Po tym jak Prezes Urzędu Ochrony Danych Osobowych nałożył na Virgin Mobile karę w wysokości 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, na stronie internetowej UODO czytamy: „Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi. Ponadto, nie były przeprowadzone testy weryfikujące zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. Oprócz tego, podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki.” Nasunęło się zatem pytanie: W jaki sposób oceniać skuteczność wdrożonych zabezpieczeń?

Z pomocą może przyjść norma ISO / IEC 27004: 2016, Technologia informacyjna – Techniki bezpieczeństwa – Zarządzanie bezpieczeństwem informacji – Monitorowanie, pomiary, analiza i ocena. Norma zawiera wskazówki dotyczące oceny działania normy ISO / IEC 27001. ISO 27004:2009 została po raz pierwszy opublikowana w 2009 roku jako część rodziny norm ISO 27000, później została zmieniona w 2016 roku i stała się znana jako ISO 27004:2016. Obie normy są jednak tylko wytycznymi, a nie wymaganiami, więc stosowanie ich zapisów jest dobrowolne.

Norma wyjaśnia, jak opracowywać i obsługiwać mierniki skuteczności zabezpieczeń oraz w jaki sposób dokonywać oceny i raportowania wyników zestawu wskaźników bezpieczeństwa informacji. Nie tylko organizacje, które podjęły wysiłek wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnie z normą ISO27001 powinny skorzystać z wytycznych ISO27004. Zastosowanie wytycznych normy ISO27004 może posłużyć jako dobra praktyka do oceny wdrożonych zabezpieczeń w każdej organizacji, zarówno odnosząc się do bezpieczeństwa danych osobowych czy tajemnicy przedsiębiorstwa.

Działania zaproponowane przez ISO 27004 w celu pomiaru skuteczności wdrożonych środków technicznych i organizacyjnych można podsumować w kilku krokach:

  1. Zdefiniowanie zasobów, które będą podlegać pomiarom. Zasobem mogą być procesy, plany, systemy informatyczne lub składniki systemu informatycznego. Należy pamiętać, że pomiar powinien objąć powtarzalne czynności, działania lub procesy, które zostały zdefiniowane i udokumentowane.
  2. Określenie punktów odniesienia dla każdego obszaru podlegającego pomiarowi. Punktem odniesienia może być zdefiniowany i zatwierdzony cel lub graniczny poziom wydajności systemu.
  3. Rejestrowanie informacji z systemów. Wydaje się najbardziej krytyczną czynnością w procesie pomiaru skuteczności. Powinno objąć gromadzenie w założonym okresie czasu wiarygodnych danych np.: z systemów informatycznych, które posłużą do stworzenia wskaźników zabezpieczeń oraz raportowania.
  4. Określenie metod pomiaru. ISO 27004 wskazuje tutaj na logiczną sekwencję operacji, realizowaną w celu uzyskania wyjściowej wartości wskaźnika, który będzie możliwy do oceny i posłuży jako źródło informacji np.: w celu poprawy poziomu bezpieczeństwa lub potwierdzi skuteczność zastosowanego rozwiązania.
  5. Interpretacja pomiarów. Istotnym elementem badania skuteczności jest dokonywanie analizy i oceny zarówno ilościowej jak i jakościowej uzyskanych wartości wskaźników. Odpowiednia interpretacja wyników powinna wskazywać obszary do doskonalenia na podstawie różnic pomiędzy wartością bazową, a rzeczywistymi wynikami.
  6. Przekazanie informacji o wynikach. Efekty dokonanej oceny skuteczności powinny być przekazywane odpowiednim zainteresowanym stronom, np. w postaci raportów dla zarządu lub osób odpowiedzialnych za bezpieczeństwo. Porównywalne wyniki pomiarów powinny być podstawą do decyzji o dokonaniu szczegółowego przeglądu np. w postaci audytu, dodatkowych testów podatności lub podjęcia innych działań w kierunku poprawy zabezpieczeń.

Wśród wielu korzyści wynikających z zastosowania ISO 27004 możemy wskazać przede wszystkim zwiększoną odpowiedzialność, jak również poprawę skuteczności procesów bezpieczeństwa, zapewnienie dowodów spełnienia wymagań normy ISO 27001, a także obowiązujących przepisów o ochronie danych osobowych czy ustawy o krajowym systemie cyberbezpieczeństwa.

ACSEC Sp. z o. o. od wielu lat na wspiera sowich Klientów w budowaniu programów pomiaru bezpieczeństwa informacji. Opracowujemy procedury pomiaru i oceny skuteczności wdrożonych zabezpieczeń, wskazujemy co mierzyć i jak dobrać właściwe wskaźniki. Przeprowadzamy audyty oraz wykonujemy testy podatności w systemach informatycznych.

Autor: Piotr Maziakowski