Zarządzanie bezpieczeństwem informacji
ITpedia
Jest to dziedzina z pogranicza informatyki, prawa, organizacji i zarządzania, zajmująca się definiowaniem aspektów bezpieczeństwa dla instytucji i jej systemów teleinformatycznych, jego osiąganiem i utrzymywaniem. Zarządzanie bezpieczeństwem jest procesem ciągłym, zachodzącym w stale zmieniającym się środowisku, przy występowaniu coraz to nowych form zagrożeń i szybkim postępie technologicznym.
Wraz z rozwojem systemów rozwija się też technologie zabezpieczeń, jednak same zabezpieczenia nie wystarczają – należy je jeszcze optymalnie dobierać, odpowiednio stosować – zgodnie z zasadami eksploatacji systemów przetwarzania – i wreszcie odpowiednio nimi zarządzać.
Z powodu bardzo wysokich kosztów zabezpieczenia muszą być dobierane stosownie do zagrożeń oraz do wartości szkód, które mogą zaistnieć w przypadku braku zabezpieczeń. Dobór taki powinien uwzględniać cele bezpieczeństwa dla instytucji i jej systemów, uwzględniające realizację misji instytucji w sytuacji występowania zagrożeń. Wdrożenie zabezpieczeń nie jest jednoznaczne z osiągnięciem zaplanowanego poziomu bezpieczeństwa.
Równie ważnymi zadaniami są:
- zdefiniowanie zasad bezpiecznego przetwarzania informacji,
- szkolenie i uświadamianie pracowników,
- monitorowanie stanu bezpieczeństwa,
- stałe doskonalenie i adaptacja systemów oraz organizacji do zmieniającego się otoczenia.
Bezpieczeństwo musi być rozpatrywane w aspekcie organizacyjnym, technicznym oraz prawnym. Dziedzina nauki i praktyki z pogranicza tych obszarów – zarządzanie bezpieczeństwem informacji – rozwiązuje problemy z zapewnieniem i utrzymaniem odpowiedniego poziomu bezpieczeństwa w różnego typu organizacjach. Wiąże się to z zapewnieniem gwarantowanego poziomu jakości informacji – informacje muszą być poprawne, dostępne tylko dla uprawnionych podmiotów, w odpowiednim czasie i tylko na odpowiednich stanowiskach w instytucji.
Zarządzanie bezpieczeństwem informacji wykształciło swoją terminologię, modele i metody działania. Kluczowym dla zarządzania bezpieczeństwem informacji jest Raport techniczny – ISO/IEC TR 13335, składający się z pięciu części.
Oprócz dokumentów ISO istnieje szereg zaleceń zawierających wytyczne w zakresie ochrony Internetu. Ponadto istnieje wiele standardów związanych z bezpieczeństwem teleinformatycznym, które pośrednio dotykają problematyki zarządzania bezpieczeństwem informacji. Do tej grupy należy zaliczyć przede wszystkim Wspólne kryteria do oceny zabezpieczeń teleinformatyki, które uzyskały status normy ISO (ISO/IEC 15408). Na uwagę zasługują także standardy FIPS, np. do oceny modułów kryptograficznych, standardy związane z infrastrukturą klucza publicznego, podpisem elektronicznym, zabezpieczeniami kryptograficznymi, kartami elektronicznymi i jeszcze z wieloma innymi zagadnieniami szczegółowymi dotyczącymi bezpieczeństwa.
