V oblasti ICT se setkáváme s řadou norem, jejichž označení lidem, kteří s nimi nepracují, mnoho neříká. I když je plnění normy a certifikace považována za konkurenční výhodu a často i povinnost, máme i v případě těch nejznámějších velmi mlhavou představu, jaké oblasti se dotýkají. Proto jsme ve spolupráci s ÚNMZ připravili stručné shrnutí hlavních oblastí.
Náš text si nebere za cíl v tomto okamžiku detailně popisovat jednotlivé normy (k těm se ještě vrátíme), ale měl by poskytnout lidem, kteří s normami nepřicházejí často do styku rychlou orientaci, čeho se týkají. Jde tedy o jakýsi „tahák“ na základě nejčastějších dotazů.
Nejvíce odkazovanou a využívanou v oblasti ICT je norma ČSN ISO/IEC 27000 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník.
ČSN ISO/IEC 27000 poskytuje přehled systémů řízení bezpečnosti informací (ISMS), a termíny a definice obecně používané v řadě norem ISMS (Information Security Management System). Tato mezinárodní norma je použitelná pro všechny typy a velikosti organizací (například pro vládní úřady, obchodní podniky i neziskové organizace).
Řada mezinárodních norem pro systémy řízení (ISMS. Toto označení se poprvé objevuje v normě ISO/IEC 17799) poskytuje model určený k využití při vytváření a provozování systému řízení. Tento model obsahuje rysy, u kterých experti v daném oboru dosáhli shody, pokud jde o poslední stav mezinárodního vývoje. ISO udržuje komisi expertů, která se věnuje vývoji mezinárodních norem systémů řízení bezpečnosti informací, nazývaných také řada norem Systém řízení bezpečnosti informací – Information Security Management System (ISMS).
Organizace mohou použitím řady norem ISMS vyvinout a implementovat rámec pro řízení bezpečnosti svých informačních aktiv zahrnujících finanční informace, duševní vlastnictví a podrobnosti o zaměstnancích, nebo informace, které jim byly svěřeny zákazníky nebo třetími stranami. Tyto normy mohou být také použity pro přípravu na nezávislé posouzení jejich ISMS, týkající se ochrany informací.
ČSN ISO/IEC 27001 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky
Obecné shrnutí ČSN ISO/IEC 27001 a ČSN ISO/IEC 27002.
1) Původní normy ISO/IEC 27001 a ISO/IEC 27002 se staly základním kamenem pro vytvoření bezpečných IS.
2) Jsou od nich odvozeny prakticky všechny zásadní postupy při vytváření a hodnocení bezpečnosti IS.
3) Sjednocují pohled na bezpečnost v mezinárodním měřítku a díky certifikacím podle ISO/IEC 27001 umožňují snadné ověření stavu bezpečnosti výměny informací spolupracujících institucí nebo obchodních partnerů.
4) Norma ISO/IEC 27002 je návodem, jak realizovat požadavky normy ISO/IEC 27001 a je tedy velmi důležitá pro bezpečnostní praxi.
5) Současné české certifikační autority hodnotí stav bezpečnosti IS podle aktuálně platné normy. Pokud by revidovaná norma nebyla vydána, neměly by žádný platný český standard pro hodnocení a musely by certifikační audity provádět podle originálních ISO norem vydaných v angličtině.
6) Poslední a patrně nejdůležitější argument je ten, že současně platné a připravované zákony, které se týkají informační bezpečnosti (např. zákon o kybernetické bezpečnosti, analýzy bezpečnosti IS státu, prováděné NBÚ a mnoho dalších) primárně vycházejí z ISO/IEC řady 27000. Řada ISO/IEC 27000 je klíčovou pro bezpečnost informací státu.
7) Tato mezinárodní norma specifikuje požadavky na ustavení, implementování, udržování a neustálé zlepšování systému řízení bezpečnosti informací v rámci kontextu rizik činnosti organizace. Zahrnuje také požadavky na posouzení a ošetření rizik bezpečnosti informací, přizpůsobené potřebám organizace.
8) Požadavky této mezinárodní normy jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez ohledu na jejich typ, velikost a povahu činností.
Zmíněná norma byla připravena, aby poskytla požadavky na ustavení, implementování, udržování a neustálé zlepšování systému řízení bezpečnosti informací, kdy je přijetí systému řízení bezpečnosti informací pro organizaci strategickým rozhodnutím. Ustavení a implementace systému řízení bezpečnosti informací organizace jsou ovlivněny potřebami a cíli organizace, požadavky na bezpečnost, používanými procesy a velikostí a strukturou organizace. Všechny tyto ovlivňující faktory se pravděpodobně budou v čase měnit.
Systém řízení bezpečnosti informací zachovává důvěrnost, integritu a dostupnost informací aplikováním procesu řízení rizik a dává jistotu zainteresovaným stranám, že jsou rizika přiměřeně řízena.
Je důležité, že systém řízení bezpečnosti informací je součástí procesů a celkové struktury řízení organizace a je do nich integrován. Je také důležité, že bezpečnost informací je zvažována při návrhu procesů, informačních systémů a opatření. Očekává se, že implementace systému řízení bezpečnosti informací bude nastavena v souladu s potřebami organizace.
Tato mezinárodní norma může být použita interními a externími stranami k posouzení schopnosti organizace splnit její vlastní požadavky bezpečnosti informací.
ČSN ISO/IEC 27002 Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací
Obecně k ČSN ISO/IEC 27001 i ČSN ISO/IEC 27002.
1) Původní normy ISO/IEC 27001 a ISO/IEC 27002 se staly základním kamenem pro vytvoření bezpečných IS.
2) Jsou od nich odvozeny prakticky všechny zásadní postupy při vytváření a hodnocení bezpečnosti IS.
3) Sjednocují pohled na bezpečnost v mezinárodním měřítku a díky certifikacím podle ISO/IEC 27001 umožňují snadné ověření stavu bezpečnosti výměny informací spolupracujících institucí nebo obchodních partnerů.
4) Norma ISO/IEC 27002 je návodem, jak realizovat požadavky normy ISO/IEC 27001 a je tedy velmi důležitá pro bezpečnostní praxi.
5) Současné české certifikační autority hodnotí stav bezpečnosti IS podle aktuálně platné normy. Pokud by revidovaná norma nebyla vydána, neměly by žádný platný český standard pro hodnocení a musely by certifikační audity provádět podle originálních ISO norem vydaných v angličtině.
6) Poslední a patrně nejdůležitější argument je ten, že současně platné a připravované zákony, které se týkají informační bezpečnosti (např. zákon o kybernetické bezpečnosti, analýzy bezpečnosti IS státu, prováděné NBÚ a mnoho dalších) primárně vycházejí z ISO/IEC řady 27000. Řada ISO/IEC 27000 je klíčovou pro bezpečnost informací státu.
7) Tato mezinárodní norma specifikuje požadavky na ustavení, implementování, udržování a neustálé zlepšování systému řízení bezpečnosti informací v rámci kontextu rizik činnosti organizace. Zahrnuje také požadavky na posouzení a ošetření rizik bezpečnosti informací, přizpůsobené potřebám organizace.
8) Požadavky této mezinárodní normy jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez ohledu na jejich typ, velikost a povahu činností.
Tato mezinárodní norma je určena pro organizace k použití jako doporučení pro výběr opatření v rámci procesu zavádění systému řízení bezpečnosti informací (ISMS), založeného na normě ISO/IEC 27001, nebo jako pokyny pro organizace, implementující obecně přijatá opatření bezpečnosti informací. Tato norma je rovněž určena pro použití při vyvíjení směrnic pro řízení bezpečnosti informací specifických pro průmysl a organizace, s přihlédnutím k jejich konkrétnímu prostředí rizik pro bezpečnost informací.
Bezpečnost informací je dosažena zavedením vhodné sady opatření, včetně politik, procesů, postupů, organizačních struktur a softwarových a hardwarových funkcí. Tato opatření je třeba stanovit, implementovat, monitorovat, přezkoumávat a zlepšovat tam, kde je to nutné, aby bylo zajištěno, že jsou splněny specifické cíle bezpečnosti a podnikatelské činnosti organizace. Systém ISMS, jako například systém specifikovaný v ISO/IEC 27001, používá holistický, koordinovaný pohled na rizika bezpečnosti informací organizace s cílem implementovat komplexní sadu opatření bezpečnosti informací v celkovém rámci uceleného systému řízení.
Mnoho informačních systémů nebylo navrženo tak, aby byly bezpečné ve smyslu normy ISO/IEC 27001 a této normy. Bezpečnost, které může být dosaženo technickými prostředky, je omezená a měla by být podporována vhodným řízením a postupy. Identifikace opatření, která by měla být zavedena, vyžaduje pečlivé plánování a věnování pozornosti detailům. Úspěšný systém ISMS vyžaduje podporu ze strany všech zaměstnanců organizace. To může také vyžadovat účast akcionářů, dodavatelů či jiných externích stran. Může také být potřeba poradenství specialisty z externích stran.
V obecnějším smyslu efektivní bezpečnost informací také zaručuje vedení a dalším zúčastněným stranám, že aktiva organizace jsou rozumně zabezpečena a chráněna proti poškozením, a tím působí jako faktor podporující podnikatelskou činnost.
Zatímco tato norma poskytuje návod pro širokou škálu opatření v oblasti bezpečnosti informací, která se běžně uplatňují v mnoha různých organizacích, zbývající normy v rodině norem ISO/IEC 27000 poskytují doplňující doporučení či požadavky týkající se dalších aspektů celkového procesu řízení bezpečnosti informací.
Organizace všech typů a velikostí (včetně veřejného a soukromého sektoru, komerčních a neziskových) shromažďují, zpracovávají, uchovávají a předávají informace v mnoha formách, včetně elektronické, fyzické a verbální (například rozhovory a prezentace).
Hodnota informací přesahuje napsaná slova, čísla a obrázky: znalosti, koncepty, nápady a značky jsou příklady nehmotných forem informací. V navzájem propojeném světě jsou informace a související procesy, systémy, sítě a pracovníci podílející se na jejich činnosti, nakládání s nimi a ochraně aktiva, která jsou, stejně jako jiná významná obchodní aktiva, cenná pro podnikání organizace, a proto si zaslouží nebo vyžadují ochranu proti různým rizikům.
Aktiva jsou vystavena jak úmyslným tak neúmyslným hrozbám, zatímco související procesy, systémy, sítě a lidé mají vlastní zranitelnosti. Změny obchodních procesů a systémů nebo jiné vnější změny (například nové zákony a předpisy), mohou vytvářet nová rizika bezpečnosti informací. Proto, vzhledem k množství způsobů, kterými mohou hrozby zneužít zranitelnosti k poškození organizace, jsou rizika bezpečnosti informací vždy přítomna. Efektivní bezpečnost informací snižuje tato rizika tím, že chrání organizaci před hrozbami a zranitelnostmi, a omezuje tedy dopady na její aktiva.
Přístě se podíváme na ČSN EN ISO 9000/9001 a normy v oblasti biometriky.
Ve spolupráci s Ing. Miroslavem Škopem
ÚNMZ – Oddělení elektrotechniky