Řízení bezpečnosti je nedílnou součástí řízení organizace a zahrnuje vymezení, co máme chránit, jaká rizika nám hrozí a přijetí takových opatření, abychom dosáhli a udrželi stav, kdy předcházíme možným rizikům a problémům. Tohoto můžeme dosáhnout pomocí různých metod, procedur, směrnic, standardů a nástrojů.
Metodiky řízení bezpečnosti jsou poměrně složitou a rozsáhlou oblastí, kdy je možné se zaměřit na jednotlivé metody, jako jsou například FMEA (Analýza možných vad a jejich následků), FMECA (Analýza možných vad a jejich kritických následků) a řadu dalších. Nebo se lze zaměřit na řízení bezpečnosti podle požadavků norem. Samotná problematika metodického řízení bezpečnosti je úzce spjata s bezpečnostními normami a to, jakou normu se rozhodneme použít, pak ovlivňuje i způsob zavedení bezpečnostních požadavků.
Norma (někdy také standard) je požadavek na chování nebo vlastnosti věci, člověka, situace apod., kterým se buď předepisuje a vyžaduje, nebo popisuje, co je normální (přijatelné nebo obvyklé).
Použití normy při řešení bezpečnosti přináší výhody, že toto řešení je obecně srozumitelné všem, kteří normu používají, a to jak po stránce metodiky, tak po stránce použitých pojmů. Na řešení bezpečnosti podle konkrétní normy může snáze navázat i ten, kdo nezná podmínky dané organizace. Stejně tak použití norem vytváří ovzduší důvěry, kdy mohu předpokládat, co řešení podle konkrétní normy obsahuje.
Nejrozšířenější bezpečnostní normou jak v podmínkách ČR, tak ve světě, jsou normy řady ISO/IEC 27000. Tyto normy se vyvinuly z původního britského standardu BS 7799. Zdroje britského standardu tvořily manuály potravinářských řetězců a společnosti Shell, což dokladuje jejich praktický základ. Původní britská norma měla za cíl vytvořit přehled dobrých praktik, jejichž zavedení povede k zajištění ochrany zpracovávaných informací. Později byla norma doplněna o hodnocení rizik jako základního kamene pro výběr bezpečnostních opatření. Přeměna do současné podoby byla završena zařazením pravidelného vyhodnocování stavu, nápravy zjištěných nedostatků a provádění kontinuálního zlepšování. Dnes lze na řadu 27000 nahlížet jako na poměrně ucelenou knihovnu norem, kde najdeme odpovědi na většinu otázek bezpečnosti informací. Na začátku června 2021 tvořilo tuto řadu celkem 63 norem (včetně korektur). Řada ISO/IEC 27000 zahrnuje normy věnované terminologii, metodice zavádění ISMS, metrikám, provádění hodnocení rizik, auditu atd. Dále jsou zde normy věnované jednotlivým sektorům, kdy jsou opatření uváděna v závislosti na konkrétním odvětví, což jsou například telekomunikace (ISO/IEC 27011:2016). Pozornost je věnována i společnému zavádění norem řady ISO/IEC 27000 ISO/IEC 20000 věnovaných managementu IT Služeb (ISO/IEC 27013:2015). V posledních letech byly pak rozvíjeny i normy pro jednotlivé oblasti bezpečnosti, kdy například bezpečnosti sítí je věnováno celkem 6 norem vydaných v rozmezí let 2011 až 2015 (ISO/IEC 27031-1 až 6). V portfoliu norem řady ISO/IEC 27000 nechybí ani v poslední době mnohokrát skloňovaná kybernetická bezpečnost (ISO/IEC 27009:2020, ISO/IEC 27014:2020, ISO/IEC TS 27100:2020 atd.) a ochrana osobních údajů (ISO/IEC 27701:2019). Soulad s normou lze certifikovat a jak již bylo uvedeno, jedná se o nejrozšířenější světovou normu. Její užití je obvyklé zejména v Evropě, Austrálii a celé Asii.
Další řadou bezpečnostních norem, které se vyvíjely souběžně, jsou německé normy BSI (Bundesamt für Sicherheit in der Informationstechnik). Tyto normy pokrývají ve stejné míře technické, organizační, infrastrukturní i personální aspekty. Díky svému širokému základu nabízí tyto normy systematický přístup k bezpečnosti informací, který je kompatibilní s ISO/IEC 27001. Jedná se o následující normy:
Jedná se o velice důkladně napsané normy, podle kterých lze ISMS certifikovat a často se využívají k doplnění některých činností (zejména hodnocení rizik) ISMS zavedených podle jiných norem.
Bezpečnostní normy řady ISO/IEC 27000 jsou uznávané celosvětově. V USA se ve státním sektoru využívají pro zajištění bezpečnosti informací zejména normy FISMA a NIST, v soukromém, zvláště obchodním, pak také normy SOC.
Federal Information Security Management Act of 2014 (FISMA), neboli Federální zákon o řízení bezpečnosti informací, je americký zákon, který definuje rámec pro ochranu vládních informací. Zákon byl podstatně revidován v roce 2014. FISMA uvádí požadavky na federální a státní agentury, podniky a poskytovatele služeb, kteří mají smlouvu s vládou USA. Tyto organizace jsou povinny vyvíjet, dokumentovat a implementovat programy zabezpečení informací k ochraně citlivých dat. K ověření zabezpečení informací FISMA vyžaduje provádění každoročního přezkoumání programů bezpečnosti informací. Cílem prověření je udržet rizika na nebo pod stanovenou přijatelnou úrovní. Vlastní rámec je dále definován standardy a pokyny vyvinutými NIST s důrazem na:
Hlavními normami jsou pro FISMA následující normy:
National Institute of Standards and Technology (NIST) vyvíjí standardy a pokyny, jako jsou minimální bezpečnostní požadavky, které podporují federální legislativu.
Výhodou norem NIST je, že podobně jako normy řady ISO/IEC 27000 zahrnují celou řadu standardů pro jednotlivé oblasti bezpečnosti informací. Tyto normy jsou velmi komplexní a návodné, mohou dobře sloužit pro tvorbu metodik činností a jejich velkou výhodou je, že jsou dostupné zdarma na webu. NIST Cybersecurity program zahrnuje následující oblasti:
Dále NIST zveřejňuje interní zprávy NIST (NIST Interagency or Internal Reports, NISTIRs) s popisem výsledků výzkumů sponzorovaných ze státního i z veřejného sektoru a vydává ITL bulletiny týkající se kybernetické bezpečnosti.
Poslední dobou získávají na významu i metodiky Service and Organization Control (SOC) vydané American Institute of Certified Public Accountants (AICPA) pro servisní organizace. Organizace v rámci implementace SOC zavádějí bezpečnostní opatření, která pak kontroluje nezávislý auditor. Opatření jsou zaváděna v oblastech SOC 1 až 3 a jejich získáním organizace deklaruje zajištění příslušné oblasti bezpečnosti služeb v daných oblastech. Oblasti SOC jsou následující:
Dále je třeba zmínit, že mimo výše uvedených standardů jsou v českých podmínkách vytvářeny normy i samotným státem, a to v rámci legislativy věnované kybernetické bezpečnosti. Toto téma by si však svým rozsahem žádalo samostatný článek.
Všechny zde zmíněné normy pracují s přímým vztahem hodnocení rizik s následným výběrem opatření, jejichž účinnost je pravidelně hodnocena. Toto je alfa a omega všech metodik pro zavádění bezpečnosti informací v organizacích. Doplníme-li toto o použití vhodné normy, kterou vybereme v závislosti na prostředí, ve kterém chceme působit, je vytvořen dobrý základ, na kterém je možné vybudovat funkční systém řízení bezpečnosti informací. Vhodné je využívat i další normy, a to pro doplnění problematiky, která je v nich dobře rozpracována. Nesmíme však zapomenout dodržovat terminologii tak, aby bylo řešení všem srozumitelné.