Systém managementu bezpečnosti informací

3.3.2 Systém managementu bezpečnosti informací

Doc. Ing. Alois Fiala, CSc.

Úvod

ISMS (zkratka pochází z anglického Information Security Management Systems - viz norma ISO/IEC 27001/2006, která nahradila britskou normu BS 7799-2 z prosince 2004) je, zjednodušeně řešeno, systém řízení činností souvisejících s pořizováním, zpracováváním, uchováváním a bezpečnou likvidací informací/dat, se kterými organizace nakládá v rámci realizace svých podnikatelských procesů.

Informace

Říká se, že nejcennějším majetkem jakéhokoli podnikatelského subjektu (bez ohledu na to, čím se daná firma zabývá) jsou informace. Je také zřejmé, že v rámci podnikání při nakládání s těmito informacemi či daty se vyskytují více či méně pravděpodobná rizika, která je mohou ohrozit. Organizace se může setkat (a také často setkává) s různými incidenty, které musí pokud možno bez významných ztrát řešit. Vedení firmy (a případně i zákazníci) firmy mají oprávněné požadavky na to, aby tato cenná aktiva byla v bezpečí a dostupná v případě, že je jich potřeba využít.

ISO/IEC 17021

Stejně jako v případě požadavků z hlediska kvality, ochrany životního prostředí či požadavků na bezpečnost a ochranu zdraví při práci stojí na vedení firmy odpovědnost ve smyslu rozhodnutí, jakým způsobem bude řídit chod příslušných činností, aby požadavky na bezpečnost informací byla schopná deklarovat a skutečně naplňovat. Stejně jako v případě uvedených příkladů i v oblasti bezpečnosti informací můžeme aplikovat různé přístupy od víceméně chaotického řešení již vzniklých problémů k plánování a realizaci preventivních opatření až po sofistikovaný systém řízení postavený na základě nejlepších dostupných technik (vývoj, jakým směrem je žádoucí se ubírat, včetně krátkého přehledu ne/výhod jednotlivých „vývojových“ stadií na poli řízení bezpečnosti informací, znázorňuje jednoduchým způsobem následující obrázek). Přijatelné řešení může představovat implementace požadavků výše uvedené normy ISO/IEC 17021.

Žádoucí vývoj v organizaci v oblasti řízení bezpečnosti informací
OD	PŘES	K
Reakce na incident	Prevence	Ucelený systém managementu bezpečnosti informací
Direktivní řízení	Participativní řízení	Vedení a řízení na základě principu PDCA (plánování, řízení, kontrola, motivace, zlepšování)
Bezpečnost informací jako záležitost informačního technika (pracovníka IT oddělení). Nevýhody takového přístupu: Nepřipravenost na případné problémy, která může vést k zvýšeným finančním nákladům, ztrátě dostupnosti, důvěryhodnosti a/nebo integrity dat.	Bezpečnost informací jako záležitost IT včetně vybraných pracovníků. Nevýhody takového přístupu: Realizační pracovník (tým) může opomenout důležitý segment celkové bezpečnosti.	Bezpečnost informací jako záležitost všech prostřednictvím již existujících a prověřených standardů. Nevýhody takového přístupu: Počáteční složitost projektu, náklady na implementaci.

Ochrana informací

Ochranu informací (bezpečnost informací) je přitom nutno chápat ve dvou základních rovinách:

• ochrana předpoškozením, ztrátou, znehodnocením, zveřejněním v důsledku chyby lidského faktoru či selháním techniky,

• zabezpečení před úmyslným poškozením, odcizením, zneužitím citlivých dat.

Další odstavce si kladou za cíl popsat základní požadavky a strukturu ISMS a dále na základě příkladu fiktivní organizace ukázat postup jejich implementace.

Proč (ne)zavádět ISMS

Proč (ne)zavádět ISMS

Na úvod si připomeňme, jaké jsou nejčastější uváděné příčiny bezpečnostních incidentů, a zamysleme se, zda se touto problematikou musíme vůbec zabývat. Na základě řady dostupných studií (a vlastních zkušeností) existují tyto nejrozšířenější příčiny bezpečnostních incidentů:

• porucha dodávek proudu,

• počítačový virus,

• porucha hardwaru,

• vlastní zaměstnanci,

• bývalí vlastní zaměstnanci.

Otázka

Jaké je řešení těmto příčinám se vyhnout, a pokud se z různých důvodů nevyhneme (či vyhnout nemůžeme), jak je zvládnout?

Odpověď zní: jedním z nejúčinnějších opatření je samozřejmě použití dostatečných bezpečnostních standardů. Tyto standardy je přitom nutné aplikovat ve všech fázích nakládání s informacemi/daty. Abychom si uvědomili šíři uvedené problematiky, vymezíme si jednotlivé etapy nakládání s informacemi a jednoduché příklady, jak může dojít v těchto etapách k narušení bezpečnosti:

Operace v rámci nakládání s informací	Možné narušení bezpečnosti	Důsledek
získávání informací	nepřesné informace ztráta získaných informací porušení důvěrnosti získaných informací	ztráta potenciálního klienta
kontrola údajů	znehodnocení dat poškození části dat porušení důvěrnosti	ztráta klienta ztráta zakázky
zpracování	znehodnocení dat poškození části dat porušení důvěrnosti krádež, zneužití	ztráta klienta ztráta zakázky právní důsledky (přestupek, trestný čin)
používání	znehodnocení dat poškození části dat porušení důvěrnosti krádež, zneužití	ztráta klienta ztráta zakázky právní důsledky (přestupek, trestný čin)
aktualizace	znehodnocení dat poškození části dat porušení důvěrnosti narušení integrity dat krádež, zneužití	ztráta klienta ztráta zakázky poškození dobrého jména právní důsledky (přestupek, trestný čin)
ukládání/uchovávání	ztráta dat poškození souboru narušení integrity dat krádež, zneužití	ztráta image firmy právní důsledky poškození dobrého jména právní důsledky (přestupek, trestný čin) zneužití konkurencí
likvidace	likvidace nesprávných dat zneužití formou obnovení	právní důsledky poškození dobrého jména právní důsledky (přestupek, trestný čin) zneužití konkurencí

Je zřejmé, že oblast možných incidentů je velmi široká, a je třeba se věnovat této problematice s náležitou pozorností, protože dopady takového incidentu můžou být pro firmu katastrofální.

Přehled norem v oblasti ISMS

Jaké jsou k dispozici systémové nástroje řízení bezpečnosti informací? Přehled je zřejmý z následujícího výčtu nejdůležitějších aktuálně platných norem v této oblasti:

ISO/IEC 27000:2009

První vydání této mezinárodní normy vyšlo 1. 5. 2009 pod názvem ISO/IEC 27000:2009: „Information technology - Security techniques - Information security management systems - Overview and vocabulary“. Norma ISO/IEC 27000 byla zpracována jako úvod do problematiky systémů managementu bezpečnosti informací a slovník pojmů v oblasti ISMS (definice pojmů byly k dispozici dosud jako součást jiných norem a zejména technických zpráv ISO/IEC TR 13335). V ČR dosud tato norma nevyšla.

ISO/IEC 27001:2005

Nejrozšířenější a světově uznávaný model poskytuje norma ISO/IEC 27001:2005 (pozn.: ISO - Mezinárodní organizace pro normalizaci, IEC - Mezinárodní elektrotechnická komise), kterou v ČR vydal v říjnu 2006 ČNI pod názvem ČSN ISO/IEC 27001:2006: „Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky“. Norma má sloužit k tomu, aby „... poskytla podporu pro ustavení, zavádění, provozování, monitorování, udržování a zlepšování.“ ISMS (viz čl. 0 odst. 0.1 normy). Již z této krátké ukázky se nabízí souvislost s již známými systémy managementu, jako je QMS, EMS, OHSAS a další. (Blíže si tyto souvislosti včetně požadavků normy popíšeme v dalším textu.)

Norma je vytvořena na základě britského standardu BS 7799 část 2, poprvé vydaného v British Standards Institute (BSI) v roce 1995. Standard BS 7799 byl poté v roce 2000 nahrazen normou ISO/IEC 17799„Information Technology - Code of practice for information security management“ , v ČR vydané prostřednictvím ČNI jako ČSN ISO/IEC 17799:2006: „Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací“. Norma ISO/IEC 17799 byla na základě zkušeností přepracována v červnu 2005 a byla vydána jako ISO/IEC 27002:2007 (v ČR dosud tato nová norma nevyšla, pro účely ISMS se zatím využívá ISO/IEC 17799).

ISO/IEC 27002:2007

Soubor postupů („code of practice providing good practice advice on ISMS“) je vytvořen na základě britského standardu BS 7799 část 1, opět v ČR zatím dosud k dispozici v podobě ISO/IEC 17799. Obsahově se normy neliší.

ISO/IEC 27005:2008

Norma byla navržena jako podpora pro dostatečnou implementaci ISMS v oblasti řízení rizik. V ČR dosud nepublikována.

ISO/IEC 27006:2007

V ČR jako ČSN ISO/IEC 27006:2008: „Informační technologie - Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci systémů managementu bezpečnosti informací“. Tato norma specifikuje požadavky a doporučení pro certifikační orgány. Pro zajímavost mimo jiné doporučuje certifikačním orgánům, které provádějí posuzování a certifikaci ISMS dle normy ISO/IEC 27001, implementovat požadavky této normy ve svém systému řízení (tj. „samy na sebe“). Dále upřesňuje a doplňuje obecné požadavky zejména v oblasti plánování a vlastního procesu auditování, stanovení doby trvání auditu, kvalifikace a výběru auditorů.

ISO/IEC 20000 /část 1 a 2/:2005

Tato norma se týká managementu služeb IT a zaměřuje se na zlepšování kvality, zvyšování efektivity a snížení nákladů u IT procesů, popisuje procesy řízení pro poskytování služeb IT. Svou filozofií a obsahem se řídí ustanoveními IT Infrastructure Library (ITIL) - viz dále. Skládá se ze dvou částí, které v ČR vydal opět ČNI:

1. ČSN ISO/IEC 20000 - 1:2006: Informační technologie - Management služeb - část 1: Specifikace. Tato část stanovuje požadavky na poskytovatele IT služeb, jejichž splnění má zabezpečit kvalitu „přijatelnou pro zákazníky“. Je (stejně jako norma ISO/IEC 27001) určená, resp. použitelná jako základ pro certifikaci.

2. ČSN ISO/IEC 20000 - 2:2007: Informační technologie - Management služeb - část 2: Soubor postupů. Nestanovuje požadavky, ale poskytuje návody a doporučení k implementaci požadavků uvedených .

ITIL

Information Technology Infrastructure Library je „klíč k zajištění kvalitních služeb v oblasti informačních technologií“. Je to jakási knihovna, která vytváří rámec přístupů vycházející z nejlepších praktických zkušeností k zajištění dodávky kvalitních IT služeb. Knihovnu spravuje organizace Office of Government Commerce (viz www.ogc.gov.uk) formou publikací, informací na internetu, CD, školení, konzultací, poradenských služeb, analýz, certifikací. Knihovna je rozdělena do několika částí podle specifických oblastí řízení IT služeb.

Kromě výše uvedeného dále existuje řada tzv. technických zpráv (Technical report - TR), které poskytují návody a příklady pro jednotlivé kroky při implementaci ISMS (jako např. hodnocení aktiv, analýza rizik, výběr opatření a další).

Jsou to:

ISO/IEC TR 13335-1:1996

Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-1:1999: Informační technologie - Směrnice pro řízení bezpečnosti IT - část 1: Pojetí a modely bezpečnosti IT. Jejím cílem je zejména poskytnout směrnici o řízení bezpečnosti IT včetně modelů použitelných k vysvětlení pojmu bezpečnost IT. Jde v podstatě o úvod k různým přístupům v oblasti bezpečnosti IT popisující systematický přístup k problematice bezpečnosti IT, cíle, strategie a politiky, bezpečnostní prvky a procesy řízení, modely řízení bezpečnosti IT. Jako takový je určen především manažerům firem. Podrobnější informace jsou pak obsaženy v dalších částech této technické zprávy.

ISO/IEC TR 13335-2:1997

Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-2:2000: Informační technologie - Směrnice pro řízení bezpečnosti IT - část 2: Řízení a plánování bezpečnosti IT. Cílem této části je popsat řídicí a plánovací aspekty, tj. řízení bezpečnosti IT, politika bezpečnosti IT celé společnosti, organizační aspekty bezpečnosti IT, možné strategie analýzy rizik, popis jednotlivých doporučení pro bezpečnost IT, plán bezpečnosti, implementace opatření včetně aktivit sledování. Je určena především manažerům s odpovědnostmi souvisejícími již přímo s oblastí IT.

ISO/IEC TR 13335-3:2000

Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-3:2000: Informační technologie - Směrnice pro řízení bezpečnosti IT - část 3: Techniky pro řízení bezpečnosti IT. Popisuje bezpečnostní techniky pro použití ve fázi návrhu, implementace, testování, provozování.

ISO/IEC TR 13335-4:2000

Tato technická zpráva vyšla v ČNI jako ČSN ISO/IEC TR 13335-4:2002: Informační technologie - Směrnice pro řízení bezpečnosti IT - část 4: Výběr ochranných opatření. Tato část se zabývá výběrem opatření podle typu systému IT nebo podle typů možných problémů a hrozeb a koncepcí základní úrovně bezpečnosti.

ISO/IEC TR 13335-5:2004

Information technology - Guidelines for the management of IT Security - Part 5: Management guidance on network security (Informační technologie - Směrnice pro řízení bezpečnosti IT - část 5: Ochranná opatření pro externí spojení) - jako ČSN zatím nevyšla. Normu technická komise JTC 1/SC 27 nahradila řadou norem ISO/IEC 18028.

Základní přehled stávajících norem souvisejících s ISMS uvádí následující obrázek.

Legislativní souvislosti

Vedle výše uvedených technických norem se k problematice bezpečnosti informací vztahuje také celá řada právních norem. Omezíme se na předpisy v ČR, i když samozřejmě platí právní úprava EU. Oblasti informačních technologií se bezprostředně týkají zejména následující právní normy:

• zákon č. 247/2008 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů;

• zákon č. 412/2005 Sb., o ochraně utajovaných skutečností;

• zákon č. 499/2004 Sb., o archivnictví a spisové službě;

• zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů („antispamový zákon“);

• zákon č. 127/2005 Sb., o elektronických komunikacích;

• zákon č. 124/2002 Sb., o platebním styku;

• zákon č. 365/2000 Sb., o informačních systémech veřejné správy;

• zákon č. 227/2000 Sb., o elektronickém podpisu;

• zákon č. 151/2000 Sb., o telekomunikacích;

• zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů;

• zákon č. 106/1999 Sb., o svobodném přístupu k informacím.

Poznámka

Pozn.: Výše uvedený výčet není samozřejmě kompletní, slouží pouze pro dokreslení rozsahu naší problematiky. Detailněji se některými z těchto předpisů budeme věnovat v dalších aktualizacích příručky. Uvedené zákony platí vždy ve znění pozdějších novelizací.

Jak tedy vytvořit funkční systém řízení procesů bezpečnosti informací, aby pokrýval všechny oblasti, zajišťoval funkční ochranu a byl dostatečně efektivní? Odpověď už jsme naznačili v úvodu této kapitoly. Takové řešení představuje implementace požadavků normy ISO/IEC 17021 s využitím řady navazujících norem a normativních dokumentů. Postup vlastní implementace si nastíníme dále.

Implementace ISMS dle normy ISO/IEC 17021

Tato norma je určena pro všechny organizace, ať už komerční, neziskové či státní správu a samosprávu. Jejím smyslem je, jak už bylo řečeno, ochrana dat, informací a dalších aktiv, která mají pro organizaci význam, a minimalizace případného poškození organizace v případě bezpečnostních incidentů.

Pokud jde o jakoukoli firmu, její zákazníci ve všech oblastech se samozřejmě budou vždy plně spoléhat na to, že pokud poskytnou svému dodavateli k dispozici v obchodním styku informace, budou tyto informace (data) vždy dostatečně zabezpečeny.

Definice používaných pojmů

Co vlastně přesně znamená pojem informační bezpečnost (nebo bezpečnost informací)?

• Informační bezpečnost znamená zabezpečení tří základních oblastí, a to jsou:

Důležité pojmy v oblasti ISMS

Uveďme si i definice některých dalších důležitých pojmů používaných v oblasti ISMS:

• Aktivum: cokoliv, co má pro společnost nějakou cenu (logo, SW, budova).

• Dostupnost: zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby.

• Důvěrnost (důvěryhodnost): zajištění, že informace jsou přístupné nebo sdělené pouze těm, kteří jsou k tomu oprávněni.

• Bezpečnost informací: zachování důvěrnosti, integrity a dostupnosti informací a dalších vlastností, jako např. autentičnost, odpovědnost, nepopiratelnost a spolehlivost.

• Bezpečnostní událost: identifikovaný stav systému, služby nebo sítě, ukazující na možné porušení bezpečnostní politiky nebo selhání bezpečnostních opatření. Může se také jednat o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací.

• Bezpečnostní incident: jedna nebo více nechtěných či neočekávaných bezpečnostních událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace a ohrožení bezpečnosti informací.

• Integrita: zajištění správnosti a úplnosti informací.

• Zbytkové riziko: riziko zbývající po uplatnění zvládání rizik.

• Akceptace rizik: rozhodnutí přijmout riziko zpravidla mající přijatelnou hodnotu.

• Analýza rizik: systematické používání informací k odhadu rizika a k identifikaci jeho zdrojů.

• Hodnocení rizik: celkový proces analýzy a vyhodnocení rizik.

• Vyhodnocení rizik: proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu.

• Management rizik: koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika.

• Zvládání rizik: proces výběru a přijímání opatření ke změně rizika.

• Prohlášení o aplikovatelnosti: dokumentované prohlášení popisující cíle opatření a jednotlivá bezpečnostní opatření, která jsou relevantní a aplikovatelná v rámci ISMS organizace.

Poznámka

Pozn.: Definice vycházejí z norem řady ISO/IEC 27000.

Ztráta důvěrnosti informací

Ztráta důvěrnosti informací na jedné straně může vést k poškození image organizace u zákazníků, nehledě na možné právní důsledky takového incidentu. Ztráta integrity, dostupnosti, autenticity a spolehlivosti dat na straně druhé může vést k problémům v oblasti plánování, přípravy zakázek, procesů realizace až k navazujícím činnostem (balení, expedice, následný servis apod.) a tím ohrozit (ne-li přímo znemožnit) vlastní činnost firmy.

Dostatečná ochrana informací

S ohledem na důležitost zabezpečit dostatečnou ochranu informací a řídit bezpečnost systému informačních technologií (dále též pouze „IT“) uvnitř organizace již dnes používá řada firem více či méně dokumentovaná pravidla a postupy směřující k ochraně dat. Jsou to většinou požadavky týkající se jednak personální oblasti, jednak používaného SW a technického zázemí.

Vzhledem k tomu, že již dnes existuje celý soubor norem, které nabízejí ucelená řešení v této oblasti (viz normy řady ISO/IEC 27001), je nanejvýš vhodné pro vedení firmy analyzovat stávající situaci, vyhodnotit rizika a na základě tohoto vyhodnocení stanovit plán opatření např. dle „naší“ normy ČSN ISO/IEC 27001:2006, která slouží jako východisko pro následující činnosti:

• zformulování politiky bezpečnosti IT,

• určení odpovědností, povinností a pravomocí v oblasti IT uvnitř organizace,

• analýza rizik,

• management rizik,

• monitorování, analýzy, revize.

Systémový přístup

Smyslem implementace požadavků normy je vytvořit systémový přístup k řízení bezpečnosti informací a předejít tak možnému poškození, ztrátě či zneužití dat, a to následujícími kroky:

• definováním pojetí v oblasti řízení bezpečnosti IT v podmínkách společnosti,

• identifikováním vztahu mezi systémem managementu společnosti obecně a systémem managementu IT,

• vytvořením vhodného modelu řízení bezpečnosti IT,

• realizací potřebných opatření;

Základní principy

Základními principy normy ČSN ISO/IEC 27001 jsou přitom:

• definovat požadavky na systém řízení bezpečnosti informací,

• vycházet ze známého Demingova cyklu PDCA,

• stanovit pravidla a postupy pro systematický a odůvodněný výběr, prosazování, kontrolu a zlepšování bezpečnostních opatření.

Cyklus PDCA lze upravit pro potřeby ISMS následujícím způsobem:

Legenda: POA - Prohlášení o aplikovatelnosti

Důvody pro zavedení požadavků normy ISO/IEC 27001

Hlavní důvody pro zavedení požadavků normy ISO/IEC 27001:

1. zajištění systémového přístupu v oblasti bezpečnosti IT,

2. úspora nákladů na řešení neočekávaných incidentů.

Důvody proti zavedení požadavků normy ISO/IEC 27001:

1. náročnost na zdroje,

2. např. též dosavadní nulový počet incidentů („zatím se nic nestalo...“).

Shrňme si jednotlivé kroky implementace požadavků normy. Pro lepší představu o vlastním postupu si pak tyto kroky rozebereme na jednoduchém příkladu.

Postup implementace

Postup implementace

Vytvoření systému managementu bezpečnosti informací je projekt. Jako takový znamená stanovit cíle, etapy, odpovědnosti, postupy, zdroje. Jeho základní etapy jsou následující:

Příprava projektu

1. Příprava projektu:

   1. Strategické rozhodnutí - souhlas vedení společnosti, který umožňuje implementaci ISMS.

   2. Vytvoření realizačního týmu.

   Vlastní realizace projektu v 10 krocích

2. Vlastní realizace projektu v 10 krocích:

   1. Úvodní analýza.

   2. Upřesnění jednotlivých etap.

   3. Provedení identifikace aktiv a stanovení jejich hodnoty. V rámci identifikace a ohodnocení aktiv společnost identifikuje všechna svá aktiva (věci hmotné, jako je třeba výpočetní technika, i „věci“ nehmotné, jako jsou data, znalosti, značka, apod.). Následuje stanovení hodnoty aktiv např. z hlediska integrity, dostupnosti a důvěrnosti, nákladů na jejich (znovu)pořízení apod.

   4. Analýza rizik. Její postup je popsán například v normě ISO/IEC 13335 (viz dále v našem příkladu). Analýza rizik je dokument, na němž je následně postaven celý systém bezpečnosti informací.

   5. Na analýzu rizik navazuje návrh opatření. Popisuje, jak bude společnost reagovat na nalezená kritická místa, definuje, jak by měl vypadat cílový stav, jak se k němu společnost dostane, termín splnění a případné nároky na zdroje.

   6. Prohlášení o aplikovatelnosti dle přílohy A normy ISO/IEC 27001.

   7. Vytvoření dokumentace. Pro přehlednost uvádíme souhrnný seznam nezbytných dokumentů v případě implementace ISMS dle ISO/IEC 27001:

      1. i. Rozsah a hranice ISMS
      2. ii. Politika ISMS
      3. iii. Definice a popis přístupu k hodnocení rizik
      4. iv. Identifikace rizik
      5. v. Analýza a vyhodnocení rizik
      6. vi. Identifikace a varianty pro zvládání rizik
      7. vii. Cíle opatření a bezpečnostní opatření pro zvládání rizik (viz příloha A normy)
      8. viii. Akceptace rizik
      9. ix. Získání povolení k provozování ISMS v rámci organizace
      10. x. Prohlášení o aplikovatelnosti

   8. Implementace opatření.

   9. Monitoring, analýza, zlepšování.

   10. Certifikace (pokud ji vedení požaduje).

Příklad implementace v organizaci

Jak již bylo řečeno, s ohledem na důležitost zabezpečení dostatečné ochrany dat již dnes používá firma AEC dokumentovaná pravidla a postupy směřující k ochraně dat, a to v následujících oblastech:

Identifikace

• Společnost AEC má právně vynutitelná ujednání (smlouvy) k zabezpečení důvěrnosti informací získaných nebo vytvořených v průběhu výkonu poradenských činností na všech úrovních své struktury včetně externích pracovníků (odborných konzultantů a lektorů).

• Společnost AEC považuje všechny informace získané v rámci svých činností za důvěrné.

• Žádné informace týkající se určitého zákazníka nebo jeho produktů nesmí být bez jeho písemného souhlasu poskytnuty třetí straně. Vyplývá-li požadavek na zpřístupnění důvěrných informací třetí straně z právního předpisu, je příslušný zákazník o poskytnutí těchto informací předem informován tak, jak to právní předpis vyžaduje.

• Informace o zákazníkovi z jiných zdrojů než od něho samého jsou považovány rovněž za důvěrné kromě těch, které jsou veřejně přístupné (např. na internetu).

• Pracovníci společnosti AEC jsou povinni zachovávat mlčenlivost o důvěrných informacích organizace získaných v procesu realizace zakázek. Rovněž písemné informace je nutno považovat za důvěrné a nepovolaným osobám nesmí být umožněno nahlížení do spisů a archivních dokumentů. Mlčenlivost externích spolupracovníků je vázána rovněž smluvně. Porušení zásad mlčenlivosti je důvodem k okamžitému odvolání externího pracovníka ze zakázky a vyřazení z databáze externích spolupracovníků. Podepsaná smlouva včetně závazku o mlčenlivosti pracovníků je uložena v jejich personálních materiálech.

Identifikace typu systému IT

Identifikace typu systému IT:

• samostatné pracovní stanice (notebooky),

• server se sdílenými zdroji (počítačová síť v kanceláři).

Společnost má k dispozici a používá zařízení a vybavení, která zajišťují bezpečné zacházení s důvěrnými informacemi.

Podmínky uložení dat

Podmínky uložení dat:

• Písemné materiály související s jednotlivými zakázkami jsou v době rozpracovanosti vždy u příslušného vedoucího pracovníka zakázky. V jeho nepřítomnosti jsou uzamčeny. Přístup k těmto dokumentům má vždy ředitel společnosti.

• Počítače, v nichž jsou uloženy záznamy či dokumenty použité při zakázkách, jsou zabezpečeny heslem tak, aby k příslušným datům pro editaci měl přístup pouze odpovědný pracovník.

• Záznamy ze zakázek vedených v elektronické formě jsou uloženy na serveru a pravidelně zálohovány.

Perimetr a budova

Perimetr a budova:

• Budova je na ulici s mírným provozem na chráněném pozemku.

• Budova je užívána více uživateli (administrativní komplex).

• Citlivé oblasti - server, archiv jsou umístěny v oddělených prostorách s omezeným přístupem pouze pro pověřené pracovníky společnosti AEC.

Řízení přístupu

Řízení přístupu:

• Kanceláře jsou přístupné pomocí čipu.

• Čip mají pouze ti pracovníci, kteří v dané kanceláři pracují.

• Přístup pracovníků, kteří provádějí úklid, je řízený správcem budovy.

• Pronajaté kanceláře jsou v objektu, který je pod trvalou ostrahou bezpečnostní agentury.

• Je instalován systém pro fyzickou kontrolu přístupu (recepce, přístup do kanceláří je zabezpečen prostřednictvím EZS).

• Místnost se serverem je vybavena poplachovou signalizací pro případ neoprávněného vniknutí.

Stávající ochrana

Stávající ochrana:

• požární detektory, poplachová zařízení v budově,

• údržbu a provoz TZB zajišťuje provozovatel objektu (součást nájemní smlouvy).

Plán přípravy a implementace požadavků

Pro další postup byl stanoven následující plán přípravy a implementace požadavků normy ISO/IEC 27001:

Příprava:

1. určení rozsahu ISMS,

2. stanovení politiky ISMS společnosti AEC.

Analýza rizik:

1. c. aktiva,
2. d. hrozby,
3. e. zranitelnosti,
4. f. dopady,
5. g. rizika.

Identifikace a vyhodnocení variant pro zvládání rizik:

1. h. program zvyšování úrovně bezpečnosti,
2. i. prohlášení o aplikovatelnosti (POA).

Vlastní implementace:

1. j. plán zvládání rizik,
2. k. plán kontinuity a obnovy funkčnosti,
3. l. organizační a administrativní opatření,
4. m. technologická opatření.

Řízení provozu:

1. n. program zvyšování bezpečnostního povědomí (výcvik),
2. o. zjišťování a řízení bezpečnostních zranitelností,
3. p. řízení provozních rizik,
4. q. zvládání bezpečnostních incidentů.

Měření, analýza:

1. r. monitoring provozu,
2. s. testování funkčnosti opatření,
3. t. audit,
4. u. přezkoumávání ISMS.

Zlepšování:

1. v. nápravná a preventivní opatření,
2. w. návrhy na zlepšení a jejich realizace.

Příprava: Určení rozsahu a hranic ISMS dle čl. 4.2.1 normy ČSN ISO/IEC 27001:2006 na základě posouzení specifických rysů činností společnosti.

Rozsah ISMS bude navržen na základě následujících aspektů:

Specifické rysy organizace

a) Specifické rysy organizace:

Jedná se o společnost AEC s. r. o. poskytující odborné služby v oblasti systémů managementu a posuzování shody výrobků za účelem úspěšné certifikace systémů managementu případně splnění příslušných požadavků právních předpisů v oblasti zákona č. 22/1997 Sb. v pl. zn., o technických požadavcích na výrobky, včetně školení. Za tím účelem nakládá s množstvím informací, které lze rozdělit do dvou skupin:

• záznamy z průběhu plánování, přípravy a realizace činností,

• informace (data) zákazníků - dokumentace, informace získané v rámci přípravy na posuzování shody a zavádění systémů managementu.

Struktura organizace

b) Struktura organizace:

Strukturu organizace vymezuje organizační schéma:

Lokality

c) Lokality:

• sídlo (řízení, administrativa) - jedna lokalita,

• činnosti prováděné u zákazníka (v rámci EU).

Aktiva

d) Aktiva:

• informační aktiva: datové soubory (databáze zákazníků),

• dokumenty: řídicí dokumentace, smlouvy,

• SW aktiva: MS Office, databáze zákazníků,

• fyzická aktiva: HW, komunikační technika, budova (stolní počítače, server, mobilní telefony, notebooky, místnosti),

• pracovníci: zaměstnanci, externí spolupracovníci,

• image společnosti: název, logo, certifikace akreditovaným certifikačním orgánem, reference,

• služby: odborné činnosti v procesu implementace systémů managementu a přípravy na posuzování shody výrobků.

Technologie

e) Technologie:

• databáze,

• vzdálený přístup (normy, právní předpisy).

f) Důvody pro vyjmutí z rozsahu ISMS (dle přílohy A normy ISO/IEC 27001):

• A.9.1.6 - veřejný přístup se nepoužívá,

• A.10.8.5 - nepoužívají se propojené podnikové informační systémy,

• A.10.9.1 - elektronický obchod není prováděn.

S ohledem na výše uvedené je navržen následující rozsah ISMS:

Z hlediska procesů je ISMS omezen na „poradenské služby v procesu implementace systémů managementu a přípravy na posuzování shody a certifikaci výrobků včetně školení“. ISMS bude začleněn do stávajícího systému managementu odpovídajícího požadavkům normy ČSN EN ISO 9001:2009. Vymezení rozsahu bude dále upřesněno v bezpečnostní politice IT.

Z hlediska organizace je vymezení hranic ISMS zřejmé z výše uvedeného organizačního schématu.

Identifikace a ohodnocení aktiv organizace je základní krok v celkovém procesu analýzy rizik. Vlastní proces hodnocení aktiv si každá organizace může nastavit individuálně podle svých potřeb, nicméně základní popis procesu identifikace a hodnocení aktiv včetně navazujících procesů je uveden ve zmiňované normě ČSN ISO/IEC TR 13335.

Aby bylo možno provést ohodnocení aktiv, musí být tedy nejprve vhodným způsobem identifikována. V této etapě se doporučuje seřadit všechna aktiva, která k sobě logicky patří (například SW aktiva, obchodní aktiva, fyzická aktiva apod.). Je vhodné již v této etapě identifikovat tzv. vlastníka daného aktiva, tj. pověřenou osobu odpovědnou za toto aktivum, se kterým budeme spolupracovat na určení konkrétní hodnoty aktiva.

Co jsou aktiva?

Co jsou aktiva?

Podle definic uvedených v předchozích odstavcích je aktivum ta část celého systému, které organizace přikládá určitou hodnotu a pro kterou je třeba mít nastavený způsob ochrany. Mezi nejdůležitější aktiva řadíme:

• informace - data (např. databáze zákazníků),

• hardware (PC, tiskárna, notebook),

• software (program, aplikace apod.),

• komunikační zařízení (sítě, telefony, modemy),

• dokumenty (smlouvy, zápisy z porad, z valné hromady apod.),

• personál (znalosti),

• image organizace.

V našem příkladu na základě shrnutí předchozí etapy (analýzy výchozího stavu) je stanoveno následující:

Bezpečnostní cíle společnosti

1. Bezpečnostní cíle společnosti:

   • dostupnost dat pro plánování zakázek těm, kdo je potřebují a jsou k tomu oprávněni (zejména databáze zákazníků, dokumentace, projekty a podklady zákazníků),

   • integrita dat pro plánování a realizaci zakázek (databáze, email, telefon) tak, aby informace byla vždy přesná, kompletní, nikým nemodifikovaná,

   • důvěryhodnost informací (k dokumentaci a záznamům mají přístup pouze autorizované osoby).

   Bezpečnostní strategie

2. Bezpečnostní strategie:

   • Vhodná metodika analýzy rizik pro celou společnost dle normy ISO/IEC TR 13335

   Bezpečnostní politika

3. Bezpečnostní politika IT celé společnosti: bude zpracována po výsledku analýzy rizik formou samostatného dokumentu

Zvolená metodika

Základní přístup je uplatňován v následujících krocích:

1. krok - identifikace aktiv a jejich ocenění (hodnota) z hlediska bezpečnosti informací,

2. krok - určení hrozeb útočících na aktiva a zranitelností vůči těmto hrozbám,

3. krok - ohodnocení pravděpodobnosti hrozby ve vztahu k zranitelnosti,

4. krok - výpočet rizika - součin hodnoty aktiva a pravděpodobnosti dopadu,

5. krok - stanovení hranice pro akceptovatelnou úroveň,

6. krok - výstup z „analýzy rizik“,

7. krok - identifikace stávajících a budoucích opatření ke snižování/minimalizaci/odstranění rizik, přiřazení odpovědností, termínů splnění a zdrojů (zvažovány bezpečnostní požadavky),

8. krok - sestavení plánu zvládání rizik (PZR) pro rizika v hodnotě od 11 a výš,

9. krok - všechna rizika do hodnoty 10 jsou evidována jako zbytková rizika.

Identifikace aktiv

Identifikace aktiv

Budou vzaty v úvahu následující prvky:

• informační aktiva: datové soubory (databáze zákazníků),

• dokumenty: řídicí dokumentace, smlouvy,

• SW aktiva: databáze zákazníků,

• fyzická aktiva: HW, komunikační technika, budova (stolní počítače, server, mobilní telefony, notebooky, místnosti),

• pracovníci: zaměstnanci, externí spolupracovníci,

• služby: odborné činnosti v procesu poradenství.

Identifikovaná aktiva v našem příkladu jsou uvedena v registru aktiv.

Pozn.: Následující příklad je ilustrativní a jako takový je proveden zjednodušenou formou. Rovněž zvolená metodika analýzy rizik je pro lepší pochopení pouze na základní úrovni.

REGISTR AKTIV SPOLEČNOSTI AEC s. r. o.

Oblast	Druh aktiv	Č.	Aktivum
Informační aktiva	Informace/data	1.	Databáze klientů
Dokumenty	Dokumenty	2.	Řídicí dokumentace (příručka kvality)
		3.	Složky zákazníka (papírové)
		4.	Personální záznamy
		5.	Dokumentace zákazníka (data) na serveru
		6.	Dokumentace zákazníka (data) v notebooku
		7.	MS Word, MS Excel
Fyzická aktiva	HW	8.	Počítače
		9.	Tiskárna
	Komunikační technika	10.	Mobilní telefony
		11.	Pevná linka
		12.	Server
		13.	Internet
	Budova	14.	Místnosti
		15.	Okolí
	Technické prostředky	16.	Auta
Lidé	Pracovníci	17.	Zaměstnanci
		18.	Externí spolupracovníci
Služby	Zákazníci	19.	Odborné činnosti v procesu poradenství (znalosti)

Hodnota aktiva

A. Hodnota aktiva:

Ve chvíli, kdy máme identifikovaná aktiva, musíme k nim přiřadit hodnoty. Tyto hodnoty představují význam aktiv pro činnost organizace. Vstupní údaje pro hodnocení aktiv budou zajištěny vlastníky a uživateli aktiv, například formou dotazníku, případně pomocí rozhovoru či brainstormingu.

Pro výpočet hodnoty aktiva (viz pravý sloupec v tabulce „Hodnota aktiva“) existují specializované programy. Je také možné vytvořit si základní tabulky pro výpočet ohodnocení aktiv například v programu MS Excel nebo v jiném tabulkovém editoru. My jsme použili jednoduchou metodu Metoda 1 - Maticové vyjádření hodnoty aktiva, kdy je pro zařazení aktiva do určité úrovně zásadní stanovisko vlastníka aktiva. Dále byla použita Metoda 2 - Potenciální nepříznivé dopady na činnosti organizace plynoucí ze ztráty důvěrnosti, integrity, dostupnosti, individuální odpovědnosti, autenticity a spolehlivosti. V našem příkladu jsou uvedené dva způsoby zvoleny z důvodů možnosti porovnání výsledných hodnot.

Důležitým krokem je stanovení stupnice a hodnotících kritérií, která budou použita k přiřazování ohodnocení určitého aktiva. Tato stupnice může být vyjádřena penězi (tj. náklady na pořízení v naší matici) nebo kvalitativními hodnotami (potenciální nepříznivé dopady na činnost). Možné je také obě varianty kombinovat. Nejčastěji bývá použita hodnotová škála 1 - 5, přičemž 1 znamená nízká hodnota, 5 velmi vysoká hodnota. Typické termíny používané pro kvalitativní hodnocení jsou uvedeny v matici u Metody 1.

Vraťme se k našemu příkladu:

Hodnota aktiva = význam aktiv pro činnost organizace (vztah k nákladům na pořízení, udržování, potenciální nepříznivé dopady na činnost pokud dojde ke ztrátě důvěrnosti, integrity, dostupnosti...).

Hodnota je vyjádřená kvalitativně (viz matice - stupnice zanedbatelný - nízký - střední - vysoký - velmi vysoký)

Metoda 1 - Maticové vyjádření hodnoty aktiva

Náklady na pořízení	Zanedbatelné Do 10.000,-	Nízké Do 50.000,-	Střední Do 100.000,-	Středně vysoké Do 150.000,-	Vysoké Nad 150.000,-
Potenciální nepříznivé dopady na činnost	1	2	3	4	5
Zanedbatelné Nepříznivé účinky při prosazování práva, narušení veřejného pořádku 1	1	2	3	4	5
Nízké Narušení spojené s osobní informací 2	2	4	6	8	10
Střední Narušení obchodního tajemství Snížení výkonu 3	3	6	9	12	15
Vysoké Porušení legislativy Ohrožení osobní bezpečnosti Ohrožení bezpečnosti prostředí 4	4	8	12	16	20
Velmi vysoké Ztráta dobrého jména Finanční ztráta Přerušení obchodních činností Existenční potíže 5	5	10	15	20	25

Legenda:
Hodnota aktiva: 1 - 25; přičemž nad 15 je vysoká.

HODNOTA AKTIVA

Oblast	Druh aktiv	Č.	Aktivum	Hodnota stanovená metodikou 1
Informační aktiva	Informace/data	1.	Databáze klientů	15
Dokumenty	Dokumenty	2.	Řídicí dokumentace (příručka kvality)	6
		3.	Složky zákazníka (papírové)	10
		4.	Personální záznamy	3
		5.	Dokumentace zákazníka (data) na serveru	3
		6.	Dokumentace zákazníka (data) v notebooku	3
		7.	MS Word, MS Excel	6
Fyzická aktiva	HW	8.	Počítače	9
		9.	Tiskárna	6
	Komunikační technika	10.	Mobilní telefony	15
		11.	Pevná linka	6
		12.	Server	15
		13.	Internet	9
	Budova	14.	Místnosti	9
		15.	Okolí	1
	Technické prostředky	16.	Auta	16
Lidé	Pracovníci	17.	Zaměstnanci	20
		18.	Externí spolupracovníci	15
Služby	Zákazníci	19.	Odborné činnosti v procesu poradenství (znalosti)	20

Metoda 2 - Potenciální nepříznivé dopady na činnosti plynoucí ze ztráty:

• důvěrnosti (D) - zajištění, že informace jsou přístupné pouze oprávněným pracovníkům,

• integrity (I) - správnost a úplnost informací,

• Dostupnosti (Dt) - informace je přístupná v okamžiku potřeby.

Použita stupnice hodnot 1 až 5:

1 - zanedbatelný	dopad na činnosti organizace
2 - nízký
3 - střední
4 - vysoký
5 - velmi vysoký

Výsledná hodnota H = (D + I + Dt)/3
(zaokrouhleno na celá čísla)

HODNOTA AKTIVA

Poř. č.	Aktivum	Důvěrnost	Integrita	Dostupnost	Hodnota stanovená metodikou 2
		(D)	(I)	(Dt)	(H)
1.	Databáze klientů	5	3	4	4
2.	Řídicí dokumentace	3	4	2	3
3.	Složky zákazníka	5	4	3	4
4.	Personální záznamy	5	4	5	5
5.	Dokumentace zákazníka na serveru	5	2	3	3
6.	Dokumentace zákazníka v notebooku	5	3	1	3
7.	MS Word, Excel	3	3	3	3
8.	Počítače	4	3	4	4
9.	Tiskárna	2	2	3	2
10.	Mobilní telefony	5	2	2	3
11.	Pevná linka	5	1	1	2
12.	Server	5	5	3	4
13.	Internet	5	4	3	4
14.	Místnosti	4	3	2	3
15.	Okolí	1	1	1	1
16.	Auta	2	2	4	3
17.	Zaměstnanci	5	4	3	4
18.	Externí spolupracovníci	5	4	2	4
19.	Odborné činnosti (znalosti)	5	5	5	5

Porovnání výsledků metodiky 1 a 2

Poř.č.	Aktivum	Výsledné hodnocení
		Metodika 1	Metodika 2
1.	Databáze klientů	15	4
2.	Řídicí dokumentace	6	3
3.	Složky zákazníka	10	4
4.	Personální záznamy	3	5
5.	Dokumentace zákazníka na serveru	3	3
6.	Dokumentace zákazníka v notebooku	3	3
7.	MS Word, Excel	6	3
8.	Počítače	9	4
9.	Tiskárna	6	2
10.	Mobilní telefony	15	3
11.	Pevná linka	6	2
12.	Server	15	4
13.	Internet	9	4
14.	Místnosti	9	3
15.	Okolí	1	1
16.	Auta	16	3
17.	Zaměstnanci	20	4
18.	Externí spolupracovníci	15	4
19.	Odborné činnosti (znalosti)	20	5

Hodnocení hrozeb

Hodnocení hrozeb:

Hrozba představuje možnost poškodit zkoumaný systém IT a jeho aktiva. Hrozby mohou být jak přírodního, tak lidského původu a mohou být úmyslné nebo náhodné. Jako základní katalog hrozeb lze využít seznam uvedený v normě ČSN ISO/IEC TR 13335.

Hrozby jsou tedy veškeré okolnosti, které mohou vést k poškození informačního systému. Hrozba má potenciální schopnost způsobit nežádoucí incident, který může mít za následek:

• poškození systému,

• poškození organizace,

• poškození aktiv.

Výběr v našem příkladu je proveden pomocí přílohy C normy CSN ISO/IEC 13335-3, která uvádí seznam možných typů hrozeb.

Seznam hrozeb a pravděpodobnosti jejich výskytu

Aktivum	Hrozba	P
Databáze klientů	Ztráta integrity	1
	Vymazání databáze	1
	Poškození paměťového média	1
	Použití dat neautorizovanými uživateli	2
	Předstírání identity uživatele	1
Řídicí dokumentace	Zničení (požár)	1
	Krádež	2
	Ztráta	2
	Zneužití	3
	Změna informace	2
Složky zákazníka	Zničení (požár)	1
	Krádež	2
	Ztráta	4
	Zneužití	3
Personální záznamy	Ztráta	1
	Zneužití	3
Dokumentace zákazníka na serveru	Zničení (požár)	1
	Krádež	2
	Ztráta	4
	Zneužití	3
	Vymazání souboru	4
Dokumentace zákazníka v notebooku	Krádež	4
	Ztráta	4
MS Word, Excel	Selhání	2
	Poškození	2
	Škodlivý SW	3
	Neoprávněná instalace SW	3
Počítače	Krádež	4
	Ztráta	4
	Selhání	3
Tiskárna	Krádež	1
	Selhání	3
Mobilní telefony	Krádež	4
	Ztráta	4
	Selhání operátora	2
	Odposlech	3
Pevná linka	Selhání poskytovatele	2
	Porucha	2
	Odposlech	3
Server	Technické selhání	3
	Poškození	3
	Přístup neautorizovanými uživateli	1
Internet	Nedostupnost/přetížení	3
	Hacking	4
	Nepřátelský program	4
	Chyba přenosu při dálkovém připojení	4
	Chybné směrování zpráv	4
	Přesměrování zpráv	3
Místnosti	Požár	1
	Krádež	1
	Selhání dodávky energie	1
Okolí	Požár	1
Auta	Porucha	4
	Nehoda	3
	Krádež	3
	Přepadení	1
Zaměstnanci	Nedostupnost/nedostatek	2
	Chyby a opomenutí	3
	Nehoda	3
	Úmyslná škoda	3
Externí spolupracovníci	Nedostupnost/nedostatek	1
	Chyby a opomenutí	4
	Nehoda	3
	Zneužití	3
Odborné činnosti	Nedodržení smlouvy	2
	Nedostupnost	2
	Zveřejnění důvěrných informací	1

Legenda:
P: Pravděpodobnost hrozby:
Použito bodové hodnocení1 - 5, kde
1 - nejnižší,
2 - nízká,
3 - střední,
4 - vysoká,
5 - nejvyšší.

Odhad zranitelností

Odhad zranitelností

Tento odhad odhalí slabá místa ve fyzickém prostředí, organizaci, postupech, personálu, managementu, HW, SW nebo komunikačním zařízení, která mohou být využita zdrojem hrozby a způsobit tak škodu na aktivech.

Zranitelnost je vlastnost konkrétního informačního systému, slabé místo na úrovni:

- fyzické,	Podmínky umožňující hrozbě ovlivnit aktiva a způsobit škodu
- organizační,
- procedurální,
- personální,
- řídicí,
- administrativní,
- HW, SW,
- informací.

Zranitelnost sama o sobě není příčinou škody, ke škodě dojde tehdy, pokud je slabé - zranitelné místo využité hrozbami. Analýza zranitelnosti je tedy prozkoumání slabých míst, která jsou využitelná identifikovanými hrozbami (slabým místem může být např. složité uživatelské rozhraní, nestabilní dodávka energie, nechráněná komunikační linka, nekvalifikovaný personál apod.).

Výsledkem tohoto kroku je pak seznam zranitelností a odhad snadnosti jejich využití, například s použitím stupnice vysoký, střední, nízký.

Výběr v našem příkladu je opět proveden pomocí normy ČSN ISO/IEC 13335-3 - příloha D, příklady obecných zranitelností.

Okamžitou pozornost dále věnujeme zranitelnostem, kterým odpovídá určitá hrozba.

Seznam zranitelností a odhad snadnosti jejich využití

Aktivum	Hrozba	Zranitelnost	O
Databáze klientů	Ztráta integrity	Známé chyby softwaru Nedostatek efektivního řízení změn	S S
	Vymazání databáze	Nedostatečné zálohování	N
	Poškození paměťového média	Nedostatečná údržba	S
	Použití dat neautorizovanými uživateli	Nedostatečný management hesel Nesprávné používání přístupových práv	S S
	Předstírání identity uživatele		N
Řídicí dokumentace	Zničení (požár)
	Krádež
	Ztráta	Nedostatečná péče	V
	Zneužití	Nedostatek monitorovacích systémů	V
	Změna informace
Složky zákazníka	Zničení (požár)
	Krádež
	Ztráta	Nedostatečná péče	S
	Zneužití
Personální záznamy	Ztráta	Nedostatečná péče	N
	Zneužití	Nedostatek monitorovacích systémů	N
Dokumentace zákazníkana serveru	Zničení (požár)
	Krádež
	Ztráta
	Zneužití	Nekontrolovatelné kopírování	V
	Vymazání souboru	Nedostatečné zálohování	S
Dokumentace zákazníka v notebooku	Krádež	Nechráněná paměť	V
	Ztráta
MS Word, Excel	Selhání
	Poškození
	Škodlivý SW
	Neoprávněná instalace SW	Nedostatek povědomí o bezpečnosti	S
Počítače	Krádež
	Ztráta
	Selhání	Nedostatek schémat periodické náhrady hardwaru	S
Tiskárna	Krádež
	Selhání	Nedostatek schémat periodické náhrady hardwaru	N
Mobilní telefony	Krádež
	Ztráta
	Selhání operátora
	Odposlech
Pevná linka	Selhání poskytovatele
	Porucha
	Odposlech
Server	Technické selhání
	Poškození
	Přístup neautorizovanými uživateli
Internet	Nedostupnost/přetížení
	Hacking	Nechráněná spojení veřejných sítí	V
	Nepřátelský program
	Chyba přenosu při dálkovém připojení
	Chybné směrování zpráv
	Přesměrování zpráv
Místnosti	Požár
	Krádež
	Selhání dodávky energie
Okolí	Požár
Auta	Porucha	Nedostatečná péče	N
	Nehoda	Nedostatečné bezpečnostní školení	S
	Krádež
	Přepadení	Nedostatečné bezpečnostní školení	S
Zaměstnanci	Nedostupnost/ nedostatek	Absence personálu	V
	Chyby a opomenutí	Nedostatečné bezpečnostní školení Nesprávné používání HW a SW Nedostatek monitorovacích systémů	S S S
	Nehoda
	Úmyslná škoda	Neadekvátní postupy přijímání nových zaměstnanců	V
Externí spolupracovníci	Nedostupnost/ nedostatek	Absence personálu	S
	Chyby a opomenutí	Nedostatečné bezpečnostní školení	S
	Zneužití informací	Nedostatečná motivace	V
	Nehoda
Odborné činnosti	Nedodržení smlouvy	Nedostatečné přezkoumání smlouvy	V
	Nedostupnost	Nedostatek personálu	V
	Zveřejnění důvěrných informací	Nedostatečné bezpečnostní školení	V

Legenda:
O: odhad snadnosti využití zranitelností: V - vysoká; S - střední; N - nízká.

Kroky, které budou následovat:

• odhad rizik,

• identifikace existujících/plánovaných ochranných opatření,

• přijetí/nepřijetí rizik,

• implementace nápravných opatření.

Analýza rizik je prováděna za účelem identifikace zranitelných míst informačního systému organizace. Vychází ze seznamu hrozeb působících na společnost a stanovuje míru rizika příslušnou každému zranitelnému místu a hrozbě. Účelem takového dokumentu je stanovení potřebných opatření pro snížení rizik na přijatelnou úroveň, respektive akceptaci zbytkových rizik tam, kde je jejich minimalizace neefektivní.

Analýza rizik je rozdělována na 4 základní úrovně (viz opět CSN ISO/IEC TR 13335). Pro rozhodnutí, který přístup je pro který systém IT vhodný, bude mít význam zohlednění následujících skutečností:

• jakých cílů má být použitím systému IT dosaženo,

• úroveň investic do tohoto systému IT,

• aktiva systému IT, kterým organizace přiřazuje určitou hodnotu,

• stupeň, v jakém činnost organizace závisí na systému IT (zda jsou funkce, které organizace považuje pro své přežití za kritické nebo efektivní, závislé na tomto systému IT).

Z této základní analýzy vyplyne, které systémy jsou vhodné k nasazení základního přístupu (ty méně kritické, nákladné apod.) a u kterých je nutné provést podrobnou analýzu rizik.

Úrovně analýzy rizik

Úrovně analýzy rizik:

1. Hrubá úroveň: tato analýza bere v úvahu hodnotu IT systému pro činnost organizace a zpracovávaných informací a rizika z pohledu činnosti organizace.

2. Neformální přístup: využívá znalosti a zkušenosti jednotlivců; nevyžaduje obvykle mnoho zdrojů nebo času, k provedení této neformální analýzy není nutné se naučit nové dodatečné dovednosti a tato analýza je provedena rychleji než podrobná analýza rizik.

3. Kombinovaný přístup: nejprve je provedena počáteční analýza rizik na hrubé úrovni pro všechny systémy IT, která se soustřeďuje u každého případu na hodnotu systému IT pro činnost organizace a na vážná rizika, jimž je systém IT vystaven. U systémů IT, které jsou identifikovány jako významné pro činnost organizace a/nebo vystavené vysokým rizikům, následuje podrobná analýza rizik.

4. Podrobný přístup: podrobná analýza rizik systému IT obsahuje identifikaci souvisejících rizik a odhad jejich velikosti, provádí se identifikací potenciálních nepříznivých dopadů nežádoucích událostí na činnost organizace a pravděpodobnost jejich výskytu. Pravděpodobnost výskytu bude záviset na tom, jak atraktivní jsou aktiva pro potencionálního útočníka, na pravděpodobnosti výskytu hrozeb a na snadnosti, s kterou mohou být zranitelnosti využity.

Norma doporučuje použít kombinaci metod neformální a detailní analýzy rizik. Nejprve je provedena počáteční analýza rizik na hrubé úrovni pro všechny systémy IT. U systémů, které budou identifikovány jako významné pro činnost organizace, případně vystavené vysokým rizikům, se obvykle provádí následně podrobná analýza rizik.

Výše rizika může být popsána příkladem v následující tabulce.

Riziko	Popis
Nepřijatelné	Nelze tolerovat, riziko musí být odstraněno.
Poškozující	Je vhodné riziko odstranit, ale je třeba zvážit náklady s tím spojené.
Přijatelné	Riziko je přijatelné, pokud je monitorováno.
Zanedbatelné	Riziko není třeba analyzovat.

Použitá metoda v našem příkladu - zařazení hrozeb podle míry rizika jednoduchým výpočtem:

M_R = H x P

Kde M_R = míra rizika, H = hodnota aktiva, P = pravděpodobnost.

1 - 5: zařazení hrozby 1
6 - 10: zařazení hrozby 2
11 - 15: zařazení hrozby 3
16 - 20: zařazení hrozby 4
21 - 25: zařazení hrozby 5

Zařazení hrozeb podle míry rizika

Č. aktiva	Popis hrozby	Hodnota dopadu (aktiv)	Pravděpodobnost výskytu hrozby	Míra rizika	Zařazení hrozby
		(H)	(P)	(MR)
1	Ztráta integrity	4	1	4	1
	Vymazání databáze	4	1	4	1
	Poškození paměťového média	4	1	4	1
	Použití dat neautorizovanými uživateli	4	2	8	2
	Předstírání identity uživatele	4	1	4	1
2	Zničení (požár)	3	1	3	1
	Krádež	3	2	6	2
	Ztráta	3	2	6	2
	Zneužití	3	3	9	2
	Změna informace	3	2	6	3
3	Zničení (požár)	4	1	4	1
	Krádež	4	2	8	2
	Ztráta	4	4	16	4
	Zneužití	4	3	12	3
4	Ztráta	5	1	5	1
	Zneužití	5	3	15	3
5	Zničení (požár)	3	1	3	1
	Krádež	3	2	6	2
	Ztráta	3	1	3	1
	Zneužití	3	3	9	2
	Vymazání souboru	3	4	12	3
6	Krádež	3	4	12	3
	Ztráta	3	4	12	3
7	Selhání	3	2	6	1
	Poškození	3	2	6	1
	Škodlivý SW	3	3	9	2
	Neoprávněná instalace SW	3	3	9	2
8	Krádež	4	4	16	4
	Ztráta	4	4	16	4
	Selhání	4	3	12	3
9	Krádež	2	1	2	1
	Selhání	2	3	6	2
10	Krádež	3	4	12	3
	Ztráta	3	4	12	3
	Selhání operátora	3	2	6	2
	Odposlech	3	3	9	2
11	Selhání poskytovatele	2	2	4	1
	Porucha	2	2	4	1
	Odposlech	2	3	6	2
12	Technické selhání	4	3	12	3
	Poškození	4	3	12	3
	Přístup neautorizovanými uživateli	4	1	4	1
13	Nedostupnost/ přetížení	4	3	12	3
	Hacking	4	4	16	4
	Nepřátelský program	4	4	16	4
	Chyba přenosu při dálkovém připojení	4	4	16	4
	Chybné směrování zpráv	4	4	16	4
	Přesměrování zpráv	4	3	12	3
14	Požár	3	1	3	1
	Krádež	3	1	3	1
	Selhání dodávky energie	3	1	3	1
15	Požár	1	1	1	1
16	Porucha	3	4	12	3
	Nehoda	3	3	9	2
	Krádež	3	3	9	2
	Přepadení	3	1	3	1
17	Nedostupnost/ nedostatek	4	2	8	2
	Chyby a opomenutí	4	3	12	3
	Nehoda	4	3	12	3
	Úmyslná škoda	4	3	12	3
18	Nedostupnost/ nedostatek	4	1	4	1
	Chyby a opomenutí	4	4	16	4
	Zneužití informací	4	3	12	3
	nehoda	4	3	12	3
19	Nedodržení smlouvy	5	2	10	2
	Nedostupnost	5	2	10	2
	Zveřejnění důvěrných informací	5	1	5	1

Přehled opatření ke snižování/minimalizaci/odstranění rizik včetně přiřazení odpovědností, termínů splnění a zdrojů:

• v této fázi identifikace stanovíme opatření pro rizika v hodnotě 16 a výš (hrozba úrovně 4 a 5),

• následuje sestavení plánu zvládání rizik (PZR) pro rizika v hodnotě od 11 a výš (hrozba úrovně 3),

• všechna rizika do hodnoty 10 jsou evidována jako zbytková rizika (hrozba úrovně 1 a 2).

IDENTIFIKACE OPATŘENÍ

Aktivum	Hrozba	Možný dopad (riziko)	Stávající/potřebná opatření	O	T	Z
Složky	Ztráta zákazníka	Porušení integrity, důvěryhodnosti, dostupnosti	S: zabezpečení archivu
Počítače	Krádež Ztráta	Porušení důvěryhodnosti, zneužití konkurencí	S: zabezpečení místností, vybavení vozidel alarmem PO: Vytvoření bezpečnostní politiky IT společnosti. Bezpečnostní školení uživatelů.
Internet	Hacking Nepř. program Chyba přenosu Chybné směrování zpráv	Porušení integrity, důvěryhodnosti, dostupnosti, zneužití konkurencí, ztráta potenciálního zákazníka	S: AVG, aktualizace záplat, autorizaceheslem, správa heselexterní firmou, zálohování externí firmou, údržba externí firmou PO: Certifikace elektronického podpisu.
Externí pracovníci	Chyby a opomenutí	Porušení důvěryhodnosti, zneužití konkurencí	S: smlouvy, čestná prohlášení, výcvik a školení, namátková kontrola. PO: Vytvoření bezpečnostní politiky IT společnosti. Bezpečnostní školení uživatelů

Legenda: O - odpovídá, T - termín, Z - zdroje.

Postup analýzy rizik

V předchozí části této kapitoly jsme si popsali na základě námi zvolené metodiky vycházející z norem řady ČSN ISO/IEC TR 13335 na příkladu fiktivní společnosti AEC postup analýzy rizik v těchto krocích:

1. krok - identifikace aktiv a jejich ocenění (hodnota) z hlediska bezpečnosti informací,

2. krok - určení hrozeb útočících na aktiva a zranitelností vůči těmto hrozbám,

3. krok - ohodnocení pravděpodobnosti hrozby ve vztahu k zranitelnosti,

4. krok - výpočet rizika - součin hodnoty aktiva a pravděpodobnosti dopadu,

5. krok - stanovení hranice pro akceptovatelnou úroveň.

Za hranici pro akceptovatelnou úroveň v našem příkladu byla zvolena hodnota míry rizika 15, od hodnoty 16 a více se již jedná o tzv. neakceptovatelnou úroveň.

Na základě námi provedené analýzy byla dalším krokem identifikace stávajících a budoucích opatření včetně sestavení přehledu opatření ke snižování, minimalizaci a odstranění rizik, tedy 6. a 7. krok etapy analýzy rizik a identifikace opatření v našem projektu.

Bezpečnostní politika IT

Dalším logickým výstupem z naší analýzy rizik bude, jak už je zřejmé z tabulky „IDENTIFIKACE OPATŘENÍ“ (viz krok 5), sestavení bezpečnostní politiky IT společnosti. Poté sestavíme pro účely certifikace tzv. prohlášení o aplikovatelnosti dle přílohy A normy ISO/IEC 27001. Tím bude ukončena fáze ustavení ISMS. V rámci zavádění a provozování ISMS budeme následně pokračovat plánem zvládání rizik (pro rizika v hodnotě od 11 a výše).

Příprava

Shrneme-li pro přehlednost etapy našeho projektu, které jsme až dosud v ilustrativním příkladu realizovali, máme v tuto chvíli za sebou přípravu, tj.:

• strategické rozhodnutí vedení společnosti, které umožnilo implementaci ISMS,

• úvodní analýzu stávajícího stavu ISMS ve společnosti AEC,

• upřesnění jednotlivých etap projektu,

• určení rozsahu ISMS,

• stanovení politiky ISMS společnosti AEC.

Analýzu rizik

V další etapě jsme následně provedli analýzu rizik, tj.:

• identifikaci aktiv,

• určení hrozeb a zranitelností vůči těmto hrozbám,

• stanovení dopadů,

• výpočet míry rizika.

Identifikaci a vyhodnocení variant pro zvládání rizik

Následovala část zahrnující identifikaci a vyhodnocení variant pro zvládání rizik, tj.:

• stanovení hranice pro akceptovatelnou úroveň,

• identifikace stávajících a budoucích opatření včetně přehledu opatření ke snižování rizik.

V této fázi, jak už bylo zmíněno, sestavíme na základě naší analýzy bezpečnostní politiku a prohlášení o aplikovatelnosti.

Bezpečnostní politika IT

Bezpečnostní politika IT

Bezpečnostní politika IT celé společnosti je jedním ze základních dokumentů, které stanovují požadavky týkající se bezpečnosti. Politika vychází z cílů, strategií, závěrů z analýzy rizik, výsledků kontroly, monitorování, auditů. Podrobný návod z hlediska obsahu tohoto dokumentu i způsobu jeho tvorby popisuje např. norma ČSN ISO/IEC TR 13335-3.

Pozn.: Tuto normu nahradila v nedávné minulosti norma ČSN ISO/IEC 27005:2009 - Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací. Nicméně v oblasti popisu smyslu a obsahu bezpečnostní politiky můžeme vycházet z normy původní, která věnuje této části celou samostatnou přílohu.

Organizační složky společnosti

Tento dokument by měl pokrývat celou společnost včetně všech oblastí, na jeho vývoji by se proto měly podílet různé (ne-li všechny) organizační složky společnosti, jako např.:

• vrcholový a střední management,

• bezpečnostní technik,

• administrátor, správce sítě,

• ekonomický úsek,

• personální úsek,

• správa společnosti (facility management),

• úsek vnitřního auditu,

• ...

Náležitosti bezpečnostní politiky IT

Do jejího obsahu mj. zejména patří:

• bezpečnostní cíle,

• požadavky na zabezpečení BI z hlediska důvěrnosti, integrity, dostupnosti,

• metodika analýzy a managementu rizik,

• obecná i konkrétní pravidla pro jednotlivé oblasti BI,

• systém zvyšování bezpečnostní povědomí, školení,

• zdroje na zabezpečení BI,

• organizační záležitosti,

• ...

Pro představu o obsahu bezpečnostní politiky opět přinášíme její část týkající se našeho příkladu.