Usługi
Usługiarrow Bezpieczeństwo organizacyjne
Bezpieczeństwo organizacyjne

Zapewnij bezpieczeństwo organizacji. Zapewnij bezpieczeństwo informacji i ciągłość działania w perspektywie fizycznej, osobowej i teleinformatycznej. Zapewnij zgodność z wymaganiami prawnymi. Skorzystaj z audytu, usług wdrożenia, zarzadzania ryzykiem i testów oraz podnoszenia świadmości.

Bezpieczeństwo informacji

Bezpieczeństwo informacji jest pojęciem dotykającym zagadnień z pogranicza technologii, organizacji i prawa. Organizacje, mimo zakrojonych na szeroką skalę działań mających na celu ochronę danych, borykają się z incydentami naruszającymi bezpieczeństwo informacji. Wynika to głównie z braku zrozumienia, że na ochronę aktywów wpływają nie tylko czynniki techniczne.

Zarządzanie bezpieczeństwem informacji w oparciu o standard ISO/IEC 27001  znacznie ogranicza ryzyko utraty jej podstawowych atrybutów – poufności, integralność i dostępności. Pozwala również uniknąć sytuacji, w której prowadzona działalność jest narażona na konsekwencje wynikające z niespełnienia przepisów prawa w obszarze ochrony danych osobowych.

Podstawowym założeniem normy ISO/IEC 27001 jest ocena ryzyka utraty bezpieczeństwa informacji.

Przeprowadzenie procesu analizy umożliwia opracowanie i zastosowanie adekwatnych zabezpieczeń, których celem jest właściwa ochrona zasobów informacyjnych i przygotowanie standardów reagowania w razie nieautoryzowanego dostępu do informacji. Norma obejmuje wszystkie kategorie informacji, zarówno te przetwarzane wewnątrz, jak i przesyłane na zewnątrz organizacji. Standard dotyczy także wszystkich rodzajów informacji: zapisywanych na papierze, przekazywanych ustnie, graficznie, w postaci elektronicznej na infrastrukturze klienta, czy rozwiązaniach chmurowych. Standard ISO/IEC 27001 może być stosowany przez każdą organizację bez względu na specyfikę jej działalności, wielkość, status prawny czy realizowane procesy.

Identyfikacja, klasyfikacja i ochrona aktywów

Aby skutecznie chronić informacje należy zidentyfikować i sklasyfikować aktywa, które będą podlegały ochronie oraz ustalić stopień w jakim powinny być chronione. Organizacja musi także zdiagnozować zagrożenia, które mogą spowodować utratę podstawowych atrybutów i oszacować prawdopodobieństwo ich materializacji – przeprowadzając ocenę ryzyka. Przez aktywa rozumie się nie tylko informacje, niezależnie od rodzaju nośnika, ale i środki trwałe, czy personel wraz z wiedzą którą posiada. Norma określa poszczególne elementy kontroli i sposoby sterowania bezpieczeństwem informacji. Pozwala to organizacji na wybór najwłaściwszego zabezpieczenia w odniesieniu do specyfiki jej działalności oraz otoczenia rynkowego. Oprócz wymagań zawartych w treści bazowej, standard posiada również załącznik A, definiujący listę konkretnych zabezpieczeń zalecanych do wdrożenia w organizacji.

Wdrażanie Systemów Zarządzania Bezpieczeństwem Informacji oraz wsparcie w ich utrzymaniu i doskonaleniu to jedna z głównych działalności naszej firmy. Dzięki grupie ekspertów składającej się ze specjalistów w dziedzinie wdrażania wymagań standardów ISO, radców prawnych, inspektorów ochrony danych, architektów bezpieczeństwa i pentesterów kompleksowo  rozwiązujemy problemy napotkane u naszych klientów i proponujemy praktyczne rozwiązania.

Konsultant bezpieczeństwa
Nowy standard bezpieczeństwa informacji - ISO/IEC 27001:2022
Zapoznaj się ze zmianami w ISO 27001 arrow
Bezpieczeństwo fizyczne

Jednym z elementów wymaganych przez standard ISO/IEC 27001 jest zapewnienie właściwego bezpieczeństwa fizycznego obiektów należących do organizacji. Bazując na wynikach publikowanych cyklicznie przez Infowatch Analytics Center, można stwierdzić, że co roku około 10% największych wycieków informacji jest spowodowane kradzieżą dokumentów lub aktywów informacyjnych – między innymi z siedzib organizacji.

W ramach właściwego zabezpieczenia lokalizacji, w ramach wdrożenia SZBI opracowywane są zasady obejmujące m.in.:

  • podział i strefowanie pomieszczeń oraz obiektów,
  • wdrożenie zasad ochrony i minimalnych zabezpieczeń dla poszczególnych stref,
  • ustalenie niezbędnych systemów wspierających zarządzanie bezpieczeństwem fizycznym (kontrola dostępu, monitoring wizyjny etc.),
  • zabezpieczenia przed zagrożeniami środowiskowymi w pomieszczeniach specjalnych,
  • zasady przebywania gości oraz przedstawicieli dostawców w poszczególnych strefach,
  • zasady ruchu kołowego w lokalizacjach,
  • stosowanie oznakowania osób spoza organizacji.
Bezpieczeństwo osobowe

Często podczas szkoleń mówimy o zasadzie najsłabszego ogniwa. W dziedzinie bezpieczeństwa informacji, za najsłabszy punkt uznaje się człowieka – pracownika firmy (aktualnie zatrudnionego lub byłego), podwykonawcę, administratora, czy nawet przedstawiciela najwyższego kierownictwa. Piszemy o tym szerzej tutaj, gdzie przybliżamy ideę audytu socjotechnicznego i badań świadomości pracowników.

Niemniej jednak, każda organizacja wdrażająca systemowe podejście do zarządzania bezpieczeństwem informacji musi zaplanować kilka procesów w obszarze bezpieczeństwa osobowego. Są to między innymi:

  • rekrutacja, w tym weryfikacja kwalifikacji i autentyczności dokumentacji potwierdzającej uprawnienia,
  • onboarding i szkolenia wstępne w obszarze bezpieczeństwa,
  • pisemne zobowiązania do zachowania tajemnicy,
  • cykliczne szkolenia w zakresie bezpieczeństwa informacji, wewnętrznych regulacji SZBI oraz budowania świadomości,
  • procesy offboardingu i odbierania uprawnień do informacji oraz przekazanych zasobów,
  • zasady postępowania dyscyplinarnego i szybkiej ścieżki odebrania uprawnień w systemach IT i zasobów przetwarzających informacje.
Bezpieczeństwo teleinformatyczne

W dobie galopującej cyfryzacji znaczna część zabezpieczeń wdrażanych w ramach Systemów Zarządzania Bezpieczeństwem Informacji dotyczy przetwarzania informacji w systemach teleinformatycznych. Implementacja wymagań zawartych w Załączniku A do normy ISO/IEC 27001 polega przede wszystkim na ustaleniu praktycznych regulacji obejmujących m.in.:

  • zarządzanie uprawnieniami,
  • uwierzytelnianie użytkowników,
  • zarządzanie hasłami administracyjnymi,
  • zarządzanie zmianą,
  • zarządzanie kopiami zapasowymi,
  • wykorzystanie zabezpieczeń kryptograficznych,
  • ewidencjonowanie działań administratorów,
  • zabezpieczenie sieci wewnętrznej i styku z siecią publiczną,
  • zarządzanie bezpieczeństwem urządzeń mobilnych,
  • zapewnienie bezpieczeństwa stacji roboczych,
  • wykorzystanie nośników zewnętrznych,
  • zabezpieczenie logów i monitorowania zdarzeń w systemach,
  • relacje z dostawcami,
  • zarządzanie licencjami.
Bezpieczeństwo organizacyjne i prawne

Wiele organizacji decyduje się na wdrożenie mechanizmów podnoszących poziom bezpieczeństwa informacji i przetwarzanych danych ze względu na obowiązki wynikające z mających zastosowanie przepisów prawa. Dotyczy to przede wszystkim wdrożenia dobrze znanego wszystkim RODO, Rozporządzenia o Krajowych Ramach Interoperacyjności, Ustawy o zwalczaniu nieuczciwej konkurencji, czy Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Oczywiście nie są to jedynie regulacje, które wymagają właściwego zabezpieczenia danych osobowych i informacji chronionych. Dzięki znajomości wymagań prawnych, w ramach realizacji projektów jesteśmy w stanie zarówno wypracować praktyczne i skuteczne mechanizmy zabezpieczenia danych, jak i zapewnić zgodność z właściwymi przepisami prawa.

Automatyzacja bezpieczeństwa informacji

Dobrym pomysłem jest wykorzystanie narzędzi automatyzujących  identyfikację  podatności, analizę ryzyka,  planowanie i monitorowanie działań z zakresu bezpieczeństwa informacji. Wiodące na rynku narzędzie znajdziesz tu – BPM

Potrzebujesz wsparcia w zakresie bezpieczeństwa?
Skontaktuj się z nami! arrow
Korzyści
  • zwiększenie poziomu bezpieczeństwa informacji przetwarzanych w organizacji, budowa przewagi konkurencyjnej i pozytywnego wizerunku wśród partnerów biznesowych,
  • stworzenie podziału informacji przetwarzanych w organizacji z uwzględnieniem ich poufności, integralności i dostępności oraz wprowadzenie zasad przetwarzania poszczególnych grup,
  • przeprowadzenie oceny ryzyka utraty bezpieczeństwa informacji pokazującej największe ryzyka i podatności organizacji, a tym samym zwiększenie bezpieczeństwa prowadzonej działalności,
  • wprowadzenie adekwatnych i praktycznych mechanizmów zabezpieczenia informacji przetwarzanych w organizacji oraz wymienianych ze stronami trzecimi,
  • zwiększenie świadomości bezpieczeństwa informacji wśród pracowników w sposób praktyczny i przyjazny użytkownikowi,
  • spełnienie wymagań prawnych nakładanych na organizację wynikających np. z Ustawy o KSC, Rozporządzeniu o KRI, RODO etc.
Zainteresowany?
Skontaktuj się z nami arrow
Dobre rady konsultanta :)

Audyt wstępny

Rekomendujemy, by każdy z projektów wdrożenia SZBI rozpoczynać od audytu wstępnego. Dlaczego? Odpowiedź jest prosta – by poznać organizację klienta i maksymalnie wykorzystać rozwiązania, które funkcjonują w firmie. Nie ma firm, które w żaden sposób nie zapewniają bezpieczeństwa przetwarzanych danych i informacji, warto więc skorzystać z aktualnych rozwiązań. Wartością dodaną jest raport przedstawiający szczegółowy opis poziomu spełniania poszczególnych punktów normy. Klient pozyskuje pełną informację nt. wymagań które już spełnił i takich, które wymagają doskonalenia. W przypadku niespełnienia jakiegoś wymagania, zawsze opisujemy rekomendacje ich wdrożenia.

Analiza ryzyka

Poprawnie zaprojektowana i przeprowadzona analiza ryzyka to połowa sukcesu funkcjonowania SZBI. Opracowując regulacje w zakresie zarządzania ryzykiem w SZBI staramy się wykorzystać praktyki funkcjonujące u klienta i wzbogacić je o wytyczne zawarte w ISO 27005. Mechanizm, który rekomendujemy to powiązanie procesu klasyfikacji informacji z szacowaniem ryzyka. Na początku inwentaryzujemy, wraz z przedstawicielami komórek merytorycznych, grupy informacji, które przetwarzają, oceniamy ich poufność, dostępność i integralność oraz wskazujemy gdzie są przetwarzane (w jakich systemach IT/pomieszczeniach). Dzięki temu uzyskujemy wiedzę o zasobach przetwarzających informacje oraz oceniamy ich krytyczność. Dla każdego z zasobów opracowywana jest lista potencjalnych zagrożeń i wraz z właścicielami zasobów, identyfikowane podatności. Podejście to gwarantuje kompleksową analizę problemu – od informacji po ryzyko i plan postępowania z ryzykiem.

Opracowanie dokumentacji SZBI

Każde wdrożenie wymagań standardu ISO/IEC 27001, jak również innych norm ISO wymaga opracowania kompleksowej dokumentacji. Jej zakres, poziom szczegółowości i sposób integracji z regulacjami wewnętrznymi jest zawsze ustalany z klientem. Podejściem, które rekomendujemy jest opracowanie hierarchicznej struktury obejmującej: - Politykę Zarządzania Bezpieczeństwem Informacji - regulaminy dziedzinowe: Regulamin Zarządzania Bezpieczeństwem Fizycznym, Regulamin Zarządzania Bezpieczeństwem Osobowym, Regulamin Zarządzania Bezpieczeństwem IT - procedury i instrukcje szczegółowe. Podejście to zapewnia przejrzystość regulacji, łatwość poruszania się po dokumentacji SZBI i brak problemów z właścicielstwem.

Poznaj inne usługi w zakresie bezpieczeństwa i cyberbezpieczenstwa
Ciągłość działania

Dotyczy zapewnienia nieprzerwanego funkcjonowania oraz możliwie szybkiego odtworzenia działalności

Więcej arrow
Testy penetracyjne

Pozwalają zweryfikować faktyczny stan bezpieczeństwa systemu

Więcej arrow
Zarządzane Usługi Bezpieczeństwa

To model zarządzania usługami bezpieczeństwa przez operatora MSSp

Więcej arrow
Proces wdrożenia usługi
1
Przeprowadzenie audytu skuteczności obecnie funkcjonujących zabezpieczeń organizacyjnych i technicznych zgodnie z normą odniesienia – np. ISO/IEC 27001.
2
Opracowanie metodyk, przeprowadzenie klasyfikacji informacji oraz oceny ryzyka utraty bezpieczeństwa informacji,
3
Przygotowanie planu postępowania z ryzykiem stanowiącego mapę działań dla dalszego doskonalenia SZBI,
4
Wdrożenie lub aktualizacja istniejącej dokumentacji wewnętrznej systemu zarządzania bezpieczeństwem informacji,
5
Monitorowanie planu postępowania z ryzykiem i rekomendacji wynikającej z audytu inicjującego projekt.
6
W przypadku podejścia do certyfikacji na zgodność z normą ISO/IEC 27001 – przeprowadzenie działań niezbędnych do audytu. Na życzenie klienta wsparcie w procesie certyfikacji.
Masz pytania dotyczące tej usługi?
Napisz do nas arrow

Powiązane artykuły na blogu

03 maj
#Bezpieczeństwo
#IT
#Testy
Należyta staranność – KSC

Krajowy System Cyberbezpieczeństwa to wymagania dla operatorów usług kluczowych oraz usług cyfrowych. Czym są te wymagania opisane w dość oszczędny sposób w Ustawie? Co mówi sama ustawa o tym jak zapewnić bezpieczeństwo i ciągłość realizacji usług kluczowych?

Czytaj dalej arrow
05 maj
#Bezpieczeństwo
#IT
#Testy
Jak wnioski o realizację praw podmiotów danych „znikają w organizacji”?

Częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych

Czytaj dalej arrow
04 maj
#Bezpieczeństwo
#IT
#Testy
Realizacja praw podmiotu danych – ile to trwa ?

Ile faktycznie zajmuje identyfikacja i realizacja praw podmiotu danych? Czy nasz rejestr czynności wspiera realizację praw? Czy potrafimy automatyzować procesy realizacji praw podmiotu danych?

Czytaj dalej arrow
Zobacz więcej artykułów arrow
Materiały dodatkowe
Plik