DSM 2008/2 - PR ICZ
ISMS – zkušenosti z praxe
„Systém řízení bezpečnosti informací je o malých krůčcích vpřed,“ říká odborník na řízení bezpečnosti ze společnosti ICZ, „krůček po krůčku pomáháme zákazníkům směřovat k vytyčeným bezpečnostním cílům.“
Společnost ICZ poskytuje profesionální poradenské služby ve všech oblastech, jež řízení bezpečnosti informací obsahuje. Konzultanti, podílející se na projektech, jsou kvalifikovanými experty s mezinárodně uznávanými certifikáty a jsou prověřeni pro styk s utajovanými informacemi až do stupně „Přísně tajné“. Disponují dlouholetými zkušenostmi získanými v rámci úspěšně realizovaných projektů.
O praktické zkušenosti se zaváděním systému řízení bezpečnosti informací (ISMS), se s námi podělil Vladimír Sekerka, konzultant pro oblast bezpečnosti informací.
Co si pod pojmem ISMS můžeme představit?
V současné době jsou informace považovány za velmi důležité, pokud ne nejdůležitější, aktiva každé organizace. Jejich neoprávněná modifikace, krádež, nebo i nedostupnost mohou způsobit značné škody. Systém řízení bezpečnosti informací, ve zkratce ISMS, je soubor postupů a procesů, prostřednictvím kterých organizace řídí úroveň bezpečnosti informací s cílem maximálně omezit výskyt nechtěných událostí.
Podílel jste se na různých projektech zavádění ISMS. Proč se obvykle zákazníci rozhodnou pro zavedení ISMS?
Řekl bych, že se jedná především o následující tři faktory. Jsou to zákonné požadavky, které zákazník musí splnit, dále požadavek vlastníka nebo mateřské organizace a v neposlední řadě řešení konkrétních zjištění interního nebo externího auditu.
Na co se musí zákazník připravit?
Klíčovým faktorem je, aby management na všech úrovních řízení společnosti podporoval aktivity související s řízením bezpečnosti informací. Jednou ze základních myšlenek, které stále zákazníkům klademe na srdce je, že bezpečnost není záležitostí pouze oddělení bezpečnosti. Každý zaměstnanec je odpovědný nejen za to, že provádí jemu svěřené úkoly, ale též za to, že je provádí bezpečným způsobem.
Jak zavádění ISMS v podání ICZ vypadá? Jak takový projekt začíná?
Zákazníkovi pomůžeme s definicí bezpečnostní politiky. Bezpečnostní politika definuje základní cíle, požadavky a odpovědnosti v oblasti bezpečnosti a musí být schválena vedením. Bezpečnostní politika udává jednotný směr pro všechny vedoucí zaměstnance na všech úrovních řízení.
Co následuje?
Základem úspěchu je výběr vhodné metodiky, případně nástroje pro analýzu a řízení rizik. Ne každá metodika nebo nástroj jsou vhodné pro libovolnou organizaci. Důležité je, aby metodika odpovídala představám managementu z hlediska pracnosti, detailnosti výsledků, propojitelnosti na systém řízení provozních rizik, propojitelnosti na procesní řízení apod. V případech, kdy je organizace skutečně velká a požadavky na metodiku vysoké, doporučujeme začít pilotním projektem. Na základě jeho výsledků může být použitá metodologie případně přizpůsobena. Tím se zajistí, že management organizace rychle získá představu o tom, jaké výsledky může od použité metodologie očekávat, a nebude nemile překvapen jejími výsledky až po několikaměsíční práci.
Dále následuje samotná analýza rizik. Jsou identifikována potenciální rizika, navrženy způsoby jejich zvládání či opatření pro jejich snížení na akceptovatelnou úroveň. Velmi důležité je, aby se při návrhu opatření zohledňovala cena opatření (kolik stojí implementace, provoz), a to nejen v penězích, ale i v pracnosti. Cena implementace i provozu musí být adekvátní k nalezeným rizikům.
Setkali jsme se i s tím, že si společnost nechala provést analýzu rizik, získala sadu stovek až tisíců opatření a nevěděla, co dál. Proto pomáháme klientům navrhnout i proces pro řízení rizik. Ten slouží k tomu, aby management organizace, který je zodpovědný za obchodní a strategické záležitosti a je schopen posoudit jednotlivé dopady z obchodního hlediska, rozhodl o výběru opatření, jež rizika adekvátním způsobem pokrývají. Jen on je schopen posoudit, jaká cena opatření je adekvátní k jednotlivým dopadům. V ICZ jsme schopni navrhnout takový systém řízení rizik, aby měl management organizace dostatek informací pro rozhodování o implementaci opatření a o akceptaci zbytkového rizika, ale zároveň nebyl zahrnut „tunami“ zpráv a dokumentů, které nebude mít čas ani přečíst.
Pokud vím, implementací opatření projekt nekončí. Co je tedy nutné provést dále?
Následuje kontrola, zda jsou implementovaná opatření efektivní. Může se provádět formou interních kontrol, externích kontrol, auditů, penetračních testů, kontroly konfigurace apod. Pokud jsou zjištěny nějaké nesrovnalosti, navrhnou se nápravná a preventivní opatření, která se následně implementují.
Jednotlivé fáze cyklu ISMS – plánuj, dělej, kontroluj, jednej – se neustále opakují (viz. obr. 1). Přehodnocují se rizika, navrhují dodatečná opatření, tato opatření se implementují, kontroluje se jejich účinnost, zavádějí se nápravná a preventivní opatření a tak dále, neustále dokola.
Čím projekt končí?
Řízení bezpečnosti přece nikdy nekončí! Je to trvalý proces! Žádná společnost není tak stabilní, aby nedocházelo k žádným změnám. Především se vyvíjí procesy ve společnosti, vznikají nové aktivity, mění se technologie. Mění se zákonitě i hodnota aktiv, která se ve společnosti zpracovávají, vyvíjí a mění se úroveň dopadů, hrozeb, zranitelností a tím i rizik. Na to vše se musí reagovat.
Systém řízení bezpečnosti je o malých krůčcích vpřed. To znamená, že návrh opatření pro implementaci se nedělá na deset let dopředu. Krůček po krůčku se směřuje k vytyčeným cílům a tím se postupně bezpečnost zvyšuje. Každý rok se přehodnocuje, zda implementovaná opatření adekvátním způsobem efektivně pokrývají identifikovaná rizika v měnících se podmínkách organizace, případně se navrhují dodatečná opatření.
Jakou metodiku používáte?
Postupujeme v souladu se normou ČSN ISO/IEC 27001, která specifikuje požadavky na to, jak v organizaci správně ustanovit, zavést, monitorovat, udržovat a zlepšovat systém pro řízení bezpečnosti informací organizace. Důležitou normou je dále ČSN ISO/IEC 17799 (též ISO/IEC 27002). Ta poskytuje doporučení pro implementaci bezpečnostních opatření uvedených v ČSN ISO/IEC 27001, jejichž zavedení je potřebné při budování ISMS zvážit.
Pro analýzu rizik používáme různé metodiky a nástroje (CRAMM, RA2, BITS apod.). Máme ale i vlastní metodiku pro analýzu rizik, kterou jsme schopni podle požadavků zákazníka přizpůsobit. Zde bych chtěl opakovaně podotknout, že ne každá metodika analýzy rizik je vhodná pro každou společnost a někdy je volba metodiky na míru to nejefektivnější řešení.
Pro koho je řízení bezpečnosti vhodné – pro malé, střední či velké firmy?
V menších firmách je řízení všeho (i bezpečnosti) mnohem jednodušší, protože informace o obchodních procesech, potřebné pro rozhodování, jsou distribuovány mezi malým počtem lidí. Zatímco ve velké firmě s tisíci zaměstnanci je těžké všechny zkoordinovat. Je problém zabezpečit, aby úroveň znalostí bezpečnosti na všech úrovních řízení byla dostatečná. Nicméně, bezpečnost by měla být řízena v každé organizaci. Samozřejmě důležitým faktorem je, aby pro ochranu aktiv byla využita opatření, která jsou v daných podmínkách adekvátní.
Jsou nějaká specifika v zavádění ISMS pro různá odvětví?
Ale jistě, každé odvětví má vlastní specifika. V každém odvětví se musí dodržovat sada specifických norem. Ve státním sektoru jsou specifika dána především zákony – zákon o ISVS, zákon o volném přístupu k informacím, zákon o ochraně osobních údajů. Pro oblast zdravotnictví to jsou především zvýšené nároky na bezpečnost citlivých osobních údajů podle zákona o ochraně osobních údajů (zdravotní záznamy). V bankovních institucích to je legislativa související s bankovnictvím – BASEL II, zákon o bankách apod. Tyto rozdíly se pak projevují především v požadavcích kladených na metodiku pro analýzu a řízení rizik.
Pokud slyším ISO 27001, napadá mě, že jsem se ještě nezeptala na certifikaci?
Certifikace je vlastně jen třešnička na dortu. Řídit bezpečnost v souladu se standardy lze i bez certifikace. Avšak certifikát o souladu se standardem ČSN ISO/IEC 27001, potvrzený nezávislým externím auditorem, je důkazem toho, že společnost postupuje v souladu s „best practice“. Například naše společnost bere bezpečnost informací svých i svých zákazníků vážně, a proto u sebe ISMS zavedla a certifikát o jeho souladu se standardem ČSN ISO/IEC 27001 získala.
Otázky kladla Martina Černá.
Odpovídal Mgr. Vladimír Sekerka, CISSP, CISM
vladimir.sekerka(zavinac)i.cz
Publikováno: 06. 06. 2008