Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Audit informační bezpečnosti Diplomová práce Autor: Zdeněk Břicháček Informační technologie a management Vedoucí práce: doc. Ing. Vlasta Svatá, CSc. Praha červen, 2011 1
Prohlášení Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Praze, dne 16. 6. 2011 Zdeněk Břicháček 2
Poděkování Na tomto místě bych rád poděkoval vedoucí práce, paní doc. Ing. Vlastě Svaté, CSc., za její cenné rady, a nasměrování při definování rozsahu a obsahu práce. 3
Anotace Diplomová práce popisuje informační bezpečnost v prostředí informačních a komunikačních technologií vycházející z Demingova modelu PDCA a opírajícího se o normativní rámec ISO/IEC 27000. Současně provádí rozbor jednotlivých fází v systému řízení informační bezpečnosti a analýzu rizik. Annotation This thesis describes the information security in the information and communication technology based on the Deming s PDCA model and a normative framework of ISO/IEC 27000. There is also analysis at different stages of information security management systems and risk analysis. 4
Obsah Úvod 8 1. Informační bezpečnost 9 1.1. Bezpečnostní atributy 11 1.2. Bezpečnostní principy 12 1.3. Bezpečnostní politika 13 1.4. Klasifikace aktiv 17 1.4.1. Informační aktiva 18 1.4.2. Neinformační aktiva 20 1.4.3. Lidské zdroje 22 2. Normy a legislativa 23 2.1. Historie norem pro řízení informační bezpečnosti 24 2.2. Normy pro řízení informační bezpečnosti 24 2.3. Legislativa v České republice a Evropské unii 29 3. Analýza a řízení rizik 30 4. Systém řízení informační bezpečnosti (ISMS) 33 4.1. Politika ISMS 33 4.2. Model PDCA 34 4.2.1. Ustanovení ISMS 35 4.2.2. Zavádění a provoz ISMS 36 4.2.3. Monitorování a přezkoumání ISMS 38 4.2.4. Udrţování a zlepšování ISMS 39 4.3. Odpovědnosti, úlohy managementu a zaměstnanců 40 4.4. Metriky ISMS 40 5. Metodiky a pracovní rámce 42 5.1. CRAMM 42 5.2. CobiT 42 5.3. ITIL 43 6. Audit informační bezpečnosti 44 7. Vyuţití softwarových nástrojů 46 8. Telekomunikační systém 47 8.1. Schéma telekomunikačního systému 47 8.2. Řízení rizik 49 5
8.2.1. Východiska 49 8.2.2. Cíle analýzy a řízení rizik 50 8.2.3. Rozsah analýzy a řízení rizik 50 8.2.4. Pouţitá metodika 50 8.2.5. Hodnocení aktiv 51 8.2.5.1. Datová aktiva a sluţby koncovému uţivateli 51 8.2.5.2. Aplikační aktiva 52 8.2.5.3. Fyzická aktiva 53 8.2.6. Modely aktiv 54 8.2.7. Popis aktiv uţívaných v prostředí telekomunikací 54 8.2.8. Sumarizace hodnocení aktiv 59 8.2.9. Hodnocení hrozeb a zranitelností 59 8.2.10. Výpočet míry rizik 62 8.2.11. Řízení rizik 63 8.2.12. Protiopatření pro zvládání rizik 64 8.2.13. Cíle pro zvládání rizik 66 9. Politiky a směrnice 67 9.1. Bezpečnostní politika 67 9.1.1. Rozsah a cíle bezpečnostní politiky 67 9.1.2. Obsah bezpečnostní politiky 68 9.2. Příručka ISMS 69 9.2.1. Ustanovení ISMS 70 9.2.1.1. Politika ISMS 70 9.2.1.2. Rozsah a hranice ISMS 70 9.2.1.3. Přístup k hodnocení rizik 70 9.2.1.4. Schválení ISMS vedením organizace 71 9.2.2. Zavádění a provoz ISMS 71 9.2.2.1. Provoz ISMS 71 9.2.3.1. Metriky ISMS 73 9.2.4. Udrţování a zlepšování ISMS 73 9.2.5. Řízení dokumentů 74 9.2.6. Odpovědnost vedení 74 9.2.7. Interní audity 75 9.2.8. Přezkoumávání ISMS vedením organizace 75 6
10. Výsledky 76 10.1. Zásady pro budování a provoz systému 76 10.2. Zvyšování bezpečnostního povědomí v organizaci 76 10.3. Manaţerské shrnutí 76 10.4. Deklarace bezpečnostní politiky 77 Závěr 78 Seznam pouţité literatury 79 Seznam zkratek 80 Seznam obrázků 81 Seznam tabulek 81 Přílohy 82 A. Plán implementace ISMS dle ISO/IEC 27001 82 7
Úvod Informační a komunikační technologie se staly neoddělitelnou součástí našich ţivotů. Ať sami pracujeme s výpočetní technikou nebo cestujeme mimo informační svět, informace o našich osobách putují přes mnoţství technologických zařízení. V určitých případech se můţe jednat o velmi důvěrné informace, u kterých je zapotřebí zajistit náleţitou ochranu. A právě zajištěním této ochrany se zabývá mnoţství vydaných standardů, legislativních opatření a poţadavků regulačních orgánů. Úkolem této diplomové práce je popsat informační bezpečnost v prostředí informačních a komunikačních technologií vycházející z Demingova modelu PDCA opírajícího se o normativní rámec ISO/IEC 27000. Současně provést rozbor jednotlivých fází v systému řízení informační bezpečnosti a analýzu rizik. V první části práce je vysvětlen pojem informační bezpečnost se všemi jeho aspekty a atributy. Druhá část osvětluje existenci norem a legislativního rámce jak České republiky, tak Evropské unie a některých dalších důleţitých států a unií. Třetí část popisuje problematiku analýzy a řízení rizik následovaná popisem systému řízení informační bezpečnosti a PDCA jiţ zmíněným cyklem. Závěr teoretické části tvoří představení metodik a pracovních rámců vyuţívaných pro systém řízení informační bezpečnosti, jako jsou ITIL a CobiT, a informace o průběhu auditu systému řízení informační bezpečnosti. Praktická část přibliţuje obecný telekomunikační systém GSM se všemi jeho elementy a provádí praktickou aplikaci analýzy rizik a PDCA cyklu vztaţené právě na telekomunikační systém. Samotný závěr zahrnuje manaţerské shrnutí a deklaraci informační bezpečnosti, kterou vydává vedení organizace. 8
1. Informační bezpečnost Informace jsou komoditou, jejíţ důleţitost a hodnota jsou pro moderní podnik stejně velké a často i větší neţ další vyuţívané komodity. Informační bezpečnost představuje ochranu informace před širokým spektrem moţných hrozeb ve všech jejích formách a po celý její ţivotní cyklus. Tato ochrana tedy pokrývá část vzniku, zpracování, přenosu, uchování a samozřejmě i likvidaci či znehodnocení informace. Z pohledu informační bezpečnosti jsou informace chráněny bez ohledu na jejich umístění a formu. Mohou tedy být uloţeny v informačním systému, vytištěné na papíře nebo mohou být jako známý fakt předávány ústně. Na informace je z pohledu informační bezpečnosti nahlíţeno jako na podniková aktiva. Informace jsou aktiva, které stejně jako ostatní důležitá obchodní aktiva, mají pro organizaci hodnotu, a proto potřebují být dostatečně chráněna [7] S informacemi můţe být nakládáno různým způsobem. Informace můţe být vytvořena, uchována, zpracována, přenesena, vyuţita, poškozena ztracena, ukradena ale také zničena. Pro ochranu informací je důleţité si poloţit několik zásadních otázek. První z nich je definice co chránit. Kaţdá informace má svoji důleţitost a relevanci, existenční prostředí, cenu a klasifikaci. Dále je nutné vědět, proč informaci chránit. Kaţdé ohroţení informace můţe mít negativní důsledky vzniklé bezpečnostní události. Důleţitá je i určení časového rámce nebo platnost takového ohroţení, zda se jedná o dopad krátkodobý či dlouhodobý. V takovém případě je ve většině případů nutné případné dopady vyčíslit. Identifikované dopady mohou náleţet do několika kategorií. Mohou mít za následek ohroţení zdraví nebo dokonce ţivotů, finanční ztráty, mohou vést k porušení legislativy, ztrátě dobrého jména, důvěry zákazníků a partnerů, ohroţení pozice na trhu a dokonce vést k ohroţení existence podniku. Nutnou identifikací je i specifikace proti jakým hrozbám informace chránit, tedy jaké bezpečnostní události vedou k narušení informační bezpečnosti a jaké povahy takový incident můţe být. Poslední otázkou je, jakým způsobem budeme informace účinně chránit. Tato ochrana zahrnuje určení cílů, strategie, základní koncept ochrany, jakým je bezpečnostní politika, realizace systému řízení informační bezpečnosti, monitorování provozu a současně jeho vyhodnocování a periodické kontroly. Prostředky a nástroji realizace ochrany informací mohou být jak bezpečnostní funkce, tedy způsoby zajištění protiopatření, tak bezpečnostní mechanismy, jakými jsou různá technologická řešení. 9
Následující Obrázek 1 zobrazuje vztahy v rámci informační bezpečnosti. Obrázek zachycuje, jakým způsobem jsou ovlivněny všechny prvky informační bezpečnosti. Tzn., čím jsou bezpečnostní rizika posilovány či naopak oslabovány. Hrozby ukazují Zranitelnosti ochrana před zvyšují zvyšují ohrožují Bezpečnostní mechanismy snižují Rizika Informace plní indikují zvyšují mají Bezpečnostní funkce Hodnoty Obrázek 1 Návaznosti v informační bezpečnosti Rizikem je myšlena moţnost, ţe hrozba vyuţije zranitelnosti informace a způsobí škodu nebo ztrátu. Hrozba můţe potenciálně poškodit podnik, IT systém nebo komunikační zařízení. Zranitelnost představuje slabost, která můţe být zneuţita hrozbou [8]. Informační bezpečnost je de facto proces, který by měl být stále a vědomě řízen, kontrolován a vylepšován za účelem zajištění kontinuity podnikání, minimalizace obchodních ztrát a zvyšování či urychlování návratnosti investic a obchodních příleţitostí. Informační bezpečnost není něco, co se koupí, je to něco, co je děláno. Proces zavádění systému informační bezpečnosti probíhá v několika definovaných a popsaných etapách, kde má kaţdá z etap předepsané vstupy, kterými mohou být dokumenty nebo také vzájemná konzultace, výstupy a nechybí ani terminování zahájení a ukončení jednotlivých etap. Obrázek 2 zahrnuje tyto etapy. Analýza rizik definice aktiv a seznamu hrozeb Bezpečnostní audit kontrola, aktualizace Informační bezpečnost Bezpečnostní politika cíle a protiopatření Implementace protiopatření zavedení procesů Obrázek 2 Proces systému řízení informační bezpečnosti 10
Analýza rizik je základní aktivitou procesu. Cílem je vytvoření dokumentu s definovanými situacemi, pravděpodobnostmi a vzniklými riziky. Na základě výstupů je moţné s určitostí definovat konkrétní mechanismy a určit jejich nezbytnost, anebo naopak nadbytečnost. Bezpečností politika obsahuje soubor pravidel, opatření a postupů, jejímţ úkolem je zabezpečit informační bezpečnost na poţadované úrovni, s přihlédnutím k minimalizaci spotřeby zdrojů, tady k nákladové efektivitě. Bezpečnostní politika odpovídá na otázky vztahující se k principu odpovědnosti, principu efektivity, určení časového rámce účinnosti a vynucení a způsob uvedení do praxe. Implementace protiopatření obsahuje studii bezpečnostních opatření a jejich zavedení do praxe. Bezpečnostní politika obsahuje obecné prvky informační bezpečnosti, které je nutné před zavedení přeformulovat a upravit. Tato etapa zahrnuje plány nákupu hardware, software, proškolení zaměstnanců, plán tvorby pravidel, konfigurační změny apod. Implementační studie je pro kaţdé konkrétní prostředí jedinečná. Bezpečnostní audit periodicky ověřuje stav implementace bezpečnostní politiky a její správné naplňování. Toto opakující se ověřování je nutné i z důvodu neustále se měnícího prostředí uvnitř podniku nebo pro zachování shody s lokální i mezinárodní legislativou a normami. 1.1. Bezpečnostní atributy Cíle bezpečnostní politiky lze charakterizovat jako sadu bezpečnostních atributů zajištění ochrany informací. Tyto cíle mohou přímo vést k zajištění informační bezpečnosti, nebo také k zajištění jakosti informačních a komunikačních systémů a nemálo důleţité efektivní vyuţívání zdrojů organizace [5]. Cíli k zajištění atributů informační bezpečnosti mohou být například: důvěrnost/diskrétnost ochrana před neoprávněným čtením osobou či systémem, které nejsou vlastníkem, zpracovatelem ani uţivatelem informace; integrita ochrana před neoprávněnými úpravami či zničením ať jiţ úmyslně nebo při přenosu či uchování informace; dostupnost zajištění moţnosti přístupu a ochrana před jeho neoprávněným zamezením. Je tedy důleţité zachovat přístup k relevantním uloţeným informacím. 11
Dále můţeme zahrnout také: individuální zodpovědnost individuální zodpovědnost nebo také nepopiratelnost je vyloučení moţnosti popřít provedení nějaké operace v minulosti; autenticita ověření informace nebo její autentický původ. Cíle vedoucími k zajištění jakosti: spolehlivost - poskytuje jistotu spolehlivého provozu komplexností, nepřetrţitou dostupností a včasností; efektivita vyjadřuje praktickou účinnost, výkon a vyuţitelnost informace; efektivita je sekundárním kritériem pro posouzení jakosti; jakost kvalita informace a jejího vzniku, zpracování, přenosu, uchování a likvidaci; základem pro informační bezpečnost jsou normy zajištění bezpečnosti, tedy ISO 9000; shoda shodou se rozumí dodrţování příslušných norem, ustálených postupů, metod, standardů a směrnic. 1.2. Bezpečnostní principy Pro informační bezpečnost jsou typické bezpečnostní principy, které jsou následně aplikovány v podniku většinou jako součást komplexního systému řízení informační bezpečnosti. Tyto principy jsou nicméně obecné a lze se s nimi popisně setkat například i ve skupinách norem ISO/IEC 27000 nebo ISO/IEC 20000. princip odpovědnosti - přesně identifikuje individuální jednoznačně stanovenou osobu nebo skupinu osob, které jsou zodpovědné za prosazování a dodrţování stanovených zásad, pravidel a postupů informační bezpečnosti; princip integrace prosazování informační bezpečnosti je řízeno komplexním systémem řízení informační bezpečnosti (ISMS), který integruje a koordinuje činnosti všech dotčených útvarů jak na straně podniku, tak i třetích stran, které jsou účastny; princip znalosti všechny zainteresované strany musí být v přiměřené míře seznámeny se zásadami informační bezpečnosti stanovené bezpečnostní politikou; princip uvědomění všechny zainteresované strany jsou schopny interpretovat a aplikovat stanovenou bezpečnostní politiku podniku; princip kontroly zavádění a dodrţování zásad a postupů informační bezpečnosti musí být pravidelně kontrolováno a zjištěné nedostatky musí být předepsaným způsobem zdokumentovány a následně odstraněny; tyto kontroly mohou být 12
prováděny i formou nezávislého auditu, který důsledně ověří míru a kvalitu realizace a přijatých opatření; princip kontinuity přijatá bezpečnostní opatření musí být uplatňována v celém podniku; princip formalizace prosazování a řízení informační bezpečnosti je spojeno s formalizovanými a jednoznačně definovanými postupy, jejichţ uplatňování je náleţitě dokumentováno; princip efektivity jsou voleny takové postupy a bezpečnostní opatření, která zajišťují maximální účinnost při minimální spotřebě vynakládaných zdrojů; princip nejlepších praktik přijaté postupy a bezpečností opatření jsou uváděny na základě ověřených praktik definovaných skupinami norem a doporučení; princip soustavného rozvoje nasazení informační bezpečnosti počítá se soustavným rozvojem, zkvalitňováním a zvyšováním její úrovně. 1.3. Bezpečnostní politika Bezpečnostní politiku tvoří dokumentace popisující strategii zajišťující informační bezpečnost. Jejím obsahem je pokrytí všech aspektů zabezpečení ochrany organizace v oblasti informační bezpečnosti a zpravidla vychází ze standardů ISO/IEC 27001 a ISO/IEC 2002. Při definici bezpečnostní politiky je důleţité ukázat jasný směr politiky a podporu řízení pro implementaci a správu informační bezpečnosti. Pro zajištění efektivity politiky musí být jasně a srozumitelně komunikována přes celou organizaci. Potřeby politiky musí být podporovány řízením organizace, nastaveny potřebné podpůrné procesy s odpovídajícím technickým rámcem, a vhodně zvoleny autority a prostředky, které slouţí pro dodrţování specifikovaných reakcí v případě ohroţení informační bezpečnosti. Bezpečnostní politika je základem pro kvalitní informační bezpečnosti a je tedy hlavním úkolem zajistit správné zaměření a směr působení jako prvku, který spojuje všechny aspekty řízení informační bezpečnosti. Charakteristiky jakékoli politiky závisí na mnoha faktorech. To bývají zpravidla všeobecně popsány jako kultura organizace. Některé organizace mají silnou podporu vedení a řízení, které můţe mít za následek definici politik, které obsahují striktní definice příkazového charakteru. Příkladem můţe být vyţadování odhlášení z informačních systémů po ukončení pracovní doby. Jiné organizace pouţívají jemnější fráze přesvědčující všechny, jeţ jsou předmětem politiky a objasňující specifické části politiky a vyzívající k jejich 13
dodrţování. Bez ohledu na kulturu nebo styl řízení organizace je účelem politiky informační bezpečnosti pomáhat řídit rizika a zmírňovat je na přijatelnou úroveň. S růstem organizací se stávají předchozí metody komunikace bezpečnostní politiky méně efektivní. Současně roste i tlak legislativy a regulačních orgánů. Pro správné zajištění jejich poţadavků a identifikaci přínosů pro organizaci včetně zvýšení účinnosti a dalšího omezení rizik spojených s informační bezpečností je potřeba: sníţit nesrozumitelnost politik informační bezpečnosti; poskytnout jasný směr řízení a závazků; zavést dohodnuté role a odpovědnosti Posouzení výše uvedených bodů poskytuje prostředky pro řízení nevyhnutelných problémů, které se zpravidla objevují při procesu řízení informací. Toto problémy mohou být vyváţeny potřebou sdílet informace s ohledem na nutnost omezení přístupů k těmto informacím. Politika je výrazem vůle a je potřeba podporovat vznik dalších podřízených politik s ohledem na pragmatické postupy při řízení organizace. Obrázek 3 zachycuje příklad kompletního souboru politik vyuţívaných v organizaci. Bezpečnost Organizační pracovní rámec Společnost Politika informační bezpečnosti Informace Klasifikace informací Třetí strany Přístupy do společnosti Lidské zdroje HR politika Aktiva Klasifikace a řízení Politika BCM Politika fyzické bezpečnosti Řízení provozu Politika kontroly přístupu Směrnice Postupy Procesy Obrázek 3 Příklad kompletního souboru politik v organizaci Existuje mnoho termínů při popisu politiky informační bezpečnosti. Například v USA je běţně vyuţíván termín politika pro dokumenty, které jsou ve Velké Británii označována jako normy. Tato odlišnost terminologie můţe často vést k nedorozumění v rámci organizace působící současně na několika trzích. 14
V našich podmínkách vyuţíváme následující model terminologie: podnikové politiky informační bezpečnosti; konkrétní politiky; normy/specifikace/standardy; postupy. Firemní politika informační bezpečnosti stanovuje záměry a zásady týkající se informační bezpečnosti. Mělo by se jednat o dokument, který bude nadčasového charakteru, coţ znamená, ţe bude politika informační bezpečnosti měněna pouze minimálně. Firemní politika informační bezpečnosti musí: být jasná a jednoznačná; obsahovat prohlášení týkající se: o rozsahu; o legislativní a regulační povinnosti; o role a odpovědnosti; o strategický přístup a principy; o přístup k řízení rizik; o postup v případě porušení politiky. Tato politika musí být schválena na nejvyšší organizační úrovni, například generálním ředitelem, jednatelem nebo jiným statutárním orgánem. V případě specifických politik lze předpokládat, ţe jejich změny budou probíhat častěji neţ v případě firemní politiky informační bezpečnosti. Tyto politiky jsou detailnějšího charakteru, a proto musí jejich obsah efektivně reagovat na měnící se prostředí jak uvnitř organizace, tak i ve vztahu s okolím. Mezi zástupce těchto politik patří: klasifikace informací; řízení přístupu; řízení provozu; řízení incidentů; fyzická bezpečnost; lidské zdroje; přístupy třetích stran; řízení kontinuity provozu. 15
Bezpečnostní standardy poskytují návod vedoucí k definování a přípravě specifických politik a jsou často spojené s konkrétní technologií či sluţbou. Velmi často jsou pouţívané jako reference pro účely auditu a vycházejí zpravidla z: zkušenosti; best practice; interní testování; podnikatelské prostředí; výzkum. Vývoj norem jako takových je nutné sledovat, jelikoţ obsahují odraz aktuálních problémů informační bezpečnosti, jejich předcházení a odstraňování. Postupy jsou definovanou posloupností kroků či proces, které slouţí pro jasné definování, jak lze docílit určitého cílového stavu. Kaţdý postup by měl být: jasný; jednoznačný; proveditelný; aktuální; testovaný; zdokumentovaný. Kaţdá politika, která je v organizaci vytvořena by měla mít určitý zavedený harmonizovaný formát, aby bylo moţné se v kaţdé z těchto politik dobře orientovat. To platí jak pro firemní politiku informační bezpečnosti, tak i pro všechny ostatní politiky a postupy, které z politiky informační bezpečnosti vycházejí. Obecně zavedený formát těchto dokumentů je následující: název politiky identifikace politiky; shrnutí účelu politiky jednoduché a stručné shrnutí účelu politiky, které umoţní čtenáři rychle pochopit účel a působnost; číslo verze a změnový list slouţí pro zajištění komunikace vţdy poslední aktuální platné verze; úvod; definice definice převáţně technických termínů mající vztah k politice a mající specifický význam v kontextu informační bezpečnosti; 16
oblast působnosti definuje skupinu zainteresovaných osob, na které se konkrétní politika vztahuje; definice orgánů včetně legislativních a regulačních identifikuje oblast autorit, které mají na politiku vliv, tedy vedení organizace, legislativa a regulátoři; cíle a základní principy kaţdá politika by měla obsahovat soubor cílů, na které se politika vztahuje a které pomáhají definovat zásady, se kterými se pracuje; role a odpovědnosti role a povinnosti se vztahují na oblast působnosti politiky; politiky část slouţící k popisu a komunikaci konkrétní politiky; další sdělení zde se nejčastěji uvádí reference na další politiky, které jsou touto politikou ovlivněny nebo které ovlivňují tuto politiku. 1.4. Klasifikace aktiv Jedním z kroků zavádění informační bezpečnosti v organizaci je vytvoření seznamu aktiv, která vyţadují ochranu. Taková aktiva jsou následně posouzena z hlediska rizika, klasifikována a zabezpečena. Obrázek 4 zachycuje zjednodušený princip nakládání s aktivy. inventarizace aktiv charakteristika a rizika aktiv klasifikace aktiv řízení ochrany aktiv Obrázek 4 Nakládání s aktivy Má-li být řízení informační bezpečnosti komplexní, je důleţité, aby inventarizace aktiv byla více méně úplná. Nelze přesně definovat obecnou strukturu, která by obsáhla všechna aktiva. Vţdy záleţí na konkrétní organizaci, v rámci které je nutné přizpůsobit inventární seznam konkrétním potřebám. To samozřejmě souvisí i s výchozím bodem inventarizace. Je obecně známým faktem, ţe nejvíce ceněným aktivem v organizaci jsou informace. Proto se často v tomto ohledu hovoří jako o informačních aktivech. V rámci ISO/IEC 27000 jsou aktiva definována jako aktiva čistě informační, aktiva neinformační nebo také aktiva fyzická a lidské zdroje [5]. 17
1.4.1. Informační aktiva Informační aktiva mohou být dále rozdělena na digitální data, hmotný majetek, dlouhodobý nehmotný majetek, aplikační software a operační systémy. Z pohledu klasifikace informačních aktiv lze rozlišovat tato aktiva jako: důvěrné/citlivé únik takových aktiv mimo organizaci můţe mít za následek velké finanční ztráty; přístup k takovým aktivům musí být zajištěn na principu oprávněnosti osoby, tzn., ţe existuje přesně definovaná skupina osob, která můţe s aktivy manipulovat; v případě poskytnutí aktiva třetí osobě, musí být těmito osobami podepsána smlouva o utajení; za důvěrná aktiva jsou povaţována zejména ta aktiva, na která se vztahuje povinnost mlčenlivosti dle zvláštních předpisů; těmito zvláštními právními předpisy jsou zejména zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů a zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů; důvěrnými aktivy jsou také taková aktiva, která jsou předmětem obchodního tajemství organizace; interní pokud dojde k úniku takových aktiv, bude to mít za následek zanedbatelné finanční ztráty. Zveřejnění takových aktiv nesmí způsobit váţné poškození organizace a přístup k takovým aktivům je zpravidla poskytován všem zaměstnancům organizace nebo třetím stranám; veřejné nedostupnost aktiva nebude mít ţádné negativní efekt; pokud takové aktivum unikne mimo organizaci, nezpůsobí takový únik organizaci ţádnou ztrátu; veřejná informační jsou zpravidla označena jako firemní komunikace a schválena příslušným oddělením; na tyto aktiva nejsou kladeny ţádné poţadavky z pohledu jejich zpracování. Na informační aktiva je nutné nahlíţet i z pohledu atributů informační bezpečnosti. Tedy na jejich důvěrnost, integritu a dostupnost. Důvěrnost informačních aktiv se vztahuje k ochraně aktiv před neoprávněným zveřejněním. Dopad neoprávněného zveřejnění důvěrných informačních aktiv můţe být různý pro aktiva týkající se organizace nebo osobních údajů jak zaměstnanců, tak i zákazníků. Proto je definována povinnost mlčenlivosti: nízká informační aktiva nemající povahu důvěrných informačních aktiv; únik takových aktiv nemůţe poškodit organizaci; příkladem mohou být tiskové 18
zprávy, firemní broţury a letáky nebo informace zveřejněné na internetových stránkách; střední informační aktiva týkající se organizace, které nejsou zpřístupněna veřejně a mají povahu interních dokumentů; neoprávněné zveřejnění můţe vést k poškození organizace; příkladem můţe být projektová dokumentace, interní telefonní seznam, atd.; vysoká informační aktiva, která jsou velmi citlivá nebo osobního charakteru; zaměstnanci jsou povinni dodrţovat pravidla ochrany takových aktiv a jsou tedy povinni postupovat tak, aby nedošlo k neoprávněnému nakládání s takto klasifikovanými aktivy; neoprávněné nakládání můţe závaţným způsobem poškodit organizaci; příkladem mohou být informace o cenách, fúze a akvizice, marketingové strategie a informace o zákaznících. Integrita informačních aktiv odkazuje na úplnost a přesnost informací. Ke ztrátě integrity dojde, pokud je informace neoprávněně změněna. Tato změna můţe být provedena úmyslně nebo neúmyslně. Pokud není integrita informačního aktiva opět obnovena, můţe mít vyuţívání obsaţených informací za následek nepřesnosti či chybná rozhodnutí. Míra porušení integrity můţe být rozdělena do následujících skupin: nízká v případě porušení integrity informačních aktiv je zde minimální nebo ţádný dopad na fungování organizace; střední v případě porušení integrity informačních aktiv je zde výrazný dopad na organizaci; vysoká porušení integrity informačních aktiv je zcela nepřípustné. Dostupnost informačních aktiv definuje, jak rychle jsou v případě ztráty poţadované informace potřeba. Obecné zásady pro stanovení kritérií dostupnosti informačních aktiv lze definovat jako: nízká minimální dopad na organizaci v případě, ţe nejsou informační aktiva dostupná aţ 7 dní; střední v tomto případě je značný dopad na organizaci a podnikání, pokud nejsou informační aktiva dostupná do 48 hodin; vysoká informační aktiva jsou bezpodmínečně potřeba na bázi 24x7; jejich ztráta je tedy nepřípustná. 19
1.4.2. Neinformační aktiva V případě neinformačních aktiv jsou tato aktiva vyuţívána pro vytváření, zpracování a uloţení informace. Tato aktiva musí být identifikována a oceněna za účelem vyhodnocení jejich potřeby v rámci příslušných obchodních procesů. Ocenění aktiv, které nejsou informačními aktivy, jako je software, hardware a sluţby, se provádí na základě různých kritérií pro určené skupiny těchto fyzických aktiv. I na neinformační aktiva je nutné nahlíţet z pohledu atributů informační bezpečnosti. Tedy na jejich důvěrnost, integritu a dostupnost. Důvěrnost neinformačních aktiv je takovým faktorem, který dané aktivum v konkrétních procesech organizace zabezpečuje. Lze definovat několik moţností pro rozlišení důvěrnosti neinformačních aktiv: nízká informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má nízké poţadavky na důvěrnost; střední informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má stupeň důvěrnosti identifikován jako střední; vysoká informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má v rámci podnikových procesů identifikován nejvyšší stupeň důvěrnosti. Integrita neinformačních aktiv určuje bezpečnost a spolehlivost jednotlivých aktiv figurujících ve specifických obchodních procesech dle poţadavku na integritu informací. Poţadavky na integritu neinformačních aktiv: nízké závislost a spolehlivost sluţeb poskytujících konkrétní aktivum vzhledem k obchodním procesům je nízká; informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má poţadavky na stupeň důvěrnosti nízký; střední - závislost a spolehlivost sluţeb poskytujících konkrétní aktivum vzhledem k obchodním procesům je střední; informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má střední stupeň poţadavků na důvěrnost; vysoké - závislost a spolehlivost sluţeb poskytujících konkrétní aktivum vzhledem k obchodním procesům je vysoká; informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má vysoký stupeň poţadavků na důvěrnost. 20
Dostupnost neinformačních aktiv se opět určuje na základě dopadu nedostupnosti aktiva v rámci organizace a podnikových procesů. Tato nedostupnost můţe dosahovat následujících stupňů: nízký vliv na dostupnost informačních aktiv v rámci podnikových procesů a informace která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva je nízká; střední - vliv na dostupnost informačních aktiv v rámci podnikových procesů a informace která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva je střední; vysoká - vliv na dostupnost informačních aktiv v rámci podnikových procesů a informace která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva je vysoká. Neinformační aktiva jsou dále klasifikována dle následujících skupin: A. IT aktiva (hardware): i. servery; ii. kritické desktopy; iii. notebooky, mobilní komunikační zařízení; iv. ostatní desktopy; B. síťové komunikační vybavení: i. přepínače, směrovače; ii. firewally; iii. pronajaté datové okruhy; iv. telefonní ústředny; C. software, nástroje: i. operační systémy; ii. aplikace; iii. softwarové nástroje; iv. databáze; D. média: i. záloţní média data; ii. záloţní média OS, aplikace, softwarové nástroje; iii. pracovní kopie OS, aplikace, softwarové nástroje; 21
iv. záloţní média zdrojové kódy; v. archivní média; E. podpůrné sluţby: i. napájení; ii. klimatizace; iii. systém ochrany objektů; iv. poţární systém; v. voda; vi. přístupový systém; vii. únikové cesty, 1.4.3. Lidské zdroje Informační aktiva jsou v rámci organizace zpřístupněna zaměstnanců, stejně jako osobám mimo organizaci, které tato aktiva vyuţívají pro plnění obchodních vztahů. Proto je potřeba identifikovat a popsat všechny osoby, které s takovými aktivy manipulují nebo manipulovat mohou. Analýzu poţadavků konkrétních osob z pohledu informačních aktiv musí provést vlastník příslušného podnikového procesu. Definované lidské zdroje mohou být zaměstnanci, kontraktoři nebo dodavatelé a jejich zaměstnanci. I na lidské zdroje je z pohledu informační bezpečnosti nahlíţeno jako na aktiva s jejich vlastními atributy informační bezpečnosti. Důvěrnost: nízká přístup k informačním aktivům neohrozí zájmy a fungování organizace; z pohledu rolí uvnitř organizace a třetích stran jsou tato aktiva klasifikována jako veřejná; střední přístup k informačním aktivům je omezen a informační aktiva jsou identifikována jako interní; vysoká v tomto případě jsou informační aktiva dostupná pouze velmi omezené skupině osob a jejich klasifikace je důvěrné nebo citlivé. Integrita: nízká narušení bezpečnosti osobou, které je přiřazena role, neovlivní fungování organizace nebo podnikatelskou činnost; informační aktivum je klasifikováno jako veřejné nebo interní; 22
střední narušení bezpečnosti osobou, které je přiřazena určitá role, má mírný vliv na podnikatelskou činnost; informační aktivum je klasifikováno jako veřejné nebo interní; vysoká - narušení bezpečnosti osobou, které je přiřazena určitá role, má zásadní vliv na fungování organizace nebo podnikatelskou činnost; informační aktivum je klasifikováno jako důvěrné nebo citlivé. Dostupnost: nízká nedostupnost osoby, které je přiřazena konkrétní role nemá vliv na fungování organizace nebo podnikatelskou činnost; střední - nedostupnost osoby, které je přiřazena konkrétní role má mírný vliv na fungování organizace nebo podnikatelskou činnost; vysoká - nedostupnost osoby, které je přiřazena konkrétní role má zásadní vliv na fungování organizace nebo podnikatelskou činnost. Jak je z popisu klasifikace jednotlivých typů aktiv, tedy informačních, neinformačních i lidských zdrojů, patrné, všechny typy aktiv spolu navzájem souvisí, jelikoţ se vyskytují ve všech fázích ţivotního cyklu informace v rámci informační bezpečnosti. 2. Normy a legislativa V současném globálním světě jiţ není moţné v řadě oborů spoléhat na vlastní zkušenosti a zkušenosti pracovníků pracujících v podniku při sestavování jasných a fungujících pravidel. Tím více toto platí v souvislosti s informační bezpečností, kde je důleţitá harmonizace v rámci místní legislativy, tak i v rámci integrace do EU. Existuje proto mnoţství specifických poţadavků a doporučení, která je nutné vzít za vlastní. Ve spolupráci s evropskými normalizačními institucemi byly vyvinuty normy a legislativa, kterými se musí kaţdý subjekt realizující informační bezpečnost řídit. Specifické normy také slouţí i jako metrika zaručující srovnatelnost implementace mezi jednotlivými podniky. Měly by ale také zaručit stejný pohled několika nezávislých konzultantů či auditorů na stejný podnik. Pro oblast informační bezpečnosti byla organizací ISO (International Organization for Standardization), která řídí proces vydávání norem, rezervována série ISO/IEC 27000. Tato rodina norem se v rámci integrovaného systému řízení postupně propojuje s rodinami 23
norem pro řízení jakostí, tedy ISO/IEC 9000, a systému řízení vztahu k okolí, ISO/IEC 14000. Kaţdá z norem je označena číslem a rokem jejího vydání. Normy ISO bývají v ČR přebírány jako ČSN. Vedle norem vydávaných pro oblast informační bezpečnosti organizací ISO jsou zde i další subjekty, plnící stejnou úlohu. Příkladem můţe být standardizační institut USA NIST se svými dokumenty. Informační bezpečností se ale zabývá také český NBÚ, německý BSI nebo NATO. Tyto organizace také vydávají vlastní standardy, které jsou však platné pouze územně. 2.1. Historie norem pro řízení informační bezpečnosti Na počátku roku 1990 byla ve Velké Británii zřízena pracovní skupina, která vytvořila soubor postupů řízení informační bezpečnosti. V roce 1995 byl tento dokument vydán jako britský standard BS 7799. Následně došlo v roce 1999 k vytvoření druhé verze s názvem BS 7799-1:1999. Roku 2000 byl standard akceptován organizací ISO a vydán jako ISO/IEC 17799. Roku 2005 byl standard ISO/IEC 17799 přepracován a přejmenován na ISO/IEC 2002:2005. Ještě téhoţ roku byl vydán i ISO/IEC 27001:2005, který definuje poţadavky na řízení informační bezpečnosti a vychází z BS 7799-2:2002. 2.2. Normy pro řízení informační bezpečnosti Obrázek 5 zobrazuje hierarchii rodiny norem ISO 27000. Jak je moţné pozorovat, sestává se ze čtyř částí. První část představuje standardy obsahující přehled a terminologii vyuţívanou v ISO/IEC 27000. Zde je uveden pouze standard ISO/IEC 27000. Část druhá definuje standardy obsahující závazné poţadavky vyuţívané při certifikacích. Zástupci jsou ISO/IEC 27001 a ISO/IEC 27006. 1 Základní generické směrnice obsahuje část třetí, kde nalezneme standardy pro implementaci, audit, řízení rizik anebo i vyuţívané metriky. V části poslední jsou standardy vyuţívané pro specifickou oblast, tedy například telekomunikace a zdravotnictví. Ve stádiu vývoje jsou specifické standardy pro automobilový průmysl a loterie. 1 Tyto standardy jsou označovány jako normativní. O ostatních se hovoří jako o standardech informativních. 24
Základní požadavky Specifické směrnice Základní směrnice Terminologie 27000 Přehled a vysvětlení termínů 27001 Požadavky 27006 Požadavky na certifikaci 27002 Soubor postupů 27007 Směrnice pro audit 27003 Implementační směrnice 27005 Řízení rizik 27004 Metriky 27011 Telekomunikace 27035 Řízení incidentů 27799 Zdravotnictví 27034 Aplikační bezpečnost Další připravované standardy Obrázek 5 Rodina norem pro řízení informační bezpečnosti [5] Norma ISO/IEC 27000:2009 Overview and vocabulary, česky Přehled a slovník, vysvětluje terminologii provázející veškeré specifikace ISO/IEC 27000. Tato terminologie je adaptována i dalšími pracemi, jako CobiT nebo ITIL z důvodu předejití nepochopení při popisu souvislostí. Klíčovou normou se stala ISO/IEC 27001:2005, která nese název Information security management system Requirements, česky Systém řízení bezpečnosti informací Poţadavky. Jak jiţ bylo uvedeno, vychází z BS 7799-2 a obsahuje formální soubor specifikací, které slouţí pro nezávislou certifikaci podniku v rámci systému řízení informační bezpečnosti. ISO/IEC 27001 specifikuje poţadavky na zřízení, implementaci, monitorování a přezkoumání, udrţování a zlepšování systému řízení, tedy celkový rámec řízení a kontroly pro řízení rizik informační bezpečnosti uvnitř podniku. Standard se vztahuje na všechny typy organizací, např. obchodní společnosti, vládní agentury a neziskové organizace, všech velikostí. Informační bezpečnost je řízena reţimem neustálého zlepšování. ISO/IEC 27001 proto obsahuje několik PDCA cyklů. 25
Druhou neméně důleţitou normou je ISO/IEC 27002:2005 Code of practice for information security management, česky Soubor postupů pro řízení bezpečnosti informací, vycházející z BS 7799-1:1999, tedy ISO/IEC 17799. Standard obsahuje mnoţství bezpečnostních opatření, kterými se řídí celosvětově velké mnoţství organizací. Obsahem je 11 kategorií bezpečnosti, které jsou dále rozděleny do 39 cílů opatření: bezpečnostní politika; organizace bezpečnosti; klasifikace a řízení aktiv; bezpečnost lidských zdrojů; fyzická bezpečnost a bezpečnost prostředí; řízení komunikací a řízení provozu; řízení přístupu; vývoj, údrţba a rozšíření informačního systému; zvládání bezpečnostních incidentů; řízení kontinuity činností organizace; soulad s poţadavky. Norma dále obsahuje 133 základních opatření, které jsou reprezentovány stovkami dalších bezpečnostních opatření. Návodem na implementaci ostatních norem se stala ISO/IEC 27003:2010 Information security management system implementation guidance, česky Směrnice pro implementaci systému řízení bezpečnosti informací. Popisuje proces specifikace ISMS a design plánů realizace projektu, který zahrnuje přípravu a plánování činností před vlastní realizaci, a zabývá se klíčovými prvky, jako řízení schválení a svolení k realizaci projektu, hodnocení a vymezení rizik informační bezpečnosti, projektování systému řízení informační bezpečnosti a plánování realizace projektu. BSI během posledních let publikoval několik podobných návodů k implementaci známých jako BSI/DISC PD 3001-3005, které jsou do dnešní doby vyuţívány jako efektivní příručka pro celý ţivotní cyklus projektů zahrnujících BS 7799. ISO/IEC 27004:2009 Information security management measurements, v překladu Měření účinnosti řízení bezpečnosti informací, je pro organizace pomůckou k měření a prezentaci efektivity jejich systémů řízení bezpečnosti informací, zahrnující řídící procesy definované v ISO/IEC 27001 a opatření z ISO/IEC 27002. Obsahem standardu je přehled měření informační bezpečnosti, odpovědnost za řízení, definice jednotlivých metrik a jejich měření a dále následná analýza dat a vyhodnocování výsledků měření. 26
ISO/IEC 27005:2011 Information security risk management, česky Řízení rizik bezpečnosti informací, poskytuje doporučení a techniky pro analýzy informačních rizik. Jejím základem jsou revize dříve vydaných norem ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000 a vyuţití některých pasáţí BS 7799-3. ISO/IEC 27006:2007 Requirements for the accreditation of bodies providing audit and certification of information security management systems, česky Poţadavky na akreditaci osob poskytujících audit a certifikaci systémů řízení bezpečnosti informací, poskytuje doporučení určená akreditovaným certifikačním autoritám. Týká se zejména průběhu certifikace systému řízení informační bezpečnosti a doplňuje poţadavky obsaţené v ISO/IEC 17021 a ISO/IEC 27001. ISO/IEC 27011:2008 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002, česky Řízení informační bezpečnosti pro telekomunikační organizace zaloţené na základě ISO/IEC 27002, je norma připravená současně s ITU, kde nese označení ITU-T X.1051. Tato norma je zaloţena na normách ISO 9001:2000 (Quality management systems Requirements), ISO 14001:1996 (Environmental management systems Specification with guidance for use), ISO/IEC 17799:2000/27002 (Information technology Code of practice for information security management), BS 7799-2:2002/ISO/IEC 27001 (Information Security Management Systems Specification with Guidance for use) a doporučeních ITU-T Recommendation X.800 (Security architecture for Open Systems Interconnection for CCITT applications), ITU- T Recommendation X.805 (Security architecture for systems providing end-to-end communications). ISO/IEC 27011:2008 přidává k ISO/IEC 27002 1 další cíl opatření a 13 základním opatření. ISO/IEC 27031:2011 Guidelines for information and communications technology readiness for business continuity, česky Pravidla pro informační a komunikační technologii zajištění kontinuity provozu, obsahuje procedury a metody BCM pouţitelné ve všech organizacích s identifikací jejich významných aspektů a způsobů měření. ISO 27799:2008 Health informatics Information security management in health using ISO/IEC 27002, česky Řízení informační bezpečnosti ve zdravotnických zařízeních dle ISO/IEC 27002, obsahuje doporučení pro implementaci ISO/IEC 27002 a nejlepší praktiky pro řízení bezpečnosti informací ve zdravotnictví. V současné době jsou připravovány další ISO/IEC normy doplňující rodinu norem pro systém řízení informační bezpečnosti: ISO/IEC 27007 Guidelines for information security management systems auditing 27
ISO/IEC TR 27008 Guidelines for auditors on information security management systems controls ISO/IEC 27010 Information security management for intersector and interorganisational communications ISO/IEC 27013 Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001 ISO/IEC 27014 Governance of information security ISO/IEC 27015 Information security management guidance for financial services ISO/IEC TR 27016 Organizational economics ISO/IEC 27032 Guidelines for cybersecurity ISO/IEC 27033 Network security ISO/IEC 27034 Application security ISO/IEC 27035 Information security incident management ISO/IEC 27036 Information security for supplier relationships ISO/IEC 27037 Guidelines for identification, collection and/or acquisition and preservation of digital evidence ISO/IEC 27038 Specification for digital redaction ISO/IEC 27040 Storage security Kromě standardů rodiny ISO/IEC 27000 existují i další normy, které se například zabývají problematikou soukromí, jakou je ISO/IEC 29000. Pro audit bezpečnosti IT je pouţívána norma ISO/IEC 154408 Evaluation criteria for IT security. Tato norma je často vyuţívána při certifikaci operačních systémů. Normy německého bezpečnostního úřadu BSI: BSI Standard 100-1 Information Security Management Systems (ISMS) BSI-Standard 100-2 IT-Grundschutz Methodology BSI-Standard 100-3 Risk Analysis based on IT-Grundschutz BSI-Standard 100-4 Business Continuity Management Normy standardizačního úřadu USA NIST: SP 800-30 Risk Management Guide for Information Technology Systems SP 800-146 Cloud Computing Synopsis and Recommendations SP 800-145 A NIST Definition of Cloud Computing 28
SP 800-132 Recommendation for Password-Based Key Derivation SP 800-127 Guide to Securing WiMAX Wireless Communications SP 800-126 The Technical Specification for the Security Content Automation Protocol SP 800-125 Guide to Security for Full Virtualization Technologies SP 800-123 Guide to General Server Security 2.3. Legislativa v České republice a Evropské unii O normy vydávané normalizačními organizacemi a národními bezpečnostními úřady se opírá celá řada zákonů a vyhlášek jak v České republice, tak i Evropské unii. Legislativa ČR: ústavní zákon č. 110/1998 Sb., o bezpečnosti ČR; zákon č. 148/1998Sb., o ochraně utajovaných skutečností; zákon č. 106/1999 Sb., o svobodném přístupu k informacím; zákon č. 101/2000 Sb., o ochraně osobních údajů; zákon č. 227/2000 Sb., o elektronickém podpisu; zákon č. 365/2000 Sb., o informačních systémech veřejné správy; zákon č. 480/2004 Sb., o některých sluţbách informační společnosti; zákon č. 499/2004 Sb., o archivnictví a spisové sluţbě; zákon č. 127/2005 Sb., o elektronických komunikacích; zákon č. 412/2005 Sb., o utajovaných informacích; usnesení vlády c. 624 z 20. 6. 2001, o pravidlech, zásadách a způsobu zabezpečování kontroly uţívání počítačových programů; vyhláška NBÚ 56/1999 Sb., o zajištění bezpečnosti informačních systému nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náleţitostech certifikátu. Legislativa EU: směrnice rady 1991/250/EHS, o právní ochraně počítačových programů; směrnice 1995/46/ES, o ochraně osobních dat; směrnice 1997/66/ES, o ochraně dat v telekomunikacích; směrnice 1999/93/ES, o zásadách Společenství pro elektronické podpisy; nařízení 2001/45/ES, o ochraně fyzických osob při zpracování osobních údajů orgány a institucemi; 29
směrnice rady 2001/264/EC, o ochraně utajovaných informací; směrnice 2002/58/ES, o zpracování osobních údajů a ochraně soukromí. 3. Analýza a řízení rizik Organizace řešící informační bezpečnost musí dobře porozumět rizikům spojených s jejich podnikáním a současně musí rozvíjet oblasti související s řízením rizik a jejich hodnocením. Proces řízení umoţňuje určit konkrétní hrozby, zranitelnosti a dopady a určit příslušná nápravná opatření pro jejich detekci a nápravu. Je potřeba se ujistit, ţe rizika související s příslušnými procesy a programy jsou správně koordinovány. Tato koordinace probíhá napříč obnov při haváriích, plánování kontinuity podnikání a řízením podnikatelských rizik. Je zpravidla nutné vybrat techniky vyhodnocování rizik, které splňují konkrétní poţadavky. Řízení rizik je neustálý proces identifikace, sledování a výběru vhodných opatření pro omezení rizik v organizaci. Vzhledem k tomu, ţe se informační bezpečnost stala nedílnou součástí podnikání, musí být proces řízení rizik aplikováno i na správu majetku a administrativu spojenou s firemními procesy. Informační bezpečnost má dnes hlavní odpovědnost při hodnocení, komunikaci a zmírnění rizik. Informační bezpečnost musí při přechodu ze starého řízení ochrany informační bezpečnosti organizace, kde se řízení rizik informační bezpečnosti oddělovalo od například finančních a HR procesů, na nový systém, dělat při vědomí zbytkového rizika nejrůznější kompromisy. Organizace musí brát v úvahu, ţe se nelze chránit před veškerými potencionálními riziky a podle toho se náleţitě rozhodovat. Pro mnoho organizací je však toto rozhodování velkým problémem a obtíţně se jej dosahuje. Přístupy k řízení rizik jsou cílem a předmětem výzkumu a specifikováním například CobiT, ISO nebo NIST a vydávané dokumenty jsou brány jako reference pro posuzování shod nejrůznějšími regulátory. Proces řízení rizik můţe být vyuţíván organizacemi k výkonu správy integrity a shod se strategií řízení podnikatelských rizik a dále můţe slouţit k ospravedlnění výdajů so informační bezpečnosti. Informační bezpečnost v organizaci musí být zapojena do posuzování rizik v rámci stávajícího IT, tak i při nasazování nových aplikací a systémů. Kromě toho musí informační bezpečnost zajistit koordinaci IT rizik souvisejícími s programy, jakými jsou plánování kontinuity podnikání nebo disaster recovery. Řízení rizik se stává důleţitým aspektem a součástí informační bezpečnosti a jeho nasazování je moţné sledovat u stále většího počtu organizací. Metody řízení rizik, které nejsou součástí klíčových kompetencí specialistů na informační bezpečnost, můţe vést 30
k nejednotnému chápání řízení rizik, terminologie a souvisejících procesů. Jistou překáţkou můţe být nedostatek znalostí při uplatňování metod hodnocení rizik, stejně jako matoucí vyuţívání těchto metod a nástrojů. Obrázek 6 ukazuje zjednodušený proces řízení rizik. hodnocení rizik zmírnění nebo přijetí komunikace rizik Obrázek 6 Zjednodušený proces řízení rizik Hodnocení rizik se zaměřuje na shromaţďování, analýzu a hodnocení informací o riziku tak, aby bylo moţné rozhodnou o jeho eliminaci. Po té, co jsou rizika identifikována, je vyhodnocena pravděpodobnost výskytu a jejich vliv na informační bezpečnost v organizaci. Pravděpodobnost výskytu a jeho závaţnost je u kaţdého rizika rozdílná. Jiný je také i jejich vliv na organizaci. Míra ohroţení a náklady se liší v celém rozsahu rizika a tyto parametry mohou být rozdílné pro různé divize či lokality. Hodnocení rizik se skládá z analýzy rizik a jejich hodnocení. Analýza vyuţívá známých hrozeb a zranitelností, ale také zpracovává informace o aktivech. Hodnocení porovnává dané riziko s předem stanovenými kritérii. Toto hodnocení můţe být kvalitativního nebo kvantitativného rázů a provedeno automatickými nebo manuálními metodami [9]. Jakmile jsou rizika identifikována a stanoveny jejich priority, musí být přijata vhodná opatření na jejich odstranění nebo zmírnění. V některých případech jsou z pohledu podnikání rizika akceptována. Pro kaţdé jednotlivé riziko musí organizace zváţit několik základních moţností: přijetí rizika pokud je výskyt rizika nepravděpodobný nebo jeho vliv minimální, můţe organizace rozhodnout, ţe bude nést v případě potřeby náklady spojené s obnovou; zabránění riziku pokud jsou náklady na obnovu a pravděpodobnost výskytu rizika velké, pracuje se na aktivitách spojených s předejitím rizikové situaci. přenos nebo sdílení rizika pokud je riziko součástí podnikání organizace, můţe být riziko převedeno nebo sdíleno na základě pojištění nebo dohod s dalšími organizacemi; zmírnění rizika riziko můţe být součástí podnikání a je nutné zavést systémy pro sníţení dopadu rizika; 31