Základné pojmy informačnej bezpečnosti

Ak hovoríme o bezpečnosti informácií, ide o posúdenie ochrany informácií z troch základných hľadísk: integrity, dôveryhodnosti a dostupnosti. Skôr, než sa dostaneme k bližšiemu popisu prínosov informačnej bezpečnosti, je nutné vysvetliť základné pojmy, resp. termíny.

Integrita
informácia nebude zmenená, alebo zničená neautorizovaným prístupom.

Dôveryhodnosť
informácia nebude prístupná pre neoprávnené osoby, ale len autorizovaným.

Dostupnosť informácií
informácia bude dostupná vtedy, kedy to autorizovaná osoba vyžaduje

Audit informačnej bezpečnosti

Je manažérsky dokument, ktorý je výstupnou informáciou o stave informačnej bezpečnosti. Analýza bezpečnosti je prvým krokom k identifikácii slabých miest a zvýšeniu ochrany, napr. zavedením systému riadenia bezpečnosti informácií. Odporúčame dodržať nasledujúcu formu výstupného auditu bezpečnosti informácií:

1) Zhrnutie pre management

Jeho obsahom je celkový záver a hodnotenie bezpečnostného auditu z hľadiska súladu existujúceho stavu bezpečnostných opatrení so štandardom ISO/IEC 27001:2003

2) Podrobné zistenia a odporúčania

V tejto časti odporúčame identifikovať jednotlivé dôležité zistenia zo všetkých krokov bezpečnostného auditu a odporúčaní k posilneniu bezpečnosti informácií.

3) Plán zavedenia systému riadenia bezpečnosti informácií

Plán zavedenia systému riadenia bezpečnosti informácií je nutné rozdeliť do etáp, ktoré budete schopní projektovo riadiť. Každá z týchto etáp obsahuje krátky popis postupov a  pracnosti.

Zhrnutie pre management

Ciele a rozsah auditu informačnej bezpečnosti

Cieľom bezpečnostného auditu IS/IT by malo byť predovšetkým zaistenie existujúcej úrovne zabezpečenia informácií z hľadiska dostupnosti, integrity a dôvernosti.

Bezpečnostný audit IS/IT zahŕňa prevádzkové i technické časti  informačného systému. Zo skúseností certifikačných auditov odporúčame využiť odporúčania vyplývajúce z normy ISO/IEC 27001.

Postup a metodika

Bezpečnostný audit IS/IT je vhodné realizovať

S pomocou akreditovaných a certifikovaných audítorov ISMS v spolupráci s riadiacimi/odbornými pracovníkmi spoločnosti. A akú zvoliť metodiku?
Najvhodnejším rámcom je bezpečnostný štandard ISO/IEC 27001, ktorý vo svojej poslednej verzii stanovuje sústavu opatrení, ktorých usporiadanie vychádza z najlepších praktík bezpečnosti informácií. Ide o opatrenia a ciele v nasledujúcich oblastiach:

 Bezpečnostná politika   Organizácia bezpečnosti   Klasifikácia a riadenie aktív 
 Personálna bezpečnosť   Fyzická bezpečnosť   Riadenie komunikácií a prevádzky 
 Riadenie prístupu  Implementácia a správa IS  Riadenie incidentov 
 Riadenie kontinuity  Súlad s požiadavkami ISO   
  • Pre jednotlivé oblasti stanovte zodpovedných riadiacich pracovníkov, ktorí budú schopní poskytnúť kvalifikované odpovede o stave informačnej bezpečnosti v rámci interview.
  • Pred prevedením auditu je nutné vyžiadať relevantné dokumenty, ktoré popisujú spôsob riešení daných oblastí.
  • Analýzou informácií musí byť posúdený súlad existujúcich bezpečnostných opatrení so štandardom ISO/IEC 27001.

Riešiteľský tím a zhodnotenie stavu

Riešiteľský tím

Na realizáciu analýzy existujúceho stavu informačnej bezpečnosti a tvorby výstupných manažérskych dokumentov by sa mal podieľať riešiteľský tím zložený jednak z kvalifikovaných interných pracovníkov v spolupráci s externými audítormi (v ideálnom prípade s kvalifikáciou ISO 27001 Lead Audítor). 

Celkové zhodnotenie stavu bezpečnosti

Z výsledkov bezpečnostného auditu by malo byť možné zmerať úroveň zabezpečenia informácií z hľadiska dostupnosti, integrity a dôveryhodnosti. Celkový stav by mal byť vyjadrený kategoricky v percentách, podľa metodiky certifikačných auditov realizovaných podľa štandardu ISO/IEC 27001. Medzi najčastejšie zraniteľnosti (nie však všetky) sú napr.:

  • outsourcing nie je zmluvne ošetrený
  • porušovanie zásad mlčanlivosti a ochrany dát
  • bezpečnostná politika nie je definovaná, alebo plnená

Hodnotenie zhody s požiadavkami ISO/IEC 27001

Posúdenie zhody opatrení v informačnej bezpečnosti s požiadavkami bezpečnostnej normy ISO/IEC 27001 vyjadrí audítor najčastejšie v bodoch. Podľa počtu dosiahnutých bodov možno následne vypočítať súlad so štandardom systému riadenia informačnej bezpečnosti.

Interný & Certifikačný audit

Interný audit

Je určený predovšetkým pre organizačnú prípravu interného auditu. Vyhodnotenie výsledkov interného auditu Vám dá spätnú väzbu pri návrhu nápravných opatrení.

Certifikačný audit 1. stupňa (tzv. Desktop review)

V tejto fáze prebieha preverovanie existujúcej dokumentácie systému riadenia bezpečnosti informácií povereným audítorom z hľadiska komplexnosti a kompletnosti. 

Certifikačný audit 2. stupňa (tzv. Process review)

Pri certifikačnom audite 2. stupňa dochádza k preverovaniu zhody dokumentácie systému riadenia bezpečnosti informácií s reálnym stavom, preverovaniu vedených záznamov).

Ako naplánovať zavedenie systému riadenia bezpečnosti informácií?

1)  Vytvorte stratégiu bezpečnosti informácií
Riziko je potenciálna možnosť, že daná hrozba využije zraniteľnosť aktíva a spôsobí tak jeho stratu alebo zničenie. Stratégia bezpečnosti informácií nadväzuje na celoorganizačnú stratégiu a mala by pokrývať nasledujúce ciele informačnej bezpečnosti:

  • splnenie legislatívnych požiadaviek
  • zaistenie kontinuity podnikateľských procesov
  • zaistenie informácií pred neoprávneným prístupom
  • zaistenie školenia zamestnancov pre oblasť bezpečnosti informácií
  • zachovanie integrity informácií pred nechcenou či neoprávnenou modifikáciou
  • zachovanie dostupnosti informácií autorizovaným užívateľom v prípade potreby

Čo znamená..?
"Zraniteľnosť" je slabé miesto aktíva, ktoré môže byť využité hrozbou.
"Aktívum" čohokoľvek, čo má pre organizáciu hodnotu (servery, software, databázy).
"Hrozba" je to potenciálna príčina nežiadúceho incidentu, ktorý môže ohroziť aktíva).

2) Urobte analýzu rizík, navrhnite plán zvládania rizík

Hlavným cieľom analýzy rizík je identifikácia informačných rizík a ich následné odstránenie či zníženie zavedením vhodných bezpečnostných opatrení. Analýzu rizík rozdeľte do týchto fází:

  • identifikujte a ohodnoďte aktíva spol.
  • pomocou analýzy určíte pravdepodobnosť výskytu hrozieb
  • nezapomeňte realisticky určiť možnosť zraniteľnosti a riziká pre tieto aktíva
  • navrhnite vhodné bezpečnostné opatrenia eliminujúce identifikované riziká

3) Vytvorte "Bezpečnostnú Politiku" a nadväzujúce bezpečnostné štandardy

Bezpečnostná politika je základný riadiaci dokument, ktorý vyjadruje postoj managementu spoločnosti k zaisteniu bezpečnosti informácií, má skôr všeobecný, deklaratívny charakter. Na bezpečnostnú politiku nadväzujú už konkrétnejšie bezpečnostné smernice, napr.:

  • evidencia aktív
  • zmenové riadenia
  • politika riadenia prístupu
  • popis fyzického zabezpečenia
  • postupy pre správu systému
  • likvidácia a vyradenie zariadení, médií
  • pravidlá pre prístup a vyhodnotenie služieb tretích strán
  • pravidlá pre klasifikáciu informácií (pravidlá pre označovanie informácií)
  • pravidlá pre zachádzanie s informáciami, bezpečnosť zariadení pri prevádzke

Podrobné zistenia a odporúčania

V akej forme a podobe môže byť prezentované zistenie existucujúceho stavu, vrátane odporúčaní, ktoré by mali byť aplikované v ďalších fázach procesu? Na názornom príklade Vám ukážeme ako definovať cieľový stav, výsledok auditu a následné odporúčania pre zvýšenie informačnej bezpečnosti informácií. Z dôvodu ochrany know-how uvádzame v zjednodušenej podobe:

Ciele opatrení

Zaistiť súlad všetkých postupov, oblastí a systémov s definovanými bezpečnostnými politikami a smernicami. Zároveň sa vyvarovať porušeniam noriem trestného alebo občianskeho práva, zákonných alebo zmluvných povinností a bezpečnostných požiadaviek.

Zistené nedostatky

Spoločnosť nemá vypracovanú bezpečnostnú politiku a k súladu pravidelného auditu s vyššie uvedenými požiadavkami (napr. Zákonom číslo 122/2013 Z.z., o ochrane osobných údajov) nedochádza.

Odporúčania

Odporúčame, po vypracovaní bezpečnostnej politiky, vyškoliť svojich zamestnancov na pozíciu Interného Audítora v certifikovanom kurze ISO 27001 IA, ďalej posilniť kvalifikáciu na úroveň Špecialista ochrany osobných údajov 122/2013 Z.z., za účelom kontroly zhody s legislatívnymi požiadavkami, bezpečnostnou politikou a nadväzujúcimi smernicami a normami.

kurz 122/2013 Z.z..