ISMS a bezpečnost informací

Vysvětlení pojmů z oblasti systémů informační bezpečnosti. Jak implementovat ISMS, podle kterých norem se ISMS implementuje a certifikuje. Odpovědi na otázky, které se těžko hledají.

Co znamená mobilní kód v ISMS?

Je to programový kód, který slouží k automatické aktualizaci komerčních SW aplikací. Tohoto principu využívají hackeři pro zasílání škodlivých kódů do PC uživatele.

Autorizace - určení, že daný subjekt je pro určenou činnost důvěryhodný z hlediska této činnosti. Autorizace subjektu vyžaduje jeho autentizaci.

Autentizace - procedura ověření pravosti identity objektu nebo subjektu. Po úspěšné autentizaci je objekt z hlediska autorizovaného subjektu důvěryhodný.

Integrita (Integrity) - zabezpečení přesnosti a úplnosti informací a metod jejich zpracování. Takový stav, kdy přečtená informace (data) je totožná s původní informací (daty). Tzn., že během přenosu (uložení) informace nedošlo k její neočekávané změně (úmyslným poškozením, pozměněním, chybami při přenosu).

Důvěrnost (Confidentiality) - informace jsou dostupné pouze těm autorizovaným osobám, které mají oprávnění přistupovat k dané informaci.

Dostupnost (Availability) - schopnost zajistit přístup autorizovaným uživatelům k dané informaci a příslušným aktivům (prostředkům) pokud je to potřeba.

Hrozba - potenciální příčina nežádoucího incidentu, který může způsobit škodu v systému nebo v organizaci. Je to možnost využití zranitelného místa IS k útoku na něj s následkem způsobení škod na aktivech.

Aktivum – cokoli (jakýkoli majetek), co má pro organizaci, z hlediska informační bezpečnosti hodnotu. Aktiva dělíme na: informace, fyzická aktiva, SW, lidi, služby, nehmotná aktiva (image, reputace atd.).

Bezpečnost informací - ochrana důvěrnosti, integrity a dostupnosti informací. Bezpečnost informací může navíc zahrnovat další vlastnosti jako jsou autentičnost, nezpochybnitelnost, odpovědnost a spolehlivost.

Prohlášení o aplikovatelnosti (Statement of Applicability – SOA) - základní, výchozí dokument ISMS, který popisuje jakým způsobem organizace řeší ve svém systému informační bezpečnosti jednotlivé požadavky normy (ISO 27001, příloha A). Jsou zde rovněž uvedena zdůvodnění, proč některé požadavky uvedené v příloze A normy ISO 27001, nejsou aplikovány. Prohlášení o aplikovatelnoti vychází z bezpečnostní politiky organizace a z analýzy rizik.

ISMS (Information Security Management System – systém managementu bezpečnosti informací) je částí celkového systému řízení procesů organizace, který dokumentuje, implementuje, přezkoumává, udržuje a zlepšuje proces bezpečnosti informací.

ČSN ISO 27001 Systémy řízení bezpečnosti informací - specifikace s návodem k použití (Information security management systems - specification with guidance for use). Základní norma, podle které se hodnotí a posuzuje systém informační bezpečnosti.

ČSN ISO/IEC 27002 Informační technologie - soubor postupů pro řízení informační bezpečnosti - Návod k použití pro management bezpečnosti informací.

Jaké jsou přínosy implementace systému managementu informační bezpečnosti dle normy ISO/IEC 27001:2005?

Oblast bezpečnosti informačních systémů je již delší dobu v centru zájmu správců informačních systémů, manažerů firem i ostatních vedoucích činitelů státního sektoru. Významným činitelem, který akceleroval zájem o bezpečnost byly a jsou různé teroristické útoky a pokusy o průnik do systémů s citlivými informacemi, jakož i rozsáhlé případy úniku informací z různých zdrojů informací.

Protože u bezpečnosti platí beze zbytku známé tvrzení, že systém je tak odolný, jak odolný je nejslabší článek, je implementace systému managementu informační bezpečnosti (ISMS – Information Security Management System) jen logickým vyústěním snahy o kontrolu a řízení informační bezpečnosti.

ISMS totiž zavádí pořádek do aktivit řízení, denní správy a provozu informačních systémů a přímo vyzývá k následování a praktickému zavedení – možná právě ve Vaší organizaci.

Systém informační bezpečnosti lze zavádět podle různých pravidel a předpisů. Nejschůdnější cestou je však implementovat ISMS podle již definovaného standardu. Jedním z nejznámějších standardů je mezinárodní norma ISO/IEC 27001. Požadavky definované v této normě se blíží skutečným potřebám reálné praxe.

Komplexní a systémový přístup k řešení problematiky bezpečnosti informací v organizaci je jasnou a přímou cestou k dosažení požadované úrovně bezpečnosti informací a informačních systémů.
Systém řízení informační bezpečnosti vhodně doplňuje systém řízení společnosti, který je závislý na velkém množství firemních a provozních dat, jak v elektronické tak papírové podobě, a na využívání IT/IS jako je informační systém, počítačová síť, inteligentní přístroje založené na počítačích, které mohou být začleněny do počítačové sítě.

Systém ISMS je nadstavbou systému řízení kvality dle ISO 9001 v oblasti systémového přístupu k ochraně informací. Právě management firemních a provozních informací v organizacích je často velmi složitou oblastí z hlediska přehlednosti, kompetencí, přesně nedefinovaných pravidel pro zajištění bezpečnosti a ochrany informací a ostatních důležitých aktiv v organizaci.
Informace jsou jedním z nejdůležitějších aktiv organizace, které představují často pro organizaci i velké, vědomé či nevědomé riziko. Snížení tohoto rizika je jedním z hlavních cílů systému ISMS.

Mezi hlavní přínosy zavedení systému řízení informační bezpečnosti patří:

• inventura vlastních aktiv, jejich ocenění a klasifikace, včetně:
  • identifikace hrozeb
  • určení zranitelných míst systému (slabin) a možností jejich využití
  • uvědomění si skutečných hodnot těchto aktiv na základě důsledků z jejich možných ztrát
• odstranění nebo snížení rizik v oblasti informační bezpečnosti
• zavedení systémového a systematického přístupu při používání IT/IS (přístupy, ověřování nových produktů na slepých datech, budování IT/IS, zpracování dat aj.)
• zvýšení povědomí i odpovědnosti zaměstnanců při práci s informacemi
• zvýšení pořádku na pracovištích
• vypracování havarijních plánů pro případ největšího ohrožení
• zlepšení dodržování legislativy
• důslednější kapacitní plánování

Zavedený systém informační bezpečnosti je možno certifikovat nezávislou třetí stranou včetně vydání certifikátu.

Výhody implementovaného a certifikovaného systému ISMS jsou:

• certifikovaný ISMS je posuzován externí nezávislou institucí, udělující značku a certifikát, který sděluje a potvrzuje shodu s požadavky normy veřejnosti a klientům
• zvýšení důvěryhodnosti pro různé skupiny (klienty, autority, finanční ústavy, spolupracující organizace aj.)
• kontinuální monitorování a zlepšování ochrany dat a bezpečnosti informací
• konkurenční výhoda a kultivace image organizace

Proč zavádět ISMS?

Zavedení systému managementu informační bezpečnosti je strategickým rozhodnutím organizace.
Systém managementu bezpečnosti informací (ISMS) je užitečné zavádět, protože:

• je nezbytný všude tam, kde se zpracovávají informace a data občanů (nemocnice, státní správa, banky, pojišťovny, úřady, atd.)
• je to určitý důkaz poskytovaný zákazníkům o uplatňování důvěryhodných postupů v oblasti bezpečnosti informací
• je to požadavek moderních firem
• je integrální součástí IS a IMS, stejně jako funkčnost, dostupnost a důvěrnost informací
• je nezbytný v oblasti outsourcingu
• je nezbytný v oblasti zakázek pro státní správu a pro velké nadnárodní firmy