|
W połowie czerwca 2008 roku pojawił się długo oczekiwany międzynarodowy standard traktujący o zarządzaniu ryzykiem bezpieczeństwa informacji ISO/IEC 27005:2008. Standard ten na blisko 60 stronach dostarcza wytyczne w zakresie zarządzania ryzykiem na potrzeby systemów bezpieczeństwa informacji zgodnych z coraz bardziej popularnym w naszym kraju standardem ISO/IEC 27001:2005 (na dzień 22.08.2008 w Rejestrze certyfikatów ISO/IEC 27001 www.iso27000.pl figurują 64 certyfikaty). Polski Komitet Normalizacyjny nie przetłumaczył jeszcze (z wiadomych względów) tego standardu na język polski.
Wbrew oczekiwaniom ISO/IEC 27005 nie wprowadza żadnej określonej metodologii zarządzania ryzykiem bezpieczeństwa informacji. Jednak standard ten ustanawia i uszczegóławia ramy dla procesu zarządzania ryzykiem w systemach bezpieczeństwa informacji zgodnych z ISO/IEC 27001:2005. Krótko mówiąc można zarządzać ryzykiem bezpieczeństwa informacji wykorzystując jedną z wielu istniejących metodologii w tym zakresie, pod warunkiem, że będzie ona spełniać opisane w standardzie wytyczne. Niewątpliwie standard przyda się organizacjom, które chcą określić swoje podejście do zarządzania ryzykiem w zakresie zdefiniowanych w nich systemów bezpieczeństwa informacji.
|
|
|
W dzisiejszych czasach, kiedy społeczeństwa ewoluują w społeczeństwa informacyjne informacja staje się towarem i traktowana jest jako szczególne dobro niematerialne, równoważne lub cenniejsze nawet od dóbr materialnych. Obecnie informację należy traktować jak każdy inny towar, zasób który posiada określoną wartość. W związku z tym informacja musi być odpowiednio chroniona. Ochrona informacji ma szczególne znaczenie dla wszystkich funkcjonujących organizacji, które pragną zachować konkurencyjność, dobry wizerunek oraz spełnić szereg wymagań prawnych.
|
 W ostatnim okresie czasu zdecydowanie nasiliły się kontrole legalności oprogramowania, co wyraźnie widać w licznych doniesieniach prasowych o policyjnych przeszukaniach w firmach i mieszkaniach. Nie sposób też nie dostrzec tematu w codziennych dyskusjach, także tych na forach internetowych. Wokół tematu powstało wiele nieporozumień i mitów. Niniejszy artykuł jest próbą stworzenia kompendium wiedzy w tym zakresie i ma za zadanie wyjaśnić przynajmniej część wątpliwości pojawiającym się w związku z kontrolami legalności. |
|
|
|
|
|
Piotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, ISO 27001, biegły sądowy, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA International a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej
Adam Kuczyński - zajmuje się bezpieczeństwem IT i ochroną informacji, audytor IT, ISO 27001, na co dzień Naczelnik Wydziału Audytu Systemów Informatycznych w jednej z największych korporacji w Polsce e-mail: 
