Bezpečnost informací a kybernetický zákon

V návaznosti na toto nebezpečí se v mnoha zemích uvádějí v platnost kybernetické zákony, které v užší míře řeší bezpečnost informací. Od 1. ledna 2015 se mezi tyto země přidala i Česká republika a povinné subjekty (zejména orgány veřejné moci) musí zavést požadovaná technická a organizační bezpečnostní opatření.

Majitelé firem, kteří nejsou dostatečně obeznámeni se všemi fakty, mohou považovat kybernetický zákon, stejně jako zavedení normy ISO 27001 (Systém řízení bezpečnosti informací = ISMS), za zbytečnou byrokratickou a finanční zátěž pro svou společnost. Často se setkáváme s neochotou v organizaci cokoli měnit. Pro některé organizace se může zdát zavedení systému řízení bezpečnosti informací finančně a administrativně náročné. V neposlední řadě dochází k podceňování bezpečnosti informací jako celku. Častá reakce vedení je: "To se u nás nemůže stát." Zkušenost nás dnes a denně přesvědčuje o opaku.

Kybernetický zákon nám mimo jiné říká, že pokud si firma nechá certifikovat normu ISO 27001, automaticky plní veškeré bezpečnostní požadavky kybernetického zákona. Je to proto, že tato norma pokrývá bezpečnost informací v daleko širším a komplexnějším rámci.

Proč ve své firmě zavést systém řízení bezpečnosti informací podle ISO 27001 a jaké výhody to přináší?

1) Stáváte se důvěryhodným partnerem.

Činnost každé organizace je závislá na spolupráci s třetími stranami. Ať už shromažďujete jakékoliv údaje o svých obchodních partnerech, zákaznících či zaměstnancích, je vaší výhodou, pokud můžete prokázat, že u vás jsou jejich data v bezpečí.

2) Zaměstnanci mají jasně stanovené zodpovědnosti.

Často jsme se v praxi setkali s tím, že firma nemá definované postupy při práci s informacemi. To je jako chůze po tenkém ledě. Pokud dojde k úniku nebo ztrátě informací, nikdo není za nic zodpovědný a nelze ani vymáhat případné škody. Díky zavedení normy ví každý zaměstnanec, jaká je jeho úloha a odpovědnost. Totéž se týká (sub)dodavatelů.

3) Optimalizujete náklady zavedením systematického přístupu při používání IT/IS.

Zjistíte, kde jsou slabé stránky bezpečnosti informací ve vaší organizaci a díky podrobné analýze budete schopni celý systém zefektivnit. Navíc není výjimkou, že zavedením normy ISMS došlo k optimalizaci procesů a firma začala šetřit díky omezení zbytečných výdajů na IT. Zároveň minimalizujete riziko a následky případného selhání systému.

4) Plníte legislativní požadavky.

Všichni víme, že neznalost zákonů neomlouvá. Mnoho firem se vystavuje riziku pokut, jelikož nesplňují zákonem dané povinnosti. Norma ISO 27001 plně pokrývá požadavky kybernetického zákona.

Jaký je postup implementace?

Chcete-li implementovat robustní a fungující systém:

• definujte rozsah systému,
• definujte své bezpečnostní politiky,
• stanovte cíle v oblasti bezpečnosti informací,
• proveďte posouzení informačních bezpečnostních rizik,
• formulujte strategii kontinuity řízení a provozu,
• vyberte nejvhodnější metody řízení,
• stanovte zásady a postupy,
• přezkoumejte systém a interní audity,
• monitorujte výkon systému a identifikujte příležitosti pro zlepšení.

 Analýza současného stavu

Je potřeba si uvědomit, že ISMS se nezabývá jen informacemi v elektronické podobě, ale též např. smlouvami, výplatními páskami a dalšími dokumenty vedenými v papírové podobě. Nejprve se zjišťuje, jak se informace předávají v rámci firmy, jak se archivují, zda jsou nastavena přístupová práva, zodpovědnosti a jak se nakládá s informacemi, které jsou určené k likvidaci.

Také se ptáme, zda jsou informace nějakým způsobem klasifikovány. Doporučujeme nastavení informací minimálně do dvou tříd, a to chráněné/nechráněné.

Nastavení procesů (ISO 27001)

V druhé fázi dojde k vytvoření analýzy rizik bezpečnosti informací, vyhodnotí se její výsledky a nastaví vhodná technická a organizační opatření. Zjednodušeně řečeno, popíše se proces - co se může stát, jak tomu zabránit a jak se zachovat, pokud se něco stane. Vše s cílem, aby došlo k nulovým nebo naprosto minimálním škodám.

Pro úspěšnou implementaci je nutné zapojení nejen IT oddělení, ale zároveň oddělení, která s citlivými informacemi přicházejí též do styku, např. personální, finanční či právní oddělení. Jelikož jeden z požadavků normy je, že bezpečnost informací musí být zohledněna i ve strategickém řízení firmy, zapojuje se také nejužší vedení společnosti - bez jeho aktivní podpory to prostě nejde.

 Udržování optimálního stavu

Společně s tím, jak se vyvíjí každá společnost a její struktura, je nutné po implementaci procesy ISMS monitorovat. Měří se jejich výkonnost a inovují se tak, aby vždy odpovídaly aktuálnímu stavu a požadavkům vedení.

Certifikace bezpečnosti informací podle ISO/IEC 27001

Pokud máte implementován fungující systém ISMS, jste připraveni na svůj první audit.

Postup certifikačního auditu je pak následující. Auditor posoudí dokumentaci, a ujistí se, že postupy jsou ve vaší organizaci dodržovány. Audit se děje ve dvou stupních.

Cílem prvního stupně auditu je zejména shromáždění a vyhodnocení podkladů, pochopení ISMS organizace v souvislosti s její bezpečnostní politikou a cíli a dále zhodnocení připravenosti organizace na druhý stupeň auditu.

Ve druhém stupni auditor prověří identifikaci informačních aktiv, hrozeb a zranitelností, analýzu rizik, akceptovatelná rizika, opatření ke zvládání neakceptovatelných rizik. Přesvědčí se, že plníte právní požadavky (ochrana osobních údajů, autorské právo, obchodní tajemství, spisová a skartační služba...), fyzickou bezpečnost, komunikace, antivirovou ochranu, přístupy, zvládání incidentů, řízení kontinuity provozu a další normativní požadavky normy. Celkem provede až 114 kontrol ve 14 bezpečnostních oblastech.

Pokud projdete tímto posouzením, obdržíte certifikát ISO/IEC 27001, který je platný po dobu tří let. Certifikační společnost s vámi zůstane během této doby v kontaktu a v druhém a třetím roce uskuteční krátký dozorový audit, aby ověřila, že váš systém nejen zůstal kompatibilní, ale že se neustále zlepšuje.

Jakub Kejval
generální ředitel, Bureau Veritas