Informace se stávají významnými či dokonce nejvýznamnějšími aktivy organizací a s tím zákonitě rostou požadavky na jejich bezpečnost. Prověřeným návodem, jak se s těmito požadavky vypořádat, je norma ISO/IEC 27001.

Úvod

V dnešní době, kdy neustále roste míra informatizace společnosti a kdy se informace stávají nejvýznamnějšími aktivy organizací, vzrůstají strmě požadavky na zajištění jejich důvěrnosti, dostupnosti a integrity. Tyto tři vlastnosti jsou označovány souhrnným pojmem bezpečnost informací, či chcete-li informační bezpečnost.

Důvěrnost (angl. confidentiality) je zajištění toho, že informace jsou přístupné nebo jsou sděleny pouze těm, kteří jsou k tomu oprávněni.

Dostupnost (angl. availability) je zajištění toho, že informace jsou pro oprávněné uživatele přístupné v okamžiku jejich potřeby.

Integrita (angl. integrity)je zajištění správnosti a úplnosti informací.

Přirozenou snahou při řešení jakéhokoliv požadavku je snaha vypořádat se s ním co nejefektivněji – tzn. co nejlépe za vynaložení co nejmenšího úsilí. Ideálním řešením těchto protichůdných tendencí je využití nějakého prověřeného návodu, který by usnadnil a zrychlil fázi vymýšlení, jak se s daným požadavkem vypořádat, a zároveň by zaručoval dostatečně kvalitní vyřešení tohoto požadavku. V oblasti bezpečnosti informací je takovým návodem norma ISO/IEC 27001 [1].

Norma ISO/IEC 27001 popisuje systém řízení informační bezpečnosti (angl. Information Security Management System - ISMS). Tento systém je založen na obdobných principech jako systémy QMS (podle normy ISO 9001) nebo EMS (podle normy ISO 14001), přičemž řada prvků je společná. Cílem systému ISMS je nastavení řízení procesů spojených se zachováním dostupnosti, integrity a důvěrnosti informací důležitých pro podnik. Často je tento systém chápán jako systém zabývající se pouze bezpečností informačního systému či technologií, ovšem takové chápání je mylné. Systém se zabývá informacemi jako takovými, bez ohledu na to, jakou mají formu (datovou, papírovou nebo například i formu informací – know-how – uložených v hlavách pracovníků).Uvažovat o zavedení ISMS má tedy smysl i ve společnostech, které například informační technologie vůbec nepoužívají.

1  Související legislativa

Častou motivací pro zavedení systému řízení bezpečnosti informací je snaha vyhovět nějakému legislativnímu rámci a ochránit tak organizaci před případnými, zejména finančními, postihy. Předpisů souvisejících s bezpečností informací je v českém právním řádu celá řada. Mezi nejvýznamnější patří: obchodní zákoník (hlavně část týkající se obchodního tajemství), zákon o ochraně utajovaných skutečností, zákon o ochraně osobních údajů, zákon o elektronickém podpisu, zákon o některých službách informační společnosti a další. (Všechny „ve znění pozdějších předpisů“.) České firmy jsou ovšem ovlivňovány i mezinárodními předpisy, z nichž je v poslední době nejvíce diskutovaný americký zákon Sarbanes-Oxley (SOX).

2  Související normy

Oblast řízení procesů informační bezpečnosti je definována řadou mezinárodních norem. Jednotlivé normy se liší svým rozsahem a účelem.

Norma ISO/IEC 27001 a její předchůdkyně BS 7799-2 jsou normy, které popisují základní požadavky systému ISMS. Tyto normy obsahují mandatorní požadavky ISMS a slouží pro potřeby certifikačních auditů. Nejnovější česká verze normy byla Českým normalizačním institutem vydána v říjnu 2006 [1].

Norma ISO/IEC 17799 (aktuální česká verze byla vydána v srpnu 2006 [2]) úzce navazuje na předchozí normy. Obsahuje doporučení a obecné principy pro vymezení, zavedení, udržování a zlepšování ISMS v organizaci. Je jakýmsi komentářem k normě ISO/IEC 27001. Tato úzká vazba se v brzké době explicitně projeví přečíslováním normy ISO/IEC 17799 na normu ISO/IEC 27002. Norma ISO/IEC 17799 je určena zejména pro osoby, které mají na starosti zavedení a správu systému řízení bezpečnosti informací, tedy hlavně pro konzultanty a bezpečnostní manažery.

Další sadou souvisejících norem jsou normy ISO/IEC TR 13335 1-5 ([3], [4], [5], [6], [7]). Ty jdou v úrovni detailu ještě dál a obsahují podrobné směrnice pro řízení bezpečnosti IT.

Existují i další příbuzné normy, jako např. ISO/IEC 15408, ale ty již nejsou tolik známé a používané.

Postup budování ISMS popsaný v tomto článku vychází z výše uvedených standardů, je s nimi kompatibilní a jeho výsledkem by měla být vedle zavedení systému řízení informační bezpečnosti také připravenost tohoto systému k případné certifikaci.

3  Budování informační bezpečnosti

Implementaci informační bezpečnosti je nutno chápat jako kontinuální proces, nikoliv jako jednorázový projekt – tedy stejně, jako je tomu například při budování systémů řízení kvality. V opačném případě hrozí velmi vysoké riziko, že investice do zavedení se stanou nevratnými. Budování informační bezpečnosti je tedy proces, který si klade za cíl kontinuální zlepšování systému. Prostředkem tohoto zlepšování je známý cyklus PDCA (Plan-Do-Check-Act). Největším přínosem tohoto přístupu je odstranění strachu ze zavedení nedokonalých, nevypilovaných procesů. Právě pomocí modelu PDCA se procesy iterativně vylepšují tak, aby co nejlépe odpovídaly aktuálním (v průběhu času se mohou měnit) potřebám a požadavkům organizace (obr. 1).

Zavádění systémů řízení informační bezpečnosti probíhá typicky v těchto etapách (viz obr. 2):

(Vstupní audit)

1.      Stanovení rozsahu, strategie a cílů ISMS

2.      Zpracování analýzy rizik

3.      Zpracování bezpečnostních standardů

4.      Implementace bezpečnostních opatření

5.      Monitorování systému

6.      (Certifikace systému)

1. Stanovení rozsahu, strategie a cílů ISMS

Prvním krokem v procesu budování ISMS je stanovení rozsahu, strategie a cílů ISMS. Aby byly rozsah, strategie a cíle relevantní a odpovídaly skutečnosti, mělo by před jejich stanovením dojít ke zhodnocení stávajícího stavu bezpečnosti informací. Vý­stupem první fáze budování ISMS je formalizovaný dokument obsahující definovaný rozsah, zvolenou strategii a cíle. Tento dokument musí být obecně přijat nejen pro­jektovým týmem, ale hlavně vede­ním společnosti. Součástí tohoto prvního kroku je také definice zodpovědností za infor­mační bezpečnost, ať už se jedná o funk­ci bezpečnostního manažera, či jiné role v oblasti ISMS.

2. Zpracování analýzy rizik

Po stanovení strategie a cílů následuje etapa zpracování analýzy rizik. Tato fáze je z celého systému nejdůležitější. Častým problémem v této fázi je zvolení nevhodné metody pro zpracování analýzy rizik. Důležité je zejména určit vhodnou míru podrobnosti a neformálnosti zvolené metody tak, aby byl splněn hlavní cíl analýzy rizik – identifikace rizik, které reálně ohrožují společnost, a jejich ohodnocení, na jehož základě by bylo možné určit prioritu pro jejich řešení.

Součástí této etapy je také vytvoření Plánu zvládání rizik (angl. Risk Treatment Plan) a Prohlášení o aplikovatelnosti (angl. Statement of Applicability). V plánu zvládání rizik management společnosti stvrzuje své rozhodnutí o tom, která rizika bude řídit a jak a která identifikovaná rizika budou akceptována. Prohlášení o aplikovatelnosti obsahuje seznam všech opatření vyžadovaných normou a u každého opatření je specifikováno, zda je a jak, příp. zda není a proč v organizaci  toto opatření řešeno.

3. Zpracování bezpečnostních standardů

Na zpracovanou analýzu rizik navazuje etapa tvorby bezpečnostních směrnic. Jejich rozsah a obsah je definován povahou organizace, informačního systému a identifikovanými riziky. Základem vesměs bývá směrnice pro práci uživatelů s informačním systémem/informacemi a směrnice pro správu systému. Mezi další dokumentované procesy ISMS patří plánování kontinuity, proces ošetření přístupu třetích stran k informacím organizace, proces zajištění shody s legislativou apod. Součástí tvorby bezpečnostních standardů je také vytvoření bezpečnostní politiky organizace, resp. její integrace do celkové politiky společnosti.

Nezbytnou součástí této fáze budování ISMS je proškolení všech pracovníků, kterých se ISMS dotýká, včetně pracovníků třetích stran. Pro správné fungování systému bezpečnosti informací je pochopitelně potřeba školení provádět opakovaně a průběžně.

4. Implementace bezpečnostních opatření

V následující fázi dochází k implementaci jednotlivých opatření zajišťujících dosažení požado­vaného stupně informační bezpečnosti. Vesměs se jedná o změnu či verifikaci nastavení a zdokumentování stávajících systémů (aplikací, operačních systémů, hardwaru a dalších technologií, včetně provedení auditu licenční čistoty) a procesů (typicky příjímání a propouštění zaměstnanců, zajištění externí servisní podpory, přidělování práv k jednotlivým informačním zdrojům, vývoj a nasazení prostředků ICT – informačních a komunikačních technologií, testování bezpečnosti apod.). Často však dojde v rámci výstupů předchozích etap k implementaci nových technologií do stávajícího informačního systému. Jejich zavedení je pak většinou řízeno projektově a je potřeba počítat s vyšší časovou náročností.

5. Monitorování systému

V poslední fázi je naplánováno pravidelné monitorování systému a vyhodnocování výsledků. S touto fází souvisí také zavedení evidence a hodnocení jednotlivých záznamů o stavu informační bezpečnosti v dohodnutém rozsahu. Tyto záznamy slouží jako podklad pro pravidelné přezkoumávání fungování systému bezpečnostním manažerem nebo jinými definovanými uživateli. Mezi základní nástroje monitoringu patří také institut interních, příp. externích auditů a provádění bezpečnostních testů.

6. Certifikace systému

Po zavedení ISMS si můžepodnik ověřit úplnost a účinnost systému prostřednictvím auditorů akreditovaného certifikačního orgánu. V případě úspěšného certifikačního auditu získá organizace certifikát, jehož prostřednictvím může dokázat svým zákazníkům a dodavatelům, že aktivně řídí svá rizika v oblasti bezpečnosti informací, čímž se prokazatelně stává stabilnějším a spolehlivějším partnerem.

Certifikace ISMS probíhá dvoukolově. V prvním kole je provedeno tzv. „Desktop review“, při kterém je zjišťováno, nakolik existující dokumentace organizace odpovídá normě. Ve druhém kole (tzv. „Implementation audit“), které typicky navazuje jeden až dva měsíce po dokončení první fáze, je zjišťováno, zda byly vypořádány neshody z prvního kola a jestli jsou předepsané směrnice a pracovní postupy týkající se ISMS dodržovány v praxi. Doba trvání auditu je determinována počtem pracovníků, rizikovými faktory dané organizace a počtem lokalit, kterých se ISMS dotýká. Platnost vydaného certifikátu je 3 roky s tím, že každoročně je prováděn dozorový audit. Před ukončením platnosti certifikátu je prováděna recertifikace.

Závěr

Norma ISO/IEC 27001 je celosvětově ověřeným návodem pro implementaci systému řízení informační bezpečnosti. Organizace, která se rozhodne zajistit ochranu svých informací prostřednictvím tohoto „návodu“, si může být jistá, že neopomene žádnou oblast, ze které může informacím hrozit nebezpečí. Ani s tímto „návodem“ však není tvorba funkčního a efektivního systému řízení snadnou záležitostí a je důležité jí nepodcenit. Klíčovým faktorem úspěšného zavedení a fungování ISMS je stejně jako u všech systémů řízení především trvalá podpora nejvyššího vedení organizace.

Autor: Martin Zeman působí jako konzultant společnosti NeXA, s. r. o., v oblasti systémů řízení informační bezpečnosti a systémů řízení služeb IT.
Kontakt: martin.zeman@nexa.cz

Seznam použité literatury naleznete v plné veri článku v časopise Perspektivy jakosti 2/2007.