Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

Zavedení systému řízení bezpečnosti - ISMS

 

Bezpečnost ICT. Snad nejfrekventovanější termín všech rozhovorů o IT současnosti. Nejdříve si tedy upřesníme pojem bezpečnost IT:Životní cyklus ISMS

Pod pojmem bezpečnost IT obvykle rozumíme ochranu odpovídajících IS a informací, které jsou v nich uchovávány, zpracovávány a přenášeny. Součástí takto obecně chápané bezpečnosti IT je i komunikační bezpečnost, tj. ochrana informace přenášené mezi počítači, fyzická bezpečnost, tj. ochrana před přírodními hrozbami a fyzickými útočníky a personální bezpečnost, tj. ochrana před vnitřními útočníky.

Bezpečnost?

Nelze jistě zpochybnit, že je to problém palčivý a urgentní. Před deseti lety jsme řešili problém, jak postavit síť nebo jak rozchodit informační systém. Bezpečnost byla velmi často jen překážka k rychlému dosažení cíle. Mnoha firmám se tento přístup krutě nevyplatil. Proč se tento názor mění?

Je to dáno mnoha faktory. Ten nejdůležitější je uvědomění si, že ICT znamená pro můj primární bussines naprosto nepostradatelnou složku. Nedostupnost systému bude mít pro mě za následek ochrnutí společnosti a její možný zánik.

Dnes máme nepřeberné množství různých ochranných a obranných nástrojů. Jsou to softwarové nástroje, jsou to hardwarové nástroje. A třetí v řadě jsou bezpečnostní standardy. Bohužel všechny tři výše uvedené nástroje málokde stojí na stejné úrovní. Podle studie PSIB SR 04 (zdroj: PSIB SR 04 - Prieskum stavu informačnej bezpečnosti v SR 2004, KPMG Slovensko, DSM, NBÚ SR) byly uvedeny jako nejrozšířenější příčiny bezpečnostních incidentů výpadek proudu, počítačový virus a porucha hardware. O rok později podobné výzkumy ukazují, že největším rizikem se stávají vlastní zaměstnanci.

Jedním z nejúčinnějších opatření proti vnitřnímu nepříteli ve firmě, je nasazení jasných a přesných bezpečnostních standardů. Je samozřejmě možné, vytvořit si strukturu takových standardů „podomácky". Je to ovšem řešení s tím rizikem, že tvůrce může opomenout důležitý segment celkové bezpečnosti. Mnohem rozumnější je vzít si k ruce standardy již existující a ověřené. A právě o těchto standardech, jejich filozofii a způsobech nasazení bude tento seriál.

Normy

Celosvětově uznávaných standardů určených k zavedení systému řízení bezpečnosti není mnoho. Ten nejrozšířenější se celým názvem jmenuje ISO/IEC 27001 - Information Security Management Systems (dále jen ISMS). Do češtiny je překládán jako systém pro řízení bezpečnosti informací. Tato norma ve své preambuli definuje svůj účel: Tato mezinárodní norma byla připravena proto, aby poskytla podporu pro ustavení, zavedení, provozování, monitorování, udržování a zlepšování systému řízení bezpečnosti informací (Information Security Management Systems nebo ISMS).

Všimněte si pečlivě, k čemu norma slouží - podporu pro ustavení, zavedení, provozování, monitorování, udržování a zlepšování. Ano, to jsou ty hlavní pojmy při zavádění bezpečnosti. Staré pravidlo říká, že bezpečnost nelze jen zavést, ale je třeba ji dále rozvíjet a zlepšovat. A právě toto nám ISMS nejen umožňuje ale přímo to od nás vyžaduje.

 

Další existující normy a metodiky zde jen zmíníme, neboť jejich podrobný popis by vydal na celou knihu. Vážený čtenář si v případě zájmu jistě obstará informace, případně nechť se obrátí na autora.

BS 17799-2

Britský standard pro informační bezpečnost, BS 7799, uvedly v roce 1995 v život přední ekonomické organizace. Vznikl tak efektivní nástroj k hodnocení systémů řízení informační bezpečnosti (ISMS), který se rychle rozšířil po celém světě a dnes je k dostání ve více než 11 jazycích. V roce 1998 byla norma přizpůsobena požadavkům nových trendů, jako je e-commerce, a v roce 2000 schválena jako  standard ISO. V roce 2005 byl uveden v platnost nejnovější standard, zahrnující ty nejaktuálnější poznatky z oblasti komplexní informační bezpečnosti - ISO 27001, který je postaven na základech BS 7799/ISO 17799.

Norma sestává ze dvou částí: Příručka k řízení informační bezpečnosti a Specifikace pro ISMS. V současné době je plně nahrazena normou ISO/IEC 27001 ISMS.

ISO/IEC 20000

Norma ISO 20000 (známá také pod označením BS 15000) je nový standard, který se speciálně vztahuje k managementu služeb IT a zaměřuje na zlepšování kvality, zvyšování efektivity a snížení nákladů u IT procesů. ISO 20000, které vzešlo ze standardu BS 15000, popisuje integrovanou sadu procesů řízení pro poskytování služeb IT. Svojí filozofií a obsahem se řídí úspěšnými ustanoveními IT Infrastructure Library (ITIL). Není to však ITIL, jak je často a mylně uváděno. ITIL není standard ani metodika.

ITIL

Information Technology Infrastructure Library (zkratka ITIL) je rámec přístupů k zajištění dodávky kvalitních IT služeb za přiměřených nákladů, který vychází z nejlepších praktických zkušeností. Knihovnu spravuje organizace Office of Government Commerce a je šířena formou knih, CD, školení, konzultací a certifikací. ITIL je v současnosti již de-facto mezinárodním standardem pro oblast řízení IT služeb. (viz http://www.ogc.gov.uk/)

Knihovna ITIL je rozdělena do několika částí, zaměřených na specifickou oblast řízení IT služeb, které odpovídají klíčovým procesům v IT oddělení a vzájemně se prolínají. Dodávka IT služeb (IT Service Delivery) a Podpora IT služeb (IT service Support) se běžně dohromady označují jako IT Service Management (ITSM). (viz http://www.best-management-practice.com/)

 

ČSN ISO/IEC TR 13335 1-5

Sada technických zpráv, které jsou zaměřeny na jednotlivé kroky z hlediska zavádění bezpečnosti IT. Zde je jejich stručný popis:

 

ČSN ISO/IEC TR 13335-1
Information technology -- Guidelines for the management of IT Security -- Part 1: Concepts and models for IT Security
Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 1: Pojetí a modely bezpečnosti IT


ČSN ISO/IEC TR 13335-2
Information technology -- Guidelines for the management of IT Security -- Part 2: Managing and planning IT Security
Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 2: Řízení a plánování bezpečnosti IT

ČSN ISO/IEC TR 13335-3
Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security
Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení bezpečnosti IT

ČSN ISO/IEC TR 13335-4
Information technology -- Guidelines for the management of IT Security -- Part 4: Selection of safeguards
Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 4: Výběr ochranných opatření

ISO/IEC TR 13335-5
Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security

Tyto technické zprávy jsou v případě zavádění systému řízení bezpečnosti nezbytným doplňkem a inspiračním materiálem. Některé techniky, které budeme v našem seriálu podrobně rozebírat (ohodnocení aktiv, analýza rizik) přímo vycházejí z těchto norem.

 

Vyčerpávající seznam, všech dostupných norem, které se zabývají bezpečností IT, naleznete na tomto odkazu.

 

 

  Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění