Mendelova zemědělská a lesnická univerzita. Provozně ekonomická fakulta Ústav informatiky

Podobné dokumenty
Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

srpen 2008 Ing. Jan Káda

BEZPEČNOSTI INFORMACÍ

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČESKÁ TECHNICKÁ NORMA

V Brně dne 10. a

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Organizační opatření, řízení přístupu k informacím

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o.

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Implementace systému ISMS

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Řízení rizik. RNDr. Igor Čermák, CSc.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

V Brně dne a

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Bezepečnost IS v organizaci

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

SMĚRNICE DĚKANA Č. 4/2013

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Systém managementu jakosti ISO 9001

Úvod - Podniková informační bezpečnost PS1-1

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Řízení informační bezpečnosti a veřejná správa

Bezpečnostní politika a dokumentace

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

ČESKÁ TECHNICKÁ NORMA

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Management informační bezpečnosti

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

Základy řízení bezpečnosti

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

WS PŘÍKLADY DOBRÉ PRAXE

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Státní pokladna. Centrum sdílených služeb

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Hodnocení rizik v resortu Ministerstva obrany

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Zásady managementu incidentů

ČESKÁ TECHNICKÁ NORMA

Zákon o kybernetické bezpečnosti

Obsah. Příloha č. 2: Standardy a doporučení Verze:

ČESKÁ TECHNICKÁ NORMA

OCTAVE ÚVOD DO METODIKY OCTAVE

Projektové řízení a rizika v projektech

Bezpečnostní politika informací v ČSSZ

Bezpečností politiky a pravidla

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

1. Politika integrovaného systému řízení

Řízení kybernetické a informační bezpečnosti

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

Překlad a interpretace pro české prostředí

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5

Vzdělávání pro bezpečnostní systém státu

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Obecné nařízení o ochraně osobních údajů

of practice for information security management Překlad a interpretace pro české prostředí

Co je riziko? Řízení rizik v MHMP

Bezpečnost na internetu. přednáška

Platná od Bezpečnostní politika. Deklarace

Příklad I.vrstvy integrované dokumentace

Politika bezpečnosti informací

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Klíčové aspekty životního cyklu essl

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Zkouška ITIL Foundation

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

ČESKÁ TECHNICKÁ NORMA

5 ZÁKLADNÍ PRINCIPY SYSTÉMOVÉHO ŘÍZENÍ BOZP

Bezpečnostní politika společnosti synlab czech s.r.o.

Systém řízení informační bezpečnosti (ISMS)

Řízení rizik ICT účelně a prakticky?

Příručka jakosti a environmentu

Bezpečnostní normy a standardy KS - 6

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Vnitřní kontrolní systém a jeho audit

POŽADAVKY NORMY ISO 9001

Transkript:

Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta Ústav informatiky Řešení informační bezpečnostní politiky v nekomerční organizaci. Diplomová práce Vedoucí práce: Ing. Ludmila Kunderová Vypracoval: Martin Jonášek Brno 2008

PROHLÁŠENÍ Prohlašuji, že jsem diplomovou práci na téma řešení informační bezpečnostní politiky v nekomerční organizaci. vypracoval samostatně a použil jen pramenů, které cituji a uvádím v přiloženém seznamu literatury. Diplomová práce je školním dílem a může být použita ke komerčním účelům jen se souhlasem vedoucího diplomové práce a děkana AF MZLU v Brně. dne...................................... podpis diplomanta...................... Vedoucí práce: Ing. Ludmila Kunderová ii

PODĚKOVÁNÍ Na tomto místě bych rád poděkoval několika lidem, kteří mi pomáhali odbornou radou nebo s realizací této práce. Děkuji proto: Vedoucí mé diplomové práce Ing. Ludmile Kunderové za poskytnutí a pomoc výběru zdrojů k zpracování teoretické části práce. Kolegům z práce za pochopení a rady týkající se specifických softwarových programů, se kterými jsem nebyl tak do hloubky obeznámen. Vývojářům OpenOffice za možnost uložení dokumentu v DocBook formátu, na což jsem však přišel až po té, co jsem měl práci z 70% hotovu, včetně sedových skriptů pro konverzi tabulek z OOXML formátu do Docbooku. iii

SHRNUTÍ Cílem diplomové práce je obeznámit čtenáře s oblastí tvorby bezpečnostní politiky a s aktuálním stavem norem v této oblasti. Hlavní pozornost je věnována nejnovější normě ISO 27001, která je výsledkem snahy sjednotit množství dřívějších norem vznikajících v této oblasti. Aplikovat získané znalosti na příkladu z nekomerční sféry, která má jistá specifika. Postupy uvedené v teoretické části však platí i v oblasti komerční. Klíčová slova Bezpečnostní politika, Implementace, Analýza rizik, ISO 27001, ISMS iv

SHRNUTÍ Goal of this diploma thesis is make the readers convenient with problematics of creating security policies and present actual state of standards in this area with main focus on new standard ISO 27001. Use the given knowledge in some real case from non-bussiness area, which holds some specific approach. Steps how to create security policy descibed in theoretical part of thesis are valid in general. Klíčová slova Security policies, Implementation, Risk analysis, ISO 27001, ISMS v

OBSAH 1 Úvod....................................... 2 2 Cíl a metodika práce.............................. 3 3 Informační bezpečnost - Úvod do tématu.................. 4 3.1 Co je bezpečnost informací?....................... 4 3.2 Proč je nezbytná bezpečnost informací?................ 4 3.3 Bezpečnostní prvky............................ 5 3.3.1 Aktiva............................... 5 3.3.2 Hrozby............................... 5 3.3.3 Zranitelnost............................ 6 3.3.4 Dopad............................... 7 3.3.5 Riziko............................... 8 3.3.6 Ochranná opatření........................ 8 3.3.7 Zbytkové riziko.......................... 9 3.3.8 Omezení.............................. 9 3.4 Jak stanovit bezpečnostní požadavky?................. 9 3.5 Hodnocení bezpečnostních rizik.................... 10 3.6 Výběr ochranných opatření....................... 11 3.7 Cíle, strategie a politiky......................... 11 3.7.1 Bezpečnostní politika celé společnosti............. 12 3.7.2 Bezpečnostní politika IT celé společnosti........... 13 3.7.3 Bezpečnostní politika systémů IT................ 13 3.8 Pojetí řízení bezpečnosti IT........................ 13 4 Systém řízení bezpečnosti informací.................... 15 4.1 Normy................................... 15 4.2 Model PCDA............................... 17 4.2.1 Plánuj (ustavení ISMS)...................... 17 4.2.2 Dělej (zavádění a provozování ISMS)............. 18 4.2.3 Kontroluj (monitorování a přezkoumání ISMS)........ 18 4.2.4 Jednej (udržování a zlepšování ISMS)............. 18 4.3 Ustavení a řízení ISMS.......................... 18 4.3.1 Ustavení ISMS.......................... 18 4.3.2 Zavádění a provozování ISMS................. 20 4.3.3 Monitorování a přezkoumání ISMS.............. 21 4.3.4 Udržování a zlepšování ISMS.................. 22 4.4 Požadavky na dokumentaci....................... 23 4.4.1 Všeobecně............................. 23 4.4.2 Řízeni dokumentů........................ 23 4.4.3 Řízení záznamů.......................... 24 4.5 Odpovědnost vedení........................... 24 4.5.1 Závazek vedení.......................... 24 4.5.2 Zajištění zdrojů.......................... 25 4.5.3 Školení, informovanost a odborná způsobilost........ 25 4.6 Interní audity ISMS............................ 26 vi

4.7 Přezkoumání ISMS vedením organizace................ 26 4.7.1 Vstup pro přezkoumání..................... 27 4.7.2 Výstup z přezkoumání...................... 27 4.8 Zlepšování ISMS............................. 28 4.8.1 Neustálé zlepšování....................... 28 4.8.2 Opatření k nápravě........................ 28 4.8.3 Preventivní opatření....................... 29 5 Analýza rizik.................................. 30 5.1 Typy analýzy rizik............................ 30 5.1.1 Elementární analýza rizik.................... 30 5.1.2 Neformální analýza rizik.................... 31 5.1.3 Podrobná analýza rizik..................... 32 5.1.4 Kombinovaný přístup...................... 33 5.2 Metody podrobné analýzy rizik.................... 34 5.2.1 Matice s předdefinovanými hodnotami............ 34 5.2.2 Odhad hodnoty četnosti a možné změny rizik........ 35 5.2.3 Rozlišení mezi riziky, které je možné a které není možné tolerovat.............................. 35 5.2.4 Zařazení hrozeb podle míry rizika............... 36 5.2.5 Analýza rizik využívající matice aktiv, hrozeb a zranitelností 36 5.3 Softwarové nástroje............................ 37 5.3.1 CRAMM.............................. 38 5.3.2 RA2 Art of risk.......................... 39 5.3.3 PTA (Practical Threat Analysis)................. 39 6 Bezpečnostní politika............................. 40 6.1 Bezpečnostní politika........................... 41 6.1.1 Bezpečnostní politika informací................ 41 6.1.1.1 Dokument bezpečnostní politiky informací.... 41 6.1.1.2 Přezkoumání bezpečnostní politiky informací... 41 6.2 Organizace bezpečnosti informací................... 41 6.2.1 Interní organizace........................ 41 6.2.1.1 Závazek vedení směrem k bezpečnosti informací. 41 6.2.1.2 Koordinace bezpečnosti informací.......... 41 6.2.1.3 Přidělení odpovědností v oblasti bezpečnosti informací.......................... 42 6.2.1.4 Schvalovací proces prostředků pro zpracování informací.......................... 42 6.2.1.5 Dohody o ochraně důvěrných informací...... 42 6.2.1.6 Kontakt s orgány veřejné správy........... 42 6.2.1.7 Kontakt se zájmovými skupinami.......... 42 6.2.1.8 Nezávislá přezkoumání bezpečnosti informací.. 42 6.2.2 Externí subjekty.......................... 42 6.2.2.1 Identifikace rizik plynoucích z přístupu externích subjektů......................... 42 vii

6.2.2.2 Bezpečnostní požadavky pro přístup klientů.... 43 6.2.2.3 Bezpečnostní požadavky v dohodách se třetí stranou 43 6.3 Řízení aktiv................................ 43 6.3.1 Odpovědnost za aktiva..................... 43 6.3.1.1 Evidence aktiv..................... 43 6.3.1.2 Vlastnictví aktiv.................... 43 6.3.1.3 Přípustné použití aktiv................ 43 6.3.2 Klasifikace informací....................... 43 6.3.2.1 Doporučení pro klasifikaci.............. 43 6.3.2.2 Označování a nakládání s informacemi....... 44 6.4 Bezpečnost lidských zdrojů....................... 44 6.4.1 Před vznikem pracovního vztahu............... 44 6.4.1.1 Role a odpovědnosti.................. 44 6.4.1.2 Prověřování....................... 44 6.4.1.3 Podmínky výkonu pracovní činnosti........ 44 6.4.2 Během pracovního vztahu.................... 44 6.4.2.1 Odpovědnosti vedoucích zaměstnanců....... 45 6.4.2.2 Informovanost, vzdělávání a školení v oblasti bezpečnosti informací................... 45 6.4.2.3 Disciplinární řízení.................. 45 6.4.3 Ukončení nebo změna pracovního vztahu........... 45 6.4.3.1 Odpovědnosti při ukončení pracovního vztahu.. 45 6.4.3.2 Navrácení zapůjčených prostředků......... 45 6.4.3.3 Odebrání přístupových práv............. 45 6.5 Fyzická bezpečnost a bezpečnost prostředí.............. 45 6.5.1 Zabezpečené oblastí....................... 45 6.5.1.1 Fyzický bezpečnostní perimetr............ 46 6.5.1.2 Fyzické kontroly vstupu osob............ 46 6.5.1.3 Zabezpečení kanceláří, místností a prostředků... 46 6.5.1.4 Ochrana před hrozbami vnějšku a prostředí.... 46 6.5.1.5 Práce v zabezpečených oblastech.......... 46 6.5.1.6 Veřejný přístup, prostory pro nakládku a vykládku 46 6.5.2 Bezpečnost zařízení....................... 46 6.5.2.1 Umístění zařízení a jeho ochrana.......... 46 6.5.2.2 Podpůrná zařízení................... 47 6.5.2.3 Bezpečnost kabelových rozvodů........... 47 6.5.2.4 Údržba zařízení.................... 47 6.5.2.5 Bezpečnost zařízení mimo prostory organizace.. 47 6.5.2.6 Bezpečná likvidace nebo opakované použití zařízení 47 6.5.2.7 Přemístění majetku.................. 47 6.6 Řízení komunikací a řízení provozu.................. 47 6.6.1 Provozní postupy a odpovědností............... 47 6.6.1.1 Dokumentace provozních postupů......... 47 6.6.1.2 Řízení změn...................... 48 viii

6.6.1.3 Oddělení povinností.................. 48 6.6.1.4 Oddělení vývoje, testování a provozu........ 48 6.6.2 Řízení dodávek služeb poskytovaných třetími stranami... 48 6.6.2.1 Dodávky služeb.................... 48 6.6.2.2 Monitorování a přezkoumávání služeb třetích stran 48 6.6.2.3 Řízení změn služeb poskytovaných třetími stranami 48 6.6.3 Plánování a přejímáni systémů................. 48 6.6.3.1 Řízení kapacit..................... 49 6.6.3.2 Přejímání systémů................... 49 6.6.4 Ochrana proti škodlivým programům a mobilním kódům. 49 6.6.4.1 Opatření na ochranu proti škodlivým programům 49 6.6.4.2 Opatření na ochranu proti mobilním kódům.... 49 6.6.5 Zálohování............................ 49 6.6.5.1 Zálohování informací................. 49 6.6.6 Správa bezpečností sítě..................... 49 6.6.6.1 Sít ová opatření..................... 49 6.6.6.2 Bezpečnost sít ových služeb............. 50 6.6.7 Bezpečnost při zacházení s médii................ 50 6.6.7.1 Správa výměnných počítačových médií...... 50 6.6.7.2 Likvidace médií.................... 50 6.6.7.3 Postupy pro manipulaci s informacemi....... 50 6.6.7.4 Bezpečnost systémové dokumentace........ 50 6.6.8 Výměna informací........................ 50 6.6.8.1 Postupy a politiky při výměně informací...... 50 6.6.8.2 Dohody o výměně informací a programů...... 51 6.6.8.3 Bezpečnost médií při přepravě............ 51 6.6.8.4 Elektronické zasílání zpráv.............. 51 6.6.8.5 Informační systémy organizace........... 51 6.6.9 Služby elektronického obchodu................. 51 6.6.9.1 Elektronický obchod.................. 51 6.6.9.2 On-line transakce................... 51 6.6.9.3 Veřejně přístupné informace............. 51 6.6.10 Monitorování........................... 51 6.6.10.1 Pořizování auditních záznamů............ 52 6.6.10.2 Monitorování používání systému.......... 52 6.6.10.3 Ochrana vytvořených záznamů........... 52 6.6.10.4 Administrátorský a operátorský deník....... 52 6.6.10.5 Záznam selhání.................... 52 6.6.10.6 Synchronizace hodin................. 52 6.7 Řízení přístupu.............................. 52 6.7.1 Požadavky na řízení přístupu.................. 52 6.7.1.1 Politika řízení přístupu................ 52 6.7.1.2 Řízeni přístupu uživatelů............... 53 6.7.1.3 Registrace uživatele.................. 53 ix

6.7.1.4 Řízení privilegovaného přístupu........... 53 6.7.1.5 Správa uživatelských hesel.............. 53 6.7.1.6 Přezkoumání přístupových práv uživatelů..... 53 6.7.2 Odpovědnosti uživatelů..................... 53 6.7.2.1 Používání hesel.................... 53 6.7.2.2 Neobsluhovaná uživatelská zařízení........ 53 6.7.2.3 Zásada prázdného stolu a prázdné obrazovky monitoru.......................... 53 6.7.3 Řízení přístupu k síti....................... 54 6.7.3.1 Politika užívání sít ových služeb........... 54 6.7.3.2 Autentizace uživatele pro externí připojení..... 54 6.7.3.3 Identifikace zařízení v sítích............. 54 6.7.3.4 Ochrana portů pro vzdálenou diagnostiku a konfiguraci.......................... 54 6.7.3.5 Princip oddělení v sítích............... 54 6.7.3.6 Řízení sít ových spojení................ 54 6.7.3.7 Řízení směrování sítě................. 54 6.7.4 Řízení přístupu k operačnímu systému............ 54 6.7.4.1 Bezpečné postupy přihlášení............. 55 6.7.4.2 Identifikace a autentizace uživatelů......... 55 6.7.4.3 Systém správy hesel.................. 55 6.7.4.4 Použití systémových nástrojů............ 55 6.7.4.5 Časové omezení relace................ 55 6.7.4.6 Časové omezení spojení................ 55 6.7.5 Řízení přístupu k aplikacím a informacím........... 55 6.7.5.1 Omezení přístupu k informacím........... 55 6.7.5.2 Oddělení citlivých systémů.............. 55 6.7.6 Mobilní výpočetní zařízení a práce na dálku......... 56 6.7.6.1 Mobilní výpočetní zařízení a sdělovací technika.. 56 6.7.6.2 Práce na dálku..................... 56 6.8 Akvizice, vývoj a údržba informačních systémů........... 56 6.8.1 Bezpečnostní požadavky informačních systémů....... 56 6.8.1.1 Analýza a specifikace bezpečnostních požadavků. 56 6.8.2 Správné zpracování v aplikacích................ 56 6.8.2.1 Validace vstupních dat................ 56 6.8.2.2 Kontrola vnitřního zpracování............ 56 6.8.2.3 Integrita zpráv..................... 57 6.8.2.4 Validace výstupních dat................ 57 6.8.3 Kryptografická opatření..................... 57 6.8.3.1 Politika pro použití kryptografických opatření... 57 6.8.3.2 Správa klíčů...................... 57 6.8.4 Bezpečnost systémových souborů............... 57 6.8.4.1 Správa provozního programového vybavení.... 57 6.8.4.2 Ochrana systémových testovacích údajů...... 57 x

6.8.4.3 Řízení přístupu ke knihovně zdrojových kódů... 57 6.8.5 Bezpečnost procesů vývoje a podpory............. 58 6.8.5.1 Postupy řízení změn.................. 58 6.8.5.2 Technické přezkoumání aplikací po změnách operačního systému.................... 58 6.8.5.3 Omezení změn programových balíků........ 58 6.8.5.4 Únik informací..................... 58 6.8.5.5 Programové vybavení vyvíjené externím dodavatelem........................... 58 6.8.6 Řízení technických zranitelností................ 58 6.8.6.1 Řízení, správa a kontrola technických zranitelností 58 6.9 Zvládání bezpečnostních incidentů................... 58 6.9.1 Hlášení bezpečnostních událostí a slabin........... 58 6.9.1.1 Hlášení bezpečnostních událostí........... 59 6.9.1.2 Hlášení bezpečnostních slabin............ 59 6.9.2 Zvládání bezpečnostních incidentů a kroky k nápravě... 59 6.9.2.1 Odpovědnosti a postupy............... 59 6.9.2.2 Ponaučení z bezpečnostních incidentů....... 59 6.9.2.3 Shromažd ování důkazů............... 59 6.10 Řízení kontinuity činností organizace................. 59 6.10.1 Aspekty řízeni kontinuity činnosti organizace z hlediska bezpečnosti informací...................... 59 6.10.1.1 Zahrnutí bezpečnosti informací do procesu řízení kontinuity činností organizace............ 60 6.10.1.2 Kontinuita činností organizace a hodnocení rizik. 60 6.10.1.3 Vytváření a implementace plánů kontinuity.... 60 6.10.1.4 Systém plánování kontinuity činností organizace. 60 6.10.1.5 Testování, udržování a přezkoumávání plánů kontinuity.......................... 60 6.11 Soulad s požadavky............................ 60 6.11.1 Soulad s právními normami................... 60 6.11.1.1 Identifikace odpovídajících předpisů........ 60 6.11.1.2 Ochrana duševního vlastnictví............ 61 6.11.1.3 Ochrana záznamů organizace............ 61 6.11.1.4 Ochrana dat a soukromí osobních informací.... 61 6.11.1.5 Prevence zneužití prostředků pro zpracování informací.......................... 61 6.11.1.6 Regulace kryptografických opatření......... 61 6.11.2 Soulad s bezpečnostními politikami, normami a technická shoda................................ 61 6.11.2.1 Shoda s bezpečnostními politikami a normami.. 61 6.11.2.2 Kontrola technické shody............... 61 6.11.3 Hlediska auditu informačních systémů............ 62 6.11.3.1 Opatření k auditu informačních systémů...... 62 xi

6.11.3.2 Ochrana nástrojů pro audit informačních systémů 62 7 Implementace bezpečnostní politiky a standardů............. 63 8 Monitoring a audit IS............................. 65 8.1 Rozsah................................... 65 8.2 Organizační zajištění monitoringu................... 65 8.3 Prostředky k monitorování bezpečnosti................ 66 8.4 Interní a externí audit........................... 67 9 Návrh bezpečnostní politiky pro občanské sdružení Hnutí DUHA.. 68 9.1 Popis občanského sdružení Hnutí DUHA............... 68 9.2 Provoz a správa výpočetních systému................. 68 9.2.1 Servery............................... 68 9.2.2 Lokální pracovní stanice..................... 69 9.2.3 Přenosné počítače......................... 69 9.2.4 Sít ová architektura Hnutí DUHA............... 69 9.2.4.1 Sít ové prvky...................... 69 9.2.5 Tisk a kopírování......................... 69 9.3 Analýza rizik v Hnutí DUHA...................... 69 9.3.1 Pravděpodobnost výskytu hrozeb............... 69 9.3.2 Ohodnocení aktiv......................... 70 9.3.3 Aktiva organizace........................ 71 9.3.3.1 Osobní údaje dárců.................. 71 9.3.3.2 Osobní údaje dobrovolníků.............. 72 9.3.3.3 Osobní údaje zaměstnanců.............. 72 9.3.3.4 Hesla pro přístup ke stanici.............. 72 9.3.3.5 Kontakty na osoby................... 73 9.3.3.6 Interní dokumenty................... 73 9.3.3.7 Licencovaný software................. 73 9.3.3.8 Hardware........................ 73 9.3.3.9 Ekonomická data................... 74 9.3.3.10 Heslo pro přístup k intranetu............ 74 9.3.3.11 Uživatelská data chráněná PGP šifrováním.... 74 9.3.3.12 Uživatelská data ostatní................ 75 9.3.3.13 Autorská práva..................... 75 9.3.4 Výsledky a doporučení k implementaci............ 75 9.3.4.1 Klasifikace a řízení informačních aktiv....... 75 9.3.4.2 Organizace bezpečnosti................ 76 9.3.4.3 Řízení přístupu..................... 76 9.3.4.4 Řízení kontinuity činností............... 76 9.3.4.5 Výsledky analýzy rizik................ 76 10 Závěr....................................... 78 Literatura....................................... 79 Rejstřík........................................ 80 A Návrh bezpečnostní politiky Hnutí DUHA................ 81 xii

PŘEDMLUVA Žijeme ve světě, který se velmi rychle vyvíjí a mění. Vstoupili jsme do věku informačních technologií, které vytváříme a ony zpětně přetváří náš svět. Dnes už si stěží dokážeme představit podnik střední velikosti bez informačního systému a informační technologie začínají být nezbytné i v malých podnicích a firmách. Informační technologie se stávají podstatnou součástí našich životů a správný chod většiny moderních firem je přímo závislý na spolehlivém fungování těchto systémů. Jsou-li tedy informační technologie esenciální součástí našeho podnikání, je nutné je také adekvátně chránit. Bohužel nežijeme ve světě, kde by se měli všichni rádi a chovali se k sobě s úctou, ale spíše ve světě neustálé konkurence, kde se ostatní snaží získat nad druhými konkurenční výhodu legální a často i nelegální cestou. Rozvoj informačních technologií a naše narůstající závislost na nich generuje množství nových hrozeb, kterým jsme nuceni čelit. Viry, červi, trojští koně, rootkity, spam, rhybaření, hacking a DOS útoky jsou nejběžnější hrozby, kterým musí organizace používající informační technologie každodenně čelit. Obranou proti těmto hrozbám je nasazení adekvátních bezpečnostních mechanismů. Bezpečnostní mechanismy něco stojí a je rozumné výběr a nasazení těchto mechanismů plánovat a řídit. K efektivnímu řízení implementace bezpečnostních mechanismů slouží tzv. Bezpečnostní politika. Navíc soulad se zákonnými požadavky, např ochrana osobních informací, tlačí k zavádění bezpečnostních politik i mnohé nekomerční organizace. 1

KAPITOLA 1 ÚVOD Vitální závislost na informačních technologiích a jejich neustálí rozvoj nutí organizace ke stále větším výdajům na správu informační bezpečnosti. Přitom se často stává, že tyto prostředky bývají vynaloženy velmi neefektivně. Je třeba si uvědomit, že bezpečnost informací je součástí celkové bezpečnostní politiky organizace a její efektivní správa je neustálý proces ISMS (Information Security Management System) definovaný v ISO 27001 [4]. Bezpečnostní politika je soubor pevně stanovených pravidel, která slouží k zajištění ochrany majetku, pověsti a předmětu činnosti organizace. Správně nastavená bezpečnostní politika je výchozím dokumentem k efektivní správě informační bezpečnosti. Vytvoření efektivní bezpečnostní politiky by měla předcházet analýza rizik, pomocí jíž organizace identifikuje aktiva, která je nutno chránit a také hrozby a zranitelnosti, kterým jsou tato aktiva vystavena. Po správném ohodnocení aktiv a vyhodnocení rizik, která těmto aktivům hrozí, je organizace schopna nasadit adekvátní opatření, která slouží k eliminaci a minimalizaci zjištěných rizik. Vytvoření a implementace bezpečnostní politiky není zárukou úspěchu v oblasti zajištění bezpečnosti organizace. Je nutné také aktivní prosazování těchto pravidel. Ani nejlepší bezpečnostní politika nezaručuje, že nenastane incident, který může i vážně ohrozit chod organizace, ale minimalizuje pravděpodobnost, že se incident objeví a jeho případné následky. 2

KAPITOLA 2 CÍL A METODIKA PRÁCE Cílem diplomové práce je seznámit čtenáře se základem bezpečnosti informačních systémů a vytvořit šablonu, která by měla pomoci pracovníkům v oblasti IT bezpečnosti při zavádění bezpečnostní politiky do různých typů organizací z komerční i nekomerční sféry. K dobrému pochopení problematiky je třeba být důvěrně seznámen se základními pojmy informační bezpečnosti, čemuž je věnována úvodní část práce. Dílčími cíli práce je vytvoření návrhů dokumentů bezpečnostních politik pro komerční a nekomerční organizaci po provedení a vyhodnocení analýzy rizik v těchto organizacích. A následné srovnání rozdílů v požadavcích a potřebách těchto organizací na informační bezpečnost. Při tvorbě jednotlivých pasáží práce a tvorbě samotného návrhu řešení čerpal autor z odborné literatury, zejména z ustanovení norem týkající se informační bezpečnosti ČSN ISO 13335, ISO 17799, ISO 27001 a dalších relevantních zdrojů. Tato práce byla připravena ve formátu XML s využitím DTD DocBook. Závěrečná sazba byla provedena typografickým systémem L A TEX ve stylu fithesis z písma Computer Modern ve variantě CS-font pomocí modulu xslt2, viz. Návod k modulu xslt2 <http://www.fi.muni.cz/~xpavlov/xml/>. 3

KAPITOLA 3 INFORMAČNÍ BEZPEČNOST - ÚVOD DO TÉMATU 3.1 Co je bezpečnost informací? Informace jsou aktiva, která mají pro organizaci hodnotu a potřebují být vhodným způsobem chráněna. Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišt uje jí kontinuitu podnikatelských činností, minimalizuje obchodní ztráty, maximalizuje návratnost investic a podnikatelských příležitostí. Informace mohou existovat v různých podobách. Mohou být vytištěny nebo napsány ručně na papíře, ukládány v elektronické podobě, posílány poštou nebo elektronickou cestou, zachyceny na film nebo vyřčeny při konverzaci. At vezmeme jakoukoli formu informací, bez ohledu na způsob jejich sdělení či uložení, vždy by měla být odpovídajícím způsobem chráněna. Bezpečnost je tedy charakterizována jako zachování: 1. důvěrnosti zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem, 2. integrity zabezpečení správnosti a kompletnosti informací a metod zpracování, 3. dostupnosti zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby 4. nepopiratelnosti zajištění toho, že subjekt nemůže popřít událost nebo akci, kterou provedl Bezpečnost informací lze dosáhnout implementací soustavy opatření, která mohou existovat v podobě pravidel, natrénovaných postupů, procedur organizační struktury a programovaných funkcí. Tato opatření musí být zavedena proto, aby bylo dosaženo specifických cílů organizace [3]. 3.2 Proč je nezbytná bezpečnost informací? Informace a podpůrné procesy, systémy a sítě jsou důležitými aktivy organizace. Zajištění jejich dostupnosti, integrity a důvěrnosti může být zásadní pro udržení konkurenceschopnosti, toku hotovosti (cash flow), ziskovosti, dodržování zákonných ustanovení a dobrého jména organizace. 4

3.3. BEZPEČNOSTNÍ PRVKY Závislost organizací na informačních systémech a jejich službách znamená, že jsou zranitelné vůči bezpečnostním hrozbám. Propojení veřejných a privátních sítí i sdílení informačních zdrojů zvyšuje obtížnost kontroly přístupu. Trend směřující k distribuovanému zpracování oslabil efektivitu centrální kontroly prováděnou specialisty. Mnoho informačních systémů nebylo navrženo tak, aby byly bezpečné. Bezpečnost, která může být dosažena technickými opatřeními, je nedostačující a měla by být doplněna odpovídajícím řízením a postupy. Pro určení opatření, která jsou třeba přijmout, je nutný pečlivý rozbor problémů s důrazem na každý detail [3]. 3.3 Bezpečnostní prvky Základním předpokladem k správnému pochopení problematiky bezpečnosti informací je jednotná terminologie. V následujících odstavcích jsou objasněny pojmy základních bezpečnostních prvků, které budou dále v práci používány. 3.3.1 Aktiva Obecně se dá popsat aktivum IS jako informace nebo zařízení, jež má pro organizaci cenu a je nutné ho chránit. Správné řízení aktiv je pro úspěch organizace životně důležité a je hlavní odpovědností všech úrovní managementu. Aktiva organizace zahrnují: fyzická aktiva (např. počítačový hardware, komunikační prostředky, budovy), informace/data (např. dokumenty, databáze), software, schopnost vytvářet určité produkty nebo poskytovat služby, lidé, a nehmotné hodnoty (např. abstraktní hodnota firmy, image). Požadavky na ochranu aktiv jsou ovlivněny jejich zranitelností při výskytu specifických hrozeb. Cena nebo důležitost daného aktiva může být vyjádřena kvalitativně nebo kvantitativně např. v peněžních jednotkách nebo na určité stupnici[5]. 3.3.2 Hrozby Aktiva jsou předmětem mnoha typů hrozeb. Hrozba má potenciální schopnost způsobit nežádoucí incident, který může mít za následek poškození systému nebo organizace a jejich aktiv. Tato škoda se může vyskytnout jako důsledek přímého nebo nepřímého útoku na informace, s kterými pracuje systém nebo služba 5

3.3. BEZPEČNOSTNÍ PRVKY Obrázek 3.1: Základní bezpečnostní pojmy a vztahy IT, např. jejich neautorizované zničení, zpřístupnění, modifikace, deformace a nedostupnost nebo ztráta. Podrobný přehled hrozeb je uveden v příloze C normy ISO TR 13335-3. tabulka 1 obsahuje seznam nejběžnějších hrozeb a klasifikaci dopadu těchto hrozeb. Aby způsobila poškození aktiv, využívá hrozba existující zranitelnost aktiv, hrozby mohou mít přírodní nebo lidský původ a mohou být náhodné nebo úmyslné. Jak náhodné tak úmyslné škody by měly být identifikovány a měla by být odhadnuta jejich úroveň a pravděpodobnost[5]. 3.3.3 Zranitelnost Zranitelnosti spojené s aktivy zahrnují slabá místa na úrovni fyzické, organizační, procedurální, personální, řídící, administrativní, hardwaru, softwaru nebo informací. Mohou být využity hrozbami, které mohou způsobit poškození systému IT 6

3.3. BEZPEČNOSTNÍ PRVKY nebo obchodních cílů. Zranitelnost sama o sobě není příčinou škody; zranitelnost je pouze podmínkou nebo množinou podmínek, které mohou umožnit hrozbě, aby ovlivnila aktiva. Je nutné vzít v úvahu zranitelnosti, vznikající z různých zdrojů, například ty, které jsou aktivům vlastní. Zranitelnosti mohou přetrvávat do doby, než se aktiva samotná změní tak, že se jich zranitelnost dále netýká. Zranitelnosti zahrnují slabá místa v systému, která mohou být hrozbou využita a mohou vést k nežádoucím následkům. To jsou příležitosti, které mohou umožnit hrozbě, aby způsobila škodu. Například absence mechanismu řízení přístupu je zranitelnost, která by mohla umožnit výskyt hrozby nežádoucího proniknutí k aktivům a jejich ztrátu. Ne všechny zranitelnosti uvnitř specifického systému nebo organizace musí být podezřelé z hlediska hrozby. Okamžitou pozornost zaslouží zranitelnosti, kterým odpovídá určitá hrozba. Protože se prostředí může dynamicky měnit, měly by být všechny zranitelnosti monitorovány a tak identifikovány tak zranitelnosti, které začaly být vystaveny starým nebo novým hrozbám. Analýza zranitelnosti je prozkoumání slabých míst, která mohou být využita identifikovanými hrozbami. Tato analýza musí vzít v úvahu prostředí a existující ochranná opatření. Zranitelnost konkrétního systému nebo aktiva vůči určité hrozbě je vyjádřením snadnosti, s kterou může být systém nebo aktivum poškozeno[5]. 3.3.4 Dopad Dopad je důsledek nežádoucího incidentu, způsobeného bud náhodně nebo úmyslně, který má vliv na aktiva. Následky mohou mít podobu zničení určitých aktiv, poškození systému IT, a ztráty důvěrnosti, integrity, dostupnosti, individuální zodpovědnosti, autenticity nebo spolehlivosti. Možné nepřímé následky zahrnují finanční ztráty a ztrátu podílu na trhu nebo image společnosti. Měření dopadů umožňuje vytvoření rovnováhy mezi výsledky nežádoucích incidentů a náklady na ochranná opatření sloužící na ochranu před nežádoucími incidenty. Musí se přihlédnout k četnosti výskytu nežádoucího incidentu. To je důležité zejména, jestliže je velikost škody způsobené každým výskytem nízká, ale souhrnný účinek mnoha incidentů v průběhu času může být škodlivý. Odhad dopadů je důležitým prvkem při odhadu rizik a výběru ochranných opatření. Kvantitativní a kvalitativní měření dopadu lze docílit několika způsoby. jako např.: stanovením finančních nákladů, přiřazením empirické stupnice síly, např. 1 až 10, použitím adjektiv vybraných z předem definovaného seznamu, např. nízký, střední, vysoký[5]. 7

3.3. BEZPEČNOSTNÍ PRVKY 3.3.5 Riziko Riziko je potenciální možnost, že daná hrozba využije zranitelností, aby způsobila ztrátu nebo poškození aktiv nebo skupiny aktiv, a tedy přímo nebo nepřímo organizace. Jednotlivé nebo vícenásobné hrozby mohou využít jednotlivé nebo vícenásobné zranitelnosti. Rizikový scénář popisuje, jak může konkrétní hrozba nebo skupina hrozeb využít konkrétní zranitelnost nebo skupinu zranitelností, které vystavují aktiva možnosti poškození. Riziko je charakterizováno jako kombinace dvou faktorů, pravděpodobnosti výskytu nežádoucího incidentu a jeho dopadu. Jakákoliv změna aktiv, hrozeb, zranitelností a ochranných opatření může významně ovlivnit rizika. Včasná detekce nebo znalost změn v prostředí nebo v systému zvyšuje příležitost realizovat vhodné akce ke snížení rizika.[5]. 3.3.6 Ochranná opatření Ochranná opatření jsou praktiky, postupy nebo mechanismy, které mohou poskytnout ochranu před hrozbou, snížit zranitelnost, omezit dopad nežádoucího incidentu, detekovat nežádoucí incidenty a usnadnit obnovu. Účinná bezpečnost obvykle vyžaduje kombinaci různých ochranných opatření, aby poskytla aktivům různé stupně bezpečnosti. Ochranná opatření mohou vykonávat jednu nebo více následujících funkcí: detekci, odstrašovací funkci, prevenci, omezení, korekci, obnovu, monitorování a povědomí o problému. Pro korektně implementovaný bezpečnostní program je podstatný vhodný výběr ochranných opatření. Mnoho ochranných opatření může plnit vícenásobné funkce. Často je z pohledu nákladů efektivnější vybrat ochranná opatření, která splňují vícenásobné funkce. Příklady ochranných opatření: sít ové firewally, monitorování a analýza sítě, šifrování k zajištění důvěrnosti, digitální podpisy, antivirový software, záložní kopie informací, rezervní zdroje energie, a mechanismy řízení přístupu[5]. 8

3.3.7 Zbytkové riziko 3.4. JAK STANOVIT BEZPEČNOSTNÍ POŽADAVKY? Rizika jsou obvykle použitím ochranných opatření pouze částečně zmírněna. Částečné zmírnění je vše, čeho je obvykle možné dosáhnout, a čím většího zmírnění má být dosaženo, tím vyšší jsou náklady. Z toho vyplývá, že obvykle existují zbytková rizika. Součástí posouzení, zda bezpečnost odpovídá potřebám organizace, je akceptace zbytkových rizik. Tento proces se nazývá akceptace rizik. Management by měl být uvědomen o všech zbytkových rizicích z hlediska dopadu a pravděpodobnosti výskytu události. Rozhodnutí o akceptaci zbytkových rizik musí učinit ti, kteří jsou oprávněni akceptovat dopad výskytu nežádoucích incidentů a mohou autorizovat implementaci doplňkových ochranných opatření v případě, že zbytková rizika nejsou akceptovatelná[5]. 3.3.8 Omezení Omezení jsou obvykle stanovena nebo rozpoznána managementem organizace a jsou ovlivněna prostředími, ve kterých organizace vyvíjí svoji činnost. Některé příklady omezení, která by měla být vzata v úvahu, jsou: organizační, finanční, závislá na prostředí, personální, právní (zákony ČR nebo interní normy organizace), časová, technická, a kulturní/sociální. Všechny tyto faktory musí být při výběru a implementaci ochranných opatření vzaty v úvahu. Periodicky musí být prováděna revize existujících a nových omezení a musí být identifikovány jakékoliv změny. Mělo by být rovněž poznamenáno, že omezení se může měnit s časem, s geografickým a sociálním vývojem stejně jako s kulturou organizace. Prostředí a kultura, ve kterých organizace vyvíjí svoji činnost, může mít vliv na několik bezpečnostních prvků, zejména na hrozby, rizika a ochranná opatření [5]. 3.4 Jak stanovit bezpečnostní požadavky? Je nezbytné, aby organizace určila své bezpečnostní požadavky. K tomu existují tři základní důvody: 9

3.5. HODNOCENÍ BEZPEČNOSTNÍCH RIZIK 1. Vyplývá z hodnocení rizik, která organizaci hrozí. Za pomoci hodnocení bezpečnostních rizik se určují hrozby působící vůči aktivům, zranitelnost vůči hrozbám i pravděpodobnost výskytu a provádí se odhad jejich potenciálního dopadu. 2. Požadavky zákonů, zákonných norem a smluvní požadavky, které organizace, její obchodní, smluvní a servisní partneři musí splňovat. 3. Konkrétní principy, cíle a požadavky na zpracování informací, které si organizace vytvořila pro podporu provozu [3]. 3.5 Hodnocení bezpečnostních rizik Požadavky na bezpečnost jsou stanoveny za pomoci metodického hodnocení bezpečnostních rizik. Výdaje na bezpečnostní opatření by měly odpovídat ztrátám způsobeným narušením bezpečnosti. Hodnocení rizik může být aplikováno na celou organizaci nebo pouze na její část, stejně jako na jednotlivý informační systém, jeho určitou část nebo službu tam, kde to je praktické, reálné a užitečné. Hodnocení rizik je neustálé zvažování: 1. Možného poškození aktivit organizace, která mohou být selháním bezpečnosti, přičemž je nutné vzít v úvahu potenciální důsledky ze ztráty důvěryhodnosti, integrity nebo dostupnosti informací a jiných aktiv. 2. Reálné pravděpodobnosti výskytu takových chyb z pohledu převažujících hrozeb, zranitelností a aktuálně implementovaných opatření. Výsledky hodnocení rizik pomohou určit odpovídající kroky vedení organizace i priority pro zvládání bezpečnostních rizik u informací a pro realizaci opatření určených k zamezení jejich výskytu. Je možné, že proces hodnocení rizik a stanovení opatření bude třeba opakovat několikrát, aby byly pokryty různé části organizace nebo jednotlivé informační systémy. Důležitá je také pravidelná revize bezpečnostních rizik a přijatých opatření, která umožňuje: 1. Určit změny požadavků organizaci a priorit. 2. Vzít v úvahu nové druhy hrozeb a slabin. 3. Potvrdit vhodnost a účinnost přijatých opatření. Revize by měly být prováděny do různé hloubky v závislostí na výsledcích předcházejících analýz a změn v úrovních rizik, které je vedení ochotno akceptovat. Hodnocení rizik je často zpočátku realizováno na obecné úrovni, jako prostředek ke stanovení priority zdrojů v oblasti závažných rizik a až poté v detailnějších rovinách pro určení konkrétních rizik[3]. 10

3.6 Výběr ochranných opatření 3.6. VÝBĚR OCHRANNÝCH OPATŘENÍ Aby byla snížena odhadnutá rizika na přijatelnou úroveň, měla by být identifikována a vybrána vhodná a oprávněná ochranná opatření. Aby bylo možné provést správný výběr, je nutné přihlédnout k existujícím a plánovaným opatřením a k omezením různého druhu. K identifikaci ochranných opatření je užitečné vzít v úvahu zranitelnosti, které jsou předmětem ochrany, a přiřadit hrozby, které by mohli tyto zranitelnosti využit[6]. 3.7 Cíle, strategie a politiky Cíle, strategie a politiky bezpečnosti společnosti je třeba zformulovat jako základnu pro účinnou bezpečnost IT v dané organizaci. Podporují činnost organizace a společně zajišt ují konzistenci mezi všemi ochrannými prostředky. Cíle identifikují, co bude dosaženo, strategie identifikují, jak těchto cílů dosáhnout, a politiky identifikují, co je třeba udělat. Cíle, strategie a politiky mohou být stanoveny hierarchicky od úrovně celé společnosti k operační úrovni organizace. Měly by odrážet organizační požadavky a vzít v úvahu jakákoliv organizační omezení, a měly by zajistit, aby na každé úrovni a přes všechny úrovně byla udržována konzistence. Bezpečnost je odpovědností všech úrovní managementu uvnitř organizace a vyskytuje se ve všech fázích životního cyklu systémů. Cíle, strategie a politiky by měly být udržovány a aktualizovány na základě výsledků periodických bezpečnostních revizí (např. analýzy rizik, bezpečnostních auditů) a změn obchodních cílů[5]. Správná úroveň přijatelných rizik a tudíž odpovídající úroveň bezpečnosti je klíčem k úspěšnému řízení bezpečnosti. Nezbytná úroveň bezpečnosti je determinována cíli bezpečnosti IT, které organizace chce dosáhnout. Typická a pro většinu společností vyhovující cíle bezpečnosti může znít: Základním cílem je eliminovat případné přímé a nepřímé ztráty způsobené zneužitím, poškozením, zničením nebo nedostupností informací, vytvořením uceleného, nákladově optimalizovaného a efektivně fungujícího systému řízení bezpečnosti informací. Aby bylo možno stanovit bezpečnostní cíle, musí se vzít v úvahu aktiva a jejich hodnota pro danou organizaci. To je dáno hlavně významem, který má IT pro podporu řízení činnosti organizace, cena vlastní IT je pouze malou částí její hodnoty. Možné otázky pro stanovení, jak závisí činnost organizace na IT, jsou tyto: Které důležité/vysoce důležité oblasti činnosti organizace nemohou být realizovány bez podpory IT? Které úkoly mohou být provedeny pouze s pomocí IT?, Která zásadní rozhodnutí závisí na přesnosti, integritě nebo dostupnosti informací, zpracovávaných IT, nebo na aktuálnosti těchto informací? 11

3.7. CÍLE, STRATEGIE A POLITIKY Které zpracovávané důvěrné informace vyžadují ochranu? právní (zákony ČR nebo interní normy organizace), Jaké jsou pro organizaci důsledky nežádoucích bezpečnostních incidentů? [6]. Zodpovězení těchto otázek může pomoci stanovit bezpečnostní cíle organizace. Jestliže jsou například některé důležité nebo vysoce důležité oblasti činnosti závislé na přesných nebo aktuálních informacích, potom jeden z bezpečnostních cílů této organizace může být zajistit integritu a včasnost informací, zpracovávaných v systémech IT. Při stanovení bezpečnostních cílů by také mělo být přihlédnuto k důležitým cílům činnosti a k jejich vztahu k bezpečnosti. Bezpečnostní cíle a požadavky organizace je podřízena nadřazeným prvkům např. bezpečnostní strategie celého konsorcia nebo společnosti. V závislosti na bezpečnostních cílech by měla být dohodnuta strategie pro dosažení těchto cílů. Zvolená strategie by měla odpovídat hodnotě aktiv určených k ochraně. Jestliže je například odpověd na jednu nebo více otázek ano, potom je pravděpodobné, že organizace má vysoké požadavky na bezpečnost, a doporučuje se zvolit strategii, která reprezentuje dostatečné úsilí ke splnění těchto požadavků. Strategie bezpečnosti IT obecně vyjadřuje, jak organizace dosáhne cíle bezpečnosti IT. Témata, kterými by se měla tato strategie zabývat, závisí na množství, druhu a významu těchto cílů a obvykle jsou to témata, které organizace považuje za tak významná, že by měla být jednotně řešena v rámci celé organizace. Témata mohou být svou povahou zcela specifická nebo velmi široká. Bezpečnostní strategie a oblasti, na které je zaměřena by měly být po jejím stanovení začleněny do bezpečnostní politiky IT celé společnosti. Jako u každého projektu je nezbytné i v případě informační bezpečnosti přesně vymezit hranice, ve kterých se budeme pohybovat. Vždy je nutné u organizace stanovit, v jakém rozsahu bude bezpečnostní politika působit. Hranice řešení vymezujeme minimálně v těchto dimenzích: typy informací (dat) zahrnutých do řešení, části informačního systému, organizační složky (lokality) společnosti, části významného okolí společnosti (např. dceřiné společnosti, dodavatelé, partneři)[6]. 3.7.1 Bezpečnostní politika celé společnosti Bezpečnostní politika celé společnosti zásadně zahrnuje bezpečnostní zásady a směrnice pro organizaci jako celek. Bezpečnostní politiky společnosti musí odrážet širší politiky společnosti, včetně těch, které se zabývají právy jednotlivců, právními požadavky a normami[5]. 12

3.7.2 Bezpečnostní politika IT celé společnosti 3.8. POJETÍ ŘÍZENÍ BEZPEČNOSTI IT Bezpečnostní politika IT celé společnosti musí odrážet základní bezpečnostní zásady a směrnice aplikovatelné na bezpečnostní politiku společnosti a všeobecné používání systémů IT uvnitř organizace[5]. 3.7.3 Bezpečnostní politika systémů IT Bezpečnostní politika systémů IT musí odrážet bezpečnostní zásady a směrnice obsažené v bezpečnostní politice IT společnosti. Měla by také obsahovat podrobnosti specifických bezpečnostních požadavků a ochranných opatření, které mají být implementovány, a návod jak je správně používat, aby byla zajištěna adekvátní bezpečnost. Ve všech případech je důležité, aby přijatý přístup byl efektivní v relaci k obchodním potřebám organizace[5]. 3.8 Pojetí řízení bezpečnosti IT Řízení bezpečnosti IT je proces, používaný k dosažení a udržování příslušných úrovní důvěrnosti, integrity, dostupnosti, nepopiratelnosti, individuální odpovědnosti, autenticity a spolehlivosti. Funkce řízení bezpečnosti IT zahrnují: stanovení organizačních cílů, strategií a politik bezpečnosti IT determinaci organizačních požadavků na bezpečnost IT, identifikaci a analýzu bezpečnostních hrozeb vůči aktivům IT uvnitř organizace, identifikaci a analýzu rizik specifikaci příslušných ochranných opatření, monitorování implementace a činnosti ochranných opatření, která jsou nezbytná za účelem sledování nákladů k efektivní ochraně informací a služeb uvnitř organizace, vývoj a implementaci programu dosažení povědomí o bezpečnosti, a detekování a reakci na incidenty[5]. Tento proces řízení bezpečnosti IT je definován normou ČSN ISO/EIC TR 13335-1. Následná norma ČSN BS 7799-2 tento koncept rozšiřuje o model Systému řízení bezpečnosti informací (ISMS) viz. následující kapitola. 13

3.8. POJETÍ ŘÍZENÍ BEZPEČNOSTI IT Typ/dopad hrozby dostupnost důvěrnost integrita nepopiratelnost Hrozby prostředí Blesk x Písečná bouře x Povodeň x Sněhová bouře x Sopečný výbuch x Tornádo x Tsunami x Zemětřesení x Lidské Hrozby Úmyslné Falešný poplach x Krádež x x x Nabourání systému x x x x Odposlech x x Podvod x x x x Stávka x Únik informací x x Válka x Vandalismus x x x x Změna informace x x x x Náhodné Chyba hardware x x x Chyba software x x x x Lidská chyba x x x x Požár x Únik informací x x Výpadek proudu x x Výpadek telekomunikace x Tabulka 3.1: Přehled hrozeb a hlediska kvalifikace dopadu 14

KAPITOLA 4 SYSTÉM ŘÍZENÍ BEZPEČNOSTI INFORMACÍ Systém managementu bezpečnosti informací je část celkového systému managementu organizace založená na přístupu organizace k rizikům činností, která je zaměřena na ustanovení, zavádění, provoz, monitorování, přezkoumání, udržování a soustavné zlepšování bezpečnosti informací. Obrázek 4.1: Pokrytí oblastí definované v ISMS ISMS je navržen tak, aby zajistil odpovídající a přiměřená bezpečnostní opatření chránící informační aktiva a poskytující odpovídající jistotu zainteresovaným stranám.[4]. 4.1 Normy Systémy managementu bezpečnosti informací prodělávají v posledních letech bouřlivý vývoj, který se promítá i do oblasti normalizace. Mezinárodní normy 15

4.1. NORMY pro systémy managementu bezpečnosti informací patří mezi základní soubory norem technické normalizace, národní i mezinárodní. Bezpečnostní normy jsou důležitým prvkem informační bezpečnosti, který dovoluje sjednotit formu bezpečnostních opatření a přístupů k informační bezpečnosti. Vysoká míra současné normalizační aktivity je momentem, který přispívá k prohlubování informační bezpečnosti. Na jaře roku 2005 oznámila ISO (Mezinárodní organizace pro normalizaci) zavedení nové řady norem v oblasti bezpečnosti informací pod označením ISO/IEC 27000. Cílem této řady norem označených ISO/IEC 27000 je sjednotit požadavky, návody a doporučení na systémy řízení informační bezpečnosti, které se vyskytují v různých normách. Základní/sjednocující normou je ISO/IEC 27001:2005. Tuto normu doplňují další normy v téže řadě. Přehled základních norem řady ISO/IEC 27000: ISO/IEC 27000 Slovník a definice v oblasti ISMS je terminologickou normou pro tuto řadu norem. ISO/IEC 27001:2005 Požadavky na systémy managementu bezpečnosti informací. Původně známa pod označením jako BS 7799-2. Podle této normy se postupuje při certifikacích ISMS. ISO/IEC 27002 popisuje sadu bezpečnostních opatření, které musí organizace provést při implementaci ISMS. Původně označena jako ISO/IEC 17799. ISO/IEC 27003 poskytuje návod k implementací ISMS. ISO/IEC 27004 (Information security management metrics and measurements) popisuje management měření a metrik v ISMS. Poskytuje návod, jak uplatňovat metody měření, vhodné ukazatele (metriky) při implementaci ISMS a poskytuje návod, jakým způsobem je zvolit. ISO/IEC 27005 (Information Security Risk) připravovaná norma, která bude popisovat požadavky a principy managementu rizik v ISMS. Vychází z britské normy BS 7799-3:2005. ISO/IEC 27006 (Guidelines for information and communications technology disaster recovery services) popisuje metody a požadavky na služby havarijní obnovy[?]. Aktuální stav norem této řady je těžké přesně postihnout, nebot velké množství norem je ve stádiu přípravy nebo schvalování, více viz. <http://en.wikipedia. org/wiki/iso/iec_27000-series>. Další relevantní normy v oblasti bezpečnosti informací je řada ISO/IEC TR 13335Informační technologie - Směrnice pro řízení bezpečnosti IT, jež je odkazována z aktuálních norem řady ISO/IEC 27000 a hlavně z dřívějších norem (BS 7799-2, ISO/IEC 17799). Řada norem ISO/IEC 27000 je také propojena s normami 16

4.2. MODEL PCDA ČSN EN ISO 9001:2001 Systémy managementu jakosti - Požadavky a ČSN EN ISO 19011:2003 (ISO 19011:2002) Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu, aby bylo podpořeno jejich konzistentní a jednotné zavedení a provoz. 4.2 Model PCDA Pro zavádění a řízení procesů ISMS je užit známý model PCDAPlan-Do-Check- Act (Plánuj-Dělej-Kontroluj-Jednej), který je znázorněn na obrázku 1. Obrázek 4.2: PCDA model aplikovaný na ISMS procesy 4.2.1 Plánuj (ustavení ISMS) Ustavení bezpečnostní politiky, plánů, cílů, procesů a postupů souvisejících s řízením rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace. 17

4.2.2 Dělej (zavádění a provozování ISMS) 4.3. USTAVENÍ A ŘÍZENÍ ISMS Zavedení a využívání bezpečnostní politiky, kontrol, procesů a postupů. 4.2.3 Kontroluj (monitorování a přezkoumání ISMS) Posouzení, kde je to možné i měření výkonu procesu (resp. jeho funkčnosti a efektivnosti) vůči bezpečnostní politice, cílům a praktickým zkušenostem a hlášení výsledků vedení organizace k přezkoumání. 4.2.4 Jednej (udržování a zlepšování ISMS) Provedení opatření k nápravě a preventivních opatření, založených na výsledcích přezkoumání systému managementu ze strany vedení organizace tak, aby bylo dosaženo neustálého zlepšování ISMS. 4.3 Ustavení a řízení ISMS 4.3.1 Ustavení ISMS Organizace musí provést následující. 1. Určit rozsah a hranice ISMS na základě posouzení specifických rysů činností organizace, jejího uspořádání, struktury, umístění (lokality), aktiv a technologií, včetně důvodů pro vyjmutí z rozsahu ISMS. 2. Definovat politiku ISMS na základě posouzení specifických rysů činností organizace, její struktury, umístění, aktiv a technologií, která: (a) zahrnuje rámec pro stanovení jejích cílů a ustavuje celkový směr řízení a rámec zásad činností týkající se bezpečnosti informací; (b) bere v úvahu požadavky týkající se činností organizace a zákonné nebo regulatorní požadavky a smluvní bezpečnostní závazky; (c) pro vybudování a údržbu ISMS vytváří potřebné vazby na prostředí, tedy na strategii organizace, její organizační strukturu a proces managementu rizik; (d) stanovuje kritéria, kterými bude hodnoceno riziko; (e) byla schválena vedením. 3. Stanovit přístup organizace k hodnocení rizik (a) identifikovat metodiku hodnocení rizik, která vyhovuje ISMS a stanovené bezpečnosti informací, zákonným a regulatorním požadavkům. 18

4.3. USTAVENÍ A ŘÍZENÍ ISMS (b) vytvořit kritéria pro akceptaci rizik a identifikovat jejich akceptační úrovně. Vybraná metodika hodnocení rizik musí zajistit, že jsou výsledky hodnocení rizik porovnatelné a reprodukovatelné. 4. Identifikovat rizika. (a) identifikovat aktiva v rámci rozsahu ISMS a jejich vlastníky. 1 (b) identifikovat hrozby pro tato aktiva. (c) identifikovat zranitelnosti, které by mohly být hrozbami využity. (d) identifikovat jaké dopady na aktiva by mohla mít ztráta důvěrnosti, integrity a dostupnosti. 5. Analyzovat a vyhodnocovat rizika. (a) posoudit dopady na činnost organizace, které by mohly vyplynout ze selhání bezpečnosti s tím, že vezme v úvahu případné následky ztráty důvěrnosti, integrity nebo dostupnosti aktiv. (b) posoudit reálnou pravděpodobnost selhání bezpečnosti, které by se mohlo vyskytnout působením existujících hrozeb a zranitelností a dopady na konkrétní aktiva s přihlédnutím k aktuálně zavedeným opatřením. (c) odhadnout úrovně rizik. (d) určit, zda jsou rizika akceptovatelná nebo vyžadují zvládání podle kritérií stanovených v 4.3.1 c) 2). 6. Identifikovat a vyhodnotit varianty pro zvládání rizik. Možné činnosti zahrnují: (a) aplikování vhodných opatření; (b) vědomé a objektivní akceptování rizik za předpokladu, že zřetelně naplňují politiky organizace a kritéria pro akceptaci rizik. (c) vyhnutí se rizikům; (d) přenesení rizik spojených s činností organizace na třetí strany, např. na pojišt ovny, dodavatele. 1. Vlastníkem je myšlen jednotlivec jemuž byla vedením přidělena odpovědnost za produkci, vývoj, údržbu, použití a bezpečnost aktiv, neznamená to však, že by byl jejich skutečným vlastníkem, měl k nim vlastnická práva. 19

4.3. USTAVENÍ A ŘÍZENÍ ISMS 7. Vybrat cíle opatření a jednotlivá bezpečnostní opatření pro zvládání rizik Z Přílohy A normy ISO/IEC 27001:2005 musí být vybrány a implementovány vhodné cíle opatření a jednotlivá bezpečnostní opatření a tento výběr musí být zdůvodněn na základě výsledků procesů hodnocení a zvládání rizik 2. Při výběru musí být zohledněna kritéria pro akceptaci rizik, stejně jako zákonné, regulatorní a smluvní požadavky. Cíle opatření a jednotlivá bezpečnostní opatření uvedená v Příloze A nejsou vyčerpávající, mohou tedy být určeny i další cíle opatření a jednotlivá opatření. 8. Získat souhlas vedení organizace s navrhovanými zbytkovými riziky. 9. Získat povolení ze strany vedení organizace k zavedení a provozu ISMS. 10. Připravit Prohlášení o aplikovatelnosti 3, které musí obsahovat následující: (a) cíle opatření a jednotlivá bezpečnostní opatření a důvody pro jejich výběr; (b) cíle opatření a jednotlivá bezpečnostní opatření, která jsou již v organizaci implementována; (c) vyloučené cíle opatření a jednotlivá bezpečnostní opatření uvedená v Příloze A, včetně zdůvodnění pro jejich vyloučení[4]. 4.3.2 Zavádění a provozování ISMS Organizace musí provést následující: 1. Formulovat plán zvládání rizik, který vymezí odpovídající činnost vedení, zdroje, odpovědnosti a priority pro management rizik bezpečnosti informací 2. Zavést plán zvládání rizik tak, aby dosáhla identifikovaných cílů opatření, přičemž vezme v úvahu finanční zdroje a přiřazení rolí a odpovědností. 3. Zavést bezpečnostní opatření pro dosažení (naplnění) cílů těchto opatření. 2. Příloha A normy ISO/IEC 27001:2005 obsahuje ucelený seznam cílů opatření a jednotlivých bezpečnostních opatření, které byly shledány jako obecně použitelné pro všechny typy organizací. Seznam poskytuje uživatelům důležité vodítko pro zajištění toho, aby nebyla opomenuta nebo přehlédnuta žádná z důležitých opatřeni. 3. Prohlášení o aplikovatelnosti poskytuje souhrn rozhodnutí jakým způsobem bude naloženo s identifikovanými riziky. Zdůvodnění pro vyloučení cílů opatření a jednotlivých opatření poskytuje zpětnou kontrolu, zda nebyly vyloučeny omylem. 20

4.3. USTAVENÍ A ŘÍZENÍ ISMS 4. Určit jakým způsobem bude měřit účinnost vybraných opatření nebo skupin opatření a stanovit jakým způsobem budou tato měření použita k vyhodnocení účinnosti opatření tak, aby závěry hodnocení byly porovnatelné a opakovatelné. 4 5. Zavést programy školení a programy zvyšování informovanosti. 6. Řídit provoz ISMS. 7. Řídit zdroje ISMS. 8. Zavést postupy a další opatření pro rychlou detekci a reakci na bezpečnostní události a postupy reakce na bezpečnostní incidenty. 4.3.3 Monitorování a přezkoumání ISMS Organizace musí provést následující: 1. Monitorovat, přezkoumávat a zavést další opatřeni: (a) pro včasnou detekci chyb zpracování; (b) pro včasnou identifikaci úspěšných i neúspěšných pokusů o narušení bezpečnosti a detekci bezpečnostních incidentů; (c) umožňující vedení organizace určit, zda bezpečnostní aktivity prováděné pověřenými osobami nebo pro které byly implementovány technologie, fungují podle očekávání; (d) umožňující detekci bezpečnostních událostí a zabránění tak vzniku bezpečnostních incidentů; a (e) umožňující vyhodnocení účinnosti činností podniknutých při narušení bezpečnosti. 2. Pravidelně přezkoumávat účinnost ISMS (včetně splnění politiky ISMS, cílů a přezkoumání bezpečnostních opatření) s ohledem na výsledky bezpečnostních auditů, incidentů, výsledků měření účinnosti opatření, návrhů a podnětů všech zainteresovaných stran. 3. Měřit účinnost zavedených opatření pro ověření toho, že byly naplněny požadavky na bezpečnost. 4. V plánovaných intervalech provádět přezkoumání hodnocení rizik a přezkoumávat zbytková rizika a úroveň akceptovatelného rizika s ohledem na změny: 4. Měření účinnosti opatření poskytuje vedení organizace a zaměstnancům informaci o tom, jak jednotlivá opatření naplňují plánované cíle opatření. 21

(a) organizace; (b) technologií; (c) cílů činností organizace a procesů; (d) identifikovaných hrozeb; (e) účinnosti zavedených opatření; 4.3. USTAVENÍ A ŘÍZENÍ ISMS (f) regulatorního a právního prostředí, změny vyplývající ze smluvních závazků, změny sociálního klimatu. 5. Provádět interní audity ISMS 5 v plánovaných intervalech. 6. Na úrovni vedení organizace pravidelně přezkoumávat ISMS aby se zajistilo, že jeho rozsah je i nadále odpovídající a že se daří nacházet možnosti zlepšení. 7. Aktualizovat bezpečnostní plány s ohledem na závěry monitorování a přezkoumání. 8. Zaznamenávat všechny činností a události, které by mohly mít dopad na účinnost nebo výkon ISMS. 4.3.4 Udržování a zlepšování ISMS Organizace musí pravidelně provádět následující: 1. Zavádět identifikovaná zlepšení ISMS. 2. Provádět odpovídající nápravné a preventivní činnosti v souladu s 8.2 a 8.3 s využitím jak vlastních zkušeností v oblasti bezpečnosti, tak i zkušeností jiných organizací. 3. Projednávat činnosti a návrhy na zlepšení na požadované úrovni detailu se všemi zainteresovanými stranami a domluvit další postup. 4. Zaručit, že zlepšení dosáhnou předpokládaných cílů. 5. Interní audity jsou prováděny přímo organizací nebo ve spolupráci s externími auditory. Jejich cílem může být například prověření systému managementu před samotným certifikačním auditem. 22

4.4 Požadavky na dokumentaci 4.4. POŽADAVKY NA DOKUMENTACI Dokumentace musí obsahovat záznamy o rozhodnutích učiněných vedením a musí zajistit, že veškeré činnosti jsou zpětně identifikovatelné v politikách a dohledatelné v záznamech o rozhodnuti vedením, aby se zajistila jejich opakovatelnost. 6 Je důležité mít dokumentován a na požádání doložit vztah mezi vybranými opatřeními a závěry z procesů hodnocení a zvládání rizik a následně vazbu zpět na politiku a cíle ISMS. 4.4.1 Všeobecně Dokumentace ISMS musí obsahovat následující: 7 1. dokumentovaná prohlášení politiky a cílů ISMS. 2. rozsah ISMS. 3. postupy a opatření podporující ISMS. 4. popis použitých metodik hodnocení rizik. 5. zprávu o hodnocení rizik. 6. plán zvládání rizik. 7. dokumentované postupy 8 nezbytné pro zajištění efektivního plánování, provozu a řízení procesů bezpečnosti informací organizace a popis toho jakým způsobem měřit účinnost zavedených opatření. 8. záznamy vyžadované normou ISO 207001 9. prohlášení o aplikovatelnosti. 4.4.2 Řízeni dokumentů Dokumenty požadované ISMS musí být chráněny a řízeny. Musí být vytvořen dokumentovaný postup tak, aby vymezil řídící činnosti potřebné ke: 1. schvalování obsahu dokumentů před jejich vydáním; 6. Dokumenty a záznamy mohou být v jakékoliv formě a na jakémkoliv nosiči. 7. Rozsah dokumentace ISMS se může pro jednotlivé organizace lišit, závisí na: velikosti organizace a typu její činnosti; rozsahu a složitosti systému, který je řízen a na požadavcích na bezpečnost. 8. Termín dokumentovaný postup znamená, že je tento postup vytvořen, dokumentován, zaveden a udržován. 23

4.5. ODPOVĚDNOST VEDENÍ 2. přezkoumání dokumentů, popřípadě jejich aktualizaci a opakovanému schvalování; 3. zajištění identifikace změn dokumentů a aktuálního stavu revize dokumentů; 4. zajištění dostupnosti příslušných verzí aplikovatelných dokumentů v místech jejich používání; 5. zajištění čitelnosti a snadné identifikovatelnosti dokumentů; 6. zajištění dostupnosti dokumentů pro všechny, kteří je potřebují, zajištění přenášení, ukládání a likvidace dokumentů v souladu s postupy odpovídajícími jejich klasifikaci; 7. zajištění identifikace dokumentů externího původu; 8. zajištění řízené distribuce dokumentů; 9. zabránění neúmyslnému použití zastaralých dokumentů; 10. aplikování jejich vhodné identifikace pro případ dalšího použití. 4.4.3 Řízení záznamů Záznamy musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě s požadavky a o efektivním fungování ISMS. Záznamy musí být chráněny a řízeny. ISMS musí zohlednit všechny příslušné právní nebo regulatorní požadavky a smluvní závazky. Záznamy musí zůstat čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů musí být dokumentována. Musí být udržovány záznamy o výkonu procesu budování a řízení ISMS, jak je popsáno v 4.3 Dále musí být udržovány záznamy o všech výskytech bezpečnostních incidentů, vztahujících se k ISMS. 4.5 Odpovědnost vedení 4.5.1 Závazek vedení Vedení organizace musí poskytnout důkazy o své vůli k ustavení, zavedení, provozu, monitorování, přezkoumání, udržování a zlepšování ISMS tak, že: 1. ustanoví politiku ISMS; 2. zajistí stanovení cílů ISMS a plánu jejich dosažení; 3. stanoví role, povinnosti a odpovědnosti v oblasti bezpečnosti informací; 24

4.5. ODPOVĚDNOST VEDENÍ 4. propaguje v rámci organizace význam plnění cílů bezpečnosti informací, jejich souladu s politikou bezpečnosti informací, odpovědností vyplývajících ze zákona a potřebu soustavného zlepšování; 5. zajistí dostatečné zdroje pro ustavení, zavedení, provoz, monitorování, přezkoumání, údržbu a zlepšování ISMS. 6. stanoví svým rozhodnutím kritéria pro akceptaci rizik a akceptovatelnou úroveň rizika; 7. zajistí provádění interních auditů ISMS; 8. provede přezkoumání ISMS vedením. 4.5.2 Zajištění zdrojů Organizace musí určit a zajistit zdroje potřebné pro: 1. ustavení, zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování ISMS; 2. zajištění podpory požadavků činností organizace postupy bezpečnosti informací; 3. identifikace a věnování náležité pozornosti zákonným a regulatorním požadavkům a smluvním bezpečnostním závazkům; 4. udržování odpovídající úrovně bezpečnosti správnou aplikací všech zavedených opatření; 5. provedení přezkoumání podle potřeby a zajištění odpovídajících reakcí na jejich výsledky; 6. zlepšení účinnosti ISMS podle potřeby. 4.5.3 Školení, informovanost a odborná způsobilost Organizace musí zajistit, aby zaměstnanci, kterých se týkají povinnosti definované v ISMS, byli odborně způsobilí k výkonu požadovaných úkolů. Zajišt uje to pomocí: 1. určení nezbytné odborné způsobilosti personálu vykonávajícího práci ovlivňující ISMS; 2. zajištění odpovídajícího školení nebo podniknutí jiných kroků (např. zaměstnání kvalifikovaného personálu); 25

4.6. INTERNÍ AUDITY ISMS 3. vyhodnocení účinnosti zajištěného školení a provedených činností; a 4. udržování záznamů o vzdělávání, školení, dovednostech, zkušenostech a kvalifikačních předpokladech Organizace musí také zajistit, aby si byl veškerý příslušný personál vědom závažnosti a významu svých činností v rámci bezpečnosti informací a svého přínosu k dosažení cílů ISMS. 4.6 Interní audity ISMS Organizace musí provádět interní audity ISMS v plánovaných intervalech, aby určila, zda cíle opatření, jednotlivá bezpečnostní opatření, procesy a postupy ISMS: 1. vyhovují požadavkům této normy a odpovídajícím zákonným nebo regulatorním požadavkům; 2. vyhovují identifikovaným požadavkům na bezpečnost informací; 3. jsou zavedeny a udržovány efektivně; 4. fungují tak, jak se očekává. Program auditů musí být naplánován s ohledem na stav a význam auditovaných procesů a oblastí a s ohledem na výsledky předchozích auditů. Musí být definována kritéria auditů, jejich rozsah, četnost a metody. Výběr auditorů a vlastní provedení auditů musí zajistit objektivitu a nestrannost procesu auditu. Auditoři nesmí auditovat (prověřovat) svou vlastní práci. Odpovědnosti a požadavky na plánování a provedení auditů, na hlášení výsledků a udržování záznamů musí být definovány dokumentovaným postupem. Vedoucí zaměstnanci odpovědní za oblast, která je předmětem auditu, musí zajistit, že kroky na odstranění zjištěných nedostatků a jejich příčin jsou prováděny bez zbytečného odkladu. Tyto kroky musí obsahovat zpětnou kontrolu a hlášení o výsledcích této kontroly (viz kapitola 8) 4.7 Přezkoumání ISMS vedením organizace Vedení organizace musí provádět přezkoumání ISMS organizace v plánovaných intervalech (alespoň jednou za rok), aby zajistilo jeho permanentní přiměřenost, adekvátnost a účinnost. Tato přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS, včetně bezpečnostní politiky a cílů bezpečnosti. Výsledky přezkoumání musí být jasně zdokumentovány a musí být o nich udržovány záznamy. 26

4.7.1 Vstup pro přezkoumání 4.7. PŘEZKOUMÁNÍ ISMS VEDENÍM ORGANIZACE Vstupy pro přezkoumání vedením organizace musí zahrnovat informace o: 1. výsledcích auditů a přezkoumání ISMS; 2. zpětné vazbě od zainteresovaných stran; 3. technikách, produktech nebo postupech, které by mohly být použity v organizaci ke zlepšení výkonu a účinnosti ISMS; 4. stavu preventivních opatření a stavu opatření k nápravě; 5. zranitelnostech nebo hrozbách, jimž nebyla v rámci předchozích přezkoumání rizik věnována náležitá pozornost; 6. závěrech měření účinnosti zavedených opatření; 7. činnostech, které následovaly po předchozím přezkoumání vedením organizace; 8. změnách, které by mohly ovlivnit ISMS; 9. doporučeních pro zlepšení. 4.7.2 Výstup z přezkoumání Výstup z přezkoumání prováděného vedením organizace musí zahrnovat jakákoli rozhodnutí a činnosti vztahující se ke: 1. zvyšování účinnosti ISMS; 2. aktualizaci hodnocení rizik a plánu zvládání rizik; 3. nezbytným změnám postupů v bezpečnosti informací, v reakci na vnitřní nebo vnější události, které by mohly mít vliv na ISMS. Změny se mohou týkat: (a) požadavků spojených s činností organizace; (b) bezpečnostních požadavků; (c) procesů ovlivňujících existující požadavky spojené s činností organizace; (d) regulatorních nebo zákonných požadavků; (e) smluvních závazků; (f) úrovní rizika a/nebo úrovní akceptovatelnosti rizika. 4. potřebě zdrojů; 5. zlepšování postupů měření účinnosti opatřeni 27

4.8 Zlepšování ISMS 4.8. ZLEPŠOVÁNÍ ISMS 4.8.1 Neustálé zlepšování Organizace musí neustále zvyšovat účinnosti ISMS s využitím politiky bezpečnosti informací, cílů bezpečnosti informací, výsledků auditů, analýz monitorovaných událostí, nápravných a preventivních opatření a přezkoumání prováděných vedením organizace. Obrázek 4.3: Výsledná struktura ISMS 4.8.2 Opatření k nápravě Organizace musí přijmout příslušná opatření pro odstranění nedostatků spojených s implementací a provozem ISMS, aby zabránila jejich opětovnému výskytu. Zdokumentované postupy nápravných opatření musí definovat požadavky na: 1. identifikaci nesouladu v zavedení a/nebo provozu ISMS; 2. určení příčin nesouladu; 3. vyhodnocení potřeby opatření, kterým se zajistí, že se nesoulad znovu nevyskytne; 4. určeni a zavedení potřebných opatření k nápravě; 5. zaznamenání výsledků přijatých opatření. 6. přezkoumání přijatých opatření k nápravě. 28

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář