Zarządzanie bezpieczeństwem jest jednym z podstawowych zagadnień zarządzania danymi.
Konsekwencje utraty bezpieczeństwa informacji powodują bezpośrednie zakłócenia działalności oraz mogą wpłynąć na bezpieczeństwo kontrahentów i klientów, których dane są przetwarzane, a nawet mogą doprowadzić do likwidacji przedsiębiorstwa. Mogą spowodować straty finansowe poprzez konieczność usuwania uszkodzeń, utratę zysków lub nałożenie kar finansowych za niewystarczające zabezpieczenia.
Bezpieczeństwo informacji obejmuje różne rodzaje zagrożeń w tym celowe szkodliwe działania takie jak cyberataki, ale także błędy ludzkie, awarie, czynniki środowiskowe. Ogromna liczba zagadnień koniecznych do uwzględnienia przy wdrażaniu i stosowaniu zasad bezpieczeństwa informacji powoduje dużą trudność w zaplanowaniu działań. Z uwagi na tą rozległość dziedzinową stosuje się systemowe podejście do zarządzania bezpieczeństwem. System Zarządzania Bezpieczeństwem Informacji (SZBI) jak nazwa wskazuje koncentruje się na zarządzaniu, czyli określeniu ról, odpowiedzialności, zadań. SZBI ma wymiar formalny i praktyczny. Wymiar formalny poprzez konieczność zapewnienia zgodności z licznymi regulacjami (w szczególności przepisami prawa). Wymiar praktyczny poprzez faktyczną odporność na zagrożenia bezpieczeństwa informacji.
Zgodność z regulacjami
Rozpoczęcie prac nad SZBI wymaga wpierw zbadania czy w branży, którą zajmuje się organizacja istnieją regulacje prawne zawierające konkretne wymagania lub wskazania na standardy lub normy.
Według stanu na początek listopada 2025 r. na ukończeniu przygotowań jest nowelizacja Ustawy o krajowym systemie cyberbezpieczeństwa (KSC) ujednolicająca wymagania dla strategicznych branż m.in: energii, transportu, bankowości, ochrony zdrowia, wod-kan, infrastruktury cyfrowej, usług pocztowych, gospodarowania odpadami, wytwarzania żywności, wybranych produkcji oraz podmiotów publicznych. Nowelizacja jest implementacją Dyrektywy NIS2. W przypadku świadczenia usług w innych krajach organizacja musi zbadać jakie tam istnieją regulacje dotyczące bezpieczeństwa informacji, np. sposoby implementacji NIS2 w krajach UE, standardy NIST na rynku USA. Oprócz powyższych ogólnych wymagań bezpieczeństwa informacji istnieją szczegółowe dotyczące np. danych osobowych (ustawa ODO), danych finansowych (rozporządzenie DORA), informacji niejawnej (ustawa OIN), rozporządzenie wykonawcze NIS2 dla podmiotów świadczących usługi m.in. DNS, chmurowe, platform handlowych. Regulacje wskazują głównie na potrzebę działań proaktywnych. Z uwagi na dynamikę zmian regulacje wymagają nieustannej weryfikacji.
Dostępnych jest wiele opisów ram działania (framework) wspomagających uruchomienie SZBI, wśród których najpopularniejsze są normy International Organization for Standardization (ISO) serii 27000 oraz standardy National Institute of Standards and Technology (NIST). Dobre praktyki zawarte są w COBIT, ITIL, SABSA, CIS Critical Security Controls, a także DMBOK.
DMBOK zawiera zbiór dobrych praktyk z zakresu Ładu danych, w których bezpieczeństwo danych jest jednym z 11 głównych obszarów wiedzy. DMBOK wskazuje na zależności bezpieczeństwa danych z innymi zagadnieniami takimi jak architektura, metadane, ład danych. zarządzanie danymi, etyką, przechowywanie i operacjami na danych, integracja i interoperacyjność, zarządzanie dokumentami i treścią, magazynowanie danych i BI, jakość danych, Big Data. Opisuje kompleksowo zagadnienia przez cele, działania, narzędzia, techniki, wytyczne dla wdrożenia, nadzór. Bazuje m.in. na normach ISO, standardach NIST oraz dobrych praktykach i doświadczeniu ekspertów.
Regulacje definiują cele natomiast budowa systemu bezpieczeństwa musi zostać przeprowadzona indywidualnie w organizacji, w sposób dostosowany do wewnętrznej specyfiki danej organizacji.
Zgodność z regulacjami lub standardem potwierdzona kontrolami lub audytami może być warunkiem koniecznym dla prowadzenia działalności (jak w przypadku informacji niejawnej) lub realizacji zamówienia (np. wymaganie certyfikatu ISO).
Odpowiedzialność
SZBI jako system zarządzania musi być zatwierdzony przez najwyższe kierownictwo zgodnie z ich odpowiedzialnością. Kompletność systemu pod kątem zarządzania definiuje m.in. kryterium “Brak konfliktu obowiązków, niezgody i “ziemi niczyjej” w działaniach w zakresie bezpieczeństwa informacji” zgodnie z Podręcznikiem kontroli systemów informatycznych dla najwyższych organów kontroli. Konieczność zaangażowania kierownika jednostki jest wskazane przez regulacje, oraz wytyczne jak ISO lub DMBOK. Wdrożenie organizacji bezpieczeństwa informacji jest zmianą kultury organizacyjnej, dlatego pomocne może być stosowanie metodyk zarządzania zmianą. Wg. DMBOK w przypadku braku kierownika ds. bezpieczeństwa informacji (CISO) odpowiedzialność spoczywa na menadżerach ds. danych (którzy i tak zawsze muszą być angażowani w zagadnienia bezpieczeństwa danych). Wprowadzenie zabezpieczeń musi być spójne w całej organizacji stąd wymaga zaangażowania pracowników na każdym szczeblu. Materializujące się ryzyka w obszarze bezpieczeństwa mogą być bardzo dotkliwe dla interesariuszy organizacji oraz dla samych organizacji i personalnie ich pracowników poprzez konsekwencje przewidziane przepisami szczegółowymi, kodeksem karnym, regulaminem pracy. Niezależnie od delegowania zadań i zdefiniowania ról konsekwencje ponosi kierownictwo jednostki. Nowelizacja KSC definiuje kary finansowe za brak zabezpieczeń zarówno dla podmiotów jak i samych kierowników podmiotów.
Chociaż, jak wskazuje Krzysztof Liderman (2012), „chronimy informacje – dane są tylko ich szczególnym przypadkiem”, to coraz więcej informacji przyjmuje postać wyłącznie danych cyfrowych, stąd wiodącą rolę w bezpieczeństwie informacji powierza się komórkom IT. Podobnie jak w przypadku wdrażania Ładu danych (Data Governance) wdrożenie SZBI często powierzchownie traktuje się to jako zadanie ograniczone do wdrożenia rozwiązań informatycznych. Jednorazowy projekt wdrożenia nowego oprogramowania np. do monitorowania sieci komputerowej lub szkolenie nie będzie skuteczny i nie można go traktować jako wdrożenie SZBI. Bez współpracy całej organizacji wdrożenie SZBI jest niemożliwe. Zabezpieczenie systemów przedsiębiorstwa i przechowywanych w nich danych wymaga współpracy komórek IT, odpowiedzialnych za organizację pracy, zabezpieczenia fizyczne i osobowe oraz interesariuszy biznesowych. Wynika to z różnorodności zagrożeń, np. zabezpieczenia organizacji mogą zostać przełamane metodami psychotechnicznymi (np. phishing), lub szkodliwymi działaniami samych pracowników (świadomymi lub nieświadomymi), stąd równie istotne są działania organizacyjne i odpowiednie szkolenie pracowników.
“Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny zatem dotyczyć również bezpieczeństwa fizycznego i środowiskowego sieci i systemów informatycznych przez włączenie środków ochrony takich systemów przed awariami, błędem ludzkim, złośliwymi działaniami lub zjawiskami naturalnymi, zgodnie z normami europejskimi i międzynarodowymi, takimi jak normy zawarte w serii ISO/IEC 27000.” (pkt 79 dyrektywy NIS2)
Praktyczne rozwiązania
Prace nad bezpieczeństwem danych mają znaczenie praktyczne pod względem realnego zabezpieczenia się przed zdarzeniami takimi jak wykradzenie lub zniszczenie informacji. Sprawny system zabezpieczeń może działać odstraszająco lub skutecznie utrudnić realizację ataków zewnętrznych lub wewnętrznych. Wdrażając zabezpieczenia przed utratą bezpieczeństwa informacji, trzeba pamiętać, że minimalizują one ryzyka, ale nie likwidują całkowicie zagrożeń. Zgodnie z normą ISO 27001 podstawą budowy SZBI jest analiza ryzyka.
„Bezpieczeństwo informacji oznacza uzasadnione (np. analizą ryzyka i przyjętymi metodami postępowania z ryzykiem) zaufanie, że nie zostaną poniesione potencjalne straty wynikające z niepożądanego (przypadkowego lub świadomego) ujawnienia, modyfikacji, zniszczenia lub uniemożliwienia przetwarzania informacji przechowywanej, przetwarzanej i przesyłanej w określonym systemie jej obiegu” (Liderman 2012)
Według DMBOK wdrażanie zabezpieczeń danych w organizacji należy rozpocząć od analizy potrzeb biznesowych. Należy uwzględnić misję, wielkość, branżę i jej regulacje. Najczęściej bezpieczeństwo informacji rozpatruje się w trzech wymiarach:
- poufności – zapewnienia, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom;
- integralności – zapewnienia, że informacja nie jest zmodyfikowana, usunięta lub dodana w sposób niewłaściwy;
- dostępności – zapewnienia, że informacja jest możliwa do wykorzystania na żądanie, w założonym czasie, przez uprawnioną osobę.
Informacje wymagają ochrony niezależnie od nośnika: dokumentów papierowych, elektronicznych, systemów informatycznych z bazami danych, wiadomości e-mail, komunikatorów, połączeń głosowych, wiadomości SMS oraz bezpośredniego przekazywania między osobami. Zabezpieczenia informacji powinny być adekwatne do zagrożeń. Każdy rodzaj nośnika wymaga odrębnej analizy ryzyka i zabezpieczeń.
Wdrażanie zabezpieczeń musi uwzględniać konieczność zapewnienia efektywnego działania organizacji, ponieważ same zabezpieczenia mogą stać się zagrożeniem dla efektywności / celów organizacji a przynajmniej stanowić zagrożenie dla dostępności informacji.
Regulacje i dostępne rozwiązania koncentrują się na działania proaktywnych, które wymagają inwestycji finansowych. Jednocześnie przy szacowaniu budżetu warto mieć na uwadze że działania reaktywne generują zwykle wyższe koszty niż działania proaktywne.
Kluczowe dla bezpieczeństwa danych są działające procesy, procedury i usługi bezpieczeństwa wewnątrz organizacji. W standardach, dobrych praktykach, technikach, technologiach np. zarządzanie tożsamością, ograniczenia dostępu do danych, maskowania danych jest dostępna znaczna ilość rozwiązań, stąd wybór i decyzje o wdrożeniu wymagają szerokich analiz ryzyk, potrzeb, efektywności oraz budżetowych. System jest tak bezpieczny jak wszystkie elementy systemu.
W praktyce bardzo pomocną okazuje się Norma ISO 27001, porządkująca zagadnienia bezpieczeństwa w postaci 93 rodzajów zabezpieczeń, które powinny zostać przeanalizowane przez organizacje przez pryzmat ryzyka i potrzeby zastosowania. Norma grupuje zabezpieczenia w obszary:
- organizacyjny np. podział odpowiedzialności, polityki dostępu;
- fizyczny np. ochrona budynku, konserwacja sprzętu;
- technologiczny np. szyfrowanie, systemy monitorowania sieci;
- personalny np. zapisy w umowach o pracę, procedury kadrowe.
Według NIST, DMBOK oraz literatury branżowej jednym z pierwszych podstawowych działań dla właściwego wdrożenia SZBI jest klasyfikacja informacji. Klasyfikacja polega na określeniu grup informacji o podobnych potrzebach zabezpieczeń. Najczęściej stosuje się jako kryterium podziału regulacje prawne i potrzeby poufności uzyskując grupy np.: informacje do ogółu odbiorców, informacje do użytku wewnętrznego, informacje poufne. Identyfikuje się informacje wymagające szczególnej ochrony. Dzięki klasyfikacji można zróżnicować poziomy zabezpieczeń co za tym idzie koszty ich stosowania. Wdrożenie klasyfikacji wiąże się z koniecznością inwentaryzacji informacji i zarządzania metadanymi.
Skuteczność wdrożenia bezpieczeństwa informacji powinna być mierzona w celu uzyskania pewności że działa właściwie. Może być mierzona z wykorzystaniem audytów (w szczególności zewnętrznych), metryk obejmujących np. procent wdrożonych zaleceń audytu, trendów incydentów, statystyki operacji bezpieczeństwa, świadomości bezpieczeństwa.
Regulacje bezpieczeństwa danych a Ład danych
Z bezpośredniego brzmienia lub z semantyki pojęć, definicji i wymagań widać zbieżność pomiędzy regulacjami bezpieczeństwa informacji takimi jak zawarte w ISO 27001 oraz nowelizowanej KSC a Ładem danych wg. DMBOK. Wdrożenie SZBI wg. regulacji wymaga określenia ról, odpowiedzialności, polityk, standardów i procedur dotyczących zarządzania danymi. SZBI to system zarządzania ukierunkowany na bezpieczeństwo, ale definiując zasady niezbędne jest uwzględnienie biznesowych celów, strategii organizacji, wartości danych, kluczowych procesów. Z kolei wdrażając Ład danych według DBMOK, w szczególności opracowując strategie i inne zasady należy uwzględniać regulacje m in. dotyczące bezpieczeństwa danych. Porównując wytyczne można dostrzec podobieństwa bezpośrednie i semantyczne, m. in.:
| Ład danych wg. DMBOK | System Zarządzania Bezpieczeństwem Informacji |
| Polityki bezpieczeństwa | Polityki bezpieczeństwa |
| Określenie ról i odpowiedzialności za zarządzanie danymi danych, w tym bezpieczeństwo. | Określenie ról i odpowiedzialności za bezpieczeństwo informacji. |
| Zapewnienie dostępności danych dla procesów biznesowych. | Zapewnienia dostępności – podstawowy atrybut bezpieczeństwa informacji. |
| Zarządzania metadanymi. | Zarządzanie aktywami w tym prowadzenie ewidencji. |
| Zarządzanie jakością danych. | Zapewnienie integralności – podstawowy atrybut bezpieczeństwa informacji. |
Jeżeli organizacja wdrożyła wpierw Ład danych może ponieść mniejszy nakład pracy i kosztów przy wdrożeniu regulacji bezpieczeństwa takich jak nowelizacja KSC dzięki m.in. znajomości danych jakie są przetwarzane w organizacji, ich klasyfikacji, dostępności oraz właścicieli / opiekunów. Przy braku Ładu danych w organizacji wdrażając wzorcowo zasady bezpieczeństwa informacji, w tym SZBI, jednocześnie wdraża się elementy Ładu danych.
Regulacje takie jak nowelizacja KSC mogą stanowić jedną z uzasadnień wdrażania Ładu danych i uzyskania szerszych korzyści z zarządzania danymi.
Najlepsze praktyki zabezpieczania danych opisane są szczegółowo w rozdziale 6 najnowszego wydania DMBOK (2024).
Tekst jest rozwinięciem rozdziału “Bezpieczeństwo Danych” w publikacji Dane miejskie w praktyce. Podręcznik dla samorządów 2024.
Wykorzystane źródła:
- Berłowski K., 2024, Bezpieczeństwo danych, Dane miejskie w praktyce. Podręcznik dla samorządów. praca zbiorowa pod redakcją W. Łachowski, K. Bigaj, Kraków–Warszawa, Dane miejskie w praktyce. Podręcznik dla samorządów – Integrator Danych Miejskich
- DAMA-DMBOK Data management body of knowledge, praca zbiorowa pod redakcją D. Henderson, S. Earley, L, Sebastian-Coleman, E. Sykora, E, Smith, C. Bradley, M. Valentini, Technics Publications, New Jersey 2024 (DMBOK);
- Dyrektywa Parlamentu Europejskiego I Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148; Dyrektywa – 2022/2555 – EN – EUR-Lex; (NIS2)
- Liderman K., 2012, Bezpieczeństwo informacyjne, Warszawa, Wydawnictwo Naukowe PWN;
- Podręcznik kontroli systemów informatycznych dla najwyższych organów kontroli, WGiTA, Warszawa 2016, Podręcznik kontroli systemów informatycznych – Najwyższa Izba Kontroli
- Projekt nowelizacji Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa https://legislacja.gov.pl/projekt/12384504
- PN-EN ISO/IEC 27001:2023;
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/101; Regulation – 2022/2554 – EN – DORA – EUR-Lex (DORA)
- Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. ROZPORZĄDZENIE RADY MINISTRÓW z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (KRI)
- Rozporządzenie Wykonawcze Komisji (Ue) 2024/2690 z dnia 17 października 2024 r. ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania; Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania
- Standardy NIST; Standards | NIST
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz.U.2018 poz. 1560; Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa; (KSC)
- Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, Dz.U. 2010 nr 182 poz. 1228); Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 11 marca 2024 r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie informacji niejawnych; (OIN)
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. z 2018 r. poz. 1000; Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (ODO)
.
