dnes je 22.12.2024

Input:

Systém managementu bezpečnosti informací

9.2.2012, , Zdroj: Verlag Dashöfer

3.3.2
Systém managementu bezpečnosti informací

Doc. Ing. Alois Fiala, CSc.

Úvod - Smysl a význam systémů managementu bezpečnosti informací

Úvod

ISMS (zkratka pochází z anglického Information Security Management Systems - viz norma ISO/IEC 27001/2006, která nahradila britskou normu BS 7799-2 z prosince 2004) je, zjednodušeně řešeno, systém řízení činností souvisejících s pořizováním, zpracováváním, uchováváním a bezpečnou likvidací informací/dat, se kterými organizace nakládá v rámci realizace svých podnikatelských procesů.

Informace

Říká se, že nejcennějším majetkem jakéhokoli podnikatelského subjektu (bez ohledu na to, čím se daná firma zabývá) jsou informace. Je také zřejmé, že v rámci podnikání při nakládání s těmito informacemi či daty se vyskytují více či méně pravděpodobná rizika, která je mohou ohrozit. Organizace se může setkat (a také často setkává) s různými incidenty, které musí pokud možno bez významných ztrát řešit. Vedení firmy (a případně i zákazníci) firmy mají oprávněné požadavky na to, aby tato cenná aktiva byla v bezpečí a dostupná v případě, že je jich potřeba využít.

ISO/IEC 17021

Stejně jako v případě požadavků z hlediska kvality, ochrany životního prostředí či požadavků na bezpečnost a ochranu zdraví při práci stojí na vedení firmy odpovědnost ve smyslu rozhodnutí, jakým způsobem bude řídit chod příslušných činností, aby požadavky na bezpečnost informací byla schopná deklarovat a skutečně naplňovat. Stejně jako v případě uvedených příkladů i v oblasti bezpečnosti informací můžeme aplikovat různé přístupy od víceméně chaotického řešení již vzniklých problémů k plánování a realizaci preventivních opatření až po sofistikovaný systém řízení postavený na základě nejlepších dostupných technik (vývoj, jakým směrem je žádoucí se ubírat, včetně krátkého přehledu ne/výhod jednotlivých "vývojových“ stadií na poli řízení bezpečnosti informací, znázorňuje jednoduchým způsobem následující obrázek). Přijatelné řešení může představovat implementace požadavků výše uvedené normy ISO/IEC 17021.

Žádoucí vývoj v organizaci v oblasti řízení bezpečnosti informací
OD PŘES K
Reakce na incident Prevence Ucelený systém managementu bezpečnosti informací
Direktivní řízení Participativní řízení Vedení a řízení na základě principu PDCA (plánování, řízení, kontrola, motivace, zlepšování)
Bezpečnost informací jako záležitost informačního technika (pracovníka IT oddělení).

Nevýhody takového přístupu:
Nepřipravenost na případné problémy, která může vést k zvýšeným finančním nákladům, ztrátě dostupnosti, důvěryhodnosti a/nebo integrity dat.
Bezpečnost informací jako záležitost IT včetně vybraných pracovníků.

Nevýhody takového přístupu:
Realizační pracovník (tým) může opomenout důležitý segment celkové bezpečnosti.
Bezpečnost informací jako záležitost všech prostřednictvím již existujících a prověřených standardů.

Nevýhody takového přístupu:
Počáteční složitost projektu, náklady na implementaci.

Ochrana informací

Ochranu informací (bezpečnost informací) je přitom nutno chápat ve dvou základních rovinách:

  • ochrana předpoškozením, ztrátou, znehodnocením, zveřejněním v důsledku chyby lidského faktoru či selháním techniky,

  • zabezpečení před úmyslným poškozením, odcizením, zneužitím citlivých dat.

Další odstavce si kladou za cíl popsat základní požadavky a strukturu ISMS a dále na základě příkladu fiktivní organizace ukázat postup jejich implementace.

Proč (ne)zavádět ISMS

Proč (ne)zavádět ISMS

Na úvod si připomeňme, jaké jsou nejčastější uváděné příčiny bezpečnostních incidentů, a zamysleme se, zda se touto problematikou musíme vůbec zabývat. Na základě řady dostupných studií (a vlastních zkušeností) existují tyto nejrozšířenější příčiny bezpečnostních incidentů:

  • porucha dodávek proudu,

  • počítačový virus,

  • porucha hardwaru,

  • vlastní zaměstnanci,

  • bývalí vlastní zaměstnanci.

Otázka

Jaké je řešení těmto příčinám se vyhnout, a pokud se z různých důvodů nevyhneme (či vyhnout nemůžeme), jak je zvládnout?

Odpověď zní: jedním z nejúčinnějších opatření je samozřejmě použití dostatečných bezpečnostních standardů. Tyto standardy je přitom nutné aplikovat ve všech fázích nakládání s informacemi/daty. Abychom si uvědomili šíři uvedené problematiky, vymezíme si jednotlivé etapy nakládání s informacemi a jednoduché příklady, jak může dojít v těchto etapách k narušení bezpečnosti:

Operace v rámci nakládání s informací Možné narušení bezpečnosti Důsledek
získávání informací nepřesné informace ztráta získaných informací porušení důvěrnosti získaných informací ztráta potenciálního klienta
kontrola údajů znehodnocení dat poškození části dat porušení důvěrnosti ztráta klienta ztráta zakázky
zpracování znehodnocení dat poškození části dat porušení důvěrnosti krádež, zneužití ztráta klienta ztráta zakázky právní důsledky
(přestupek, trestný čin)
používání znehodnocení dat poškození části dat porušení důvěrnosti krádež, zneužití ztráta klienta ztráta zakázky právní důsledky
(přestupek, trestný čin)
aktualizace znehodnocení dat poškození části dat porušení důvěrnosti narušení integrity dat krádež, zneužití ztráta klienta ztráta zakázky poškození dobrého jména právní důsledky
(přestupek, trestný čin)
ukládání/uchovávání ztráta dat poškození souboru narušení integrity dat krádež, zneužití ztráta image firmy právní důsledky poškození dobrého jména právní důsledky
(přestupek, trestný čin) zneužití konkurencí
likvidace likvidace nesprávných dat zneužití formou obnovení právní důsledky poškození dobrého jména právní důsledky
(přestupek, trestný čin) zneužití konkurencí

Je zřejmé, že oblast možných incidentů je velmi široká, a je třeba se věnovat této problematice s náležitou pozorností, protože dopady takového incidentu můžou být pro firmu katastrofální.

Přehled norem v oblasti ISMS

Jaké jsou k dispozici systémové nástroje řízení bezpečnosti informací? Přehled je zřejmý z následujícího výčtu nejdůležitějších aktuálně platných norem v této oblasti:

ISO/IEC 27000:2009

První vydání této mezinárodní normy vyšlo 1. 5. 2009 pod názvem ISO/IEC 27000:2009: "Information technology - Security techniques - Information security management systems - Overview and vocabulary“. Norma ISO/IEC 27000 byla zpracována jako úvod do problematiky systémů managementu bezpečnosti informací a slovník pojmů v oblasti ISMS (definice pojmů byly k dispozici dosud jako součást jiných norem a zejména technických zpráv ISO/IEC TR 13335). V ČR dosud tato norma nevyšla.

ISO/IEC 27001:2005

Nejrozšířenější a světově uznávaný model poskytuje norma ISO/IEC 27001:2005 (pozn.: ISO - Mezinárodní organizace pro normalizaci, IEC - Mezinárodní elektrotechnická komise), kterou v ČR vydal v říjnu 2006 ČNI pod názvem ČSN ISO/IEC 27001:2006: "Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky“. Norma má sloužit k tomu, aby "... poskytla podporu pro ustavení, zavádění, provozování, monitorování, udržování a zlepšování.“ ISMS (viz čl. 0 odst. 0.1 normy). Již z této krátké ukázky se nabízí souvislost s již známými systémy managementu, jako je QMS, EMS, OHSAS a další. (Blíže si tyto souvislosti včetně požadavků normy popíšeme v dalším textu.)

Norma je vytvořena na základě britského standardu BS 7799 část 2, poprvé vydaného v British Standards Institute (BSI) v roce 1995. Standard BS 7799 byl poté v roce 2000 nahrazen normou ISO/IEC 17799"Information Technology - Code of practice for information security management“ , v ČR vydané prostřednictvím ČNI jako ČSN ISO/IEC 17799:2006: "Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací“. Norma ISO/IEC 17799 byla na základě zkušeností přepracována v červnu 2005 a byla vydána jako ISO/IEC 27002:2007 (v ČR dosud tato nová norma nevyšla, pro účely ISMS se zatím využívá ISO/IEC 17799).

ISO/IEC 27002:2007

Soubor postupů ("code of practice providing good practice advice on ISMS“) je vytvořen na základě britského standardu BS 7799 část 1, opět v ČR zatím dosud k dispozici v podobě ISO/IEC 17799. Obsahově se normy neliší.

ISO/IEC 27005:2008

Norma byla navržena jako podpora pro dostatečnou implementaci ISMS v oblasti řízení rizik. V ČR dosud nepublikována.

ISO/IEC 27006:2007

V ČR jako ČSN ISO/IEC 27006:2008: "Informační technologie - Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci systémů managementu bezpečnosti informací“. Tato norma specifikuje požadavky a doporučení pro certifikační orgány. Pro zajímavost mimo jiné doporučuje certifikačním orgánům, které provádějí posuzování a certifikaci ISMS dle normy ISO/IEC 27001, implementovat požadavky této normy ve svém systému řízení (tj. "samy na sebe“). Dále upřesňuje a doplňuje obecné požadavky zejména v oblasti plánování a vlastního procesu auditování, stanovení doby trvání auditu, kvalifikace a výběru auditorů.

ISO/IEC 20000 /část 1 a 2/:2005

Tato norma se týká managementu služeb IT a zaměřuje se na zlepšování kvality, zvyšování efektivity a snížení nákladů u IT procesů, popisuje procesy řízení pro poskytování služeb IT. Svou filozofií a obsahem se řídí ustanoveními IT Infrastructure Library (ITIL) - viz dále. Skládá se ze dvou částí, které v ČR vydal opět ČNI:

  1. ČSN ISO/IEC 20000 - 1:2006: Informační technologie - Management služeb - část 1: Specifikace. Tato část stanovuje požadavky na poskytovatele IT služeb, jejichž splnění má zabezpečit kvalitu "přijatelnou pro zákazníky“. Je (stejně jako norma ISO/IEC 27001) určená, resp. použitelná jako základ pro certifikaci.

  2. ČSN ISO/IEC 20000 - 2:2007: Informační technologie - Management služeb - část 2: Soubor postupů. Nestanovuje požadavky, ale poskytuje návody a doporučení k implementaci požadavků uvedených .

ITIL

Information Technology Infrastructure Library je "klíč k zajištění kvalitních služeb v oblasti informačních technologií“. Je to jakási knihovna, která vytváří rámec přístupů vycházející z nejlepších praktických zkušeností k zajištění dodávky kvalitních IT služeb. Knihovnu spravuje organizace Office of Government Commerce (viz www.ogc.gov.uk ) formou publikací, informací na internetu, CD, školení, konzultací, poradenských služeb, analýz, certifikací. Knihovna je rozdělena do několika částí podle specifických oblastí řízení IT služeb.

Kromě výše uvedeného dále existuje řada tzv. technických zpráv (Technical report - TR), které poskytují návody a příklady pro jednotlivé kroky při implementaci ISMS (jako např. hodnocení aktiv, analýza rizik, výběr opatření a další).

Jsou to:

ISO/IEC TR 13335-1:1996

Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-1:1999: Informační technologie - Směrnice pro řízení bezpečnosti IT - část 1: Pojetí a modely bezpečnosti IT. Jejím cílem je zejména poskytnout směrnici o řízení bezpečnosti IT včetně modelů použitelných k vysvětlení pojmu bezpečnost IT. Jde v podstatě o úvod k různým přístupům v oblasti bezpečnosti IT popisující systematický přístup k problematice bezpečnosti IT, cíle, strategie a politiky, bezpečnostní prvky a procesy řízení, modely řízení bezpečnosti IT. Jako takový je určen především manažerům firem. Podrobnější informace jsou pak obsaženy v dalších částech této technické zprávy.

ISO/IEC TR 13335-2:1997

Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-2:2000: Informační technologie - Směrnice pro řízení bezpečnosti IT - část 2: Řízení a plánování bezpečnosti IT. Cílem této části je popsat řídicí a plánovací aspekty, tj. řízení bezpečnosti IT, politika bezpečnosti IT celé společnosti, organizační aspekty bezpečnosti IT, možné strategie analýzy rizik, popis jednotlivých doporučení pro bezpečnost IT, plán bezpečnosti, implementace opatření včetně aktivit sledování. Je určena především manažerům s odpovědnostmi souvisejícími již přímo s oblastí IT.

ISO/IEC TR 13335-3:2000

Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-3:2000: Informační technologie - Směrnice pro řízení bezpečnosti IT - část 3: Techniky pro řízení bezpečnosti IT. Popisuje bezpečnostní techniky pro použití ve fázi návrhu, implementace, testování, provozování.

ISO/IEC TR 13335-4:2000

Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-4:2002: Informační technologie - Směrnice pro řízení bezpečnosti IT - část 4: Výběr ochranných opatření. Tato část se zabývá výběrem opatření podle typu systému IT nebo podle typů možných problémů a hrozeb a koncepcí základní úrovně bezpečnosti.

ISO/IEC TR 13335-5:2004

Information technology - Guidelines for the management of IT Security - Part 5: Management guidance on network security (Informační technologie - Směrnice pro řízení bezpečnosti IT - část 5: Ochranná opatření pro externí spojení) - jako ČSN zatím nevyšla. Normu technická komise JTC 1/SC 27 nahradila řadou norem ISO/IEC 18028.

Základní přehled stávajících norem souvisejících s ISMS uvádí následující obrázek.

Pozn.: Plánuje se vydání řady nových norem v oblasti ISMS. Pro zajímavost doplňujeme výčet dalších připravovaných norem z této oblasti:

  • ISO/IEC 27002: Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Soubor postupů;

  • ISO/IEC 27003: Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Návod k implementaci;

  • ISO/IEC 27004: Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Měření;

  • ISO/IEC 27005: Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Řízení rizik;

  • ISO/IEC 27007: Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Postupy pro auditory;

  • ISO 27008: norma by měla obsahovat doporučení auditorům ISMS a bude doplňovat ISO 27007;

  • ISO 27009: norma by měla obsahovat doporučení pro auditování bezpečnostních opatření;

  • ISO 27010: norma by měla poskytovat doporučení pro vzájemnou komunikaci organizací a komunikaci organizací s vládou;

  • ISO 27011: norma by měla obsahovat doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů;

  • ISO 27012: norma by měla poskytovat bezpečnostní doporučení pro státní správu při elektronické komunikaci s občany;

  • ISO 27013: norma by měla poskytovat doporučení pro implementaci ISO/IEC 20000 a ISO/IEC 27001;

  • ISO 27014: norma by měla poskytovat doporučení organizacím při návrhu kontroly bezpečnosti IT;

  • ISO 27015: norma by měla obsahovat doporučení a požadavky na řízení bezpečnosti informací v prostředí finančních institucí (banky, pojišťovny);

  • ISO 27031: norma by měla obsahovat doporučení pro řízení kontinuity činností;

  • ISO 27032: norma by měla obsahovat bezpečnostní doporučení pro poskytovatele internetového připojení;

  • ISO 27033: norma by měla obsahovat doporučení pro implementaci protiopatření vztahujících se k bezpečnosti sítí;

  • ISO 27034: norma by měla obsahovat doporučení pro kybernetickou bezpečnost;

  • ISO 27035: norma by měla obsahovat doporučení pro řízení rizik;

  • ISO 27799: norma by měla obsahovat požadavky na BI ve zdravotnických zařízeních.

Legislativní souvislosti

Vedle výše uvedených technických norem se k problematice bezpečnosti informací vztahuje také celá řada právních norem. Omezíme se na předpisy v ČR, i když samozřejmě platí právní úprava EU. Oblasti informačních technologií se bezprostředně týkají zejména následující právní normy:

  • zákon č. 247/2008 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů;

  • zákon č. 412/2005 Sb., o ochraně utajovaných skutečností;

  • zákon č. 499/2004 Sb., o archivnictví a spisové službě;

  • zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů ("antispamový zákon“);

  • zákon č. 127/2005 Sb., o elektronických komunikacích;

  • zákon č. 124/2002 Sb., o platebním styku;

  • zákon č. 365/2000 Sb., o informačních systémech veřejné správy;

  • zákon č. 227/2000 Sb., o elektronickém podpisu;

  • zákon č. 151/2000 Sb., o telekomunikacích;

  • zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů;

  • zákon č. 106/1999 Sb., o svobodném přístupu k informacím.

Poznámka

Pozn.: Výše uvedený výčet není samozřejmě kompletní, slouží pouze pro dokreslení rozsahu naší problematiky. Detailněji se některými z těchto předpisů budeme věnovat v dalších aktualizacích příručky. Uvedené zákony platí vždy ve znění pozdějších novelizací.

Jak tedy vytvořit funkční systém řízení procesů bezpečnosti informací, aby pokrýval všechny oblasti, zajišťoval funkční ochranu a byl dostatečně efektivní? Odpověď už jsme naznačili v úvodu této kapitoly. Takové řešení představuje implementace požadavků normy ISO/IEC 17021 s využitím řady navazujících norem a normativních dokumentů. Postup vlastní implementace si nastíníme dále.

Implementace ISMS dle normy ISO/IEC 17021

Tato norma je určena pro všechny organizace, ať už komerční, neziskové či státní správu a samosprávu. Jejím smyslem je, jak už bylo řečeno, ochrana dat, informací a dalších aktiv, která mají pro organizaci význam, a minimalizace případného poškození organizace v případě bezpečnostních incidentů.

Pokud jde o jakoukoli firmu, její zákazníci ve všech oblastech se samozřejmě budou vždy plně spoléhat na to, že pokud poskytnou svému dodavateli k dispozici v obchodním styku informace, budou tyto informace (data) vždy dostatečně zabezpečeny.

Definice používaných pojmů

Co vlastně přesně znamená pojem informační bezpečnost (nebo bezpečnost informací)?

  • Informační bezpečnost znamená zabezpečení tří základních oblastí, a to jsou:

  • Důvěryhodnost: zajištění, že přístup k informacím mají pouze osoby pro to autorizované.

  • Integrita: přesnost a úplnost přenesené informace.

  • Dostupnost: zabezpečení přístupu k informacím a informačním aktivům pro příslušné uživatele, kdykoli je to třeba.

Důležité pojmy v oblasti ISMS

Uveďme si i definice některých dalších důležitých pojmů používaných v oblasti ISMS:

  • Aktivum: cokoliv, co má pro společnost nějakou cenu (logo, SW, budova).

  • Dostupnost: zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby.

  • Důvěrnost (důvěryhodnost): zajištění, že informace jsou přístupné nebo sdělené pouze těm, kteří jsou k tomu oprávněni.

  • Bezpečnost informací: zachování důvěrnosti, integrity a dostupnosti informací a dalších vlastností, jako např. autentičnost, odpovědnost, nepopiratelnost a spolehlivost.

  • Bezpečnostní událost: identifikovaný stav systému, služby nebo sítě, ukazující na možné porušení bezpečnostní politiky nebo selhání bezpečnostních opatření. Může se také jednat o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací.

  • Bezpečnostní incident: jedna nebo více nechtěných či neočekávaných bezpečnostních událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace a ohrožení bezpečnosti informací.

  • Integrita: zajištění správnosti a úplnosti informací.

  • Zbytkové riziko: riziko zbývající po uplatnění zvládání rizik.

  • Akceptace rizik: rozhodnutí přijmout riziko zpravidla mající přijatelnou hodnotu.

  • Analýza rizik: systematické používání informací k odhadu rizika a k identifikaci jeho zdrojů.

  • Hodnocení rizik: celkový proces analýzy a vyhodnocení rizik.

  • Vyhodnocení rizik: proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu.

  • Management rizik: koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika.

  • Zvládání rizik: proces výběru a přijímání opatření ke změně rizika.

  • Prohlášení o aplikovatelnosti: dokumentované prohlášení popisující cíle opatření a jednotlivá bezpečnostní opatření, která jsou relevantní a aplikovatelná v rámci ISMS organizace.

Poznámka

Pozn.: Definice vycházejí z norem řady ISO/IEC 27000.

Ztráta důvěrnosti informací

Ztráta důvěrnosti informací na jedné straně může vést k poškození image organizace u zákazníků, nehledě na možné právní důsledky takového incidentu. Ztráta integrity, dostupnosti, autenticity a spolehlivosti dat na straně druhé může vést k problémům v oblasti plánování, přípravy zakázek, procesů realizace až k navazujícím činnostem (balení, expedice, následný servis apod.) a tím ohrozit (ne-li přímo znemožnit) vlastní činnost firmy.

Dostatečná ochrana informací

S ohledem na důležitost zabezpečit dostatečnou ochranu informací a řídit bezpečnost systému informačních technologií (dále též pouze "IT“) uvnitř organizace již dnes používá řada firem více či méně dokumentovaná pravidla a postupy směřující k ochraně dat. Jsou to většinou požadavky týkající se jednak personální oblasti, jednak používaného SW a technického zázemí.

Vzhledem k tomu, že již dnes existuje celý soubor norem, které nabízejí ucelená řešení v této oblasti (viz normy řady ISO/IEC 27001), je nanejvýš vhodné pro vedení firmy analyzovat stávající situaci, vyhodnotit rizika a na základě tohoto vyhodnocení stanovit plán opatření např. dle "naší“ normy ČSN ISO/IEC 27001:2006, která slouží jako východisko pro následující činnosti:

  • zformulování politiky bezpečnosti IT,

  • určení odpovědností, povinností a pravomocí v oblasti IT uvnitř organizace,

  • analýza rizik,

  • management rizik,

  • monitorování, analýzy, revize.

Systémový přístup

Smyslem implementace požadavků normy je vytvořit systémový přístup k řízení bezpečnosti informací a předejít tak možnému poškození, ztrátě či zneužití dat, a to následujícími kroky:

  • definováním pojetí v oblasti řízení bezpečnosti IT v podmínkách společnosti,

  • identifikováním vztahu mezi systémem managementu společnosti obecně a systémem managementu IT,

  • vytvořením vhodného modelu řízení bezpečnosti IT,

  • realizací potřebných opatření;

Základní principy

Základními principy normy ČSN ISO/IEC 27001 jsou přitom:

  • definovat požadavky na systém řízení bezpečnosti informací,

  • vycházet ze známého Demingova cyklu PDCA,

  • stanovit pravidla a postupy pro systematický a odůvodněný výběr, prosazování, kontrolu a zlepšování bezpečnostních opatření.

Cyklus PDCA lze upravit pro potřeby ISMS následujícím způsobem:

Legenda: POA - Prohlášení o aplikovatelnosti

Důvody pro zavedení požadavků normy ISO/IEC 27001

Hlavní důvody pro zavedení požadavků normy ISO/IEC 27001:

  1. zajištění systémového přístupu v oblasti bezpečnosti IT,

  2. úspora nákladů na řešení neočekávaných incidentů.

Důvody proti zavedení požadavků normy ISO/IEC 27001:

  1. náročnost na zdroje,

  2. např. též dosavadní nulový počet incidentů ("zatím se nic nestalo...“).

Shrňme si jednotlivé kroky implementace požadavků normy. Pro lepší představu o vlastním postupu si pak tyto kroky rozebereme na jednoduchém příkladu.

Postup implementace

Postup implementace

Vytvoření systému managementu bezpečnosti informací je projekt. Jako takový znamená stanovit cíle, etapy, odpovědnosti, postupy, zdroje. Jeho základní etapy jsou následující:

Příprava projektu

  1. Příprava projektu:
    1. Strategické rozhodnutí - souhlas vedení společnosti, který umožňuje implementaci ISMS.

    2. Vytvoření realizačního týmu.

    Vlastní realizace projektu v 10 krocích

  2. Vlastní realizace projektu v 10 krocích:

    1. Úvodní analýza.

    2. Upřesnění jednotlivých etap.

    3. Provedení identifikace aktiv a stanovení jejich hodnoty. V rámci identifikace a ohodnocení aktiv společnost identifikuje všechna svá aktiva (věci hmotné, jako je třeba výpočetní technika, i "věci“ nehmotné, jako jsou data, znalosti, značka, apod.). Následuje stanovení hodnoty aktiv např. z hlediska integrity, dostupnosti a důvěrnosti, nákladů na jejich (znovu)pořízení apod.

    4. Analýza rizik. Její postup je popsán například v normě ISO/IEC 13335 (viz dále v našem příkladu). Analýza rizik je dokument, na němž je následně postaven celý systém bezpečnosti informací.

    5. Na analýzu rizik navazuje návrh opatření. Popisuje, jak bude společnost reagovat na nalezená kritická místa, definuje, jak by měl vypadat cílový stav, jak se k němu společnost dostane, termín splnění a případné nároky na zdroje.

    6. Prohlášení o aplikovatelnosti dle přílohy A normy ISO/IEC 27001.

    7. Vytvoření dokumentace. Pro přehlednost uvádíme souhrnný seznam nezbytných dokumentů v případě implementace ISMS dle ISO/IEC 27001:

      1. i. Rozsah a hranice ISMS
      2. ii. Politika ISMS
      3. iii. Definice a popis přístupu k hodnocení rizik
      4. iv. Identifikace rizik
      5. v. Analýza a vyhodnocení rizik
      6. vi. Identifikace a varianty pro zvládání rizik
      7. vii. Cíle opatření a bezpečnostní opatření pro zvládání rizik (viz příloha A normy)
      8. viii. Akceptace rizik
      9. ix. Získání povolení k provozování ISMS v rámci organizace
      10. x. Prohlášení o aplikovatelnosti
    8. Implementace opatření.

    9. Monitoring, analýza, zlepšování.

    10. Certifikace (pokud ji vedení požaduje).

Příklad implementace v organizaci

Příklad implementace v organizaci

Pro náš příklad použijeme organizaci AEC s. r. o. poskytující poradenské služby v oblasti systémů managementu. V souladu s požadavkem zajistit systémový přístup v oblasti bezpečnosti IT, což je hlavním důvodem pro zavedení požadavků a zároveň strategií vedení společnosti, bylo rozhodnuto provést analýzu výchozího stavu a naplánování dalších kroků. Dále uvedený komentář odpovídá našemu obecnému plánu realizace projektu v 10 krocích.

Na základě zvážení stávající organizační struktury, odpovědností, pravomocí a odborné způsobilosti je navržen následující realizační tým:

Pracovník Odpovědnosti, pravomoci
1 (Ředitel společnosti AEC) Přezkoumání, schvalování, rozhodování.
2 (Manažer kvality společnosti AEC) Návrh celkové koncepce, analýza rizik, návrh dokumentace. Interní audit.
3 (Odborný pracovník společnosti AEC - poradce) Spolupráce v rámci návrhu koncepce a analýzy rizik, připomínky, oponentura k návrhu koncepce, analýzy rizik, dokumentace. Interní audit - přezkoumání splnění požadavků ISMS v podmínkách společnosti AEC s. r. o.
4 (Externí pracovník - specialista dodavatelské IT firmy) Spolupráce v rámci návrhu opatření, implementace, řízení provozu, monitorování, zvládání incidentů, zlepšování.

1. Úvodní analýza výchozího stavu

Jak již bylo řečeno, s ohledem na důležitost zabezpečení dostatečné ochrany dat již dnes používá firma AEC dokumentovaná pravidla a postupy směřující k ochraně dat, a to v následujících oblastech:

Identifikace

Identifikace stávající administrativní a personální bezpečnosti

  • Společnost AEC má právně vynutitelná ujednání (smlouvy) k zabezpečení důvěrnosti informací získaných nebo vytvořených v průběhu výkonu poradenských činností na všech úrovních své struktury včetně externích pracovníků (odborných konzultantů a lektorů).

  • Společnost AEC považuje všechny informace získané v rámci svých činností za důvěrné.

  • Žádné informace týkající se určitého zákazníka nebo jeho produktů nesmí být bez jeho písemného souhlasu poskytnuty třetí straně. Vyplývá-li požadavek na zpřístupnění důvěrných informací třetí straně z právního předpisu, je příslušný zákazník o poskytnutí těchto informací předem informován tak, jak to právní předpis vyžaduje.

  • Informace o zákazníkovi z jiných zdrojů než od něho samého jsou považovány rovněž za důvěrné kromě těch, které jsou veřejně přístupné (např. na internetu).

  • Pracovníci společnosti AEC jsou povinni zachovávat mlčenlivost o důvěrných informacích organizace získaných v procesu realizace zakázek. Rovněž písemné informace je nutno považovat za důvěrné a nepovolaným osobám nesmí být umožněno nahlížení do spisů a archivních dokumentů. Mlčenlivost externích spolupracovníků je vázána rovněž smluvně. Porušení zásad mlčenlivosti je důvodem k okamžitému odvolání externího pracovníka ze zakázky a vyřazení z databáze externích spolupracovníků. Podepsaná smlouva včetně závazku o mlčenlivosti pracovníků je uložena v jejich personálních materiálech.

Identifikace typu systému IT

Identifikace typu systému IT:
  • samostatné pracovní stanice (notebooky),

  • server se sdílenými zdroji (počítačová síť v kanceláři).

Identifikace fyzikálních podmínek/podmínek okolního prostředí

Společnost má k dispozici a používá zařízení a vybavení, která zajišťují bezpečné zacházení s důvěrnými informacemi.

Podmínky uložení dat

Podmínky uložení dat:

  • Písemné materiály související s jednotlivými zakázkami jsou v době rozpracovanosti vždy u příslušného vedoucího pracovníka zakázky. V jeho nepřítomnosti jsou uzamčeny. Přístup k těmto dokumentům má vždy ředitel společnosti.

  • Počítače, v nichž jsou uloženy záznamy či dokumenty použité při zakázkách, jsou zabezpečeny heslem tak, aby k příslušným datům pro editaci měl přístup pouze odpovědný pracovník.

  • Záznamy ze zakázek vedených v elektronické formě jsou uloženy na serveru a pravidelně zálohovány.

Perimetr a budova

Perimetr a budova:

  • Budova je na ulici s mírným provozem na chráněném pozemku.

  • Budova je užívána více uživateli (administrativní komplex).

  • Citlivé oblasti - server, archiv jsou umístěny v oddělených prostorách s omezeným přístupem pouze pro pověřené pracovníky společnosti AEC.

Řízení přístupu

Řízení přístupu:

  • Kanceláře jsou přístupné pomocí čipu.

  • Čip mají pouze ti pracovníci, kteří v dané kanceláři pracují.

  • Přístup pracovníků, kteří provádějí úklid, je řízený správcem budovy.

  • Pronajaté kanceláře jsou v objektu, který je pod trvalou ostrahou bezpečnostní agentury.

  • Je instalován systém pro fyzickou kontrolu přístupu (recepce, přístup do kanceláří je zabezpečen prostřednictvím EZS).

  • Místnost se serverem je vybavena poplachovou signalizací pro případ neoprávněného vniknutí.

Stávající ochrana

Stávající ochrana:

  • požární detektory, poplachová zařízení v budově,

  • údržbu a provoz TZB zajišťuje provozovatel objektu (součást nájemní smlouvy).

2. Upřesnění jednotlivých etap

Plán přípravy a implementace požadavků

Pro další postup byl stanoven následující plán přípravy a implementace požadavků normy ISO/IEC 27001:

Příprava:

  1. určení rozsahu ISMS,

  2. stanovení politiky ISMS společnosti AEC.

Analýza rizik:

  1. c. aktiva,
  2. d. hrozby,
  3. e. zranitelnosti,
  4. f. dopady,
  5. g. rizika.

Identifikace a vyhodnocení variant pro zvládání rizik:

  1. h. program zvyšování úrovně bezpečnosti,
  2. i. prohlášení o aplikovatelnosti (POA).

Vlastní implementace:

  1. j. plán zvládání rizik,
  2. k. plán kontinuity a obnovy funkčnosti,
  3. l. organizační a administrativní opatření,
  4. m. technologická opatření.

Řízení provozu:

  1. n. program zvyšování bezpečnostního povědomí (výcvik),
  2. o. zjišťování a řízení bezpečnostních zranitelností,
  3. p. řízení provozních rizik,
  4. q. zvládání bezpečnostních incidentů.

Měření, analýza:

  1. r. monitoring provozu,
  2. s. testování funkčnosti opatření,
  3. t. audit,
  4. u. přezkoumávání ISMS.

Zlepšování:

  1. v. nápravná a preventivní opatření,
  2. w. návrhy na zlepšení a jejich realizace.

Příprava: Určení rozsahu a hranic ISMS dle čl. 4.2.1 normy ČSN ISO/IEC 27001:2006 na základě posouzení specifických rysů činností společnosti.

Rozsah ISMS bude navržen na základě následujících aspektů:

Specifické rysy organizace

a) Specifické rysy organizace:

Jedná se o společnost AEC s. r. o. poskytující odborné služby v oblasti systémů managementu a posuzování shody výrobků za účelem úspěšné certifikace systémů managementu případně splnění příslušných požadavků právních předpisů v oblasti zákona č. 22/1997 Sb. v pl. zn., o technických požadavcích na výrobky, včetně školení. Za tím účelem nakládá s množstvím informací, které lze rozdělit do dvou skupin:

  • záznamy z průběhu plánování, přípravy a realizace činností,

  • informace (data) zákazníků - dokumentace, informace získané v rámci přípravy na posuzování shody a zavádění systémů managementu.

Struktura organizace

b) Struktura organizace:

Strukturu organizace vymezuje organizační schéma:

Lokality

c) Lokality:

  • sídlo (řízení, administrativa) - jedna lokalita,

  • činnosti prováděné u zákazníka (v rámci EU).

Aktiva

d) Aktiva:

  • informační aktiva: datové soubory (databáze zákazníků),

  • dokumenty: řídicí dokumentace, smlouvy,

  • SW aktiva: MS Office, databáze zákazníků,

  • fyzická aktiva: HW, komunikační technika, budova (stolní počítače, server, mobilní telefony, notebooky, místnosti),

  • pracovníci: zaměstnanci, externí spolupracovníci,

  • image společnosti: název, logo, certifikace akreditovaným certifikačním orgánem, reference,

  • služby: odborné činnosti v procesu implementace systémů managementu a přípravy na posuzování shody výrobků.

Technologie

e) Technologie:

  • databáze,

  • vzdálený přístup (normy, právní předpisy).

f) Důvody pro vyjmutí z rozsahu ISMS (dle přílohy A normy ISO/IEC 27001):

  • A.9.1.6 - veřejný přístup se nepoužívá,

  • A.10.8.5 - nepoužívají se propojené podnikové informační systémy,

  • A.10.9.1 - elektronický obchod není prováděn.

S ohledem na výše uvedené je navržen následující rozsah ISMS:

Z hlediska procesů je ISMS omezen na "poradenské služby v procesu implementace systémů managementu a přípravy na posuzování shody a certifikaci výrobků včetně školení“. ISMS bude začleněn do stávajícího systému managementu odpovídajícího požadavkům normy ČSN EN ISO 9001:2009 . Vymezení rozsahu bude dále upřesněno v bezpečnostní politice IT.

Z hlediska organizace je vymezení hranic ISMS zřejmé z výše uvedeného organizačního schématu.

Příklad

Stanovení politiky ISMS společnosti AEC s. r. o.

Vztah mezi politikou ISMS a bezpečnostní politikou je vidět na následujícím obrázku:

Politika ISMS navazuje na celkovou politiku společnosti, kterou je poskytování kvalitních služeb očekávaných zákazníkem při zajištění přiměřeného zisku a plynulého rozvoje společnosti jako takové i jejích jednotlivých zaměstnanců. Politika ISMS je v souladu s politikou kvality a obsahuje zároveň jako jediný dokument bezpečnostní politiku společnosti.

POLITIKA ISMS SPOLEČNOSI AEC s. r. o.

Společnost AEC s. r. o. realizuje poradenské služby v procesu implementace systémů managementu a přípravy na posuzování shody a certifikaci výrobků včetně školení jako odborná firma certifikovaná dle ČSN EN ISO 9001 akreditovaným certifikačním orgánem, členem skupiny TÜV Austria Group.

Zákazníci společnosti se ve všech oblastech plně spoléhají na zabezpečení důvěrnosti při nakládání s jejich informacemi.

S vědomím nutnosti dostát tomuto očekávání včetně zabezpečení dostatečné důvěryhodnosti se vedení společnosti zavazuje implementovat požadavky ISMS v souladu s normou ISO/IEC 27001 a vyhlašuje následující politiku ISMS:

  • Chceme neustále zlepšovat bezpečnost informací vlastních i získaných v rámci realizace zakázek na místě u klientů na úrovni nejnovějších poznatků vědy a techniky v oboru.

  • Využíváním nových poznatků a vývoje vědy a techniky v oblasti SW, HW i dalších technických prostředků chceme trvale zabezpečovat 100% důvěrnost a bezpečnost informací.

  • Celoživotním vzděláváním svých pracovníků chceme zajišťovat neustále rostoucí úroveň povědomí o zákonných a regulatorních požadavcích v oblasti bezpečnosti informací.

  • Vytváříme a neustále zlepšujeme takovou organizační strukturu, technické prostředky a jiné zdroje, abychom vytvářeli, implementovali a zlepšovali efektivnost ISMS naší společnosti.

  • Vyhodnocujeme kontinuálně přístup k hodnocení rizik tak, aby námi zvolená metodika trvale umožňovala identifikovat rizika, stanovit jejich akceptovatelnou úroveň a aplikovat vhodná opatření tak, aby byla dosažena úroveň bezpečnosti informací požadovaná zákazníky i vedením společnosti.

  • Součástí politiky ISMS je bezpečnostní politika, která zahrnuje plnění požadavků zejména na analýzu a řízení rizik ve vztahu k BOZP a PO tak, aby byla zajištěna bezpečnost pracovníků společnosti v rámci všech činností vykonávaných z jejího pověření a zároveň nevznikala nepřijatelná ohrožení okolí.

Za AEC s .r. o. v Praze, 1. 6. 2009 ředitel v. r.

3. Provedení identifikace aktiv a stanovení jejich hodnoty

Identifikace a ohodnocení aktiv organizace je základní krok v celkovém procesu analýzy rizik. Vlastní proces hodnocení aktiv si každá organizace může nastavit individuálně podle svých potřeb, nicméně základní popis procesu identifikace a hodnocení aktiv včetně navazujících procesů je uveden ve zmiňované normě ČSN ISO/IEC TR 13335.

Aby bylo možno provést ohodnocení aktiv, musí být tedy nejprve vhodným způsobem identifikována. V této etapě se doporučuje seřadit všechna aktiva, která k sobě logicky patří (například SW aktiva, obchodní aktiva, fyzická aktiva apod.). Je vhodné již v této etapě identifikovat tzv. vlastníka daného aktiva, tj. pověřenou osobu odpovědnou za toto aktivum, se kterým budeme spolupracovat na určení konkrétní hodnoty aktiva.

Co jsou aktiva?

Co jsou aktiva?

Podle definic uvedených v předchozích odstavcích je aktivum ta část celého systému, které organizace přikládá určitou hodnotu a pro kterou je třeba mít nastavený způsob ochrany. Mezi nejdůležitější aktiva řadíme:

  • informace - data (např. databáze zákazníků),

  • hardware (PC, tiskárna, notebook),

  • software (program, aplikace apod.),

  • komunikační zařízení (sítě, telefony, modemy),

  • dokumenty (smlouvy, zápisy z porad, z valné hromady apod.),

  • personál (znalosti),

  • image organizace.

V našem příkladu na základě shrnutí předchozí etapy (analýzy výchozího stavu) je stanoveno následující:

Bezpečnostní cíle společnosti

  1. Bezpečnostní cíle společnosti:
    • dostupnost dat pro plánování zakázek těm, kdo je potřebují a jsou k tomu oprávněni (zejména databáze zákazníků, dokumentace, projekty a podklady zákazníků),

    • integrita dat pro plánování a realizaci zakázek (databáze, email, telefon) tak, aby informace byla vždy přesná, kompletní, nikým nemodifikovaná,

    • důvěryhodnost informací (k dokumentaci a záznamům mají přístup pouze autorizované osoby).

    Bezpečnostní strategie

  2. Bezpečnostní strategie:

    • Vhodná metodika analýzy rizik pro celou společnost dle normy ISO/IEC TR 13335

    Bezpečnostní politika

  3. Bezpečnostní politika IT celé společnosti: bude zpracována po výsledku analýzy rizik formou samostatného dokumentu

Zvolená metodika

Zvolená metodika: základní přístup dle ČSN ISO/IEC TR 13335-3:2000

Základní přístup je uplatňován v následujících krocích:

  1. krok - identifikace aktiv a jejich ocenění (hodnota) z hlediska bezpečnosti informací,

  2. krok - určení hrozeb útočících na aktiva a zranitelností vůči těmto hrozbám,

  3. krok - ohodnocení pravděpodobnosti hrozby ve vztahu k zranitelnosti,

  4. krok - výpočet rizika - součin hodnoty aktiva a pravděpodobnosti dopadu,

  5. krok - stanovení hranice pro akceptovatelnou úroveň,

  6. krok - výstup z "analýzy rizik“,

  7. krok - identifikace stávajících a budoucích opatření ke snižování/minimalizaci/odstranění rizik, přiřazení odpovědností, termínů splnění a zdrojů (zvažovány bezpečnostní požadavky),

  8. krok - sestavení plánu zvládání rizik (PZR) pro rizika v hodnotě od 11 a výš,

  9. krok - všechna rizika do hodnoty 10 jsou evidována jako zbytková rizika.

Identifikace aktiv

Identifikace aktiv

Budou vzaty v úvahu následující prvky:

  • informační aktiva: datové soubory (databáze zákazníků),

  • dokumenty: řídicí dokumentace, smlouvy,

  • SW aktiva: databáze zákazníků,

  • fyzická aktiva: HW, komunikační technika, budova (stolní počítače, server, mobilní telefony, notebooky, místnosti),

  • pracovníci: zaměstnanci, externí spolupracovníci,

  • služby: odborné činnosti v procesu poradenství.

Identifikovaná aktiva v našem příkladu jsou uvedena v registru aktiv.

Pozn.: Následující příklad je ilustrativní a jako takový je proveden zjednodušenou formou. Rovněž zvolená metodika analýzy rizik je pro lepší pochopení pouze na základní úrovni.

REGISTR AKTIV SPOLEČNOSTI AEC s. r. o.

Oblast Druh aktiv Č. Aktivum
Informační aktiva Informace/data 1. Databáze klientů
Dokumenty Dokumenty 2. Řídicí dokumentace (příručka kvality)
3. Složky zákazníka (papírové)
4. Personální záznamy
5. Dokumentace zákazníka (data) na serveru
6. Dokumentace zákazníka (data) v notebooku
7. MS Word, MS Excel
Fyzická aktiva HW 8. Počítače
9. Tiskárna
Komunikační technika 10. Mobilní telefony
11. Pevná linka
12. Server
13. Internet
Budova 14. Místnosti
15. Okolí
Technické prostředky 16. Auta
Lidé Pracovníci 17. Zaměstnanci
18. Externí spolupracovníci
Služby Zákazníci 19. Odborné činnosti v procesu poradenství (znalosti)

Hodnota aktiva

A. Hodnota aktiva:

Ve chvíli, kdy máme identifikovaná aktiva, musíme k nim přiřadit hodnoty. Tyto hodnoty představují význam aktiv pro činnost organizace. Vstupní údaje pro hodnocení aktiv budou zajištěny vlastníky a uživateli aktiv, například formou dotazníku, případně pomocí rozhovoru či brainstormingu.

Pro výpočet hodnoty aktiva (viz pravý sloupec v tabulce "Hodnota aktiva“) existují specializované programy. Je také možné vytvořit si základní tabulky pro výpočet ohodnocení aktiv například v programu MS Excel nebo v jiném tabulkovém editoru. My jsme použili jednoduchou metodu Metoda 1 - Maticové vyjádření hodnoty aktiva, kdy je pro zařazení aktiva do určité úrovně zásadní stanovisko vlastníka aktiva. Dále byla použita Metoda 2 - Potenciální nepříznivé dopady na činnosti organizace plynoucí ze ztráty důvěrnosti, integrity, dostupnosti, individuální odpovědnosti, autenticity a spolehlivosti. V našem příkladu jsou uvedené dva způsoby zvoleny z důvodů možnosti porovnání výsledných hodnot.

Důležitým krokem je stanovení stupnice a hodnotících kritérií, která budou použita k přiřazování ohodnocení určitého aktiva. Tato stupnice může být vyjádřena penězi (tj. náklady na pořízení v naší matici) nebo kvalitativními hodnotami (potenciální nepříznivé dopady na činnost). Možné je také obě varianty kombinovat. Nejčastěji bývá použita hodnotová škála 1 - 5, přičemž 1 znamená nízká hodnota, 5 velmi vysoká hodnota. Typické termíny používané pro kvalitativní hodnocení jsou uvedeny v matici u Metody 1.

Vraťme se k našemu příkladu:

Hodnota aktiva = význam aktiv pro činnost organizace (vztah k nákladům na pořízení, udržování, potenciální nepříznivé dopady na činnost pokud dojde ke ztrátě důvěrnosti, integrity, dostupnosti...).

Hodnota je vyjádřená kvalitativně (viz matice - stupnice zanedbatelný - nízký - střední - vysoký - velmi vysoký)

Metoda 1 - Maticové vyjádření hodnoty aktiva

Náklady na pořízení Zanedbatelné
Do 10.000,-
Nízké
Do 50.000,-
Střední
Do 100.000,-
Středně vysoké
Do 150.000,-
Vysoké
Nad 150.000,-
Potenciální nepříznivé dopady na činnost 1 2 3 4 5
Zanedbatelné
Nepříznivé účinky při prosazování práva, narušení veřejného pořádku 1
1 2 3 4 5
Nízké
Narušení spojené s osobní informací 2
2 4 6 8 10
Střední
Narušení obchodního tajemství
Snížení výkonu 3
3 6 9 12 15
Vysoké
Porušení legislativy
Ohrožení osobní bezpečnosti
Ohrožení bezpečnosti prostředí 4
4 8 12 16 20
Velmi vysoké
Ztráta dobrého jména
Finanční ztráta Přerušení obchodních činností
Existenční potíže 5
5 10 15 20 25
Legenda:
Hodnota aktiva: 1 - 25; přičemž nad 15 je vysoká.

HODNOTA AKTIVA

Oblast Druh aktiv Č. Aktivum Hodnota
stanovená
metodikou
1
Informační aktiva Informace/data 1. Databáze klientů 15
Dokumenty Dokumenty 2. Řídicí dokumentace (příručka kvality) 6
3. Složky zákazníka (papírové) 10
4. Personální záznamy 3
5. Dokumentace zákazníka (data) na serveru 3
6. Dokumentace zákazníka (data) v notebooku 3
7. MS Word, MS Excel 6
Fyzická aktiva HW 8. Počítače 9
9. Tiskárna 6
Komunikační technika 10. Mobilní telefony 15
11. Pevná linka 6
12. Server 15
13. Internet 9
Budova 14. Místnosti 9
15. Okolí 1
Technické prostředky 16. Auta 16
Lidé Pracovníci 17. Zaměstnanci 20
18. Externí spolupracovníci 15
Služby Zákazníci 19. Odborné činnosti v procesu poradenství (znalosti) 20

Metoda 2 - Potenciální nepříznivé dopady na činnosti plynoucí ze ztráty:

  • důvěrnosti (D) - zajištění, že informace jsou přístupné pouze oprávněným pracovníkům,

  • integrity (I) - správnost a úplnost informací,

  • Dostupnosti (Dt) - informace je přístupná v okamžiku potřeby.

Použita stupnice hodnot 1 až 5:

1 - zanedbatelný

dopad na
činnosti
organizace
2 - nízký
3 - střední
4 - vysoký
5 - velmi vysoký

Výsledná hodnota H = (D + I + Dt)/3
(zaokrouhleno na celá čísla)

HODNOTA AKTIVA

Poř. č. Aktivum Důvěrnost Integrita Dostupnost Hodnota
stanovená
metodikou 2
(D) (I) (Dt) (H)
1. Databáze klientů 5 3 4 4
2. Řídicí dokumentace 3 4 2 3
3. Složky zákazníka 5 4 3 4
4. Personální záznamy 5 4 5 5
5. Dokumentace zákazníka na serveru 5 2 3 3
6. Dokumentace zákazníka v notebooku 5 3 1 3
7. MS Word, Excel 3 3 3 3
8. Počítače 4 3 4 4
9. Tiskárna 2 2 3 2
10. Mobilní telefony 5 2 2 3
11. Pevná linka 5 1 1 2
12. Server 5 5 3 4
13. Internet 5 4 3 4
14. Místnosti 4 3 2 3
15. Okolí 1 1 1 1
16. Auta 2 2 4 3
17. Zaměstnanci 5 4 3 4
18. Externí spolupracovníci 5 4 2 4
19. Odborné činnosti (znalosti) 5 5 5 5

Porovnání výsledků metodiky 1 a 2

Poř.č. Aktivum Výsledné hodnocení
Metodika 1 Metodika 2
1. Databáze klientů 15 4
2. Řídicí dokumentace 6 3
3. Složky zákazníka 10 4
4. Personální záznamy 3 5
5. Dokumentace zákazníka na serveru 3 3
6. Dokumentace zákazníka v notebooku 3 3
7. MS Word, Excel 6 3
8. Počítače 9 4
9. Tiskárna 6 2
10. Mobilní telefony 15 3
11. Pevná linka 6 2
12. Server 15 4
13. Internet 9 4
14. Místnosti 9 3
15. Okolí 1 1
16. Auta 16 3
17. Zaměstnanci 20 4
18. Externí spolupracovníci 15 4
19. Odborné činnosti (znalosti) 20 5

Hodnocení hrozeb

Hodnocení hrozeb:

Hrozba představuje možnost poškodit zkoumaný systém IT a jeho aktiva. Hrozby mohou být jak přírodního, tak lidského původu a mohou být úmyslné nebo náhodné. Jako základní katalog hrozeb lze využít seznam uvedený v normě ČSN ISO/IEC TR 13335.

Hrozby jsou tedy veškeré okolnosti, které mohou vést k poškození informačního systému. Hrozba má potenciální schopnost způsobit nežádoucí incident, který může mít za následek:

  • poškození systému,

  • poškození organizace,

  • poškození aktiv.

Výběr v našem příkladu je proveden pomocí přílohy C normy CSN ISO/IEC 13335-3, která uvádí seznam možných typů hrozeb.

Seznam hrozeb a pravděpodobnosti jejich výskytu

Aktivum Hrozba P
Databáze klientů Ztráta integrity 1
Vymazání databáze 1
Poškození paměťového média 1
Použití dat neautorizovanými uživateli 2
Předstírání identity uživatele 1
Řídicí dokumentace Zničení (požár) 1
Krádež 2
Ztráta 2
Zneužití 3
Změna informace 2
Složky zákazníka Zničení (požár) 1
Krádež 2
Ztráta 4
Zneužití 3
Personální záznamy Ztráta 1
Zneužití 3
Dokumentace zákazníka na serveru Zničení (požár) 1
Krádež 2
Ztráta 4
Zneužití 3
Vymazání souboru 4
Dokumentace zákazníka v notebooku Krádež 4
Ztráta 4
MS Word, Excel Selhání 2
Poškození 2
Škodlivý SW 3
Neoprávněná instalace SW 3
Počítače Krádež 4
Ztráta 4
Selhání 3
Tiskárna Krádež 1
Selhání 3
Mobilní telefony Krádež 4
Ztráta 4
Selhání operátora 2
Odposlech 3
Pevná linka Selhání poskytovatele 2
Porucha 2
Odposlech 3
Server Technické selhání 3
Poškození 3
Přístup neautorizovanými uživateli 1
Internet Nedostupnost/přetížení 3
Hacking 4
Nepřátelský program 4
Chyba přenosu při dálkovém připojení 4
Chybné směrování zpráv 4
Přesměrování zpráv 3
Místnosti Požár 1
Krádež 1
Selhání dodávky energie 1
Okolí Požár 1
Auta Porucha 4
Nehoda 3
Krádež 3
Přepadení 1
Zaměstnanci Nedostupnost/nedostatek 2
Chyby a opomenutí 3
Nehoda 3
Úmyslná škoda 3
Externí spolupracovníci Nedostupnost/nedostatek 1
Chyby a opomenutí 4
Nehoda 3
Zneužití 3
Odborné činnosti Nedodržení smlouvy 2
Nedostupnost 2
Zveřejnění důvěrných informací 1
Legenda:
P: Pravděpodobnost hrozby:
Použito bodové hodnocení1 - 5, kde
1 - nejnižší,
2 - nízká,
3 - střední,
4 - vysoká,
5 - nejvyšší.

Odhad zranitelností

Odhad zranitelností

Tento odhad odhalí slabá místa ve fyzickém prostředí, organizaci, postupech, personálu, managementu, HW, SW nebo komunikačním zařízení, která mohou být využita zdrojem hrozby a způsobit tak škodu na aktivech.

Zranitelnost je vlastnost konkrétního informačního systému, slabé místo na úrovni:

- fyzické,

Podmínky umožňující
hrozbě ovlivnit
aktiva
a způsobit škodu
- organizační,
- procedurální,
- personální,
- řídicí,
- administrativní,
- HW, SW,
- informací.

Zranitelnost sama o sobě není příčinou škody, ke škodě dojde tehdy, pokud je slabé - zranitelné místo využité hrozbami. Analýza zranitelnosti je tedy prozkoumání slabých míst, která jsou využitelná identifikovanými hrozbami (slabým místem může být např. složité uživatelské rozhraní, nestabilní dodávka energie, nechráněná komunikační linka, nekvalifikovaný personál apod.).

Výsledkem tohoto kroku je pak seznam zranitelností a odhad snadnosti jejich využití, například s použitím stupnice vysoký, střední, nízký.

Výběr v našem příkladu je opět proveden pomocí normy ČSN ISO/IEC 13335-3 - příloha D, příklady obecných zranitelností.

Okamžitou pozornost dále věnujeme zranitelnostem, kterým odpovídá určitá hrozba.

Seznam zranitelností a odhad snadnosti jejich využití

                                                                                                                                                               
Aktivum Hrozba Zranitelnost O
Databáze klientů Ztráta integrity Známé chyby softwaru
Nedostatek efektivního řízení změn
S
S
Vymazání databáze Nedostatečné zálohování N
Poškození paměťového média Nedostatečná údržba S
Použití dat neautorizovanými uživateli Nedostatečný management hesel
Nesprávné používání přístupových práv
S
S
Předstírání identity uživateleN
Řídicí dokumentace Zničení (požár)
Krádež
Ztráta Nedostatečná péče V
Zneužití Nedostatek monitorovacích systémů V
Změna informace
Složky zákazníka Zničení (požár)
Krádež
Ztráta Nedostatečná péče S
Zneužití
Personální záznamy Ztráta Nedostatečná péče N
Zneužití Nedostatek monitorovacích systémů N
Dokumentace zákazníkana serveru Zničení (požár)
Krádež
Ztráta
Zneužití Nekontrolovatelné kopírování V
Vymazání souboru Nedostatečné zálohování S
Dokumentace zákazníka v notebooku Krádež Nechráněná paměť V
Ztráta
MS Word, Excel Selhání
Poškození
Škodlivý SW
Neoprávněná instalace SW Nedostatek povědomí o bezpečnosti S
Počítače Krádež
Ztráta
Selhání Nedostatek schémat periodické náhrady hardwaru S
Tiskárna Krádež
Selhání Nedostatek schémat periodické náhrady hardwaru N
Mobilní telefony Krádež
Ztráta
Selhání operátora
Odposlech
Pevná linka Selhání poskytovatele
Porucha
Odposlech
Server Technické selhání
Poškození
Přístup neautorizovanými uživateli
Internet Nedostupnost/přetížení
Hacking Nechráněná spojení veřejných sítí V
Nepřátelský program
Chyba přenosu při dálkovém připojení
Chybné směrování zpráv
Přesměrování zpráv
Místnosti Požár
Krádež
Selhání dodávky energie
Okolí Požár
Auta Porucha Nedostatečná péče N
Nehoda Nedostatečné bezpečnostní školení S
Krádež
Přepadení Nedostatečné bezpečnostní školení S
Zaměstnanci Nedostupnost/ nedostatek Absence personálu V
Chyby a opomenutí Nedostatečné bezpečnostní školení
Nesprávné používání HW a SW
Nedostatek monitorovacích systémů
S
S
S
Nehoda
Úmyslná škoda Neadekvátní postupy přijímání nových zaměstnanců V
Externí spolupracovníci Nedostupnost/ nedostatek Absence personálu S
Chyby a opomenutí Nedostatečné bezpečnostní školení S
Zneužití informací Nedostatečná motivace V
Nehoda
Odborné činnosti Nedodržení smlouvy Nedostatečné přezkoumání smlouvy V
Nedostupnost Nedostatek personálu V
Zveřejnění důvěrných informací Nedostatečné bezpečnostní školení V
Legenda:
O: odhad snadnosti využití zranitelností: V - vysoká; S - střední; N - nízká.

Kroky, které budou následovat:

  • odhad rizik,

  • identifikace existujících/plánovaných ochranných opatření,

  • přijetí/nepřijetí rizik,

  • implementace nápravných opatření.

4. Analýza rizik

Analýza rizik je prováděna za účelem identifikace zranitelných míst informačního systému organizace. Vychází ze seznamu hrozeb působících na společnost a stanovuje míru rizika příslušnou každému zranitelnému místu a hrozbě. Účelem takového dokumentu je stanovení potřebných opatření pro snížení rizik na přijatelnou úroveň, respektive akceptaci zbytkových rizik tam, kde je jejich minimalizace neefektivní.

Analýza rizik je rozdělována na 4 základní úrovně (viz opět CSN ISO/IEC TR 13335). Pro rozhodnutí, který přístup je pro který systém IT vhodný, bude mít význam zohlednění následujících skutečností:

  • jakých cílů má být použitím systému IT dosaženo,

  • úroveň investic do tohoto systému IT,

  • aktiva systému IT, kterým organizace přiřazuje určitou hodnotu,

  • stupeň, v jakém činnost organizace závisí na systému IT (zda jsou funkce, které organizace považuje pro své přežití za kritické nebo efektivní, závislé na tomto systému IT).

Z této základní analýzy vyplyne, které systémy jsou vhodné k nasazení základního přístupu (ty méně kritické, nákladné apod.) a u kterých je nutné provést podrobnou analýzu rizik.

Úrovně analýzy rizik

Úrovně analýzy rizik:
  1. Hrubá úroveň: tato analýza bere v úvahu hodnotu IT systému pro činnost organizace a zpracovávaných informací a rizika z pohledu činnosti organizace.

  2. Neformální přístup: využívá znalosti a zkušenosti jednotlivců; nevyžaduje obvykle mnoho zdrojů nebo času, k provedení této neformální analýzy není nutné se naučit nové dodatečné dovednosti a tato analýza je provedena rychleji než podrobná analýza rizik.

  3. Kombinovaný přístup: nejprve je provedena počáteční analýza rizik na hrubé úrovni pro všechny systémy IT, která se soustřeďuje u každého případu na hodnotu systému IT pro činnost organizace a na vážná rizika, jimž je systém IT vystaven. U systémů IT, které jsou identifikovány jako významné pro činnost organizace a/nebo vystavené vysokým rizikům, následuje podrobná analýza rizik.

  4. Podrobný přístup: podrobná analýza rizik systému IT obsahuje identifikaci souvisejících rizik a odhad jejich velikosti, provádí se identifikací potenciálních nepříznivých dopadů nežádoucích událostí na činnost organizace a pravděpodobnost jejich výskytu. Pravděpodobnost výskytu bude záviset na tom, jak atraktivní jsou aktiva pro potencionálního útočníka, na pravděpodobnosti výskytu hrozeb a na snadnosti, s kterou mohou být zranitelnosti využity.

Norma doporučuje použít kombinaci metod neformální a detailní analýzy rizik. Nejprve je provedena počáteční analýza rizik na hrubé úrovni pro všechny systémy IT. U systémů, které budou identifikovány jako významné pro činnost organizace, případně vystavené vysokým rizikům, se obvykle provádí následně podrobná analýza rizik.

Výše rizika může být popsána příkladem v následující tabulce.

Riziko Popis
Nepřijatelné Nelze tolerovat, riziko musí být odstraněno.
Poškozující Je vhodné riziko odstranit, ale je třeba zvážit náklady s tím spojené.
Přijatelné Riziko je přijatelné, pokud je monitorováno.
Zanedbatelné Riziko není třeba analyzovat.

Použitá metoda v našem příkladu - zařazení hrozeb podle míry rizika jednoduchým výpočtem:

MR = H x P

Kde MR = míra rizika, H = hodnota aktiva, P = pravděpodobnost.

 
1 - 5: zařazení hrozby 1
6 - 10: zařazení hrozby 2
11 - 15: zařazení hrozby 3
16 - 20: zařazení hrozby 4
21 - 25: zařazení hrozby 5

Zařazení hrozeb podle míry rizika

Č.
aktiva
Popis hrozby Hodnota
dopadu (aktiv)
Pravděpodobnost
výskytu hrozby
Míra
rizika
Zařazení
hrozby
(H) (P) (MR)
1 Ztráta integrity 4 1 4 1
Vymazání databáze 4 1 4 1
Poškození paměťového média 4 1 4 1
Použití dat neautorizovanými uživateli 4 2 8 2
Předstírání identity uživatele 4 1 4 1
2 Zničení (požár) 3 1 3 1
Krádež 3 2 6 2
Ztráta 3 2 6 2
Zneužití 3 3 9 2
Změna informace 3 2 6 3
3 Zničení (požár) 4 1 4 1
Krádež 4 2 8 2
Ztráta 4 4 16 4
Zneužití 4 3 12 3
4 Ztráta 5 1 5 1
Zneužití 5 3 15 3
5 Zničení (požár) 3 1 3 1
Krádež 3 2 6 2
Ztráta 3 1 3 1
Zneužití 3 3 9 2
Vymazání souboru 3 4 12 3
6 Krádež 3 4 12 3
Ztráta 3 4 12 3
7 Selhání 3 2 6 1
Poškození 3 2 6 1
Škodlivý SW 3 3 9 2
Neoprávněná instalace SW 3 3 9 2
8 Krádež 4 4 16 4
Ztráta 4 4 16 4
Selhání 4 3 12 3
9 Krádež 2 1 2 1
Selhání 2 3 6 2
10 Krádež 3 4 12 3
Ztráta 3 4 12 3
Selhání operátora 3 2 6 2
Odposlech 3 3 9 2
11 Selhání poskytovatele 2 2 4 1
Porucha 2 2 4 1
Odposlech 2 3 6 2
12 Technické selhání 4 3 12 3
Poškození 4 3 12 3
Přístup neautorizovanými uživateli 4 1 4 1
13 Nedostupnost/ přetížení 4 3 12 3
Hacking 4 4 16 4
Nepřátelský program 4 4 16 4
Chyba přenosu při dálkovém připojení 4 4 16 4
Chybné směrování zpráv 4 4 16 4
Přesměrování zpráv 4 3 12 3
14 Požár 3 1 3 1
Krádež 3 1 3 1
Selhání dodávky energie 3 1 3 1
15 Požár 1 1 1 1
16 Porucha 3 4 12 3
Nehoda 3 3 9 2
Krádež 3 3 9 2
Přepadení 3 1 3 1
17 Nedostupnost/ nedostatek 4 2 8 2
Chyby a opomenutí 4 3 12 3
Nehoda 4 3 12 3
Úmyslná škoda 4 3 12 3
18 Nedostupnost/ nedostatek 4 1 4 1
Chyby a opomenutí 4 4 16 4
Zneužití informací 4 3 12 3
nehoda 4 3 12 3
19 Nedodržení smlouvy 5 2 10 2
Nedostupnost 5 2 10 2
Zveřejnění důvěrných informací 5 1 5 1

5. Identifikace stávajících a budoucích opatření

Přehled opatření ke snižování/minimalizaci/odstranění rizik včetně přiřazení odpovědností, termínů splnění a zdrojů:

  • v této fázi identifikace stanovíme opatření pro rizika v hodnotě 16 a výš (hrozba úrovně 4 a 5),

  • následuje sestavení plánu zvládání rizik (PZR) pro rizika v hodnotě od 11 a výš (hrozba úrovně 3),

  • všechna rizika do hodnoty 10 jsou evidována jako zbytková rizika (hrozba úrovně 1 a 2).

IDENTIFIKACE OPATŘENÍ

                       
Aktivum Hrozba Možný dopad (riziko) Stávající/potřebná opatření O T Z
Složky Ztráta zákazníka Porušení integrity, důvěryhodnosti, dostupnosti S: zabezpečení archivu
Počítače Krádež
Ztráta
Porušení důvěryhodnosti,
zneužití konkurencí
S: zabezpečení místností, vybavení vozidel alarmem
PO:
Vytvoření bezpečnostní politiky IT společnosti.
Bezpečnostní školení uživatelů.
Internet Hacking Nepř. program Chyba přenosu Chybné směrování zpráv Porušení integrity, důvěryhodnosti, dostupnosti, zneužití konkurencí, ztráta potenciálního zákazníka S: AVG, aktualizace záplat, autorizaceheslem, správa heselexterní firmou, zálohování externí firmou, údržba externí firmou
PO:
Certifikace elektronického podpisu.
Externí pracovníci Chyby a opomenutí Porušení důvěryhodnosti, zneužití konkurencí S: smlouvy, čestná prohlášení, výcvik a školení, namátková kontrola.
PO:
Vytvoření bezpečnostní politiky IT společnosti.
Bezpečnostní školení uživatelů

Legenda: O - odpovídá, T - termín, Z - zdroje.

Postup analýzy rizik

V předchozí části této kapitoly jsme si popsali na základě námi zvolené metodiky vycházející z norem řady ČSN ISO/IEC TR 13335 na příkladu fiktivní společnosti AEC postup analýzy rizik v těchto krocích:

  1. krok - identifikace aktiv a jejich ocenění (hodnota) z hlediska bezpečnosti informací,

  2. krok - určení hrozeb útočících na aktiva a zranitelností vůči těmto hrozbám,

  3. krok - ohodnocení pravděpodobnosti hrozby ve vztahu k zranitelnosti,

  4. krok - výpočet rizika - součin hodnoty aktiva a pravděpodobnosti dopadu,

  5. krok - stanovení hranice pro akceptovatelnou úroveň.

Za hranici pro akceptovatelnou úroveň v našem příkladu byla zvolena hodnota míry rizika 15, od hodnoty 16 a více se již jedná o tzv. neakceptovatelnou úroveň.

Na základě námi provedené analýzy byla dalším krokem identifikace stávajících a budoucích opatření včetně sestavení přehledu opatření ke snižování, minimalizaci a odstranění rizik, tedy 6. a 7. krok etapy analýzy rizik a identifikace opatření v našem projektu.

Bezpečnostní politika IT

Dalším logickým výstupem z naší analýzy rizik bude, jak už je zřejmé z tabulky "IDENTIFIKACE OPATŘENÍ“ (viz krok 5), sestavení bezpečnostní politiky IT společnosti. Poté sestavíme pro účely certifikace tzv. prohlášení o aplikovatelnosti dle přílohy A normy ISO/IEC 27001. Tím bude ukončena fáze ustavení ISMS. V rámci zavádění a provozování ISMS budeme následně pokračovat plánem zvládání rizik (pro rizika v hodnotě od 11 a výše).

Příprava

Shrneme-li pro přehlednost etapy našeho projektu, které jsme až dosud v ilustrativním příkladu realizovali, máme v tuto chvíli za sebou přípravu, tj.:

  • strategické rozhodnutí vedení společnosti, které umožnilo implementaci ISMS,

  • úvodní analýzu stávajícího stavu ISMS ve společnosti AEC,

  • upřesnění jednotlivých etap projektu,

  • určení rozsahu ISMS,

  • stanovení politiky ISMS společnosti AEC.

Analýzu rizik

V další etapě jsme následně provedli analýzu rizik, tj.:

  • identifikaci aktiv,

  • určení hrozeb a zranitelností vůči těmto hrozbám,

  • stanovení dopadů,

  • výpočet míry rizika.

Identifikaci a vyhodnocení variant pro zvládání rizik

Následovala část zahrnující identifikaci a vyhodnocení variant pro zvládání rizik, tj.:

  • stanovení hranice pro akceptovatelnou úroveň,

  • identifikace stávajících a budoucích opatření včetně přehledu opatření ke snižování rizik.

V této fázi, jak už bylo zmíněno, sestavíme na základě naší analýzy bezpečnostní politiku a prohlášení o aplikovatelnosti.

Bezpečnostní politika IT

Bezpečnostní politika IT

Bezpečnostní politika IT celé společnosti je jedním ze základních dokumentů, které stanovují požadavky týkající se bezpečnosti. Politika vychází z cílů, strategií, závěrů z analýzy rizik, výsledků kontroly, monitorování, auditů. Podrobný návod z hlediska obsahu tohoto dokumentu i způsobu jeho tvorby popisuje např. norma ČSN ISO/IEC TR 13335-3.

Pozn.: Tuto normu nahradila v nedávné minulosti norma ČSN ISO/IEC 27005:2009 - Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací. Nicméně v oblasti popisu smyslu a obsahu bezpečnostní politiky můžeme vycházet z normy původní, která věnuje této části celou samostatnou přílohu.

Organizační složky společnosti

Tento dokument by měl pokrývat celou společnost včetně všech oblastí, na jeho vývoji by se proto měly podílet různé (ne-li všechny) organizační složky společnosti, jako např.:

  • vrcholový a střední management,

  • bezpečnostní technik,

  • administrátor, správce sítě,

  • ekonomický úsek,

  • personální úsek,

  • správa společnosti (facility management),

  • úsek vnitřního auditu,

  • ...

Náležitosti bezpečnostní politiky IT

Do jejího obsahu mj. zejména patří:

  • bezpečnostní cíle,

  • požadavky na zabezpečení BI z hlediska důvěrnosti, integrity, dostupnosti,

  • metodika analýzy a managementu rizik,

  • obecná i konkrétní pravidla pro jednotlivé oblasti BI,

  • systém zvyšování bezpečnostní povědomí, školení,

  • zdroje na zabezpečení BI,

  • organizační záležitosti,

  • ...

Pro představu o obsahu bezpečnostní politiky opět přinášíme její část týkající se našeho příkladu.

Příklad části bezpečnostní politiky IT společnosti:

Bezpečnostní politika IT společnosti AEC

Účel a předmět
Společnost AEC poskytuje odborné služby v oblasti systémů managementu a posuzování shody výrobků za účelem úspěšné certifikace systémů managementu, případně splnění příslušných požadavků právních předpisů v oblasti zákona č. 22/1997 Sb., v pl. zn., o technických požadavcích na výrobky, včetně školení. Za tím účelem nakládá s množstvím informací, které lze rozdělit do dvou skupin:

  1. záznamy z průběhu plánování, přípravy a realizace činností,

  2. informace (data) zákazníků - dokumentace, informace získané v rámci přípravy na posuzování shody a zavádění systémů managementu.

Společnost je samozřejmě povinna jejich ochranu dostatečným způsobem zajistit. Zákazníci ve všech oblastech se plně spoléhají na zabezpečení důvěrnosti při nakládání s jejich informacemi či údaji (daty). Ztráta důvěrnosti informací může vést k poškození image u zákazníků, nehledě na možné právní důsledky takového incidentu. Ztráta integrity, dostupnosti, autenticity a spolehlivosti dat může vést k problémům v oblasti plánování, přípravy a vlastní realizace zakázek, a tím ohrozit (ne-li přímo znemožnit) vlastní činnost.

S ohledem na důležitost zabezpečit dostatečnou ochranu informací a řídit bezpečnost systému informačních technologií uvnitř organizace vydalo vedení organizace tuto bezpečnostní politiku IT společnosti. Struktura a obsah bezpečnostní politiky vychází z přílohy A normy ČSN ISO/IEC TR 13335-3:2000. Bezpečnostní politika IT společnosti AEC (dále v textu též pouze "společnost“) ustanovuje zejména:

  • bezpečnostní pravidla společnosti,

  • odpovědnosti a pravomoci pracovníků společnosti AEC včetně externích spolupracovníků s ohledem na bezpečnosti informací,

  • postupy při hlášení incidentů, zabezpečení HW, SW, budov, zařízení, vybavení, dokumentů, pracovníků,

  • zásady zachovávání důvěrnosti informací a zajištění ochrany dat,

  • pravidla zachování kontinuity,

  • požadavky na audit,

  • řízení práce "na dálku“.

Bezpečnostní politika IT se vztahuje na všechny osoby při výkonu pracovních a souvisejících činností v celé organizaci včetně dočasných pracovišť.

Definice

Definice

V tomto dokumentu jsou používané definice a pojmy vycházející z normy ČSN ISO/IEC 27001:2006 a dále norem ČSN ISO/IEC TR 13335 část 1 až 5. Kromě toho platí zejména dále uvedené:

  • Nelegálně získaný SW: takový SW (případně data), jehož způsob získání porušil autorská a licenční práva, kterými je tento SW chráněn.

  • Počítačová bezpečnost: zahrnuje implementaci speciálních opatření, jejichž účelem je chránit počítačové prostředí proti vyzvědačství, sabotáži, útokům nebo jakémukoliv typu neúmyslného nebo náhodného poškození. Počítačové prostředí zahrnuje hardware, sítě, aplikace a data.

  • Uživatel: zaměstnanec (pracovník) společnosti, případně její dodavatelé.

  • Výpočetní prostředek: osobní počítač, notebook, servery, tiskárny, telefony apod.

  • Důvěryhodnost: zajištění, že přístup k informacím mají pouze osoby pro to autorizované.

  • Integrita: přesnost a úplnost přenesené informace.

  • Dostupnost: zabezpečení přístupu k informacím a informačním aktivům pro příslušné uživatele, kdykoli je to třeba.

Zkratky

Zkratky
  • BI: bezpečnost informací,

  • BT: bezpečnostní technik,

  • BOZP: bezpečnost a ochrana zdraví,

  • EZS: elektronický zabezpečovací systém,

  • Firewall: zařízení k zabezpečení síťového provozu sloužící ke kontrole dat a informací přenášených při komunikaci mezi počítači v internetu nebo v lokální síti,

  • HW: hardware,

  • ISMS: systém managementu bezpečnosti informací,

  • IT: informační technologie,

  • SW: software,

  • VPN: virtuální privátní síť.

Odpovědnosti a pravomoci

Odpovědnosti a pravomoci

Bezpečnostní technik:

Odpovědnost za aktualizaci, za seznámení všech zaměstnanců s tímto dokumentem, jeho změnou nebo zrušením má BT. Ten dále zodpovídá za řízení organizace ISMS, za řízení infrastruktury v oblasti BI a dále za komunikaci s externím dodavatelem služeb v oblasti IT.

Vedení:

Za zavedení ISMS do praxe, jeho používání zaměstnanci a kontrolu je odpovědné vedení společnosti.

Administrátor:

Za správu IT na základě smlouvy a pokynů BT zodpovídá externí dodavatel služeb - administrátor IT společnosti.

Uživatel:

Uživatel odpovídá za to, že veškeré informace, které získal nebo získá v souvislosti se svou pracovní činností pro společnost nebo pro její zákazníky:

  1. nesmí zpřístupnit jakékoliv třetí straně, nebude je jakýmkoliv způsobem bez právního důvodu a/nebo v rozporu s interními předpisy uchovávat, rozšiřovat, zpracovávat, využívat či sdružovat s jinými informacemi;

  2. veškeré informace bez zbytečného odkladu předá svému přímému nadřízenému;

  3. v období, kdy s nimi bude sám nakládat, zajistí jejich dostatečnou ochranu před jakoukoliv ztrátou, odcizením, zničením, neoprávněným přístupem, náhodným či jiným poškozením či jiným neoprávněným využíváním nebo zpracováním;

  4. bude chránit informace tak, aby nemohly být zneužity třetí stranou, která není oprávněna přistupovat k daným informacím.

Postupy

Postupy

Bezpečnostní politika IT tvoří základní část systému managementu bezpečnosti informací. Bezpečnostní politika chrání počítačový systém a citlivé informace společnosti před úmyslným i neúmyslným narušením.

Důležitým krokem v implementaci bezpečnostní politiky je určení, která aktiva společnosti je třeba zabezpečit. Poté, co je ustanovena bezpečnostní politika společnosti, je nezbytná

Nahrávám...
Nahrávám...