Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

ISMS - nejčastější chyby (1. část)

 

V předchozích dílech seriálu o ISMS byl popsán režim přípravy, vlastního nasazení i udržování celého systému řízení informační bezpečnosti společnosti. Dnešní díl se bude zabývat kritickými situacemi, které mohou nastat, jak v období přípravy zavedení systému, tak při samotné implementaci.

Příprava

Na začátku každého většího projektu, je vždy nutná podrobná příprava. Plánujete-li implementaci ISMS, zajistěte si nejprve podporu vedení společnosti. Veškeré další činnosti, které bude nutné v rámci implementace realizovat, mohou být velmi zásadní povahy (z hlediska procesů, personálních vazeb a právních úprav) a bez „podpory" TOP managementu nerealizovatelné. Vůbec problematika lidských a sociálních animozit může znamenat obrovské nebezpečí pro implementaci systému. Půjdete-li představit projekt implementace ISMS, je nezbytně nutné, mít vytvořen celkový koncept nasazení, včetně časového finančního a personálního rozpočtu (nejlépe formou presentace). Neexistence takového plánu, je další častou chybou a důvodem proč není ISMS nasazeno nebo je nasazeno nesprávně.Tedy vhodný výběr členů implementačního týmu, zajištění podpory vedení a perfektně připravený projekt, jsou tři základní pilíře úspěšného nasazení ISMS. Závazek vedení společnosti, kterým se nejvyšší vedení organizace hlásí k podpoře implementace ISMS se jmenuje „Bezpečnostní politika" a je taxativně vyžadován. 

Ohodnocení aktiv

Vlastně první důležitá činnost spojená s implementací ISMS. Zjednodušeně řečeno, hlavním úkolem je najít všechna aktiva společnosti (vše co má pro organizaci cenu a význam vzhledem k primárnímu obchodnímu zaměření). Tato aktiva musí být pojmenována, musí být nalezen a jednoznačně určen vlastník tohoto aktiva a ohodnoceno (finančně, nebo z pohledu významu pro organizaci). A zde dochází k dalšímu fatálnímu selhávání. Organizace podceňují tuto operaci a neuvědomují si, že ohrožují všechny navazující činnosti, především pak analýzu rizik a dokument „Návrh protiopatření". Proč se tak děje? Většinou to má dvě příčiny. První je nedostatek času a financí. Podkladem se tak stane nejčastěji seznam serverů, kde jsou data například obchodního charakteru. Hlavní chyba - vůbec se nezmapuje, kde všude jsou důležitá data organizace, nejsou popsány vazby mezi nimi. Málokdy si totiž odpovědní pracovníci uvědomí, že data nejsou jen například v SQL databázi, ale že se tato data sdílejí a agregují v mnoha dalších systémech, zařízeních apod. Druhá příčina neznalost dané problematiky. Výsledkem je zavádějící seznam aktiv, téměř vždy bez jednoznačně definovaných majitelů. Myslí-li organizace implementaci systému řízení bezpečnosti vážně, je v takovém případě vždy vhodnější (a v neposlední řadě i levnější) najmout firmu, která má pracovníky k této činnosti vyškolené.

Analýza rizik

Činnost přímo navazující na ohodnocení aktiv. Od Analýzy rizik se vlastně odvíjí veškeré další kroky při implementaci ISMS. Je třeba si uvědomit, že tato analýza není žádnou kontrolou správců a majitelů aktiv společnosti. To je největší omyl. Jsou-li Analýzou rizik pověření pracovníci, kteří mají pocit, že za odhalený nesoulad budou potrestáni, je lepší implementaci ukončit. Takový člověk začne manipulovat s výsledky analýzy a tudíž následné činnosti (především dokument „Návrh protiopatření") jsou zbytečné. Správná varianta je, aby Analýzou rizik byl pověřen pracovník, který nemá žádnou spojitost s poskytovatelem IS/IT služeb ve společnosti. Bohužel se ve své praxi často setkávám s názorem, že nejvhodnější oddělení, které by mělo implementovat ISMS je právě odbor IS/IT.

Má-li organizace zaveden například systém řízení kvality podle normy ISO 9001, je právě její správce tím vhodným garantem. Není-li vhodný pracovník v organizaci, je nejlepší variantou opět využít služeb externích subjektů.

Návrh protiopatření

Mohlo by se zdát, že je to jen dokument, který popisuje, kde má organizace bezpečnostní problémy. Opak je pravdou. Tento dokument vlastně popisuje celkový rozvoj implementace a řízení bezpečnosti do budoucna. Jedná se o stejný dokument (svým významem a dopadem), jako má organizace z pohledu obchodu. Hlavní riziko zde hrozí tím, že tento dokument nebude řádně zpracován na základě analýzy rizik. Jsou-li zkresleny výsledky analýzy rizik nebo nesprávně interpretovány, je dokument Návrh protiopatření zbytečným. Často se také stane, že tento dokument je pouhým výčtem obecných návrhů. Přitom tento dokument musí být podrobný a obsáhlý. Jak jsem již výše napsal, dokument se stává (po svém schválení) strategickým rozhodnutím a cestou rozvoje informační bezpečnosti v organizaci.

Plány obnovy kritických aktiv společnosti

Jsou organizace, které mají zpracován plán obnovy kritických aktiv společnosti (nejčastěji obchodní a komunikační systémy společnosti). Většina společností, však považuje tyto „plány obnovy" za zbytečné a argumentují tím, „že nám se to prostě stát nemůže". V konečném důsledku vůbec nemusí jít o žádnou tragickou událost (požár, povodeň), stačí, když selže technika nebo lidský faktor (virus, krádež, havárie technologií). A přitom základní plán obnovy není žádným složitým systémem. Jde hlavně o to, mít popsaný a hlavně funkční systém záloh. Ověřené obnovení dat a činnosti. Málokdo si uvědomuje, že obnovení například datových záloh, znamená v případě zničení techniky značný (především logistický) problém. Proto dokument „plány obnovy kritických aktiv společnosti" nesmí být jen mrtvý dokument. Musí být neustále prověřován, aktualizován a testován. Zlaté pravidlo informační bezpečnosti říká, že prověření musí být provedeno jedenkráte za 12 měsíců a při jakékoliv změně například Informačního systému.

Nedílnou součást plánů obnovy je tzv. dokument Business Continuity Planning. Tedy strukturovaný souhrn toho, co je pro organizaci podstatné, aby byl zachován primární obchodní režim. Teprve tyto dva plně funkční (ne jen na papíře) systémy, zaručí, že organizace může vykonávat svoji obchodní činnost ( a ekonomicky přežít) i v případě fatální havárie kritických aktiv společnosti.

Plán bezpečnosti IT

Jedná se o dokument, který popisuje, jak budou chráněna aktiva na úrovni poskytovatele IS/IT služeb. Mohlo by se zdát, že v tomto případě žádný problém nehrozí. Opak je pravdou. Bohužel většina pracovníků IS/IT oddělení chápe zavedení systému ISMS jako ohrožení vlastní existence.  Proto zde znovu hrozí riziko (již popsané výše), že tyto strategické dokumenty budou nepřesné, v horším případě zavádějící. Cestou, jak toto hrozící riziko minimalizovat je například diskuse s pracovníky IS/IT oddělení. Je-li situace i nadále neprůchodná, doporučuji najmout externí společnost, která takové dokumenty vypracuje a implementuje. Realita je ovšem taková, že v mnoha organizacích není IS/IT oddělení bráno jako podstatný prvek a podpora primárního obchodního cíle, ale jako „druhořadé oddělení spravující servery a vyměňující tonery v tiskárně". Tento věčný souboj mezi „ajtíky" a zbytkem společnosti přináší bohužel, více problémů, než klidný a kontinuální rozvoj bezpečnosti.

 

 

 Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění