§ 3

Systém řízení bezpečnosti informací (ISMS). Zjistíte, jak nastavit rozsah a cíle ISMS, jak ISMS monitorovat a vyhodno­covat.

Systém řízení bezpečnosti informací

Systém řízení bezpečnosti informací (z anglického Information Security Management System), zkratkou ISMS, je rámec politik, postupů, směrnic, přidru­žených zdrojů a činností k dosažení stanovených cílů organizace. ISMS podle VKB:

  • Je postaven na metodě postupného zlepšování pomocí PDCA cyklu (Plan – Do – Check – Act) a na přístupu k řízení rizik informačního a komuni­kačního systému.
  • Stanovuje způsob ustanovení, zavádění a provo­zování, monitorování a přezkou­mání, udržování a zlepšo­vání bezpečnosti informací a dat, po vzoru mezinárodní normy ISO/IEC 27001.
  • Upozornění: Díky soustavnému a správnému vykonávání činností, které jsou níže obecně popsány a následně dále v textu rozpracovány do konkrétních požadavků VKB, dochází k dosažení kontinuálního zlepšování ISMS v organi­zaci, protože je naplněn PDCA cyklus.
Ilustrační schéma PDCA cyklu. Schéma ukazuje, jak se střídají a opakují etapy PDCA cyklu.

Ilustrační schéma PDCA cyklu. Schéma ukazuje, jak se střídají a opakují etapy PDCA cyklu. Zdroj: Vlastní tvorba

Stanovení rozsahu ISMS

Nezbytným krokem pro efektivní řízení bezpečnosti informací je stanovení adekvátního rozsahu ISMS v organi­zaci. Rozsah je třeba vymezit organi­začními částmi a aktivy, kterých se ISMS týká. Stanovením rozsahu ISMS dojde k vymezení těch částí organizace, na které budou činnosti spojené s ISMS aplikovány a na které nikoliv. Při stanovování rozsahu ISMS je nutné přihlédnout k požadavkům organizace a k požadavkům dotčených stran, např. k zákonným a jiným právním požadavkům (smluvním atd.):

  • Detailní rozsah ISMS, který musí zahrnovat minimálně aktiva a organi­zační části v rozsahu daného informačního nebo komunikačního systému, určuje povinná osoba sama.
  • V souladu s nejlepší praxí je vhodné stanovit rozsah ISMS napříč celou organizací s minimem výjimek, tak aby bylo zajištěno, že jsou v rozsahu všechna klíčová aktiva organizace, která je potřeba chránit.

I při stanovení rozsahu ISMS na celou organizaci probíhá případná kontrola ze strany NÚKIB pouze v rozsahu určených systémů v souladu se ZKB:

  • Organizační části v rozsahu ISMS – například sekce, odbory, oddělení apod.
  • Aktiva zařazená do rozsahu ISMS hranice (perimetr) je potřeba dokumentovat.

Stanovení cílů ISMS

V rámci ISMS je nezbytné vhodně stanovit jeho cíle. Tyto cíle je třeba nastavit tak, aby je bylo možné vyhodnocovat a sledovat tak jejich plnění. Pro definici cílů lze využít například metodu SMART. Dle této metody by měl být cíl definován pěti charakte­ristikami:

  • S – Specific – co nejpřesnější, aby bylo zřejmé, co je daným cílem myšleno.
  • M – Measurable – měřitelný, aby bylo možné posoudit, do jaké míry byl cíl naplněn.
  • A – Accepted – akceptovaný (přijatý) zodpovědnou osobou.
  • R – Realistic – reálný, aby ho bylo možné v reálném čase dosáhnout.
  • T – Timed – časově ohraničený, aby bylo zřejmé, kdy má být cíl splněn.

Jako příklady SMART cílů můžeme uvést třeba: Procentuální snížení počtu řešení případů zavirování pracovní stanice vinou uživatele (antivirová řešení jak na stanicích, mailových serverech, tak poučení uživatelů), zabránění úniku informací (správné nasazení DLP), zrychlení doby obnovy systému po selhání (řešení kontinuity činností), zefektivnění a zrychlení řešení bezpečnostních incidentů (nasazení prostředí pro jejich řešení).

Další činnosti spojené s ISMS

Jedná se pouze o úvodní výčet činností s krátkými anotacemi. Dané problematice se věnují příslušné okruhy tohoto kurzu hlouběji a prakticky.

Hodnocení rizik

Hodnocení rizik je postup, na základě kterého dojde ke zjištění možných bezpečnostních rizik a stanovení jejich hodnot. Znát hodnotu rizika je důležité např. pro jejich prioritizaci. Rizika jsou následně obvykle snižována zaváděním bezpečnostních opatření. Hodnocení rizik je prováděno pro všechna aktiva v rámci rozsahu ISMS.

Bezpečnostní politiky

Na základě bezpečnostních potřeb organizace a výsledků hodnocení rizik je v rámci ISMS nezbytné vytvořit a schválit bezpečnostní politiku pro jednotlivé oblasti ISMS obsahující hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací.

Monitorování ISMS

Současně je třeba zajistit řízení provozu a zdrojů ISMS a zaznamenávat činnosti spojené s ISMS a řízením rizik. Příklady: zaznamenávání činností (logů) jednotlivých technologických zařízení, měření efektivity ISMS, sledování bezpečnostních událostí, zaznamenávání událostí ovlivňujících výkon nebo efektivitu ISMS, schvalování rozpočtu na ISMS, uchovávání zápisů z jednání Výboru pro kybernetickou bezpečnost.

Řízení změn

Změny patřící do rozsahu ISMS je nutné průběžně identifikovat a v případě významných změn je následně i řídit. Významnou změnou se rozumí změna, která má nebo může mít vliv na kybernetickou bezpečnost a představuje vysoké riziko bez ohledu na již zavedená opatření. Za významnou změnu lze považovat například změnu konfigurace, funkčnosti ale i změnu významného dodavatele.

Kontrola a audit ISMS

Další klíčovou součástí je zajištění pravidelného provádění auditu systému řízení bezpečnosti informací/kybernetické bezpečnosti (dále jen „auditu“) v rámci rozsahu ISMS, který slouží jako nástroj pro zajištění efektivního zlepšování zavedeného ISMS a jako upozornění na případné odchylky od nejlepší praxe.

Vyhodnocování účinnosti ISMS

Dále je potřeba zajistit i pravidelné vyhodnocování účinnosti ISMS, které obsahuje hodnocení stavu ISMS včetně revize hodnocení rizik, posouzení výsledků provedených auditů a dopadů kybernetických bezpečnostních incidentů na stanovený rozsah ISMS.

Aktualizace ISMS

Na základě výsledků vyhodnocení účinnosti ISMS, zjištění auditů a v souvislosti s významnými změnami je nutné aktualizovat ISMS a příslušnou dokumentaci.