Certyfikacja projektu MiŚOT dla Security

3307
Grafika: Marcin Jedynak

Projekt MdS otrzymał certyfikat ISO/IEC 27001:2013 w zakresie cyberbezpieczeństwa i bezpieczeństwa informacji. Wcześniej przez dziesięć miesięcy System Zarządzania Bezpieczeństwem Informacji spółki był szczegółowo analizowany i oceniany.

– Certyfikat nie jest wprost wymagany przez ustawodawcę, jednak odpowiednie przepisy wymagają by operator usługi kluczowej działał zgodnie ze wskazaną normą, którą jest ISO/IEC 27001:2013 – mówi Maciej Linscheid, lider Projektu MdS. – Posiadając certyfikat zdecydowanie ograniczamy pole do jakichkolwiek ewentualnych wątpliwości, szczególnie że pozostajemy też pod stałym nadzorem instytucji, która go wydała.

Postępowanie związane z uzyskaniem certyfikatu jest procesem złożonym i długotrwałym. Wsparcie eksperckie w odpowiednim przygotowaniu MdS, a także audyt bezpieczeństwa zapewniła spółce firma Informatics z Jaworzna.

– Przeprowadzone zostały szczegółowe ankiety opisujące przetwarzanie danych pomiędzy naszymi pracownikami, a także inwentaryzacja sprzętu i umów z podmiotami zewnętrznymi – relacjonuje Maciej Linscheid. – Analizie podlegały także opracowane przez nas procedury związane z dostępem do danych, łącznie z regulaminami pracy zdalnej. To całkiem pokaźna książka – dodaje.

– Najważniejszym elementem było silne zaangażowanie Zarządu Projekt MdS – podkreśla Marcin Zemła, prezes spółki Informatics. – Zarząd docenił pozytywy wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji takie jak zabezpieczenie przed wyciekiem informacji czy kontrola nad przepływem informacji poufnych (których ujawnienie mogłoby spowodować realne straty). Jednocześnie zakładamy wyciąganie wniosków z raportów w celu rozwijania dalszych elementów związanych z bezpieczeństwem przełożonym bezpośrednio na sprawne działanie spółki. To działania wymierne i choć liczone w pieniądzach, których się nie straciło, to należy pamiętać, że bez tych działań ryzyko ich utraty byłoby spore. 

Co jednak najważniejsze spełnienie standardów normy ISO/IEC 27001:2013 nie jest procedurą jednorazową. Wymaga regularnej aktualizacji, będzie też corocznie weryfikowana przez audytorów. Wśród procesów, do których przywiązywana jest szczególna uwaga wskazać należy procedury dostępu do poczty, zastępstw pracowników i zgłaszania incydentów związanych z cyberbezpieczeństwem.

– Certyfikat zdobyliśmy za pierwszym podejściem, co tylko potwierdza, że robimy wszystko zgodnie z najwyższymi standardami ponieważ – podkreśla Maciej Linscheid. – Od początku mamy świadomość, że wyzwanie, które stoi przed Projektem MdS wymaga ogromnej uważności w zakresie cyberbezpieczeństwa i przetwarzania danych osobowych. Tworzymy przecież system, który ma zapewnić bezpieczeństwo funkcjonowania w cyberprzestrzeni licznej wspólnocie małych i średnich przedsiębiorstw telekomunikacyjnych.

Warto też zaznaczyć, że w znacznym zakresie projekt MdS przygotowuje się dopiero do rekrutacji pracowników, którzy zostaną wprowadzeni w środowisko pracy pełne przejrzystych, jasno określonych, a przede wszystkim bezpiecznych procedur.

Marcin Zemła zauważa przy tym, że często najtrudniejszym elementem w systemie cyberbezpieczeństwa jest zmiana przyzwyczajeń pracowników. W przypadku Projektu MdS to uprzednio przygotowane prawidłowe procedury postępowania będą kształtować te nawyki. Jednocześnie Zarząd starał się niewiele ingerować w procesy już istniejące aby w ten sposób nie spowodować niekontrolowanego zagrożenia wynikającego z prób obejścia procedur.

Obecnie dzięki certyfikacji ISO/IEC 27001:2013 spółka Projekt MdS jest już przygotowana do obsługi Operatorów Usług Kluczowych zgodnie z przepisami prawa i wymogami ustawy o Krajowym Systemie Cyberbezpieczeństwa.