Όπως ήδη αναφέραμε οι πληροφορίες ενός Οργανισμού αποτελούν πια ένα από τα πιο σημαντικά περιουσιακά του στοιχεία. Ανάλογα με τη φύση του Οργανισμού οι πληροφορίες που τηρούνται και διακινούνται μέσω των συστημάτων του μπορεί να έχουν διάφορα επίπεδα διαβάθμισης και να πρέπει να τύχουν διαφορετικού χειρισμού.
Τα διαρκώς εξελισσόμενο νομοθετικό πλαίσιο πάνω σε αυτό το θέμα καθιστά όλο και πιο επιτακτική την ανάγκη χειρισμού των πληροφοριών μέσα σε έναν Οργανισμό με δομημένο και αποτελεσματικό τρόπο.
Η ασφάλεια των πληροφοριών έχει να κάνει με τη διαφύλαξη 3 βασικών χαρακτηριστικών της πληροφορίας οποιουδήποτε είδους και σε οποιαδήποτε μορφή κι αν βρίσκεται:
· Εμπιστευτικότητα, που σημαίνει την εξασφάλιση ότι η πληροφορία θα είναι προσβάσιμη μόνο από τα εξουσιοδοτημένα προς τούτο πρόσωπα ή μηχανισμούς.
· Ακεραιότητα, που σημαίνει τη μη δυνατότητα μεταβολής της πληροφορίας παρά μόνο από τα εξουσιοδοτημένα άτομα ή μηχανισμούς.
· Διαθεσιμότητα, που σημαίνει τη δυνατότητα προσπέλασης της πληροφορίας από τους εξουσιοδοτημένους χρήστες και μηχανισμούς ανεξάρτητα από τις συνθήκες.
Η προστασία των πληροφοριών του Οργανισμού απαιτεί μια δομημένη και ολοκληρωμένη προσέγγιση προκειμένου να είναι αποτελεσματική και να εμπνέει εμπιστοσύνη σε όσους συναλλάσσονται με τον Οργανισμό. Τη δομημένη αυτή προσέγγιση προσφέρει το πρότυπο ISO/IEC 27001:2005 το οποίο περιγράφει τα βήματα που πρέπει να ακολουθήσει ένας Οργανισμός προκειμένου να μπορεί να αποδείξει στους δικαιούχους ότι χειρίζεται με ασφαλή τρόπο τις πληροφορίες του.
Καθορισμός Πολιτικής
Το πρώτο βήμα είναι και πάλι ο καθορισμός των ορίων ανοχής από τη Διοίκηση. Εκείνη είναι που θα καθορίσει το ποσοστό αποδεκτού κινδύνου με βάση το οποίο θα προχωρήσει στη συνέχεια η ανάλυση. Το ποσοστό αυτό πρέπει να είναι εκφρασμένο σε επιχειρησιακούς και όχι τεχνικούς όρους διότι και εδώ στόχος μας είναι η προστασία των διεργασιών.
Ανάλυση Κινδύνων
Το δεύτερο βήμα είναι η αναγνώριση και η αξιολόγηση των κινδύνων που απειλούν τα περιουσιακά στοιχεία και κατ’επέκταση τις πληροφορίες του Οργανισμού. Αυτό γίνεται με τρόπο που να εξασφαλίζει την ιεράρχηση των κινδύνων με βάση τις επιχειρησιακές διεργασίες που απειλούν διότι μόνο έτσι εκτιμάται το πραγματικό μέγεθος του κάθε κινδύνου.
Αντιμετώπιση Κινδύνων
Αφού αναγνωριστούν και εκτιμηθούν οι κίνδυνοι λαμβάνονται αποφάσεις για την αντιμετώπισή τους. Το ISO/IEC 27001:2005 προτείνει μια σειρά από ασφαλιστικές δικλείδες οι οποίες καλύπτουν ένα ευρύ σύνολο κινδύνων και τις οποίες πρέπει να επιλέξουμε για τον Οργανισμό. Οι ασφαλιστικές δικλείδες ανήκουν σε διάφορες κατηγορίες και μεταξύ αυτών περιλαμβάνονται τόσο αυτόματοι μηχανισμοί όσο και διαδικασίες που πρέπει να ακολουθούνται από τα στελέχη του Οργανισμού. Οι κατηγορίες που καλύπτονται είναι:
· Πολιτική Ασφαλείας
· Οργάνωση Ασφάλειας Πληροφοριών
· Διαχείριση Περιουσιακών Στοιχείων
· Διαχείριση Ανθρώπινων Πόρων
· Φυσική και Περιβαλλοντική Ασφάλεια
· Διαχείριση Επικοινωνιών και Λειτουργιών
· Έλεγχος Πρόσβασης
· Προμήθεια, Ανάπτυξη και Συντήρηση Πληροφοριακών Συστημάτων
· Διαχείριση Συμβάντων Ασφάλειας Πληροφοριών
· Διαχείριση Επιχειρησιακής Συνέχειας
· Συμμόρφωση
Εκπαίδευση και Εφαρμογή
Οι ασφαλιστικές δικλείδες πρέπει τέλος να γνωστοποιηθούν στο σύνολο των στελεχών και αυτά να εκπαιδευτούν στη χρήση τους ώστε να γίνει όσο γίνεται αποτελεσματικότερη εφαρμογή του προτύπου.
Με απλά λόγια η συμμόρφωση με το ISO/IEC 27001:2005 εξασφαλίζει στον οποιονδήποτε συνεργάζεται, ελέγχει η διοικεί τον Οργανισμό ότι αυτός χειρίζεται τις πληροφορίες του με ασφάλεια.