Systém řízení bezpečnosti informací – co se z norem postupně vytrácí



Dnes se všichni zabývají bezpečností informací a hledají, co by jim mohlo pomoci. V rámci Mezinárodní organizace pro normalizaci (International Organization for Standardization – ISO) vznikala doporučení založená na nejlepší praxi. Během času se tyto normy měnily a aktualizovaly, reagovaly na změny jak v technologickém světě, tak i na novinky ze světa bezpečnosti. Snahou bylo také sjednotit jejich strukturu. Ne všechny změny však vedly k lepšímu.

Jan Goll, Senior Information Security Consultant ve společnosti Anect
Jan Goll, Senior Information Security Consultant ve společnosti Anect
Pokud se zaměříme na vývoj těchto norem v rámci ČR, v roce 1999 u nás vychází česká verze první z řady norem ISO/IEC TR 1335-1 z roku 1996, tato norma definuje základní pojetí a modely pro řízení bezpečnosti informačních technologií. Velmi přínosné je, že obsahuje i velmi názorné schéma vztahů aktiv, zranitelností, hrozeb, opatření a vliv na rizika. Je zajímavé, že na tento již poměrně zapomenutý obrázek vztahů při managementu rizik si v NÚKIBu vzpomněli autoři „Metodiky k varování ze dne 17. prosince 2019“ a překreslené jej uvedli jako „Přehledové schéma k řízení rizik“. Bezesporu správný krok, jen škoda, že se toto schéma nedostalo do přílohy vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti, nejlépe do přílohy číslo 2.

Po této normě, která měla statut technické zprávy (anglicky Technical Report – označení TR) následovaly s ročním odstupem další dvě. ČSN ISO/IEC TR 1335-2:2000 popisující řízení a plánování bezpečnosti informačních technologií, která obsahovala z mého pohledu minimálně dvě zajímavá schémata. Jedno se týkalo hierarchických vztahů mezi politikami (tu dnes najdete v Příloze D normy ČSN ISO/IEC 27003), druhé pak organizace bezpečnosti informací (dnes v Příloze B normy ČSN ISO/IEC 27003). Schéma s tématem organizace bezpečnosti informačních technologií obsahovalo vztah mezi řízením informačních technologií a řízením bezpečnosti informačních technologií, což si v dnešním pojetí řízení bezpečnosti informací vyžádalo kvůli zajištění komplexnosti v celé organizaci rozšíření o další zainteresované organizační jednotky. Již zmíněná vyhláška o kybernetické bezpečnosti pak v příloze číslo 6 popisuje „Výbor pro řízení kybernetické bezpečnosti“ a povinné bezpečnostní role, ale bez jakéhokoliv nástinu nejlepší praxe návaznosti na své okolí a tuto kompetenci zcela nechává na bezpečnostním výboru. Tato TR norma je zajímavá i tím, že zde lze vysledovat nástin modelu PDCA (Plan - Do - Check - Act / Plánuj - Dělej - Kontroluj - Jednej).

Popis technik pro řízení bezpečnosti...

ČSN ISO/IEC TR 1335-3:2000 doplňuje předešlé dvě normy o popis technik pro řízení bezpečnosti informačních technologií, řízení rizik, plán bezpečnosti, povědomí o bezpečnosti, monitoring, kontrolu shody, řízení změn a incidentů. Dalo by se říci, že to byl ekvivalent dnešní ČSN ISO/IEC 27002:2014 – soubor postupů pro opatření bezpečnosti informací. V roce 2000 byly doplněny další dvě normy týkající se výběru ochranných opatření a ochranných opatření pro externí spojení. Za pozornost stojí zejména pestré spektrum příloh ČSN ISO/IEC TR13335-4:2002 – Příloha A – Soubor postupů pro řízení informační bezpečnosti BS 7799, Příloha B – ETSI norma bezpečnosti základní úrovně, Příloha C – Příručka ochrany IT na základní úrovni, Příloha D – NITS Příručka bezpečnosti počítačů, Příloha E – Lékařská informatika: Kategorizace bezpečnosti a ochrana informačních systémů ve zdravotnictví, Příloha F –TC68 Bankovnictví a související finanční služby – příručka informační bezpečnosti, Příloha G – Ochrana citlivých informací mino působnost zákona „Official Secrets ACT“ – Doporučení pro pracovní stanice a Příloha H – Kanadská příručka bezpečnosti informačních technologií.

V daném roce vychází poměrně převratná norma ISO/IEC 17799 (což je de facto převzatý BS 7799) – Soubor postupů pro řízení informační bezpečnosti a v roce 2001 tato vychází i jako ČSN (zatím bez překladu).

A zde se dá po mírném počátečním chaosu vystopovat začátek vzniku celé řady norem ISO 2700x a normou ČSN BS 7799-2:2004 – systém managementu bezpečnosti informací se dovršuje uvolňování úzkého vztahu bezpečnosti a informačních technologií (jak lze vypozorovat i z názvů norem: bezpečnost informačních technologií – informační bezpečnost – bezpečnost informací). Tento posun je bezesporu správný, jelikož nejcennějším aktivem jsou data, chcete-li informace, bez nichž zbytek nedává smysl, a jejich ochrana nemůže končit s opuštěním technických prostředků. Jedná se o komplexní záležitost, kdy je nutné chránit informace v celém jejich životním cyklu bez ohledu na to, zda se jedná o automatizované či tzv. non-IT zpracování. Také začíná být naplno uplatňován procesní způsob řízení a zaveden model PDCA. Dnes, díky všudypřítomné digitalizaci a přechodem na cloudové služby, dochází ke stavu, kdy zásadním ochranným perimetrem není interní firemní síť a nejvíce chráněné prvky byly ty, které umožňovaly prostupy mezi touto sítí a okolním digitálním světem. Vystává ale nutnost ochrany všech koncových zařízení a opět stoupá význam informačních technologií a technologických opatření. Na tento trend reagovala například norma ČSN ISO/IEC 27001:2014 přesunutím opatření pro mobilní zařízení a práce na dálku do oblasti organizace bezpečnosti informací a vyhláška č. 82/2018 Sb. o kybernetické bezpečnosti zdůrazněním celé skupiny technických opatření.

Ztrácí se přehlednost a jednoduchost

A tak pěkně to začalo ČSN ISO/IEC 27001:2006 – požadavky pro management bezpečnosti informací (české lokalizace norem vychází s cca ročním zpožděním). Tato verze normy ještě obsahovala popis procesního přístupu, PDCA model s popisem jednotlivých fází, požadavky na dokumentaci a její řízení. Z poslední verze ČSN ISO/IEC 27001:2014 se řada srozumitelných popisů vytratila, některé se přesunuly do ČSN ISO/IEC 27002:2014, PDCA model s podrobným popisem plánovací fáze do ČSN ISO/IEC 27003:2011.

Je vidět, že řada principů platí i s odstupem desítek let. A co se naopak ztrácí? Přehlednost a jednoduchost, kterou v roce 2006 plnila základní norma ISO 27001. Je pravda, že k realizaci řady opatření mnohdy nestačil „návod na implementaci“ obsažený v normě ISO 27002 a potřeba vzniku dalších specializovaných norem byla zřejmá, ale dle mého názoru by přehlednosti jen prospělo, kdyby všechny základní principy zůstaly vysvětleny v ISO 27001 tak, aby byla z této normy jasná celá struktura řízení a požadavků na bezpečnost informací bez nutnosti prostudovat všechny normy řady ISO 2700x a pro řízení dokumentace navíc i ISO 9001.

Asi není moc co závidět bezpečnostním manažerům například v bankovním sektoru, kteří musí naplnit požadavky ISO 27001, vyhlášky ČNB č. 163/2014 Sb., o výkonu činnosti bank, spotřebních a úvěrních družstev a obchodníků s cennými papíry, PCI DSS – Payment Card Industry Data Security Standard (tedy požadavky na zabezpečení operací s kreditními kartami), PSD2 – Směrnice o platebních službách č. 2015/2366 a na ni navazující zákon č. 370/2017 Sb., o platebním styku. V případě, kdy organizace zavede integrovaný systém řízení a implementuje ISO 9001- řízení kvality, ISO 27001 - ISMS, ISO 20000 – řízení ICT, ISO 14000 - ENVI, BS OHSAS 18001 - BOZP, tak to teprve je, jak je dnes moderní říkat „výzva“, aby dokumentace zůstala přehledná, srozumitelná, dobře spravovatelná, konzistentní a informace v ní snadno dohledatelné i pro běžné uživatele.

Snad systém řízení bezpečnosti informací nepotká stejný osud jako některé sofistikované metody analýzy rizik, které se díky své složitosti a nárokům na interpretaci výsledků staly nepoužitelnými, o cenách nástrojů, které tyto metody využívají a jejich implementaci, raději pomlčím.

Ve stručnosti se dá konstatovat, že byť existuje mnoho doporučení pro nastavení a provoz systému řízení bezpečnosti informací, což normy ISO jsou, ne vždy jsou přehledné a snadno uchopitelné. Zajímavostí zde však je, že požadavek všech systémů a doporučení je mimo jiné přehlednost a snadná dohledatelnost dokumentační základny.

Jan Goll, Senior Information Security Consultant ve společnosti Anect


(23. 5. 2019 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Tip - Konference: DATOVÁ CENTRA PRO BUSINESS 2019 - 19.9.2019!
Hledáme nové kolegy pro realizaci zajímavých projektů
v oblasti IT

NOVINKA: Pozoruhodné IT produkty 2019 podruhé
Ani tentokrát si nenechte ujít produkty, které vám mohou pomoci ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2019
Náš první letošní seznam zajímavých produktů, které byste určitě neměli minout






Články čtenářů

Titulky vložené do videa a další vid...


Dnes tu má tip pro všechny, kdo nejen pracují, ale také se občas baví :). Co dělat, když potřebujete video s vloženými titulky a máte jen video, kde titulky vložené ...

Problém: Pomalá Windows 10 a jak je ...


Pomalá Windows 10, to je problém, se kterým se potkává řada uživatelů. Často přitom nastane najednou, doslova ze dne na den. Windows se pomalu spouštějí, aplikace se...

Komentáře čtenářů

TBW
Dobrý den. Koukám že váš článek je z roku 2016. Dnes je rok 2019 a situace může být odlišná. Můj dotaz z...>>
Podnikání na youtube
Zdravím, měl bych pár dotazů týkajících se podnikání na youtube. Četl jsem na http://techhity.cz/media/j...>>
Zdá se mi to nebezpečné
Přijde mi to už docela nebezpečné, že půjde platit i prostřednictvím televize. Ale pokrok nezastavíme. C...>>


©2011-2019 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(6955)