Úvod
Zajišťuje společnost dodávky produktů nebo služeb v oblasti energetiky, vodního hospodářství, potravinářství a zemědělství, zdravotnictví, dopravy, komunikačních a informačních systémů, finančního trhu a měny, nouzových služeb nebo veřejné správy?
Zajišťuje společnost dodávky produktů nebo služeb pro subjekty, na něž se vztahují povinnosti dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti?
Pracuje se ve vaší společnosti s informacemi, jejichž důvěrnost je zásadní pro její obchodní činnost?
Je stávajícím nebo potenciálním důležitým klientem společnosti mezinárodní společnost, pro kterou je důležitá její reputace?
Pohybujete se v oblasti, kde díky sílící konkurenci nelze vyloučit možnost průmyslové špionáže nebo sabotérských praktik?
Pracujete ve vaší společnosti s informačními systémy, jejichž, byť krátký, výpadek je nepřípustný?
Pokud je odpověď na některou výše uvedenou otázku kladná, pravděpodobně je ve vaší společnosti zaveden systém řízení bezpečnosti informací (dále jen „ISMS“) nebo tomu tak v budoucnu bude.
ISMS je primárně upraveno normami řady 27000, a to především normou ISO/IEC 27001: 2013 (dále jen „Norma“). Zavedení ISMS je současně vyžadováno zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „ZKB“), respektive v jeho prováděcích právních předpisech, které jsou závazné pro omezenou množinu subjektů, do které patří i ČEZ. Dle Normy lze ISMS popsat jako: „část celkového systému řízení společnosti, založená na přístupu k rizikům a činností, která je zaměřena na ustanovení, zavádění, provoz, monitorování, přezkoumání, údržbu a zlepšování bezpečnosti informací“.
Jaké rozhodnutí je třeba přijmout před zavedením ISMS? Jaké jsou další zdroje inspirace při řešení bezpečnosti informací? Co si pod ISMS má vlastně pracovník představit? Co dobrého zavedení Normy společnosti může přinést? Na co je třeba se připravit z pohledu společnosti jako takové a s čím mají počítat její pracovníci? To jsou otázky, jejichž odpovědi jsou tématem následujících řádků.
1. Zdroje inspirace při řešení informační bezpečnosti
Neopomínejme, že Norma není jediným zdrojem nebo způsobem, jak řešit bezpečnost informací. Za zmínku rozhodně stojí také třeba Minimální bezpečnostní standard vydaný Národním úřadem pro kybernetickou bezpečnost (NÚKIB), SOC 2 vydaný American Institute of Certified Public Accountatnts (AICPA), řada norem vydaných National Institute for Standards and Technology (NIST), zejména norma SP 500-53 Risk Management Framework a normy řady SP 1800 Cybersecurity practice guides. Jaké možné výhody a nevýhody oproti Normě je možné u těchto řešení spatřovat a čím mohou přispět k ISMS? Na to se podívejme níže:
Minimální bezpečnostní standard
+ Klade důraz na technická opatření.
+ Je dostupný zdarma ke stažení na webu NÚKIB.
- Nelze jej certifikovat.
- Validní pouze v Česku.
SOC 2
+ Rozsah prověřovaných kritérií je volitelný.
+ Lze obdržet jednorázovou zprávu auditora o tom, že jsou implementována vybraná
opatření, nebo pravidelné zprávy hodnotící efektivitu zavedených opatření.
+ V USA je trendem, pokud má společnost americké klienty, příhodné.
+ Audit je možné provést vzdáleným připojením.
- Pouze v anglickém jazyce.
- Auditor musí být v AICPA (asociace účetních), v ČR působí jen málo auditorů.
- V Evropě stále populárnější a uznávanější Norma.
Normy NIST
+ Jsou dostupné zdarma na webu.
+ Jsou velmi komplexní a návodné, mohou dobře sloužit pro tvorbu metodik činností.
- Jsou dostupné pouze v anglickém jazyce.
- Nelze pro ně získat mezinárodně uznávanou certifikaci nebo obdobné formální
potvrzení.
2. Zásadní rozhodnutí před zavedením ISMS
Posouzení vhodnosti certifikace ISMS
Výhodou zavedení ISMS podle Normy je, že lze její zavedení ve společnosti certifikovat. Získáním certifikace lze zvýšit důvěryhodnost společnosti v očích klientů a obchodních partnerů a získat tak obchodní výhody. Na druhou stranu, získání certifikace a její udržení je věc poměrně nákladná a klade na společnosti nemalé nároky stran financí, lidské práce a organizování.
Z tohoto důvodu je třeba na prvním místě zvážit a rozhodnout, zda je pro konkrétní společnost a její obchodní vztahy vhodné a výhodné zavedení ISMS certifikovat. Toto rozhodnutí má strategický význam a měl by jej učinit ředitel nebo orgán vrcholového vedení společnosti.
Zavedení ISMS pouze vlastními silami?
Zmíněné nároky na zavedení ISMS se mohou navzájem do určité míry kompenzovat. Snížit personální náklady lze s využitím služeb společností, které se zavedením ISMS zabývají a které poradí odpovědným osobám, jakým způsobem lze v konkrétních bodech splnit požadavky Normy, a vypracují návrhy dokumentace, která je ve fázi zavádění ISMS značně rozsáhlá. Posouzení schopnosti a dostupnosti zejména lidských zdrojů, které by umožnily ISMS ve společnosti zavést vlastními silami, náleží rovněž vrcholovému vedení společnosti.
Výběr certifikační autority pro ISMS
Certifikace Normy je v současnosti relativně dostupnou záležitostí pro většinu společností, neboť obchodních společností, které jsou akreditovány k provádění auditu a udělení certifikace, působí v České republice celá řada. Je třeba podotknout, že přístup a přísnost těchto subjektů při posuzování souladu stavu ve společnosti s ustanoveními Normy se různí. V tomto smyslu je důležité zvolit takovou certifikační autoritu, která bude nejlépe vyhovovat obchodním cílům certifikované společnosti. Zejména v rámci mezinárodního obchodu a spolupráce se zahraničními subjekty je hleděno na to, která certifikační autorita certifikaci udělila. Prestižními společnostmi, jejichž udělení zajistí certifikaci patřičnou váhu v očích nejen bezpečnostních manažerů po celém světě, je např. Det Norske Veritas, TÜV NORD, TÜV SÜD, Safety Designs Innovation nebo Bureau Veritas.
3. Zavedení ISMS
Zavedení ISMS spočívá v ustavení odpovědností a v zavedení procesů, postupů a opatření pro zajištění bezpečnosti informací. V praxi to pro zaměstnance a další pracovníky znamená povinnosti navíc, ale také možnost vyvarovat se neúmyslného porušování právních předpisů nebo smluvních závazků. Zároveň je v obecném zájmu společnosti, aby tyto povinnosti nepředstavovaly pro pracovníky nadměrnou zátěž a neomezovaly je ve výkonu jejich pracovních činností.
Pro úspěšně zavedení ISMS je důležité, aby vedení hned na začátku ustanovilo pravidla a kanály pro komunikaci ISMS napříč společností. Zásadními cíli takové komunikace je, aby si každá osoba v společnosti byla vědoma důležitosti informací, které zpracovává, své důležitosti a odpovědnosti za jejich bezpečnost a aby mohla vyjadřovat své nápady na zlepšení a pomáhat identifikovat slabá místa ISMS. Vhodným řešením je zařazení tématu do obsahu pravidelných schůzí, vyvěšení záměru zavést ISMS na webové stránky nebo na intranet, případně rozeslání informačních e-mailů s uvedením kontaktů pro případné dotazy a podněty.
Procesy, postupy a plánované a provedené činnosti je nutné dokumentovat. Právě příprava a formální vydání dokumentace podle stanovených postupů platných pro interní dokumentaci vyžaduje zpravidla nejvíce času. Zároveň se jedná o důležitý objekt zájmu auditorů certifikačních autorit. Dokumentace k ISMS se dělí na:
Zatímco záznamy dokumentují provedené činnosti v daném časovém období (většinou za rok) a je třeba je v každém období po provedení dané činnosti vypracovat znovu, řídicí dokumentace stanoví pravidla a postupy, kterými se odpovědní zaměstnanci musí řídit, a má stálý charakter. To znamená, že se v jednotlivých obdobích může aktualizovat podle potřeb a cílů společnosti, ale nevytváří se nově. V rámci zavedení ISMS je třeba připravit a zavést oba druhy dokumentace.
Zavedení ISMS je nutno pečlivě naplánovat a sestavit časový harmonogram nezbytných činností tak, aby v případě záměru získání certifikace zavedení Normy bylo možné vše zvládnout do data certifikačního auditu a vydat požadovanou dokumentaci.
4. Udržování ISMS aneb získáním certifikátu to nekončí
Zavedení ISMS není proces, který by měl lineární charakter a jednoznačný cíl, jaký by znamenal konec úsilí. Naopak, jde o proces cyklický. I když jsou všechny procesy, činnosti a aplikovatelná opatření Normy ve společnosti zavedené, neznamená to, že je bezpečnost informací vyřešena. Aby se ISMS mohlo zlepšovat a reagovat na různé změny, je potřeba jeho stav monitorovat, vyhodnocovat a systematicky na něm pracovat.
Cyklus ISMS je zakončen přezkoumáním vedením společnosti, po jehož provedení může případně následovat certifikační audit a vydání certifikace. V rámci přezkoumání vedením společnosti jsou, mimo jiné, navrženy a schváleny cíle na další rok. Pro splnění těchto cílů se opakuje cyklus, jak je naznačeno v diagramu níže. Opakuje se analýza a hodnocení rizik, na jehož základě dojde k výběru vhodných opatření a k naplánování a provedení jejich implementace. Analýzu rizik není zpravidla třeba provádět v každém cyklu, v tom případě je zaměřena pozornost rovnou na následující činnosti. Jsou jimi naplánování a provedení činností k dosažení vytyčených cílů na rok, aktualizace záznamů ISMS, plánování a provedení interního auditu, přijetí nápravných opatření ke zjištěným neshodám a ke konci období přezkoumání vedením společnosti.
V následující části jsou uvedeny fáze dle stěžejních činností při zavedení a udržování ISMS, při nichž jsou pracovníkům společnosti ukládány úkoly nebo je vyžadována jejich součinnost. Každá z činností je krátce charakterizována s uvedením nároků, které klade na pracovníky společnosti.
Diagram znázorňující fáze podle stěžejních činností při zavedení a udržování ISMS:
Stanovení rozsahu ISMS
Účelem stanovení rozsahu ISMS je zasadit systém do kontextu společnosti, identifikovat zainteresované subjekty a jejich požadavky na ISMS.
Důležitými body, které v rozsahu ISMS vrcholové vedení stanoví, jsou:
Zkušenosti z praxe:
Veřejná organizace byla zařazena do skupiny subjektů podléhajících ZKB. Ve fázi zavádění opatření nebylo možné prosadit zavedení přísnějších pravidel pro tvorbu a správu hesel a další opatření, jejichž zavedení zákon přímo vyžaduje. To mělo za následek udělení neshod při auditu dozorového orgánu.
Jde o příklad praxe, kdy osoby byly jmenovány do řídících bezpečnostních rolí pouze formálně, tj. za účelem splnění ustanovení ZKB, nikoli za účelem zajištění praktického fungování ISMS. Jejich jmenování bylo neadekvátní k jejich časovým možnostem, autoritě a postavení v organizaci.
Stanovení politiky ISMS
V této fázi jsou stanoveny cíle ISMS, které odpovídají zájmům a kontextu společnosti. Dále jsou určeny řídicí role, odpovědnosti a pravomoci pro prosazování a řízení ISMS. Vrcholové vedení se zde veřejně zavazuje k podpoře a neustálému zlepšování ISMS a k zajištění potřebných zdrojů pro ISMS.
Politika ISMS musí být komunikována v rámci společnosti a musí být přiměřeně dostupná externím zainteresovaným stranám. Vydáním politiky se tedy všichni pracovníci společnosti a externí strany seznamují se záměrem zavést ISMS ve společnosti.
Analýza a hodnocení rizik
Smyslem analýzy a hodnocení rizik je určit opatření, která nejvíce sníží rizika za co nejmenších nákladů. Činnosti, které tato fáze zahrnuje, jsou minimálně:
Z organizačního hlediska skrývá tato fáze zavádění ISMS řadu úskalí. Prvním úskalím je určení primárních aktiv, respektive jejich skupin, které je třeba chránit. K tomu je zapotřebí široká a zároveň hlubší znalost chodu společnosti. Většinou je zapotřebí spolupráce více zaměstnanců. Možnou praxí je postupovat od určení procesů k určení jejich vlastníků a na nich nechat identifikaci jednotlivých aktiv v jejich působnosti.
Dalším úskalím je provedení hodnocení aktiv a hrozeb. Ty leží opět na bedrech garantů aktiv. Úspěšnost a časová náročnost této činnosti velmi závisí na ochotě a pracovní vytíženosti garantů aktiv. Dobrou praxí je zorganizování schůzky, kde manažer bezpečnosti informací (role odpovědná za organizování činností ISMS) poučí garanty aktiv ohledně metodiky analýzy a hodnocení aktiv a vysvětlí kritéria, podle kterých mají hodnocení aktiv provést, a ti jej pak provedou sami nebo v rámci řízeného rozhovoru. Postup je však třeba vždy zvolit individuálně v závislosti na organizačním uspořádání, kultuře společnosti, časových možnostech účastníků apod.
Zkušenosti z praxe:
Poskytovatel služeb v oblasti bezpečnosti informací byl pověřen klientem, aby provedl analýzu rizik. Podklady a metodika k provedení analýzy rizik byly průběžně vypracovány, zaslány a klientem schváleny včetně potřebných vstupních dat, které klient poskytovateli předá. Pracovníci poskytovatele služeb přijeli provést rozhovory k analýze rizik s určenými garanty aktiv. Odjeli však téměř s prázdnýma rukama, protože pracovníci klienta byli překvapeni dotazy k analýze rizik a nebyli schopni sdělit žádná relevantní data.
Jde o případ, kdy bylo na celou věc pohlíženo jako na záležitost poskytovatele služby a důležitost vlastních vstupů pro analýzu a hodnocení rizik byla podceněna ze strany klienta. Na neštěstí, žádné řešení bezpečnosti informací se bez spolupráce a dat klienta neobejde.
Výběr a naplánování realizace opatření pro ISMS
Na základě výsledků analýzy rizik se určí, která opatření je třeba aplikovat, aby byla snížena vysoká rizika. Záznam, do kterého se uvádí, která opatření budou aplikována a která nikoli, se nazývá prohlášení o aplikovatelnosti. Na tento dokument navazuje plán zvládání rizik, kde je uvedeno, které činnosti budou provedeny při zavedení jednotlivých opatření, kdo je za ně odpovědný, a termín, do kterého je třeba je provést.
V této fázi jsou pracovníkům přiděleny konkrétní úkoly. Opatření často vyústí v potřebu upravit řídicí dokumentaci, což může znamenat povinnosti navíc pro některou skupinu pracovníků.
Provedení činností k zavedení procesů a opatření
Zjednodušeně jde o vykonání toho, co bylo naplánováno v Plánu zvládání rizik. Opatření jsou dvojího druhu:
Organizační opatření mají většinou podobu postupů nebo zavedení některé politiky. Stanovit politiky lze prostřednictvím různého počtu dokumentů. Oblastmi, které politiky ISMS upravují, jsou:
Stanovení pravidel pro uvedené oblasti vyžaduje znalosti stávajících interních procesů a mělo by být prováděno v součinnosti s vedoucími pracovníky odpovídajícími za tyto oblasti. Týká se to zpravidla zejména vedoucích oddělení lidských zdrojů, IT, osob zajišťujících objektovou bezpečnost, správu budov apod., obchodních oddělení a pracovníků pověřených ochranou osobních údajů.
Při zavádění uvedených opatření jsou kladeny nároky nejvíce na management, ale často jde o plošná opatření, která po jejich zavedení rozvinou povinnosti všech pracovníků nebo jejich skupin.
Technická opatření spočívají většinou v konkrétních technických činnostech, zavedení nových technologií apod. Při zavádění kladou nároky téměř výhradně na pracovníky IT. Jejich zavedení však následně často znamená změnu v některých dalších procesech, které se pracovníci musí přizpůsobit.
Příkladem může být zavedení dvoufázové autentizace pro přístup do uživatelských účtů vybraných informačních systémů. Samotné zavedení je úkolem pro pracovníky IT, ale znamená, že se po jeho zavedení všichni zaměstnanci musí přihlašovat jiným způsobem než doposud.
V této fázi dochází k vydání bezpečnostní příručky pro uživatele informačních a komunikačních technologií ve společnosti a k provedení školení všech zaměstnanců společnosti nebo její části, kde se ISMS zavádí. Jde o hlavní zdroje informací ohledně ISMS pro zaměstnance. Bezpečnostní příručka by měla obsahovat všechny povinnosti relevantní pro všechny pracovníky, kteří zpracovávají informace ve společnosti.
Interní audit pro ISMS
Cílem interního auditu je provést vnitřní kontrolu souladu nastavení procesů a opatření ISMS ve společnosti s Normou a s vlastními požadavky. Auditor musí být objektivní a nestranný. Díky zjištění nedostatků při interním auditu má společnost možnost provést nápravu stavu a zvýší tak své šance uspět při certifikačním auditu. Tyto zjištěné nedostatky se v ISMS zjednodušeně nazývají neshodami.
Také v této fázi je zapotřebí součinnost ostatních zaměstnanců společnosti. Auditor pro prověření jednotlivých oblastí ISMS provádí rozhovory většinou s manažerem a architektem bezpečnosti informací, případně s osobami zastávajícími další bezpečnostní role, s vedoucími pracovníky, ale často k prověření konkrétních skutečností dotazuje i další zaměstnance. Certifikační audit probíhá obdobným způsobem. Proto je příhodné přistupovat k internímu auditu jako k „nácviku“ pro audit certifikační, na jehož základě se rozhodne o udělení či neudělení certifikace společnosti.
Činnosti k nápravě zjištěných neshod s ISO/IEC 27001
V této fázi dochází k určení a naplánování činností k nápravě neshod zjištěných provedených interním auditem. Závažné neshody by měly být napraveny před certifikačním auditem.
O výsledcích auditu musí být informováni členové vrcholového vedení společnosti, kteří, spolu s osobami pověřenými výkonem řídících rolí ISMS, prostřednictvím schůze příslušného orgánu ISMS rozhodnou o způsobu a termínu nápravy. Dle charakteru činností může být i v tomto případě dotčen neurčitý okruh zaměstnanců.
Přezkoumání vedením společnosti
Vrcholové vedení společnosti musí v plánovaných intervalech přezkoumávat SŘBI pro zajištění jeho neustálé vhodnosti, přiměřenosti a efektivnosti. Je tedy posouzen stav ISMS ze všech měřitelných hledisek, jsou projednány návrhy na zlepšení a stanoveny cíle na další období, kterým je zpravidla jeden rok. Cíle na další období tvoří zadání pro následující cyklus ISMS.
Certifikační audit ISMS
Certifikační audit ISMS na splnění požadavků Normy vždy vyžaduje osobní návštěvu společnosti auditorem vybrané certifikační autority. Jak bylo uvedeno výše, průběh auditu je podobný jako při auditu interním a klade obdobné nároky na součinnost zaměstnanců.
Závěr
Před zavedením ISMS by vedení společnosti mělo zvážit i jiné varianty řešení bezpečnosti informací a jejich vhodnost pro obchodní cíle, které společnosti sleduje. Pokud se vedení rozhodne zavést ISMS dle Normy, mělo by nejprve zaměřit svou pozornost na zvážení, zda je pro společnost výhodné usilovat o certifikaci zavedení Normy, a v kladném případě uvážit, jakou certifikační autoritu zvolit a zda zavedení zvládne vlastními silami nebo s pomocí konzultantů. Je rovněž důležité informovat pracovníky a externí zainteresované strany o záměru zavést ISMS a umožnit jim se k němu vyjadřovat.
V rámci fází dle činností při zavádění a údržbě ISMS je stěžejní a často problematickou fází analýza a hodnocení rizik zahrnující rovněž hodnocení aktiv. Je třeba počítat s tím, že pokud pracovník spravuje nějaké informace, je odpovědný za určitý proces nebo provoz informačních technologií, a bude mu tedy pravděpodobně náležet nemalá odpovědnost.
Další kritickou fází ISMS je zavádění opatření. Cílem zavedení ISMS je integrovat procesy bezpečnosti informací do stávajících procesů ve společnosti. Jinými slovy jde o to, aby se bezpečnost informací stala součástí každého jiného procesu a běžných činností každého zaměstnance. Aplikace politiky hesel a zavedení klasifikace informací často naráží na největší odpor pracovníků. Přestože jsou dlouhá a jedinečná hesla k účtům obecně známa svou důležitostí pro ochranu proti kybernetickým útokům, pracovníci pravidla pro tvorbu hesel často nerespektují. Požadavek na klasifikaci informací ve společnosti znamená, že je třeba určit kritéria, podle kterých se budou informace třídit do skupin zejména podle toho, jak důvěrné pro společnost jsou. Nejjednodušší klasifikací je dělení informací na veřejné a neveřejné. Kromě toho, že se informacím přisoudí některý klasifikační stupeň, je třeba tyto informace vhodně označovat zejména při externí komunikaci a respektovat stanovená pravidla pro jejich manipulaci a používání. Funkční zavedení tohoto procesu je velkou výzvou pro management všech společností, zejména těch větších.
Aby bylo možné zavádět i zprvu nepopulární opatření, jako je tvorba silných hesel a jejich pravidelná obměna a klasifikace informací, je třeba, aby zaváděné procesy a opatření ISMS měly pevnou oporu v postoji vrcholového vedení, které respektování těchto opatření aktivně prosazuje. Zcela zásadním úkolem vedení společnosti je zajistit, aby pracovníci společnosti i externí subjekty vnímaly ISMS jako legitimní důvod pro udělování odpovědností a ukládání povinností.
S dobře zavedeným ISMS se pojí řada benefitů, jako je lepší dohled na dodavatelský řetězec společnosti, lepší přehled o procesech a jejich prvcích ve společnosti, omezení narušení kritických procesů a finančních ztrát spojených s únikem dat, získání důvěry při sdílení informací s obchodními partnery, snížení rizika vícenákladů souvisejících s možnými neočekávanými událostmi nebo redukce nákladů spojených s údržbou a rozvojem informačních technologií ve společnosti.
Pokud tedy společnosti zvládne zavést ISMS poctivě, přinese to, kromě zabezpečení svých dat a informací, řadu výhod, které v konečném důsledku pozitivně ovlivní i její pracovníky.
