3.3.2 Systém managementu bezpečnosti informací
Doc. Ing. Alois Fiala, CSc.
Úvod - Smysl a význam systémů managementu bezpečnosti
informací
Úvod
ISMS (zkratka pochází z anglického Information Security Management Systems - viz norma ISO/IEC
27001/2006, která nahradila britskou normu BS 7799-2 z prosince 2004) je,
zjednodušeně řešeno, systém řízení činností souvisejících s pořizováním,
zpracováváním, uchováváním a bezpečnou likvidací informací/dat, se kterými
organizace nakládá v rámci realizace svých podnikatelských procesů.
Informace
Říká se, že nejcennějším majetkem jakéhokoli podnikatelského
subjektu (bez ohledu na to, čím se daná firma zabývá) jsou informace. Je také
zřejmé, že v rámci podnikání při nakládání s těmito informacemi či daty se
vyskytují více či méně pravděpodobná rizika, která je mohou ohrozit. Organizace
se může setkat (a také často setkává) s různými incidenty, které musí pokud
možno bez významných ztrát řešit. Vedení firmy (a případně i zákazníci) firmy
mají oprávněné požadavky na to, aby tato cenná aktiva byla v bezpečí a dostupná
v případě, že je jich potřeba využít.
ISO/IEC 17021
Stejně jako v případě požadavků z hlediska kvality, ochrany
životního prostředí či požadavků na bezpečnost a ochranu zdraví při práci stojí
na vedení firmy odpovědnost ve smyslu rozhodnutí, jakým způsobem bude řídit
chod příslušných činností, aby požadavky na bezpečnost informací byla schopná
deklarovat a skutečně naplňovat. Stejně jako v případě uvedených příkladů i v
oblasti bezpečnosti informací můžeme aplikovat různé přístupy od víceméně
chaotického řešení již vzniklých problémů k plánování a realizaci preventivních
opatření až po sofistikovaný systém řízení postavený na základě nejlepších
dostupných technik (vývoj, jakým směrem je žádoucí se ubírat, včetně krátkého
přehledu ne/výhod jednotlivých „vývojových“ stadií na poli řízení bezpečnosti
informací, znázorňuje jednoduchým způsobem následující obrázek). Přijatelné
řešení může představovat implementace požadavků výše uvedené normy ISO/IEC
17021.
Žádoucí
vývoj v organizaci v oblasti řízení bezpečnosti informací |
OD | PŘES | K |
Reakce na incident | Prevence | Ucelený systém managementu
bezpečnosti informací |
Direktivní řízení | Participativní
řízení | Vedení a řízení na základě
principu PDCA (plánování, řízení, kontrola, motivace, zlepšování) |
|
Bezpečnost informací jako
záležitost informačního technika (pracovníka IT oddělení). Nevýhody takového přístupu: Nepřipravenost na případné problémy,
která může vést k zvýšeným finančním nákladům, ztrátě dostupnosti,
důvěryhodnosti a/nebo integrity dat. | Bezpečnost informací jako
záležitost IT včetně vybraných pracovníků. Nevýhody takového
přístupu: Realizační pracovník (tým) může opomenout důležitý segment
celkové bezpečnosti. | Bezpečnost informací jako
záležitost všech prostřednictvím již existujících a prověřených
standardů. Nevýhody takového přístupu: Počáteční
složitost projektu, náklady na implementaci. |
Ochrana informací
Ochranu informací (bezpečnost informací) je přitom nutno chápat ve
dvou základních rovinách:
-
ochrana předpoškozením, ztrátou, znehodnocením, zveřejněním v
důsledku chyby lidského faktoru či selháním techniky,
-
zabezpečení před úmyslným poškozením, odcizením, zneužitím
citlivých dat.
Další odstavce si kladou za cíl popsat základní požadavky a
strukturu ISMS a dále na základě příkladu fiktivní organizace ukázat postup
jejich implementace.
Proč (ne)zavádět ISMS
Proč (ne)zavádět ISMS
Na úvod si připomeňme, jaké jsou nejčastější uváděné příčiny
bezpečnostních incidentů, a zamysleme se, zda se touto problematikou musíme
vůbec zabývat. Na základě řady dostupných studií (a vlastních zkušeností)
existují tyto nejrozšířenější příčiny bezpečnostních incidentů:
Otázka
Jaké je řešení těmto příčinám se vyhnout, a pokud se z různých
důvodů nevyhneme (či vyhnout nemůžeme), jak je zvládnout?
Odpověď zní: jedním z nejúčinnějších opatření je samozřejmě použití
dostatečných bezpečnostních standardů. Tyto standardy je přitom nutné aplikovat
ve všech fázích nakládání s informacemi/daty. Abychom si uvědomili šíři uvedené
problematiky, vymezíme si jednotlivé etapy nakládání s informacemi a jednoduché
příklady, jak může dojít v těchto etapách k narušení bezpečnosti:
Operace v rámci nakládání
s informací | Možné narušení
bezpečnosti | Důsledek |
získávání informací | nepřesné informace ztráta
získaných informací porušení důvěrnosti získaných informací | ztráta potenciálního
klienta |
kontrola údajů | znehodnocení dat poškození
části dat porušení důvěrnosti | ztráta klienta ztráta
zakázky |
zpracování | znehodnocení dat poškození
části dat porušení důvěrnosti krádež, zneužití | ztráta klienta ztráta
zakázky právní důsledky (přestupek, trestný čin) |
používání | znehodnocení dat poškození
části dat porušení důvěrnosti krádež, zneužití | ztráta klienta ztráta
zakázky právní důsledky (přestupek, trestný čin) |
aktualizace | znehodnocení dat poškození
části dat porušení důvěrnosti narušení integrity dat krádež, zneužití | ztráta klienta ztráta
zakázky poškození dobrého jména právní důsledky (přestupek, trestný
čin) |
ukládání/uchovávání | ztráta dat poškození souboru
narušení integrity dat krádež, zneužití | ztráta image firmy právní
důsledky poškození dobrého jména právní důsledky (přestupek, trestný čin)
zneužití konkurencí |
likvidace | likvidace nesprávných dat
zneužití formou obnovení | právní důsledky poškození
dobrého jména právní důsledky (přestupek, trestný čin) zneužití
konkurencí |
Je zřejmé, že oblast možných incidentů je velmi široká, a je třeba
se věnovat této problematice s náležitou pozorností, protože dopady takového
incidentu můžou být pro firmu katastrofální.
Přehled norem v oblasti ISMS
Jaké jsou k dispozici systémové nástroje řízení bezpečnosti
informací? Přehled je zřejmý z následujícího výčtu nejdůležitějších aktuálně
platných norem v této oblasti:
ISO/IEC 27000:2009
První vydání této mezinárodní normy vyšlo 1. 5. 2009 pod názvem
ISO/IEC 27000:2009: „Information technology - Security techniques - Information
security management systems - Overview and vocabulary“. Norma ISO/IEC 27000
byla zpracována jako úvod do problematiky systémů managementu bezpečnosti
informací a slovník pojmů v oblasti ISMS (definice pojmů byly k dispozici dosud
jako součást jiných norem a zejména technických zpráv ISO/IEC TR 13335). V ČR
dosud tato norma nevyšla.
ISO/IEC 27001:2005
Nejrozšířenější a světově uznávaný model poskytuje norma ISO/IEC
27001:2005 (pozn.: ISO - Mezinárodní organizace pro normalizaci, IEC -
Mezinárodní elektrotechnická komise), kterou v ČR vydal v říjnu 2006 ČNI pod
názvem ČSN ISO/IEC 27001:2006: „Informační technologie - Bezpečnostní techniky
- Systémy managementu bezpečnosti informací - Požadavky“. Norma má sloužit k
tomu, aby „... poskytla podporu pro ustavení, zavádění, provozování,
monitorování, udržování a zlepšování.“ ISMS (viz čl. 0 odst. 0.1 normy). Již z
této krátké ukázky se nabízí souvislost s již známými systémy managementu, jako
je QMS, EMS, OHSAS a další. (Blíže si tyto souvislosti včetně požadavků normy
popíšeme v dalším textu.)
Norma je vytvořena na základě britského standardu BS 7799 část 2, poprvé vydaného v British Standards Institute (BSI) v roce 1995.
Standard BS 7799 byl poté v roce 2000 nahrazen normou ISO/IEC
17799„Information Technology - Code of practice for information security
management“ , v ČR vydané prostřednictvím ČNI jako ČSN ISO/IEC 17799:2006:
„Informační technologie - Bezpečnostní techniky - Soubor postupů pro management
bezpečnosti informací“. Norma ISO/IEC 17799 byla na základě zkušeností
přepracována v červnu 2005 a byla vydána jako ISO/IEC 27002:2007 (v ČR
dosud tato nová norma nevyšla, pro účely ISMS se zatím využívá ISO/IEC
17799).
ISO/IEC 27002:2007
Soubor postupů („code of practice providing good practice advice on
ISMS“) je vytvořen na základě britského standardu BS 7799 část 1, opět v
ČR zatím dosud k dispozici v podobě ISO/IEC 17799. Obsahově se normy
neliší.
ISO/IEC 27005:2008
Norma byla navržena jako podpora pro dostatečnou implementaci ISMS v
oblasti řízení rizik. V ČR dosud nepublikována.
ISO/IEC 27006:2007
V ČR jako ČSN ISO/IEC 27006:2008: „Informační technologie -
Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci
systémů managementu bezpečnosti informací“. Tato norma specifikuje požadavky a
doporučení pro certifikační orgány. Pro zajímavost mimo jiné doporučuje
certifikačním orgánům, které provádějí posuzování a certifikaci ISMS dle normy
ISO/IEC 27001, implementovat požadavky této normy ve svém systému řízení (tj.
„samy na sebe“). Dále upřesňuje a doplňuje obecné požadavky zejména v oblasti
plánování a vlastního procesu auditování, stanovení doby trvání auditu,
kvalifikace a výběru auditorů.
ISO/IEC 20000 /část 1 a 2/:2005
Tato norma se týká managementu služeb IT a zaměřuje se na zlepšování
kvality, zvyšování efektivity a snížení nákladů u IT procesů, popisuje procesy
řízení pro poskytování služeb IT. Svou filozofií a obsahem se řídí ustanoveními
IT Infrastructure Library (ITIL) - viz dále. Skládá se ze dvou částí, které v
ČR vydal opět ČNI:
-
ČSN ISO/IEC 20000 - 1:2006: Informační technologie - Management
služeb - část 1: Specifikace. Tato část stanovuje požadavky na poskytovatele IT
služeb, jejichž splnění má zabezpečit kvalitu „přijatelnou pro zákazníky“. Je
(stejně jako norma ISO/IEC 27001) určená, resp. použitelná jako základ pro
certifikaci.
-
ČSN ISO/IEC 20000 - 2:2007: Informační technologie - Management
služeb - část 2: Soubor postupů. Nestanovuje požadavky, ale poskytuje návody a
doporučení k implementaci požadavků uvedených .
ITIL
Information Technology Infrastructure Library je „klíč k zajištění
kvalitních služeb v oblasti informačních technologií“. Je to jakási knihovna,
která vytváří rámec přístupů vycházející z nejlepších praktických zkušeností k
zajištění dodávky kvalitních IT služeb. Knihovnu spravuje organizace Office of
Government Commerce (viz www.ogc.gov.uk) formou publikací,
informací na internetu, CD, školení, konzultací, poradenských služeb, analýz,
certifikací. Knihovna je rozdělena do několika částí podle specifických oblastí
řízení IT služeb.
Kromě výše uvedeného dále existuje řada tzv. technických
zpráv (Technical report - TR), které poskytují návody a příklady pro
jednotlivé kroky při implementaci ISMS (jako např. hodnocení aktiv, analýza
rizik, výběr opatření a další).
Jsou to:
ISO/IEC TR 13335-1:1996
Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-1:1999:
Informační technologie - Směrnice pro řízení bezpečnosti IT - část 1: Pojetí a
modely bezpečnosti IT. Jejím cílem je zejména poskytnout směrnici o řízení
bezpečnosti IT včetně modelů použitelných k vysvětlení pojmu bezpečnost IT. Jde
v podstatě o úvod k různým přístupům v oblasti bezpečnosti IT popisující
systematický přístup k problematice bezpečnosti IT, cíle, strategie a politiky,
bezpečnostní prvky a procesy řízení, modely řízení bezpečnosti IT. Jako takový
je určen především manažerům firem. Podrobnější informace jsou pak obsaženy v
dalších částech této technické zprávy.
ISO/IEC TR 13335-2:1997
Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-2:2000:
Informační technologie - Směrnice pro řízení bezpečnosti IT - část 2: Řízení a
plánování bezpečnosti IT. Cílem této části je popsat řídicí a plánovací
aspekty, tj. řízení bezpečnosti IT, politika bezpečnosti IT celé
společnosti, organizační aspekty bezpečnosti IT, možné strategie analýzy rizik,
popis jednotlivých doporučení pro bezpečnost IT, plán bezpečnosti, implementace
opatření včetně aktivit sledování. Je určena především manažerům s
odpovědnostmi souvisejícími již přímo s oblastí IT.
ISO/IEC TR 13335-3:2000
Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-3:2000:
Informační technologie - Směrnice pro řízení bezpečnosti IT - část 3: Techniky
pro řízení bezpečnosti IT. Popisuje bezpečnostní techniky pro použití ve
fázi návrhu, implementace, testování, provozování.
ISO/IEC TR 13335-4:2000
Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-4:2002:
Informační technologie - Směrnice pro řízení bezpečnosti IT - část 4: Výběr
ochranných opatření. Tato část se zabývá výběrem opatření podle typu systému IT
nebo podle typů možných problémů a hrozeb a koncepcí základní úrovně
bezpečnosti.
ISO/IEC TR 13335-5:2004
Information technology - Guidelines for the management of IT
Security - Part 5: Management guidance on network security (Informační
technologie - Směrnice pro řízení bezpečnosti IT - část 5: Ochranná opatření
pro externí spojení) - jako ČSN zatím nevyšla. Normu technická komise JTC 1/SC
27 nahradila řadou norem ISO/IEC 18028.
Základní přehled stávajících norem souvisejících s ISMS uvádí
následující obrázek.
![Poznámka](//image.dashofer.cz/onb/common_pictograms/gen3_qmprofi//note.gif)
Pozn.: Plánuje se vydání řady nových norem v oblasti ISMS. Pro
zajímavost doplňujeme výčet dalších připravovaných norem z této
oblasti:
-
ISO/IEC 27002: Informační technologie - Bezpečnostní
techniky - Systémy managementu bezpečnosti informací - Soubor postupů;
-
ISO/IEC 27003: Informační technologie - Bezpečnostní
techniky - Systémy managementu bezpečnosti informací - Návod k
implementaci;
-
ISO/IEC 27004: Informační technologie - Bezpečnostní
techniky - Systémy managementu bezpečnosti informací - Měření;
-
ISO/IEC 27005: Informační technologie - Bezpečnostní
techniky - Systémy managementu bezpečnosti informací - Řízení rizik;
-
ISO/IEC 27007: Informační technologie - Bezpečnostní
techniky - Systémy managementu bezpečnosti informací - Postupy pro
auditory;
-
ISO 27008: norma by měla obsahovat doporučení auditorům
ISMS a bude doplňovat ISO 27007;
-
ISO 27009: norma by měla obsahovat doporučení pro
auditování bezpečnostních opatření;
-
ISO 27010: norma by měla poskytovat doporučení pro
vzájemnou komunikaci organizací a komunikaci organizací s vládou;
-
ISO 27011: norma by měla obsahovat doporučení a požadavky
na řízení bezpečnosti informací v prostředí telekomunikačních
operátorů;
-
ISO 27012: norma by měla poskytovat bezpečnostní doporučení
pro státní správu při elektronické komunikaci s občany;
-
ISO 27013: norma by měla poskytovat doporučení pro
implementaci ISO/IEC 20000 a ISO/IEC 27001;
-
ISO 27014: norma by měla poskytovat doporučení organizacím
při návrhu kontroly bezpečnosti IT;
-
ISO 27015: norma by měla obsahovat doporučení a požadavky
na řízení bezpečnosti informací v prostředí finančních institucí (banky,
pojišťovny);
-
ISO 27031: norma by měla obsahovat doporučení pro řízení
kontinuity činností;
-
ISO 27032: norma by měla obsahovat bezpečnostní doporučení
pro poskytovatele internetového připojení;
-
ISO 27033: norma by měla obsahovat doporučení pro
implementaci protiopatření vztahujících se k bezpečnosti sítí;
-
ISO 27034: norma by měla obsahovat doporučení pro
kybernetickou bezpečnost;
-
ISO 27035: norma by měla obsahovat doporučení pro řízení
rizik;
-
ISO 27799: norma by měla obsahovat požadavky na BI ve
zdravotnických zařízeních.
Legislativní souvislosti
Vedle výše uvedených technických norem se k problematice bezpečnosti
informací vztahuje také celá řada právních norem. Omezíme se na předpisy v ČR,
i když samozřejmě platí právní úprava EU. Oblasti informačních technologií se
bezprostředně týkají zejména následující právní normy:
-
zákon č. 247/2008 Sb., kterým se mění zákon č.
127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících
zákonů (zákon o elektronických komunikacích), ve znění pozdějších
předpisů;
-
zákon č. 412/2005 Sb., o ochraně utajovaných
skutečností;
-
zákon č. 499/2004 Sb., o archivnictví a spisové
službě;
-
zákon č. 480/2004 Sb., o některých službách informační
společnosti a o změně některých zákonů („antispamový zákon“);
-
zákon č. 127/2005 Sb., o elektronických komunikacích;
-
zákon č. 124/2002 Sb., o platebním styku;
-
zákon č. 365/2000 Sb., o informačních systémech veřejné
správy;
-
zákon č. 227/2000 Sb., o elektronickém podpisu;
-
zákon č. 151/2000 Sb., o telekomunikacích;
-
zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně
některých zákonů;
-
zákon č. 106/1999 Sb., o svobodném přístupu k
informacím.
Poznámka
Pozn.: Výše uvedený výčet není
samozřejmě kompletní, slouží pouze pro dokreslení rozsahu naší problematiky.
Detailněji se některými z těchto předpisů budeme věnovat v dalších
aktualizacích příručky. Uvedené zákony platí vždy ve znění pozdějších
novelizací. Jak tedy vytvořit funkční systém řízení procesů bezpečnosti
informací, aby pokrýval všechny oblasti, zajišťoval funkční ochranu a byl
dostatečně efektivní? Odpověď už jsme naznačili v úvodu této kapitoly. Takové
řešení představuje implementace požadavků normy ISO/IEC 17021 s využitím řady
navazujících norem a normativních dokumentů. Postup vlastní implementace si
nastíníme dále.
Implementace ISMS dle normy ISO/IEC 17021
Tato norma je určena pro všechny organizace, ať už komerční,
neziskové či státní správu a samosprávu. Jejím smyslem je, jak už bylo řečeno,
ochrana dat, informací a dalších aktiv, která mají pro organizaci význam, a
minimalizace případného poškození organizace v případě bezpečnostních
incidentů.
Pokud jde o jakoukoli firmu, její zákazníci ve všech oblastech se
samozřejmě budou vždy plně spoléhat na to, že pokud poskytnou svému dodavateli
k dispozici v obchodním styku informace, budou tyto informace (data) vždy
dostatečně zabezpečeny.
Definice používaných pojmů
Co vlastně přesně znamená pojem informační bezpečnost (nebo
bezpečnost informací)?
-
Důvěryhodnost: zajištění, že přístup k informacím mají pouze
osoby pro to autorizované.
-
Integrita: přesnost a úplnost přenesené informace.
-
Dostupnost: zabezpečení přístupu k informacím a informačním
aktivům pro příslušné uživatele, kdykoli je to třeba.
Důležité pojmy v oblasti ISMS
Uveďme si i definice některých dalších důležitých pojmů používaných
v oblasti ISMS:
-
Aktivum: cokoliv, co má pro společnost nějakou cenu
(logo, SW, budova).
-
Dostupnost: zajištění, že informace je pro oprávněné
uživatele přístupná v okamžiku její potřeby.
-
Důvěrnost (důvěryhodnost): zajištění, že informace jsou
přístupné nebo sdělené pouze těm, kteří jsou k tomu oprávněni.
-
Bezpečnost informací: zachování důvěrnosti, integrity a
dostupnosti informací a dalších vlastností, jako např. autentičnost,
odpovědnost, nepopiratelnost a spolehlivost.
-
Bezpečnostní událost: identifikovaný stav systému, služby
nebo sítě, ukazující na možné porušení bezpečnostní politiky nebo selhání
bezpečnostních opatření. Může se také jednat o jinou předtím nenastalou
situaci, která může být důležitá z pohledu bezpečnosti informací.
-
Bezpečnostní incident: jedna nebo více nechtěných či
neočekávaných bezpečnostních událostí, u kterých existuje vysoká
pravděpodobnost kompromitace činností organizace a ohrožení bezpečnosti
informací.
-
Integrita: zajištění správnosti a úplnosti informací.
-
Zbytkové riziko: riziko zbývající po uplatnění zvládání
rizik.
-
Akceptace rizik: rozhodnutí přijmout riziko zpravidla
mající přijatelnou hodnotu.
-
Analýza rizik: systematické používání informací k odhadu
rizika a k identifikaci jeho zdrojů.
-
Hodnocení rizik: celkový proces analýzy a vyhodnocení
rizik.
-
Vyhodnocení rizik: proces porovnávání odhadnutého rizika
vůči daným kritériím pro určení jeho významu.
-
Management rizik: koordinované činnosti sloužící k řízení
a kontrole organizace s ohledem na rizika.
-
Zvládání rizik: proces výběru a přijímání opatření ke
změně rizika.
-
Prohlášení o aplikovatelnosti: dokumentované prohlášení
popisující cíle opatření a jednotlivá bezpečnostní opatření, která jsou
relevantní a aplikovatelná v rámci ISMS organizace.
Poznámka
Pozn.: Definice vycházejí z norem
řady ISO/IEC 27000. Ztráta důvěrnosti informací
Ztráta důvěrnosti informací na jedné straně může vést k poškození
image organizace u zákazníků, nehledě na možné právní důsledky takového
incidentu. Ztráta integrity, dostupnosti, autenticity a spolehlivosti dat na
straně druhé může vést k problémům v oblasti plánování, přípravy zakázek,
procesů realizace až k navazujícím činnostem (balení, expedice, následný servis
apod.) a tím ohrozit (ne-li přímo znemožnit) vlastní činnost firmy.
Dostatečná ochrana informací
S ohledem na důležitost zabezpečit dostatečnou ochranu informací a
řídit bezpečnost systému informačních technologií (dále též pouze „IT“) uvnitř
organizace již dnes používá řada firem více či méně dokumentovaná pravidla a
postupy směřující k ochraně dat. Jsou to většinou požadavky týkající se jednak
personální oblasti, jednak používaného SW a technického zázemí.
Vzhledem k tomu, že již dnes existuje celý soubor norem, které
nabízejí ucelená řešení v této oblasti (viz normy řady ISO/IEC 27001), je
nanejvýš vhodné pro vedení firmy analyzovat stávající situaci, vyhodnotit
rizika a na základě tohoto vyhodnocení stanovit plán opatření např. dle „naší“
normy ČSN ISO/IEC 27001:2006, která slouží jako východisko pro následující
činnosti:
-
zformulování politiky bezpečnosti IT,
-
určení odpovědností, povinností a pravomocí v oblasti IT uvnitř
organizace,
-
analýza rizik,
-
management rizik,
-
monitorování, analýzy, revize.
Systémový přístup
Smyslem implementace požadavků normy je vytvořit systémový přístup k
řízení bezpečnosti informací a předejít tak možnému poškození, ztrátě či
zneužití dat, a to následujícími kroky:
-
definováním pojetí v oblasti řízení bezpečnosti IT v podmínkách
společnosti,
-
identifikováním vztahu mezi systémem managementu společnosti
obecně a systémem managementu IT,
-
vytvořením vhodného modelu řízení bezpečnosti IT,
-
realizací potřebných opatření;
Základní principy
Základními principy normy ČSN ISO/IEC 27001 jsou přitom:
-
definovat požadavky na systém řízení bezpečnosti informací,
-
vycházet ze známého Demingova cyklu PDCA,
-
stanovit pravidla a postupy pro systematický a odůvodněný výběr,
prosazování, kontrolu a zlepšování bezpečnostních opatření.
Cyklus PDCA lze upravit pro potřeby ISMS následujícím způsobem:
![](images/iso2/136/3.3.2/CZ_ISO2_003_003_002_0017_01.jpg)
Legenda: POA - Prohlášení o aplikovatelnosti
Důvody pro zavedení požadavků normy ISO/IEC 27001
Hlavní důvody pro zavedení požadavků normy ISO/IEC 27001:
-
zajištění systémového přístupu v oblasti bezpečnosti IT,
-
úspora nákladů na řešení neočekávaných incidentů.
Důvody proti zavedení požadavků normy ISO/IEC 27001:
-
náročnost na zdroje,
-
např. též dosavadní nulový počet incidentů („zatím se nic
nestalo...“).
Shrňme si jednotlivé kroky implementace požadavků normy. Pro lepší
představu o vlastním postupu si pak tyto kroky rozebereme na jednoduchém
příkladu.
Postup implementace
Postup implementace
Vytvoření systému managementu bezpečnosti informací je projekt. Jako
takový znamená stanovit cíle, etapy, odpovědnosti, postupy, zdroje. Jeho
základní etapy jsou následující:
Příprava projektu
- Příprava projektu:
-
Strategické rozhodnutí - souhlas vedení společnosti,
který umožňuje implementaci ISMS.
-
Vytvoření realizačního týmu.
Vlastní realizace projektu v 10 krocích
-
Vlastní realizace projektu v 10 krocích:
-
Úvodní analýza.
-
Upřesnění jednotlivých etap.
-
Provedení identifikace aktiv a stanovení jejich
hodnoty. V rámci identifikace a ohodnocení aktiv společnost identifikuje
všechna svá aktiva (věci hmotné, jako je třeba výpočetní technika, i „věci“
nehmotné, jako jsou data, znalosti, značka, apod.). Následuje stanovení hodnoty
aktiv např. z hlediska integrity, dostupnosti a důvěrnosti, nákladů na jejich
(znovu)pořízení apod.
-
Analýza rizik. Její postup je popsán například v
normě ISO/IEC 13335 (viz dále v našem příkladu). Analýza rizik je dokument, na
němž je následně postaven celý systém bezpečnosti informací.
-
Na analýzu rizik navazuje návrh opatření. Popisuje,
jak bude společnost reagovat na nalezená kritická místa, definuje, jak by měl
vypadat cílový stav, jak se k němu společnost dostane, termín splnění a
případné nároky na zdroje.
-
Prohlášení o aplikovatelnosti dle přílohy A normy
ISO/IEC 27001.
-
Vytvoření dokumentace. Pro přehlednost uvádíme
souhrnný seznam nezbytných dokumentů v případě implementace ISMS dle ISO/IEC
27001:
- i.
Rozsah a hranice ISMS
- ii.
Politika ISMS
- iii.
Definice a popis přístupu k hodnocení rizik
- iv.
Identifikace rizik
- v.
Analýza a vyhodnocení rizik
- vi.
Identifikace a varianty pro zvládání rizik
- vii.
Cíle opatření a bezpečnostní opatření pro zvládání rizik
(viz příloha A normy)
- viii.
Akceptace rizik
- ix.
Získání povolení k provozování ISMS v rámci
organizace
- x.
Prohlášení o aplikovatelnosti
-
Implementace opatření.
-
Monitoring, analýza, zlepšování.
-
Certifikace (pokud ji vedení požaduje).
Příklad implementace v organizaci
Příklad implementace v organizaci
![Příklad](//image.dashofer.cz/onb/common_pictograms/gen3_qmprofi//example.gif)
Pro náš příklad použijeme organizaci AEC s. r. o. poskytující
poradenské služby v oblasti systémů managementu. V souladu s požadavkem
zajistit systémový přístup v oblasti bezpečnosti IT, což je hlavním důvodem pro
zavedení požadavků a zároveň strategií vedení společnosti, bylo rozhodnuto
provést analýzu výchozího stavu a naplánování dalších kroků. Dále uvedený
komentář odpovídá našemu obecnému plánu realizace projektu v 10
krocích.
Na základě zvážení stávající organizační struktury, odpovědností,
pravomocí a odborné způsobilosti je navržen následující realizační tým:
Pracovník | Odpovědnosti,
pravomoci |
1 (Ředitel společnosti
AEC) | Přezkoumání, schvalování,
rozhodování. |
2 (Manažer kvality
společnosti AEC) | Návrh celkové koncepce,
analýza rizik, návrh dokumentace. Interní audit. |
3 (Odborný pracovník
společnosti AEC - poradce) | Spolupráce v rámci návrhu
koncepce a analýzy rizik, připomínky, oponentura k návrhu koncepce, analýzy
rizik, dokumentace. Interní audit - přezkoumání splnění požadavků ISMS v
podmínkách společnosti AEC s. r. o. |
4 (Externí pracovník -
specialista dodavatelské IT firmy) | Spolupráce v rámci návrhu
opatření, implementace, řízení provozu, monitorování, zvládání incidentů,
zlepšování. |
1. Úvodní analýza výchozího stavu
Jak již bylo řečeno, s ohledem na důležitost zabezpečení dostatečné
ochrany dat již dnes používá firma AEC dokumentovaná pravidla a postupy
směřující k ochraně dat, a to v následujících oblastech:
Identifikace
Identifikace stávající administrativní a personální
bezpečnosti
-
Společnost AEC má právně vynutitelná ujednání (smlouvy) k
zabezpečení důvěrnosti informací získaných nebo vytvořených v průběhu výkonu
poradenských činností na všech úrovních své struktury včetně externích
pracovníků (odborných konzultantů a lektorů).
-
Společnost AEC považuje všechny informace získané v rámci svých
činností za důvěrné.
-
Žádné informace týkající se určitého zákazníka nebo jeho
produktů nesmí být bez jeho písemného souhlasu poskytnuty třetí straně.
Vyplývá-li požadavek na zpřístupnění důvěrných informací třetí straně z
právního předpisu, je příslušný zákazník o poskytnutí těchto informací předem
informován tak, jak to právní předpis vyžaduje.
-
Informace o zákazníkovi z jiných zdrojů než od něho samého jsou
považovány rovněž za důvěrné kromě těch, které jsou veřejně přístupné (např. na
internetu).
-
Pracovníci společnosti AEC jsou povinni zachovávat mlčenlivost o
důvěrných informacích organizace získaných v procesu realizace zakázek. Rovněž
písemné informace je nutno považovat za důvěrné a nepovolaným osobám nesmí být
umožněno nahlížení do spisů a archivních dokumentů. Mlčenlivost externích
spolupracovníků je vázána rovněž smluvně. Porušení zásad mlčenlivosti je
důvodem k okamžitému odvolání externího pracovníka ze zakázky a vyřazení z
databáze externích spolupracovníků. Podepsaná smlouva včetně závazku o
mlčenlivosti pracovníků je uložena v jejich personálních materiálech.
Identifikace typu systému IT
Identifikace typu systému IT:
Identifikace fyzikálních podmínek/podmínek okolního
prostředí
Společnost má k dispozici a používá zařízení a vybavení, která
zajišťují bezpečné zacházení s důvěrnými informacemi.
Podmínky uložení dat
Podmínky uložení dat:
-
Písemné materiály související s jednotlivými zakázkami jsou v
době rozpracovanosti vždy u příslušného vedoucího pracovníka zakázky. V jeho
nepřítomnosti jsou uzamčeny. Přístup k těmto dokumentům má vždy ředitel
společnosti.
-
Počítače, v nichž jsou uloženy záznamy či dokumenty použité při
zakázkách, jsou zabezpečeny heslem tak, aby k příslušným datům pro editaci měl
přístup pouze odpovědný pracovník.
-
Záznamy ze zakázek vedených v elektronické formě jsou uloženy na
serveru a pravidelně zálohovány.
Perimetr a budova
Perimetr a budova:
-
Budova je na ulici s mírným provozem na chráněném pozemku.
-
Budova je užívána více uživateli (administrativní komplex).
-
Citlivé oblasti - server, archiv jsou umístěny v oddělených
prostorách s omezeným přístupem pouze pro pověřené pracovníky společnosti
AEC.
Řízení přístupu
Řízení přístupu:
-
Kanceláře jsou přístupné pomocí čipu.
-
Čip mají pouze ti pracovníci, kteří v dané kanceláři
pracují.
-
Přístup pracovníků, kteří provádějí úklid, je řízený správcem
budovy.
-
Pronajaté kanceláře jsou v objektu, který je pod trvalou
ostrahou bezpečnostní agentury.
-
Je instalován systém pro fyzickou kontrolu přístupu (recepce,
přístup do kanceláří je zabezpečen prostřednictvím EZS).
-
Místnost se serverem je vybavena poplachovou signalizací pro
případ neoprávněného vniknutí.
Stávající ochrana
Stávající ochrana:
-
požární detektory, poplachová zařízení v budově,
-
údržbu a provoz TZB zajišťuje provozovatel objektu (součást
nájemní smlouvy).
2. Upřesnění jednotlivých etap
Plán přípravy a implementace požadavků
Pro další postup byl stanoven následující plán přípravy a
implementace požadavků normy ISO/IEC 27001:
Příprava:
-
určení rozsahu ISMS,
-
stanovení politiky ISMS společnosti AEC.
Analýza rizik:
- c.
aktiva,
- d.
hrozby,
- e.
zranitelnosti,
- f.
dopady,
- g.
rizika.
Identifikace a vyhodnocení variant pro zvládání rizik:
- h.
program zvyšování úrovně bezpečnosti,
- i.
prohlášení o aplikovatelnosti (POA).
Vlastní implementace:
- j.
plán zvládání rizik,
- k.
plán kontinuity a obnovy funkčnosti,
- l.
organizační a administrativní opatření,
- m.
technologická opatření.
Řízení provozu:
- n.
program zvyšování bezpečnostního povědomí (výcvik),
- o.
zjišťování a řízení bezpečnostních zranitelností,
- p.
řízení provozních rizik,
- q.
zvládání bezpečnostních incidentů.
Měření, analýza:
- r.
monitoring provozu,
- s.
testování funkčnosti opatření,
- t.
audit,
- u.
přezkoumávání ISMS.
Zlepšování:
- v.
nápravná a preventivní opatření,
- w.
návrhy na zlepšení a jejich realizace.
Příprava: Určení rozsahu a hranic ISMS dle čl. 4.2.1 normy
ČSN ISO/IEC 27001:2006 na základě posouzení specifických rysů činností
společnosti.
Rozsah ISMS bude navržen na základě následujících aspektů:
Specifické rysy organizace
a) Specifické rysy organizace:
Jedná se o společnost AEC s. r. o. poskytující odborné služby v
oblasti systémů managementu a posuzování shody výrobků za účelem úspěšné
certifikace systémů managementu případně splnění příslušných požadavků právních
předpisů v oblasti zákona č. 22/1997 Sb. v pl. zn., o technických
požadavcích na výrobky, včetně školení. Za tím účelem nakládá s množstvím
informací, které lze rozdělit do dvou skupin:
-
záznamy z průběhu plánování, přípravy a realizace činností,
-
informace (data) zákazníků - dokumentace, informace získané v
rámci přípravy na posuzování shody a zavádění systémů managementu.
Struktura organizace
b) Struktura organizace:
Strukturu organizace vymezuje organizační schéma:
Lokality
c) Lokality:
-
sídlo (řízení, administrativa) - jedna lokalita,
-
činnosti prováděné u zákazníka (v rámci EU).
Aktiva
d) Aktiva:
-
informační aktiva: datové soubory (databáze zákazníků),
-
dokumenty: řídicí dokumentace, smlouvy,
-
SW aktiva: MS Office, databáze zákazníků,
-
fyzická aktiva: HW, komunikační technika, budova (stolní
počítače, server, mobilní telefony, notebooky, místnosti),
-
pracovníci: zaměstnanci, externí spolupracovníci,
-
image společnosti: název, logo, certifikace akreditovaným
certifikačním orgánem, reference,
-
služby: odborné činnosti v procesu implementace systémů
managementu a přípravy na posuzování shody výrobků.
Technologie
e) Technologie:
f) Důvody pro vyjmutí z rozsahu ISMS (dle přílohy A normy ISO/IEC
27001):
-
A.9.1.6 - veřejný přístup se nepoužívá,
-
A.10.8.5 - nepoužívají se propojené podnikové informační
systémy,
-
A.10.9.1 - elektronický obchod není prováděn.
S ohledem na výše uvedené je navržen následující rozsah
ISMS:
Z hlediska procesů je ISMS omezen na „poradenské služby v procesu
implementace systémů managementu a přípravy na posuzování shody a certifikaci
výrobků včetně školení“. ISMS bude začleněn do stávajícího systému managementu
odpovídajícího požadavkům normy ČSN EN ISO 9001:2009. Vymezení rozsahu bude
dále upřesněno v bezpečnostní politice IT.
Z hlediska organizace je vymezení hranic ISMS zřejmé z výše
uvedeného organizačního schématu.
Příklad
![Příklad](//image.dashofer.cz/onb/common_pictograms/gen3_qmprofi//example.gif)
Stanovení politiky ISMS společnosti AEC s. r. o.
Vztah mezi politikou ISMS a bezpečnostní politikou je vidět na
následujícím obrázku:
Politika ISMS navazuje na celkovou politiku společnosti, kterou je
poskytování kvalitních služeb očekávaných zákazníkem při zajištění přiměřeného
zisku a plynulého rozvoje společnosti jako takové i jejích jednotlivých
zaměstnanců. Politika ISMS je v souladu s politikou kvality a obsahuje zároveň
jako jediný dokument bezpečnostní politiku společnosti.
POLITIKA ISMS SPOLEČNOSI AEC s. r.
o.
Společnost AEC s. r. o. realizuje poradenské služby v procesu
implementace systémů managementu a přípravy na posuzování shody a certifikaci
výrobků včetně školení jako odborná firma certifikovaná dle ČSN EN ISO 9001
akreditovaným certifikačním orgánem, členem skupiny TÜV Austria Group.
Zákazníci společnosti se ve všech oblastech plně spoléhají na
zabezpečení důvěrnosti při nakládání s jejich informacemi.
S vědomím nutnosti dostát tomuto očekávání včetně zabezpečení
dostatečné důvěryhodnosti se vedení společnosti zavazuje implementovat
požadavky ISMS v souladu s normou ISO/IEC 27001 a vyhlašuje následující
politiku ISMS:
-
Chceme neustále zlepšovat bezpečnost informací vlastních i
získaných v rámci realizace zakázek na místě u klientů na úrovni nejnovějších
poznatků vědy a techniky v oboru.
-
Využíváním nových poznatků a vývoje vědy a techniky v
oblasti SW, HW i dalších technických prostředků chceme trvale zabezpečovat 100%
důvěrnost a bezpečnost informací.
-
Celoživotním vzděláváním svých pracovníků chceme zajišťovat
neustále rostoucí úroveň povědomí o zákonných a regulatorních požadavcích v
oblasti bezpečnosti informací.
-
Vytváříme a neustále zlepšujeme takovou organizační
strukturu, technické prostředky a jiné zdroje, abychom vytvářeli,
implementovali a zlepšovali efektivnost ISMS naší společnosti.
-
Vyhodnocujeme kontinuálně přístup k hodnocení rizik tak,
aby námi zvolená metodika trvale umožňovala identifikovat rizika, stanovit
jejich akceptovatelnou úroveň a aplikovat vhodná opatření tak, aby byla
dosažena úroveň bezpečnosti informací požadovaná zákazníky i vedením
společnosti.
-
Součástí politiky ISMS je bezpečnostní politika, která
zahrnuje plnění požadavků zejména na analýzu a řízení rizik ve vztahu k BOZP a
PO tak, aby byla zajištěna bezpečnost pracovníků společnosti v rámci všech
činností vykonávaných z jejího pověření a zároveň nevznikala nepřijatelná
ohrožení okolí.
Za AEC s .r. o. v Praze, 1. 6. 2009 ředitel
v. r.
3. Provedení identifikace aktiv a stanovení jejich
hodnoty
Identifikace a ohodnocení aktiv organizace je základní krok v
celkovém procesu analýzy rizik. Vlastní proces hodnocení aktiv si každá
organizace může nastavit individuálně podle svých potřeb, nicméně základní
popis procesu identifikace a hodnocení aktiv včetně navazujících procesů je
uveden ve zmiňované normě ČSN ISO/IEC TR 13335.
Aby bylo možno provést ohodnocení aktiv, musí být tedy nejprve
vhodným způsobem identifikována. V této etapě se doporučuje seřadit všechna
aktiva, která k sobě logicky patří (například SW aktiva, obchodní aktiva,
fyzická aktiva apod.). Je vhodné již v této etapě identifikovat tzv. vlastníka
daného aktiva, tj. pověřenou osobu odpovědnou za toto aktivum, se kterým budeme
spolupracovat na určení konkrétní hodnoty aktiva.
Co jsou aktiva?
Co jsou aktiva?
Podle definic uvedených v předchozích odstavcích je aktivum ta část
celého systému, které organizace přikládá určitou hodnotu a pro kterou je třeba
mít nastavený způsob ochrany. Mezi nejdůležitější aktiva řadíme:
-
informace - data (např. databáze zákazníků),
-
hardware (PC, tiskárna, notebook),
-
software (program, aplikace apod.),
-
komunikační zařízení (sítě, telefony, modemy),
-
dokumenty (smlouvy, zápisy z porad, z valné hromady apod.),
-
personál (znalosti),
-
image organizace.
V našem příkladu na základě shrnutí předchozí etapy (analýzy
výchozího stavu) je stanoveno následující:
Bezpečnostní cíle společnosti
- Bezpečnostní cíle společnosti:
-
dostupnost dat pro plánování zakázek těm, kdo je potřebují a
jsou k tomu oprávněni (zejména databáze zákazníků, dokumentace, projekty a
podklady zákazníků),
-
integrita dat pro plánování a realizaci zakázek (databáze,
email, telefon) tak, aby informace byla vždy přesná, kompletní, nikým
nemodifikovaná,
-
důvěryhodnost informací (k dokumentaci a záznamům mají
přístup pouze autorizované osoby).
Bezpečnostní strategie
-
Bezpečnostní strategie:
Bezpečnostní politika
-
Bezpečnostní politika IT celé společnosti: bude zpracována po
výsledku analýzy rizik formou samostatného dokumentu
Zvolená metodika
Zvolená metodika: základní přístup dle ČSN ISO/IEC TR
13335-3:2000
Základní přístup je uplatňován v následujících krocích:
-
krok - identifikace aktiv a jejich ocenění (hodnota) z hlediska
bezpečnosti informací,
-
krok - určení hrozeb útočících na aktiva a zranitelností vůči
těmto hrozbám,
-
krok - ohodnocení pravděpodobnosti hrozby ve vztahu k
zranitelnosti,
-
krok - výpočet rizika - součin hodnoty aktiva a pravděpodobnosti
dopadu,
-
krok - stanovení hranice pro akceptovatelnou úroveň,
-
krok - výstup z „analýzy rizik“,
-
krok - identifikace stávajících a budoucích opatření ke
snižování/minimalizaci/odstranění rizik, přiřazení odpovědností, termínů
splnění a zdrojů (zvažovány bezpečnostní požadavky),
-
krok - sestavení plánu zvládání rizik (PZR) pro rizika v hodnotě
od 11 a výš,
-
krok - všechna rizika do hodnoty 10 jsou evidována jako zbytková
rizika.
Identifikace aktiv
Identifikace aktiv
Budou vzaty v úvahu následující prvky:
-
informační aktiva: datové soubory (databáze zákazníků),
-
dokumenty: řídicí dokumentace, smlouvy,
-
SW aktiva: databáze zákazníků,
-
fyzická aktiva: HW, komunikační technika, budova (stolní
počítače, server, mobilní telefony, notebooky, místnosti),
-
pracovníci: zaměstnanci, externí spolupracovníci,
-
služby: odborné činnosti v procesu poradenství.
Identifikovaná aktiva v našem příkladu jsou uvedena v registru
aktiv.
Pozn.: Následující příklad je ilustrativní a jako takový je
proveden zjednodušenou formou. Rovněž zvolená metodika analýzy rizik je pro
lepší pochopení pouze na základní úrovni. REGISTR AKTIV SPOLEČNOSTI AEC s. r. o.
Oblast | Druh aktiv | Č. | Aktivum |
Informační aktiva | Informace/data | 1. | Databáze klientů |
Dokumenty | Dokumenty | 2. | Řídicí dokumentace (příručka
kvality) |
3. | Složky zákazníka
(papírové) |
4. | Personální záznamy |
5. | Dokumentace zákazníka (data)
na serveru |
6. | Dokumentace zákazníka (data)
v notebooku |
7. | MS Word, MS Excel |
Fyzická
aktiva | HW | 8. | Počítače |
9. | Tiskárna |
Komunikační
technika | 10. | Mobilní telefony |
11. | Pevná linka |
12. | Server |
13. | Internet |
Budova | 14. | Místnosti |
15. | Okolí |
Technické prostředky | 16. | Auta |
Lidé | Pracovníci | 17. | Zaměstnanci |
18. | Externí
spolupracovníci |
Služby | Zákazníci | 19. | Odborné činnosti v procesu
poradenství (znalosti) |
Hodnota aktiva
A. Hodnota aktiva:
Ve chvíli, kdy máme identifikovaná aktiva, musíme k nim přiřadit
hodnoty. Tyto hodnoty představují význam aktiv pro činnost organizace. Vstupní
údaje pro hodnocení aktiv budou zajištěny vlastníky a uživateli aktiv,
například formou dotazníku, případně pomocí rozhovoru či brainstormingu.
Pro výpočet hodnoty aktiva (viz pravý sloupec v tabulce „Hodnota
aktiva“) existují specializované programy. Je také možné vytvořit si základní
tabulky pro výpočet ohodnocení aktiv například v programu MS Excel nebo v jiném
tabulkovém editoru. My jsme použili jednoduchou metodu Metoda 1 -
Maticové vyjádření hodnoty aktiva, kdy je pro zařazení aktiva do určité
úrovně zásadní stanovisko vlastníka aktiva. Dále byla použita Metoda
2 - Potenciální nepříznivé dopady na činnosti organizace plynoucí ze
ztráty důvěrnosti, integrity, dostupnosti, individuální odpovědnosti,
autenticity a spolehlivosti. V našem příkladu jsou uvedené dva způsoby zvoleny
z důvodů možnosti porovnání výsledných hodnot.
Důležitým krokem je stanovení stupnice a hodnotících kritérií, která
budou použita k přiřazování ohodnocení určitého aktiva. Tato stupnice může být
vyjádřena penězi (tj. náklady na pořízení v naší matici) nebo kvalitativními
hodnotami (potenciální nepříznivé dopady na činnost). Možné je také obě
varianty kombinovat. Nejčastěji bývá použita hodnotová škála 1 - 5, přičemž 1
znamená nízká hodnota, 5 velmi vysoká hodnota. Typické termíny používané pro
kvalitativní hodnocení jsou uvedeny v matici u Metody 1.
Vraťme se k našemu příkladu:
Hodnota aktiva = význam aktiv pro činnost organizace (vztah k
nákladům na pořízení, udržování, potenciální nepříznivé dopady na činnost pokud
dojde ke ztrátě důvěrnosti, integrity, dostupnosti...).
Hodnota je vyjádřená kvalitativně (viz matice - stupnice
zanedbatelný - nízký - střední - vysoký - velmi vysoký)
Metoda 1 - Maticové vyjádření hodnoty aktiva
Náklady na
pořízení | Zanedbatelné Do 10.000,- | Nízké Do
50.000,- | Střední Do
100.000,- | Středně vysoké Do 150.000,- | Vysoké Nad
150.000,- |
Potenciální nepříznivé dopady na
činnost | 1 | 2 | 3 | 4 | 5 |
Zanedbatelné Nepříznivé
účinky při prosazování práva, narušení veřejného pořádku 1 | 1 | 2 | 3 | 4 | 5 |
Nízké Narušení spojené
s osobní informací 2 | 2 | 4 | 6 | 8 | 10 |
Střední Narušení
obchodního tajemství Snížení výkonu 3 | 3 | 6 | 9 | 12 | 15 |
Vysoké Porušení
legislativy Ohrožení osobní bezpečnosti Ohrožení bezpečnosti
prostředí 4 | 4 | 8 | 12 | 16 | 20 |
Velmi vysoké Ztráta
dobrého jména Finanční ztráta Přerušení obchodních činností Existenční potíže 5 | 5 | 10 | 15 | 20 | 25 |
Legenda:
Hodnota aktiva: 1 - 25; přičemž nad 15 je
vysoká.
HODNOTA AKTIVA
Oblast | Druh aktiv | Č. | Aktivum | Hodnota stanovená metodikou 1 |
Informační aktiva | Informace/data | 1. | Databáze klientů | 15 |
Dokumenty | Dokumenty | 2. | Řídicí dokumentace (příručka
kvality) | 6 |
3. | Složky zákazníka
(papírové) | 10 |
4. | Personální záznamy | 3 |
5. | Dokumentace zákazníka (data)
na serveru | 3 |
6. | Dokumentace zákazníka (data)
v notebooku | 3 |
7. | MS Word, MS Excel | 6 |
Fyzická
aktiva | HW | 8. | Počítače | 9 |
9. | Tiskárna | 6 |
Komunikační
technika | 10. | Mobilní telefony | 15 |
11. | Pevná linka | 6 |
12. | Server | 15 |
13. | Internet | 9 |
Budova | 14. | Místnosti | 9 |
15. | Okolí | 1 |
Technické prostředky | 16. | Auta | 16 |
Lidé | Pracovníci | 17. | Zaměstnanci | 20 |
18. | Externí
spolupracovníci | 15 |
Služby | Zákazníci | 19. | Odborné činnosti v procesu
poradenství (znalosti) | 20 |
Metoda 2 - Potenciální nepříznivé dopady na činnosti
plynoucí ze ztráty:
-
důvěrnosti (D) - zajištění, že informace jsou přístupné pouze
oprávněným pracovníkům,
-
integrity (I) - správnost a úplnost informací,
-
Dostupnosti (Dt) - informace je přístupná v okamžiku
potřeby.
Použita stupnice hodnot 1 až 5:
1 - zanedbatelný | dopad na činnosti organizace |
2 - nízký |
3 - střední |
4 - vysoký |
5 - velmi vysoký |
Výsledná hodnota H = (D + I +
Dt)/3
(zaokrouhleno na celá čísla)
HODNOTA AKTIVA
Poř.
č. | Aktivum | Důvěrnost | Integrita | Dostupnost | Hodnota stanovená metodikou 2 |
(D) | (I) | (Dt) | (H) |
1. | Databáze klientů | 5 | 3 | 4 | 4 |
2. | Řídicí dokumentace | 3 | 4 | 2 | 3 |
3. | Složky zákazníka | 5 | 4 | 3 | 4 |
4. | Personální záznamy | 5 | 4 | 5 | 5 |
5. | Dokumentace zákazníka na
serveru | 5 | 2 | 3 | 3 |
6. | Dokumentace zákazníka v
notebooku | 5 | 3 | 1 | 3 |
7. | MS Word, Excel | 3 | 3 | 3 | 3 |
8. | Počítače | 4 | 3 | 4 | 4 |
9. | Tiskárna | 2 | 2 | 3 | 2 |
10. | Mobilní telefony | 5 | 2 | 2 | 3 |
11. | Pevná linka | 5 | 1 | 1 | 2 |
12. | Server | 5 | 5 | 3 | 4 |
13. | Internet | 5 | 4 | 3 | 4 |
14. | Místnosti | 4 | 3 | 2 | 3 |
15. | Okolí | 1 | 1 | 1 | 1 |
16. | Auta | 2 | 2 | 4 | 3 |
17. | Zaměstnanci | 5 | 4 | 3 | 4 |
18. | Externí
spolupracovníci | 5 | 4 | 2 | 4 |
19. | Odborné činnosti
(znalosti) | 5 | 5 | 5 | 5 |
Porovnání výsledků metodiky 1 a 2
Poř.č. | Aktivum | Výsledné
hodnocení |
Metodika 1 | Metodika 2 |
1. | Databáze klientů | 15 | 4 |
2. | Řídicí dokumentace | 6 | 3 |
3. | Složky zákazníka | 10 | 4 |
4. | Personální záznamy | 3 | 5 |
5. | Dokumentace zákazníka na
serveru | 3 | 3 |
6. | Dokumentace zákazníka v
notebooku | 3 | 3 |
7. | MS Word, Excel | 6 | 3 |
8. | Počítače | 9 | 4 |
9. | Tiskárna | 6 | 2 |
10. | Mobilní telefony | 15 | 3 |
11. | Pevná linka | 6 | 2 |
12. | Server | 15 | 4 |
13. | Internet | 9 | 4 |
14. | Místnosti | 9 | 3 |
15. | Okolí | 1 | 1 |
16. | Auta | 16 | 3 |
17. | Zaměstnanci | 20 | 4 |
18. | Externí
spolupracovníci | 15 | 4 |
19. | Odborné činnosti
(znalosti) | 20 | 5 |
Hodnocení hrozeb
Hodnocení hrozeb:
Hrozba představuje možnost poškodit zkoumaný systém IT a jeho
aktiva. Hrozby mohou být jak přírodního, tak lidského původu a mohou být
úmyslné nebo náhodné. Jako základní katalog hrozeb lze využít seznam uvedený v
normě ČSN ISO/IEC TR 13335.
Hrozby jsou tedy veškeré okolnosti, které mohou vést k poškození
informačního systému. Hrozba má potenciální schopnost způsobit nežádoucí
incident, který může mít za následek:
-
poškození systému,
-
poškození organizace,
-
poškození aktiv.
Výběr v našem příkladu je proveden pomocí přílohy C normy CSN
ISO/IEC 13335-3, která uvádí seznam možných typů hrozeb.
Seznam hrozeb a pravděpodobnosti jejich výskytu
Aktivum | Hrozba | P |
Databáze
klientů | Ztráta integrity | 1 |
Vymazání databáze | 1 |
Poškození paměťového
média | 1 |
Použití dat neautorizovanými
uživateli | 2 |
Předstírání identity
uživatele | 1 |
Řídicí
dokumentace | Zničení (požár) | 1 |
Krádež | 2 |
Ztráta | 2 |
Zneužití | 3 |
Změna informace | 2 |
Složky
zákazníka | Zničení (požár) | 1 |
Krádež | 2 |
Ztráta | 4 |
Zneužití | 3 |
Personální
záznamy | Ztráta | 1 |
Zneužití | 3 |
Dokumentace
zákazníka na serveru | Zničení (požár) | 1 |
Krádež | 2 |
Ztráta | 4 |
Zneužití | 3 |
Vymazání souboru | 4 |
Dokumentace
zákazníka v notebooku | Krádež | 4 |
Ztráta | 4 |
MS Word, Excel | Selhání | 2 |
Poškození | 2 |
Škodlivý SW | 3 |
Neoprávněná instalace SW | 3 |
Počítače | Krádež | 4 |
Ztráta | 4 |
Selhání | 3 |
Tiskárna | Krádež | 1 |
Selhání | 3 |
Mobilní telefony | Krádež | 4 |
Ztráta | 4 |
Selhání operátora | 2 |
Odposlech | 3 |
Pevná linka | Selhání poskytovatele | 2 |
Porucha | 2 |
Odposlech | 3 |
Server | Technické selhání | 3 |
Poškození | 3 |
Přístup neautorizovanými
uživateli | 1 |
Internet | Nedostupnost/přetížení | 3 |
Hacking | 4 |
Nepřátelský program | 4 |
Chyba přenosu při dálkovém
připojení | 4 |
Chybné směrování
zpráv | 4 |
Přesměrování zpráv | 3 |
Místnosti | Požár | 1 |
Krádež | 1 |
Selhání dodávky
energie | 1 |
Okolí | Požár | 1 |
Auta | Porucha | 4 |
Nehoda | 3 |
Krádež | 3 |
Přepadení | 1 |
Zaměstnanci | Nedostupnost/nedostatek | 2 |
Chyby a opomenutí | 3 |
Nehoda | 3 |
Úmyslná škoda | 3 |
Externí
spolupracovníci | Nedostupnost/nedostatek | 1 |
Chyby a opomenutí | 4 |
Nehoda | 3 |
Zneužití | 3 |
Odborné
činnosti | Nedodržení smlouvy | 2 |
Nedostupnost | 2 |
Zveřejnění důvěrných
informací | 1 |
Legenda:
P: Pravděpodobnost hrozby:
Použito bodové
hodnocení1 - 5, kde
1 - nejnižší,
2 - nízká,
3 - střední,
4 -
vysoká,
5 - nejvyšší.
Odhad zranitelností
Odhad zranitelností
Tento odhad odhalí slabá místa ve fyzickém prostředí, organizaci,
postupech, personálu, managementu, HW, SW nebo komunikačním zařízení, která
mohou být využita zdrojem hrozby a způsobit tak škodu na aktivech.
Zranitelnost je vlastnost konkrétního informačního systému,
slabé místo na úrovni:
- fyzické, | Podmínky
umožňující hrozbě ovlivnit aktiva a způsobit škodu |
- organizační, |
- procedurální, |
- personální, |
- řídicí, |
- administrativní, |
- HW, SW, |
- informací. |
Zranitelnost sama o sobě není příčinou škody, ke škodě dojde tehdy,
pokud je slabé - zranitelné místo využité hrozbami. Analýza zranitelnosti je
tedy prozkoumání slabých míst, která jsou využitelná identifikovanými hrozbami
(slabým místem může být např. složité uživatelské rozhraní, nestabilní dodávka
energie, nechráněná komunikační linka, nekvalifikovaný personál apod.).
Výsledkem tohoto kroku je pak seznam zranitelností a odhad snadnosti
jejich využití, například s použitím stupnice vysoký, střední, nízký.
Výběr v našem příkladu je opět proveden pomocí normy ČSN ISO/IEC
13335-3 - příloha D, příklady obecných zranitelností.
Okamžitou pozornost dále věnujeme zranitelnostem, kterým odpovídá
určitá hrozba.
Seznam zranitelností a odhad snadnosti jejich využití
Aktivum | Hrozba | Zranitelnost | O |
Databáze
klientů | Ztráta integrity | Známé chyby softwaru Nedostatek efektivního řízení změn | S S |
Vymazání databáze | Nedostatečné
zálohování | N |
Poškození paměťového
média | Nedostatečná údržba | S |
Použití dat neautorizovanými
uživateli | Nedostatečný management
hesel Nesprávné používání přístupových práv | S S |
Předstírání identity
uživatele | | N |
Řídicí
dokumentace | Zničení (požár) | | |
Krádež | | |
Ztráta | Nedostatečná péče | V |
Zneužití | Nedostatek monitorovacích
systémů | V |
Změna informace | | |
Složky
zákazníka | Zničení (požár) | | |
Krádež | | |
Ztráta | Nedostatečná péče | S |
Zneužití | | |
Personální
záznamy | Ztráta | Nedostatečná péče | N |
Zneužití | Nedostatek monitorovacích
systémů | N |
Dokumentace
zákazníkana serveru | Zničení (požár) | | |
Krádež | | |
Ztráta | | |
Zneužití | Nekontrolovatelné
kopírování | V |
Vymazání souboru | Nedostatečné
zálohování | S |
Dokumentace
zákazníka v notebooku | Krádež | Nechráněná paměť | V |
Ztráta | | |
| | |
MS Word,
Excel | Selhání | | |
Poškození | | |
Škodlivý SW | | |
Neoprávněná instalace
SW | Nedostatek povědomí o
bezpečnosti | S |
Počítače | Krádež | | |
Ztráta | | |
Selhání | Nedostatek schémat
periodické náhrady hardwaru | S |
Tiskárna | Krádež | | |
Selhání | Nedostatek schémat
periodické náhrady hardwaru | N |
Mobilní
telefony | Krádež | | |
Ztráta | | |
Selhání operátora | | |
Odposlech | | |
Pevná
linka | Selhání
poskytovatele | | |
Porucha | | |
Odposlech | | |
Server | Technické selhání | | |
Poškození | | |
Přístup neautorizovanými
uživateli | | |
Internet | Nedostupnost/přetížení | | |
Hacking | Nechráněná spojení veřejných
sítí | V |
Nepřátelský program | | |
Chyba přenosu při dálkovém
připojení | | |
Chybné směrování
zpráv | | |
Přesměrování zpráv | | |
Místnosti | Požár | | |
Krádež | | |
Selhání dodávky
energie | | |
Okolí | Požár | | |
Auta | Porucha | Nedostatečná péče | N |
Nehoda | Nedostatečné bezpečnostní
školení | S |
Krádež | | |
Přepadení | Nedostatečné bezpečnostní
školení | S |
Zaměstnanci | Nedostupnost/
nedostatek | Absence personálu | V |
Chyby a opomenutí | Nedostatečné bezpečnostní
školení Nesprávné používání HW a SW Nedostatek monitorovacích
systémů | S S S |
Nehoda | | |
Úmyslná škoda | Neadekvátní postupy
přijímání nových zaměstnanců | V |
Externí
spolupracovníci | Nedostupnost/
nedostatek | Absence personálu | S |
Chyby a opomenutí | Nedostatečné bezpečnostní
školení | S |
Zneužití informací | Nedostatečná
motivace | V |
Nehoda | | |
Odborné
činnosti | Nedodržení smlouvy | Nedostatečné přezkoumání
smlouvy | V |
Nedostupnost | Nedostatek personálu | V |
Zveřejnění důvěrných
informací | Nedostatečné bezpečnostní
školení | V |
Legenda:
O: odhad snadnosti využití zranitelností: V -
vysoká; S - střední; N - nízká.
Kroky, které budou následovat:
4. Analýza rizik
Analýza rizik je prováděna za účelem identifikace zranitelných míst
informačního systému organizace. Vychází ze seznamu hrozeb působících na
společnost a stanovuje míru rizika příslušnou každému zranitelnému místu a
hrozbě. Účelem takového dokumentu je stanovení potřebných opatření pro snížení
rizik na přijatelnou úroveň, respektive akceptaci zbytkových rizik tam, kde je
jejich minimalizace neefektivní.
Analýza rizik je rozdělována na 4 základní úrovně (viz opět CSN
ISO/IEC TR 13335). Pro rozhodnutí, který přístup je pro který systém IT vhodný,
bude mít význam zohlednění následujících skutečností:
-
jakých cílů má být použitím systému IT dosaženo,
-
úroveň investic do tohoto systému IT,
-
aktiva systému IT, kterým organizace přiřazuje určitou
hodnotu,
-
stupeň, v jakém činnost organizace závisí na systému IT (zda
jsou funkce, které organizace považuje pro své přežití za kritické nebo
efektivní, závislé na tomto systému IT).
Z této základní analýzy vyplyne, které systémy jsou vhodné k
nasazení základního přístupu (ty méně kritické, nákladné apod.) a u kterých je
nutné provést podrobnou analýzu rizik.
Úrovně analýzy rizik
Úrovně analýzy rizik:
-
Hrubá úroveň: tato analýza bere v úvahu hodnotu IT
systému pro činnost organizace a zpracovávaných informací a rizika z pohledu
činnosti organizace.
-
Neformální přístup: využívá znalosti a zkušenosti
jednotlivců; nevyžaduje obvykle mnoho zdrojů nebo času, k provedení této
neformální analýzy není nutné se naučit nové dodatečné dovednosti a tato
analýza je provedena rychleji než podrobná analýza rizik.
-
Kombinovaný přístup: nejprve je provedena počáteční
analýza rizik na hrubé úrovni pro všechny systémy IT, která se soustřeďuje u
každého případu na hodnotu systému IT pro činnost organizace a na vážná rizika,
jimž je systém IT vystaven. U systémů IT, které jsou identifikovány jako
významné pro činnost organizace a/nebo vystavené vysokým rizikům, následuje
podrobná analýza rizik.
-
Podrobný přístup: podrobná analýza rizik systému IT
obsahuje identifikaci souvisejících rizik a odhad jejich velikosti, provádí se
identifikací potenciálních nepříznivých dopadů nežádoucích událostí na činnost
organizace a pravděpodobnost jejich výskytu. Pravděpodobnost výskytu bude
záviset na tom, jak atraktivní jsou aktiva pro potencionálního útočníka, na
pravděpodobnosti výskytu hrozeb a na snadnosti, s kterou mohou být
zranitelnosti využity.
Norma doporučuje použít kombinaci metod neformální a detailní
analýzy rizik. Nejprve je provedena počáteční analýza rizik na hrubé úrovni pro
všechny systémy IT. U systémů, které budou identifikovány jako významné pro
činnost organizace, případně vystavené vysokým rizikům, se obvykle provádí
následně podrobná analýza rizik.
Výše rizika může být popsána příkladem v následující tabulce.
Riziko | Popis |
Nepřijatelné | Nelze tolerovat, riziko musí
být odstraněno. |
Poškozující | Je vhodné riziko odstranit,
ale je třeba zvážit náklady s tím spojené. |
Přijatelné | Riziko je přijatelné, pokud
je monitorováno. |
Zanedbatelné | Riziko není třeba
analyzovat. |
Použitá metoda v našem příkladu - zařazení hrozeb podle míry rizika
jednoduchým výpočtem:
MR = H x P
Kde MR = míra rizika, H = hodnota aktiva, P =
pravděpodobnost.
1 - 5: zařazení hrozby 1 | |
6 - 10: zařazení hrozby 2 |
11 - 15: zařazení hrozby 3 |
16 - 20: zařazení hrozby 4 | |
21 - 25: zařazení hrozby 5 |
Zařazení hrozeb podle míry rizika
Č. aktiva | Popis
hrozby | Hodnota dopadu
(aktiv) | Pravděpodobnost výskytu hrozby | Míra rizika | Zařazení hrozby |
(H) | (P) | (MR) |
1 | Ztráta integrity | 4 | 1 | 4 | 1 |
Vymazání databáze | 4 | 1 | 4 | 1 |
Poškození paměťového
média | 4 | 1 | 4 | 1 |
Použití dat neautorizovanými
uživateli | 4 | 2 | 8 | 2 |
Předstírání identity
uživatele | 4 | 1 | 4 | 1 |
2 | Zničení (požár) | 3 | 1 | 3 | 1 |
Krádež | 3 | 2 | 6 | 2 |
Ztráta | 3 | 2 | 6 | 2 |
Zneužití | 3 | 3 | 9 | 2 |
Změna informace | 3 | 2 | 6 | 3 |
3 | Zničení (požár) | 4 | 1 | 4 | 1 |
Krádež | 4 | 2 | 8 | 2 |
Ztráta | 4 | 4 | 16 | 4 |
Zneužití | 4 | 3 | 12 | 3 |
4 | Ztráta | 5 | 1 | 5 | 1 |
Zneužití | 5 | 3 | 15 | 3 |
5 | Zničení (požár) | 3 | 1 | 3 | 1 |
Krádež | 3 | 2 | 6 | 2 |
Ztráta | 3 | 1 | 3 | 1 |
Zneužití | 3 | 3 | 9 | 2 |
Vymazání souboru | 3 | 4 | 12 | 3 |
6 | Krádež | 3 | 4 | 12 | 3 |
Ztráta | 3 | 4 | 12 | 3 |
7 | Selhání | 3 | 2 | 6 | 1 |
Poškození | 3 | 2 | 6 | 1 |
Škodlivý SW | 3 | 3 | 9 | 2 |
Neoprávněná instalace
SW | 3 | 3 | 9 | 2 |
8 | Krádež | 4 | 4 | 16 | 4 |
Ztráta | 4 | 4 | 16 | 4 |
Selhání | 4 | 3 | 12 | 3 |
9 | Krádež | 2 | 1 | 2 | 1 |
Selhání | 2 | 3 | 6 | 2 |
10 | Krádež | 3 | 4 | 12 | 3 |
Ztráta | 3 | 4 | 12 | 3 |
Selhání operátora | 3 | 2 | 6 | 2 |
Odposlech | 3 | 3 | 9 | 2 |
11 | Selhání
poskytovatele | 2 | 2 | 4 | 1 |
Porucha | 2 | 2 | 4 | 1 |
Odposlech | 2 | 3 | 6 | 2 |
12 | Technické selhání | 4 | 3 | 12 | 3 |
Poškození | 4 | 3 | 12 | 3 |
Přístup neautorizovanými
uživateli | 4 | 1 | 4 | 1 |
13 | Nedostupnost/
přetížení | 4 | 3 | 12 | 3 |
Hacking | 4 | 4 | 16 | 4 |
Nepřátelský program | 4 | 4 | 16 | 4 |
Chyba přenosu při dálkovém
připojení | 4 | 4 | 16 | 4 |
Chybné směrování
zpráv | 4 | 4 | 16 | 4 |
Přesměrování zpráv | 4 | 3 | 12 | 3 |
14 | Požár | 3 | 1 | 3 | 1 |
Krádež | 3 | 1 | 3 | 1 |
Selhání dodávky
energie | 3 | 1 | 3 | 1 |
15 | Požár | 1 | 1 | 1 | 1 |
16 | Porucha | 3 | 4 | 12 | 3 |
Nehoda | 3 | 3 | 9 | 2 |
Krádež | 3 | 3 | 9 | 2 |
Přepadení | 3 | 1 | 3 | 1 |
17 | Nedostupnost/
nedostatek | 4 | 2 | 8 | 2 |
Chyby a opomenutí | 4 | 3 | 12 | 3 |
Nehoda | 4 | 3 | 12 | 3 |
Úmyslná škoda | 4 | 3 | 12 | 3 |
18 | Nedostupnost/
nedostatek | 4 | 1 | 4 | 1 |
Chyby a opomenutí | 4 | 4 | 16 | 4 |
Zneužití informací | 4 | 3 | 12 | 3 |
nehoda | 4 | 3 | 12 | 3 |
19 | Nedodržení smlouvy | 5 | 2 | 10 | 2 |
Nedostupnost | 5 | 2 | 10 | 2 |
Zveřejnění důvěrných
informací | 5 | 1 | 5 | 1 |
5. Identifikace stávajících a budoucích
opatření
Přehled opatření ke snižování/minimalizaci/odstranění rizik včetně
přiřazení odpovědností, termínů splnění a zdrojů:
-
v této fázi identifikace stanovíme opatření pro rizika v hodnotě
16 a výš (hrozba úrovně 4 a 5),
-
následuje sestavení plánu zvládání rizik (PZR) pro rizika v
hodnotě od 11 a výš (hrozba úrovně 3),
-
všechna rizika do hodnoty 10 jsou evidována jako zbytková rizika
(hrozba úrovně 1 a 2).
IDENTIFIKACE OPATŘENÍ
Aktivum | Hrozba | Možný dopad (riziko) | Stávající/potřebná
opatření | O | T | Z |
Složky | Ztráta zákazníka | Porušení integrity, důvěryhodnosti,
dostupnosti | S: zabezpečení archivu | | | |
Počítače | Krádež Ztráta | Porušení důvěryhodnosti, zneužití
konkurencí | S: zabezpečení místností, vybavení
vozidel alarmem PO: Vytvoření bezpečnostní politiky IT
společnosti. Bezpečnostní školení uživatelů. | | | |
Internet | Hacking Nepř. program Chyba přenosu
Chybné směrování zpráv | Porušení integrity, důvěryhodnosti,
dostupnosti, zneužití konkurencí, ztráta potenciálního zákazníka | S: AVG, aktualizace záplat,
autorizaceheslem, správa heselexterní firmou, zálohování externí firmou, údržba
externí firmou PO: Certifikace elektronického podpisu. | | | |
Externí pracovníci | Chyby a opomenutí | Porušení důvěryhodnosti, zneužití
konkurencí | S: smlouvy, čestná prohlášení, výcvik a
školení, namátková kontrola. PO: Vytvoření bezpečnostní politiky
IT společnosti. Bezpečnostní školení uživatelů | | | |
Legenda: O - odpovídá, T - termín, Z - zdroje.
Postup analýzy rizik
V předchozí části této kapitoly jsme si popsali na základě námi
zvolené metodiky vycházející z norem řady ČSN ISO/IEC TR 13335 na příkladu
fiktivní společnosti AEC postup analýzy rizik v těchto krocích:
-
krok - identifikace aktiv a jejich ocenění (hodnota) z hlediska
bezpečnosti informací,
-
krok - určení hrozeb útočících na aktiva a zranitelností vůči
těmto hrozbám,
-
krok - ohodnocení pravděpodobnosti hrozby ve vztahu k
zranitelnosti,
-
krok - výpočet rizika - součin hodnoty aktiva a pravděpodobnosti
dopadu,
-
krok - stanovení hranice pro akceptovatelnou úroveň.
Za hranici pro akceptovatelnou úroveň v našem příkladu byla zvolena
hodnota míry rizika 15, od hodnoty 16 a více se již jedná o tzv.
neakceptovatelnou úroveň.
Na základě námi provedené analýzy byla dalším krokem identifikace
stávajících a budoucích opatření včetně sestavení přehledu opatření ke
snižování, minimalizaci a odstranění rizik, tedy 6. a 7. krok etapy analýzy
rizik a identifikace opatření v našem projektu.
Bezpečnostní politika IT
Dalším logickým výstupem z naší analýzy rizik bude, jak už je zřejmé
z tabulky „IDENTIFIKACE OPATŘENÍ“ (viz krok 5), sestavení bezpečnostní
politiky IT společnosti. Poté sestavíme pro účely certifikace tzv. prohlášení o aplikovatelnosti dle přílohy A normy ISO/IEC 27001. Tím
bude ukončena fáze ustavení ISMS. V rámci zavádění a provozování ISMS budeme
následně pokračovat plánem zvládání rizik (pro rizika v hodnotě od 11 a
výše).
Příprava
Shrneme-li pro přehlednost etapy našeho projektu, které jsme až
dosud v ilustrativním příkladu realizovali, máme v tuto chvíli za sebou přípravu, tj.:
-
strategické rozhodnutí vedení společnosti, které umožnilo
implementaci ISMS,
-
úvodní analýzu stávajícího stavu ISMS ve společnosti AEC,
-
upřesnění jednotlivých etap projektu,
-
určení rozsahu ISMS,
-
stanovení politiky ISMS společnosti AEC.
Analýzu rizik
V další etapě jsme následně provedli analýzu rizik, tj.:
Identifikaci a vyhodnocení variant pro zvládání
rizik
Následovala část zahrnující identifikaci a vyhodnocení variant
pro zvládání rizik, tj.:
-
stanovení hranice pro akceptovatelnou úroveň,
-
identifikace stávajících a budoucích opatření včetně přehledu
opatření ke snižování rizik.
V této fázi, jak už bylo zmíněno, sestavíme na základě naší analýzy
bezpečnostní politiku a prohlášení o aplikovatelnosti.
Bezpečnostní politika IT
Bezpečnostní politika IT
Bezpečnostní politika IT celé společnosti je jedním ze základních
dokumentů, které stanovují požadavky týkající se bezpečnosti. Politika vychází
z cílů, strategií, závěrů z analýzy rizik, výsledků kontroly, monitorování,
auditů. Podrobný návod z hlediska obsahu tohoto dokumentu i způsobu jeho tvorby
popisuje např. norma ČSN ISO/IEC TR 13335-3.
Pozn.: Tuto normu
nahradila v nedávné minulosti norma ČSN ISO/IEC 27005:2009 - Informační
technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací.
Nicméně v oblasti popisu smyslu a obsahu bezpečnostní politiky můžeme vycházet
z normy původní, která věnuje této části celou samostatnou přílohu. Organizační složky společnosti
Tento dokument by měl pokrývat celou společnost včetně všech
oblastí, na jeho vývoji by se proto měly podílet různé (ne-li všechny)
organizační složky společnosti, jako např.:
-
vrcholový a střední management,
-
bezpečnostní technik,
-
administrátor, správce sítě,
-
ekonomický úsek,
-
personální úsek,
-
správa společnosti (facility management),
-
úsek vnitřního auditu,
-
...
Náležitosti bezpečnostní politiky IT
Do jejího obsahu mj. zejména patří:
-
bezpečnostní cíle,
-
požadavky na zabezpečení BI z hlediska důvěrnosti, integrity,
dostupnosti,
-
metodika analýzy a managementu rizik,
-
obecná i konkrétní pravidla pro jednotlivé oblasti BI,
-
systém zvyšování bezpečnostní povědomí, školení,
-
zdroje na zabezpečení BI,
-
organizační záležitosti,
-
...
Pro představu o obsahu bezpečnostní politiky opět přinášíme její
část týkající se našeho příkladu.
Příklad části bezpečnostní politiky IT společnosti:
![Příklad](//image.dashofer.cz/onb/common_pictograms/gen3_qmprofi//example.gif)
Bezpečnostní politika IT společnosti AEC
Účel a předmět
Společnost AEC poskytuje odborné
služby v oblasti systémů managementu a posuzování shody výrobků za účelem
úspěšné certifikace systémů managementu, případně splnění příslušných požadavků
právních předpisů v oblasti zákona č. 22/1997 Sb., v pl. zn., o technických
požadavcích na výrobky, včetně školení. Za tím účelem nakládá s množstvím
informací, které lze rozdělit do dvou skupin:
-
záznamy z průběhu plánování, přípravy a realizace
činností,
-
informace (data) zákazníků - dokumentace, informace získané
v rámci přípravy na posuzování shody a zavádění systémů managementu.
Společnost je samozřejmě povinna jejich ochranu dostatečným
způsobem zajistit. Zákazníci ve všech oblastech se plně spoléhají na
zabezpečení důvěrnosti při nakládání s jejich informacemi či údaji (daty).
Ztráta důvěrnosti informací může vést k poškození image u zákazníků, nehledě na
možné právní důsledky takového incidentu. Ztráta integrity, dostupnosti,
autenticity a spolehlivosti dat může vést k problémům v oblasti plánování,
přípravy a vlastní realizace zakázek, a tím ohrozit (ne-li přímo znemožnit)
vlastní činnost.
S ohledem na důležitost zabezpečit dostatečnou ochranu
informací a řídit bezpečnost systému informačních technologií uvnitř organizace
vydalo vedení organizace tuto bezpečnostní politiku IT společnosti. Struktura a
obsah bezpečnostní politiky vychází z přílohy A normy ČSN ISO/IEC TR
13335-3:2000. Bezpečnostní politika IT společnosti AEC (dále v textu též pouze
„společnost“) ustanovuje zejména:
-
bezpečnostní pravidla společnosti,
-
odpovědnosti a pravomoci pracovníků společnosti AEC včetně
externích spolupracovníků s ohledem na bezpečnosti informací,
-
postupy při hlášení incidentů, zabezpečení HW, SW, budov,
zařízení, vybavení, dokumentů, pracovníků,
-
zásady zachovávání důvěrnosti informací a zajištění ochrany
dat,
-
pravidla zachování kontinuity,
-
požadavky na audit,
-
řízení práce „na dálku“.
Bezpečnostní politika IT se vztahuje na všechny osoby při
výkonu pracovních a souvisejících činností v celé organizaci včetně dočasných
pracovišť.
Definice
Definice
V tomto dokumentu jsou používané definice a pojmy vycházející z
normy ČSN ISO/IEC 27001:2006 a dále norem ČSN ISO/IEC TR 13335 část 1 až 5.
Kromě toho platí zejména dále uvedené:
-
Nelegálně získaný SW: takový SW (případně data), jehož
způsob získání porušil autorská a licenční práva, kterými je tento SW
chráněn.
-
Počítačová bezpečnost: zahrnuje implementaci speciálních
opatření, jejichž účelem je chránit počítačové prostředí proti vyzvědačství,
sabotáži, útokům nebo jakémukoliv typu neúmyslného nebo náhodného poškození.
Počítačové prostředí zahrnuje hardware, sítě, aplikace a data.
-
Uživatel: zaměstnanec (pracovník) společnosti, případně
její dodavatelé.
-
Výpočetní prostředek: osobní počítač, notebook, servery,
tiskárny, telefony apod.
-
Důvěryhodnost: zajištění, že přístup k informacím mají
pouze osoby pro to autorizované.
-
Integrita: přesnost a úplnost přenesené informace.
-
Dostupnost: zabezpečení přístupu k informacím a informačním
aktivům pro příslušné uživatele, kdykoli je to třeba.
Zkratky
Zkratky
-
BI: bezpečnost informací,
-
BT: bezpečnostní technik,
-
BOZP: bezpečnost a ochrana zdraví,
-
EZS: elektronický zabezpečovací systém,
-
Firewall: zařízení k zabezpečení síťového provozu sloužící
ke kontrole dat a informací přenášených při komunikaci mezi počítači v
internetu nebo v lokální síti,
-
HW: hardware,
-
ISMS: systém managementu bezpečnosti informací,
-
IT: informační technologie,
-
SW: software,
-
VPN: virtuální privátní síť.
Odpovědnosti a pravomoci
Odpovědnosti a pravomoci
Bezpečnostní technik:
Odpovědnost za aktualizaci, za seznámení všech zaměstnanců s
tímto dokumentem, jeho změnou nebo zrušením má BT. Ten dále zodpovídá za řízení
organizace ISMS, za řízení infrastruktury v oblasti BI a dále za komunikaci s
externím dodavatelem služeb v oblasti IT.
Vedení:
Za zavedení ISMS do praxe, jeho používání zaměstnanci a
kontrolu je odpovědné vedení společnosti.
Administrátor:
Za správu IT na základě smlouvy a pokynů BT zodpovídá externí
dodavatel služeb - administrátor IT společnosti.
Uživatel:
Uživatel odpovídá za to, že veškeré informace, které získal
nebo…
/img>/img>/img>