Zdroj: www.cni.cz

ČESKÁ TECHNICKÁ NORMA

ICS 35.040                                                                                                                                       Srpen 2006

Informační technologie - Bezpečnostní techniky -
Soubor postupů pro management bezpečnosti
informací

ČSN
ISO/IEC 17799

36 9790

 

Information technology - Security techniques - Code of practice for information security management

Technologies de l‘information - Techniques de sécurité - Code de pratique pour la gestion de sécurité d’information

Tato norma je českou verzí mezinárodní normy ISO/IEC 17799:2005. Překlad byl zajištěn Českým normalizačním institutem. Má stejný status jako oficiální verze uvedené mezinárodní normy.

This standard is the Czech version of the International Standard ISO/IEC 17799:2005. It was translated by Czech Standards Institute. It has the same status as the official version.

Nahrazení předchozích norem

Touto normou se nahrazuje ČSN ISO/IEC 17799 (36 9790) z dubna 2005.

 

 

 

 

 

© Český normalizační institut, 2006                                                                                         75901
Podle zákona č. 22/1997 Sb. smějí být české technické normy rozmnožovány
a rozšiřovány jen se souhlasem Českého normalizačního institutu.

 


Strana 2

Národní předmluva

Změny proti předchozím normám

Mezi nejvýraznější změny v této aktualizované verzi patří to, že se řízení bezpečnostních incidentů stalo samostatnou oblastí bezpečnosti. Oproti předchozímu vydání normy bylo také odstraněno devět bezpečnostních opatření a sedmnáct nových jich přibylo.

Informace o citovaných normativních dokumentech

ISO/IEC 9796-2:2002 zavedena v ČSN ISO/IEC 9796-2:2004 (36 9780) Informační technologie - Bezpečnostní techniky - Schémata digitálního podpisu umožňující obnovu zprávy - Část 2: Mechanismy založené na faktorizaci celých čísel

ISO/IEC 9796-3:2000 zavedena v ČSN ISO/IEC 9796-3:2002 (36 9780) Informační technologie - Bezpečnostní techniky - Schémata digitálních podpisů umožňující obnovu zprávy - Část 3: Mechanismy založené na diskrétních logaritmech

ISO 10007:2003 zavedena v ČSN ISO 10007:2004 (01 0334) Systémy managementu jakosti - Směrnice managementu konfigurace

ISO/IEC 11770-1:1996 zavedena v ČSN ISO/IEC 11770-1:1998 (36 9785) Informační technologie - Bezpečnostní techniky - Správa klíčů - Část 1: Struktura

ISO/IEC 12207:1995 zavedena v ČSN ISO/IEC 12207:1997 (36 9784) Informační technologie - Procesy v životním cyklu softwaru

ISO/IEC TR 13335-1:1996 zavedena v ČSN ISO/IEC TR 13335-1:1999 (36 9786) Informační technologie -
Směrnice pro řízení bezpečnosti IT - Část 1: Pojetí a modely bezpečnosti IT

ISO/IEC TR 13335-3:1998 zavedena v ČSN ISO/IEC TR 13335-3:2000 (36 9786) Informační technologie -
Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení bezpečnosti IT

ISO/IEC 14888-1:1999 zavedena v ČSN ISO/IEC 14888-1:2001 (36 9788) Informační technologie - Bezpečnostní techniky - Digitální podpisy s dodatkem - Část 1: Všeobecně

ISO/IEC 14888-2:1999 zavedena v ČSN ISO/IEC 14888-2:2001 (36 9788) Informační technologie - Bezpečnostní techniky - Digitální podpisy s dodatkem - Část 2: Mechanismy založené na identitě

ISO/IEC 14888-3:1999 zavedena v ČSN ISO/IEC 14888-3:2001 (36 9788) Informační technologie - Bezpečnostní techniky - Digitální podpisy s dodatkem - Část 3: Mechanismy založené na certifikátu

ISO/IEC 15408-1:1999 zavedena v ČSN ISO/IEC 15408-1:2001 (36 9789) Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT - Část 1: Úvod a všeobecný model

ISO/IEC 15408-2:1999 zavedena v ČSN ISO/IEC 15408-2:2002 (36 9789) Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT - Část 2: Bezpečnostní funkční požadavky

ISO/IEC 15408-3:1999 zavedena v ČSN ISO/IEC 15408-3:2002 (36 9789) Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT - Část 3: Požadavky na záruky bezpečnosti

EN ISO 19011:2002 zavedena v ČSN EN ISO 19011:2003 (01 0330) Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu

Souvisící ČSN

ČSN ISO/IEC 27001 (36 9790) Informační technologie - Bezpečnostní techniky - Sytém řízení bezpečnosti informací - Požadavky

Vypracování normy

Zpracovatel: Risk Analysis Consultants, s.r.o., IČ 63672774

Technická normalizační komise: TNK 20 Informační technologie

Zaměstnanec Českého normalizačního institutu: Ing. Petr Wallenfels


Strana 3

MEZINÁRODNÍ NORMA

Informační technologie - Bezpečnostní techniky -                                   ISO/IEC 17799
Soubor postupů pro management bezpečnosti informací                   
Druhé vydání
                                                                                                                                2005-06-15

ICS 35.040

Upozornění k manipulaci s PDF souborem

Tento soubor PDF může obsahovat vložené typy písma. V souladu s licenční politikou Adobe lze tento soubor tisknout nebo prohlížet, ale nesmí být editován, ledaže by typy písma, které jsou vloženy, byly používány na základě licence a instalovány v počítači, na němž se editace provádí. Při stažení tohoto souboru přejímají jeho uživatelé odpovědnost za to, že nebude porušena licenční politika Adobe. Ústřední sekretariát ISO nepřejímá za její porušení žádnou odpovědnost.

Adobe je obchodní značka „Adobe Systems Incorporated“.

Podrobnosti o softwarových produktech použitých k vytváření tohoto souboru PDF, lze najít ve Všeobecných informacích, které jsou k souboru připojeny; parametry, pomocí kterých byl PDF soubor vytvořen, byly optimalizovány pro tisk. Soubor byl zpracován s maximální péčí tak, aby ho členské organizace ISO mohly používat. V málo pravděpodobném případě, tj. když vznikne problém, který se týká souboru, informujte o tom na níže uvedené adrese Ústřední sekretariát ISO.

 

© ISO/IEC 2005

Všechna práva vyhrazena. Není-li uvedeno jinak, nesmí být žádná část této publikace reprodukována nebo zpracována jakoukoli jinou formou, jako jsou například elektronické nebo mechanické prostředky, včetně fotokopií a mikrofilmu, bez písemného povolení ISO; povolení lze vyžádat na níže uvedené adrese nebo u členské národní organizace v zemi žadatele.

ISO copyright office
Case postale 56, CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.ch
Web www.iso.ch


Strana 4

Obsah

Strana

0                 Úvod............................................................................................................................................................................... 10

0.1             Co je bezpečnost informací?.................................................................................................................................... 10

0.2             Proč je nezbytná bezpečnost informací.................................................................................................................. 10

0.3             Jak stanovit bezpečnostní požadavky...................................................................................................................... 10

0.4             Hodnocení bezpečnostních rizik.............................................................................................................................. 10

0.5             Výběr opatření.............................................................................................................................................................. 11

0.6             Východiska bezpečnosti informací.......................................................................................................................... 11

0.7             Kritické faktory úspěchu............................................................................................................................................. 11

0.8             Vytváření vlastních směrnic....................................................................................................................................... 12

1                 Předmět normy............................................................................................................................................................ 13

2                 Termíny a definice....................................................................................................................................................... 13

3                 Struktura normy........................................................................................................................................................... 14

3.1             Oblasti bezpečnosti.................................................................................................................................................... 14

3.2             Hlavní kategorie bezpečnosti.................................................................................................................................... 15

4                 Hodnocení a zvládání rizik......................................................................................................................................... 15

4.1             Hodnocení bezpečnostních rizik.............................................................................................................................. 15

4.2             Zvládání bezpečnostních rizik................................................................................................................................... 16

5                 Bezpečnostní politika................................................................................................................................................. 16

5.1             Politika bezpečnosti informací.................................................................................................................................. 16

5.1.1          Dokument bezpečnostní politiky informací............................................................................................................ 16

5.1.2          Přezkoumání bezpečnostní politiky informací....................................................................................................... 17

6                 Organizace bezpečnosti informací.......................................................................................................................... 18

6.1             Interní organizace........................................................................................................................................................ 18

6.1.1          Závazek vedení směrem k bezpečnosti informací................................................................................................ 18

6.1.2          Koordinace bezpečnosti informací.......................................................................................................................... 19

6.1.3          Přidělení odpovědností v oblasti bezpečnosti informací..................................................................................... 19

6.1.4          Schvalovací proces prostředků pro zpracování informací................................................................................... 20

6.1.5          Dohody o ochraně důvěrných informací................................................................................................................. 20

6.1.6          Kontakt s orgány veřejné správy............................................................................................................................... 21

6.1.7          Kontakt se zájmovými skupinami............................................................................................................................ 21

6.1.8          Nezávislá přezkoumání bezpečnosti informací..................................................................................................... 21

6.2             Externí subjekty............................................................................................................................................................ 22

6.2.1          Identifikace rizik vyplývajících z přístupu externích subjektů................................................................................ 22

6.2.2          Bezpečnostní požadavky pro přístup klientů.......................................................................................................... 23

6.2.3          Bezpečnostní požadavky v dohodách se třetí stranou......................................................................................... 24

7                 Řízení aktiv.................................................................................................................................................................... 26

7.1             Odpovědnost za aktiva............................................................................................................................................... 26

7.1.1          Evidence aktiv.............................................................................................................................................................. 26

7.1.2          Vlastnictví aktiv............................................................................................................................................................. 27

7.1.3          Přípustné použití aktiv................................................................................................................................................. 27

7.2             Klasifikace informací.................................................................................................................................................. 28

7.2.1          Doporučení pro klasifikaci......................................................................................................................................... 28

7.2.2          Označování a zacházení s informacemi................................................................................................................. 28


Strana 5

Strana

8                 Bezpečnost z hlediska lidských zdrojů.................................................................................................................... 29

8.1             Před vznikem pracovního vztahu.............................................................................................................................. 29

8.1.1          Role a odpovědnosti.................................................................................................................................................. 29

8.1.2          Prověřování................................................................................................................................................................... 29

8.1.3          Podmínky výkonu pracovní činnosti......................................................................................................................... 30

8.2             Během pracovního vztahu......................................................................................................................................... 31

8.2.1          Odpovědnosti vedoucích zaměstnanců.................................................................................................................. 31

8.2.2          Bezpečnostní povědomí, vzdělávání a školení v oblasti bezpečnosti informací............................................. 31

8.2.3          Disciplinární řízení...................................................................................................................................................... 32

8.3             Ukončení nebo změna pracovního vztahu.............................................................................................................. 32

8.3.1          Odpovědnosti při ukončení pracovního vztahu...................................................................................................... 32

8.3.2          Navrácení zapůjčených prostředků.......................................................................................................................... 33

8.3.3          Odebrání přístupových práv....................................................................................................................................... 33

9                 Fyzická bezpečnost a bezpečnost prostředí.......................................................................................................... 34

9.1             Zabezpečené oblasti.................................................................................................................................................. 34

9.1.1          Fyzický bezpečnostní perimetr.................................................................................................................................. 34

9.1.2          Fyzické kontroly vstupu osob..................................................................................................................................... 35

9.1.3          Zabezpečení kanceláří, místností a prostředků.................................................................................................... 35

9.1.4          Ochrana před hrozbami vnějšku a prostředí......................................................................................................... 35

9.1.5          Práce v zabezpečených oblastech........................................................................................................................... 36

9.1.6          Veřejný přístup, prostory pro nakládku a vykládku................................................................................................ 36

9.2             Bezpečnost zařízení.................................................................................................................................................... 36

9.2.1          Umístění zařízení a jeho ochrana............................................................................................................................ 36

9.2.2          Podpůrná zařízení....................................................................................................................................................... 37

9.2.3          Bezpečnost kabelových rozvodů............................................................................................................................... 38

9.2.4          Údržba zařízení............................................................................................................................................................ 38

9.2.5          Bezpečnost zařízení mimo prostory organizace.................................................................................................... 38

9.2.6          Bezpečná likvidace nebo opakované použití zařízení........................................................................................... 39

9.2.7          Přemístění majetku.................................................................................................................................................... 39

10              Řízení komunikací a řízení provozu.......................................................................................................................... 40

10.1           Provozní postupy a odpovědnosti............................................................................................................................ 40

10.1.1        Dokumentace provozních postupů.......................................................................................................................... 40

10.1.2        Řízení změn.................................................................................................................................................................. 40

10.1.3        Oddělení povinností.................................................................................................................................................... 41

10.1.4        Oddělení vývoje, testování a provozu....................................................................................................................... 41

10.2           Řízení dodávek služeb třetích stran......................................................................................................................... 42

10.2.1        Dodávky služeb............................................................................................................................................................ 42

10.2.2        Monitorování a přezkoumávání služeb třetích stran.............................................................................................. 42

10.2.3        Řízení změn služeb poskytovaných třetími stranami............................................................................................ 43

10.3           Plánování a přejímání informačních systémů....................................................................................................... 43

10.3.1        Řízení kapacit............................................................................................................................................................... 43

10.3.2        Přejímání systémů...................................................................................................................................................... 44


Strana 6

Strana

10.4           Ochrana proti škodlivým programům a mobilním kódům.................................................................................. 44

10.4.1        Opatření na ochranu proti škodlivým programům................................................................................................ 45

10.4.2        Opatření na ochranu proti mobilním kódům.......................................................................................................... 45

10.5           Zálohování.................................................................................................................................................................... 46

10.5.1        Zálohování informací.................................................................................................................................................. 46

10.6           Správa bezpečnosti sítě............................................................................................................................................. 47

10.6.1        Síťová opatření............................................................................................................................................................ 47

10.6.2        Bezpečnost síťových služeb...................................................................................................................................... 47

10.7           Bezpečnost při zacházení s médii........................................................................................................................... 48

10.7.1        Správa výměnných počítačových médií................................................................................................................... 48

10.7.2        Likvidace médií............................................................................................................................................................ 48

10.7.3        Postupy pro manipulaci s informacemi.................................................................................................................. 49

10.7.4        Bezpečnost systémové dokumentace.................................................................................................................... 49

10.8           Výměna informací....................................................................................................................................................... 50

10.8.1        Postupy a politiky při výměně informací a programů............................................................................................ 50

10.8.2        Dohody o výměně informací a programů............................................................................................................... 51

10.8.3        Bezpečnost médií při přepravě................................................................................................................................. 52

10.8.4        Elektronické zasílání zpráv........................................................................................................................................ 52

10.8.5        Informační systémy organizace................................................................................................................................ 53

10.9           Služby elektronického obchodu................................................................................................................................ 53

10.9.1        Elektronický obchod.................................................................................................................................................... 53

10.9.2        On-line transakce........................................................................................................................................................ 54

10.9.3        Veřejně přístupné informace.................................................................................................................................... 55

10.10         Monitorování................................................................................................................................................................. 55

10.10.1     Pořizování auditních záznamů.................................................................................................................................. 55

10.10.2     Monitorování používání systému.............................................................................................................................. 56

10.10.3     Ochrana vytvořených záznamů.................................................................................................................................. 57

10.10.4     Administrátorský a operátorský deník..................................................................................................................... 57

10.10.5     Záznam selhání........................................................................................................................................................... 57

10.10.6     Synchronizace hodin.................................................................................................................................................. 58

11              Řízení přístupu............................................................................................................................................................. 58

11.1           Požadavky na řízení přístupu..................................................................................................................................... 58

11.1.1        Politika řízení přístupu................................................................................................................................................ 58

11.2           Řízení přístupu uživatelů............................................................................................................................................ 59

11.2.1        Registrace uživatele................................................................................................................................................... 59

11.2.2        Řízení privilegovaného přístupu............................................................................................................................... 60

11.2.3        Správa uživatelských hesel....................................................................................................................................... 60

11.2.4        Přezkoumání přístupových práv uživatelů............................................................................................................... 61

11.3           Odpovědnosti uživatelů.............................................................................................................................................. 61

11.3.1        Používání hesel........................................................................................................................................................... 61

11.3.2        Neobsluhovaná uživatelská zařízení....................................................................................................................... 62

11.3.3        Zásada prázdného stolu a prázdné obrazovky monitoru..................................................................................... 62


Strana 7

Strana

11.4           Řízení přístupu k síti................................................................................................................................................... 63

11.4.1        Politika užívání síťových služeb................................................................................................................................ 63

11.4.2        Autentizace uživatele pro externího připojení......................................................................................................... 64

11.4.3        Identifikace zařízení v sítích....................................................................................................................................... 64

11.4.4        Ochrana portů pro vzdálenou diagnostiku a konfiguraci..................................................................................... 64

11.4.5        Princip oddělení v sítích............................................................................................................................................. 65

11.4.6        Řízení síťových spojení.............................................................................................................................................. 65

11.4.7        Řízení směrování sítě................................................................................................................................................. 66

11.5           Řízení přístupu k operačnímu systému.................................................................................................................. 66

11.5.1        Bezpečné postupy přihlášení................................................................................................................................... 66

11.5.2        Identifikace a autentizace uživatelů.......................................................................................................................... 67

11.5.3        Systém správy hesel.................................................................................................................................................. 68

11.5.4        Použití systémových nástrojů.................................................................................................................................... 68

11.5.5        Časové omezení relace............................................................................................................................................. 69

11.5.6        Časové omezení spojení........................................................................................................................................... 69

11.6           Řízení přístupu k aplikacím a informacím.............................................................................................................. 69

11.6.1        Omezení přístupu k informacím............................................................................................................................... 69

11.6.2        Oddělení citlivých systémů........................................................................................................................................ 70

11.7           Mobilní výpočetní zařízení a práce na dálku........................................................................................................... 70

11.7.1        Mobilní výpočetní zařízení a sdělovací technika..................................................................................................... 70

11.7.2        Práce na dálku............................................................................................................................................................. 71

12              Akvizice, vývoj a údržba informačnícho systémů................................................................................................... 72

12.1           Bezpečnostní požadavky informačních systémů.................................................................................................. 72

12.1.1        Analýza a specifikace bezpečnostních požadavků............................................................................................... 72

12.2           Správné zpracování v aplikacích............................................................................................................................... 73

12.2.1        Validace vstupních dat............................................................................................................................................... 73

12.2.2        Kontrola vnitřního zpracování.................................................................................................................................... 74

12.2.3        Integrita zpráv............................................................................................................................................................... 74

12.2.4        Validace výstupních dat.............................................................................................................................................. 75

12.3           Kryptografická opatření.............................................................................................................................................. 75

12.3.1        Politika pro použití kryptografických opatření......................................................................................................... 75

12.3.2        Správa klíčů.................................................................................................................................................................. 76

12.4           Bezpečnost systémových souborů.......................................................................................................................... 77

12.4.1        Správa provozního programového vybavení........................................................................................................... 77

12.4.2        Ochrana dat pro testování systému......................................................................................................................... 78

12.4.3        Řízení přístupu ke knihovně zdrojových kódů........................................................................................................ 78

12.5           Bezpečnost procesů vývoje a podpory.................................................................................................................... 79

12.5.1        Postupy řízení změn.................................................................................................................................................... 79

12.5.2        Technické přezkoumání aplikací po změnách operačního systému................................................................ 80

12.5.3        Omezení změn programových balíků...................................................................................................................... 80

12.5.4        Únik informací.............................................................................................................................................................. 80

12.5.5        Programové vybavení vyvíjené externím dodavatelem......................................................................................... 81


Strana 8

Strana

12.6           Řízení technických zranitelností................................................................................................................................ 81

12.6.1        Řízení, správa a kontrola technických zranitelností.............................................................................................. 81

13              Zvládání bezpečnostních incidentů......................................................................................................................... 82

13.1           Hlášení bezpečnostních událostí a slabin............................................................................................................. 82

13.1.1        Hlášení bezpečnostních událostí............................................................................................................................ 83

13.1.2        Hlášení bezpečnostních slabin................................................................................................................................ 84

13.2           Zvládání bezpečnostních incidentů a kroky k nápravě......................................................................................... 84

13.2.1        Odpovědnosti a postupy............................................................................................................................................ 84

13.2.2        Ponaučení z bezpečnostních incidentů.................................................................................................................. 85

13.2.3        Shromažďování důkazů.............................................................................................................................................. 85

14              Řízení kontinuity činností organizace...................................................................................................................... 86

14.1           Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací............................................. 86

14.1.1        Zahrnutí bezpečnosti informací do procesu řízení kontinuity činností organizace......................................... 86

14.1.2        Kontinuita činností organizace a hodnocení rizik.................................................................................................. 87

14.1.3        Vytváření a implementace plánů kontinuity............................................................................................................ 87

14.1.4        Systém plánování kontinuity činností organizace................................................................................................. 88

14.1.5        Testování, udržování a přezkoumávání plánů kontinuity...................................................................................... 89

15              Soulad s požadavky.................................................................................................................................................... 89

15.1           Soulad s právními normami..................................................................................................................................... 89

15.1.1        Identifikace odpovídajících předpisů....................................................................................................................... 90

15.1.2        Ochrana duševního vlastnictví.................................................................................................................................. 90

15.1.3        Ochrana záznamů organizace.................................................................................................................................. 91

15.1.4        Ochrana dat a soukromí osobních údajů............................................................................................................... 91

15.1.5        Prevence zneužití prostředků pro zpracování informací....................................................................................... 92

15.1.6        Regulace kryptografických opatření......................................................................................................................... 92

15.2           Soulad s bezpečnostními politikami, normami a technická shoda.................................................................. 93

15.2.1        Shoda s bezpečnostními politikami a normami................................................................................................... 93

15.2.2        Kontrola technické shody.......................................................................................................................................... 93

15.3           Hlediska auditu informačních systémů.................................................................................................................. 94

15.3.1        Opatření k auditu informačních systémů................................................................................................................ 94

15.3.2        Ochrana nástrojů pro audit informačních systémů.............................................................................................. 94

Abecední rejstřík............................................................................................................................................................................. 95


Strana 9

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí zřízených příslušnou organizací k tomu, aby se zabývaly určitou oblastí technické činnosti. V oblastech společného zájmu technické komise ISO a IEC spolupracují. Práce se zúčastňují i jiné mezinárodní organizace, vládní i nevládní, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.

Návrhy mezinárodních norem jsou zpracovány v souladu s pravidly uvedenými v části 2 Směrnic ISO/IEC.

Hlavním úkolem společné technické komise je připravovat mezinárodní normy. Návrhy mezinárodních norem přijaté společnou technickou komisí se rozesílají národním orgánům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75 % hlasujících členů.

Pozornost je třeba věnovat možnosti, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nenesou odpovědnost za identifikaci všech patentových práv nebo kteréhokoliv z nich.

Mezinárodní norma ISO/IEC 17799 byla připravena společnou technickou komisí ISO/IEC JTC 1 Information technology, subkomise SC 27, IT Security techniques.

Toto druhé vydání ruší a nahrazuje první vydání (ISO/IEC 17799:2000), které bylo technicky revidováno.

Technická komise ISO/IEC JTC 1/SC 27 připravuje soubor mezinárodních norem věnovaných systému řízení bezpečnosti informací (ISMS). Soubor norem zahrnuje požadavky na systém řízení bezpečnosti informací, managementu rizik, metriky a měření výkonu a doporučení k implementaci. Soubor těchto norem bude vydán v sérii 27000.

ISO/IEC 17799 by měla být do této nové řady začleněna v roce 2007 a to jako ISO/IEC 27002.


Strana 10

0 Úvod

0.1 Co je bezpečnost informací?

Informace jsou aktiva, která mají pro organizaci hodnotu. Je tedy nutné je vhodným způsobem chránit. Obzvláště se vzrůstající propojeností prostředí jednotlivých organizací je tato potřeba stále více aktuální. S rostoucí propojeností jsou informace vystaveny zvyšujícímu se počtu různých hrozeb a zranitelností (viz také Směrnice OECD pro bezpečnost informačních systémů a sítí: směrem ke kultuře bezpečnosti1).

Informace mohou existovat v různých podobách. Mohou být vytištěny nebo napsány na papíře, uloženy v elektronické podobě, posílány poštou nebo elektronickou cestou, zachyceny na film nebo vyřčeny při konverzaci.

Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišťuje tak kontinuitu činností organizace, minimalizuje obchodní ztráty a maximalizuje návratnost investic a podnikatelských příležitostí.

Bezpečnosti informací lze dosáhnout implementací soustavy opatření, která mohou existovat ve formě pravidel, postupů, procedur, organizační struktury, programových a hardwarových funkcí. Tato opatření musí být ustavena, zavedena, provozována, monitorována, přezkoumávána a zlepšována proto, aby bylo dosaženo specifických bezpečnostních cílů organizace. Toto všechno by mělo být prováděno v souladu s ostatními řídícími procesy organizace.

0.2 Proč je nezbytná bezpečnost informací

Informace a podpůrné procesy, systémy a sítě jsou důležitými aktivy organizace. Vymezení, zavádění, podpora a zlepšování bezpečnosti informací může být zásadní pro udržení konkurenceschopnosti, peněžních toků (cash-flow), ziskovosti, právní shody a dobrého jména organizace.

Stále rostoucí měrou jsou organizace a jejich informační systémy vystavovány bezpečnostním hrozbám z různých zdrojů, včetně počítačových podvodů, špionáže, sabotáže, vandalizmu, požárů a povodní. Zdroje škod, jako jsou počítačové viry, útoky hackerů a útoky typu odepření služby (denial of service), jsou stále častější, roste jejich nebezpečnost a sofistikovanost.

Bezpečnost informací je důležitá z hlediska ochrany kritické infrastruktury a to jak v soukromém, tak ve státním sektoru. V obou sektorech je bezpečnost informací důležitá pro existenci některých služeb, například e-governmentu nebo e-komerce a zároveň kvůli vyhnutí se nebo snížení relevantních rizik. Propojení veřejných a privátních sítí i sdílení informačních zdrojů zvyšuje obtížnost řízení přístupu. Trend směřující k distribuovanému zpracování oslabil efektivnost centrální kontroly prováděné specialisty.

Mnoho informačních systémů nebylo navrženo tak, aby byly bezpečné. Bezpečnost, která může být dosažena technickými prostředky, je nedostačující a měla by být doplněna odpovídajícím řízením a postupy. Pro určení opatření, která je třeba přijmout, je nutné pečlivé plánování a rozbor každého detailu. Řízení bezpečnosti informací proto vyžaduje alespoň nějakou spoluúčast všech zaměstnanců organizace. Může rovněž zahrnovat spolupráci majitelů organizace (akcionářů), dodavatelů, třetích stran, zákazníků a dalších externích subjektů. V neposlední řadě může být potřebná i rada od specialistů z jiných organizací.

0.3 Jak stanovit bezpečnostní požadavky

Je nezbytné, aby organizace určila své bezpečnostní požadavky. K tomu existují tři hlavní zdroje.

1)  Prvním zdrojem je hodnocení rizik, která organizaci hrozí, beroucí v potaz celkovou strategii a cíle organizace. V rámci hodnocení rizik se identifikují hrozby působící vůči aktivům, zranitelnosti, které mohou být hrozbami využity i pravděpodobnost jejich výskytu, a provádí se odhad jejich potenciálního dopadu.

2)  Druhým zdrojem jsou požadavky zákonů a podzákonných norem, smluvní ujednání a místní zvyklosti, které organizace, její obchodní, smluvní partneři a poskytovatelé služeb musí splňovat.

3)  Třetím zdrojem jsou konkrétní principy, cíle a požadavky na zpracování informací, které si organizace vytvořila pro podporu své činnosti.

0.4 Hodnocení bezpečnostních rizik

Požadavky na bezpečnost jsou stanoveny za pomoci metodického hodnocení bezpečnostních rizik. Výdaje na bezpečnostní opatření by měly odpovídat ztrátám způsobeným narušením bezpečnosti.

_______________

1)    OECD Guidelines for the Security of Information systems and Network – Towards a Culture of Security.


Strana 11

Výsledky hodnocení rizik pomohou určit vedení organizace odpovídající kroky i priority pro řízení bezpečnostních rizik u informací a pro realizaci opatření určených k zamezení jejich výskytu.

Hodnocení rizik by mělo být prováděno periodicky, aby bylo možné včas reagovat na jakékoliv změny v bezpečnostních požadavcích.

Více informací o hodnocení rizik je uvedeno v 4.1 „Hodnocení bezpečnostních rizik“.

0.5 Výběr opatření

Jakmile jsou identifikovány bezpečnostní požadavky a rizika, a bylo rozhodnuto jakým způsobem bude se zjištěnými riziky naloženo, měla by být vybrána a implementována opatření zajišťující snížení rizik na přijatelnou úroveň. Taková opatření mohou být vybrána z tohoto dokumentu nebo i z jiných souborů opatření. Pro pokrytí specifických potřeb mohou být vytvořena zcela nová opatření. Výběr konkrétních opatřeje na rozhodnutí každé organizace. Rozhodnutí je založeno na kritériích určujících akceptaci nebo zvládání rizika a celkovém přístupu organizace k řízení rizik. Při výběru opatření by měla být zohledněna příslušná národní a mezinárodní legislativa a regulace.

Některá opatření v tomto dokumentu mohou být chápána jako základní doporučení pro řízení bezpečnosti informací a mohou být využita ve většině organizací. Detailněji jsou vysvětlena v části „Východiska bezpečnosti informací“.

Další informace o výběru opatření a způsobech zvládání rizik jsou uvedeny v 4.2 „Zvládání bezpečnostních rizik“.

0.6 Východiska bezpečnosti informací

Řada opatření může být považována za základní principy představující dobrá východiska pro implementaci bezpečnosti informací. Mohou vycházet ze základních legislativních požadavků nebo jsou obecně považována za nejlepších způsob řešení bezpečnosti informací.

Opatření, která by měla být pro organizaci podstatná z pohledu legislativy, jsou:

a)  ochrana osobních údajů (viz 15.1.4);

b)  ochrana důležité dokumentace organizace, jako například účetních záznamů (viz 15.1.3);

c)  ochrana duševního vlastnictví (viz 15.1.2).

Opatření, považovaná za základ nejlepších praktik (best practices) pro zajištění bezpečnosti informací, jsou:

a)  dokument bezpečnostní politiky informací (viz 5.1.1);

b)  přidělení odpovědností v oblasti bezpečnosti informací (viz 6.1.3);

c)  vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti informací (viz 8.2.2);

d)  bezchybné zpracování v aplikačních systémech (viz 12.2);

e)  řízení technických zranitelností (viz 12.6);

f)   řízení kontinuity činností organizace (viz 14);

g)  zvládání bezpečnostních incidentů a kroky k nápravě (viz 13.2).

Tato opatření fungují ve většině organizací a prostředí.

Ačkoliv všechna opatření uvedená v tomto dokumentu jsou důležitá, je nutné si uvědomit, že o výběru a aplikaci konkrétních opatření by mělo být rozhodnuto až ve světle specifických rizik, kterým organizace čelí. I když výše uvedené doporučení může být považováno za dobré východisko, nenahrazuje výběr opatření vycházející z hodnocení rizik.

0.7 Kritické faktory úspěchu

Jak ukazuje zkušenost, pro úspěšnou implementaci bezpečnosti informací v organizaci jsou často kritické následující faktory:

a)  bezpečnostní politika, bezpečnostní cíle a činnosti, které respektují cíle činností organizace;

b)  přístup k zavádění, udržování, monitorování a zlepšování bezpečnosti informací v souladu s kulturou organizace;


Strana 12

c)  zřetelná podpora a angažovanost ze strany vedení organizace;

d)  dobré pochopení bezpečnostních požadavků, hodnocení a managementu rizik;

e)  účinný marketing bezpečnosti vůči vedení organizace, zaměstnancům a jiným stranám;

f)   rozšíření směrnic a norem bezpečnostní politiky informací mezi všechny zaměstnance, vedení organizace a třetí strany;

g)  zdroje na financování činností souvisejících s řízením bezpečnosti informací;

h)  realizace odpovídajících školení, vzdělávání a programů zvyšování povědomí;

i)   zavedení procesu zvládání bezpečnostních incidentů;

j)   komplexní a vyvážený systém pro ohodnocení míry účinnosti2 řízení bezpečnosti informací a získávání návrhů ke zlepšení na základě zpětné vazby.

0.8 Vytváření vlastních směrnic

Tento soubor postupů může být chápán jako východisko pro vytváření specifických směrnic organizace. Ne všechna doporučení a opatření tohoto souboru postupů mohou být použitelná. Kromě toho mohou být nezbytná i další opatření, která nejsou v tomto dokumentu uvedena. V takovém případě je užitečné zanechat v nich odkaz na tuto normu a usnadnit tak ověření shody prováděné auditory a obchodními partnery.

_______________

2     Měření účinnosti implementovaného ISMS je mimo rozsah této normy.


Strana 13

1 Předmět normy

Tato mezinárodní norma poskytuje doporučení a obecné principy pro vymezení, zavedení, udržování a zlepšování systému managementu bezpečnosti informací v organizaci. Cíle, popsané v normě, poskytují rady o obecně přijímaných cílech managementu bezpečnosti.

Cíle opatření a jednotlivá opatření obsažená v této mezinárodní normě by měla být implementována na základě požadavků zjištěných v rámci analýzy rizik. Norma může sloužit jako praktický průvodce při vývoji bezpečnostních standardů organizace, účinných řídících bezpečnostních postupů a také při budování důvěry mezi organizacemi.



-- Vynechaný text --

Zdroj: www.cni.cz