Zdroj: www.cni.cz
ICS 35.040 Duben 2005
Informační technologie - Soubor postupů |
ČSN 36 9790 |
Information technology - Code of practice for information security management
Technologies de l’information - Code de pratique pour la gestion de sécurité d’information
Tato norma je českou verzí mezinárodní normy ISO/IEC 17799:2000. Mezinárodní norma ISO/IEC 17799:2000 má statut české technické normy.
This standard is the Czech version of the ISO/IEC 17799:2000. The International Standard ISO/IEC 17799:2000 has the status of a Czech Standard.
Nahrazení předchozích norem
Touto normou se nahrazuje ČSN ISO/IEC 17799 (36 9790) z listopadu 2001.
|
© Český normalizační institut, 2005 72301 |
Národní předmluva
Změny proti předchozí normě
Proti předchozí normě dochází ke změně způsobu převzetí ISO/IEC 17799 do soustavy ČSN. Zatímco ČSN ISO/IEC 17799 z listopadu 2003 převzala ISO/IEC 17799 schválením k přímému používání jako ČSN, tato norma jí přejímá překladem.
Souvisící ČSN
ČSN BS 7799-2 (36 9790) Systém managementu bezpečnosti informací - Specifikace s návodem pro použití
Vypracování normy
Zpracovatel: Risk Analysis Consultants, s.r.o., IČ 63672774
Technická normalizační komise: TNK 20 Informační technologie
Zaměstnanec Českého normalizačního institutu: Ing. Petr Wallenfels
MEZINÁRODNÍ NORMA |
Informační technologie- Soubor postupů pro management ISO/IEC 17799 |
ICS 35.040
Odmítavé stanovisko k manipulaci s PDF souborem Tento soubor PDF může obsahovat vložené typy písma. V souladu s licenční politikou Adobe lze tento soubor tisknout nebo prohlížet, ale nesmí být editován, ledaže by typy písma, které jsou vloženy, byly používány na základě licence a instalovány v počítači, na němž se editace provádí. Při stažení tohoto souboru přejímají jeho uživatelé odpovědnost za to, že nebude porušena licenční politika Adobe. Ústřední sekretariát ISO nepřejímá za její porušení žádnou odpovědnost. Adobe je obchodní značka „Adobe Systems Incorporated“. Podrobnosti o softwarových produktech použitých k vytváření tohoto souboru PDF, lze najít ve Všeobecných informacích, které jsou k souboru připojeny; parametry, pomocí kterých byl PDF soubor vytvořen, byly optimalizovány pro tisk. Soubor byl zpracován s maximální péčí tak, aby ho členské organizace ISO mohly používat. V málo pravděpodobném případě, tj. když vznikne problém, který se týká souboru, informujte o tom na níže uvedené adrese Ústřední sekretariát ISO. |
© ISO/IEC 2002
Všechna práva vyhrazena. Není-li uvedeno jinak, nesmí být žádná část této publikace reprodukována nebo zpracována jakoukoli jinou formou, jako jsou například elektronické nebo mechanické prostředky, včetně fotokopií a mikrofilmu, bez písemného povolení ISO; povolení lze vyžádat na níže uvedené adrese nebo u členské národní organizace v zemi žadatele.
ISO copyright office
Case postale 56, CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch
Obsah
Strana
1 Působnost.......................................................................................................................................................................... 13
2 Termíny a definice............................................................................................................................................................. 13
2.1 Bezpečnost informací....................................................................................................................................................... 13
2.2 Hodnocení rizik.................................................................................................................................................................. 13
2.3 Management rizik.............................................................................................................................................................. 13
3 Bezpečnostní politika........................................................................................................................................................ 13
3.1 Bezpečnostní politika informací...................................................................................................................................... 13
3.1.1 Dokument bezpečnostní politiky informací................................................................................................................... 13
3.1.2 Přezkoumání a hodnocení............................................................................................................................................... 14
4 Organizace bezpečnosti................................................................................................................................................... 14
4.1 Infrastruktura bezpečnosti informací............................................................................................................................. 14
4.1.1 Fórum pro řízení bezpečnosti informací........................................................................................................................ 14
4.1.2 Koordinace bezpečnosti informací................................................................................................................................ 15
4.1.3 Přidělení odpovědností v oblasti bezpečnosti informací........................................................................................... 15
4.1.4 Schvalovací proces pro prostředky zpracování informací.......................................................................................... 15
4.1.5 Konzultace s odborníkem na bezpečnost informací.................................................................................................. 16
4.1.6 Spolupráce mezi organizacemi...................................................................................................................................... 16
4.1.7 Nezávislá přezkoumání bezpečnosti informací........................................................................................................... 16
4.2 Bezpečnost přístupu třetích stran................................................................................................................................... 17
4.2.1 Identifikace rizik plynoucích z přístupu třetí strany....................................................................................................... 17
4.2.2 Bezpečnostní požadavky ve smlouvě s třetí stranou.................................................................................................. 18
4.3 Outsourcing........................................................................................................................................................................ 19
4.3.1 Bezpečnostní požadavky ve smlouvách o zabezpečení zdrojů mimo organizaci.................................................. 19
5 Klasifikace a řízení aktiv................................................................................................................................................... 19
5.1 Odpovědnost za aktiva...................................................................................................................................................... 19
5.1.1 Evidence aktiv..................................................................................................................................................................... 19
5.2 Klasifikace informací........................................................................................................................................................ 20
5.2.1 Směrnice pro klasifikaci................................................................................................................................................... 20
5.2.2 Označování a nakládání s informacemi........................................................................................................................ 20
6 Personální bezpečnost.................................................................................................................................................... 21
6.1 Bezpečnost v popisu práce a při zajišťování lidských zdrojů.................................................................................... 21
6.1.1 Zahrnutí bezpečnosti do pracovních povinností.......................................................................................................... 21
6.1.2 Prověřování zaměstnanců a politika.............................................................................................................................. 21
6.1.3 Smlouva o ochraně důvěrných informací...................................................................................................................... 22
6.1.4 Podmínky výkonu pracovní činnosti............................................................................................................................... 22
6.2 Školení uživatelů................................................................................................................................................................ 22
6.2.1 Vzdělávání a školení v oblasti bezpečnosti informací................................................................................................ 22
6.3 Reakce na bezpečnostní incidenty a selhání.............................................................................................................. 22
6.3.1 Hlášení bezpečnostních incidentů................................................................................................................................. 22
6.3.2 Hlášení bezpečnostních slabin...................................................................................................................................... 22
Strana
6.3.3 Hlášení selhání programového vybavení..................................................................................................................... 23
6.3.4 Ponaučení z incidentů...................................................................................................................................................... 23
6.3.5 Disciplinární řízení............................................................................................................................................................. 23
7 Fyzická bezpečnost a bezpečnost prostředí................................................................................................................. 23
7.1 Zabezpečené oblasti........................................................................................................................................................ 23
7.1.1 Fyzický bezpečnostní perimetr........................................................................................................................................ 23
7.1.2 Kontroly vstupu osob........................................................................................................................................................ 24
7.1.3 Zabezpečení kanceláří, místností a zařízení................................................................................................................ 24
7.1.4 Práce v zabezpečených oblastech................................................................................................................................. 25
7.1.5 Oddělené prostory pro nakládku a vykládku................................................................................................................ 25
7.2 Bezpečnost zařízení.......................................................................................................................................................... 25
7.2.1 Umístění zařízení a jeho ochrana................................................................................................................................... 25
7.2.2 Dodávky energie................................................................................................................................................................ 26
7.2.3 Bezpečnost kabelových rozvodů..................................................................................................................................... 26
7.2.4 Údržba zařízení................................................................................................................................................................... 27
7.2.5 Bezpečnost zařízení mimo objekt................................................................................................................................... 27
7.2.6 Bezpečné zničení nebo opakované použití zařízení.................................................................................................... 27
7.3 Obecná opatření................................................................................................................................................................ 28
7.3.1 Zásada prázdného stolu a prázdné obrazovky monitoru........................................................................................... 28
7.3.2 Přemístění majetku........................................................................................................................................................... 28
8 Řízení komunikací a řízení provozu................................................................................................................................ 28
8.1 Provozní postupy a odpovědnosti................................................................................................................................... 28
8.1.1 Dokumentace provozních postupů................................................................................................................................ 28
8.1.2 Řízení provozních změn.................................................................................................................................................... 29
8.1.3 Postupy pro řízení bezpečnostního incidentu.............................................................................................................. 29
8.1.4 Oddělení povinností.......................................................................................................................................................... 30
8.1.5 Oddělení vývoje od provozu............................................................................................................................................. 30
8.1.6 Správa externích prostředků............................................................................................................................................ 31
8.2 Plánování a systém přejímání........................................................................................................................................ 31
8.2.1 Plánování kapacit.............................................................................................................................................................. 31
8.2.2 Systém přejímání.............................................................................................................................................................. 31
8.3 Ochrana proti škodlivým programům............................................................................................................................ 32
8.3.1 Opatření na ochranu proti škodlivým programům...................................................................................................... 32
8.4 Vnitřní správa...................................................................................................................................................................... 33
8.4.1 Zálohování informací........................................................................................................................................................ 33
8.4.2 Operátorský deník............................................................................................................................................................. 33
8.4.3 Zaznamenávání chyb........................................................................................................................................................ 34
8.5 Správa sítě.......................................................................................................................................................................... 34
8.5.1 Síťová opatření................................................................................................................................................................... 34
8.6 Bezpečnost při zacházení s médii.................................................................................................................................. 34
8.6.1 Správa vyměnitelných počítačových médií.................................................................................................................... 34
8.6.2 Likvidace médií.................................................................................................................................................................. 35
Strana
8.6.3 Postupy pro manipulaci s informacemi........................................................................................................................ 35
8.6.4 Bezpečnost systémové dokumentace.......................................................................................................................... 36
8.7 Výměny informací a programů........................................................................................................................................ 36
8.7.1 Dohody o výměně informací a programů...................................................................................................................... 36
8.7.2 Bezpečnost médií při přepravě....................................................................................................................................... 36
8.7.3 Bezpečnost elektronického obchodu............................................................................................................................ 37
8.7.4 Bezpečnost elektronické pošty....................................................................................................................................... 37
8.7.5 Bezpečnost elektronických kancelářských systémů................................................................................................... 38
8.7.6 Veřejně přístupné systémy.............................................................................................................................................. 38
8.7.7 Jiné formy výměny informací........................................................................................................................................... 39
9 Řízení přístupu................................................................................................................................................................... 39
9.1 Požadavky na řízení přístupu........................................................................................................................................... 39
9.1.1 Politika řízení přístupu...................................................................................................................................................... 40
9.2 Řízení přístupu uživatelů.................................................................................................................................................. 40
9.2.1 Registrace uživatele.......................................................................................................................................................... 40
9.2.2 Řízení privilegovaného přístupu..................................................................................................................................... 41
9.2.3 Správa uživatelských hesel.............................................................................................................................................. 41
9.2.4 Kontrola přístupových práv uživatelů.............................................................................................................................. 42
9.3 Odpovědnosti uživatelů.................................................................................................................................................... 42
9.3.1 Používání hesel.................................................................................................................................................................. 42
9.3.2 Neobsluhovaná uživatelská zařízení.............................................................................................................................. 42
9.4 Řízení přístupu k síti.......................................................................................................................................................... 43
9.4.1 Politika užívání síťových služeb....................................................................................................................................... 43
9.4.2 Vynucená cesta.................................................................................................................................................................. 43
9.4.3 Autentizace uživatele externího připojení...................................................................................................................... 44
9.4.4 Autentizace uzlů................................................................................................................................................................. 44
9.4.5 Ochrana portů pro vzdálenou diagnostiku.................................................................................................................... 44
9.4.6 Princip oddělení v sítích................................................................................................................................................... 44
9.4.7 Řízení síťových spojení.................................................................................................................................................... 45
9.4.8 Řízení směrování sítě....................................................................................................................................................... 45
9.4.9 Bezpečnost síťových služeb............................................................................................................................................ 45
9.5 Řízení přístupu k operačnímu systému........................................................................................................................ 45
9.5.1 Automatická identifikace terminálu................................................................................................................................ 45
9.5.2 Terminálové přihlašovací postupy................................................................................................................................. 46
9.5.3 Identifikace a autentizace uživatelů................................................................................................................................ 46
9.5.4 Systém správy hesel......................................................................................................................................................... 46
9.5.5 Použití systémových nástrojů.......................................................................................................................................... 47
9.5.6 Indikace přihlášení pod nátlakem.................................................................................................................................. 47
9.5.7 Časové zablokování terminálu........................................................................................................................................ 47
9.5.8 Časové omezení spojení................................................................................................................................................. 47
9.6 Řízení přístupu k aplikacím............................................................................................................................................. 48
9.6.1 Omezení přístupu k informacím..................................................................................................................................... 48
Strana
9.6.2 Oddělení citlivých systémů.............................................................................................................................................. 48
9.7 Monitorování přístupu k systému a jeho použití........................................................................................................... 48
9.7.1 Zaznamenávání událostí.................................................................................................................................................. 48
9.7.2 Monitorování používání systému..................................................................................................................................... 49
9.7.3 Synchronizace času.......................................................................................................................................................... 50
9.8 Mobilní výpočetní prostředky a práce na dálku............................................................................................................ 50
9.8.1 Mobilní výpočetní prostředky............................................................................................................................................ 50
9.8.2 Práce na dálku................................................................................................................................................................... 51
10 Vývoj a údržba systémů.................................................................................................................................................... 52
10.1 Bezpečnostní požadavky systémů................................................................................................................................. 52
10.1.1 Analýza a specifikace bezpečnostních požadavků...................................................................................................... 52
10.2 Bezpečnost v aplikačních systémech............................................................................................................................ 52
10.2.1 Validace vstupních dat...................................................................................................................................................... 52
10.2.2 Kontrola vnitřního zpracování.......................................................................................................................................... 53
10.2.3 Autentizace zprávy.............................................................................................................................................................. 53
10.2.4 Validace výstupních dat.................................................................................................................................................... 53
10.3 Kryptografická opatření..................................................................................................................................................... 54
10.3.1 Politika pro použití kryptografických opatření................................................................................................................ 54
10.3.2 Šifrování............................................................................................................................................................................... 54
10.3.3 Digitální podpisy................................................................................................................................................................ 54
10.3.4 Služby zajišťující nepopiratelnost................................................................................................................................... 55
10.3.5 Správa klíčů........................................................................................................................................................................ 55
10.4 Bezpečnost systémových souborů................................................................................................................................ 56
10.4.1 Správa provozního programového vybavení................................................................................................................. 56
10.4.2 Ochrana systémových testovacích údajů...................................................................................................................... 56
10.4.3 Řízení přístupu ke knihovně zdrojových kódů............................................................................................................... 57
10.5 Bezpečnost procesů vývoje a podpory.......................................................................................................................... 57
10.5.1 Postupy řízení změn.......................................................................................................................................................... 57
10.5.2 Technické přezkoumání změn operačního systému.................................................................................................. 58
10.5.3 Omezení změn programových balíků............................................................................................................................ 58
10.5.4 Skryté kanály a trojští koně.............................................................................................................................................. 58
10.5.5 Programové vybavení vyvíjené externím dodavatelem............................................................................................... 59
11 Řízení kontinuity činností organizace............................................................................................................................. 59
11.1 Hlediska řízení kontinuity činností organizace............................................................................................................. 59
11.1.1 Proces řízení kontinuity činností organizace................................................................................................................ 59
11.1.2 Kontinuita činností organizace a analýza dopadů....................................................................................................... 60
11.1.3 Vytváření a implementace plánů kontinuity.................................................................................................................. 60
11.1.4 Systém plánování kontinuity činností organizace........................................................................................................ 60
11.1.5 Testování, udržování a přezkoumání plánů kontinuity................................................................................................ 61
12 Soulad s požadavky.......................................................................................................................................................... 61
12.1 Soulad s právními normami............................................................................................................................................ 61
12.1.1 Určení relevantní legislativy............................................................................................................................................. 62
Strana
12.1.2 Zákony na ochranu duševního vlastnictví..................................................................................................................... 62
12.1.3 Ochrana dokladů organizace.......................................................................................................................................... 62
12.1.4 Ochrana osobních údajů a soukromí............................................................................................................................ 63
12.1.5 Prevence zneužití prostředků pro zpracování informací............................................................................................. 63
12.1.6 Regulace kryptografických opatření............................................................................................................................... 63
12.1.7 Shromažďování důkazů.................................................................................................................................................... 64
12.2 Přezkoumání bezpečnostní politiky a technické shody.............................................................................................. 64
12.2.1 Shoda s bezpečnostní politikou..................................................................................................................................... 64
12.2.2 Kontrola technické shody................................................................................................................................................. 65
12.3 Hlediska auditu systému................................................................................................................................................. 65
12.3.1 Opatření k auditu systému............................................................................................................................................... 65
12.3.2 Ochrana nástrojů pro audit systému............................................................................................................................. 65
Abecední rejstřík............................................................................................................................................................................. 66
Předmluva
ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí zřízených příslušnou organizací, aby se zabývaly určitou oblastí technické činnosti. V oblastech společného zájmu technické komise ISO a IEC spolupracují. Práce se zúčastňují i jiné mezinárodní organizace, vládní i nevládní, s nimiž ISO a IEC navázaly pracovní styk.
Návrhy mezinárodních norem jsou zpracovány v souladu s pravidly uvedenými v části 3 Směrnic ISO/IEC.
V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1. Hlavním úkolem společné technické komise je připravovat mezinárodní normy. Návrhy mezinárodních norem přijaté společnou technickou komisí se rozesílají národním orgánům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících členů.
Pozornost je třeba věnovat možnosti, že některé prvky v této části ISO/IEC 14143 mohou být předmětem patentových práv. ISO a IEC nenesou odpovědnost za identifikaci všech patentových práv nebo kteréhokoliv z nich.
Mezinárodní norma ISO/IEC 17799 byla připravena British Standards Institution (jako BS 7799) a byla přijata, nejrychlejším možným způsobem, společnou technickou komisí ISO/IEC JTC 1 Informační technologie, a souběžně schválena národními orgány ISO a IEC.
Co je bezpečnost informací?
Informace jsou aktiva, která mají pro organizaci hodnotu. Potřebují tedy být vhodným způsobem chráněny. Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišťuje tak kontinuitu činností organizace, minimalizuje obchodní ztráty a maximalizuje návratnost investic a podnikatelských příležitostí.
Informace mohou existovat v různých podobách. Mohou být vytištěny nebo napsány na papíře, ukládány v elektronické podobě, posílány poštou nebo elektronickou cestou, zachyceny na film nebo vyřčeny při konverzaci. Ať již mají informace jakoukoliv formu, nebo ať jsou sdíleny nebo ukládány jakýmikoliv prostředky, vždy by měly být vhodně chráněny.
Pro účely této normy je bezpečnost informací charakterizována jako zachování:
a) důvěrnosti - zajištění toho, aby informace byla dostupná pouze osobám oprávněným pro přístup,
b) integrity - zabezpečení správnosti a kompletnosti informací a metod zpracování,
c) dostupnosti - zajištění toho, aby informace a s nimi spjatá aktiva byly přístupné autorizovaným uživatelům podle jejich potřeby.
Bezpečnosti informací lze dosáhnout implementací soustavy opatření, které mohou existovat ve formě pravidel, natrénovaných postupů, procedur, organizační struktury a programových funkcí. Tato opatření musí být zavedena proto, aby bylo dosaženo specifických bezpečnostních cílů organizace.
Proč je nezbytné zabezpečení informací
Informace a podpůrné procesy, systémy a sítě jsou důležitými aktivy organizace. Zajištění jejich dostupnosti, integrity a důvěrnosti může být zásadní pro udržení konkurenceschopnosti, peněžních toků (cash-flow), ziskovosti, právní shody a dobrého jména organizace.
Stále rostoucí měrou jsou organizace a jejich informační systémy vystavovány bezpečnostním hrozbám z různých zdrojů, včetně počítačových podvodů, špionáže, sabotáže, vandalizmu, požárů a povodní. Zdroje škod, jako jsou počítačové viry, útoky hackerů a útoky typu odepření služby (denial of service), jsou stále častější, roste jejich nebezpečnost a sofistikovanost.
Závislost organizací na informačních systémech a jejich službách znamená, že jsou zranitelné ze strany bezpečnostních hrozeb. Propojení veřejných a privátních sítí i sdílení informačních zdrojů zvyšuje obtížnost dosažení řízení přístupu. Trend směřující k distribuovanému zpracování oslabil efektivnost centrální kontroly prováděnou specialisty.
Mnoho informačních systémů nebylo navrženo tak, aby byly bezpečné. Bezpečnost, která může být dosažena technickými opatřeními, je nedostačující a měla by být doplněna odpovídajícím řízením a postupy. Pro určení opatření, která je třeba přijmout, je nutné pečlivé plánování a rozbor každého detailu. Management bezpečnosti informací proto vyžaduje minimálně spoluúčast všech zaměstnanců organizace. Může rovněž zahrnovat spolupráci dodavatelů, zákazníků a majitelů organizace (akcionářů). V neposlední řadě může být potřebná i rada od specialistů z jiných organizací.
Opatření, zajišťující bezpečnost informací, jsou levnější, pokud s nimi počítáme již ve fázi specifikace požadavků a návrhu systému.
Jak stanovit bezpečnostní požadavky
Je nezbytné, aby organizace určila své bezpečnostní požadavky. K tomu existují tři hlavní zdroje.
Prvním zdrojem je odhad rizik, která organizaci hrozí. Za pomoci odhadu bezpečnostních rizik se určují hrozby působící vůči aktivům, zranitelnost ze strany hrozeb i pravděpodobnost jejich výskytu a provádí se odhad jejich potenciálního dopadu.
Druhým zdrojem jsou požadavky zákonů, zákonných norem a smluvní požadavky, které organizace, její obchodní, smluvní partneři a poskytovatelé služeb musí splňovat.
Třetím zdrojem jsou konkrétní principy, cíle a požadavky na zpracování informací, které si organizace vytvořila pro podporu své činnosti.
Hodnocení bezpečnostních rizik
Požadavky na bezpečnost jsou stanoveny za pomoci metodického hodnocení bezpečnostních rizik. Výdaje na bezpečnostní opatření by měly odpovídat ztrátám způsobeným narušením bezpečnosti. Hodnocení rizik může být aplikováno na celou organizaci nebo pouze na její část, stejně jako na jednotlivý informační systém, jeho určitou část nebo službu tam, kde to je účelové, reálné a užitečné.
Hodnocení rizik je neustálé zvažování:
a) možného poškození aktivit organizace, které může být způsobeno selháním bezpečnosti, přičemž je nutno vzít v úvahu potenciální důsledky ze ztráty důvěryhodnosti, integrity nebo dostupnosti informací a jiných aktiv,
b) reálné pravděpodobnosti výskytu takových chyb z pohledu převažujících hrozeb, zranitelnosti a aktuálně implementovaných opatření.
Výsledky hodnocení rizik pomohou určit odpovídající kroky managementu organizace i priority pro management bezpečnostních rizik u informací a pro realizaci opatření určených k zamezení jejich výskytu. Je možné, že proces hodnocení rizik a stanovení opatření bude třeba opakovat několikrát, aby byly pokryty různé části organizace nebo jednotlivé informační systémy.
Přezkoumání bezpečnostních rizik a přijatých opatření je důležité provádět periodicky, aby bylo možné:
a) určit změny požadavků a priorit organizace,
b) vzít v úvahu nové druhy hrozeb a zranitelností,
c) potvrdit vhodnost a účinnost přijatých opatření.
Přezkoumání by měla být prováděna do různé hloubky v závislosti na výsledcích předcházejících analýz a změn v úrovni rizik, které je management organizace připraven akceptovat. Hodnocení rizik je často zpočátku realizováno na obecné úrovni, jako prostředek ke stanovení priority zdrojů v oblasti závažných rizik a až poté v detailnějších rovinách pro určení konkrétních rizik.
Výběr opatření
Když jsou identifikovány bezpečnostní požadavky, měla by být vybrána a implementována opatření zajišťující snížení rizik na přijatelnou úroveň. Taková opatření mohou být vybrána z tohoto dokumentu nebo i z jiných souborů opatření. Pro pokrytí specifických potřeb mohou být vytvořena nová opatření. Existuje mnoho různých způsobů managementu rizik a tento dokument uvádí příklady nejběžnějších přístupů k tomuto problému. Je však důležité vědět, že některá opatření nejsou použitelná na každý informační systém, prostředí nebo organizaci. Jako příklad je v 8.1.4 popsáno, jak by měly být, z důvodu prevence proti podvodům a chybám, odděleny jednotlivé role. Pro malé organizace však takové oddělení všech funkcí nemusí být vhodné a pro dosažení stejných cílů je nezbytné hledat jiná opatření. Jako další příklad je v kapitolách 9.7 a 12.1 popsáno, jak může být používání systému monitorováno a jakým způsobem je prováděn sběr důkazů. Popsaná opatření, například zaznamenávání událostí, mohou být v rozporu s požadavky legislativy, jako je ochrana soukromí zákazníků nebo ochrana soukromí na pracovišti.
Opatření by měla být vybírána na základě nákladů na jejich realizaci ve vztahu ke snížení rizik a potenciálních ztrát vzniklých z narušení bezpečnosti. V úvahu by se také měly vzít nemateriální ztráty, jako například ztráta pověsti.
Některá opatření v tomto dokumentu mohou být chápána jako základní doporučení pro management bezpečnosti informací a mohou být využity ve většině organizací. Detailněji jsou vysvětleny v části „Východiska bezpečnosti informací“.
Východiska bezpečnosti informací
Řada opatření může být považována za základní principy představující dobrá východiska pro implementaci bezpečnosti informací. Mohou vycházet ze základních legislativních požadavků nebo jsou považována za nejlepší způsob řešení bezpečnosti informací.
Opatření, která by měla být pro organizaci podstatná z pohledu legislativy, jsou:
a) ochrana osobních údajů (viz 12.1.4),
b) ochrana důležité dokumentace organizace, jako například účetních záznamů (viz 12.1.3),
c) právo duševního vlastnictví (viz 12.1.2).
Opatření, považovaná za základ nejlepších praktik pro bezpečnosti informací, jsou:
a) dokument bezpečnostní politiky informací (viz 3.1.1),
b) přidělení odpovědností v oblasti bezpečnosti informací (viz 4.1.3),
c) vzdělávání a školení v oblasti bezpečnosti informací (viz 6.2.1),
d) hlášení bezpečnostních incidentů (viz 6.3.1),
e) řízení kontinuity činností organizace (viz 11.1).
Tato opatření fungují ve většině organizací a prostředí. Mělo by však být zdůrazněno, že ačkoliv všechna opatření v tomto dokumentu jsou důležitá, jejich význam by měl být určován ve světle specifických rizik, kterým organizace čelí. I když výše uvedené doporučení může být považováno za dobré východisko, nenahrazuje výběr opatření vycházející z hodnocení rizik.
Kritické faktory úspěchu
Jak ukazuje zkušenost, pro úspěšnou implementaci bezpečnosti informací v organizaci jsou často kritické následující faktory:
a) bezpečnostní politika, bezpečnostní cíle a činnosti, které respektují cíle činností organizace,
b) přístup k implementaci bezpečnosti v souladu s kulturou organizace,
c) zřetelná podpora a angažovanost ze strany managementu organizace,
d) dobré pochopení bezpečnostních požadavků, hodnocení a management rizik,
e) účinný marketing bezpečnosti vůči managementu organizace a zaměstnancům,
f) rozšíření směrnic a norem bezpečnostní politiky informací mezi všechny zaměstnance a smluvní strany,
g) realizace odpovídajících školení a vzdělávání,
h) komplexní a vyvážený systém pro ohodnocení míry účinnosti managementu bezpečnosti informací a získávání návrhů ke zlepšení na základě zpětné vazby.
Vytváření vlastních směrnic
Tento soubor postupů může být chápán jako východisko pro vytváření specifických směrnic organizace. Ne všechna doporučení a opatření této sbírky postupů mohou být použitelná. Kromě toho mohou být nezbytná i další opatření, která nejsou v tomto dokumentu uvedena. V takovém případě je užitečné zanechat v nich odkaz na tuto normu a usnadnit tak ověření shody prováděné auditory a obchodními partnery.
Tato norma poskytuje doporučení týkající se managementu bezpečnosti informací těm, kdo jsou ve své organizaci odpovědní za zahájení bezpečnostních aktivit, implementaci nebo správu bezpečnosti. Cílem je poskytnout obecný základ pro vývoj bezpečnostních norem organizace, účinných řídících bezpečnostních postupů a zajistit důvěru při komunikaci mezi organizacemi.
Doporučení obsažená v této normě by měla být vybírána a používána v souladu s platnými zákony a předpisy.
Zdroj: www.cni.cz