Strategické riadenie

Riadenie bezpečnosti informácií podľa nových noriem

V ok­tób­ri mi­nu­lé­ho ro­ka vstú­pi­la do plat­nos­ti re­vi­do­va­ná ver­zia dvo­ji­ce no­riem ISO/IEC 27001:2013 a ISO/IEC 27002:2013, kto­ré zru­ši­li a nah­ra­di­li ich pô­vod­né vy­da­nie z ro­ku 2005. Mno­ho slo­ven­ských or­ga­ni­zá­cií v pos­led­ných ro­koch im­ple­men­to­va­lo sys­tém ria­de­nia in­for­mač­nej bez­peč­nos­ti pod­ľa pred­chá­dza­jú­cej ver­zie, pre­to je chvá­ly­hod­né, že nor­ma bu­de i vo svo­jej no­vej ver­zii čos­ko­ro prev­za­tá do sús­ta­vy STN. Poz­ri­me sa na hlav­né zme­ny no­vé­ho vy­da­nia.

Sys­tém ria­de­nia in­for­mač­nej bez­peč­nos­ti

Jes­tvu­jú rôz­ne dô­vo­dy, pre­čo sa or­ga­ni­zá­cie roz­hod­nú mať za­ve­de­ný sys­tém ria­de­nia in­for­mač­nej bez­peč­nos­ti (ISMS). Všeo­bec­ne mož­no po­ve­dať, že dô­vo­dy sú dvo­ja­ké­ho ty­pu: za­is­te­nie si tr­hu a sna­ha o do­siah­nu­tie sú­la­du s po­žia­dav­ka­mi zá­ko­na ale­bo re­gu­lá­to­ra tr­hu. Tý­ka sa to schop­nos­ti or­ga­ni­zá­cie chrá­niť in­for­mač­né ak­tí­va, te­da preu­ká­zať, že dô­ver­nosť, in­teg­ri­ta a dos­tup­nosť in­for­má­cií o zá­kaz­ní­koch bu­de za kaž­dých okol­nos­tí za­cho­va­ná. ISMS je uz­ná­va­ný proak­tív­ny spô­sob, ako ria­diť in­for­mač­nú bez­peč­nosť v pod­ni­ku.

ISO/IEC 27001 In­for­mač­né tech­no­ló­gie - Bez­peč­nos­tné me­tó­dy - Sys­tém ria­de­nia in­for­mač­nej bez­peč­nos­ti - Po­žia­dav­ky je štan­dard, kto­rý špe­ci­fi­ku­je po­žia­dav­ky na vy­bu­do­va­nie, za­ve­de­nie, pre­vádz­ku, mo­ni­to­ro­va­nie, pres­kú­ma­va­nie, udr­žo­va­nie a zlep­šo­va­nie zdo­ku­men­to­va­né­ho ISMS a sta­no­vu­je po­žia­dav­ky na za­ve­de­nie bez­peč­nos­tných opat­re­ní, up­ra­ve­ných na pod­mien­ky kon­krét­nych or­ga­ni­zá­cií.

ISO/IEC 27002 In­for­mač­né tech­no­ló­gie - Bez­peč­nos­tné me­tó­dy - Sys­tém ria­de­nia in­for­mač­nej bez­peč­nos­ti - Pra­vid­lá dob­rej praxe ria­de­nia in­for­mač­nej bez­peč­nos­ti je prak­tic­ká prí­ruč­ka na im­ple­men­tá­ciu sys­té­mu ria­de­nia in­for­mač­nej bez­peč­nos­ti. Opi­su­je mno­ži­nu cie­ľov ria­de­nia in­for­mač­nej bez­peč­nos­ti, všeo­bec­ne pou­ží­va­né prak­tic­ké pos­tu­py, ná­vo­dy a od­po­rú­ča­nia pri bu­do­va­ní a udr­žo­va­ní sys­té­mu ria­de­nia in­for­mač­nej bez­peč­nos­ti.

Hlav­né zme­ny v ISO/IEC 27001:2013

Zrej­me naj­zjav­nej­šia zme­na je no­vé us­po­ria­da­nie do­ku­men­tu, kto­ré od­rá­ža sna­hu ISO im­ple­men­to­vať v bu­dúc­nos­ti uni­ver­zál­nu šab­ló­nu pre všet­ky no­vé nor­my. Cie­ľom je do­siah­nuť kom­pa­ti­bi­li­tu no­riem, kto­ré sa za­obe­ra­jú rôz­ny­mi sys­té­ma­mi ria­de­nia (napr. ISO 9001, ISO 14 001, ISO 20000 atď.).

Zme­nou je aj od­liš­ný spô­sob sta­no­ve­nia roz­sa­hu im­ple­men­tá­cie ISMS. Kým v pô­vod­nej ver­zii bo­lo pos­ta­ču­jú­ce sta­no­viť hra­ni­ce pro­ce­su a opí­sať vý­nim­ky, no­vé zne­nie kla­die väč­ší dô­raz na kon­text, te­da roz­sah im­ple­men­tá­cie navr­hu­je ur­čiť spros­tred­ko­va­ne, po­mo­cou ur­če­nia bez­peč­nos­tných cie­ľov a iden­ti­fi­ká­cie oča­ká­va­ní všet­kých za­in­te­re­so­va­ných strán.

No­vin­kou je pre­po­je­nie na nor­mu ISO/IEC 31 000, kto­rá pos­ky­tu­je zá­sa­dy a všeo­bec­ný ná­vod na ria­de­nie ri­zi­ka. Na zá­kla­de to­ho je prin­cíp vlas­tní­ka ak­tí­va nah­ra­de­ný prin­cí­pom vlas­tní­ka ri­zi­ka, t. j. pre kaž­dé iden­ti­fi­ko­va­né ri­zi­ko tre­ba ur­čiť, kto bu­de zod­po­ved­ný za je­ho ošet­re­nie. Ta­kis­to sa nep­red­pok­la­dá po­vin­ná iden­ti­fi­ká­cia ak­tív hro­zieb a zra­ni­teľ­nos­tí na iden­ti­fi­ká­ciu ri­zi­ka. Na tom­to mies­te by som si či­ta­te­ľov do­vo­lil upria­miť na nor­mu ISO/IEC 27005 In­for­mač­né tech­no­ló­gie - Bez­peč­nos­tné me­tó­dy - Ria­de­nie ri­zík v in­for­mač­nej bez­peč­nos­ti, kto­rá sa expli­cit­ne ve­nu­je prob­le­ma­ti­ke ma­naž­men­tu ri­zi­ka pô­so­bia­ce­ho na in­for­mač­né ak­tí­va.

V ne­pos­led­nom ra­de je no­vin­kou roz­sah „po­vin­nej" do­ku­men­tá­cie. Kým vo ver­zii 2005 nor­ma ur­čo­va­la zoz­nam a náz­vy jed­not­li­vých do­ku­men­tá­cií, no­vá ver­zia ur­ču­je už len ob­sa­ho­vú strán­ku do­ku­men­tá­cie a za­vá­dza po­jem do­ku­men­to­va­ná in­for­má­cia. Ur­če­nie roz­sa­hu a štruk­tú­ry do­ku­men­tá­cie je už úlo­hou a prá­vom or­ga­ni­zá­cie v úmys­le za­bez­pe­čiť efek­ti­vi­tu ISMS.

Je tu aj is­tá fi­lo­zo­fic­ká zme­na, keď­že no­vá ver­zia už ne­roz­li­šu­je me­dzi pre­ven­tív­nym a náp­rav­ným opat­re­ním. Mu­sím pri­pus­tiť, že is­tú lo­gi­ku to má, pre­to­že na ka­te­go­ri­zá­ciu bez­peč­nos­tných opat­re­ní nie je sme­ro­daj­né, či ško­da už nas­ta­la ale­bo jes­tvu­je iba vo for­me po­ten­ciál­ne­ho ri­zi­ka.

Hlav­né zme­ny v ISO/IEC 27002:2013

Je po­te­šu­jú­ce, že no­vá ver­zia preš­la naj­mä „zoš­tíh­ľu­jú­ci­mi" zme­na­mi, kto­ré (zjed­no­du­še­ne po­ve­da­né) sme­ru­jú k spreh­ľad­ne­niu nor­my a zní­že­niu zby­toč­nej ad­mi­nis­tra­tí­vy sú­vi­sia­cej s ISMS. Po­čet opat­re­ní sa z pô­vod­ných 133 zní­žil na 114 a vy­lú­če­né sú niek­to­ré do­te­raj­šie for­mál­ne opat­re­nia.

Zjed­no­du­ši­la sa ka­pi­to­la o bez­peč­nos­ti sie­tí. V pô­vod­nej ver­zii bo­lo 10 opat­re­ní, v no­vej iba 4, ale o to efek­tív­nej­šie po­ňa­té:

  • exis­ten­cia po­li­ti­ky sie­ťo­vej bez­peč­nos­ti,
  • pra­vid­lá pre­vádz­ky kon­krét­nych sie­ťo­vých slu­žieb,
  • od­de­le­nie (seg­re­gá­cia) veľ­kých sie­tí do od­de­le­ných lo­gic­kých sie­ťo­vých do­mén,
  • efek­tív­ne vy­uži­tie bez­peč­nos­tných vlas­tnos­tí tech­no­ló­gií tak, aby bo­li opat­re­nia kon­zis­ten­tne ap­li­ko­va­né na­prieč ce­lou sie­ťo­vou infra­štruk­tú­rou.

Kon­krét­ny spô­sob im­ple­men­tá­cie sie­ťo­vých tech­no­ló­gií po­ne­chá­va nor­ma na roz­hod­nu­tí or­ga­ni­zá­cie. Ne­dá mi, aby som na tom­to mies­te nes­po­me­nul by­rok­ra­tic­kú sna­hu Úra­du na ochra­nu osob­ných úda­jov SR, kto­rý vo svo­jom ne­ná­le­ži­tom le­gis­la­tív­nom po­či­ne pos­tu­pu­je pres­ne v opač­nom zmys­le. Slo­ven­ský úrad­ník je zrej­me pres­ved­če­ný, že pro­ce­sy ria­de­nia in­for­mač­nej bez­peč­nos­ti navr­hne lep­šie, než ich do­ká­že opí­sať me­dzi­ná­rod­ná tech­nic­ká nor­ma.

No­vá ver­zia ISO/IEC 27002:2013 za­hŕňa po­žia­dav­ky na bez­peč­nosť vý­vo­ja sys­té­mov pros­tred­níc­tvom po­žia­dav­ky na po­li­ti­ku vý­vo­ja sys­té­mov, po­žia­dav­ky na bez­peč­nosť vý­vo­jo­vých pros­tre­dí a po­žia­dav­ky na tes­to­va­nie vy­vi­nu­tých sys­té­mov.

No­vin­kou je po­žia­dav­ka na ochra­nu in­for­má­cií v rám­ci pro­ce­sov pro­jek­to­vé­ho ma­naž­men­tu. Z opat­re­ní, kto­ré bo­li rie­še­né aj v pô­vod­nej ver­zii z ro­ku 2005, sto­jí eš­te za zmien­ku roz­diel­ny prís­tup k prob­le­ma­ti­ke elek­tro­nic­ké­ho ob­cho­du. Po no­vom už to­tiž nor­ma ne­ho­vo­rí o elek­tro­nic­kom ob­cho­de, ale o „ap­li­kač­ných služ­bách pos­ky­to­va­ných cez ve­rej­né dá­to­vé sie­te". Tým sa zá­sad­ne roz­ši­ru­je po­ňa­tie ob­cho­do­va­nia vo sve­te, kde je všet­ko pre­po­je­né so všet­kým.

A čo tak spo­loč­ná im­ple­men­tá­cia ISMS a ITSM?

ISO/IEC 27013 In­for­mač­né tech­no­ló­gie - Bez­peč­nos­tné me­tó­dy - Ná­vod na zjed­no­te­nú im­ple­men­tá­ciu ISO/IEC 27001 a ISO/IEC 20000-1 spá­ja ria­de­nie in­for­mač­nej bez­peč­nos­ti a ria­de­nie IT slu­žieb do spo­loč­nej nor­my. Is­to si kla­die­te otáz­ku, pre­čo by sa tie­to dva pro­ce­sy ma­li zlú­čiť, keď bez­peč­nosť in­for­má­cií je vec ce­lej or­ga­ni­zá­cie, za­tiaľ čo ria­de­nie IT slu­žieb je len zá­le­ži­tosť IT.

Ak op­ti­mál­na bez­peč­nosť je kom­pro­mis me­dzi nák­lad­mi, opat­re­nia­mi a pou­ží­va­teľ­ským kom­for­tom, v tom­to prí­pa­de ria­de­nie IT slu­žieb bu­de pred­sta­vo­vať to po­ho­dlie. I keď nák­la­dy do toh­to al­go­rit­mu nie sú za­hr­nu­té, bu­de za­ují­ma­vé sle­do­vať, aký roz­por nas­ta­ne me­dzi in­for­mač­nou bez­peč­nos­ťou a ria­de­ním IT slu­žieb v ISO 27013, keď opat­re­nia a po­ho­dlie sú dva as­pek­ty, kto­ré sú a vždy bu­dú vo vzá­jom­nom roz­po­re. Nor­ma ISO/IEC 27013 je ná­vod na spo­loč­nú im­ple­men­tá­ciu ISO 27001 a ISO 20000-1. Pos­ky­tu­je ná­vod pre or­ga­ni­zá­cie, kto­ré ma­jú v úmys­le buď:

  • im­ple­men­to­vať ISO 27001, ak ISO 20000-1 je už im­ple­men­to­va­ná, ale­bo
  • im­ple­men­to­vať ISO 27001 a ISO 20000-1 spo­loč­ne, ale­bo
  • zla­diť exis­tu­jú­ce sys­té­my ria­de­nia im­ple­men­to­va­né pod­ľa ISO 27001 a ISO 20000-1.

V praxi mô­žu byť tie­to nor­my in­teg­ro­va­né aj s ďal­ší­mi sys­té­ma­mi ria­de­nia (napr. s ISO 9001 a ISO 14001). ISO 27013 sa však za­me­ria­va vý­hrad­ne na in­teg­rá­ciu ISO 27001 a 20000-1.

Zá­ver

Množ­stvo a zlo­ži­tosť in­for­mač­ných sys­té­mov vy­lu­ču­je mož­nosť in­di­vi­duál­ne­ho prís­tu­pu k ochra­ne in­for­mač­ných ak­tív. Štan­dar­di­zá­cia je vhod­ný spô­sob, ako sa ad hoc pro­ces ria­de­nia dá zme­niť na sys­te­ma­tic­ký. Štan­dar­di­zo­va­ný prís­tup pri­ná­ša vý­ho­du v opa­ko­va­teľ­nos­ti, kom­pa­ti­bi­li­te, me­ra­teľ­nos­ti a nás­led­ne v niž­šom poč­te od­chý­lok a vy­ššej kva­li­te a vy­spe­los­ti pro­ce­su.

Ivan Ma­ka­tú­ra
Ria­di­teľ od­bo­ru bez­peč­nos­ti Všeo­bec­nej úve­ro­vej ban­ky, a. s., súd­ny zna­lec v od­vet­ví bez­peč­nos­ti a ochra­ny in­for­mač­ných sys­té­mov, cer­ti­fi­ko­va­ný audí­tor ISO 20000 a ISO 27000

Zdroj: IW 3-4/2014



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Bez­peč­nosť a dos­tup­nosť dát: Nie je cloud ako cloud
Či už poskytujete služby, alebo predávate tovar, ste malá či veľká spoločnosť, bezpečnosť a dostupnosť vašich dát je veľmi dôležitá, v niektorých prípadoch až kriticky dôležitá. Práve vo chvíli, keď si začnete klásť otázky na túto tému a začnete pátrať po riešeniach, objavíte čaro cloudu. čítať »
 
Tren­dy v pod­ni­ko­vých in­for­mač­ných sys­té­moch ERP v ro­ku 2014
Tento rok sa v oblasti podnikových informačných systémov ERP ponesie v znamení niekoľkých výrazných trendov. Zvýšená pozornosť sa bude venovať používateľskej prívetivosti a mobilite, pokračovať bude nárast popularity dvojvrstvovej stratégie ERP. čítať »
 
Cis­co Ca­ta­lyst 2960-X v pros­tre­dí SP
Požiadavky na triple-play služby s gigabitovými prístupovými rýchlosťami sa stávajú realitou, vyžadujú však investíciu do hardvéru prístupovej vrstvy. čítať »
 
Ako efek­tív­ne vy­uží­vať svo­je zdro­je
V poslednom čase sa stretávame s pojmom cloud čoraz častejšie a pred pár mesiacmi bolo na stránkach INFOWARE porovnanie globálnych poskytovateľov cloudových služieb. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter