Úvod

1.1 Co je bezpečnost informací?

Informace jsou aktiva, která mají pro organizaci hodnotu. Je tedy nutné je vhodným způsobem

chránit. Obzvláště se vzrůstající propojeností prostředí jednotlivých organizací je tato potřeba

stále více aktuální. S rostoucí propojeností jsou informace vystaveny rostoucímu počtu různých

hrozeb a zranitelností (viz také Směrnice OECD pro bezpečnost informačních systémů a sítí:

směrem ke kultuře bezpečnosti 1).

Informace mohou existovat v různých podobách. Mohou být vytištěny nebo napsány na papíře,

ukládány v elektronické podobě, posílány poštou nebo elektronickou cestou, zachyceny na film

nebo vyřčeny při konverzaci.

Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišťuje tak kontinuitu činností

organizace, minimalizuje obchodní ztráty a maximalizuje návratnost investic a podnikatelských

příležitostí.

Bezpečnosti informací lze dosáhnout implementací soustavy opatření, která mohou existovat ve

formě pravidel, natrénovaných postupů, procedur, organizační struktury a programových

a hardwarových funkcí. Tato opatření musí být ustavena, zavedena, provozována,

monitorována, přezkoumávána a zlepšována proto, aby bylo dosaženo specifických

bezpečnostních cílů organizace. Toto všechno by mělo být prováděno v soulady s ostatními

řídícími procesy organizace.

1.2 Proč je nezbytná bezpečnost informací

Informace a podpůrné procesy, systémy a sítě jsou důležitými aktivy organizace. Vymezení,

zavádění, podpora a zlepšování bezpečnosti informací může být zásadní pro udržení

konkurenceschopnosti, peněžních toků (cash-flow), ziskovosti, právní shody a dobrého jména

organizace.

Stále rostoucí měrou jsou organizace a jejich informační systémy vystavovány bezpečnostním

hrozbám z různých zdrojů, včetně počítačových podvodů, špionáže, sabotáže, vandalizmu, požárů

a povodní. Zdroje škod, jako jsou počítačové viry, útoky hackerů a útoky typu odepření služby

(denial of service), jsou stále častější, roste jejich nebezpečnost a sofistikovanost.

Bezpečnost informací je důležitá z hlediska ochrany kritické infrastruktury a to jak v soukromém,

tak ve státním sektoru. V obou sektorech je bezpečnost informací důležitá pro existenci

některých služeb, například e-governmentu nebo e-komerce a zároveň kvůli vyhnutí se nebo

snížení relevantních rizik. Propojení veřejných a privátních sítí i sdílení informačních zdrojů

zvyšuje obtížnost řízení přístupu. Trend směřující k distribuovanému zpracování oslabil

efektivnost centrální kontroly prováděnou specialisty.

Mnoho informačních systémů nebylo navrženo tak, aby byly bezpečné. Bezpečnost, která může být

dosažena technickými prostředky, je nedostačující a měla by být doplněna odpovídajícím

řízením a postupy. Pro určení opatření, která je třeba přijmout, je nutné pečlivé plánování

a rozbor každého detailu. Řízení bezpečnosti informací proto vyžaduje alespoň nějakou

spoluúčast všech zaměstnanců organizace. Může rovněž zahrnovat spolupráci majitelů

organizace (akcionářů), dodavatelů, třetích stran, zákazníků a dalších externích subjektů.

V neposlední řadě může být potřebná i rada od specialistů z jiných organizací.

1.3 Jak stanovit bezpečnostní požadavky

Je nezbytné, aby organizace určila své bezpečnostní požadavky. K tomu existují tři hlavní

zdroje.

1. Prvním zdrojem je hodnocení rizik, která organizaci hrozí, beroucí v potaz celkovou

strategii a cíle organizace. V rámci hodnocení rizik se identifikují hrozby působící vůči

aktivům, zranitelnosti, které mohou být hrozbami využity i pravděpodobnost jejich

výskytu, a provádí se odhad jejich potenciálního dopadu.

2. Druhým zdrojem jsou požadavky zákonů, podzákonných norem a smluvních ujednání,

které organizace, její obchodní, smluvní partneři a poskytovatelé služeb musí splňovat.

3. Třetím zdrojem jsou konkrétní principy, cíle a požadavky na zpracování informací, které

si organizace vytvořila pro podporu své činnosti.

1.4 Hodnocení bezpečnostních rizik

Požadavky na bezpečnost jsou stanoveny za pomoci metodického hodnocení bezpečnostních rizik.

Výdaje na bezpečnostní opatření by měly odpovídat ztrátám způsobeným narušením

bezpečnosti.

Výsledky hodnocení rizik pomohou určit vedení organizace odpovídající kroky i priority pro řízení

bezpečnostních rizik u informací a pro realizaci opatření určených k zamezení jejich výskytu.

Hodnocení rizik by mělo být prováděno periodicky, aby bylo možné včas reagovat na jakékoliv

změny v bezpečnostních požadavcích.

Více informací o hodnocení rizik je uvedeno v kapitole 4.1 „Hodnocení bezpečnostních rizik“.

1.5 Výběr opatření

Jakmile jsou identifikovány bezpečnostní požadavky a rizika a bylo rozhodnuto jakým

způsobem bude se zjištěnými riziky naloženo, měla by být vybrána a implementována opatření

zajišťující snížení rizik na přijatelnou úroveň. Taková opatření mohou být vybrána z tohoto

dokumentu nebo i z jiných souborů opatření. Pro pokrytí specifických potřeb mohou být

vytvořena zcela nová opatření. Výběr konkrétních opatření je na rozhodnutí každé organizace.

Rozhodnutí je založeno na kritériích určujících akceptaci nebo zvládání rizika a celkovém

přístupu organizace k řízení rizik. Při výběru opatření by měla být zohledněna příslušná národní

a mezinárodní legislativa a regulace.

Některá opatření v tomto dokumentu mohou být chápána jako základní doporučení pro řízení

bezpečnosti informací a mohou být využita ve většině organizací. Detailněji jsou vysvětlena v části

„Východiska bezpečnosti informací“.

Další informace o výběru opatření a způsobech zvládání rizik jsou uvedeny v kapitole 4.2

„Zvládání bezpečnostních rizik“.

1.6 Východiska bezpečnosti informací

Řada opatření může být považována za základní principy představující dobrá východiska pro

implementaci bezpečnosti informací. Mohou vycházet ze základních legislativních požadavků

nebo jsou obecně považována za nejlepších způsob řešení bezpečnosti informací.

Opatření, která by měla být pro organizaci podstatná z pohledu legislativy, jsou:

a) ochrana osobních údajů (viz 15.1.4);

b) ochrana důležité dokumentace organizace, jako například účetních záznamů (viz

15.1.3);

c) ochrana duševního vlastnictví (viz 15.1.2).

Opatření, považovaná za základ nejlepších praktik pro zajištění bezpečnosti informací, jsou:

a) dokument bezpečnostní politiky informací (viz 5.1.1);

b) přidělení odpovědností v oblasti bezpečnosti informací (viz 6.1.3);

c) vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti informací (viz 8.2.2);

d) bezchybné zpracování v aplikačních systémech (viz 12.2);

e) řízení technických zranitelností (viz 12.6);

f) řízení kontinuity činností organizace (viz 14);

g) zvládání bezpečnostních incidentů a kroky k nápravě (viz 13.2).

Tato opatření fungují ve většině organizací a prostředí.

Mělo by však být zdůrazněno, že ačkoliv všechna opatření v tomto dokumentu jsou důležitá,

jejich význam by měl být určován ve světle specifických rizik, kterým organizace čelí. I když

výše uvedené doporučení může být považováno za dobré východisko, nenahrazuje výběr

opatření vycházející z hodnocení rizik.

1.7 Kritické faktory úspěchu

Jak ukazuje zkušenost, pro úspěšnou implementaci bezpečnosti informací v organizaci jsou

často kritické následující faktory:

a) bezpečnostní politika, bezpečnostní cíle a činnosti, které respektují cíle činností

organizace;

b) přístup k zavádění, udržování, monitorování a zlepšování bezpečnosti informací

v souladu s kulturou organizace;

c) zřetelná podpora a angažovanost ze strany vedení organizace;

d) dobré pochopení bezpečnostních požadavků, hodnocení a řízení rizik;

e) účinný marketing bezpečnosti vůči vedení organizace, zaměstnancům a třetím stranám;

f) rozšíření směrnic a norem bezpečnostní politiky informací mezi všechny zaměstnance,

vedení organizace a třetí strany;

g) zdroje na financování činností souvisejících s řízením bezpečnosti informací;

h) realizace odpovídajících školení, vzdělávání a programů zvyšování povědomí;

i) zavedení procesu zvládání bezpečnostních incidentů;

j) komplexní a vyvážený systém pro ohodnocení míry účinnosti řízení bezpečnosti

informací a získávání návrhů ke zlepšení na základě zpětné vazby.

1.8 Vytváření vlastních směrnic

Tento soubor postupů může být chápán jako východisko pro vytváření specifických směrnic

organizace. Ne všechna doporučení a opatření této sbírky postupů mohou být použitelná.

Kromě toho mohou být nezbytná i další opatření, která nejsou v tomto dokumentu uvedena.

V takovém případě je užitečné zanechat v nich odkaz na tuto normu a usnadnit tak ověření shody

prováděné auditory a obchodními partnery.

1 Působnost

Tato mezinárodní norma poskytuje doporučení a obecné principy pro vymezení, zavedení

udržování a zlepšování systému řízení bezpečnosti informací v organizaci. Cíle, popsané

v normě, poskytují rady o obecně přijímaných cílech řízení bezpečnosti.

Cíle opatření a jednotlivá opatření obsažená v této mezinárodní normě by měla být

implementována na základě požadavků zjištěných v rámci analýzy rizik. Norma může sloužit

jako praktický průvodce při vývoji bezpečnostních standardů organizace, účinných řídících

bezpečnostních postupů a také při budování důvěry mezi organizacemi.