Awaria prądu w Szczecinie i okolicach w marcu 2008 r. była okazją do przetestowania przygotowywanych od lat w Zakładach Chemicznych „POLICE” planów awaryjnych. Z jednego z największych w historii blockoutów przedsiębiorstwo wyszło obronną ręką. Dzięki procedurom zapewniającym utrzymanie ciągłości działania oraz planom awaryjnym potwierdzonym normą ISO 9001 wznowienie działania zakładu po przywróceniu dostaw prądu przebiegło sprawnie i w miarę szybko.

To tylko utwierdziło kierownictwo Polic w przekonaniu, że podobne procedury należy także opracować dla systemów IT.

Ważne bezpieczeństwo IT

Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego ze światowym standardem ISO/IEC 27001 rozpoczęło się w Biurze Teleinformatyki w Policach w 2007 r. Decyzja o wdrożeniu wynikała między innymi ze strategii rozwoju spółki oraz konieczności zapewnienia bezpieczeństwa i ciągłości pracy systemów IT, z których korzystają zakłady.

Zdarzenia, które mogą spowodować zakłócenie działania firmy, to nie tylko blockouty czy inne katastrofy. Przeszkodę w pracy może stanowić awaria prądu lub opóźnienia w dostawie surowców na produkcję spowodowane niedostępnością systemu SAP.

Zarządzanie ciągłością działania to podejście do prowadzenia firmy w sposób pozwalający na utrzymanie określonego poziomu dostarczania usług w przypadku wystąpienia zakłóceń w jej funkcjonowaniu. Obecne trendy na rynku w Europie wyraźnie wskazują na rozwój Systemów Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 w dużych zakładach produkcyjnych. Zakłady Chemiczne „POLICE” SA są jedną z pierwszych firm w Polsce, które rozpoczęły wdrożenie tych systemów.

Decyzja o wdrożeniu SZBI wynikała między innymi z konieczności zapewnienia bezpieczeństwa i ciągłości pracy systemów IT

 

Celem kierownictwa Biura Teleinformatyki było usystematyzowanie i sformalizowanie funkcjonujących już procesów IT. Wdrożenie SZBI pozwoli profesjonalnie i skutecznie reagować na katastrofy oraz incydenty.

Systemy IT w Zakładach Chemicznych to nie tylko podstawowy z biznesowego punktu widzenia system SAP czy systemy sterowania produkcją, ale także poważna infrastruktura sieciowa, system poczty elektronicznej z oprogramowaniem antyspamowym, systemy antywirusowe i firewall oraz pokaźna liczba systemów specjalistycznych, jak np. system zarządzania ruchem samochodowym na terenie firmy. Do tego dochodzą jeszcze sieciowe wersje aplikacji inżynierskich i innych.

Aby sprostać tak dużemu projektowi, jakim jest wdrożenie SZBI dla tak rozbudowanych instalacji IT, konieczne było dobre przygotowanie projektu, podzielonego na kilka etapów. Pierwszym krokiem było zapoznanie wszystkich pracowników Biura Teleinformatyki ze standardem ISO/IEC 27001. W tym celu zorganizowano szkolenie z zakresu wymagań normy przeprowadzone przez jednostkę certyfikacyjną BSI Management Systems Polska. Kolejnym etapem było przeprowadzenie audytu bezpieczeństwa IT na zgodność z normą ISO/IEC 27001. Audyt został na zlecenie Polic przeprowadzony przez specjalistów BCC.

Głównym celem audytu było zweryfikowanie funkcjonujących w Biurze Teleinformatyki procedur pod kątem zgodności z normą ISO/IEC 27001 oraz sprawdzenie spójności dokumentacji z rzeczywistymi praktykami w organizacji (polityka bezpieczeństwa, struktura organizacyjna i odpowiedzialność za procesy, organizacja bezpieczeństwa, klasyfikacja i kontrola aktywów, bezpieczeństwo osobowe, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu do systemu, rozwój i utrzymanie systemu, zarządzanie ciągłością działania).

Standardy bezpieczeństwa wykorzystane w audycie bezpieczeństwa IT w Zakładach Chemicznych „POLICE” SA

Norma ISO/IEC 20000 – Systemy Zarządzania Usługami Informatycznymi – wprowadza podejście procesowe do zarządzania usługami IT, co przekłada się bezpośrednio na jakość i bezpieczeństwo świadczonych usług. Norma składa się z dwóch części: ISO/IEC 20000-1:2005 oraz ISO/IEC 200002:2005. Pierwsza przedstawia wymagania, które system zarządzania musi spełnić, aby mógł być potwierdzony certyfikatem zgodności z normą. Druga część zawiera wytyczne i wskazuje, co należy zrobić, aby sprostać przedstawionym wymaganiom.

Norma ISO/IEC 27001 – Systemy Zarządzania Bezpieczeństwem Informacji – obejmuje całość zagadnień związanych z ochroną tworzonych, przechowywanych i przetwarzanych w firmie informacji. Norma ISO/IEC 27001 proponuje zastosowanie podejścia procesowego do ustanowienia, wdrożenia, eksploatacji, monitorowania, utrzymywania i poprawy efektywności SZBI.

Norma BS 25999– Systemy Zarządzania Ciągłością Działania – stanowi podstawę dla zaplanowania, wdrożenia, rozwoju i doskonalenia ciągłości działania w organizacji i daje pewność w relacjach z innymi firmami i z klientami. Obejmuje też wszechstronny zestaw narzędzi kontroli opartych na najlepszych praktykach BCM (Business Continuity Management).

Etapy audytu

Audyt został podzielony na cztery etapy. W pierwszym etapie konsultanci BCC dokonali analizy struktury Biura Teleinformatyki (BT). Zweryfikowano relacje z firmami zewnętrznymi dostarczającymi usługi do BT oraz z odbiorcami usług (umowy o zachowaniu poufności, wskaźniki SLA). Zweryfikowany został również system ISO 9001 oraz jego wpływ na funkcjonowanie  procedur w BT (min. audyty wewnętrzne).

Podczas rozmów z Kierownikiem Biura Teleinformatyki Andrzejem Rozkrutem oraz Specjalistą z Biura Ochrony Sławomirem Gorzałą sprawdzono wymagania prawne i techniczno-organizacyjne, które musi spełniać BT (min. ustawa o ochronie danych osobowych). W drugim etapie przeprowadzono wywiady z pracownikami Biura Teleinformatyki. Zastosowano tu kilka scenariuszy. W rozmowach z pracownikami Działu Rozwoju Systemu SAP skoncentrowano się głownie na procesie zarządzania zmianami w systemie SAP. Sprawdzono efektywność procesu oraz wpływ na bezpieczeństwo informacji. Podczas rozmów poruszano takie zagadnienia jak: liczba zmian dokonywanych w danym module systemu SAP, forma zgłaszania zmian, priorytety zgłaszanych zmian, jak odbywają się testy zmian, kto odpowiada za budżet realizowanych zmian, ryzyko wprowadzanych zmian, aspekty prawne, zadowolenie osób zgłaszających zmiany, iteracja zmian, dokumentacja oraz dostęp do transakcji newralgicznych.

W rozmowach z pracownikami helpdesku sprawdzono skuteczność procesów zarządzania incydentami, zarządzania problemami oraz zgłaszania zmian. Zweryfikowano również procedury bezpieczeństwa informacji w przypadku serwisu laptopów kluczowych osób z zakładu, realizowanego przez wewnętrzny helpdesk oraz zewnętrznych dostawców. W rozmowach z administratorami IT przeglądowi poddano takie obszary jak zarządzanie systemami i sieciami, kontrolę dostępu do systemu, rozwój i utrzymanie systemu oraz zarządzanie ciągłością działania. Podczas rozmów omawiano wykonywanie kopii zapasowych, dostęp do serwerowni, nadawanie oraz odbieranie uprawnień, dokumentację IT. Z kierownictwem IT dyskutowano o zarządzaniu zespołem, szkoleniach, budowaniu bazy wiedzy, wymianie informacji pomiędzy pracownikami, wpływie procesów IT na procesy produkcyjne w Policach.

W kolejnym etapie przeprowadzono wywiady z pracownikami różnych działów zakładu, szczególnie właścicielami biznesowymi poszczególnych modułów SAP oraz użytkownikami końcowymi. Rozmowy dotyczyły głównie procesu zarządzania zmianami w systemie SAP oraz zarządzania ciągłością działania. Po rozmowach z przedstawicielami biznesu można było zidentyfikować, które obszary systemu są krytyczne dla pracy zakładu.

Ostatnim etapem były obserwacje. Sprawdzono pomieszczenia BT, politykę kontroli dostępu, procedury nadawania kart dostępowych. Podczas obserwacji sprawdzono również dwie serwerownie w BT – główne centrum przetwarzania danych oraz zapasowe centrum przetwarzania danych. W serwerowni sprawdzono funkcjonowanie systemów zabezpieczeń przeciwpożarowych i przeciwpowodziowych. Sprawdzono, jak działają zapasowe źródła zasilania. Zweryfikowano firmy zewnętrzne serwisujące klimatyzację, instalacje ppoż. oraz UPS-y.

Raport końcowy

Końcowym efektem audytu jest raport określający, jakie wymagania normy spełnia BT oraz jakie obszary powinny zostać udoskonalone. W Biurze Teleinformatyki zidentyfikowano mocne i słabe strony funkcjonowania.

Za mocne strony Biura Teleinformatyki uznano:

  • W Dziale Rozwoju Systemu SAP prowadzone są działania dotyczące podnoszenia kwalifikacji pracowników. Administratorzy poszczególnych modułów SAP oraz programiści dzielą się wiedzą oraz doświadczeniami poprzez wewnętrzne szkolenia. Dobrą praktyką są spotkania organizowane przez administratorów modułu HR oraz Dział Kadr ze strony biznesu;
  • Lojalność pracowników jest kluczową sprawą dla firmy, szczególnie takiej, w której to ludzie stanowią o jej wartości. Pracownicy BT, jeśli tylko mogą, wykonują zadania zdalnie po godzinach pracy lub jeśli wymaga tego sytuacja, przyjeżdżają do BT;
  • System ISO/IEC 27001 buduje się, opierając na podstawowych zadaniach, jakim służy BT, oraz dobrych praktykach. Audyt dostarczył szeregu pozytywnych informacji od pracowników na temat wdrożenia systemu ISO/IEC 27001. Negatywne sygnały wiążą się z obawą tworzenia dużej liczby dokumentacji oraz utratą pracy przez niektóre osoby;

Posiadanie wielu informacji, które można wykorzystać do wdrożenia systemu ISO/IEC 27001. W Dziale Administracji Systemów Komputerowych oraz Dziale Wsparcia Użytkownika pracownicy posiadają oraz utrzymują indywidualnie wiele dokumentów i rejestrów. Przykładem są ewidencja komputerów, dokumentacja dotycząca konfiguracji sprzętu IT (serwery, switche).

Wśród słabych stron Biura Teleinformatyki znalazły się następujące kwestie:

  • Ograniczone zasoby ludzkie, nie jest w pełni zdefiniowany proces zarządzania ciągłością działania dla niektórych zespołów w BT;
  • Nie w każdym obszarze zdefiniowano ryzyko i zagrożenia dla niedostępności systemów IT;
  • Proces zmian nie jest jeszcze w całości zaimplementowany zgodnie z praktykami ITIL czy ISO/IEC 20000;
  • Nie ma opracowanych planów ciągłości działania dla wszystkich systemów IT –  w przypadku awarii tylko administratorzy BT posiadają wiedzę i informację, jak odtworzyć systemy.

Andrzej Rozkrut, Kierownik Biura Teleinformatyki, Zakłady Chemiczne „POLICE”

Bezpieczeństwo pod kontrolą

Bezpieczeństwo informacji, a w szczególności bezpieczeństwo systemów informatycznych odgrywa kluczową rolę we współczesnej gospodarce. Przykład wiosennego blackoutu na Pomorzy Zachodnim pokazał, jak ważne jest posiadanie wypracowanych standardów postępowania. W naszym przypadku była to okazja do sprawdzenia w warunkach rzeczywistych jednego z tych scenariuszy, których prawdopodobieństwo wystąpienia ocenialiśmy wcześniej jako znikome. I pomimo tego, że zdaliśmy ten egzamin dobrze, utwierdziło nas to tylko w słuszności obranej drogi ciągłego doskonalenia procesów i działań. Przeprowadzony przez specjalistów SNP audyt bezpieczeństwa systemów informatycznych pozwolił nam ocenić i zweryfikować skuteczność naszych dotychczasowych działań. Od zewnętrznego audytora oczekiwaliśmy przede wszystkim chłodnej oceny, swoistej fotografii stanu obecnego. I choć w obszarze tego, co musimy jeszcze zrobić czy poprawić, audyt nie przyniósł zaskakujących nas obserwacji czy wniosków, to jednak pozwolił je usystematyzować i uszczegółowić. Certyfikacja w zakresie normy ISO 27001 nie jest dla Zakładów Chemicznych „POLICE” SA celem samym w sobie, lecz ma potwierdzić naszą wysoką sprawność w tym obszarze. Jego posiadanie nie oznacza dla nas końca drogi, lecz mobilizację do dalszego doskonalenia bezpieczeństwa systemów informatycznych.

Andrzej Rozkrut, Kierownik Biura Teleinformatyki, Zakłady Chemiczne „POLICE”

Oprócz identyfikacji mocnych i słabych stron działania BT obszerną część raportu po audycie stanowią rekomendacje związane z poprawą sytuacji oraz zalecenia dotyczące wzmocnienia bezpieczeństwa informacji.

Kolejnym krokiem w Zakładach Chemicznych „POLICE” SA będzie wdrożenie działań naprawczych oraz przystąpienie do właściwego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji. Docelowo przedsiębiorstwo chce się ubiegać o przyznanie certyfikatu bezpieczeństwa ISO 27001.

Zakłady Chemiczne „POLICE” SA to jedno z największych przedsiębiorstw branży chemicznej w Polsce. Police wyróżnia unikatowa w Polsce instalacja bieli tytanowej, skala produkcji amoniaku, kwasów: fosforowego i siarkowego oraz pozycja w sektorze mineralnych nawozów wieloskładnikowych – firma produkuje 50% wszystkich zużywanych w Polsce nawozów tej grupy. Przedsiębiorstwo powstało w 1965 r., obecnie zatrudnia 2,8 tys. pracowników.