Důvody pro implementaci systémového přístupu k zajištění bezpečnosti informací a jeho certifikaci
15.4.2011
Systémový model pro zajištění bezpečnosti informací v organizacích popisuje norma ČSN ISO/IEC 27001. Jejím cílem by mělo být pomoci zavést do organizací systémový přístup k bezpečnému zajištění firemních informací.
Klasický přístup systému řízení, který představuje charakteristická smyčka PDCA, obsahující fáze plánování, realizace, monitorování, vyhodnocování odchylek od naplánovaného stavu a jejich eliminaci, lze interpretovat pro ISMS takto:
Systémové zajišťování bezpečnosti informací je disciplina poměrně technicky sofistikovaná zejména proto, že téměř vždy v ní hrají dominantní roli útvary IT, které více či méně úspěšně bojují s ošetřováním nových rizik, ohrožujících informace, uložené elektronicky.
Je však třeba si uvědomit, co rozumět pod bezpečností informací: Je to především jejich dostupnost, integrita (úplnost a správnost) a důvěrnost. Mnozí manažeři se domnívají, že pod pojem bezpečnost informací spadá jen jejich důvěrnost, ale ta tvoří jen menší část celého problému. Největší riziko ohrožení přichází právě z jejich dostupnosti a integrity.
Obr. 1 Charakteristický poměr finančních dopadů z nejvýznamnějších bezpečnostních incidentů
Když se z tohoto pohledu podíváme na statistiku míry dopadu bezpečnostních rizik na organizaci, na obr.1, který znázorňuje poměr dopadů jednotlivých typů bezpečnostních incidentů je patrné, že velký vliv na bezpečnost informací ve firmách mají právě aspekty, které většinou nejsou z pohledu bezpečnosti informací nijak systematicky řízeny, jako např. nečekané výpadky proudu nebo konektivity, konfigurace hw zařízení, smlouvy s třetími stranami, které dodávají a udržují hw i informační systémy, výchova zaměstnanců. Svou roli zde nutně hraje i uvědomělost, kázeň a loajalita zaměstnanců a partnerů, kteří se strategickými informacemi přicházejí do styku.
Proto má o úrovni zabezpečení informací ve svých provozech rozhodovat nikoli útvar IT, ale vedení společnosti na základě systematického vyhodnocení informačních rizik, na kterém by se měli podílet nejen odborníci v IT, ale manažeři všech oblastí, kde se citlivá data nacházejí.
Fáze plánování je zásadní
Fáze plánování začíná analýzou rizik, jejímž základem je důsledná identifikace všech informačních aktiv, ohodnocení jejich významu, posouzení všech možných ohrožení, které mohou dané aktivum napadnout a jejich číselné vyhodnocení.
Relevantní ochrana informačních aktiv je předmětem managementu rizik, který je základem celého systému.
Do seznamu aktiv by měla být zahrnuta všechna aktiva, která jsou pro organizaci z pohledu informací cenná, jako např. informační systémy, databáze, hw, sw, ale také smlouvy, personální agenda, zaměstnanci, partneři, zákazníci dodavatelé atd. a díky své hodnotě si zaslouží přiměřený stupeň ochrany.
Plán zvládání rizik je systematický nástroj k preventivní ochraně informací
U nejnepříznivěji vyhodnocených dopadů ohrožení bezpečnosti aktiv je třeba navrhnout opatření pro minimalizaci jejich ohrožení, tzv. plán zvládání rizik.
Významná a pro firmu nepřijatelná rizika se zpravidla urychleně řeší přiměřených investičním nebo organizačním opatřením, které se zavádí formou projektového managementu.
Provozování systému, popsaného souborem pravidel
Zatímco technická opatření jsou zpravidla zajišťována ve firmách na dobré úrovni, organizační opatření jsou spíše sporadická.
Monitorování hladkého chodu systému a jeho odchylek incidentů
Pravděpodobně nejdůležitějším a v praxi nejvíce opomíjeným systémovým požadavkem je pravidelné monitorování a přezkoumávání všech implementovaných nástrojů řízení a opatření k omezení rizik. O tomto monitorování a přezkoumávání musí být vedeny příslušné záznamy. Nestačí tedy obecně předepsat, že někdo má v pravidelných intervalech kontrolovat určité logy, protokoly ze zálohování, zprávy o reinstalaci antivirových databází apod., ale je bezpodmínečně nutné, aby o každém provedení těchto opatření zodpovědná osoba vedla i příslušné záznamy a to nejen v případě, že dojde k bezpečnostnímu incidentu nebo bezpečnostní události, ale i tehdy, když je vše v pořádku. Forma těchto záznamů může být velmi jednoduchá a příslušného pracovníka nemusí prakticky vůbec zatěžovat.
Učení se z chyb pro přijímání dalších opatření
Všechny předchozí kroky by ztrácely na významu, kdyby se výsledky monitorování nevyhodnocovaly, neidentifikovala se slabá místa a nepřijímala se nová opatření pro zlepšení. Tento systém je díky neustálému technickému pokroku a vynalézavosti jak pozitivní tak negativní právě v oblasti IT velmi dynamický, takže je třeba být skutečně stále ve střehu a známá rizika přehodnocovat a nová identifikovat. Z negativních dopadů je pak třeba vyvodit důsledky především eliminováním jejich příčin.
Závěrem si položme otázku - proč zavedené systémy certifikovat?
Cílem certifikace systému managementu bezpečnosti informací je zvýšení důvěryhodnosti vůči svým partnerům.
V rámci certifikačního auditu se musí harmonicky posuzovat:
- Systematický přístup, založený na rozhodnutí vedení o míře přijatelnosti rizik, a jakým způsobem bude organizace se svými riziky nakládat
- Vytvoření povědomí mezi zaměstnanci, do jaké míry má vliv každý zaměstnanec na své pozici na bezpečnost informací
- Technická a objektová bezpečnost
- Bezpečnost informačních technologií, která bývá často přeceňována na úkor předchozích tří oblastí. Tato oblast se však rozvíjí nejrychleji a proto má největší dynamiku nárůstu rizik.
Cílem zavádění systémů managementu bezpečnosti informací je povýšit tuto oblast mezi jednotně řízené discipliny v rámci funkčního integrovaného systému managementu.
Ing. Marie Šebestová
Autor: Lenka Šardziková | Sekce: Novinky | Tisk | Poslat článek známému