Úvod
1.1 Co je bezpečnost informací?
Informace jsou aktiva, která mají pro organizaci hodnotu. Je tedy nutné je vhodným způsobem
chránit. Obzvláště se vzrůstající propojeností prostředí jednotlivých organizací je tato potřeba
stále více aktuální. S rostoucí propojeností jsou informace vystaveny rostoucímu počtu různých
hrozeb a zranitelností (viz také Směrnice OECD pro bezpečnost informačních systémů a sítí:
směrem ke kultuře bezpečnosti 1).
Informace mohou existovat v různých podobách. Mohou být vytištěny nebo napsány na papíře,
ukládány v elektronické podobě, posílány poštou nebo elektronickou cestou, zachyceny na film
nebo vyřčeny při konverzaci.
Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišťuje tak kontinuitu činností
organizace, minimalizuje obchodní ztráty a maximalizuje návratnost investic a podnikatelských
příležitostí.
Bezpečnosti informací lze dosáhnout implementací soustavy opatření, která mohou existovat ve
formě pravidel, natrénovaných postupů, procedur, organizační struktury a programových
a hardwarových funkcí. Tato opatření musí být ustavena, zavedena, provozována,
monitorována, přezkoumávána a zlepšována proto, aby bylo dosaženo specifických
bezpečnostních cílů organizace. Toto všechno by mělo být prováděno v soulady s ostatními
řídícími procesy organizace.
1.2 Proč je nezbytná bezpečnost informací
Informace a podpůrné procesy, systémy a sítě jsou důležitými aktivy organizace. Vymezení,
zavádění, podpora a zlepšování bezpečnosti informací může být zásadní pro udržení
konkurenceschopnosti, peněžních toků (cash-flow), ziskovosti, právní shody a dobrého jména
organizace.
Stále rostoucí měrou jsou organizace a jejich informační systémy vystavovány bezpečnostním
hrozbám z různých zdrojů, včetně počítačových podvodů, špionáže, sabotáže, vandalizmu, požárů
a povodní. Zdroje škod, jako jsou počítačové viry, útoky hackerů a útoky typu odepření služby
(denial of service), jsou stále častější, roste jejich nebezpečnost a sofistikovanost.
Bezpečnost informací je důležitá z hlediska ochrany kritické infrastruktury a to jak v soukromém,
tak ve státním sektoru. V obou sektorech je bezpečnost informací důležitá pro existenci
některých služeb, například e-governmentu nebo e-komerce a zároveň kvůli vyhnutí se nebo
snížení relevantních rizik. Propojení veřejných a privátních sítí i sdílení informačních zdrojů
zvyšuje obtížnost řízení přístupu. Trend směřující k distribuovanému zpracování oslabil
efektivnost centrální kontroly prováděnou specialisty.
Mnoho informačních systémů nebylo navrženo tak, aby byly bezpečné. Bezpečnost, která může být
dosažena technickými prostředky, je nedostačující a měla by být doplněna odpovídajícím
řízením a postupy. Pro určení opatření, která je třeba přijmout, je nutné pečlivé plánování
a rozbor každého detailu. Řízení bezpečnosti informací proto vyžaduje alespoň nějakou
spoluúčast všech zaměstnanců organizace. Může rovněž zahrnovat spolupráci majitelů
organizace (akcionářů), dodavatelů, třetích stran, zákazníků a dalších externích subjektů.
V neposlední řadě může být potřebná i rada od specialistů z jiných organizací.
1.3 Jak stanovit bezpečnostní požadavky
Je nezbytné, aby organizace určila své bezpečnostní požadavky. K tomu existují tři hlavní
zdroje.
1. Prvním zdrojem je hodnocení rizik, která organizaci hrozí, beroucí v potaz celkovou
strategii a cíle organizace. V rámci hodnocení rizik se identifikují hrozby působící vůči
aktivům, zranitelnosti, které mohou být hrozbami využity i pravděpodobnost jejich
výskytu, a provádí se odhad jejich potenciálního dopadu.
2. Druhým zdrojem jsou požadavky zákonů, podzákonných norem a smluvních ujednání,
které organizace, její obchodní, smluvní partneři a poskytovatelé služeb musí splňovat.
3. Třetím zdrojem jsou konkrétní principy, cíle a požadavky na zpracování informací, které
si organizace vytvořila pro podporu své činnosti.
1.4 Hodnocení bezpečnostních rizik
Požadavky na bezpečnost jsou stanoveny za pomoci metodického hodnocení bezpečnostních rizik.
Výdaje na bezpečnostní opatření by měly odpovídat ztrátám způsobeným narušením
bezpečnosti.
Výsledky hodnocení rizik pomohou určit vedení organizace odpovídající kroky i priority pro řízení
bezpečnostních rizik u informací a pro realizaci opatření určených k zamezení jejich výskytu.
Hodnocení rizik by mělo být prováděno periodicky, aby bylo možné včas reagovat na jakékoliv
změny v bezpečnostních požadavcích.
Více informací o hodnocení rizik je uvedeno v kapitole 4.1 „Hodnocení bezpečnostních rizik“.
1.5 Výběr opatření
Jakmile jsou identifikovány bezpečnostní požadavky a rizika a bylo rozhodnuto jakým
způsobem bude se zjištěnými riziky naloženo, měla by být vybrána a implementována opatření
zajišťující snížení rizik na přijatelnou úroveň. Taková opatření mohou být vybrána z tohoto
dokumentu nebo i z jiných souborů opatření. Pro pokrytí specifických potřeb mohou být
vytvořena zcela nová opatření. Výběr konkrétních opatření je na rozhodnutí každé organizace.
Rozhodnutí je založeno na kritériích určujících akceptaci nebo zvládání rizika a celkovém
přístupu organizace k řízení rizik. Při výběru opatření by měla být zohledněna příslušná národní
a mezinárodní legislativa a regulace.
Některá opatření v tomto dokumentu mohou být chápána jako základní doporučení pro řízení
bezpečnosti informací a mohou být využita ve většině organizací. Detailněji jsou vysvětlena v části
„Východiska bezpečnosti informací“.
Další informace o výběru opatření a způsobech zvládání rizik jsou uvedeny v kapitole 4.2
„Zvládání bezpečnostních rizik“.
1.6 Východiska bezpečnosti informací
Řada opatření může být považována za základní principy představující dobrá východiska pro
implementaci bezpečnosti informací. Mohou vycházet ze základních legislativních požadavků
nebo jsou obecně považována za nejlepších způsob řešení bezpečnosti informací.
Opatření, která by měla být pro organizaci podstatná z pohledu legislativy, jsou:
a) ochrana osobních údajů (viz 15.1.4);
b) ochrana důležité dokumentace organizace, jako například účetních záznamů (viz
15.1.3);
c) ochrana duševního vlastnictví (viz 15.1.2).
Opatření, považovaná za základ nejlepších praktik pro zajištění bezpečnosti informací, jsou:
a) dokument bezpečnostní politiky informací (viz 5.1.1);
b) přidělení odpovědností v oblasti bezpečnosti informací (viz 6.1.3);
c) vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti informací (viz 8.2.2);
d) bezchybné zpracování v aplikačních systémech (viz 12.2);
e) řízení technických zranitelností (viz 12.6);
f) řízení kontinuity činností organizace (viz 14);
g) zvládání bezpečnostních incidentů a kroky k nápravě (viz 13.2).
Tato opatření fungují ve většině organizací a prostředí.
Mělo by však být zdůrazněno, že ačkoliv všechna opatření v tomto dokumentu jsou důležitá,
jejich význam by měl být určován ve světle specifických rizik, kterým organizace čelí. I když
výše uvedené doporučení může být považováno za dobré východisko, nenahrazuje výběr
opatření vycházející z hodnocení rizik.
1.7 Kritické faktory úspěchu
Jak ukazuje zkušenost, pro úspěšnou implementaci bezpečnosti informací v organizaci jsou
často kritické následující faktory:
a) bezpečnostní politika, bezpečnostní cíle a činnosti, které respektují cíle činností
organizace;
b) přístup k zavádění, udržování, monitorování a zlepšování bezpečnosti informací
v souladu s kulturou organizace;
c) zřetelná podpora a angažovanost ze strany vedení organizace;
d) dobré pochopení bezpečnostních požadavků, hodnocení a řízení rizik;
e) účinný marketing bezpečnosti vůči vedení organizace, zaměstnancům a třetím stranám;
f) rozšíření směrnic a norem bezpečnostní politiky informací mezi všechny zaměstnance,
vedení organizace a třetí strany;
g) zdroje na financování činností souvisejících s řízením bezpečnosti informací;
h) realizace odpovídajících školení, vzdělávání a programů zvyšování povědomí;
i) zavedení procesu zvládání bezpečnostních incidentů;
j) komplexní a vyvážený systém pro ohodnocení míry účinnosti řízení bezpečnosti
informací a získávání návrhů ke zlepšení na základě zpětné vazby.
1.8 Vytváření vlastních směrnic
Tento soubor postupů může být chápán jako východisko pro vytváření specifických směrnic
organizace. Ne všechna doporučení a opatření této sbírky postupů mohou být použitelná.
Kromě toho mohou být nezbytná i další opatření, která nejsou v tomto dokumentu uvedena.
V takovém případě je užitečné zanechat v nich odkaz na tuto normu a usnadnit tak ověření shody
prováděné auditory a obchodními partnery.
1 Působnost
Tato mezinárodní norma poskytuje doporučení a obecné principy pro vymezení, zavedení
udržování a zlepšování systému řízení bezpečnosti informací v organizaci. Cíle, popsané
v normě, poskytují rady o obecně přijímaných cílech řízení bezpečnosti.
Cíle opatření a jednotlivá opatření obsažená v této mezinárodní normě by měla být
implementována na základě požadavků zjištěných v rámci analýzy rizik. Norma může sloužit
jako praktický průvodce při vývoji bezpečnostních standardů organizace, účinných řídících
bezpečnostních postupů a také při budování důvěry mezi organizacemi.