§ 3 Systém řízení bezpečnosti informací
§ 3 Systém řízení bezpečnosti informací
ISMS představuje ucelený manažerský rámec, který integruje firemní politiky, procesy a zdroje za účelem systematického zajištění bezpečnosti informací a dosahování stanovených cílů organizace.
ISMS je rámec politik, postupů, směrnic, přidružených zdrojů a činností sloužících k dosažení stanovených cílů organizace. ISMS podle vyhlášky lze následně charakterizovat:
- Je postaven na metodě postupného zlepšování pomocí PDCA cyklu (Plan – Do – Check – Act) a na přístupu k řízení rizik informačního a komunikačního systému.
- Určuje způsob ustanovení, zavádění a provozování, monitorování a přezkoumání, udržování a zlepšování bezpečnosti informací a dat a to po vzoru mezinárodní normy ISO/IEC 27001.
Díky soustavnému a správnému vykonávání činností, které jsou níže obecně popsány a následně dále v textu rozpracovány do konkrétních požadavků vyhlášky, dochází k dosažení kontinuálního zlepšování ISMS v organizaci, protože je naplněn PDCA cyklus.
Ilustrační schéma PDCA cyklu. Schéma ukazuje, jak se střídají a opakují etapy PDCA cyklu. Zdroj: Vlastní tvorba
Rozsah řízení KB a ISMS
Nově dle § 12 zákona musí organizace v roli poskytovatele regulované služby stanovit rozsah řízení KB s ohledem na aktiva související s poskytováním regulované služby.
Stanovení rozsahu řízení KB se blíže věnuje:
- podpůrný materiál Stanovení rozsahu řízení kybernetické bezpečnosti,
- kdy příslušné kroky jsou nastíněny i v kapitole Povinnosti poskytovatele.
Stanovení cílů ISMS
V rámci ISMS je nezbytné vhodně stanovit jeho cíle. Tyto cíle je třeba nastavit tak, aby je bylo možné vyhodnocovat a sledovat tak jejich plnění.
Pro definici cílů lze využít například metodu SMART. Dle této metody by měl být cíl definován pěti charakteristikami:
S – Specific: co nejpřesnější, aby bylo zřejmé, co je daným cílem myšleno.
M – Measurable: měřitelný, aby bylo možné posoudit, do jaké míry byl cíl naplněn.
A – Accepted: akceptovaný (přijatý) zodpovědnou osobou.
R – Realistic: reálný, aby ho bylo možné v reálném čase dosáhnout.
T – Timed: časově ohraničený, aby bylo zřejmé, kdy má být cíl splněn.
Jako příklady SMART cílů můžeme uvést třeba: Procentuální snížení počtu řešení případů zavirování pracovní stanice vinou uživatele (antivirová řešení jak na stanicích, mailových serverech, tak poučení uživatelů), zabránění úniku informací např. řešení Data Lost Prevention (ochrana před ztrátou dat), zrychlení doby obnovy systému po selhání (řešení kontinuity činností), zefektivnění a zrychlení řešení bezpečnostních incidentů (nasazení prostředí pro jejich řešení).
Další činnosti spojené s ISMS
Jedná se pouze o úvodní výčet činností s krátkými anotacemi. Dané problematice se věnují příslušné okruhy tohoto kurzu hlouběji a prakticky.
Zapojení vrcholného vedení
Nezbytnou součástí je rovněž aktivní role vrcholného vedení při schvalování a přidělování potřebných finančních i lidských zdrojů a důsledná archivace zápisů z jednání Výboru pro řízení kybernetické bezpečnosti.
Bezpečnostní politiky a bezpečnostní dokumentace
Na základě bezpečnostních potřeb organizace a výsledků hodnocení rizik je v rámci ISMS nezbytné vytvořit a schválit bezpečnostní politiku a bezpečnostní dokumentaci pro jednotlivé oblasti ISMS obsahující hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací.
Hodnocení rizik
Hodnocení rizik je postup, na základě kterého dojde ke zjištění možných bezpečnostních rizik a stanovení jejich hodnot. Znát hodnotu rizika je důležité např. pro jejich prioritizaci. Rizika jsou následně obvykle snižována zaváděním bezpečnostních opatření. Hodnocení rizik je prováděno pro všechna aktiva v rámci rozsahu řízení KB.
Řízení změn
U změn patřících do rozsahu řízení KB je nutné průběžně určovat a řídit významné změny. Významnou změnou se rozumí změna, která má nebo může mít vliv na kybernetickou bezpečnost a představuje vysoké riziko bez ohledu na již zavedená opatření. Za významnou změnu lze považovat např. změnu konfigurace či funkčnosti, stejně jako změnu významného dodavatele.
Kontrola a audit ISMS
Další klíčovou součástí je zajištění pravidelného provádění auditu systému řízení bezpečnosti informací/kybernetické bezpečnosti (dále jen „auditu“) v rámci rozsahu řízení kybernetické bezpečnosti, který slouží jako nástroj pro zajištění efektivního zlepšování zavedeného ISMS a jako upozornění na případné odchylky od plnění požadavků vyhlášky.
Vyhodnocování účinnosti ISMS
Dále je potřeba zajistit i pravidelné vyhodnocování účinnosti ISMS, které obsahuje hodnocení stavu ISMS včetně revize hodnocení rizik, posouzení výsledků provedených auditů a dopadů kybernetických bezpečnostních incidentů na stanovený rozsah řízení kybernetické bezpečnosti.
Aktualizace ISMS
Na základě výsledků vyhodnocení účinnosti ISMS, zjištění auditů a v souvislosti s významnými změnami je nutné aktualizovat ISMS a příslušnou dokumentaci.