ISO 27035 – omówienie normy dotyczącej zarządzania incydentami bezpieczeństwa informacji

calendar 28 września 2021
clock 4m 43s

Incydenty związane z bezpieczeństwem informacji mogą poważnie zaszkodzić każdej firmie. Aby chronić zasoby informacyjne organizacje muszą podejmować szereg działań mających na celu zapobieganie i skuteczne zarządzanie incydentami. Z pomocą przychodzi międzynarodowy standard ISO 27035.

ISO 27035 (lub ISO/IEC 27035) to międzynarodowa, rozpoznawalna na całym świecie norma zawierająca najlepsze praktyki i wytyczne w zakresie wdrażania Systemu Zarządzania Incydentami Bezpieczeństwa Informacji. Standard omawia podstawowe zasady zawiązane z szybką identyfikacją, oceną i efektywnym reagowaniem na incydenty bezpieczeństwa. Ponadto norma przedstawia procesy zarządzania incydentami, zdarzeniami i potencjalnymi lukami w bezpieczeństwie informacji.

Przeczytaj również: Normy ISO w firmie: czym są? Wszystko o normach ISO, wdrażaniu i certyfikacjach

Norma ISO/IEC 27035 podzielona jest na trzy części, stanowiące oddzielne dokumenty. Zasady w nich zawarte mają zastosowanie do wszystkich organizacji, bez względu na rodzaj, wielkość czy branże, w której działają. Wytyczne można również zastosować do firm zewnętrznych, dostarczających usługi związane z zarządzaniem incydentami bezpieczeństwa informacji.

ISO 27035 definicja

Omówmy pokrótce każdą z trzech części standardu.

ISO 27035-1, Część 1: Zasady zarządzania incydentami

ISO 27035-1 stanowi fundament dla dwóch kolejnych części normy. Przedstawia podstawowe koncepcje oraz fazy zarządzania incydentami związanymi z bezpieczeństwem informacji. W standardzie mowa również o niektórych aspektach analizy luk w zabezpieczeniach IT.

ISO/IEC 27035-1 nie jest kompleksowym przewodnikiem, ale odniesieniem do pewnych podstawowych zasad, których celem jest zapewnienie, że odpowiednio zidentyfikowane i dostosowane narzędzia, techniki i metody mogą być przydatne, gdy zajdzie taka potrzeba.

Standard jest uzupełnieniem innych norm i dokumentów, zawierających wytyczne dotyczące badania oraz przygotowania do zarządzania incydentami bezpieczeństwa informacji.

Pierwsza część dokumentu ma także na celu zdefiniowanie procesu informowania decydentów, którzy muszą określić wiarygodność przedstawianych im dowodów cyfrowych.

ISO 27035-2, Cześć 2: Wytyczne dotyczące planowania i przygotowania do reagowania na incydenty

Norma ISO/IEC 27035-2 zawiera wytyczne dotyczące planowania i przygotowania do reagowania na incydenty. Wytyczne oparte są na etapie „Planowanie i przygotowanie” oraz „Wdrażanie wyciągniętych wniosków” modelu „Fazy zarządzania incydentami bezpieczeństwa informacji” przedstawionego w pierwszej części ISO 27035.

Główne punkty fazy „Planowanie i przygotowanie” obejmują:

  • politykę zarządzania zdarzeniami związanymi z bezpieczeństwem informacji i zaangażowanie najwyższego kierownictwa,
  • polityki w zakresie bezpieczeństwa informacji, w tym polityki dotyczące zarządzania ryzykiem, aktualizowane zarówno na poziomie korporacyjnym jak i na poziomie systemu, usługi i sieci,
  • plan zarządzania incydentami związanymi z bezpieczeństwem informacji,
  • powołanie zespołu reagowania na incydenty (IRT),
  • nawiązywanie relacji i powiązań z organizacjami wewnętrznymi oraz zewnętrznymi,
  • wsparcie techniczne i inne (w tym wsparcie organizacyjne oraz operacyjne),
  • odprawy i szkolenia uświadamiające w zakresie zarządzania incydentami związanymi z bezpieczeństwem informacji,
  • testowanie planu zarządzania incydentami związanymi z bezpieczeństwem informacji.

ISO 27035-3, Część 3: Wytyczne dotyczące reagowania na incydenty w dziedzinie ICT

W trzeciej części normy ISO/IEC 27035 przedstawiono wytyczne dotyczące reagowania na incydenty w operacjach związanych z bezpieczeństwem teleinformatycznym. Zalecenia te dotyczą:

  • wykrywania incydentów bezpieczeństwa informacji,
  • raportowania,
  • klasyfikacji,
  • analizy,
  • reagowania,
  • powstrzymywania,
  • eliminowania,
  • odzyskiwania,
  • wyciągania wniosków.

ISO/IEC 27035-3 nie dotyczy operacji reagowania na incydenty inne niż ICT, takie jak np. utrata dokumentów w formie papierowej. Dokument skupia się na fazie „Wykrywanie i raportowanie”, „Ocena i decyzje” oraz „Reagowanie” modelu „Fazy zarządzania incydentami bezpieczeństwa informacji” przedstawionego w pierwszej części standardu.

Korzyści z wdrożenia normy

Stosowanie ustrukturyzowanego podejścia do zarządzania incydentami związanymi z bezpieczeństwem informacji może przynieść znaczące korzyści, m.in.:

  • poprawę ogólnego bezpieczeństwa informacji,
  • zmniejszenie negatywnego wpływu na biznes,
  • wzmocnienie koncentracji na zapobieganiu incydentom bezpieczeństwa informacji,
  • doskonalenie zasad priorytetyzacji zdarzeń,
  • wsparcie gromadzenia dowodów i dochodzenia,
  • pomoc w uzasadnieniu i uproszczeniu alokacji budżetów oraz zasobów,
  • ulepszenie aktualizacji wyników oceny ryzyka w zakresie bezpieczeństwa informacji i zarządzanie nim,
  • dostarczenie materiałów szkoleniowych i zwiększenie świadomości w zakresie bezpieczeństwa informacji.

Przeczytaj również: Co to jest norma ISO 27001 i dlaczego jest tak ważna w biznesie?

Zasady zawarte w standardzie należy dostosować indywidulanie do organizacji

Wytyczne zawarte we normie ISO/IEC 27035 (i jej wszystkich częściach) są obszerne, a ich przyjęcie w całości mogłoby wymagać znacznych zasobów do obsługi i zarządzania. Dlatego ważne jest, aby firmy dostosowujące się do zaleceń standardu zachowały poczucie perspektywy i zapewniły, że zasoby stosowane do zarządzania incydentami bezpieczeństwa informacji oraz złożoność wdrożonych mechanizmów są proporcjonalne do następujących kwestii:

  • wielkości, struktury i charakteru działalności gospodarczej organizacji, w tym kluczowych krytycznych aktywów, procesów oraz danych, które powinny być chronione,
  • zakresu systemu zarządzania bezpieczeństwem informacji w odniesieniu do obsługi incydentów,
  • potencjalnych ryzyk wynikających z incydentów,
  • celów przedsiębiorstwa.

Organizacja korzystająca z ISO 27035 powinna zatem przyjąć jej wytyczne w sposób, który jest odpowiedni do skali i charakterystyki jej działalności.

Potrzebujesz wsparcia w zakresie wdrożenia w organizacji pełnego Systemu Zarządzania Bezpieczeństwem Informacji lub jego poszczególnych elementów? Sprawdź nasze usługi w tym zakresie lub napisz do nas [email protected]. Przygotujemy rozwiązanie dopasowane do potrzeb Twojej organizacji.

W ofercie naszych certyfikowanych szkoleń PECB posiadamy kurs PECB Certified ISO/IEC 27035 Lead Incident Manager – zapisz się, jeśli chcesz zdobyć specjalistyczną wiedzę.

Podobne wpisy
Przegląd tygodnia: atak na DigiNotar i blackout
calendar 11 września 2011
clock 4m 42s

W tym tygodniu zwracamy uwagę na dwa wydarzenia: jedno z obszaru bezpieczeństwa informacji (atak na DigiNotar), drugie związane z business continuity (awaria prądu w Kaliforni, Arizonie […]
Certyfikowane szkolenia PECB online!
calendar 8 maja 2020
clock 1m 9s

Jak podnosić swoje kompetencje, gdy świat walczy z pandemią? Zapraszamy do wzięcia udziału w certyfikowanych szkoleniach PECB online! Umiejętne budowanie odporności biznesu jest niezwykle […]
Jak stworzyć bezpieczne hasło? Przypomnienie zasad z okazji Światowego Dnia Hasła
calendar 7 maja 2020
clock 1m 55s

W pierwszy czwartek maja obchodzony jest Światowy Dzień Hasła. To nieformalne święto jest doskonałą okazją do przypomnienia podstawowych zasad zapewniających bezpieczeństwo haseł, chroniących […]

webinar DORA i NIS2

ZAPISZ SIĘ TERAZ

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
telefon
+48 22 243 39 37
e-mail
[email protected]


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Polityka prywatności
    Regulaminu świadczenia usług
    © Resilia Sp. z o.o. Wszelkie prawa zastrzeżone
    Projekt i realizacja Eager Dots
    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!