+420 237 836 950 sales@ngss.cz English
Metodiky řízení bezpečnosti – možnosti využití bezpečnostních norem při zajištění bezpečnosti informací

Metodiky řízení bezpečnosti – možnosti využití bezpečnostních norem při zajištění bezpečnosti informací

01. 01. 2019
Řízení bezpečnosti je nedílnou součástí řízení organizace a zahrnuje vymezení, co máme chránit, jaká rizika nám hrozí a přijetí takových opatření, abychom dosáhli a udrželi stav, kdy předcházíme možným rizikům a problémům.

Řízení bezpečnosti

Řízení bezpečnosti je nedílnou součástí řízení organizace a zahrnuje vymezení, co máme chránit, jaká rizika nám hrozí a přijetí takových opatření, abychom dosáhli a udrželi stav, kdy předcházíme možným rizikům a problémům. Tohoto můžeme dosáhnout pomocí různých metod, procedur, směrnic, standardů a nástrojů.

 

Metodiky řízení bezpečnosti

Metodiky řízení bezpečnosti jsou poměrně složitou a rozsáhlou oblastí, kdy je možné se zaměřit na jednotlivé metody, jako jsou například FMEA (Analýza možných vad a jejich následků), FMECA (Analýza možných vad a jejich kritických následků) a řadu dalších. Nebo se lze zaměřit na řízení bezpečnosti podle požadavků norem. Samotná problematika metodického řízení bezpečnosti je úzce spjata s bezpečnostními normami a to, jakou normu se rozhodneme použít, pak ovlivňuje i způsob zavedení bezpečnostních požadavků.

 

Bezpečnostní norma jako základ vzájemného porozumění

Norma (někdy také standard) je požadavek na chování nebo vlastnosti věci, člověka, situace apod., kterým se buď předepisuje a vyžaduje, nebo popisuje, co je normální (přijatelné nebo obvyklé).

Použití normy při řešení bezpečnosti přináší výhody, že toto řešení je obecně srozumitelné všem, kteří normu používají, a to jak po stránce metodiky, tak po stránce použitých pojmů. Na řešení bezpečnosti podle konkrétní normy může snáze navázat i ten, kdo nezná podmínky dané organizace. Stejně tak použití norem vytváří ovzduší důvěry, kdy mohu předpokládat, co řešení podle konkrétní normy obsahuje.

 

Vybrané systémy řízení bezpečnosti informací

Nejrozšířenější bezpečnostní normou jak v podmínkách ČR, tak ve světě, jsou normy řady ISO/IEC 27000. Tyto normy se vyvinuly z původního britského standardu BS 7799. Zdroje britského standardu tvořily manuály potravinářských řetězců a společnosti Shell, což dokladuje jejich praktický základ. Původní britská norma měla za cíl vytvořit přehled dobrých praktik, jejichž zavedení povede k zajištění ochrany zpracovávaných informací. Později byla norma doplněna o hodnocení rizik jako základního kamene pro výběr bezpečnostních opatření. Přeměna do současné podoby byla završena zařazením pravidelného vyhodnocování stavu, nápravy zjištěných nedostatků a provádění kontinuálního zlepšování. Dnes lze na řadu 27000 nahlížet jako na poměrně ucelenou knihovnu norem, kde najdeme odpovědi na většinu otázek bezpečnosti informací. Na začátku června 2021 tvořilo tuto řadu celkem 63 norem (včetně korektur). Řada ISO/IEC 27000 zahrnuje normy věnované terminologii, metodice zavádění ISMS, metrikám, provádění hodnocení rizik, auditu atd. Dále jsou zde normy věnované jednotlivým sektorům, kdy jsou opatření uváděna v závislosti na konkrétním odvětví, což jsou například telekomunikace (ISO/IEC 27011:2016). Pozornost je věnována i společnému zavádění norem řady ISO/IEC 27000 ISO/IEC 20000 věnovaných managementu IT Služeb (ISO/IEC 27013:2015). V posledních letech byly pak rozvíjeny i normy pro jednotlivé oblasti bezpečnosti, kdy například bezpečnosti sítí je věnováno celkem 6 norem vydaných v rozmezí let 2011 až 2015 (ISO/IEC 27031-1 až 6). V portfoliu norem řady ISO/IEC 27000 nechybí ani v poslední době mnohokrát skloňovaná kybernetická bezpečnost (ISO/IEC 27009:2020, ISO/IEC 27014:2020, ISO/IEC TS 27100:2020 atd.) a ochrana osobních údajů (ISO/IEC 27701:2019). Soulad s normou lze certifikovat a jak již bylo uvedeno, jedná se o nejrozšířenější světovou normu. Její užití je obvyklé zejména v Evropě, Austrálii a celé Asii.

Další řadou bezpečnostních norem, které se vyvíjely souběžně, jsou německé normy BSI (Bundesamt für Sicherheit in der Informationstechnik). Tyto normy pokrývají ve stejné míře technické, organizační, infrastrukturní i personální aspekty. Díky svému širokému základu nabízí tyto normy systematický přístup k bezpečnosti informací, který je kompatibilní s ISO/IEC 27001. Jedná se o následující normy:

  • Norma BSI 200-1 definuje obecné požadavky na systém řízení bezpečnosti informací (dále jen ISMS).
  • BSI Standard 200-2 uvádí metodiku zavedení ISMS.
  • BSI Standard 200-3 obsahuje popis způsobu hodnocení rizik.
  • BSI Standard 100-4 uvádí požadavky na zajištění kontinuity činností (Business Continuity Management – BCM).

Jedná se o velice důkladně napsané normy, podle kterých lze ISMS certifikovat a často se využívají k doplnění některých činností (zejména hodnocení rizik) ISMS zavedených podle jiných norem.

Bezpečnostní normy řady ISO/IEC 27000 jsou uznávané celosvětově. V USA se ve státním sektoru využívají pro zajištění bezpečnosti informací zejména normy FISMA a NIST, v soukromém, zvláště obchodním, pak také normy SOC.

Federal Information Security Management Act of 2014 (FISMA), neboli Federální zákon o řízení bezpečnosti informací, je americký zákon, který definuje rámec pro ochranu vládních informací. Zákon byl podstatně revidován v roce 2014. FISMA uvádí požadavky na federální a státní agentury, podniky a poskytovatele služeb, kteří mají smlouvu s vládou USA. Tyto organizace jsou povinny vyvíjet, dokumentovat a implementovat programy zabezpečení informací k ochraně citlivých dat. K ověření zabezpečení informací FISMA vyžaduje provádění každoročního přezkoumání programů bezpečnosti informací. Cílem prověření je udržet rizika na nebo pod stanovenou přijatelnou úrovní. Vlastní rámec je dále definován standardy a pokyny vyvinutými NIST s důrazem na:

  • Stanovení minimálních bezpečnostních požadavků, kdy jsou vybírána relevantní bezpečnostní opatření v závislosti na rizicích a potřebách IS a/nebo organizace.
  • Zdokumentování bezpečnostních opatření v plánu zabezpečení systému s důrazem na soupis spravovaných informací a systémů a jejich rozhraní. Plán by měl uvádět základní opatření k ochraně těchto systémů včetně způsobu jejich zavedení.
  • Výběr opatření na základě hodnocení rizik včetně posouzení jejich účinnosti.
  • Pravidelné roční přezkoumání stavu bezpečnosti prováděné vedoucími zaměstnanci s tím, že toto přezkoumání je formou certifikace. Certifikace a akreditace jsou definovány v NIST SP 800-37.
  • Neustálé monitorování bezpečnostních opatření.


Hlavními normami jsou pro FISMA následující normy:

  • FIPS 199 – Standards for Security Categorization of Federal Information and Information Systems je standard federální vlády Spojených států, který stanoví bezpečnostní kategorie informačních systémů používaných federální vládou jako jednu ze součástí hodnocení rizik.
  • FIPS 200 – Minimum Security Requirements for Federal Information and Information Systems specifikuje minimální bezpečnostní požadavky pro nevojenské federální informační systémy. Implementuje oprávnění dané NIST podle federálního zákona o řízení bezpečnosti informací.
  • Série NIST 800 je sada dokumentů, které popisují zásady, postupy a pokyny pro kybernetickou bezpečnost federální vlády USA. Dokumenty jsou vydávány na základě povinností přidělených NIST v rámci zákonu FISMA.

 

National Institute of Standards and Technology (NIST) vyvíjí standardy a pokyny, jako jsou minimální bezpečnostní požadavky, které podporují federální legislativu.

Výhodou norem NIST je, že podobně jako normy řady ISO/IEC 27000 zahrnují celou řadu standardů pro jednotlivé oblasti bezpečnosti informací. Tyto normy jsou velmi komplexní a návodné, mohou dobře sloužit pro tvorbu metodik činností a jejich velkou výhodou je, že jsou dostupné zdarma na webu. NIST Cybersecurity program zahrnuje následující oblasti:

  • kryptografie, Posílení řízení rizik
  • praktická řešení 
  • systémy průmyslového řízení (ICS)   
  • internet věcí (IoT)
  • školení a vzdělávání pracovníků.   

 

Dále NIST zveřejňuje interní zprávy NIST (NIST Interagency or Internal Reports, NISTIRs) s popisem výsledků výzkumů sponzorovaných ze státního i z veřejného sektoru a vydává ITL bulletiny týkající se kybernetické bezpečnosti.

Poslední dobou získávají na významu i metodiky Service and Organization Control (SOC) vydané American Institute of Certified Public Accountants (AICPA) pro servisní organizace. Organizace v rámci implementace SOC zavádějí bezpečnostní opatření, která pak kontroluje nezávislý auditor. Opatření jsou zaváděna v oblastech SOC 1 až 3 a jejich získáním organizace deklaruje zajištění příslušné oblasti bezpečnosti služeb v daných oblastech. Oblasti SOC jsou následující:

  • SOC 1 (2011) je určena pro servisní organizace, které mohou v rámci své činnosti ovlivnit finanční reporty klientských organizací. SOC 1 je určena pro účetní, finanční auditory nebo pro poskytovatele transakčních systémů, poskytovatele hostingu pro finanční data a obdobné poskytovatele finančních služeb.
  • SOC 2 (2011) je určena pro poskytovatele služeb, kteří zpracovávají data klientů a chtějí svým klientům doložit, že jsou u nich jejich data v bezpečí. Tato oblast je vhodná pro servisní organizace v IT, poskytovatele cloudových služeb nebo pro datová centra. Zpracovávané reporty obsahují poměrně detailní a citlivá data a je potřebné je přiměřeně chránit a adekvátně distribuovat.
  • SOC 3 (2011) je určen pro organizace, které jsou držitelem SOC 2 a je určen k prezentaci zabezpečení dat na webových stránkách. Report tvoří zobecněná zpráva ze SOC 2, která již neobsahuje detailní informace, které by mohl někdo zneužít. Ve zprávě SOC 3 je uveden základní design systému ochrany dat klientů a informačních systémů.
  • SOC for Cybersecurity (2017) reaguje na vývoj kybernetické bezpečnosti. Zpráva popisuje řízení rizik kybernetické bezpečnosti v organizaci.
  • SOC for Supply Chain (2020) je určena organizacím, jejich zákazníkům a obchodním partnerům. Tato oblast SOC pomáhá identifikovat, vyhodnocovat a zvládat rizika dodavatelského řetězce. Cílem je zvýšení ochrany informací v rámci dodavatelského řetězce.

Dále je třeba zmínit, že mimo výše uvedených standardů jsou v českých podmínkách vytvářeny normy i samotným státem, a to v rámci legislativy věnované kybernetické bezpečnosti. Toto téma by si však svým rozsahem žádalo samostatný článek.

 

Bezpečnostní normy: Co říci závěrem?

Všechny zde zmíněné normy pracují s přímým vztahem hodnocení rizik s následným výběrem opatření, jejichž účinnost je pravidelně hodnocena. Toto je alfa a omega všech metodik pro zavádění bezpečnosti informací v organizacích. Doplníme-li toto o použití vhodné normy, kterou vybereme v závislosti na prostředí, ve kterém chceme působit, je vytvořen dobrý základ, na kterém je možné vybudovat funkční systém řízení bezpečnosti informací. Vhodné je využívat i další normy, a to pro doplnění problematiky, která je v nich dobře rozpracována. Nesmíme však zapomenout dodržovat terminologii tak, aby bylo řešení všem srozumitelné.
 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

Sledujte náš LinkedIn
Vstup do SMC
O nás
Případové studie
Blog
Kontakt
NESTOR SOC247
GDPR
NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.
Telefon +420 237 836 950
E-mail sales@ngss.cz