Systém řízení bezpečnosti informací
4.1 Všeobecné požadavky
Organizace musí ustavit, zavést, provozovat, monitorovat, přezkoumávat, udržovat a soustavně
zlepšovat dokumentovaný ISMS organizace, a to v kontextu všech činností a rizik. Použitý
proces je, pro účely této normy, založen na modelu PDCA znázorněném na obrázku č.1.
4.2 Ustavení a řízení ISMS
4.2.1 Ustavení ISMS
Organizace musí provést následující.
a) Definovat rozsah a hranice ISMS na základě posouzení specifických rysů činností
organizace, jejího uspořádání, struktury, umístění (lokality), aktiv a technologií,
včetně důvodů pro vyjmutí z rozsahu ISMS (viz 1.2).
b) Definovat politiku ISMS na základě posouzení specifických rysů činností
organizace, její struktury, umístění aktiv a technologií, která:
1. zahrnuje rámec pro stanovení jejích cílů a ustavuje celkový směr řízení a rámec
zásad činností týkající se bezpečnosti informací;
2. bere v úvahu požadavky vyplývající z činností organizace a legislativní nebo
regulatorní požadavky a smluvní bezpečnostní závazky;
3. pro vybudování a údržbu ISMS vytváří potřebné vazby na prostředí, tedy na
strategii organizace, její organizační strukturu a proces řízení rizik;
4. stanovuje kritéria, kterými bude hodnoceno riziko [viz 4.2.1 c)];
5. byla schválena vedením.
POZNÁMKA
Pro účely této normy je politika ISMS považována za nadřazenou bezpečnostní
politice organizace. Obě politiky mohou být součástí jednoho dokumentu.
c) Definovat systematický přístup k hodnocení rizik.
1. Určit metodiku hodnocení rizik, která vyhovuje ISMS a stanovené bezpečnosti
informací, legislativním a regulatorním požadavkům.
2. Určit kritéria pro akceptaci rizik a pro definování jejich akceptační úrovně [viz
5.1 f)].
Vybraná metodika hodnocení rizik musí zajistit, že jsou výsledky hodnocení rizik
porovnatelné a reprodukovatelné.
POZNÁMKA
Pro hodnocení rizik existuje řada různých metodik. Příklady metodik pro hodnocení
rizik lze nalézt v normě ISO/IEC TR 13335-34, Information technology -- Guidelines
for the management of IT Security -- Part 3: Techniques for the management of IT
Security.
d) Identifikovat rizika.
1. Identifikovat aktiva v rámci rozsahu ISMS a jejich vlastníky5.
2. Identifikovat hrozby pro tato aktiva.
3. Identifikovat zranitelnosti, které by mohly být hrozbami využity.
4. Identifikovat, jaké dopady na aktiva by mohla mít ztráta důvěrnosti, integrity
a dostupnosti.
e) Analyzovat a vyhodnocovat rizika.
1. Ohodnotit dopady na činnost organizace, které by mohly vyplynout ze selhání
bezpečnosti s tím, že vezme v úvahu případné následky ztráty důvěrnosti,
integrity nebo dostupnosti aktiv.
2. Ohodnotit reálnou pravděpodobnost selhání bezpečnosti, které by se mohlo
vyskytnout působením existujících hrozeb a zranitelností a dopady na
konkrétní aktiva s přihlédnutím k aktuálně zavedeným opatřením.
3. Odhadnout úrovně rizik.
4. Určit, zda je riziko akceptovatelné nebo vyžaduje zvládání podle kritérií
stanovených v 4.2.1c)2).
f) Identifikovat a vyhodnotit varianty pro zvládání rizik.
Možné činnosti zahrnují:
1. aplikování vhodných opatření;
2. vědomé a objektivní akceptování rizik za předpokladu, že naplňují politiku
organizace a kritéria pro akceptaci rizik [viz 4.2.1c)2)];
3. vyhnutí se rizikům;
4. přenesení rizik spojených s činností organizace na třetí strany, např. na
pojišťovny, dodavatele.
g) Vybrat cíle opatření a jednotlivá bezpečnostní opatření pro zvládání rizik.
Z přílohy A této normy musí být vybrány a implementovány vhodné cíle opatření a
jednotlivá bezpečnostní opatření a tento výběr musí být zdůvodněn na základě
výsledků procesů hodnocení a zvládání rizik. Při výběru musí být zohledněna
kritéria pro akceptaci rizik [viz 4.2.1c)], stejně tak jako legislativní, regulatorní a
smluvní požadavky.
Cíle opatření a jednotlivá bezpečnostní opatření uvedená v příloze A nejsou
vyčerpávající, mohou tedy být vybrány i další cíle opatření a jednotlivá opatření.
POZNÁMKA
Příloha A obsahuje ucelený seznam cílů opatření a jednotlivých bezpečnostních
opatření, které byly shledány jako obecně použitelné pro všechny typy organizací.
Seznam poskytuje uživatelům důležité vodítko pro zajištění toho, aby nebyla
opomenuta nebo přehlédnuta žádná z důležitých opatření.
h) Získat souhlas vedení organizace s navrhovanými zbytkovými riziky.
i) Získat povolení ze strany vedení organizace k zavedení a provozu ISMS.
j) Připravit Prohlášení o aplikovatelnosti.
Prohlášení o aplikovatelnosti musí obsahovat následující:
1. cíle opatření a jednotlivá bezpečnostní opatření vybrané v 4.2.1g) a důvody pro
jejich výběr;
2. cíle opatření a jednotlivá bezpečnostní opatření, která jsou již v organizaci
implementována [viz 4.2.1e)2)];
3. vyřazené cíle opatření a jednotlivá vyřazená bezpečnostní opatření uvedená
v příloze A, včetně zdůvodnění pro jejich vyřazení.
POZNÁMKA
Prohlášení o aplikovatelnosti poskytuje souhrn rozhodnutí jakým způsobem bude
naloženo s identifikovanými riziky. Zdůvodnění pro vyřazení cílů a jednotlivých
opatření poskytuje zpětnou kontrolu zda nebyly vyřazeny omylem.
4.2.2 Zavádění a provozování ISMS
Organizace musí provést následující:
a) Formulovat plán zvládání rizik, který vymezí odpovídající řídící činnosti, zdroje,
odpovědnosti a priority pro řízení rizik bezpečnosti informací (viz kapitola 5).
b) Zavést plán zvládání rizik tak, aby dosáhla určených cílů opatření, přičemž vezme
v úvahu finanční a lidské zdroje a přiřazení rolí a odpovědností.
c) Zavést bezpečnostní opatření vybraná v 4.2.1 g) pro dosažení (naplnění) cílů těchto
opatření.
d) Určit jakým způsobem bude měřit účinnost vybraných opatření nebo skupin opatření
a stanovit jakým způsobem budou tato měření použita k vyhodnocení účinnosti opatření
tak, aby závěry hodnocení byly porovnatelné a opakovatelné [viz 4.2.3c)].
POZNÁMKA
Měření účinnosti opatření poskytuje vedení organizace a zaměstnancům informaci
o tom, jak jednotlivá opatření naplňují plánované cíle.
e) Zavést programy školení a programy zvyšování bezpečnostního povědomí (viz 5.2.2).
f) Řídit provoz ISMS.
g) Řídit zdroje ISMS (viz 5.2).
h) Zavést postupy a další opatření pro rychlou detekci a reakci na bezpečnostní události
a postupy reakce na bezpečnostní incidenty [viz 4.2.3a)].
4.2.3 Monitorování a přezkoumání ISMS
Organizace musí provést následující:
a) Monitorovat, přezkoumávat a zavést další opatření:
1. pro včasnou detekci chyb zpracování;
2. pro včasnou detekci úspěšných i neúspěšných pokusů o narušení bezpečnosti
a detekci bezpečnostních incidentů;
3. umožňující vedení organizace určit, zda bezpečnostní aktivity, prováděné
pověřenými osobami nebo pro které byly implementovány technologie, fungují
dle očekávání;
4. umožňující detekci bezpečnostních událostí a zabránění tak vzniku
bezpečnostních incidentů;
5. umožňující vyhodnocení účinnosti činností podniknutých při narušení
bezpečnosti.
b) Pravidelně přehodnocovat účinnost ISMS (včetně splnění politiky ISMS, cílů
a analýzy bezpečnostních opatření) s ohledem na výsledky bezpečnostních auditů,
incidentů, výsledků měření účinnosti opatření, návrhů a podnětů všech
zainteresovaných stran.
c) Měřit účinnost zavedených opatření pro ověření toho, zda byly naplněny
požadavky na bezpečnost.
d) V plánovaných intervalech provádět přezkoumání hodnocení rizik
a přehodnocování úrovně zbytkového a akceptovatelného rizika s ohledem na
změny:
1. organizace;
2. technologií;
3. cílů činností organizace a procesů;
4. identifikovaných hrozeb;
5. účinnosti zavedených opatření;
6. regulatorního a právního prostředí, změny vyplývající ze smluvních závazků,
změny sociálního klima.
e) Provádět interní audity ISMS v plánovaných intervalech (viz kapitola 6).
POZNÁMKA
Interní audity jsou prováděny přímo organizací nebo externími auditory. Jejich
cílem může být například prověření systému řízení před samotným certifikačním
auditem.
f) Na úrovni vedení organizace pravidelně přehodnocovat ISMS, aby se zajistilo, že jeho
rozsah je i nadále odpovídající, a že se daří nacházet možnosti zlepšení (viz 7.1).
g) Aktualizovat bezpečnostní plány s ohledem na nálezy zjištěné v rámci
monitorování a přezkoumání.
h) Zaznamenávat všechny činnosti a události, které by mohly mít dopad na účinnost
nebo výkon ISMS (viz 4.3.3).
4.2.4 Udržování a zlepšování ISMS
Organizace musí pravidelně provádět následující:
a) Zavádět identifikované možnosti vylepšení ISMS.
b) Provádět odpovídající nápravné a preventivní činnosti v souladu s 8.2 a 8.3 s
využitím jak vlastních zkušeností v oblasti bezpečnosti, tak i zkušeností jiných
organizací.
c) Projednávat činnosti a návrhy na zlepšení na požadované úrovni detailu se všemi
zainteresovanými stranami a domluvit další postup.
d) Zaručit, že zlepšení dosáhnou předpokládaných cílů.
4.3 Požadavky na dokumentaci
4.3.1 Všeobecně
Dokumentace musí obsahovat záznamy o rozhodnutích učiněných vedením organizace.
Veškeré činnosti musí být zpětně identifikovatelné v politikách a dohledatelné záznamech o
rozhodnutí vedením. Veškeré činnosti musí být zaznamenány, aby se zajistila jejich
opakovatelnost.
Je důležité mít zdokumentován, a na požádání doložit, vztah mezi vybranými opatřeními
a závěry z procesů hodnocení a zvládání rizik a následně vazbu zpět na politiku a cíle ISMS.
Dokumentace ISMS musí obsahovat následující:
a) dokumentovaná prohlášení politiky a cílů ISMS [viz 4.2.1 b)];
b) rozsah ISMS [viz 4.2.1 a)];
c) postupy a opatření podporující ISMS;
d) popis použitých metodik hodnocení rizik [viz 4.2.1c)];
e) zprávu o hodnocení rizik [viz 4.2.1 c) až 4.2.1 g)];
f) plán zvládání rizik [viz 4.2.2 b)];
g) dokumentované postupy nezbytné pro zajištění efektivního plánování, provozu a řízení
procesů bezpečnosti informací organizace a popis toho jakým způsobem je měřena
účinnost zavedených opatření [viz 4.2.3c)];
h) záznamy vyžadované touto normou (viz 4.3.3);
i) prohlášení o aplikovatelnosti.
POZNÁMKA 1
Termín “dokumentovaný postup” v této normě znamená, že je tento postup vytvořen,
dokumentován, zaveden a udržován.
POZNÁMKA 2
Rozsah dokumentace ISMS se může pro jednotlivé organizace lišit, závisí na:
- velikosti organizace a typu její činnosti;
- rozsahu a složitost systému jenž je řízen a požadavcích na bezpečnost.
POZNÁMKA 3
Dokumenty a záznamy mohou být v jakékoliv formě a na jakémkoliv nosiči.
4.3.2 Řízení dokumentů
Dokumenty požadované ISMS musí být chráněny a řízeny. Musí být vytvořen dokumentovaný
postup tak, aby vymezil řídící činnosti potřebné k:
a) schvalování obsahu dokumentů před jejich vydáním;
b) přezkoumání dokumentů, popřípadě jejich aktualizaci a opakovanému schvalování;
c) zajištění identifikace změn dokumentů a aktuálního stavu revize dokumentů;
d) zajištění dostupnosti příslušných verzí aplikovatelných dokumentů v místech jejich
používání;
e) zajištění čitelnosti a snadné identifikovatelnosti dokumentů;
f) zajištění dostupnosti dokumentů pro všechny, kteří je potřebují, zajištění přenášení,
ukládání a likvidace dokumentů v souladu s postupy odpovídající jejich klasifikaci;
g) zajištění identifikace dokumentů externího původu;
h) zajištění řízené distribuce dokumentů;
i) zabránění neúmyslného použití zastaralých dokumentů;
j) aplikování jejich vhodné identifikace pro případ dalšího použití.
4.3.3 Řízení záznamů
Záznamy musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě s požadavky
a o efektivním fungování ISMS. Záznamy musí být chráněny a řízeny. ISMS musí zohlednit
všechny příslušné právní nebo regulatorní požadavky a smluvní závazky. Záznamy musí zůstat
čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Opatření potřebná
k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů musí být
dokumentována.
Musí být udržovány záznamy o fungování a efektivnosti procesu budování a řízení ISMS, jak je
popsáno v kapitole 4.2. Dále musí být udržovány záznamy o všech výskytech bezpečnostních
incidentů, vztahujících se k ISMS.
PŘÍKLAD
Příklady záznamů jsou návštěvní kniha, záznamy z auditu a záznam o autorizaci přístupu.