DSM 2010/2 - Úvodník
Odškrtávat položky nestačí
Počet organizací a firem certifikovaných podle standardu ISO/IEC 27001:2005 (nebo podle standardu BS 7799 část 2, který předcházel vydání standardu ISO) ve světě postupně narůstá. Je jich již přes 6 000, z toho v České republice 85. Ze státního sektoru nesourodá směsice: Česká pošta, Státní zemědělský intervenční fond, Státní ústav pro kontrolu léčiv či města Zábřeh a Žamberk − celkem 11 státních institucí. Jen hádám, proč zrovna tyto, zda je to zásluha osvíceného šéfa či agilního bezpečáka… Zatím žádné ministerstvo vlády ČR. Porovnávám přístup s aktuální zprávou: 3. června auditorská a certifikační společnost TÚV Nord odevzdala Ministerstvu dopravy, pôšt a telekomunikácií SR mezinárodní certifikát budovaného systému řízení informační bezpečnosti.
To business se v oblasti bezpečnostních certifikací činil více – dnes je podle ISO/IEC 27001 certifikováno 73 společností, poslední bylo letos v březnu AEC. Rádi tyto certifikáty v DSM prezentujeme. Když jsem si prohlédl tabulky na příslušných webových stránkách důkladněji, zaujalo mě, že v USA je certifikováno podle ISO/IEC 27001 pouze o 11 organizací více (96) než u nás. Samozřejmě mi hned došlo, že v této zemi mají respektovanější standardy než cokoli od ISO – SOX, HIPAA, PCI DSS, FFIEC, GLBA, OCC, SAS 70, SSG a další.
Tato plejáda standardů mnohdy může zasypat i českou firmu, stačí např. své akcie kotovat na londýnské burze. A vůbec, kolik dnes máme ryze českých firem?
Odpovídají samy požadavky standardů dnešní realitě? Např. požadavek 2.2.1 PCI DSS „implementovat pouze jednu primární funkci na jeden server“ je v prostředí hypervizorů nesnadné dodržet. Do roku 2012 má přijít nová verze ISO/IEC 27001. A co ta přinese? Budou v ní zachyceny aktuální bezpečnostní trendy v IT, ať již jde o úniky dat, virtualizaci či cloud computing? Nebo ještě více vzroste alergie bezpečnostních specialistů na lpění na formálních kritériích místo řešení reálných problémů?
Vyžívání se v plnění formálních kritérií do puntíku může vést k odvedení pozornosti a odčerpání prostředků od konkrétního řešení bezpečnostních problémů. Samy certifikace totiž plnou záruku před maléry neposkytují. Ironií osudu např. je, že americká společnost Heartland, jíž bylo jednoduchým trikem (SQL injection) ukradeno v roce 2007 130 mil. kreditních a debetních karet, byla čerstvě certifikována podle PCI DSS. Otázkou je, jestli pro ni místo odškrtávání splněných položek normy nebylo rozumnější více se věnovat managementu rizik.
Publikováno: 17. 06. 2010