Systematický přístup k informační bezpečnosti

...incidentů, je výsledkem slepenec, který sice nějak funguje, ale rozhodně není efektivní. Dříve než vůbec v tomto směru začneme vyvíjet nějakou snahu, musíme si uvědomit, že budování bezpečnosti je během na dlouhou trať. S inovacemi informačních technologií se objevují stále nová rizika a hrozby, na které musíme odpovídajícím způsobem reagovat. To, že systém v čase T prohlásíme za bezpečný ještě neznamená, že tomu tak bude v čase T + 1. Musíme se smířit s tím, že stoprocentní bezpečnosti nikdy nedosáhneme. Spíše než o to nám musí jít o identifikaci a řízení všech rizik, která se v systému vyskytují.

Pokud chceme vybudovat fungující systém informační bezpečnosti, musíme tyto procesy chápat v širších souvislostech. Nejenom v oblasti technické,  ale také z pohledu organizačního, personálního atd. Soustředit veškeré činnosti pouze na oddělení IT je většinou první naprosto zásadní chybou, které se firmy dopouštějí, a která potom do značné míry ovlivňuje celkový výsledek.

Stejně jako se stalo běžným budování systémů managementu jakosti se dnes i v oblasti IT bezpečnosti používají všeobecně rozšířené standardy a metodiky. Některé se zaměřují výhradně na bezpečnost a bezprostředně související oblasti, jiné řeší management IT v celé jeho šíři. Jedná se zejména o:

• BS 7799-1 a BS 7799-2 (tzv. „britské standardy“)
• ISO/IEC 17799:2005 a ISO IEC 27001:2005 (dvojice norem vycházející z „britských standardů“)
• ISO/IEC TR 13335 (série norem věnovaných IT bezpečnosti)
• ITIL - Information Technology Infrastructure Library (metodika IT Service Managementu založená na nejlepších zkušenostech z praxe)
• BS 15000-1:2002 a  BS 15000-2:2003 (poněkud všeobecnější pohled na oblast ITSM)
• CoBIT (širší metodika řízení IT, včetně lidských zdrojů apod.)

V našich zeměpisných šířkách se v praxi uplatňují zejména „britské standardy“ a normy ISO. Pokud firma chce zavádět ISMS, může se o ně „opřít“. V případě, že je cílem certifikace zavedeného systému, neobejdete se zpravidla bez externích konzultací a dalších služeb. Existuje řada firem, jejichž odborníci vám pomohou se zaváděním ISMS a přípravou na certifikaci některým z uznávaných certifikačních orgánů. Zpravidla jsou schopny nabídnout nejen samotné konzultace, ale také další specializované služby se zaváděním ISMS úzce spojené (penetrační testy, prověrky a audity informačních systémů, analýzy rizik atd.). Hlavní výhodou a také důvodem, proč je vhodné najmout externistu, je jeho schopnost nezaujatého pohledu, který je při nastavení jednotlivých procesů často nezbytný.

Základem ISMS musí být strategie podniku, ze které musí vycházet a být s ní v souladu. Samotné budování systému je pak zaměřeno na jednotlivé procesy a probíhá nejčastěji podle známého schématu PDCA (Plan-Do-Check-Act):

• Plánování (Plan) – stanovení rozsahu ISMS; provádí se např. analýza rizik, definice bezpečnostní politiky atd.
• Zavedení (Do) – identifikované procesy bezpečnosti se zavádějí do praxe; vytváří se interní dokumentace (směrnice, příručky, pracovní postupy), probíhají školení uživatelů, budují se další bezpečnostní systémy (např. AV ochrana) atd.
• Kontrola (Check) – zavedené procesy se monitorují a vyhodnocují; probíhají vnitřní audity, monitorují a vyhodnocují se bezpečnostní incidenty atd.
• Využití (Act) – fáze neustálého zlepšování ISMS, po které opět následuje další cyklus PDCA; stanovují se opatření k nápravě a prevenci,  definují se potřebné změny systému apod.

Jednotlivé cykly PDCA na sebe navazují a tvoří nekonečnou spirálu. V organizaci pak může takových cyklů probíhat více současně, mohou být vzájemně provázané apod. Nejdůležitější je implementace principu neustálého zlepšování, který je potřebný pro vybudování a udržení stanovené úrovně bezpečnosti informačního systému organizace.

Poznámka na závěr: Problematika budování ISMS, případně ITSM je velice rozsáhlá a zasahuje do řady dílčích oblastí řízení. Výše uvedený text je tedy spíše jen stručným úvodem do této problematiky.

 
V dalším dílu seriálu s názvem Finance a bezpečnost, aneb peníze až na prvním místě se budeme věnovat přednostem systematického budování ISMS.

Seriál připravili specialisté z firmy AEC Data Security Company. Více informací o bezpečnosti se dozvíte na těchto stránkách.

Pro čtenáře Finance.cz jsme připravili speciální akci. Na této stránce se můžete zaregistrovat a získáte zdarma na jeden rok licenci na užívání softwaru TrustPort Workstation. V roletce Promo akce vyberte Finance.cz a zadejte heslo FIN1145PHOENIX0203WS.