Systém řízení bezpečnosti informací

4.1 Všeobecné požadavky

Organizace musí ustavit, zavést, provozovat, monitorovat, přezkoumávat, udržovat a soustavně

zlepšovat dokumentovaný ISMS organizace, a to v kontextu všech činností a rizik. Použitý

proces je, pro účely této normy, založen na modelu PDCA znázorněném na obrázku č.1.

4.2 Ustavení a řízení ISMS

4.2.1 Ustavení ISMS

Organizace musí provést následující.

a) Definovat rozsah a hranice ISMS na základě posouzení specifických rysů činností

organizace, jejího uspořádání, struktury, umístění (lokality), aktiv a technologií,

včetně důvodů pro vyjmutí z rozsahu ISMS (viz 1.2).

b) Definovat politiku ISMS na základě posouzení specifických rysů činností

organizace, její struktury, umístění aktiv a technologií, která:

1. zahrnuje rámec pro stanovení jejích cílů a ustavuje celkový směr řízení a rámec

zásad činností týkající se bezpečnosti informací;

2. bere v úvahu požadavky vyplývající z činností organizace a legislativní nebo

regulatorní požadavky a smluvní bezpečnostní závazky;

3. pro vybudování a údržbu ISMS vytváří potřebné vazby na prostředí, tedy na

strategii organizace, její organizační strukturu a proces řízení rizik;

4. stanovuje kritéria, kterými bude hodnoceno riziko [viz 4.2.1 c)];

5. byla schválena vedením.

POZNÁMKA

Pro účely této normy je politika ISMS považována za nadřazenou bezpečnostní

politice organizace. Obě politiky mohou být součástí jednoho dokumentu.

c) Definovat systematický přístup k hodnocení rizik.

1. Určit metodiku hodnocení rizik, která vyhovuje ISMS a stanovené bezpečnosti

informací, legislativním a regulatorním požadavkům.

2. Určit kritéria pro akceptaci rizik a pro definování jejich akceptační úrovně [viz

5.1 f)].

Vybraná metodika hodnocení rizik musí zajistit, že jsou výsledky hodnocení rizik

porovnatelné a reprodukovatelné.

POZNÁMKA

Pro hodnocení rizik existuje řada různých metodik. Příklady metodik pro hodnocení

rizik lze nalézt v normě ISO/IEC TR 13335-34, Information technology -- Guidelines

for the management of IT Security -- Part 3: Techniques for the management of IT

Security.

d) Identifikovat rizika.

1. Identifikovat aktiva v rámci rozsahu ISMS a jejich vlastníky5.

2. Identifikovat hrozby pro tato aktiva.

3. Identifikovat zranitelnosti, které by mohly být hrozbami využity.

4. Identifikovat, jaké dopady na aktiva by mohla mít ztráta důvěrnosti, integrity

a dostupnosti.

e) Analyzovat a vyhodnocovat rizika.

1. Ohodnotit dopady na činnost organizace, které by mohly vyplynout ze selhání

bezpečnosti s tím, že vezme v úvahu případné následky ztráty důvěrnosti,

integrity nebo dostupnosti aktiv.

2. Ohodnotit reálnou pravděpodobnost selhání bezpečnosti, které by se mohlo

vyskytnout působením existujících hrozeb a zranitelností a dopady na

konkrétní aktiva s přihlédnutím k aktuálně zavedeným opatřením.

3. Odhadnout úrovně rizik.

4. Určit, zda je riziko akceptovatelné nebo vyžaduje zvládání podle kritérií

stanovených v 4.2.1c)2).

f) Identifikovat a vyhodnotit varianty pro zvládání rizik.

Možné činnosti zahrnují:

1. aplikování vhodných opatření;

2. vědomé a objektivní akceptování rizik za předpokladu, že naplňují politiku

organizace a kritéria pro akceptaci rizik [viz 4.2.1c)2)];

3. vyhnutí se rizikům;

4. přenesení rizik spojených s činností organizace na třetí strany, např. na

pojišťovny, dodavatele.

g) Vybrat cíle opatření a jednotlivá bezpečnostní opatření pro zvládání rizik.

Z přílohy A této normy musí být vybrány a implementovány vhodné cíle opatření a

jednotlivá bezpečnostní opatření a tento výběr musí být zdůvodněn na základě

výsledků procesů hodnocení a zvládání rizik. Při výběru musí být zohledněna

kritéria pro akceptaci rizik [viz 4.2.1c)], stejně tak jako legislativní, regulatorní a

smluvní požadavky.

Cíle opatření a jednotlivá bezpečnostní opatření uvedená v příloze A nejsou

vyčerpávající, mohou tedy být vybrány i další cíle opatření a jednotlivá opatření.

POZNÁMKA

Příloha A obsahuje ucelený seznam cílů opatření a jednotlivých bezpečnostních

opatření, které byly shledány jako obecně použitelné pro všechny typy organizací.

Seznam poskytuje uživatelům důležité vodítko pro zajištění toho, aby nebyla

opomenuta nebo přehlédnuta žádná z důležitých opatření.

h) Získat souhlas vedení organizace s navrhovanými zbytkovými riziky.

i) Získat povolení ze strany vedení organizace k zavedení a provozu ISMS.

j) Připravit Prohlášení o aplikovatelnosti.

Prohlášení o aplikovatelnosti musí obsahovat následující:

1. cíle opatření a jednotlivá bezpečnostní opatření vybrané v 4.2.1g) a důvody pro

jejich výběr;

2. cíle opatření a jednotlivá bezpečnostní opatření, která jsou již v organizaci

implementována [viz 4.2.1e)2)];

3. vyřazené cíle opatření a jednotlivá vyřazená bezpečnostní opatření uvedená

v příloze A, včetně zdůvodnění pro jejich vyřazení.

POZNÁMKA

Prohlášení o aplikovatelnosti poskytuje souhrn rozhodnutí jakým způsobem bude

naloženo s identifikovanými riziky. Zdůvodnění pro vyřazení cílů a jednotlivých

opatření poskytuje zpětnou kontrolu zda nebyly vyřazeny omylem.

4.2.2 Zavádění a provozování ISMS

Organizace musí provést následující:

a) Formulovat plán zvládání rizik, který vymezí odpovídající řídící činnosti, zdroje,

odpovědnosti a priority pro řízení rizik bezpečnosti informací (viz kapitola 5).

b) Zavést plán zvládání rizik tak, aby dosáhla určených cílů opatření, přičemž vezme

v úvahu finanční a lidské zdroje a přiřazení rolí a odpovědností.

c) Zavést bezpečnostní opatření vybraná v 4.2.1 g) pro dosažení (naplnění) cílů těchto

opatření.

d) Určit jakým způsobem bude měřit účinnost vybraných opatření nebo skupin opatření

a stanovit jakým způsobem budou tato měření použita k vyhodnocení účinnosti opatření

tak, aby závěry hodnocení byly porovnatelné a opakovatelné [viz 4.2.3c)].

POZNÁMKA

Měření účinnosti opatření poskytuje vedení organizace a zaměstnancům informaci

o tom, jak jednotlivá opatření naplňují plánované cíle.

e) Zavést programy školení a programy zvyšování bezpečnostního povědomí (viz 5.2.2).

f) Řídit provoz ISMS.

g) Řídit zdroje ISMS (viz 5.2).

h) Zavést postupy a další opatření pro rychlou detekci a reakci na bezpečnostní události

a postupy reakce na bezpečnostní incidenty [viz 4.2.3a)].

4.2.3 Monitorování a přezkoumání ISMS

Organizace musí provést následující:

a) Monitorovat, přezkoumávat a zavést další opatření:

1. pro včasnou detekci chyb zpracování;

2. pro včasnou detekci úspěšných i neúspěšných pokusů o narušení bezpečnosti

a detekci bezpečnostních incidentů;

3. umožňující vedení organizace určit, zda bezpečnostní aktivity, prováděné

pověřenými osobami nebo pro které byly implementovány technologie, fungují

dle očekávání;

4. umožňující detekci bezpečnostních událostí a zabránění tak vzniku

bezpečnostních incidentů;

5. umožňující vyhodnocení účinnosti činností podniknutých při narušení

bezpečnosti.

b) Pravidelně přehodnocovat účinnost ISMS (včetně splnění politiky ISMS, cílů

a analýzy bezpečnostních opatření) s ohledem na výsledky bezpečnostních auditů,

incidentů, výsledků měření účinnosti opatření, návrhů a podnětů všech

zainteresovaných stran.

c) Měřit účinnost zavedených opatření pro ověření toho, zda byly naplněny

požadavky na bezpečnost.

d) V plánovaných intervalech provádět přezkoumání hodnocení rizik

a přehodnocování úrovně zbytkového a akceptovatelného rizika s ohledem na

změny:

1. organizace;

2. technologií;

3. cílů činností organizace a procesů;

4. identifikovaných hrozeb;

5. účinnosti zavedených opatření;

6. regulatorního a právního prostředí, změny vyplývající ze smluvních závazků,

změny sociálního klima.

e) Provádět interní audity ISMS v plánovaných intervalech (viz kapitola 6).

POZNÁMKA

Interní audity jsou prováděny přímo organizací nebo externími auditory. Jejich

cílem může být například prověření systému řízení před samotným certifikačním

auditem.

f) Na úrovni vedení organizace pravidelně přehodnocovat ISMS, aby se zajistilo, že jeho

rozsah je i nadále odpovídající, a že se daří nacházet možnosti zlepšení (viz 7.1).

g) Aktualizovat bezpečnostní plány s ohledem na nálezy zjištěné v rámci

monitorování a přezkoumání.

h) Zaznamenávat všechny činnosti a události, které by mohly mít dopad na účinnost

nebo výkon ISMS (viz 4.3.3).

4.2.4 Udržování a zlepšování ISMS

Organizace musí pravidelně provádět následující:

a) Zavádět identifikované možnosti vylepšení ISMS.

b) Provádět odpovídající nápravné a preventivní činnosti v souladu s 8.2 a 8.3 s

využitím jak vlastních zkušeností v oblasti bezpečnosti, tak i zkušeností jiných

organizací.

c) Projednávat činnosti a návrhy na zlepšení na požadované úrovni detailu se všemi

zainteresovanými stranami a domluvit další postup.

d) Zaručit, že zlepšení dosáhnou předpokládaných cílů.

4.3 Požadavky na dokumentaci

4.3.1 Všeobecně

Dokumentace musí obsahovat záznamy o rozhodnutích učiněných vedením organizace.

Veškeré činnosti musí být zpětně identifikovatelné v politikách a dohledatelné záznamech o

rozhodnutí vedením. Veškeré činnosti musí být zaznamenány, aby se zajistila jejich

opakovatelnost.

Je důležité mít zdokumentován, a na požádání doložit, vztah mezi vybranými opatřeními

a závěry z procesů hodnocení a zvládání rizik a následně vazbu zpět na politiku a cíle ISMS.

Dokumentace ISMS musí obsahovat následující:

a) dokumentovaná prohlášení politiky a cílů ISMS [viz 4.2.1 b)];

b) rozsah ISMS [viz 4.2.1 a)];

c) postupy a opatření podporující ISMS;

d) popis použitých metodik hodnocení rizik [viz 4.2.1c)];

e) zprávu o hodnocení rizik [viz 4.2.1 c) až 4.2.1 g)];

f) plán zvládání rizik [viz 4.2.2 b)];

g) dokumentované postupy nezbytné pro zajištění efektivního plánování, provozu a řízení

procesů bezpečnosti informací organizace a popis toho jakým způsobem je měřena

účinnost zavedených opatření [viz 4.2.3c)];

h) záznamy vyžadované touto normou (viz 4.3.3);

i) prohlášení o aplikovatelnosti.

POZNÁMKA 1

Termín “dokumentovaný postup” v této normě znamená, že je tento postup vytvořen,

dokumentován, zaveden a udržován.

POZNÁMKA 2

Rozsah dokumentace ISMS se může pro jednotlivé organizace lišit, závisí na:

- velikosti organizace a typu její činnosti;

- rozsahu a složitost systému jenž je řízen a požadavcích na bezpečnost.

POZNÁMKA 3

Dokumenty a záznamy mohou být v jakékoliv formě a na jakémkoliv nosiči.

4.3.2 Řízení dokumentů

Dokumenty požadované ISMS musí být chráněny a řízeny. Musí být vytvořen dokumentovaný

postup tak, aby vymezil řídící činnosti potřebné k:

a) schvalování obsahu dokumentů před jejich vydáním;

b) přezkoumání dokumentů, popřípadě jejich aktualizaci a opakovanému schvalování;

c) zajištění identifikace změn dokumentů a aktuálního stavu revize dokumentů;

d) zajištění dostupnosti příslušných verzí aplikovatelných dokumentů v místech jejich

používání;

e) zajištění čitelnosti a snadné identifikovatelnosti dokumentů;

f) zajištění dostupnosti dokumentů pro všechny, kteří je potřebují, zajištění přenášení,

ukládání a likvidace dokumentů v souladu s postupy odpovídající jejich klasifikaci;

g) zajištění identifikace dokumentů externího původu;

h) zajištění řízené distribuce dokumentů;

i) zabránění neúmyslného použití zastaralých dokumentů;

j) aplikování jejich vhodné identifikace pro případ dalšího použití.

4.3.3 Řízení záznamů

Záznamy musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě s požadavky

a o efektivním fungování ISMS. Záznamy musí být chráněny a řízeny. ISMS musí zohlednit

všechny příslušné právní nebo regulatorní požadavky a smluvní závazky. Záznamy musí zůstat

čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Opatření potřebná

k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů musí být

dokumentována.

Musí být udržovány záznamy o fungování a efektivnosti procesu budování a řízení ISMS, jak je

popsáno v kapitole 4.2. Dále musí být udržovány záznamy o všech výskytech bezpečnostních

incidentů, vztahujících se k ISMS.

PŘÍKLAD

Příklady záznamů jsou návštěvní kniha, záznamy z auditu a záznam o autorizaci přístupu.