Základní pojmy informační bezpečnosti

Hovoříme-li o bezpečnosti informací, jde o posouzení ochrany informací ze tří základních hledisek: integrity, důvěryhodnosti a dostupnosti. Dříve, než se dostaneme k bližšímu popisu přínosů informační bezpečnosti, je nutné vysvětlit základní pojmy, resp. termíny

Integrita
informace nebudou změněna, nebo zničena neautorizovaným přístupem.

Důvěryhodnost
informace nebudou přístupné pro neoprávněné osoby, ale jen autorizovaným.

Dostupnosti informací
informace budou dostupné tehdy, když to autorizovaná osoba vyžaduje

Audit informační bezpečnosti

Je manažerský dokument, který je výstupní informací o stavu informační bezpečnosti. Analýza bezpečnosti je prním krokem k identifikaci slabých míst a zvýšení ochrany, např. zavedením systému řízení bezpečnosti informací. Doporučujeme dodržet následující formu výstupního auditu bezpečnosti informací:

1) Shrnutí pro management

Jeho obsahem je celkový závěr a hodnocení bezpečnostního auditu z hlediska souladu stávajícího stavu bezpečnostních opatření se standardem ISO/IEC 27001:2003

2) Podrobná zjištění a doporučení

V této části doporučujeme identifikovat jednotlivá důležitá zjištění ze všech kroků bezpečnostního auditu a doporučení k posílení bezpečnosti informací.

3) Plán zavedení systému řízení bezpečnosti informací

Plán zavedení systému řízení bezpečnosti informací je nutné rozdělit do etap, které budete schopni projektově řídit. Každá z těchto etap obsahuje krátký popis postupů a  pracnosti.

Shrnutí pro management

Cíle a rozsah auditu informační bezpečnosti

Cílem bezpečnostního auditu IS/IT by mělo být především zjištění stávající úrovně zabezpečení informací z hlediska dostupnosti, integrity a důvěrnosti.

Bezpečnostní audit IS/IT zahrnuje provozní i technické části  informačního systému. Ze zkušeností certifikačních auditů doporučujeme využít doporučení vyplývající z normy ISO/IEC 27001.

Postup a metodika

Bezpečnostní audit IS/IT je vhodné realizovat

S pomocí akreditovaných a certifikovaných auditorů ISMS ve spolupráci s řídícími/odbornými pracovníky společnosti. A jakou zvolit metodiku?
Nejvhodnějším rámcem je bezpečnostní standard ISO/IEC 27001, který ve své poslední verzi stanovuje soustavu opatření, jejichž uspořádání vychází z nejlepších praktik bezpečnosti informací. Jedná se o opatření a cíle v následujících oblastech:

 Bezpečnostní politika   Organizace bezpečnosti   Klasifikace a řízení aktiv 
 Personální bezpečnost   Fyzická bezpečnost   Řízení komunikací a provozu 
 Řízení přístupu  Implementace a správa IS   Řízení incidentů 
 Řízení kontinuity  Soulad s požadavky ISO   
  • Pro jednotlivé oblasti stanovte odpovědné řídící pracovníky, kteří budou schopny poskytnout kvalifikované odpovědi o stavu informační bezpečnosti v rámci interview.
  • Před provedením auditu je nutné vyžádat relevantní dokumenty, které popisující způsob řešení dané oblasti.
  • Analýzou informací musí být posouzen soulad existujících bezpečnostních opatření se standardem ISO/IEC 27001.

Řešitelský tým a zhodnocení stavu

Řešitelský tým

Na realizaci analýzy stávajícího stavu informační bezpečnosti a tvorby výstupních manažerských dokumentů by se měl podílet řešitelský tým složený jednak z kvalifikovaných interních pracovníků ve spolupráci s externími auditory (v ideálním případě s kvalifikací ISO 27001 Lead Auditor). 

Celkové zhodnocení stavu bezpečnosti

Z výsledků bezpečnostního auditu by mělo být možné změřit úroveň zabezpečení informací z hlediska dostupnosti, integrity a důvěryhodnosti. Celkový stav by měl být vyjádřen kategoricky v procentech, podle metodiky certifikačních auditů realizovaných dle standardu ISO/IEC 27001. Mezi nejčastější zranitelnosti (ne však všechny) jsou např.:

  • outsourcing není smluvně ošetřen
  • porušování zásad mlčenlivosti a ochrany dat
  • bezpečnostní politika není definována, nebo plněna

Hodnocení shody s požadavky ISO/IEC 27001

Posouzení shody opatření v informační bezpečnosti s požadavky bezpečnostní normy ISO/IEC 27001 vyjádří auditor nejčastěji v bodech. Dle počtu dosažených bodů lze následně vypočítat soulad se standardem systému řízení informační bezpečnosti.

Podrobná zjištění a doporučení

V jaké formě a podobě může být prezentováno zjištění stávajícího stavu, včetně doporučení, která by měla být aplikována v dalších fázích procesu? Na názorném příkladu vám ukážeme jak definovat cílový stav, výsledek auditu a následná roporučení pro zvýšení informační bezpečnosti informací. Z důvodů ochrany know-how uvádíme v zjednodušené podobě:

Cíle opatření

Zajistit soulad všech postupů, oblastí a systémů s definovanými bezpečnostními politikami a směrnicemi. Zároveň se vyvarovat porušení norem trestního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků.

Zjištěné nedostatky

Společnost nemá vypracovánu bezpečnostní politiku a k pravidelnému auditu souladu s výše uvedenými požadavky (např. Zákonem číslo 101/2000Sb., o ochraně osobních údajů) nedochází.

Doporučení

Doporučujeme, po vypracování bezpečnostní politiky, vyškolit své zaměstnance na pozici Interního Auditora v certifikovaném kurzu ISO 27001 IA, dále posílit kvalifikaci na úroveň Specialista ochrany osobních údajů 101/2000Sb., za účelem kontroly shody s legislativními požadavky, bezpečnostní politikou a navazujícími směrnicemi a normami.

kurz 101/2000Sb.

Jak naplánovat zavedení systému řízení bezpečnosti informací?

1)  Vytvořte strategii bezpečnosti informací
Riziko je potenciální možnost, že daná hrozba využije zranitelnost aktiva a způsobí tak jeho ztrátu nebo zničení. Strategie bezpečnosti informací navazuje na celoorganizační strategii a měla by pokrývat následující cíle informační bezpečnosti:

  • splnění legislativních požadavků
  • zajištění kontinuity podnikatelských procesů
  • zajištění informací před neoprávněným přístupem
  • zajištění školení zaměstnanců pro oblast bezpečnosti informací
  • zachování integrity informací před nechtěnou či neoprávněnou modifikací
  • zachování dostupnosti informací autorizovaným uživatelům v případě potřeby

Co znamená..?
"Zranitelnost" je slabé místo aktiva, které může být využito hrozbou.
"Aktivum" cokoliv, co má pro organizaci hodnotu (servery, software, databáze).
"Hrozba" je to potenciální příčina nežádoucího incidentu, který může ohrozit aktiva).

2) Udělejte analýzu rizik, navrhněte plán zvládání rizik

Hlavním cílem analýzy rizik je identifikace informačních rizik a jejich následné odstranění či snížení zavedením vhodných bezpečnostních opatření. Analýzu rizik rozdělte do těchto fází:

  • identifikujte a ohodnoťe aktiva spol.
  • pomocí analýzy určete pravděpodobnost výskytu hrozeb
  • nezapomeňte realisticky určit možnost zranitelnosti a rizik pro tyto aktiva
  • navrhněte vhodná bezpečnostních opatření eliminujících identifikovaná rizika

3) Vytvořte "Bezpečnostní Politiku" a navazujících bezpečnostních standardy

Bezpečnostní politika je základní řídící dokument, který vyjadřuje postoj managementu společnosti k zajištění bezpečnosti informací, má spíše obecný, deklarativní charakter. Na bezpečnostní politiku navazují již konkrétnější bezpečnostní směrnice, např.:

  • evidence aktiv
  • změnové řízení
  • politika řízení přístupu
  • popis fyzického zabezpečení
  • postupy pro správu systému
  • likvidace a vyřazení zařízení, médií
  • pravidla pro přístup a vyhodnocování služeb třetích stran
  • pravidla pro klasifikaci informací (pravidla pro označování informací)
  • pravidla pro zacházení s informacemi, bezpečnost zařízení při převozu

Interní & Certifikační audit

Interní audit

Je určen především pro organizační přípravu interního auditu. Vyhodnocování výsledků interního auditu vám dá zpětnou vazbu při návrhu nápravných opatření.

Certifikační audit 1. stupně (tzv. Desktop review)

V této fázi probíhá prověřování existující dokumentace systému řízení bezpečnosti informací pověřeným auditorem z hlediska komplexnosti a kompletnosti. 

Certifikační audit 2. stupně (tzv. Process review)

Při certifikačním auditu 2. stupně dochází k prověřování shody dokumentace systému řízení bezpečnosti informací s reálným stavem, prověřování vedených záznamů).