Issuu on Google+

Dokument do publikacji

Polityki bezpieczeństwa informacji ATM S.A. System Zarządzania Bezpieczeństwem Informacji (Przegląd dokumentu PBI)

Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 1 z 18


Dokument do publikacji

Polityka Bezpieczeństwa Informacji

Tytuł

[D-PBI-P.002.00]

(Przegląd dokumentu PBI) Rodzaj dokumentu

Polityka

Utworzył

AW

Zatwierdził

Prezes Zarządu

Data utworzenia

25.06.2015

Data zatwierdzenia

22.07.2015

Wersja

2.0

Status

Dokument obowiązujący

Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 2 z 18


Dokument do publikacji

Spis treści Rozdział 1. Wprowadzenie ...................................................................................................................... 5 Rozdział 2. Zakres i powołania normatywne Polityki Bezpieczeństwa Informacji .................................. 5 2.1. Struktura dokumentu Polityki Bezpieczeństwa Informacji .......................................................... 6 Rozdział 3. Kontekst organizacji .............................................................................................................. 7 3.1. Zrozumienie organizacji i jej kontekstu ........................................................................................ 7 3.2. Zrozumienie potrzeb i oczekiwań stron zainteresowanych ......................................................... 7 3.3. Określenie zakresu systemu zarządzania bezpieczeństwem informacji ...................................... 7 3.4. System Zarządzania Bezpieczeństwem Informacji ....................................................................... 7 Rozdział 4. Przywództwo ......................................................................................................................... 8 4.1. Przywództwo i zaangażowanie ..................................................................................................... 8 4.2. Polityka ......................................................................................................................................... 8 4.4. Role, odpowiedzialność i uprawnienia ......................................................................................... 9 Rozdział 5. Planowanie .......................................................................................................................... 10 5.1. Szacowanie ryzyka w bezpieczeństwie informacji ..................................................................... 10 5.4. Postępowanie z ryzykiem w bezpieczeństwie informacji........................................................... 11 5.4. Cele bezpieczeństwa informacji i planowanie ich osiągnięcia ................................................... 11 5.5. Metodyka szacowania ryzyka i planu postępowania z ryzykiem ............................................... 12 Rozdział 6. Wsparcie.............................................................................................................................. 12 6.1. Zasoby......................................................................................................................................... 12 6.2. Kompetencje .............................................................................................................................. 12 6.3. Uświadamianie ........................................................................................................................... 12 6.4. Komunikacja ............................................................................................................................... 14 6.5. Udokumentowane informacje ................................................................................................... 14 6.5.1. Opracowywanie i aktualizowanie........................................................................................ 14 6.5.2. Nadzór nad udokumentowanymi informacjami ................................................................. 14 Rozdział 7. Działania operacyjne ........................................................................................................... 15 7.1. Planowanie i nadzór nad działaniami operacyjnymi .................................................................. 15 7.2. Szacowanie ryzyka w bezpieczeństwie informacji ..................................................................... 15 7.3. Postępowanie z ryzykiem w bezpieczeństwie informacji........................................................... 16 Rozdział 8. Ocena wyników ................................................................................................................... 16 8.1. Monitorowanie, pomiary, analiza i ocena .................................................................................. 16 8.2. Audyt wewnętrzny ..................................................................................................................... 16 Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 3 z 18


Dokument do publikacji

8.3. Przegląd zarządzania .................................................................................................................. 17 Rozdział 9. Doskonalenie ....................................................................................................................... 18 9.1. Niezgodność i działania korygujące ............................................................................................ 18 9.2. Ciągłe doskonalenie.................................................................................................................... 18 Rozdział 10. Podsumowanie .................................................................................................................. 18

Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 4 z 18


Dokument do publikacji

Rozdział 1. Wprowadzenie Celem dokumentu jest zaprezentowanie strategii działania ATM SA w zakresie bezpieczeństwa informacji uwzględniającej formułę organizacyjno-prawną firmy, jako operatora telekomunikacyjnego realizującego zadania pod marką ATMAN. Cele strategii działania biznesowego w zakresie bezpieczeństwa informacji realizowane są w zgodności z normą ISO/IEC 27001:2013 System zarządzania bezpieczeństwem informacji (SZBI). Polityki, procedury, instrukcje i zapisy realizowane w ramach SZBI wymagane przez uwarunkowania biznesowe, a w szczególności klientów ATMAN, oraz w zgodności z wymaganiami prawnymi, jak i normatywnymi we wszystkich obszarach bezpieczeństwa telekomunikacyjnego, teleinformatycznego, fizycznego i środowiska, zasobów ludzkich, ciągłości działania.

Rozdział 2. Zakres i powołania normatywne Polityki Bezpieczeństwa Informacji W niniejszej Polityce Bezpieczeństwa (PB) zostały określone wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w ATM S.A. zgodnie z ISO/lEC 27001:2013, z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb ATM S.A. (ATM) wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie informacji. ATM deklaruje realizację wymagań określonych w niniejszej normy dotyczących: •

Kontekstu organizacji - określenie czynników zewnętrznych i wewnętrznych istotnych dla celu działania ATM oraz takich, które wpływają na zdolność do osiągnięcia

zamierzonych

wyników

działania

systemu

zarządzania

bezpieczeństwem informacji SZBI. •

Przywództwa

Planowania

Wsparcia

Działań operacyjnych

Oceny wyników

Doskonalenia

Podstawą wytycznych zawartych w niniejszej PBI są następujące dokumenty normatywne: Podstawowe: •

ISO/lEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements - wydanie polskie PN-ISO/IEC

Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 5 z 18


Dokument do publikacji

27001:2014 Technika informatyczna - Techniki bezpieczeństwa -

Systemy

zarządzania bezpieczeństwem informacji – Wymagania •

PN-ISO/IEC 27002:2014 Technika informatyczna - Techniki bezpieczeństwa Praktyczne zasady zabezpieczania informacji.

Zarządzanie ryzykiem i postępowanie z ryzykiem: •

PN-ISO 31000: 2012 Zarządzanie ryzykiem - Zasady i wytyczne.

PN-ISO/IEC 27005:2010 Technika informatyczna - Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji.

Audytowanie: •

PN-EN ISO 19011:2003 Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego oraz normy techniczne z zakresu bezpieczeństwa fizycznego i środowiska czy ciągłości działania.

2.1. Struktura dokumentu Polityki Bezpieczeństwa Informacji Dokument Polityki Bezpieczeństwa Informacji składa się z dwóch zasadniczych części tj.: Część 1. Wytyczne wymagań normatywnych wg ISO/IEC 27001:2013 Część 1 zawiera ogólne wytyczne normatywne zgodne

z ISO/IEC 27001:2013 do

stosowania w SZBI. Opisane są tutaj wymagania dotyczące funkcjonowania SZBI w aspekcie wymagań normatywnych. Cześć 2. Załączniki do wytycznych Polityki Bezpieczeństwa Informacji Ta część zawiera załączniki PBI tj. schematy, procedury Część 3. Polityki Bezpieczeństwa Informacji Ta część zawiera załączniki PBI wraz opisami szczegółowymi podstawowych obszarów funkcjonowania SZBI tj.: •

Politykę zarządzania zasobami ludzkimi

Politykę bezpieczeństwa fizycznego i środowiskowego

Politykę bezpieczeństwa teleinformatycznego i telekomunikacyjne

Politykę ciągłości działania bezpieczeństwa informacji

Politykę zgodności z prawem i normami

Opisane wyżej dokumenty (polityki) rozwijają szczegółowo poszczególne zagadnienia i podlegają aktualizacji zależnie od zmieniającego się kontekstu i otoczenia biznesowego funkcjonowania procesu SZBI.

Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 6 z 18


Dokument do publikacji

Rozdział 3. Kontekst organizacji 3.1. Zrozumienie organizacji i jej kontekstu Jednym z istotnych działań w ATM jest określenie czynników zewnętrznych i wewnętrznych istotnych dla celu działania firmy i takich, które wpływają na zdolność ATM

do

osiągnięcia

zamierzonych

wyników

działania

systemu

zarządzania

bezpieczeństwem informacji. Kontekst zewnętrzny obejmuje ogólne powiązania organizacji z otoczeniem w sensie prawnym i regulacjami, zobowiązań zawartych w umowach z klientami i innymi aspektami specyficznymi związanymi z szacowaniem ryzyka dla zakresu procesu zarządzania ryzykiem. Kontekst wewnętrzny obejmuje środowisko wewnętrzne, w którym ATM realizuje swoje cele biznesowe i obejmuje aspekty organizacyjne i prawne funkcjonowania firmy tj. ład i strukturę organizacyjną; polityki i procedury opisujących realizację procesów; zasoby ludzkie i jego kompetencje (wiedza); poziom kultury organizacyjnej; świadomość pracowników (w tym w

zakresie bezpieczeństwa); przepływy informacji (formy

komunikacji) przyjęte normy; wytyczne i modele postępowania; stosowane technologie niezbędne przy realizacji celów biznesowych oraz relacje z podwykonawcami i innymi stronami wewnątrz organizacji.

3.2. Zrozumienie potrzeb i oczekiwań stron zainteresowanych ATM

określiła

strony

zainteresowane,

istotne

dla

systemu

zarządzania

bezpieczeństwem informacji oraz wymagania tych stron zainteresowanych, istotne dla bezpieczeństwa informacji. Wymagania stron zainteresowanych mogą obejmują wymagania prawne i wymagania regulacyjne oraz zobowiązania wynikające z umów. W ramach doskonalenia działania systemu SZBI, jest dokonywany przegląd co do stron zainteresowanych dotyczący ich oczekiwań.

3.3. Określenie zakresu systemu zarządzania bezpieczeństwem informacji ATM określił granice i możliwości zastosowania systemu zarządzania bezpieczeństwem informacji w celu ustanowienia jego zakresu. Przy określaniu zakresu uwzględnione zostały czynniki zewnętrzne i wewnętrzne dotyczące wymagania kontekstu działań biznesowych ATM oraz zapisów zawartych w rozdziale 3.1. normy ISO 27001:2013.

3.4. System Zarządzania Bezpieczeństwem Informacji Firma ATM ustanowiła, wdrożył, utrzymuje i ciągle doskonali System Zarządzania Bezpieczeństwem Informacji, zgodnie z wymaganiami normy ISO/IEC 27001:2013.

Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 7 z 18


Dokument do publikacji

Rozdział 4. Przywództwo 4.1. Przywództwo i zaangażowanie Najwyższe Kierownictwo ATM wykazuje przywództwo i zaangażowanie w odniesieniu do Systemu Zarządzania Bezpieczeństwem Informacji poprzez: •

zapewnienie, że polityka bezpieczeństwa informacji oraz cele bezpieczeństwa informacji są ustanowione i zgodne z kierunkiem strategicznym organizacji;

zapewnienie zintegrowania wymagań systemu zarządzania bezpieczeństwem informacji z procesami organizacji;

zapewnienie dostępności zasobów potrzebnych w systemie zarządzania bezpieczeństwem informacji;

komunikowanie znaczenia skutecznego zarządzania bezpieczeństwem informacji i zgodności z wymaganiami systemu zarządzania bezpieczeństwem informacji;

zapewnienie, że system SZBI osiąga zamierzone wyniki;

kierowanie i wspieranie osób przyczyniających się do osiągnięcia skuteczności systemu zarządzania bezpieczeństwem informacji;

promowanie ciągłego doskonalenia;

wspieranie

innych

właściwych

członków

kierownictwa

w

wykazywaniu

przywództwa odpowiednio do obszarów ich odpowiedzialności. Potwierdzeniem opisanych wyżej aspektów zaangażowania Najwyższego Kierownictwa ATM są deklaracje zawarte w dokumencie deklaracji ustanowienia PBI.

4.2. Polityka Polityka bezpieczeństwa informacji powinna zostać zatwierdzona przez kierownictwo, opublikowana i zakomunikowana pracownikom ATM i właściwym zainteresowanym stronom zewnętrznym, w tym: a. podwykonawcom b. klientom c. zainteresowanym władzom. Wskazówki dotyczące wdrożenia Polityki bezpieczeństwa informacji ATM uwzględnia wymagania wywodzące się: a) ze strategii działań biznesowych; d) z regulacji, przepisów prawnych i zapisów umów; e) z bieżącego i przewidywanego środowiska, w którym występują zagrożenia dla bezpieczeństwa informacji. Zaleca się, aby polityka bezpieczeństwa informacji zawierała odwoływała się do następujących zagadnień: a) definicję bezpieczeństwa informacji, celów i zasad kierowania wszystkimi działaniami związanymi z bezpieczeństwem informacji; Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 8 z 18


Dokument do publikacji

b) wyznaczoną ogólną i szczegółową odpowiedzialność w zakresie zarządzania bezpieczeństwem informacji przypisaną do określonych stanowisk; c) procesy obsługi odstępstw i wyjątków. Na niższym poziomie politykę bezpieczeństwa informacji wspierają inne dokumenty tj. polityki tematyczne (wybrane obszary), procedury, instrukcje stanowiskowe i zapisy. Szczegółowe pod polityki, procedury oraz instrukcje dotyczące różnych obszarów zawierają wytyczne dotyczące min.: •

zarządzania zasobami ludzki;

bezpieczeństwa teleinformatycznego i telekomunikacyjnego;

bezpieczeństwa fizycznego i środowiskowego;

ciągłości działania;

zgodności z prawem.

oraz przykładowe obszary związane z użytkownikiem końcowym, takie jak: •

akceptowane wykorzystanie aktywów;

polityka czystego biurka i czystego ekranu;

przekazywanie informacji;

urządzenia mobilne i telepraca;

ograniczenia dotyczące instalacji i stosowania oprogramowania;

kopie zapasowe;

przekazywanie informacji;

ochrona przed szkodliwym oprogramowaniem;

zarządzanie podatnościami technicznymi;

zabezpieczenia kryptograficzne;

bezpieczeństwo komunikacji;

ochrona prywatności i informacji identyfikujących osoby;

relacja z dostawcami.

4.4. Role, odpowiedzialność i uprawnienia W systemie SZBI jest określona

przypisana odpowiedzialność za bezpieczeństwo

informacji w każdej wszystkim pracownikom w komórce organizacyjnej zgodnie z aktualnym schematem organizacyjnym. Przypisanie odpowiedzialności za bezpieczeństwo informacji jest zgodne z pełnioną funkcją wg aktualnego schematu organizacyjnego SZBI. Odpowiedzialność za ochronę poszczególnych aktywów i realizację określonych procesów bezpieczeństwa informacji została zdefiniowana i odnosi się do Właścicieli procesów i zasobów w poszczególnych działach struktury SZBI. Określone są obowiązki w zakresie działań zarządzania ryzykiem w bezpieczeństwie informacji i w szczególności w zakresie akceptacji ryzyka rezydualnego. Określone są szczegółowe obowiązki dotyczące stanowisk realizujących bezpośrednie zadania w procesie bezpieczeństwa informacji. Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 9 z 18


Dokument do publikacji

Właściciele

procesów

i

zasobów,

którym

przypisano

odpowiedzialność

za

bezpieczeństwo, mogą przekazywać zadania związane z bezpieczeństwem pracownikom swoich pionów organizacyjnych. Jednak pozostają one odpowiedzialne i zaleca się, aby weryfikowały, czy wszystkie delegowane zadania są wykonywane poprawnie. Zaleca się określenie obszarów, za które te osoby są odpowiedzialne, w szczególności zaleca się, aby: •

aktywa i procesy bezpieczeństwa informacji były zidentyfikowane i określone;

dla każdego aktywu lub procesu bezpieczeństwa informacji był wyznaczony podmiot za nie odpowiedzialny oraz aby szczegóły tej odpowiedzialności były udokumentowane;

poziomy uprawnień były określone i udokumentowane;

mianowane osoby były osobami kompetentnymi i miały możliwość śledzenia na bieżąco postępów w tej dziedzinie wiedzy, aby były w stanie spełnić obowiązki z zakresu bezpieczeństwa informacji;

koordynacja i nadzór nad aspektami bezpieczeństwa informacji w relacjach z dostawcami były zidentyfikowane i udokumentowane.

Rozdział 5. Planowanie 5.1. Szacowanie ryzyka w bezpieczeństwie informacji Planując system zarządzania bezpieczeństwem informacji SZBI firma ATM wyznaczyła następujące cele: a) zapewnienia, że system zarządzania bezpieczeństwem informacji powinien osiągnąć zamierzone

wyniki

w

zakresie

biznesowym,

w

tym

spełnienia

oczekiwań

zainteresowanych stron zewnętrznych i wewnętrznych; b) zapobieżenia wystąpieniu niepożądanych skutków i ich zredukowania; c) ciągłego doskonalenia SZBI. ATM przygotowała plany odnoszące się do: a) działań w przypadku występowania określonych ryzyk i szans; b) sposobu: 1) ich zintegrowania i wdrożenia w procesach składających się na system zarządzania bezpieczeństwem informacji; 2) oceny ich skuteczności i oceny. 3) identyfikacji właścicieli ryzyka; d) analizy poszczególnych ryzyk dotyczących bezpieczeństwie informacji tj.: 1) szacuje potencjalne następstwa zmaterializowania się ryzyk mogących przyczynić się do utraty poufności, integralności i dostępności informacji; 2) realistycznie szacuje prawdopodobieństwo wystąpienia ryzyk mogących przyczynić się do utraty poufności, integralności i dostępności informacji; Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 10 z 18


Dokument do publikacji

3) określenia poziomów ryzyka; e) oceny ryzyka w bezpieczeństwie informacji tj. porównania wyników analizy ryzyka z kryteriami określonymi przy akceptacji ryzyka oraz priorytetów dla celów postępowania z ryzykiem.

5.4. Postępowanie z ryzykiem w bezpieczeństwie informacji ATM opracował i wdrożył proces postępowania z ryzykiem w bezpieczeństwie informacji, którego celem jest: a) wybór odpowiednich opcji postępowania z ryzykiem w bezpieczeństwie informacji, z uwzględnieniem wyników szacowania ryzyka; b) określenie wszystkich zabezpieczeń niezbędnych do wdrożenia wybranych opcji postępowania z ryzykiem w bezpieczeństwie informacji; c) porównanie zabezpieczeń określonych w Załączniku A normy ISO/IEC 27001:2013 oraz sprawdzenia, czy żadne wymagane zabezpieczenia nie zostały pominięte; d) opracowanie Deklaracji Stosowania zawierającej wykaz niezbędnych zabezpieczeń oraz uzasadnienie ich wyboru, niezależnie od tego czy są one wdrożone czy nie, a także uzasadnienie pominięcia zabezpieczeń z Załącznika A; e) sformułowanie planu postępowania z ryzykiem w bezpieczeństwie informacji; f)

uzyskanie

zgody

właścicieli

ryzyka

na

plan

postępowania

z

ryzykiem

w

bezpieczeństwie informacji oraz ich akceptacji dla rezydualnych ryzyk w bezpieczeństwie informacji. ATM

może

zależnie

od

wyników

szacowania

ryzyka

zaprojektować

własne

zabezpieczenia odpowiednie dla swoich potrzeb lub wybrać je z dowolnego źródła oraz może także je uzupełnić. Proces postępowania z ryzykiem w bezpieczeństwie informacji jest udokumentowany i podlega aktualizacji. Poniżej załączono schemat wariantów w postępowaniu z ryzykiem wg ISO/IEC 27005, który został zastosowany w metodyce SZBI.

5.4. Cele bezpieczeństwa informacji i planowanie ich osiągnięcia W PBI powinny zostać ustanowione cele bezpieczeństwa informacji dla odpowiednich funkcji i szczebli w strukturze SZBI. Cele bezpieczeństwa informacji powinny: a) być spójne z polityką bezpieczeństwa informacji; b) być mierzalne (jeżeli jest to wykonalne); c) uwzględniać mające zastosowanie wymagania bezpieczeństwa informacji, wyniki szacowania ryzyka i postępowania z ryzykiem; d) zostać zakomunikowane; e) być aktualizowane, jeśli jest to właściwe. ATM planując, jak osiągnąć cele bezpieczeństwa informacji, określił: a) co ma być zrobione; Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 11 z 18


Dokument do publikacji

b) jakie zasoby będą wymagane; c) kto będzie odpowiedzialny; d) kiedy będzie to zakończone; e) jak będą oceniane wyniki.

5.5. Metodyka szacowania ryzyka i planu postępowania z ryzykiem Kluczowym

składnikiem

Systemu

Zarządzania

Bezpieczeństwem

Informacji

jest

szacowanie ryzyka i wynikający z niego plan postępowania z ryzykiem. W ATM opracowano i wdrożono metodykę procesu szacowania ryzyka i planu postępowania z ryzykiem uwzględniającym wymagania normy ISO 31000 oraz ISO/IEC 27005.

Rozdział 6. Wsparcie 6.1. Zasoby ATM określiła i zapewniła zasoby potrzebne do ustanowienia, wdrożenia, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji.

6.2. Kompetencje ATM podjęła następujące działania dla zapewnienia kompetencji: •

określiła niezbędne kompetencje osób wykonujących pod jej nadzorem pracę mającą wpływ na wyniki dotyczące bezpieczeństwa informacji;

zapewniła, aby te osoby były kompetentne, dzięki odpowiedniemu wykształceniu, szkoleniu lub doświadczeniu;

podjęła działania tam, gdzie ma to zastosowanie, w celu uzyskania niezbędnych kompetencji i ocenić skuteczność podjętych działań; oraz

zachowała odpowiednie udokumentowane informacje jako dowód kompetencji.

6.3. Uświadamianie Uświadomienie w zakresie bezpieczeństwa informacji jest jednym z głównych celów realizacji polityki bezpieczeństwa informacji w ATM. Zgodnie ze strategią działania zaleca się, aby wszyscy pracownicy ATM oraz w stosownych wypadkach, kontrahenci/podwykonawcy przechodzili stosowne szkolenie uświadamiające oraz regularnie otrzymywali aktualizacje polityk i procedur związanych z ich stanowiskiem pracy. Realizowane są główne zalecenia obejmują następujące działania: 1. Zaleca się, aby celem programu uświadamiania w zakresie bezpieczeństwa informacji było budowanie świadomości pracowników i w stosownych przypadkach kontrahentów w kwestii ich obowiązków w zakresie bezpieczeństwa informacji i środków realizacji tych obowiązków.

Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 12 z 18


Dokument do publikacji

2. Zaleca się, aby program uświadamiania w zakresie bezpieczeństwa informacji ustanowiono zgodnie z polityką bezpieczeństwa informacji organizacji i odpowiednimi procedurami, uwzględniając

potrzebę

ochrony informacji w organizacji

oraz

zabezpieczenia wdrożone w celu ochrony tych informacji. Zaleca się, aby program uświadamiania zawierał szereg działań podnoszących świadomość, takich jak kampanie (np. "dzień bezpieczeństwa informacji") i wydawanie broszur lub biuletynów. 3. Zaleca się, aby program uświadamiania był planowany z uwzględnieniem ról pracowników w organizacji i, w stosownych przypadkach, oczekiwań organizacji dotyczących świadomości kontrahentów. 4. Zaleca się, aby działania w programie uświadamiania były zaplanowane w czasie, raczej regularne, tak żeby czynności były powtarzane i dotyczyły nowych pracowników i kontrahentów. 5. Zaleca się, aby program uświadamiania był regularnie aktualizowany, tak by był zgodny

z

polityką

oraz

procedurami

organizacji

oraz

aby

był

oparty

na

doświadczeniach wynikających z incydentów bezpieczeństwa informacji. 6. Zaleca się, aby szkolenie w ramach uświadamiania było prowadzone zgodnie z programem uświadamiania w zakresie bezpieczeństwa informacji w organizacji. Szkolenia te mogą być realizowane w różny sposób: tradycyjnie, zdalnie, przez sieć (webowy), samodzielnie i w inny sposób. 7. Zaleca się, aby kształcenie i szkolenia w zakresie bezpieczeństwa informacji obejmowały również ogólne aspekty, takie jak: a)

deklarację zaangażowania kierownictwa w bezpieczeństwo informacji w całej

organizacji; b)

potrzebę zapoznania się i przestrzegania stosownych zasad bezpieczeństwa

informacji oraz obowiązków określonych w politykach, normach, przepisach prawnych, regulacjach, umowach i porozumieniach; c)

osobistą odpowiedzialność pracowników za ich działania i zaniechania oraz

ogólne obowiązki w kwestii zabezpieczenia lub ochrony informacji należących do organizacji i podmiotów zewnętrznych; d)

podstawowe procedury bezpieczeństwa informacji (takie, jak raportowanie

incydentów

związanych

z

bezpieczeństwem

informacji)

oraz

podstawowe

zabezpieczenia (takie, jak bezpieczeństwo haseł, zabezpieczenia przed szkodliwym oprogramowaniem i czyste biurka); e)

punkty kontaktowe i środki do uzyskania dodatkowych informacji i porad w

sprawach związanych z bezpieczeństwem informacji, w tym dalsze kształcenie w zakresie bezpieczeństwa informacji i materiały szkoleniowe. 8. Zaleca się, aby kształcenie i szkolenia w zakresie bezpieczeństwa informacji odbywały się cyklicznie. Zaleca się, aby wstępne kształcenie i szkolenie dotyczyło nie tylko nowych pracowników, ale również tych, którzy przenoszą się na nowe stanowiska lub będą pełnić nowe role, gdzie będą ich dotyczyć inne wymagania Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 13 z 18


Dokument do publikacji

związane z bezpieczeństwem informacji. Zaleca się, aby miało to miejsce przed powołaniem do pełnienia nowych ról. 9. Zaleca się, aby organizacja opracowała program kształcenia i szkoleń po to, by kształcenie i szkolenia były skuteczne. Zaleca się, aby ten program był zgodny z polityką bezpieczeństwa informacji przyjętą w organizacji i odpowiednimi procedurami, z uwzględnieniem potrzeb ochrony informacji oraz zabezpieczeń wdrożonych dla ochrony tych informacji. 10. Zaleca się, aby program przewidywał różne formy kształcenia i szkoleń, np. wykłady lub samodzielną naukę.

6.4. Komunikacja ATM określiła potrzeby w zakresie komunikacji wewnętrznej i zewnętrznej dotyczącej systemu zarządzania bezpieczeństwem informacji, w tym: a) co ma być komunikowane; b) kiedy ma być komunikowane; c) z kim należy się komunikować; d) kto powinien się komunikować oraz procesy, w ramach których komunikowanie powinno się odbywać.

6.5. Udokumentowane informacje System zarządzania bezpieczeństwem informacji ATM zawiera: a) udokumentowane informacje wymagane przez normę ISO/IEC 27001:2013; b) udokumentowane informacje, określone przez organizację jako niezbędne dla skuteczności systemu SZBI. Zakres udokumentowanych informacji w systemie zarządzania bezpieczeństwem informacji powinien uwzględniać: a) wielkość organizacji i rodzaj jej działań, procesów, wyrobów i usług; b) złożoność procesów i oddziaływań między nimi; c) kompetencje i doświadczenie zawodowe osób. Poniżej załączono rekomendowane typy dokumentacji oraz ich hierarchię stosowane w SZBI.

6.5.1. Opracowywanie i aktualizowanie Opracowując i aktualizując udokumentowane informacje w ATM należy zapewnić: •

odpowiednią identyfikację i opis (np. tytuł, data, autor lub numer referencyjny);

właściwy format (np. język, wersję oprogramowania, grafikę) i nośnik (np. papierowy, elektroniczny);

przegląd i zatwierdzenie pod kątem przydatności i adekwatności.

6.5.2. Nadzór nad udokumentowanymi informacjami Udokumentowane informacje wymagane przez System Zarządzania Bezpieczeństwem Informacji (SZBI) ATM powinny być nadzorowane, aby zapewnić, że: Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 14 z 18


Dokument do publikacji

są one dostępne i nadają się do zastosowania, tam, gdzie są potrzebne i wtedy, gdy są potrzebne;

są odpowiednio chronione (np. przed utratą poufności, niewłaściwym użyciem, lub utratą integralności).

W celu nadzoru nad udokumentowanymi informacjami powinno uwzględnić następujące wszystkie cykle obiegu dokumentacji w tym m.in.: dystrybucję, dostęp, wyszukiwanie i wykorzystywanie; •

przechowywanie

i

zabezpieczanie,

łącznie

z

zapewnieniem

czytelności;

nadzorowanie zmian (np. kontrola wersji); •

zachowywanie i likwidację.

Udokumentowane informacje pochodzące spoza organizacji, uznane przez nią za niezbędne

do

planowania

i

operacyjnego

działania

systemu

zarządzania

bezpieczeństwem informacji powinny być odpowiednio oznaczone i nadzorowane. Należy uwzględnić, że dostęp oznacza decyzję dotyczącą zezwolenia tylko na wgląd do udokumentowanych informacji lub zezwolenia i uprawnienia do wglądu i zmiany udokumentowanych informacji, itp. Każdorazowo dostęp do informacji powinien być odnotowany, a w przypadkach uzasadnionych pisemnie potwierdzony z adnotacją o odpowiedzialności za ujawnienie informacji osobom nieuprawnionym. Przykładowy wygląd ramki dokumentu uwzględniającymi aktualizację i nadzór nad zmianami zawarty jest na początku niniejszej dokumentacji.

Rozdział 7. Działania operacyjne 7.1. Planowanie i nadzór nad działaniami operacyjnymi Działania firmy ATM obejmują planowanie, wdrożenie i nadzorowanie procesów koniecznych do spełnienia wymagań dotyczących bezpieczeństwa informacji oraz wdrożyć działania określone w planie postępowania z ryzykiem. Wszystkie działania tak są prowadzone, aby udokumentowane informacje pozwalały na uzyskanie zaufania, że procesy zostały zrealizowane tak jak planowano. Zaleca się, aby nadzorować zaplanowane zmiany i poddawać przeglądom następstwa niezamierzonych zmian, podejmując działania celem

zmniejszenia jakichkolwiek

niekorzystnych efektów, jeśli jest to niezbędne. Działania w zakresie SZBI powinny zapewnić określenie i nadzorowanie procesów zleconych na zewnątrz stronom trzecim np. podwykonawcom.

7.2. Szacowanie ryzyka w bezpieczeństwie informacji Zaleca się, aby w ATM szacowanie ryzyka w bezpieczeństwie informacji odbywało się w zaplanowanych odstępach czasu lub wtedy, gdy proponowane jest wprowadzenie istotnych zmian, a także wtedy, gdy wystąpią istotne zmiany np. w prawie, umowach z Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 15 z 18


Dokument do publikacji

klientami, z uwzględnieniem kryteriów akceptacji ryzyka i kryteriów postępowania z ryzykiem. ATM zachowuje udokumentowane informacje o wynikach szacowania ryzyka w bezpieczeństwie informacji.

7.3. Postępowanie z ryzykiem w bezpieczeństwie informacji ATM wdraża plan postępowania z ryzykiem w bezpieczeństwie informacji oraz a zachowuje udokumentowane informacje na temat wyników postępowania z ryzykiem w bezpieczeństwie informacji. Powyższe zasady są uwzględnione w metodyce szacowania ryzyka i postępowania z ryzykiem.

Rozdział 8. Ocena wyników 8.1. Monitorowanie, pomiary, analiza i ocena W ramach SZBI dokonywana jest ocena wyników działań na rzecz bezpieczeństwa informacji oraz skuteczność systemu zarządzania bezpieczeństwem informacji SZBI. W tym celu należy: •

określić co należy monitorować i mierzyć, włączając w to procesy związane z bezpieczeństwem informacji i zabezpieczenia;

określić metody monitorowania, pomiaru, analizy i oceny, stosownie do potrzeb, w celu zapewnienia poprawności wyników;

sprawdzić poprawność wybranych metod tak, aby wyniki były porównywalne i powtarzalne.

określić kiedy należy monitorować i wykonywać pomiary;

wskazać kto powinien monitorować i wykonywać pomiary;

określić kiedy należy analizować i oceniać wyniki monitorowania i pomiarów;

wskazać kto powinien analizować i oceniać te wyniki.

W systemie SZBI należy zachować odpowiednie udokumentowane informacje, jako dowód wyników monitorowania i pomiarów.

8.2. Audyt wewnętrzny W ramach systemu SZBI przeprowadzane są audyty wewnętrzne w zaplanowanych odstępach czasu, w celu dostarczenia informacji o tym, czy system zarządzania bezpieczeństwem informacji: •

jest zgodny z własnymi wymaganiami organizacji dotyczącymi systemu zarządzania bezpieczeństwem informacji oraz wymaganiami niniejszej Normy Międzynarodowej;

jest skutecznie wdrożony i utrzymywany.

Założenia do prawidłowego funkcjonowanie systemu SZBI powinno uwzględniać: Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 16 z 18


Dokument do publikacji

planowanie, ustanowić, wdrożyć i utrzymywać programów audytów, w tym częstość audytów, metody, odpowiedzialność, wymagania dotyczące planowania oraz raportowania. Programy audytów powinny uwzględniać znaczenie procesów objętych audytem oraz wyniki poprzednich audytów;

zdefiniować kryteria audytu i zakres każdego audytu;

wybierać audytorów i prowadzić audyty w sposób zapewniający obiektywność i bezstronność procesu audytu;

zapewnić przedstawianie wyników audytów właściwym członkom SZBI oraz najwyższego kierownictwa;

zachować

udokumentowane

informacje

jako

dowód

realizacji

programu

(programów) audytów i wyników audytów.

8.3. Przegląd zarządzania Najwyższe kierownictwo (może wyznaczyć pełnomocnika SZBI) powinno przeprowadzać przegląd

systemu

zarządzania

bezpieczeństwem

informacji

w

organizacji

w

zaplanowanych odstępach czasu, w celu zapewnienia jego stałej przydatności, adekwatności i skuteczności. Przegląd zarządzania powinien uwzględniać: •

stan działań podjętych w następstwie wcześniejszych przeglądów zarządzania;

zmiany czynników zewnętrznych i wewnętrznych, istotnych dla systemu zarządzania bezpieczeństwem informacji;

informacje zwrotne o wynikach działań na rzecz bezpieczeństwa informacji, w tym trendach w zakresie:

niezgodności i działań korygujących;

wyników monitorowania i pomiarów;

wyników audytów;

spełniania celów bezpieczeństwa informacji.

informacje zwrotne od stron zainteresowanych;

wyniki szacowania ryzyka i stan planów postępowania z ryzykiem;

możliwości ciągłego doskonalenia.

Dane wyjściowe z przeglądu zarządzania powinny zawierać decyzje związane z możliwościami ciągłego doskonalenia i potrzebami dotyczącymi zmian w systemie zarządzania bezpieczeństwem informacji. W systemie SZBI powinny być

zachowane udokumentowane informacje jako dowód

wyników przeglądów zarządzania.

Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 17 z 18


Dokument do publikacji

Rozdział 9. Doskonalenie 9.1. Niezgodność i działania korygujące W sytuacji gdy wystąpi niezgodność, w SZBI należy podjąć następujące działania: a) zareagować na niezgodność tj.: •

podjąć działania mające na celu objęcie jej nadzorem i skorygowanie;

zająć się następstwami;

ocenić potrzebę działań eliminujących przyczyny niezgodności, celem uniknięcia jej ponownego wystąpienia w tym samym lub innym miejscu, poprzez:

1) dokonanie przeglądu niezgodności; 2) ustalenie przyczyn niezgodności; 3) ustalenie czy występują lub czy mogłyby wystąpić podobne niezgodności; 4) wdrożyć wszelkie niezbędne działania; b) dokonać przeglądu skuteczności podjętych działań korygujących; c) wprowadzić zmiany w systemie zarządzania bezpieczeństwem informacji, jeśli są konieczne. Działania korygujące powinny być dostosowane do skutków stwierdzonych niezgodności. Organizacja powinna zachować udokumentowane informacje jako dowód: •

charakteru niezgodności i wszelkich podjętych w ich następstwie działań;

wyników działań korygujących. Poniżej załączono schemat procesu działań korygujących

9.2. Ciągłe doskonalenie Organizacja powinna ciągle doskonalić przydatność, adekwatność i skuteczność systemu zarządzania bezpieczeństwem informacji.

Rozdział 10. Podsumowanie Celem dokumentu jest zaprezentowanie strategii działania ATM SA w zakresie bezpieczeństwa informacji uwzględniającej formułę organizacyjno-prawną firmy, jako operatora telekomunikacyjnego realizującego zadania pod marką ATMAN oraz zapewnienie zainteresowanych stron o dołożeniu wszelkich starań ATM SA dla zapewnienia najwyższej jakości usług w zakresie bezpieczeństwa informacji. Tezy zawarte w niniejszym dokumencie są rozwinięte w dokumencie podstawowym PBI i stanowią tajemnicę przedsiębiorstwa.

Tytuł: Polityka Bezpieczeństwa Informacji (Przegląd dokumentu) v.2.0 Właściciel dokumentu: AW Polityka Bezpieczeństwa Informacji Egzemplarz wydrukowany dokumentu nie jest nadzorowany i nie może być podstawą podejmowania działań.

strona 18 z 18


PBI ATM SA wyd 2015-08-21 skrot