dnes je 23.9.2020

Input:

Bezpečnost informací podle normy? Nebo TISAX?

4.9.2020, , Zdroj: Verlag Dashöfer

2.2.140
Bezpečnost informací podle normy? Nebo TISAX?

Ing. Monika Becková

Žijeme v informační společnosti. Informace jsou mnohdy to nejcennější, co máme. V podnikatelském prostředí nám informace umožňují získávat zakázky, předstihnout konkurenci, využít informační náskok ve prospěch svého záměru, svojí vize nebo strategie. Měli bychom je tedy dostatečně chránit, stejně jako chráníme svůj majetek. A právě z tohoto důvodu se vyvíjela a postupně vznikla informační bezpečnost jako samostatná disciplína, která kombinuje poznatky a metody z informatiky, softwarového inženýrství, managementu, práva, psychologie a dalších oborů.

Existuje mnoho názorů a přístupů k této problematice. My se zaměříme na dva z nich.

Mezi komplexní nástroje vždy patří normy pro systémy managementu, a jednou z nich je ISO/IEC 27001:2013: Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky (ÚNMZ, 2014). Na tuto normu pak navazuje celá řada dalších standardů ve formě návodů, jak k jednotlivým požadavkům přistupovat v praxi. Je zároveň určena k certifikaci.

Dnes tak máme k dispozici dokonce celou „rodinu” norem řady ISO/IEC 2700x, která zahrnuje jednak kriteriální normu ISO/IEC 27001, dále normy určené pro certifikační orgány provádějící dle této kriteriální normy audit a certifikaci systému managementu bezpečnosti informací, potom normy podpůrné pro implementaci požadavků, jako je například ISO/IEC 27002, a konečně normy sektorové, upřesňující požadavky na bezpečnost informací pro některá odvětví (sektory). Viz následující základní přehled (který ještě nezahrnuje všechny normy):

  • ISO/IEC 27000 Systémy řízení bezpečnosti informací- Přehled a slovník

  • ISO/I EC 27001 Systémy řízení bezpečnosti informací - Požadavky

  • ISO/IEC 27002 Soubor postupů pro opatření bezpečnosti informací

  • ISO/IEC 27003 Směrnice pro implementaci systému řízení bezpečnosti informací

  • ISO/IEC 27004 Řízení bezpečnosti informací - Měření

  • ISO/IEC 27005 Řízení rizik bezpečnosti informací

  • ISO/IEC 27006 Požadavky na orgány poskytující audit a certifikaci ISMS

  • ISO/IEC 27007 Směrnice pro audit systémů řízení bezpečnosti informací

Systém managementu bezpečnosti informací (neboli ISMS – zkratka pochází z angl. názvu Information Security Management Systems) je definován jako část celkového systému řízení organizace, která je založená na přístupu (organizace) k rizikům činností z pohledu bezpečnosti informací, a která je zaměřena na:

Cílem systému managementu bezpečnosti informací je (nejen ve smyslu ISO/IEC 27001) zvýšit bezpečnost informací pomocí tří následujících aspektů:

  • Integrita: zajištění správnosti a úplnosti informací (informace, které dostanu, jsou správné a kompletní, vzájemně si neodporující)

  • Dostupnost: zajištění včasnosti a dostupnosti informací (informace mám vždy, když je potřebuji)

  • Důvěrnost: zajištění oprávněnosti přístupu informací (dostanu se k informacím, které potřebují znát nebo s nimiž mám pravomoc nakládat)

Standard ISO/IEC 27001 tak představuje konstruktivní souhrn pravidel a doporučených opatření pro bezpečnost informací, jejichž implementace zvyšuje komplexní ochranu důvěrnosti, dostupnosti a integrity.

Jaké jsou oblasti řešení bezpečnosti informací?

Níže uvádíme několik základních oblastí, které patří do ISMS:

  • Bezpečnost lidských zdrojů – např. zda mají zaměstnanci v pracovních smlouvách zabudovanou povinnost mlčenlivosti, zda jsou zaměstnanci průběžně školeni v oblasti bezpečnosti informací, jaký je postup při ukončení pracovního poměru apod.

  • Klasifikace informací – zda jsou stanovena pravidla, zda jsou stanoveni vlastníci včetně odpovědností a pravomocí, kde jsou informace ukládány a kdo k nim má přístup, zda jsou informace rozlišovány dle klasifikačních stupňů, kolik jich ve společnosti je, a zda jsou stanovena pravidla pro zacházení s jednotlivými klasifikačními stupni apod.

  • Řízení přístupu – zda jsou stanovena pravidla pro přístup do systému, zda jsou rozlišovány osoby, které mají přístup (fyzický i logický) k informacím, kdo přístupy schvaluje, zda jsou jednotlivé přístupy pravidelně přezkoumávány a spravovány.

  • Kryptografie – zda jsou ve společnosti stanoveny postupy pro šifrování dat při jejich přenosu, zda jsou šifrovány pevné disky notebooků, kam jsou data ukládána apod.

  • Fyzická bezpečnost a bezpečnost prostředí – zda jsou prostory společnosti zabezpečeny proti vniknutí cizích osob, zda jsou zabezpečena zařízení využívaná ke zpracování dat, aby nemohla být ukradena a zneužita cizími osobami.

  • Bezpečnost provozu – zda jsou vytvořena pravidla a stanoveny provozní postupy pro bezpečnost informací.

  • Bezpečnost komunikací – zda jsou sítě, v nichž jsou uchovávány a zpracovávány informace, dostatečně zabezpečeny, zda jsou stanovena pravidla pro přenos citlivých dat.

  • Dodavatelské vztahy – zda jsou informace, ke kterým mají přístup externí dodavatelé, dostatečně zabezpečeny, zda smlouvy s dodavateli obsahují závazek mlčenlivosti se stanovenou sankcí apod.

  • Řízení incidentů bezpečnosti informací – zda jsou stanovena pravidla pro identifikaci, hlášení, evidenci a řešení bezpečnostních incidentů.

  • Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací – zda jsou stanoveny postupy v případě výskytu mimořádné události tak, aby nedošlo k úniku, zničení nebo neautorizované změně dat

V čem spočívá smysl implementace komplexního přístupu k ISMS?

Pomůže ochránit:

  • organizaci před ztrátami informací a jejich zneužitím

  • vedení a zaměstnance před neplněním právních/normativních požadavků

  • kontinuitu podnikání; v případě porušení bezpečnosti informací pomůže minimalizovat ztráty a co nejrychleji zajistit znovu fungování procesů

A co bychom měli chránit, abychom předešli ztrátám nebo zneužití?

Nejedná se pouze o informace, a o tzv. „aktiva”, tedy všechno, co má pro organizaci hodnotu, viz následující příklady:

  • informační aktiva (např. informace o plánech organizace, finanční plány, plán investic, nové aktivity, informace o pracovnících, informace o některých zakázkách, informace o provozech jako je např. vývoj, testování, struktura LAN, přístupová práva, databáze, informační systémy)

  • dokumenty (např. smlouvy se zákazníky / dodavateli, personální záznamy, projekty – zprávy, výkresy, fotodokumentace, plány)

  • software (operační systém, aplikační SW, kancelářský SW, informační systémy, webové prezentace, vlastní aplikace)

  • fyzická aktiva (výpočetní technika jako jsou notebooky, PC, servery, periferní zařízení – tiskárny, skenery, čtečky datových nosičů, datové nosiče (SD karty, „flešky”, CD/HDV), HW – routery, Wifi, switche, modemy, HDD/SSD, komunikační technika – telefony, radiostanice, kabeláž, EPS, EZS, CCTV, fyzické zabezpečení budov, kanceláří, laboratoří, skladů, výrobních prostor)

  • lidé (vlastní zaměstnanci, vedení organizace, akcionáři, dodavatelé – poradci, školitelé, IT služba, auditor, zákazník)

  • image organizace (název organizace, logo organizace, webová prezentace, vize, mise)

Certifikace ISMS

Informace jsou majetkem, který může mít pro organizace nesmírnou hodnotu, a jako takové mohou existovat v různých podobách – tištěné, elektronické, zachyceny na filmu, verbální apod. Všechny informace bez ohledu na jejich formu pak musí být náležitě chráněny, neboť jsou neustále vystavovány bezpečnostním hrozbám. S tím záměrem je možno zavést ISMS a jako doklad o jeho funkčnosti využít nezávislé posouzení třetí stranou, které bude důkazem důvěryhodnosti a komplexnosti zabezpečení informací. Navíc vám může poskytnout i další náměty na zlepšení.

Celý postup certifikace lze rozdělit do tří fází:

  1. Žádost o certifikaci
  2. Audit třetí stranou (nejlépe akreditovaným certifikačním orgánem)
  3. Certifikát shody s požadavky

Na základě žádosti a doplňujících informací vyhodnotí certifikační orgán stupeň připravenosti organizace k certifikaci. Formou dvoustupňového auditu následně provede posouzení dokumentace (zejména Analýzu rizik, Prohlášení o aplikovatelnosti, postupy, opatření k cílům v příloze A normy), na místě posoudí rozsah a fungování ISMS, sdělí organizaci výsledek auditu, zpracuje zprávu z posuzování a vydá příslušný certifikát.

Evidentním předpokladem je samozřejmě zavedení ISMS. Po třech letech je pak nutno celý proces zopakovat, neboť certifikát se vydává na období 3 let s dozorovými audity vždy po roce jeho platnosti.

A co znamená ten TISAX?

Ve zkratce: TISAX je součástí „automotive“.

Automobilový průmysl je založený na široké a propojené síti dodavatelů, z nichž každý sdílí informace různé citlivosti, ať už se jedná o data ohledně prototypů, projektů, know-how nebo informace o třetích stranách. Systém TISAX (z angl. Trusted Information Security Assessment Exchange) je schéma určené těmto dodavatelům a výrobcům v automobilovém průmyslu pro prokázání dostatečné