznawalna na całym świecie norma zawierająca najlepsze praktyki i wytyczne w zakresie wdrażania Systemu Zarządzania Incydentami Bezpieczeństwa Informacji. Standard omawia podstawowe zasady zawiązane z szybką identyfikacją, oceną i efektywnym reagowaniem na incydenty bezpieczeństwa. Ponadto norma przedstawia procesy zarządzania incydentami, zdarzeniami i potencjalnymi lukami w bezpieczeństwie informacji.
Przeczytaj również: Normy ISO w firmie: czym są? Wszystko o normach ISO, wdrażaniu i certyfikacjach
Norma ISO/IEC 27035 podzielona jest na trzy części, stanowiące oddzielne dokumenty. Zasady w nich zawarte mają zastosowanie do wszystkich organizacji, bez względu na rodzaj, wielkość czy branże, w której działają. Wytyczne można również zastosować do firm zewnętrznych, dostarczających usługi związane z zarządzaniem incydentami bezpieczeństwa informacji.
Omówmy pokrótce każdą z trzech części standardu.
ISO 27035-1, Część 1: Zasady zarządzania incydentami
ISO 27035-1 stanowi fundament dla dwóch kolejnych części normy. Przedstawia podstawowe koncepcje oraz fazy zarządzania incydentami związanymi z bezpieczeństwem informacji. W standardzie mowa również o niektórych aspektach analizy luk w zabezpieczeniach IT.
ISO/IEC 27035-1 nie jest kompleksowym przewodnikiem, ale odniesieniem do pewnych podstawowych zasad, których celem jest zapewnienie, że odpowiednio zidentyfikowane i dostosowane narzędzia, techniki i metody mogą być przydatne, gdy zajdzie taka potrzeba.
Standard jest uzupełnieniem innych norm i dokumentów, zawierających wytyczne dotyczące badania oraz przygotowania do zarządzania incydentami bezpieczeństwa informacji.
Pierwsza część dokumentu ma także na celu zdefiniowanie procesu informowania decydentów, którzy muszą określić wiarygodność przedstawianych im dowodów cyfrowych.
ISO 27035-2, Cześć 2: Wytyczne dotyczące planowania i przygotowania do reagowania na incydenty
Norma ISO/IEC 27035-2 zawiera wytyczne dotyczące planowania i przygotowania do reagowania na incydenty. Wytyczne oparte są na etapie „Planowanie i przygotowanie” oraz „Wdrażanie wyciągniętych wniosków” modelu „Fazy zarządzania incydentami bezpieczeństwa informacji” przedstawionego w pierwszej części ISO 27035.
Główne punkty fazy „Planowanie i przygotowanie” obejmują:
- politykę zarządzania zdarzeniami związanymi z bezpieczeństwem informacji i zaangażowanie najwyższego kierownictwa,
- polityki w zakresie bezpieczeństwa informacji, w tym polityki dotyczące zarządzania ryzykiem, aktualizowane zarówno na poziomie korporacyjnym jak i na poziomie systemu, usługi i sieci,
- plan zarządzania incydentami związanymi z bezpieczeństwem informacji,
- powołanie zespołu reagowania na incydenty (IRT),
- nawiązywanie relacji i powiązań z organizacjami wewnętrznymi oraz zewnętrznymi,
- wsparcie techniczne i inne (w tym wsparcie organizacyjne oraz operacyjne),
- odprawy i szkolenia uświadamiające w zakresie zarządzania incydentami związanymi z bezpieczeństwem informacji,
- testowanie planu zarządzania incydentami związanymi z bezpieczeństwem informacji.
ISO 27035-3, Część 3: Wytyczne dotyczące reagowania na incydenty w dziedzinie ICT
W trzeciej części normy ISO/IEC 27035 przedstawiono wytyczne dotyczące reagowania na incydenty w operacjach związanych z bezpieczeństwem teleinformatycznym. Zalecenia te dotyczą:
- wykrywania incydentów bezpieczeństwa informacji,
- raportowania,
- klasyfikacji,
- analizy,
- reagowania,
- powstrzymywania,
- eliminowania,
- odzyskiwania,
- wyciągania wniosków.
ISO/IEC 27035-3 nie dotyczy operacji reagowania na incydenty inne niż ICT, takie jak np. utrata dokumentów w formie papierowej. Dokument skupia się na fazie „Wykrywanie i raportowanie”, „Ocena i decyzje” oraz „Reagowanie” modelu „Fazy zarządzania incydentami bezpieczeństwa informacji” przedstawionego w pierwszej części standardu.
Korzyści z wdrożenia normy
Stosowanie ustrukturyzowanego podejścia do zarządzania incydentami związanymi z bezpieczeństwem informacji może przynieść znaczące korzyści, m.in.:
- poprawę ogólnego bezpieczeństwa informacji,
- zmniejszenie negatywnego wpływu na biznes,
- wzmocnienie koncentracji na zapobieganiu incydentom bezpieczeństwa informacji,
- doskonalenie zasad priorytetyzacji zdarzeń,
- wsparcie gromadzenia dowodów i dochodzenia,
- pomoc w uzasadnieniu i uproszczeniu alokacji budżetów oraz zasobów,
- ulepszenie aktualizacji wyników oceny ryzyka w zakresie bezpieczeństwa informacji i zarządzanie nim,
- dostarczenie materiałów szkoleniowych i zwiększenie świadomości w zakresie bezpieczeństwa informacji.
Przeczytaj również: Co to jest norma ISO 27001 i dlaczego jest tak ważna w biznesie?
Zasady zawarte w standardzie należy dostosować indywidulanie do organizacji
Wytyczne zawarte we normie ISO/IEC 27035 (i jej wszystkich częściach) są obszerne, a ich przyjęcie w całości mogłoby wymagać znacznych zasobów do obsługi i zarządzania. Dlatego ważne jest, aby firmy dostosowujące się do zaleceń standardu zachowały poczucie perspektywy i zapewniły, że zasoby stosowane do zarządzania incydentami bezpieczeństwa informacji oraz złożoność wdrożonych mechanizmów są proporcjonalne do następujących kwestii:
- wielkości, struktury i charakteru działalności gospodarczej organizacji, w tym kluczowych krytycznych aktywów, procesów oraz danych, które powinny być chronione,
- zakresu systemu zarządzania bezpieczeństwem informacji w odniesieniu do obsługi incydentów,
- potencjalnych ryzyk wynikających z incydentów,
- celów przedsiębiorstwa.
Organizacja korzystająca z ISO 27035 powinna zatem przyjąć jej wytyczne w sposób, który jest odpowiedni do skali i charakterystyki jej działalności.
Potrzebujesz wsparcia w zakresie wdrożenia w organizacji pełnego Systemu Zarządzania Bezpieczeństwem Informacji lub jego poszczególnych elementów? Sprawdź nasze usługi w tym zakresie lub napisz do nas [email protected]. Przygotujemy rozwiązanie dopasowane do potrzeb Twojej organizacji.
W ofercie naszych certyfikowanych szkoleń PECB posiadamy kurs PECB Certified ISO/IEC 27035 Lead Incident Manager – zapisz się, jeśli chcesz zdobyć specjalistyczną wiedzę.