Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

Zavedení systému řízení bezpečnosti - ISMS, model PDCA

 

V minulém dílu jsme si ve stručnosti popsali co je bezpečnost IT a jaký je vztah některých ISO norem k ní. V dnešním díle, bych se rád věnoval podrobnému popisu normy ISO/IEC 27001 - ISMS. Hlavní myšlenku celé normy Vám prozradím již nyní - informační bezpečnost musí být řízena a je lhostejno, zda se jedná o firmu s 30 nebo s 3000 zaměstnanci. Rozdílné budou pouze časové lhůty a množství práce.

Systém řízení bezpečnosti informací je jeden, rozdílné mohou být výklady jednotlivých doporučení a postupy, jak cíle dosáhnout. Principem celého ISMS je tzv. PDCA model (Demingův model), který je zobrazen na obrázku č.1.

 

PDCA model ISMS

Obrázek 1: PDCA model ISMS

 

Tento model zavádí kontinuální systém řízení bezpečnosti informací v organizaci. Jeho jednotlivé kroky, tedy Plann, Do, Check a Act (plánuj, dělej, kontroluj a jednej) zaručují, že zavedení systému nebude jen jednorázovou aktivitou, ale neustálým koloběhem.  Norma jasně popisuje, postup při zavádění ISMS a taxativně nařizuje, kterých cílů a bezpečnostních opatření musí být dosaženo. Tato část se nazývá „Příloha A" (viz ISO/IEC 27001:2002 Information Security Management Systems) a je alfou a omegou při zavádění ISMS. V následujících odstavcích se Vám pokusím popsat základní čtyři kroky při nasazení ISMS

Kdo byl Edwards Deming?

Většina modelů zlepšování procesů je založena na postupu, který zavedl W. Edwards Deming. Americký průkopník na poli managementu, který se proslavil po II světové válce svojí činností v Japonsku, které pomohl hospodářsky postavit na nohy. Deming zavedl kroužky kvality složené ze samořízených týmů, které učil filozofii TQM a kontinuálního zlepšování (kaizen). Úspěchy japonské konkurence na světových trzích podnítily v 80. letech 20. století zájem západních průmyslníků o tyto metody. Součástí kontinuálního zlepšování je právě PDCA model, který byl převzat do mnoha odvětví.  

Krok první

Říká se, že všechny začátky jsou těžké. V případě implementace ISMS to platí dvojnásob, neboť jako první kroj je nutné získat souhlas vedení společnosti s nasazením systému. Norma tento souhlas požaduje a z hlediska praktického, musí být zavádění ISMS prováděno směrem od vrchu dolů. Možná se Vám bude zdát, že získání souhlasu od managementu společnosti je poměrně snadnou záležitostí. Opak je pravdou. management se tímto dokumentem zavazuje, že bude zavádění ISMS podporovat, což v praxi znamená, že to společnost bude stát v nejlepším případě lidské zdroje a téměř vždy i finance. Budete-li navíc ISMS nechávat certifikovat, bude to první dokument, který auditoři vyžadují. Tento dokument nemusí být rozsáhlý, ale musí pregnantně vyjadřovat ochotu a vůli společnosti, podřídit se systému ISMS. Bez tohoto dokumentu není možno nasazení systému řízení bezpečnosti uskutečnit.

Krok druhý

Nyní máme souhlas od vedení společnosti, který nám umožňuje implementaci ISMS, máme vytvořený implementační tým a můžeme tedy přikročit k druhému, kritickému kroku. Tento spočívá v provedení identifikace aktiv, jejich ocenění a vypracování celkové analýzy rizik.

Identifikace a ocenění aktiv je vlastně činnost, při které společnost provede „inventuru" svých aktiv, což mohou být jak věci hmotné (např. výpočetní technika), tak věci nehmotné (data, znalosti, značka, apod.). Když máme aktiva identifikována, je třeba ohodnotit je z hlediska integrity, dostupnosti a důvěrnosti. Nejlépe se tak činí na základě vlastního algoritmu, který Vám určí hodnotu jednotlivých aktiv.

Druhou částí je proces, který se nazývá analýza rizik a jeho provedení je popsáno například v normě ISO/IEC 13335 (viz ISO/IEC TR 13335 - 3 Information Technology, Guidelines for the management of IT security - Part 3:Techniques for the management of IT Security). Je třeba si uvědomit, že analýza rizik je dokument, na němž se staví celý systém bezpečnosti informací. Jeho důležitost je tedy vysoká. Nebudete-li tento dokument mít dobře zpracován, je celý systém ISMS nefunkční a přivede Vám obrovské problémy.

Všechny tyto kroky budou podrobně popsány v následujících dílech tohoto seriálu.

Krok třetí

Na analýzu rizik přímo navazuje dokument, který se jmenuje Návrh protiopatření. Popisuje, jak bude společnost reagovat na nalezená kritická místa. Ve stručné a jasné podobě popisuje, jak by měl vypadat cílový stav, jak se k němu společnost dostane, termín splnění a případné finanční nároky. Tento dokument je vedle analýzy rizik stěžejním dokumentem a budete-li certifikovaní, auditoři jej budou velmi pečlivě studovat. Je vhodné, nechat si raději více času na jeho tvorbu a případnou diskusi s managementem. Nezapomínejte, že management, všechny dokumenty musí schválit, včetně finančních prostředků. Druhou variantou, jak lze na případná rizika reagovat, je tzv. institut akceptace rizika. Využívá se v případě, že nápravné opatření je například extrémně drahé a míra rizika velmi nízká. Obecně se doporučuje této možnosti využívat v minimální míře.

Nyní máme téměř všechny dokumenty pohromadě a zbývá nám závěrečný souhrn, který patří k těm časově nejnáročnějším. Norma taxativně nařizuje, že společnost musí vytvořit dokument prohlášení o aplikovatelnosti. Vzpomínáte ještě na tzv. přílohu A normy, kde jsou popsány všechny náležitosti nutné pro zavedení ISMS? Zde je třeba krok za krokem doložit, které části ISMS a jak jsou zavedené. Nechejte si na vytvoření souladu dostatek času, teprve nyní můžete udělat konečné účtování a připravit se na certifikaci.

Krok čtvrtý

Krok čtvrtý je z hlediska zavedení ISMS nepovinný. Rozhodnete-li se, že budete ISMS implementovat, neznamená to, že si jej musíte nechat certifikovat. Celý systém může fungovat i bez certifikace, ale je samozřejmě výhodnější projít certifikací. Skládá se ze dvou částí. V první je certifikována (viz ISO/IEC 17799:2005 Information technology Security Techniques - Code of practice for information security management (Informační technologie Bezpečnostní techniky - Soubor postupů pro řízení bezpečnosti informací)) povinná dokumentace, ve druhé je kontrolováno praktické zavádění ISMS. Ti z Vás, kdo prošli certifikací například na ISO 9001, mají výhodu, neboť oba systémy jsou kompatibilní a vědí tedy, jak certifikace probíhá. Synergií ISMS a ostatních norem ISO bude věnován závěrečný díl našeho seriálu.

 

Na závěr seznam nezbytných dokumentů, které budete potřebovat, v případě nasazení ISMS:

  • A. Rozsah a hranice ISMS
  • B. Politika ISMS
  • C. Definice a popis přístupu khodnocení rizik
  • D. Identifikace rizik
  • E. Analýza a vyhodnocení rizik
  • F. Identifikace a varianty pro zvládání rizik
  • G. Cíle opatření a bezpečnostní opatření pro zvládání rizik (viz příloha A)
  • H. Akceptace rizik
  • I. Získání povolení kprovozování ISMS vrámci organizace
  • J. Prohlášení o aplikovatelnosti

 

Nebojte se, že musíte mít takové množství dokumentů. Některé z výše uvedených jsou jednostránkové deklarace (Politika ISMS), ostatní je možné spojovat. Typický počet vedené dokumentace ISMS je 5 dokumentů, které je třeba revidovat v souladu s PDCA modelem.

Co příště?

Co nás čeká v dalším pokračování? Příště se podíváme co je identifikace a ohodnocení aktiv. Konečně se dostaneme ke konkrétním činnostem. Povíme si, co jsou aktiva společnosti. Jak se tato aktiva popisují a ohodnocují. Ukážeme si, jak je možné toto hodnocení stanovit. Tedy hodnocení finanční nebo kvalitativní. Povíme si, proč jsou barvičky důležitou součástí ohodnocení aktiv a co znamená „důvěrnost, dostupnost a integrita" aktiv.

  

  



Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění