§ 3

Systém řízení bezpečnosti informací (ISMS). Zjistíte, jak nastavit rozsah a cíle ISMS, jak ISMS monitorovat a vyhodno­covat.

Systém řízení bezpečnosti informací

Systém řízení bezpečnosti informací (z anglického Information Security Management System), zkratkou ISMS, je rámec politik, postupů, směrnic, přidru­žených zdrojů a činností k dosažení stanovených cílů organizace. ISMS podle VKB:

  • Je postaven na metodě postupného zlepšování pomocí PDCA cyklu (Plan – Do – Check – Act) a na přístupu k řízení rizik informačního a komuni­kačního systému.
  • Stanovuje způsob ustanovení, zavádění a provo­zování, monitorování a přezkou­mání, udržování a zlepšo­vání bezpečnosti informací a dat, po vzoru mezinárodní normy ISO/IEC 27001.
  • Upozornění: Díky soustavnému a správnému vykonávání činností, které jsou níže obecně popsány a následně dále v textu rozpracovány do konkrétních požadavků VKB, dochází k dosažení kontinuálního zlepšování ISMS v organi­zaci, protože je naplněn PDCA cyklus.
Ilustrační schéma PDCA cyklu. Schéma ukazuje, jak se střídají a opakují etapy PDCA cyklu.

Ilustrační schéma PDCA cyklu. Schéma ukazuje, jak se střídají a opakují etapy PDCA cyklu. Zdroj: Vlastní tvorba

Stanovení rozsahu ISMS

Nezbytným krokem pro efektivní řízení bezpečnosti informací je stanovení adekvátního rozsahu ISMS v organi­zaci. Rozsah je třeba vymezit organi­začními částmi a aktivy, kterých se ISMS týká. Stanovením rozsahu ISMS dojde k vymezení těch částí organizace, na které budou činnosti spojené s ISMS aplikovány a na které nikoliv. Při stanovování rozsahu ISMS je nutné přihlédnout k požadavkům organizace a k požadavkům dotčených stran, např. k zákonným a jiným právním požadavkům (smluvním atd.):

  • Detailní rozsah ISMS, který musí zahrnovat minimálně aktiva a organi­zační části v rozsahu daného informačního nebo komunikačního systému, určuje povinná osoba sama.
  • V souladu s nejlepší praxí je vhodné stanovit rozsah ISMS napříč celou organizací s minimem výjimek, tak aby bylo zajištěno, že jsou v rozsahu všechna klíčová aktiva organizace, která je potřeba chránit.

I při stanovení rozsahu ISMS na celou organizaci probíhá případná kontrola ze strany NÚKIB pouze v rozsahu určených systémů v souladu se ZKB:

  • Organizační části v rozsahu ISMS – například sekce, odbory, oddělení apod.
  • Aktiva zařazená do rozsahu ISMS hranice (perimetr) je potřeba dokumentovat.

Stanovení cílů ISMS

V rámci ISMS je nezbytné vhodně stanovit jeho cíle. Tyto cíle je třeba nastavit tak, aby je bylo možné vyhodnocovat a sledovat tak jejich plnění. Pro definici cílů lze využít například metodu SMART. Dle této metody by měl být cíl definován pěti charakte­ristikami:

  • S – Specific – co nejpřesnější, aby bylo zřejmé, co je daným cílem myšleno.
  • M – Measurable – měřitelný, aby bylo možné posoudit, do jaké míry byl cíl naplněn.
  • A – Accepted – akceptovaný (přijatý) zodpovědnou osobou.
  • R – Realistic – reálný, aby ho bylo možné v reálném čase dosáhnout.
  • T – Timed – časově ohraničený, aby bylo zřejmé, kdy má být cíl splněn.

Jako příklady SMART cílů můžeme uvést třeba: Procentuální snížení počtu řešení případů zavirování pracovní stanice vinou uživatele (antivirová řešení jak na stanicích, mailových serverech, tak poučení uživatelů), zabránění úniku informací (správné nasazení DLP (Data Loss Prevention - ochrana před ztrátou dat), zrychlení doby obnovy systému po selhání (řešení kontinuity činností), zefektivnění a zrychlení řešení bezpečnostních incidentů (nasazení prostředí pro jejich řešení).

Další činnosti spojené s ISMS

Jedná se pouze o úvodní výčet činností s krátkými anotacemi. Dané problematice se věnují příslušné okruhy tohoto kurzu hlouběji a prakticky.

Hodnocení rizik

Hodnocení rizik je postup, na základě kterého dojde ke zjištění možných bezpečnostních rizik a stanovení jejich hodnot. Znát hodnotu rizika je důležité např. pro jejich prioritizaci. Rizika jsou následně obvykle snižována zaváděním bezpečnostních opatření. Hodnocení rizik je prováděno pro všechna aktiva v rámci rozsahu ISMS.

Bezpečnostní politiky

Na základě bezpečnostních potřeb organizace a výsledků hodnocení rizik je v rámci ISMS nezbytné vytvořit a schválit bezpečnostní politiku pro jednotlivé oblasti ISMS obsahující hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací.

Monitorování ISMS

Současně je třeba zajistit řízení provozu a zdrojů ISMS a zaznamenávat činnosti spojené s ISMS a řízením rizik. Příklady: zaznamenávání činností (logů) jednotlivých technologických zařízení, měření efektivity ISMS, sledování bezpečnostních událostí, zaznamenávání událostí ovlivňujících výkon nebo efektivitu ISMS, schvalování rozpočtu na ISMS, uchovávání zápisů z jednání Výboru pro kybernetickou bezpečnost.

Řízení změn

Změny patřící do rozsahu ISMS je nutné průběžně identifikovat a v případě významných změn je následně i řídit. Významnou změnou se rozumí změna, která má nebo může mít vliv na kybernetickou bezpečnost a představuje vysoké riziko bez ohledu na již zavedená opatření. Za významnou změnu lze považovat například změnu konfigurace, funkčnosti ale i změnu významného dodavatele.

Kontrola a audit ISMS

Další klíčovou součástí je zajištění pravidelného provádění auditu systému řízení bezpečnosti informací/kybernetické bezpečnosti (dále jen „auditu“) v rámci rozsahu ISMS, který slouží jako nástroj pro zajištění efektivního zlepšování zavedeného ISMS a jako upozornění na případné odchylky od nejlepší praxe.

Vyhodnocování účinnosti ISMS

Dále je potřeba zajistit i pravidelné vyhodnocování účinnosti ISMS, které obsahuje hodnocení stavu ISMS včetně revize hodnocení rizik, posouzení výsledků provedených auditů a dopadů kybernetických bezpečnostních incidentů na stanovený rozsah ISMS.

Aktualizace ISMS

Na základě výsledků vyhodnocení účinnosti ISMS, zjištění auditů a v souvislosti s významnými změnami je nutné aktualizovat ISMS a příslušnou dokumentaci.