012345

}w !"#$%&'()+,-./012345
MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY

Harmonizace syste´mu managementu bezpecˇnosti informacı´ a praće s utajovany´mi skutecˇnostmi DIPLOMOVA´ PRAĆE

Ing. Jakub Cˇegan

Brno, 2013

Prohla´sˇenı´ Prohlasˇuji, zˇe tato diplomova´ praće je my´m pu˚vodnı´m autorsky´m dı´lem, ktere´ jsem vypracoval samostatneˇ. Vsˇechny zdroje, prameny a literaturu, ktere´ jsem prˇi vypracovańı´ pouzˇ´ıval nebo z nich cˇerpal, v praći rˇa´dneˇ cituji s uvedenı´m u´plne´ho odkazu na prˇ´ıslusˇny´ zdroj.

Ing. Jakub Cˇegan

Vedoucı´ praće: RNDr. JUDr. Vladimı´r Sˇmı´d, CSc. ii

Podeˇkovańı´ Ra´d bych podeˇkoval sve´mu vedoucı´mu diplomove´ praće RNDr. JUDr. Vladimı´ru Sˇmı´dovi, CSc. za poskytnute´ prakticke´ rady, prˇipomıńky a jejı´ vedenı´. Da´le bych chteˇl podeˇkovat vsˇem, kterˇ´ı mi poskytli potrˇebne´ informace, prˇ´ıpadneˇ prˇispeˇli cennou radou.

iii

Shrnutı´ Diplomova´ praće popisuje harmonizaci za´kona cˇ. 412/2005 Sb. se syste´mem managementu bezpecˇnosti informacı´ dane´ho normou ISO/IEC 27001 a splneˇnı´ jejich pozˇadavku˚ kladenyćh na organizaci procha´zejıćı´ certifikacı´. V u´vodnı´ cˇa´sti praće jsou popsańy du˚lezˇite´ termıńy a cı´le informacˇnı´ bezpecˇnosti spolecˇneˇ s vy´beˇrem aktua´lnıćh a v budoucnosti prˇedpokla´danyćh hrozeb. Na´sledneˇ je strucˇneˇ prezentovańa v soucˇasne´ dobeˇ platna´ legislativa a normy vztahujıćı´ se k informacˇnı´ bezpecˇnosti. Dalsˇ´ı cˇa´st praće se veˇnuje rozboru za´kona cˇ. 412/2005 Sb. vcˇetneˇ jeho prova´deˇcıćh prˇedpisu˚ a vsˇech norem z rodiny ISO/IEC 27000. Na´sleduje analy´za hledajıćı´ v teˇchto dokumentech spolecˇne´ body, ktere´ by usnadnily organizaci jejich soubeˇzˇne´ zavedenı´. V prˇedposlednı´ cˇa´sti je detailneˇ popsań prakticky´ postup spolecˇne´ implementace vcˇetneˇ postupu tvorby bezpecˇnostnı´ politiky, metodiky hodnocenı´ rizik a nasazenı´ opatrˇenı´. Poslednı´ cˇa´st prˇedkla´da´ kra´tky´ na´hled na stav informacˇnı´ bezpecˇnosti v organizacıćh a komenta´rˇ k aplikaci poznatku˚ v blı´zˇe nejmenovane´ organizaci.

iv

Klıćˇova´ slova Aktivum, bezpecˇnostnı´ politika, hrozba, informacˇnı´ bezpecˇnost, ISO/IEC 27000, PDCA cyklus, riziko, za´kon cˇ. 412/2005, utajovana´ skutecˇnost, zranitelnost

v

Obsah 1 2

3

4

5

6

´ vod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . U Informacˇnı´ bezpecˇnost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Termıńy z oblasti informacˇnı´ bezpecˇnosti . . . . . . . . . . . . . . . . . . 2.2 Cı´le informacˇnı´ bezpecˇnosti . . . . . . . . . . . . . . . . . . . . . . . . . . Hrozby pro informacˇnı´ bezpecˇnost . . . . . . . . . . . . . . . . . . . . . . 3.1 Charakteristika hrozby . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Soucˇasne´ hrozby pro informacˇnı´ bezpecˇnost . . . . . . . . . . . . . . . . . 3.2.1 Hacktivismus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.2 Sˇpiona´zˇ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.3 Pocˇ´ıtacˇova´ kriminalita . . . . . . . . . . . . . . . . . . . . . . . 3.3 Prˇedpokla´dane´ budoucı´ hrozby . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 Cloud computing . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.2 Mobilnı´ zarˇ´ızenı´ a trend BYOD . . . . . . . . . . . . . . . . . . 3.3.3 Kyberneticka´ va´lka . . . . . . . . . . . . . . . . . . . . . . . . . Legislativa a normy informacˇnı´ bezpecˇnosti . . . . . . . . . . . . . . . . . 4.1 Za´kon o ochraneˇ utajovanyćh informacı´ . . . . . . . . . . . . . . . . . . . 4.2 Za´kon o ochraneˇ osobnıćh u´daju˚ . . . . . . . . . . . . . . . . . . . . . . . 4.3 Za´kon o elektronicke´m podpisu . . . . . . . . . . . . . . . . . . . . . . . . 4.4 Za´kon o informacˇnıćh syste´mech verˇejne´ spra´vy . . . . . . . . . . . . . . . 4.5 Za´kon o kyberneticke´ bezpecˇnosti . . . . . . . . . . . . . . . . . . . . . . . 4.6 Rodina norem ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . 4.7 Informacˇnı´ bezpecˇnost a framework ITIL . . . . . . . . . . . . . . . . . . . 4.8 Framework COBIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Praće s utajovany´mi informacemi dle za´kona cˇ. 412/2005 Sb. . . . . . . . 5.1 Definice a deˇlenı´ pojmu˚ z pohledu za´kona . . . . . . . . . . . . . . . . . . 5.2 Zpu˚soby zajisˇteˇnı´ bezpecˇnosti informacı´ . . . . . . . . . . . . . . . . . . . 5.2.1 Persona´lnı´ bezpecˇnost . . . . . . . . . . . . . . . . . . . . . . . 5.2.2 Pru˚myslova´ bezpecˇnost . . . . . . . . . . . . . . . . . . . . . . 5.2.3 Fyzicka´ bezpecˇnost . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.4 Bezpecˇnost informacˇnıćh a komunikacˇnıćh syste´mu˚ . . . . . . 5.2.5 Kryptograficka´ ochrana . . . . . . . . . . . . . . . . . . . . . . 5.3 Postup certifikace organizace (podnikatele) . . . . . . . . . . . . . . . . . . 5.3.1 Certifikace organizace ktere´ se utajovana´ informace poskytuje 5.3.2 Certifikace organizace ve ktere´ utajovana´ informace vznika´ . Syste´m rˇı´zenı´ bezpecˇnosti informacı´ . . . . . . . . . . . . . . . . . . . . . 6.1 Prˇedstavenı´ syste´mu rˇ´ızenı´ bezpecˇnosti informacı´ . . . . . . . . . . . . . . 6.1.1 Kriticke´ faktory u´speˇchu ISMS . . . . . . . . . . . . . . . . . . 6.1.2 Benefity plynoucı´ ze zavedenı´ ISMS . . . . . . . . . . . . . . . 6.1.3 ISMS kompatibilnı´ a certifikovana´ organizace . . . . . . . . . 6.2 Procesnı´ prˇ´ıstup k ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4 5 5 5 8 8 9 9 9 9 10 11 11 12 13 13 13 14 15 15 16 16 18 20 20 21 21 24 25 27 30 30 31 31 32 32 32 33 33 34 1

6.2.1 Plańovańı´, zavedenı´, monitorovańı´, u´drzˇba a zlepsˇovańı´ ISMS Harmonizace s pra´vnı´mi prˇedpisy z pohledu ISMS . . . . . . . . . . . . . . 6.3.1 Identifikace dotcˇene´ legislativy . . . . . . . . . . . . . . . . . . . 6.3.2 Zabezpecˇenı´ za´znamu˚ organizace . . . . . . . . . . . . . . . . . 6.3.3 Ochrana a zabezpecˇenı´ osobnıćh u´daju˚ . . . . . . . . . . . . . . 6.3.4 Legislativa regulujıćı´ kryptograficke´ materia´ly . . . . . . . . . . 6.3.5 Ostatnı´ legislativnı´ pozˇadavky . . . . . . . . . . . . . . . . . . . 6.4 Klasifikace informacı´ a praće s utajovany´mi informacemi v ISMS . . . . . . . 6.5 Normy popisujıćı´ ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5.1 Normy poskytujıćı´ prˇehled a terminologii ISMS . . . . . . . . . 6.5.2 Normy definujıćı´ pozˇadavky ISMS . . . . . . . . . . . . . . . . . 6.5.3 Normy popisujıćı´ obecne´ za´sady ISMS . . . . . . . . . . . . . . 6.5.4 Oboroveˇ specificke´ normy . . . . . . . . . . . . . . . . . . . . . . Analy´za spolecˇnyćh cˇa´stı´ vybranyćh prˇı´stupu˚ . . . . . . . . . . . . . . . . . 7.1 Definice pozˇadavku˚ prˇ´ıstupu a jejich dokumentace . . . . . . . . . . . . . . . 7.2 Metodika hodnocenı´ rizik a aktiv . . . . . . . . . . . . . . . . . . . . . . . . 7.3 Persona´lnı´ bezpecˇnost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4 Fyzicka´ bezpecˇnost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.5 Bezpecˇnost informacˇnıćh a komunikacˇnıćh syste´mu˚ . . . . . . . . . . . . . . 7.6 Kryptograficka´ ochrana a utajenı´ informacı´ . . . . . . . . . . . . . . . . . . 7.7 Vyuzˇitı´ pro implementaci ISMS . . . . . . . . . . . . . . . . . . . . . . . . Provedeny´ postup spolecˇne´ implementace . . . . . . . . . . . . . . . . . . . 8.1 Prˇ´ıpravna´ opatrˇenı´ implementace ISMS . . . . . . . . . . . . . . . . . . . . 8.2 Definice bezpecˇnostnı´ politiky organizace . . . . . . . . . . . . . . . . . . . 8.3 Urcˇenı´ oblasti pu˚sobnosti ISMS . . . . . . . . . . . . . . . . . . . . . . . . 8.4 Identifikace legislativy pro ISMS . . . . . . . . . . . . . . . . . . . . . . . . 8.5 Vy´beˇr metodiky pro hodnocenı´ rizik a aktiv . . . . . . . . . . . . . . . . . . 8.5.1 Metodiky odhadu hodnoty aktiv . . . . . . . . . . . . . . . . . . 8.5.2 Metodiky odhadu hodnoty rizik . . . . . . . . . . . . . . . . . . 8.5.3 Realizace metodiky odhadu hodnoty rizik . . . . . . . . . . . . 8.6 Vypracovańı´ inventa´rˇe aktiv organizace . . . . . . . . . . . . . . . . . . . . 8.6.1 Urcˇenı´ vlastnı´ka aktiva . . . . . . . . . . . . . . . . . . . . . . . . 8.6.2 Urcˇenı´ hodnoty aktiva . . . . . . . . . . . . . . . . . . . . . . . . 8.6.3 Postup vytvorˇenı´ inventa´rˇe aktiv . . . . . . . . . . . . . . . . . . 8.7 Identifikace a hodnocenı´ rizik . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.1 Identifikace rizik . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7.2 Hodnocenı´ rizik . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8 Identifikace a na´vrh mozˇnyćh opatrˇenı´ . . . . . . . . . . . . . . . . . . . . . 8.8.1 Zajisˇteˇnı´ souhlasu managementu se zbytkovy´mi riziky . . . . . 8.8.2 Prohla´sˇenı´ o aplikovatelnosti . . . . . . . . . . . . . . . . . . . . 8.9 Nasazenı´ opatrˇenı´ pro kontrolu rizik . . . . . . . . . . . . . . . . . . . . . . 8.9.1 Omezenı´ opatrˇenı´ snizˇujıćıćh rizika . . . . . . . . . . . . . . . . 6.3

7

8

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

34 35 36 36 37 37 37 38 39 41 41 42 45 46 46 46 47 47 48 49 49 50 50 51 51 52 52 52 54 54 55 56 56 56 57 58 59 60 60 61 61 62 2

9

10 A B C D

8.9.2 Na´vrh a implementace opatrˇenı´ . . . . . . . . . . . . . . . . 8.9.3 Opatrˇenı´ proti nejcˇasteˇji se vyskytujıćı´m hrozba´m . . . . . . 8.10 Alokace zdroju˚ a vzdeˇla´vańı´ uzˇivatelu˚ organizace . . . . . . . . . . . . . 8.11 Implementace a monitorovańı´ ISMS . . . . . . . . . . . . . . . . . . . . 8.12 Prˇ´ıprava na certifikaci organizace . . . . . . . . . . . . . . . . . . . . . Prˇı´padova´ studie a pru˚zkum informacˇnı´ bezpecˇnosti . . . . . . . . . . . 9.1 Prˇ´ıprava certifikace dle § 20 odst. 1 pı´sm. b), za´kona cˇ. 412/2005 Sb. . . . 9.2 Prˇ´ıprava certifikace ISO/IEC 27001 ve shodeˇ se za´konem cˇ. 412/2005 Sb. 9.3 Pru˚zkum stavu informacˇnı´ bezpecˇnosti v organizacıćh . . . . . . . . . . Za´veˇr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prˇı´klad bezpecˇnostnı´ politiky organizace . . . . . . . . . . . . . . . . . . Metodika hodnocenı´ rizik . . . . . . . . . . . . . . . . . . . . . . . . . . . Sˇablona pro tvorbu politik . . . . . . . . . . . . . . . . . . . . . . . . . . Prˇı´klad politiky pro vyuzˇı´vanı´ mobilnıćh zarˇı´zenı´ . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

62 64 67 67 68 69 69 69 70 72 78 80 84 86

3

´ vod 1 U V dnesˇnı´ dobeˇ se neusta´le zvysˇuje propojenı´ cele´ho sveˇta pomocı´ informacˇnıćh a komunikacˇnıćh technologiı´. Zejmeńa pro organizace je nesmı´rneˇ du˚lezˇite´ udrzˇet se v kontaktu s tı´mto trendem, ktery´ umozˇnˇuje zvysˇovat efektivitu praće a podporovat ućˇinny´m zpu˚sobem vlastnı´ byznys. Stinnou strańkou teˇchto technologiı´ je pomeˇrneˇ vysoka´ komplikovanost, ktera´ je du˚vodem cˇasto nedostatecˇne´ho pochopenı´ jejich potencia´lu a take´ s nimi spojenyćh hrozeb na vsˇech u´rovnıćh organizace. Z tohoto prˇ´ıstupu pak plyne cˇaste´ podceneˇnı´ zajisˇteˇnı´ dostatecˇne´ informacˇnı´ bezpecˇnosti v organizaci. Dalsˇ´ım du˚vodem pro podcenˇovańı´ te´to oblasti je fakt, zˇe mnoho mensˇ´ıch organizacı´ se nepovazˇuje za dostatecˇneˇ du˚lezˇite´ cı´le a je prˇesveˇdcˇena, zˇe jejich informace nejsou pro potencia´lnı´ho u´tocˇnı´ka zajı´mave´. Prˇedmeˇtem praće je zmapovańı´ a popis dvou odlisˇnyćh prˇ´ıstupu˚ k informacˇnı´ bezpecˇnosti. Prvnı´ z nich je obsazˇen v za´koneˇ cˇ. 412/2005 Sb. o utajovanyćh skutecˇnostech. Tento za´kon mimo definice a popisu utajovanyćh skutecˇnostı´ definuje pozˇadavky a prˇedepisuje postupy pro zajisˇteˇnı´ informacˇnı´ bezpecˇnosti v organizacıćh, ktere´ prˇistupujı´ k utajovany´m skutecˇnostem. Druhy´ prˇ´ıstup je pak urcˇen rodinou norem kolem standardu ISO/IEC 27001, ktera´ prˇedstavuje mezina´rodneˇ uzna´vany´ a vyuzˇ´ıvany´ prˇ´ıstup zajisˇteˇnı´ informacˇnı´ bezpecˇnosti. Praće se zameˇrˇuje na podrobne´ prˇedstavenı´ za´kona cˇ. 412/2005 Sb. a rodiny norem ISO/IEC 27000, aby umozˇnila cˇtena´rˇi ve vsˇech ohledech pochopit tyto komplikovane´ a rozsa´hle´ dokumenty. Po tomto kroku jsou prˇ´ıstupy analyzovańy vzhledem k pozˇadavku, jak dosa´hnout s co nejmensˇ´ım vynalozˇeny´m u´silı´m organizace jejich spra´vne´ implementace. V idea´lnı´m prˇ´ıpadeˇ by po provedenı´ vsˇech u´konu˚ meˇla by´t organizace prˇipravena k zı´skańı´ certifikace dle obou prˇ´ıstupu˚ neza´visly´m certifikacˇnı´m orgańem. Po popisu zjisˇteˇnı´ zı´skanyćh v pru˚beˇhu uvedene´ analy´zy je detailneˇ popsań spra´vny´ postup na´vrhu, implementaci a nasazenı´ syste´mu managementu bezpecˇnosti informacı´, ktery´ je hlavnı´ mysˇlenkou standardu˚ rodiny ISO/IEC 27000. Tento prˇ´ıstup je vsˇak obohacen o prvky umozˇnˇujıćı´ jeho korektnı´ implementaci ve shodeˇ se za´konem cˇ. 412/2005 Sb. Neˇktere´ z nich je vsˇak v tomto prostupu doporucˇeno organizaci i v prˇ´ıpadeˇ, zˇe k certifikaci dle tohoto za´kona neprˇistupuje.

4

2 Informacˇnı´ bezpecˇnost Kapitola popisuje za´kladnı´ znalosti a pojmy, ktere´ je trˇeba prˇedlozˇit pro vytvorˇenı´ nezbytne´ho teoreticke´ho minima pro te´ma informacˇnı´ bezpecˇnosti a k nı´ se vztahujıćıćh za´konu˚ a norem platnyćh v soucˇasne´ dobeˇ. Jsou zde popsańy nejdu˚lezˇiteˇjsˇ´ı cı´le informacˇnı´ bezpecˇnosti a nejpouzˇ´ıvaneˇjsˇ´ı termıńy, ktere´ je trˇeba definovat.

2.1

Termıńy z oblasti informacˇnı´ bezpecˇnosti

Pro spra´vny´ popis problematiky informacˇnı´ bezpecˇnosti, hrozeb pro informacˇnı´ bezpecˇnost a da´le praće s normami a za´kony vztahujıćı´mi se k nı´, je nejprve nutne´ definovat za´kladnı´ pojmy. Prvnı´m z du˚lezˇityćh pojmu˚ je hrozba. Jedna´ se o uda´lost, ktera´ mu˚zˇe vyvola´ incident, ktery´ zpu˚sobı´ u´jmu syste´mu v organizaci, nebo jı´ samotne´[21]. Hrozba tedy vzˇdy vyuzˇ´ıva´ zranitelnosti k zı´skańı´, posˇkozenı´, nebo znicˇenı´ aktiva[37]. Dalsˇ´ım pojmem je aktivum. Aktivem je cokoliv majıćı´ hodnotu pro dotcˇenou organizaci (informace, majetek a osoby)[21]. Mezi osoby jsou zahrnovańi zameˇstnanci, za´kaznıći a dalsˇ´ı prˇizvane´ osoby[37]. Jako majetek jsou cha´pańy vsˇechny hmotne´ a nehmotne´ statky. Nehmotny´mi statky jsou informace jako databa´ze, zdrojovy´ ko´d, za´znamy organizace a dalsˇ´ı[37]. Trˇetı´m du˚lezˇity´m termıńem je zranitelnost, ktera´ je slabinou aktiva a mu˚zˇe by´t vyuzˇita v ra´mci urcˇite´ hrozby. Jinak rˇecˇeno jedna´ se o slabinu nebo mezeru v bezpecˇnosti, ktera´ mu˚zˇe by´t vyuzˇita hrozbou k zı´skańı´ neautorizovane´mu prˇ´ıstupu k aktivu[37]. Pojmem riziko je urcˇena kombinace pravdeˇpodobnosti uda´losti (hrozby) spolecˇneˇ s jejı´m dopadem[21]. Jedna´ se o ztra´tu, posˇkozenı´ nebo znicˇenı´ aktiva z du˚vodu vyuzˇitı´ zranitelnosti hrozbou[37]. Pojmem bezpecˇnostnı´ incident prˇedstavuje uda´lost, ktera´ podstatneˇ zvysˇuje pravdeˇpodobnost ohrozˇenı´ za´jmu˚ organizace a ohrozˇuje informacˇnı´ bezpecˇnost[21]. Jinak jej lze popsat jako vlastnı´ aplikaci hrozby na zranitelne´ho mı´sto. ´ cˇinnou obranu k ochraneˇ aktiv pak lze zajistit pomocı´ vhodneˇ navrzˇenyćh protiopatrˇenı´. U Ta prˇedstavujı´ management rizika s pomocı´ politik, procedur a technickyćh, manazˇerskyćh a administrativnıćh praktik[21]. Jejich cı´lem je pak u´plne´ odstraneˇnı´ rizika, nebo jeho snı´zˇenı´ na u´rovenˇ prˇijatelnou pro organizaci.

2.2

Cı´le informacˇnı´ bezpecˇnosti

Prˇestozˇe neexistuje jednotna´ definice informacˇnı´ho syste´mu[50], lze jej identifikovat jako soubor technologickyćh prostrˇedku˚, osob, procesu˚ a metod, ktere´ zabezpecˇujı´ sbeˇr, zpracovańı´, prˇenos a uchovańı´ informacı´ pro vyuzˇitı´ v ra´mci organizace[50]. Informacˇnı´ syste´m je pak typicky mozˇne´ rozlozˇit na trˇi hlavnıćh cˇa´stı´, ktery´mi jsou hardware, software a komunikace. Tato dekompozice umozˇnˇuje le´pe identifikovat a aplikovat postupy ochrany, prevence a reakce zahrnute´ v normaćh o informacˇnı´ bezpecˇnosti na trˇech u´rovnıćh organizace. Jedna´ se o u´rovenˇ persona´lnı´, fyzickou a organizacˇnı´. Hlavnı´m u´kolem informacˇnı´ bezpecˇnosti je ochrana vsˇech teˇchto zminˇovanyćh informacı´ proti neautorizovane´mu prˇ´ıstupu, odposlechu, modifikaci, znicˇenı´ a dalsˇ´ım cˇinnostem[13]. 5

2. INFORMACˇNI´ BEZPECˇNOST Tato ochrana musı´ by´t realizovańa bez ohledu na to, ve ktere´ ze trˇ´ı cˇa´stı´ cˇi u´rovnı´ informacˇnı´ho syste´mu se informace nacha´zejı´. Mu˚zˇe se jednat o informace obsazˇene´ v elektronicke´ formeˇ, ve formeˇ papı´rovyćh dokumentu˚ i informace nacha´zejıćı´ se v mysˇlenkaćh zameˇstnancu˚. Tento u´kol je mozˇne´ plnit pouze za prˇedpokladu dosazˇenı´ vsˇech trˇ´ı uvedenyćh cı´lu˚ informacˇnı´ bezpecˇnosti, ktere´ tvorˇ´ı dohromady takzvanou CIA trojici (CIA triad)[13]: Du˚veˇrnost (Confidentality): ochrana informace proti jejı´mu neopra´vneˇne´mu prozrazenı´. Integrita (Integrity): ochrana informace proti jejı´ neopra´vneˇne´ modifikaci. Dostupnost (Availability): dostupnosti informace pro prˇ´ıstup opra´vneˇnyćh uzˇivatelu˚.

Obra´zek 2.1: Vztah informacˇnı´ bezpecˇnosti a trojice CIA v organizaci[39]. V praxi jsou k teˇmto trˇem za´kladnı´m cı´lu˚m cˇasto prˇida´vańy na´sledujıćı´ cˇtyrˇi dodatecˇne´ cı´le[21]. Jejich splneˇnı´ je nutne´ pro zachovańı´ bezpecˇnosti informace a praktickou vyuzˇitelnost cele´ho konceptu zasazene´ho do rea´lne´ho sveˇta. Tyto cı´le slouzˇ´ı prˇeva´zˇne´ pro nava´zańı´ informacˇnı´ bezpecˇnosti na pra´vnı´ dokumenty tak, aby bylo mozˇne´ jejı´ porusˇenı´ efektivneˇ postihovat naprˇ´ıklad prˇi soudnı´m rˇ´ızenı´. 6

2. INFORMACˇNI´ BEZPECˇNOST Autenticita (Authenticity): entita je tı´m, za co se vyda´va´ (nebyla pozmeˇneˇna) tzn. je pu˚vodnı´, vznikla v uvedene´m cˇase a pocha´zı´ z uvedene´ho zdroje. ´ cˇtovatelnost(Accountability): entitu je mozˇne´ v prˇ´ıpadeˇ potrˇeby ucˇinit odpoveˇdnou za jı´ proU vedene´ akce a rozhodnutı´. Nepopiratelnost (Non-repudiation): lze proka´zat ućˇast entity na uda´losti, nebo akci v prˇ´ıpadeˇ sporu o jejich vy´skyt nebo ućˇast entity na uda´losti, nebo akci. Spolehlivost (Reliability): zamy´sˇlene´ chovańı´ je konzistentnı´ se skutecˇny´m chovańı´m. Cela´ informacˇnı´ bezpecˇnost se tak sta´va´ velmi komplexnı´ problematikou. Jejı´ pecˇlive´ rˇesˇenı´ je velmi slozˇity´m a na zdroje dotcˇene´ organizace na´rocˇny´m u´kolem. Prˇesto vsˇak nelze jejı´ podceneˇnı´ schvalovat, protozˇe realizovane´ hrozby narusˇenı´ informacˇnı´ bezpecˇnosti zpu˚sobujı´ financˇnı´ ztra´ty a za´vazˇne´ sˇkody, zejmeńa na kredibiliteˇ postizˇene´ organizace, ktere´ mohou vyu´stit azˇ v ukoncˇenı´m cˇinnosti[13].

7

3 Hrozby pro informacˇnı´ bezpecˇnost V prvnı´ cˇa´sti kapitoly je prˇedlozˇeno neˇkolik strucˇnyćh prˇ´ıkladu˚ popisujıćıćh za´vazˇne´ hrozby pro informacˇnı´ bezpecˇnost organizace, ktere´ je nutne´ mı´t na pameˇti prˇi implementaci syste´mu˚ informacˇnı´ bezpecˇnosti. V druhe´ cˇa´sti jsou ve stejne´m duchu prˇedlozˇeny hrozby pro informacˇnı´ bezpecˇnost prˇedpokla´dane´ pro blı´zkou budoucnost a vypozorovane´ z aktua´lnıćh trendu˚.

3.1

Charakteristika hrozby

Jak jizˇ bylo definovańo, hrozby prˇedstavujı´ uda´losti, ktere´ mohou zpu˚sobit bezpecˇnostnı´ incident zpu˚sobujıćı´ u´jmu dotcˇene´mu syste´mu nebo samotne´ organizaci. Postupem cˇasu neˇktere´ hrozby zastara´vajı´, prˇ´ıpadneˇ u´plneˇ prˇesta´vajı´ existovat kvu˚li rozlicˇny´m faktoru˚m, jako je jizˇ neexistujıćı´ aktivum nebo zranitelnost. Zańik hrozby mu˚zˇe take´ nastat z du˚vodu protiopatrˇenı´, ktere´ ji prakticky eliminuje. Na druhou stranu neusta´le vznikajı´ hrozby nove´, ktere´ se objevujı´ kvu˚li rozvoji novyćh technologiı´, zlepsˇujıćı´m se znalostem a vybavenı´ u´tocˇnı´ku˚. Mimo toto deˇlenı´ dle platnosti hrozeb je mozˇneˇ deˇlit hrozby dle u´myslu[32]: Neu´myslne´: mezi hrozby se rˇadı´ ty, jenzˇ jsou zpu˚sobeny fyzicky´m posˇkozenı´m, prˇ´ırodnı´mi katastrofami, technicky´mi selhańı´mi a neu´myslny´mi lidsky´mi chybami. ´ myslne´: hrozby jsou za´meˇrneˇ vyvolańy lidmi pro naplneˇnı´ jednoho ze dvou cı´lu˚. Prvnı´m je U snaha o zı´skańı´ dat, softwaru nebo pro jeho neopra´vneˇnou manipulaci. Druhy´m je pokus o zı´skańı´ prˇ´ıstupu k vlastnı´mu hardwaru za ućˇelem jeho kra´dezˇe, posˇkozenı´ nebo znicˇenı´. Mezi dalsˇ´ı deˇlenı´ hrozeb informacˇnı´ bezpecˇnosti lze zarˇadit jejich rozdeˇlenı´ do dvou skupin dle umı´steˇnı´ zdroje jejich pu˚vodu vzhledem k posˇkozene´ organizaci[32]: Vnitrˇnı´: zdroj hrozby se nacha´zı´ uvnitrˇ dotcˇene´ organizace. Typicky´m prˇ´ıkladem takove´ hrozby je sabota´zˇ, technicke´ selhańı´ a lidska´ chyba. Vneˇjsˇ´ı: zdroj te´to hrozby se nacha´zı´ mimo organizaci. Mezi tyto hrozby je mozˇne´ zarˇadit prˇ´ırodnı´ katastrofy a kyberneticky´ u´tok. Vztah mezi teˇmito dveˇma vy´sˇe uvedeny´mi druhy deˇlenı´ hrozeb je pak mozˇne´ zachytit pomocı´ na´sledujıćı´ tabulky 3.1.

vnitrˇnı´ vneˇjsˇı´

neu´myslna´ technicke´ selhańı´, lidska´ chyba prˇ´ırodnı´ katastrofa

u´myslna´ sabota´zˇ kyberneticky´ u´tok

Tabulka 3.1: Tabulka hrozeb popisujıćı´ vztah u´myslu a pu˚vodu.

8

3. HROZBY PRO INFORMACˇNI´ BEZPECˇNOST

3.2

Soucˇasne´ hrozby pro informacˇnı´ bezpecˇnost

V soucˇasne´m globalizovane´m sveˇteˇ existuje pro informacˇnı´ bezpecˇnost mnoho za´vazˇnyćh hrozeb. S prˇihle´dnutı´m k vy´sˇe uvedene´ matici jsou da´le ilustrovańy trˇi nejzajı´maveˇjsˇ´ı prˇ´ıpady nebezpecˇnyćh u´myslnyćh vneˇjsˇ´ıch hrozeb. Dalsˇ´ı prˇ´ıklady typickyćh hrozeb pro informacˇnı´ bezpecˇnost ze vsˇech kategoriı´ lze pak nale´zt v prˇ´ıloze C normy ISO/IEC 27005[20]. 3.2.1 Hacktivismus Hacktivismus (Hacktivism) oznacˇuje vyuzˇitı´ znalostı´ pocˇ´ıtacˇu˚ a pocˇ´ıtacˇovyćh sı´tı´ k propagaci a dosazˇenı´ nejen politickyćh cı´lu˚ jednotlivce nebo organizovane´ skupiny. Beˇzˇneˇ je tento prˇ´ıstup take´ cha´pań pouze jako hacking. Hacktivismus v podstateˇ prˇena´sˇ´ı beˇzˇneˇ pouzˇ´ıvane´ formy aktivismu a protestu do prostrˇedı´ informacˇnıćh technologiı´. Mezi skupiny v soucˇasne´ dobeˇ media´lneˇ zna´me´ teˇmito postupy patrˇ´ı hnutı´ Anonymous a WikiLeaks. Z hlediska hrozby pro informacˇnı´ bezpecˇnost organizace nenı´ mozˇne´ Hacktivismus zanedba´vat vzhledem k tomu, zˇe vyuzˇ´ıva´ nejen relativneˇ nesˇkodne´, ale velmi dobrˇe viditelne´ metody propagace cı´lu˚ jako je typosquatting, pozmeˇnˇovańı´ webovyćh strańek a jejich prˇesmeˇrova´vańı´. ˇ adı´ se zde rozlicˇne´ formy u´toku˚ odeprˇenı´ Cˇ´ım da´l cˇasteˇji jsou pouzˇity take´ nebezpecˇne´ metody. R sluzˇby a take´ nejza´vazˇneˇjsˇ´ı hrozba kra´dezˇe du˚veˇrnyćh informacı´ a jejich prˇ´ıpadne´ zverˇejneˇnı´. 3.2.2 Sˇpiona´zˇ Sˇpiona´zˇ je klasicky´m prˇ´ıpadem narusˇovańı´ bezpecˇnosti informacı´ v podstateˇ od pocˇa´tku vnı´mańı´ potrˇeby zabezpecˇenı´ informacı´ jako takovyćh. S na´stupem elektronicke´ komunikace a kyberprostoru se mozˇnosti pro sˇpiona´zˇ podstatneˇ zveˇtsˇily a jejı´ metody jsou mnohem efektivneˇjsˇ´ı. Vlastnı´ sˇpiona´zˇ je pak mozˇno rozdeˇlit do dvou oblastı´. Prvnı´ oblastı´ je sˇpiona´zˇ odehra´vajıćı´ se na vla´dnı´ u´rovnı´, kdy jsou zadavateli jednotlive´ vla´dy. Cı´lem u´toku mohou by´t jak sta´tnı´ instituce cizı´ho sta´tu, tak organizace prova´deˇjıćı´ klıćˇovy´ vy´voj, vy´robu a vy´zkum pro tuto cizı´ mocnost. Cı´lem je prˇeva´zˇneˇ zı´skat informace strategicke´ho ra´zu prˇeva´zˇneˇ z oblastı´ ekonomie, vojenskyćh technologiı´ a na´rodnıćh za´jmu˚. Pru˚myslova´ sˇpiona´zˇ je druhou oblastı´, ktera´ byla podstatneˇ usnadneˇna s na´stupem elektronicke´ komunikace a kyberneticke´ho prostoru. Jedna´ se o jednu z nekalyćh praktik vyuzˇ´ıvanyćh spolecˇnostmi proti sobeˇ v ra´mci konkurencˇnı´ho boje k zı´skańı´ klıćˇovyćh informacı´ o konkurenci, jejich za´meˇrech a produktech. Nehledeˇ na cˇa´stecˇneˇ odlisˇne´ charakteristiky obou typu˚ sˇpiona´zˇe spojuje obeˇ oblasti te´to hrozby odhodlańı´ velmi dobrˇe placenyćh specialistu˚ s hluboky´mi znalostmi a te´meˇrˇ neomezeny´m technicky´m vybavenı´m. Tato hrozba je tedy jednou z nejza´vazˇneˇjsˇ´ıch, ktery´m musı´ informacˇnı´ bezpecˇnost cˇelit. 3.2.3 Pocˇı´tacˇova´ kriminalita Termıń pocˇ´ıtacˇova´ kriminalita popisuje ru˚znorode´ zpu˚soby zneuzˇitı´ informacˇnıćh technologiı´ a sı´teˇ internet k paćhańı´ trestne´ cˇinnosti. Velky´ rozmach tohoto zpu˚sobu paćhańı´ trestne´ cˇinnosti 9

3. HROZBY PRO INFORMACˇNI´ BEZPECˇNOST nastal s rozsˇirˇovańı´m sı´teˇ internet a jejı´m zprˇ´ıstupneˇnı´m masa´m uzˇivatelu˚. Lze sem zarˇadit porusˇovańı´ autorskyćh pra´v software, kra´dezˇe identity, neopra´vneˇne´ zı´ska´vańı´ osobnıćh dat. Pocˇ´ıtacˇova´ kriminalita se od vy´sˇe uvedene´ sˇpiona´zˇe a hacktivismu odlisˇuje prˇedevsˇ´ım tı´m, zˇe je na rozdı´l od nich paćhańa vy´lucˇneˇ jedinci nebo organizovany´mi skupinami pro vlastnı´ obohacenı´. Nesleduje tedy prima´rneˇ politicke´ nebo na´zorove´ cı´le. Ve sve´ podstateˇ lze rozdeˇlit hrozby pocˇ´ıtacˇove´ kriminality do cˇtyrˇech oblastı´, ktery´mi jsou malware, zneuzˇitı´ sı´t’ove´ infrastruktury, u´toky na sı´t’ovou infrastrukturu a socia´lnı´ inzˇeny´rstvı´. Malware prˇedstavuje sˇkodlive´ programove´ ko´dy jako jsou pocˇ´ıtacˇove´ viry, trojske´ koneˇ, keyloggery, rootkity a spyware. Mohou mı´t za cı´l bud’ kra´dezˇe informacı´ jako jsou du˚lezˇite´ dokumenty a prˇihlasˇovacı´ u´daje z napadene´ho stroje, proste´ znicˇenı´ ulozˇenyćh informacı´ nebo neopra´vneˇne´ vyuzˇ´ıvańı´ strojove´ho cˇasu pro sˇ´ırˇenı´ spamu cˇi jine´ nelega´lnı´ aktivity. Dalsˇ´ı hrozbou je zneuzˇitı´ sı´t’ove´ infrastruktury organizace, ktere´ spocˇ´ıva´ ve vyuzˇ´ıvańı´ konektivity a zdroju˚ organizace k na´sledujıćı´m ilega´lnı´m akcı´m. Sta´le velmi cˇastou i kdyzˇ neprˇ´ılisˇ za´vazˇnou akcı´, ke ktere´ jsou zdroje zneuzˇ´ıvańy, patrˇ´ı rozesı´lańı´ spamu ostatnı´m organizacı´m a uzˇivatelu˚m sı´teˇ internet. Nebezpecˇneˇjsˇ´ımi akcemi jsou phishingove´ u´toky snazˇ´ıcı´ se vyla´kat z uzˇivatelu˚ u´daje kreditnıćh karet nebo prˇihlasˇovacıćh u´daju˚ do infrastruktury organizace, cˇ´ımzˇ by fakticky dosˇlo ke kra´dezˇi identity. ´ toky na sı´t’ovou infrastrukturu jsou vedeny s cı´lem rusˇit, posˇkozovat, nebo znemozˇnit U spojenı´ a vy´meˇnu informacı´ prostrˇednictvı´m pocˇ´ıtacˇove´ sı´teˇ. V ra´mci teˇchto hrozeb lze take´ zarˇadit pozmeˇnˇovańı´, odposlech, podvrhovańı´ a modifikaci informace prˇena´sˇene´ sı´tı´. Mezi typicke´ prˇ´ıklady u´toku˚ pak patrˇ´ı (sdı´lene´) odeprˇenı´ sluzˇby, podvrhovańı´ IP adresy, neopra´vneˇna´ analy´za paketu˚ a u´tok typu Man in the middle. Poslednı´ skupinou hrozeb je pak socia´lnı´ inzˇeny´rstvı´, ktere´ prˇedstavuje snahu zmanipulovat osoby v organizaci, aby porusˇily informacˇnı´ bezpecˇnost a samy poskytly du˚veˇrne´ informace u´tocˇnı´kovi, prˇ´ıpadneˇ podnikly urcˇite´ akce, ktere´ mu informace zprˇ´ıstupnı´. Cˇasty´m prˇ´ıstupem u´tocˇnı´ku˚ je vyda´vańı´ se za du˚veˇryhodnou trˇetı´ stranu, vyuzˇ´ıvańı´ strachu nebo na´tlaku na obeˇt’. Z vy´sˇe uvedene´ho je zrˇejme´, zˇe hrozby pocha´zejıćı´ z okruhu pocˇ´ıtacˇove´ kriminality jsou pro organizace velmi za´vazˇne´ a mohou jim zpu˚sobit rozsa´hle´ sˇkody[13]. To spolecˇneˇ s cˇ´ım da´l tı´m cˇasteˇjsˇ´ımi medializovany´mi u´toky velke´ho rozsahu prˇimeˇlo Cˇeskou republiku a Evropskou unii zaby´vat se pocˇ´ıtacˇovou kriminalitou a informacˇnı´ bezpecˇnostı´ obecneˇ v noveˇ prˇipravovanyćh za´konech[30] a smeˇrnicıćh[35].

3.3

Prˇedpokla´dane´ budoucı´ hrozby

Ze soucˇasnyćh trendu˚ v oblasti informacˇnıćh technologiı´ a rychlosti jejich prˇijı´mańı´ sˇirokou verˇejnostı´, organizacemi i u´tocˇnı´ky lze odhadovat mozˇne´ oblasti budoucıćh hrozeb pro informacˇnı´ bezpecˇnost. Prvnı´ dva prˇ´ıpady prˇedstavujı´ v prˇ´ıpadeˇ cı´lene´ho u´toku na organizaci u´myslnou vneˇjsˇ´ı hrozbu. Lze ovsˇem pocˇ´ıtat i s hrozbou neu´myslnou vnitrˇnı´ v prˇ´ıpadeˇ selhańı´ technologie. Poslednı´ prˇ´ıpad prˇedstavuje u´myslnou vneˇjsˇ´ı hrozbu v podobeˇ kyberneticke´ va´lky. 10

3. HROZBY PRO INFORMACˇNI´ BEZPECˇNOST 3.3.1 Cloud computing V soucˇasne´ dobeˇ existujı´ silne´ trendy pro rozsˇirˇovańı´ cloud computingu. Tento model vyuzˇitı´ informacˇnıćh technologiı´ slibuje organizacı´m snı´zˇenı´ na´kladu˚ na IT infrastrukturu a jejı´ provoz dı´ky doda´vańı´ infrastruktury, platformy nebo softwaru jako sluzˇby. Jsou nabı´zeny jak verˇejne´ cloudy nabı´zejıćı´ klasicky´ model sluzˇby pro sˇirokou verˇejnost, tak soukrome´ a komunitnı´ cloudy vyhrazene´ pouze pro jednotlive´ organizace nebo jejich skupiny[14]. Vesˇkera´ cloudova´ rˇesˇenı´ s sebou nesou pomeˇrneˇ specificke´ hrozby souvisejıćı´ se vzdańı´m se kontroly nad vlastnı´ infrastrukturou a informacemi. Je zde vy´znamny´ proble´m hrozby ztra´ty a kra´dezˇe dat sveˇrˇenyćh trˇetı´ straneˇ[25]. Take´ se podstatneˇ zvysˇuje vy´znam hrozby vnitrˇnıćh u´tocˇnı´ku˚ (z organizace spravujıćı´ cloudove´ rˇesˇenı´), kterˇ´ı mohou napaćhat podstatneˇ veˇtsˇ´ı sˇkody[25]. S nutnostı´ prˇ´ıpojenı´ k cloudove´ sluzˇbeˇ prˇes internet roste vy´znam u´toku˚ ohrozˇujıćıćh prˇ´ıstup organizace ke svy´m vlastnı´m datu˚m. Patrˇ´ı mezi neˇ u´tok odeprˇenı´m sluzˇby a uńos prˇipojenı´ ke sluzˇbeˇ, kde mu˚zˇe u´tocˇnı´k prˇi zı´skańı´ prˇ´ıstupovyćh u´daju˚ odposloucha´vat celou komunikaci mezi organizacı´ a jejı´m cloudovy´m rˇesˇenı´m[25]. Vzhledem k prˇedańı´ dat do syste´mu˚ trˇetı´ strany s sebou mu˚zˇe cloud computing ne´st pra´vnı´ komplikace. V prˇ´ıpadeˇ verˇejne´ho cloudu se pak jesˇteˇ prˇida´va´ dalsˇ´ı hrozba, kterou je neexistence efektivnı´ho oddeˇlenı´ dat organizace od ostatnıćh uzˇivatelu˚. Kvu˚li vy´sˇe popsany´m proble´mu˚m s bezpecˇnostı´ informacı´ organizacı´ v modelu cloud computingu vznikajı´ v soucˇasne´ dobeˇ dveˇ nove´ normy rodiny ISO/IEC 27000, ktery´mi jsou ISO/IEC 27017 (Security in cloud computing) a ISO/IEC 27018 (Code of practice for data protection controls for public cloud computing services)[42].

3.3.2 Mobilnı´ zarˇı´zenı´ a trend BYOD Dlouhodobeˇ lze pozorovat obecneˇ ve spolecˇnosti trend na´ru˚stu vyuzˇ´ıvańı´ mobilnıćh zarˇ´ızenı´ jako jsou chytre´ telefony, tablety a jine´. Rozsˇirˇuje se tak logicky i jejich penetrace do struktury organizacı´. Je trˇeba si uveˇdomit, zˇe vzhledem ke konfiguraci, kterou v sobeˇ nesou, prˇedstavujı´ mozˇnost u´toku odkudkoliv mimo zabezpecˇenou oblast organizace. Ukradena´ nebo ztracena´ zarˇ´ızenı´ jsou pak cˇasty´m zdrojem uńiku˚ dat. Do extre´mu pak problematiku mobilnıćh zarˇ´ızenı´ prˇiva´dı´ trend vna´sˇenı´ osobnıćh zarˇ´ızenı´ zameˇstnancu˚ do struktury organizace (BYOD z anglicke´ho Bring Your Own Device). Prˇ´ıstup ma´ za´sadnı´ nevy´hody v oblasti informacˇnı´ bezpecˇnosti[24]. Ve sve´ podstateˇ jsou tato zarˇ´ızenı´ obtı´zˇneˇ kontrolovatelna´. Znamena´ to, zˇe nastavovańı´ a vynucovańı´ cı´lu˚ informacˇnı´ bezpecˇnosti skrze politiky pro tato zarˇ´ızenı´ je netrivia´lnı´ za´lezˇitostı´. Je obtı´zˇne´ oddeˇlit osobnı´ informace osoby od citlivyćh informacı´ organizace[24]. Da´le je trˇeba si uveˇdomit, zˇe jaky´koliv software v tomto zarˇ´ızenı´ mu˚zˇe mı´t pravdeˇpodobneˇ prˇ´ıstup k citlivy´m informacı´m organizace[24]. Vzhledem k tomu, zˇe osoby vyuzˇ´ıvajı´ tato zarˇ´ızenı´ neusta´le. Zvysˇuje se mozˇnost uńiku dat skrze ztra´tu, nebo kra´dezˇ zarˇ´ızenı´. V neposlednı´ rˇadeˇ je trˇeba zmıńit riziko osob, ktere´ rozvazujı´ svu˚j smluvnı´ vztah s organizacı´ a odna´sˇejıćıćh si informace organizace s sebou. Tento prˇ´ıstup ma´ vsˇak pro organizaci i dveˇ vy´hody. Umozˇnˇuje snı´zˇit na´klady na zarˇ´ızenı´ a zameˇstnanci se typicky o sva´ vlastnı´ zarˇ´ızenı´ le´pe starajı´. Organizace take´ vyuzˇ´ıva´ rychleji benefitu˚ prˇina´sˇenyćh novy´mi technologiemi[24]. 11

3. HROZBY PRO INFORMACˇNI´ BEZPECˇNOST 3.3.3 Kyberneticka´ va´lka Prˇedpokla´dany´ koncept kyberneticke´ va´lky je skrze svou politickou motivaci analogiı´ s konvencˇnı´m va´lecˇny´m konfliktem. Na rozdı´l od Hacktivismu, ktery´ se veˇtsˇinou snazˇ´ı pouze upoutat pomocı´ bezpecˇnostnıćh incidentu˚ pozornost mediı´ a propagovat tak cı´le skupiny, prˇedstavuje kyberneticky´ va´lecˇny´ konflikt potencia´lnı´ ohrozˇenı´ pro lidske´ zˇivoty a majetek. Lze jej rozdeˇlit dle jeho intenzity a dopadu˚ do trˇ´ı u´rovnı´[34]. Prvnı´ je vyuzˇitı´ kyberneticke´ho konfliktu jako doplnˇku konvencˇnıćh va´lecˇnyćh operacı´. ´ rovenˇ se omezuje na vojenske´ cı´le a cı´lem je zı´skańı´ informacˇnı´ prˇevahy nad neprˇ´ıtelem na U konvencˇnı´m bojisˇti. Prˇevahy je dosazˇeno narusˇenı´m a nicˇenı´m informacˇnı´ infrastruktury. Druhy´m z prˇ´ıpadu˚ je takzvana´ omezena´ kyberneticka´ va´lka, ktera´ vyuzˇ´ıva´ informacˇnı´ infrastruktury, prˇ´ıpadneˇ agentu˚ pro realizaci incidentu˚ v napadenyćh organizacıćh neprˇ´ıtele. Jejı´m cı´lem je posˇkozovańı´ ekonomiky protivnı´ka a zpomalenı´ jeho prˇ´ıprav na nadcha´zejıćı´ konvencˇnı´ vojensky´ za´sah[34]. Poslednı´m prˇ´ıpadem je neomezena´ kyberneticka´ va´lka, ktera´ se zameˇrˇuje na du˚lezˇite´ sluzˇby infrastruktury neprˇ´ıtele, jako jsou energetika, finance, komunikace a informacˇnı´ infrastrukturu samotnou. Stı´rajı´ se zde rozdı´ly mezi sta´tnı´mi a soukromy´mi organizacemi. Prˇedpokla´da´ se, zˇe neomezena´ kyberneticka´ va´lka by ve sve´m konecˇne´m du˚sledku pravdeˇpodobneˇ vedla k vy´znamny´m ztra´ta´m na zˇivotech a vy´razne´mu zhorsˇenı´ ekonomicke´ a socia´lnı´ situace[34]. Soucˇasne´ pomeˇrneˇ u´zke´ zameˇrˇenı´ na hrozby pocˇ´ıtacˇove´ kriminality a podvodu˚ by meˇlo by´t ve sveˇtle teˇchto okolnostı´ rozsˇ´ırˇeno, aby obsahovalo i hrozby kyberneticke´ va´lky a terorismu[13].

12

4 Legislativa a normy informacˇnı´ bezpecˇnosti Kapitola se v prvnı´ cˇa´sti strucˇneˇ veˇnuje legislativeˇ upravujıćı´ aspekty souvisejıćı´ s informacˇnı´ bezpecˇnostı´ v pra´vnı´m prostrˇedı´ Cˇeske´ republiky. V jejı´ druhe´ cˇa´sti jsou pak zbeˇzˇneˇ prˇedstaveny aktua´lneˇ pouzˇ´ıvane´ normy urcˇene´ pro praći s informacˇnı´ technologiemi a informacˇnı´ bezpecˇnostı´ jako je rodina norem ISO/IEC 27000, COBIT a ITIL. Strucˇneˇ je nastıńeˇna jejich struktura, pokry´vane´ oblasti informacˇnı´ bezpecˇnosti a mezi nimi existujıćı´ interakce.

4.1

Za´kon o ochraneˇ utajovanyćh informacı´

Cely´m na´zvem Za´kon o ochraneˇ utajovanyćh informacı´ a o bezpecˇnostnı´ zpu˚sobilosti (za´kon cˇ. 412/2005 Sb.) v pra´vnı´m prostrˇedı´ Cˇeske´ republiky upravuje praći s utajovany´mi skutecˇnostmi vcˇetneˇ postupu certifikace pro praći s nimi. Za´kon pak urcˇuje podmıńky pro klasifikaci teˇchto informacı´ do jednoho ze cˇtyrˇech rezˇimu˚ utajovańı´. Da´le za´kon vymezuje podmıńky pro prˇ´ıstup k teˇmto informacı´m a pozˇadavky na zajisˇteˇnı´ a provozovańı´ jejich ochrany vcˇetneˇ stanovenı´ citlivyćh cˇinnostı´ a podmıńek jejich vy´konu. V neposlednı´ rˇadeˇ pak za´kon vymezuje spolu se svy´mi prova´deˇcı´mi prˇedpisy postupy ´ ), ktere´ opravnˇujı´ zı´ska´vańı´ certifikacı´ vyda´vanyćh Na´rodnı´m bezpecˇnostnı´m u´rˇadem (NBU fyzicke´ a pra´vnicke´ osoby k nakla´dańı´ s teˇmito utajovany´mi informacemi, zpu˚soby kontroly dodrzˇovańı´ teˇchto prˇedpisu˚ a take´ prˇ´ıpadne´ sankce prˇi porusˇenı´ ulozˇenyćh povinnostı´. Tento za´kon je detailneˇji rozebrań v na´sledujıćıćh kapitolaćh praće vcˇetneˇ nastıńeˇnı´ postupu certifikace a vypracovańı´ analy´zy pro shodu za´kona se syste´mem rˇ´ızenı´ bezpecˇnosti informacı´.

4.2

Za´kon o ochraneˇ osobnıćh u´daju˚

Za´kon o ochraneˇ osobnıćh u´daju˚ (za´kon cˇ. 101/2000 Sb.) upravuje v souladu s pra´vem Evropske´ unie a mezina´rodnı´mi smlouvami[1] pra´vo na ochranu osobnıćh u´daju˚ prˇed jejich neopra´vneˇny´m shromazˇd’ovańı´m, uchova´vańı´m, zverˇejnˇovańı´m a prˇ´ıpadny´m zneuzˇitı´m. Da´le za´kon rozdeˇluje u´daje do trˇ´ı skupin. Prvnı´ jsou u´daje osobnı´, ktery´mi se rozumı´ informace umozˇnˇujıćı´ identifikovat subjekt. Druhou skupinou jsou citlive´ u´daje, ktere´ vypovı´dajı´ o na´rodnosti, pu˚vodu, politickyćh postojıćh a jine´m. Patrˇ´ı zde i biometricke´ a geneticke´ u´daje subjektu. Poslednı´ skupinou jsou u´daje anonymnı´, se ktery´mi nelze spojit zˇa´dny´ subjekt. Za´kon take´ stanovuje pra´va a povinnosti prˇi zpracovańı´ osobnıćh u´daju˚. Specifikuje mozˇnosti prˇeda´vańı´ osobnıćh u´daju˚ do jinyćh sta´tu˚ a popisuje spra´vnı´ delikty prˇi praći s osobnı´mi ´ rˇadu pro ochranu osobnıćh u´daju˚ (U ´ OOU ´ ) dohlı´zˇejıćı´ho u´daji. Da´le za´kon popisuje cˇinnost U na jeho realizaci a dodrzˇovańı´. Urcˇuje jeho postavenı´, pu˚sobnost a organizaci u´rˇadu. Za´kon stanovuje povinnosti informacˇnı´ bezpecˇnosti pro organizace spravujıćı´ a zpracova´vajıćı´ osobnı´ u´daje na´sledujıćı´m zpu˚sobem. Organizace musı´ pomocı´ opatrˇenı´ zabrańit neopra´vneˇne´mu prˇ´ıstupu, zmeˇneˇ, znicˇenı´, ztra´teˇ, cˇi odcizenı´ osobnıćh u´daju˚. Musı´ take´ zabrańit neopra´vneˇne´mu prˇenosu, zpracovańı´ a jine´mu zneuzˇitı´ teˇchto u´daju˚. Tato povinnost je platna´ i po ukoncˇenı´ jejich zpracovańı´. Organizace spravujıćı´ a zpracova´vajıćı´ musı´ mı´t zpracovańu dokumentaci prˇijatyćh a provedenyćh technickyćh a organizacˇnıćh opatrˇenı´ na ochranu osobnıćh 13

4. LEGISLATIVA A NORMY INFORMACˇNI´ BEZPECˇNOSTI u´daju˚ v souladu se za´konem o ochraneˇ osobnıćh u´daju˚ a dalsˇ´ımi prˇedpisy. Zameˇstnanci organizace a osoby prˇicha´zejıćı´ do styku s teˇmito informacemi zpracova´vany´mi, nebo spravovany´mi organizacı´, musı´ zachova´vat o teˇchto informacıćh mlcˇenlivost. Stejneˇ tak musı´ zachovat mlcˇenlivost o bezpecˇnostnıćh opatrˇenıćh, ktere´ tyto informace chrańı´ a jejichzˇ zverˇejneˇnı´ by ohrozilo zabezpecˇenı´ osobnıćh u´daju˚.

4.3

Za´kon o elektronicke´m podpisu

Tento za´kon o elektronicke´m podpisu (za´kon cˇ. 227/2000 Sb.) upravuje pouzˇitı´ elektronicke´ho podpisu, ktery´ je hlavnı´m na´strojem autentizace a identifikace fyzickyćh a pra´vnickyćh osob v prostrˇedı´ informacˇnı´ spolecˇnosti. Za´kon vymezuje dva zpu˚soby pro oznacˇenı´ elektronicke´ho dokumentu fyzickou osobou, ktery´mi jsou Elektronicky´ podpis a Zarucˇeny´ elektronicky´ podpis. Mozˇnost elektronicky oznacˇovat dokumenty organizacı´m pak da´va´ elektronicka´ znacˇka, ktera´ prˇedstavuje obdobu u´rˇednı´ho nebo firemnı´ho razı´tka. Elektronicky´m podpisem se rozumı´ u´daje prˇipojene´ nebo spojene´ se zpra´vou a urcˇujıćı´ jednoznacˇneˇ identitu osoby ve vztahu k dotcˇene´ zpra´veˇ. Zarucˇeny´ elektronicky´ podpis a elektronicka´ znacˇka musı´ splnˇovat jednoznacˇne´ spojenı´ s podpisujıćı´m subjektem (nepopiratelnost), identifikaci podepisujıćı´ho subjektu (autenticita) ve vztahu ke zpra´veˇ a zarucˇenı´ integrity zpra´vy. Podpis a znacˇka, take´ musı´ by´t vytvorˇeny zpu˚sobem, ktery´ si podepisujıćı´ osoba musı´ udrzˇet pod svou vy´hradnı´ kontrolou. Da´le jsou v za´koneˇ definovańy povinnosti podepisujıćı´ osoby, povinnosti kvalifikovane´ho poskytovatele certifikacˇnıćh sluzˇeb a postihy prˇi jejich prˇ´ıpadne´m neplneˇnı´. Jsou take´ stanoveny podmıńky pro zı´skańı´ akreditace pro poskytovańı´ certifikacˇnıćh sluzˇeb, rozsˇ´ırˇenı´ teˇchto sluzˇeb. V neposlednı´ rˇadeˇ za´kon definuje na´lezˇitosti jednotlivyćh typu˚ podpisu˚, zpu˚sob uzna´vańı´ zahranicˇnıćh elektronickyćh podpisu˚ a prostrˇedku˚ pro jejich tvorbu. Z hlediska informacˇnı´ bezpecˇnosti za´kon stanovuje, zˇe podepisujıćı´ osoby jsou povinny zacha´zet s prostrˇedky a daty tak, aby nedosˇlo k jejich zneuzˇitı´ a v prˇ´ıpadeˇ hrozby zneuzˇitı´ musı´ uveˇdomit neprodleneˇ poskytovatele certifikacˇnıćh sluzˇeb (§ 5 bod 1 a § 5a bod 1)[2]. V prˇ´ıpadeˇ elektronicke´ znacˇky je podepisujıćı´ osoba povinna zajistit shodu prostrˇedku pro tvorbu znacˇek se za´konem o elektronicke´m podpisu. Za sˇkody zpu˚sobene´ porusˇenı´m povinnostı´ osoby odpovı´dajı´, pokud neproka´zˇ´ı, zˇe posˇkozeny´ neoveˇrˇil platnost podpisu. Za´kon stanovuje zpu˚sob nastavenı´ informacˇnı´ bezpecˇnosti pro kvalifikovane´ poskytovatele certifikacˇnıćh sluzˇeb. Poskytovatel je povinen zajistit, aby byly jeho sluzˇby poskytovańy pouze osobami, ktere´ byly rˇa´dneˇ obezna´meny s bezpecˇnostnı´mi postupy a zachova´vajı´ o nich mlcˇenlivost. Poskytovatel musı´ pouzˇ´ıvat bezpecˇne´ syste´my, na´stroje a postupy pro podporu teˇchto na´stroju˚. Za bezpecˇne´ jsou povazˇovańy postupy, syste´my a na´stroje vyhovujıćı´ za´konu o elektronicke´m podpisu, prova´deˇcı´m prˇedpisu˚m, nebo technicky´m norma´m uvedeny´m v rozhodnutı´ Evropske´ komise na za´kladeˇ vydane´ smeˇrnice 99/93/ES[2]. 14

4. LEGISLATIVA A NORMY INFORMACˇNI´ BEZPECˇNOSTI

4.4

Za´kon o informacˇnıćh syste´mech verˇejne´ spra´vy

Za´kon o informacˇnıćh syste´mech verˇejne´ zpra´vy (za´kon cˇ. 365/2000 Sb.) ve sve´m u´plne´m zneˇnı´ urcˇuje pra´va a povinnosti vztahujıćı´ se k tvorbeˇ, provozovańı´, rozvoji a uzˇ´ıvańı´ informacˇnıćh syste´mu˚ verˇejne´ spra´vy (ISVS). Tento za´kon take´ pouzˇ´ıva´ mı´rneˇ odlisˇnou definici informacˇnı´ho syste´mu od definice vyuzˇ´ıvane´ v te´to praći. Informacˇnı´m syste´mem se tak pro ućˇely tohoto za´kona rozumı´ funkcˇnı´ celek nebo jeho cˇa´st zabezpecˇujıćı´ cı´leveˇdomou a systematickou informacˇnı´ cˇinnost. Kazˇdy´ tento syste´m zahrnuje data, ktera´ jsou usporˇa´dańa tak, aby bylo mozˇne´ jejich zpracovańı´ a zprˇ´ıstupneˇnı´. Da´le do te´to definice spadajı´ provoznı´ u´daje a na´stroje umozˇnˇujıćı´ vy´kon informacˇnıćh cˇinnostı´[3]. Informacˇnı´m syste´mem verˇejne´ spra´vy je syste´m, ktery´ splnˇuje na´sledujıćı´ pozˇadavky. Je vyuzˇ´ıvań pro zajisˇt’ovańı´ funkcı´ verˇejne´ spra´vy a jsou v neˇm ulozˇeny u´daje o vykona´vane´ cˇinnosti, prˇ´ıpadneˇ u´daje pro podporu te´to cˇinnosti orgańu verˇejne´ spra´vy[28]. Da´le musı´ by´t prˇi jeho nefunkcˇnosti za´vazˇneˇ narusˇeno nebo ohrozˇeno plneˇnı´ povinnostı´ orgańu verˇejne´ spra´vy[28]. Z pohledu informacˇnı´ bezpecˇnosti tento za´kon stanovuje, zˇe provozovatel je povinen prˇi provozovańı´ ISVS zajisˇt’ovat ochranu a bezpecˇnost informacı´ v ra´mci ISVS (§ 3, bod 8)[3]. Orgańy verˇejne´ spra´vy jsou poveˇrˇeny tvorbou, uplatnˇovańı´m a vyhodnocovańı´m dodrzˇovańı´ informacˇnı´ koncepce informacˇnı´ho syste´mu. V te´to koncepci jsou popsańy dlouhodobe´ cı´le v oblasti rˇ´ızenı´ kvality a bezpecˇnosti spravovanyćh ISVS. Prˇesne´ pozˇadavky na strukturu, a obsah informacˇnı´ koncepce je stanoven prova´deˇcı´m prˇedpisem (§ 5a, bod 1)[3]. Orgańy verˇejne´ spra´vy uplatnˇujı´ bezpecˇnostnı´ opatrˇenı´, ktera´ byla stanovena k zajisˇteˇnı´ du˚veˇrnosti, integrity a dostupnosti informacı´ zpracova´vanyćh v ISVS. Ministerstvo vnitra je pak poveˇrˇeno zpravovańı´m strategickyćh dokumentu˚ v oblasti ISVS a to i z hlediska bezpecˇnosti teˇchto syste´mu˚ (§ 4, bod 8, pı´sm. b))[3].

4.5

Za´kon o kyberneticke´ bezpecˇnosti

Vzhledem k neusta´le´mu na´ru˚stu vyuzˇ´ıvańı´ informacˇnıćh technologiı´ a tvorbeˇ informacˇnı´ spolecˇnosti, ktera´ je na teˇchto technologiıćh cˇ´ım da´l tı´m vıće za´visla´ a snadno ohrozitelna´, rozhodla se vla´da Cˇeske´ republiky pro vytvorˇenı´ Za´kona o kyberneticke´ bezpecˇnosti. Sepsańı´m tohoto ´ ). na´vrhu byl poveˇrˇen Na´rodnı´ bezpecˇnostnı´ u´rˇad (NBU Tı´mto za´konem jsou regulovańi poskytovatele´ sluzˇeb a provozovatele´ sı´tı´ elektronickyćh komunikacı´, spra´vci syste´mu˚ komunikacˇnı´ infrastruktury zarˇazenyćh do kriticke´ informacˇnı´ infrastruktury, spra´vci informacˇnıćh syste´mu˚ zarˇazenyćh do kriticke´ informacˇnı´ infrastruktury, spra´vci informacˇnıćh syste´mu˚ verˇejne´ spra´vy[12]. Prova´deˇcı´ vyhla´sˇky za´kona budou obsahovat obecna´ doporucˇenı´, ktera´ budou ve shodeˇ s normami z rodin ISO/IEC 20000 a ISO/IEC 27000. Tato doporucˇenı´ vsˇak mohou prakticky znamenat, zˇe drzˇitel certifika´tu ISO bude muset splnˇovat dalsˇ´ı bezpecˇnostnı´ opatrˇenı´ jdoucı´ nad ra´mec opatrˇenı´ vycha´zejıćıćh z teˇchto norem[12]. V soucˇasne´ dobeˇ je za´kon ve stavu schva´lene´ho veˇcne´ho za´meˇru za´kona, ktery´ byl prˇipomıńkovań odbornou verˇejnostı´. Prˇedpokla´da´ se, zˇe na´vrh za´kona, vypracovany´ podle schva´lene´ho 15

4. LEGISLATIVA A NORMY INFORMACˇNI´ BEZPECˇNOSTI veˇcne´ho za´meˇru za´kona o kyberneticke´ bezpecˇnosti, bude Na´rodnı´m bezpecˇnostnı´m u´rˇadem ´ cˇinnost za´kona je prˇedbeˇzˇneˇ prˇedpokla´dańa od roku 2015[29]. vypracovań do 31. 7. 2013[9]. U Obdobny´m proble´mem zajisˇteˇnı´ bezpecˇnosti se i zaby´va´ Evropska´ unie. V roce 2004 byla k rˇesˇenı´ problematiky kyberneticke´ bezpecˇnosti zalozˇena Evropska´ agentura pro bezpecˇnost sı´tı´ a informacı´ (ENISA)[35]. Tato organizace spolecˇneˇ s Evropsky´m parlamentem projedna´va´ smeˇrnici o elektronickyćh komunikacıćh pokry´vajıćı´ obdobne´ proble´my jako prˇipravovany´ za´kon. Zajı´mave´ za´veˇry ohledneˇ problematiky prˇina´sˇ´ı take´ strategie pro zajisˇteˇnı´ kyberneticke´ bezpecˇnosti Evropske´ unie: Otevrˇeny´, bezpecˇny´ a chrańeˇny´ kyberprostor[35].

4.6

Rodina norem ISO/IEC 27000

Rodina norem ISO/IEC 27000 byla prˇipravena spolecˇnou technickou komisı´ ISO/IEC JTC 1, informacˇnı´ technologie, subkomisı´ SC27, Bezpecˇnostnı´ techniky IT[21]. Poskytuje organizacı´m vsˇech velikostı´ a typu˚ mozˇnost vytvorˇit, zave´st a provozovat Syste´m rˇ´ızenı´ bezpecˇnosti informacı´ (Information Security Management System - ISMS)[21]. Za za´klad norem pro ISMS lze povazˇovat britskou normu BS 7799 vydanou organizacı´ British Standards Institution[13]. Prvnı´ cˇa´st normy byla prˇevzata organizacı´ ISO pod cˇ´ıslem ISO/IEC 17799 a v roce 2005 se stala soucˇa´stı´ rodiny norem ISO/IEC 27000 pod na´zvem Code of practice for information security management (ISO/IEC 27002)[13]. Druha´ cˇa´st normy BS 7799 byla zapojena do rodiny norem v roce 2005 pod na´zvem Information security management systems – Requirements (ISO/IEC 27001)[13]. V soucˇasne´ dobeˇ existuje v ra´mci ISMS 22 norem pokry´vajıćıćh rozlicˇne´ aspekty managementu bezpecˇnosti informacı´[42]. V prˇ´ıpraveˇ je da´le 11 novyćh norem pokry´vajıćıćh nove´ oblasti s potrˇebou zajisˇteˇnı´ informacˇnı´ bezpecˇnosti, jako je cloud computingu (ISO/IEC 27017 a ISO/IEC 27018) a specializovane´ normy pro vysˇetrˇovańı´ kybernetickyćh zlocˇinu˚ (ISO/IEC 27041-27043)[42]. Detailnı´ rozbor nejdu˚lezˇiteˇjsˇ´ıch norem z rodiny ISO/IEC 27000 zahrnujıćı´ porovnańı´ jejich potencia´lneˇ koliznıćh cˇa´stı´ s legislativou o ochraneˇ utajovanyćh informacı´ a harmonizaci s teˇmito pra´vnı´mi normami prˇi budovańı´ ISMS je rozpracovańa v ra´mci dalsˇ´ıch kapitol te´to praće.

4.7

Informacˇnı´ bezpecˇnost a framework ITIL

Mezina´rodneˇ uzna´vana´ Information Technology Infrastructure Library (ITIL) prˇedstavuje prakticky´ soubor postupu˚ a konceptu˚ pro plańovańı´, vyuzˇ´ıvańı´ a zkvalitnˇovańı´ informacˇnıćh technologiı´ a jejich podporu vlastnı´ho byznysu organizace. Urcˇen je pro rˇ´ızenı´ na strˇednı´ a vysˇsˇ´ı u´rovni v organizaci. V roce 2007 pak byla uvedena jeho trˇetı´ verze po na´zvem ITIL v3[31]. Tato verze je zalozˇena na peˇti za´kladnıćh titulech definujıćıćh strategii, na´vrh, prˇechod, provoz a neusta´le´ zlepsˇovańı´ sluzˇby. ITIL v3 zdu˚raznˇuje na rozdı´l od prˇedchozıćh verzı´ integraci byznysu a informacˇnıćh technologiı´, dynamicke´ portfo´lio sluzˇeb a holisticky´ zˇivotnı´ cyklus rˇ´ızenı´ sluzˇeb[31]. Typicky je ITIL vyuzˇ´ıvań s dalsˇ´ımi metodikami a normami poskytujıćı´mi lepsˇ´ı a detailneˇjsˇ´ı pokrytı´ du˚lezˇityćh oblastı´. Mezi tyto metodiky patrˇ´ı COBIT pro rˇ´ızenı´ informacˇnıćh technologiı´, Six Sigma poskytujıćı´ metodologii kvality, TOGAF pro architekturu informacˇnıćh technologiı´ 16

4. LEGISLATIVA A NORMY INFORMACˇNI´ BEZPECˇNOSTI a ISO/IEC 27000 pro informacˇnı´ bezpecˇnost[10]. Pro takto implementovane´ rˇ´ızenı´ sluzˇeb je pak mozˇne´ prove´st certifikaci dle ISO/IEC 20000[31].

Obra´zek 4.1: Struktura frameworku ITIL a vztah s informacˇnı´ bezpecˇnostı´[47]. Vzhledem k tomu, zˇe ITIL samotny´ nerˇesˇ´ı detailnı´m zpu˚sobem bezpecˇnost informacˇnıćh technologiı´, ale pouze prˇedstavuje nejdu˚lezˇiteˇjsˇ´ı aktivity. Doporucˇuje se pro tento ućˇel pouzˇ´ıt dalsˇ´ı specializovane´ postupy jako je rodina norem ISO/IEC 27000[26]. ITIL v3 vsˇak obsahuje drˇ´ıve samostatneˇ rˇesˇeny´ proces IT Security Management zameˇrˇeny´ na zajisˇteˇnı´ integrity, bezpecˇnosti a dostupnosti aktiv, informacı´, dat a IT sluzˇeb organizace. Obsahuje pak nı´zˇe uvedene´ podprocesy popisujıćı´ dosazˇenı´ cı´lu˚ informacˇnı´ bezpecˇnosti a jejich klıćˇove´ metriky (KPI)[26] pro oveˇrˇenı´ funkcˇnosti uvedene´ v tabulce 4.1. Na´vrh bezpecˇnostnıćh opatrˇenı´: popisuje na´vrh vhodnyćh technickyćh a organizacˇnıćh opatrˇenı´ pro zajisˇteˇnı´ vsˇech aspektu˚ informacˇnı´ bezpecˇnosti v organizaci. Testovańı´ bezpecˇnosti: zajisˇt’uje pravidelne´ testovańı´ vsˇech bezpecˇnostnıćh mechanismu˚. Management bezpecˇnostnıćh incidentu˚: popisuje detekci a obranu proti bezpecˇnostnı´m incidentu˚m. Poma´ha´ take´ minimalizovat sˇkody zpu˚sobene´ jizˇ u´speˇsˇneˇ probeˇhly´mi incidenty. Review informacˇnı´ bezpecˇnosti: kontroluje neusta´lou shodu bezpecˇnostnıćh opatrˇenı´ s analy´zou rizik. Take´ kontroluje pravidelnou u´drzˇbu a testovańı´ opatrˇenı´ a procedur.

17

4. LEGISLATIVA A NORMY INFORMACˇNI´ BEZPECˇNOSTI Na´zev metriky (KPI) Celkovy´ pocˇet implementovanyćh preventivnıćh opatrˇenı´ Doba trvańı´ implementace Pocˇet za´vazˇnyćh bezpecˇnostnıćh incidentu˚ Pocˇet vy´padku˚ sluzˇby vztahujıćıćh se k inf. bezpecˇnosti Pocˇet bezpecˇnostnıćh testu˚ Pocˇet nalezenyćh bezpecˇnostnıćh nedostatku˚

Popis Definuje pocˇet vsˇech implementovanyćh opatrˇenı´ cˇelıćıćh identifikovany´m hrozba´m. Popisuje dobu od urcˇenı´ konkre´tnı´ hrozby po nasazenı´ vhodne´ho protiopatrˇenı´. Definuje pocˇet incidentu˚ klasifikovanyćh do kategorie za´vazˇne´. Popisuje pocˇet incidentu˚, ktere´ zpu˚sobily prˇerusˇenı´ nebo snı´zˇenı´ dostupnosti sluzˇby. Urcˇuje pocˇet probeˇhlyćh testu˚ a sˇkolenı´ Definuje pocˇet nedostatku˚ v nasazenyćh bezpecˇnostnıćh mechanismech nalezenyćh beˇhem testu˚.

Tabulka 4.1: Prˇehled klıćˇovyćh metrik (KPI) procesu IT Security Management[26].

4.8

Framework COBIT

Framework COBIT (Control Objectives for Information and Related Technology) prˇedstavuje mezina´rodneˇ uzna´vany´ framework pro spra´vu a rˇ´ızenı´ informacˇnıćh technologiı´ (IT Governance) zalozˇeny´ na pru˚myslovyćh standardech a best practices[23][49]. Je cˇasto vyuzˇ´ıvań na nejvysˇsˇ´ı u´rovni rˇ´ızenı´ informacˇnıćh technologiı´ pro harmonizaci norem a standardu˚ jako jsou ITIL, ISO/IEC 27001, ISO/IEC 27002 a PMBOK[17]. Te´to problematice se veˇnuje dokument Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit[23]. COBIT byl prˇedstaven mezina´rodnı´ asociacı´ ISACA v roce 1996. Po u´pravaćh vysˇla v roce 2012 verze COBIT 5[49]. Tento framework obsahuje od sve´ verze 4.0 popis technik pro efektivnı´ organizaci kontrolnıćh bodu˚ a postupu˚ do informacˇnıćh domeń a procesu˚, ktere´ pak lze snadno propojit s obchodnı´mi pozˇadavky spolecˇnosti. K tomuto ućˇelu obsahuje COBIT 34 vysokou´rovnˇovyćh kontrolnıćh bodu˚ pro kazˇdy´ z definovanyćh procesu˚ rozdeˇlenyćh do 4 domeń prˇedstavujıćıćh plańovańı´ a organizaci (Plan & Organize), osvojenı´ a implementaci (Acquire & Implement), dodańı´ a podporu (Deliver & Support) a monitorovańı´ a vyhodnocenı´ (Monitor & Evaluate) Framework obsahuje 34 procesu˚ pokry´vajıćıćh sˇirokou oblast byznysu a informacˇnıćh technologiı´[17]. Mezi dalsˇ´ı du˚lezˇite´ soucˇa´sti patrˇ´ı sada pokynu˚ pro management zajisˇt’ujıćı´ na´stroje pro urcˇovańı´ odpoveˇdnosti a meˇrˇenı´ vy´konnosti v organizaci. V neposlednı´ rˇadeˇ pak framework obsahuje dokument nazvany´ Maturity models poskytujıćı´ popis procesu˚ informacˇnıćh technologiı´ v ru˚znyćh sta´diıćh jejich vyspeˇlosti[17]. Dokument umozˇnˇuje nahle´dnout na ru˚zne´ smeˇry, ktery´mi se mu˚zˇe vy´voj procesu˚ ubı´rat. K frameworku jsou dostupne´ dalsˇ´ı publikace usnadnˇujıćı´ rˇesˇenı´ specifickyćh proble´mu˚ jako je bezpecˇnost informacˇnıćh technologiı´. Neˇktere´ z kontrolnıćh bodu˚ se doty´kajı´ bezpecˇnosti pouze okrajoveˇ. Dalsˇ´ı majı´ obecny´ vztah k bezpecˇnosti informacˇnıćh technologiı´ jako PO9 – Posuzovańı´ a spra´va IT rizik z domeńy plańovańı´ a organizace. Mezi kontrolnı´ body frameworku COBIT prˇ´ımo vztahujıćı´ se k informacˇnı´ bezpecˇnostı´ patrˇ´ı bod DS5 – Zabezpecˇenı´ syste´move´ bezpecˇnosti z domeńy zaby´vajıćı´ se dodańı´m a podporou[27]. V tomto dokumentu jsou definovańy na´sledujıćı´ oblasti[27]: 18

4. LEGISLATIVA A NORMY INFORMACˇNI´ BEZPECˇNOSTI •

management bezpecˇnosti informacˇnıćh technologiı´

•

plań informacˇnı´ bezpecˇnosti

•

spra´va identit uzˇivatelu˚

•

spra´va uzˇivatelskyćh ućˇtu˚

•

monitoring, dohled a testovańı´ informacˇnı´ bezpecˇnosti

•

definice bezpecˇnostnıćh incidentu˚

•

ochrana bezpecˇnostnıćh technologiı´

•

management sˇifrovacıćh klıćˇu˚

•

prevence, detekce a na´prava sˇkodlive´ho software

•

bezpecˇnost pocˇ´ıtacˇove´ sı´teˇ

•

vy´meˇna citlivyćh a utajovanyćh informacı´

Obra´zek 4.2: Zasazenı´ informacˇnı´ bezpecˇnosti v ra´mci frameworku COBIT.

19

5 Praće s utajovany´mi informacemi dle za´kona cˇ. 412/2005 Sb. Tato kapitola blı´zˇe popisuje praći s utajovany´mi informacemi v souladu s aktua´lneˇ platnou legislativou danou za´konem o ochraneˇ utajovanyćh informacı´ a o bezpecˇnostnı´ zpu˚sobilosti (za´kon cˇ. 412/2005 Sb.) a jeho soucˇasny´mi prova´deˇcı´mi vyhla´sˇkami. Na za´kon je nahlı´zˇeno z pohledu organizace ucha´zejıćı´ se o zı´skańı´ certifika´tu o bezpecˇnostnı´ zpu˚sobilosti pro praći s utajovany´mi informacemi. Jsou prˇedstaveny za´konem nastavene´ u´rovneˇ utajenı´ vcˇetneˇ jimi pokry´vane´ho obsahu a k tomu odpovı´dajıćı´ pozˇadavky za´kona kladene´ na fyzicke´ osoby a organizace (podnikatele dle pojmu˚ za´kona) zˇa´dajıćı´ o oveˇrˇenı´ a certifikaci zpu˚sobilosti k praći s utajovany´mi informacemi.

5.1

Definice a deˇlenı´ pojmu˚ z pohledu za´kona

Pro jednoznacˇne´ pochopenı´ prˇedkla´danyćh informacı´ a na´slednou efektivnı´ praći se za´konem je trˇeba vymezit neˇkolik za´kladnıćh pojmu˚ vztahujıćıćh se k utajovany´m skutecˇnostem, u´rovnı´m utajenı´ informacı´ a oveˇrˇovańı´ zˇadatelu˚ o certifika´t zpu˚sobilosti k praći s utajovany´mi informacemi. O vesˇkere´ na´lezˇitosti prˇ´ıstupu a praće s utajovany´mi informacemi se pak stara´ v Cˇeske´ ´ ). republice, mimo za´konem definovanyćh vy´jimek, Na´rodnı´ Bezpecˇnostnı´ u´rˇad (NBU Utajovanou informacı´ je pro ućˇely za´kona i te´to diplomove´ praće definovańa informace v jake´koliv podobeˇ zaznamenana´ na jake´mkoliv nosicˇi oznacˇena´ v souladu s tı´mto za´konem, jejı´zˇ vyzrazenı´ nebo zneuzˇitı´ mu˚zˇe zpu˚sobit u´jmu za´jmu Cˇeske´ republiky nebo mu˚zˇe by´t pro tento za´jem nevy´hodne´, a ktera´ je uvedena v seznamu utajovanyćh informacı´ (§ 139)[4]. Odpoveˇdnou osobou ve smyslu tohoto za´kona mu˚zˇe by´t podnikajıćı´ fyzicka´ osoba[4]. U pra´vnickyćh osob je to statuta´rnı´ orgań, jedna´-li podle zvla´sˇtnı´ho pra´vnı´ho prˇedpisu jmeńem teˇchto jinyćh pra´vnickyćh osob vıće osob, ktere´ jsou statuta´rnı´m orgańem[4]. Pokud nejde o statuta´rnı´ orgań, pak je odpoveˇdnou osobou pouze ta z nich, ktera´ je jednańı´m ve veˇcech upravenyćh tı´mto za´konem poveˇrˇena[4]. ´ jma za´jmu Cˇeske´ republiky je definovańa jako posˇkozenı´ nebo ohrozˇenı´ za´jmu˚ CˇR a je U cˇleneˇna na Mimorˇa´dneˇ va´zˇnou u´jmu, Va´zˇnou u´jmu, Prostou u´jmu, prˇ´ıpadneˇ Nevy´hodne´ pro za´jmy ´ jma vznika´ vyzrazenı´m utajovane´ informace neopra´vneˇne´ osobeˇ nebo Cˇeske´ republiky[4]. U zneuzˇitı´m te´to informace a ma´ prˇesneˇ definovane´ dopady, urcˇujıćı´ jejı´ za´vazˇnost. Poslednı´ kategoriı´ je pak informace nevy´hodna´ pro za´jmy Cˇeske´ republiky. Pojmem cizı´ moc je definovań cizı´ sta´t, nadna´rodnı´ nebo na´rodnı´ organizace, cˇi jejich orgań[4]. Jednotlive´ u´rovneˇ utajenı´ jsou rozdeˇleny do cˇtyrˇ kategoriı´ dle u´jmy, ktera´ hrozı´ dotcˇeny´m subjektu˚m prˇi jejich vyzrazenı´ neopra´vneˇne´ osobeˇ nebo jejı´m zneuzˇitı´. Da´le je mozˇne´ rozdeˇlit u´rovneˇ utajenı´ do dvou skupin, dle subjektu poskytujıćı´ho oveˇrˇenı´ a certifikace zˇadatele. Prvnı´ skupinou jsou u´rovneˇ utajenı´ Prˇ´ısneˇ tajne´, Tajne´ a Du˚veˇrne´. Vesˇkere´ oveˇrˇovańı´, certifikace a kontroly dodrzˇovańı´ na´lezˇitosti odpovı´dajıćıćh teˇmto u´rovnı´m utajenı´ mu˚zˇe prova´deˇt pouze ´ . Druhou skupinu prˇedstavuje u´rovenˇ utajenı´ Vyhrazene´, kde u fyzicke´ osoby a vy´hradneˇ NBU zpracova´va´ vesˇkere´ na´lezˇitosti tzv. odpoveˇdna´ osoba a organizace mu˚zˇe zı´skat toto proveˇrˇenı´ ´ (zjednodusˇeno). ustanovenı´m odpoveˇdne´ osoby zaslańı´m prohla´sˇenı´ NBU 20

5. PRAĆE S UTAJOVANY´MI INFORMACEMI DLE ZA´KONA Cˇ. 412/2005 SB. ˇ adatele lze rozdeˇlit do dvou skupin. Fyzicke´ osoby zˇa´dajı´ o Osveˇdcˇenı´ fyzicke´ osoby Z (§ 54) a Dokladu o bezpecˇnostnı´ zpu˚sobilosti (§ 80) pro prova´deˇnı´ citlivyćh cˇinnostı´. Organizace (pra´vnicke´ osoby) jsou zˇadateli o Osveˇdcˇenı´ podnikatele (§ 54). Jako bezpecˇnostnı´ standard je popisovań utajovany´ soubor pravidel stanovujıćı´ technicka´ rˇesˇenı´, bezpecˇnostnı´ parametry a organizacˇnı´ opatrˇenı´ pro zajisˇteˇnı´ nejmensˇ´ı mozˇne´ mı´ry ochrany utajovanyćh informacı´[4]. Vlastnı´ informacˇnı´ syste´m pracuje v bezpecˇnostnı´m provoznı´m mo´du prostrˇedı´ urcˇene´m u´rovnı´ utajenı´ zpracova´vane´ informace a opra´vneˇnı´mi uzˇivatelu˚[4]. ´ rovenˇ utajenı´ U Vyhrazene´

Hrozıćı´ u´jma Nevy´hodne´

Mozˇne´ dopady narusˇenı´: cˇinnosti ACˇR nebo cˇlenu˚ NATO, EU vysˇetrˇovańı´ ostatnıćh trestnyćh cˇinu˚ obchodnıćh nebo politickyćh jednańı´ CˇR ekonomickyćh za´jmu˚ CˇR nebo cˇlena EU bezpecˇnostnıćh operacı´ cˇinnosti zpravodajskyćh sluzˇeb

Tabulka 5.1: Prˇehled u´jmy a jejıćh dopadu˚ pro u´rovenˇ utajenı´ Vyhrazene´.

5.2

Zpu˚soby zajisˇteˇnı´ bezpecˇnosti informacı´

Za´kon o ochraneˇ utajovanyćh informacı´ a o bezpecˇnostnı´ zpu˚sobilosti prˇ´ımo definuje peˇt oblastı´, ktere´ musı´ organizace zabezpecˇit, aby bylo dosazˇeno bezpecˇnosti utajovanyćh informacı´. Persona´lnı´ bezpecˇnost zajisˇt’uje oveˇrˇovańı´ podmıńek pro prˇ´ıstup, vhodny´ vy´beˇr, sˇkolenı´ a ochranu fyzickyćh osob, ktere´ nakla´dajı´ s utajovany´mi informacemi[4]. Pru˚myslova´ bezpecˇnost zasˇtit’uje syste´m opatrˇenı´ pro zjisˇt’ovańı´ a oveˇrˇovańı´ podmıńek pro prˇ´ıstup organizace k utajovany´m informacı´m[4]. Da´le kontroluje nakla´dańı´ s nimi v souladu se za´konem. Administrativnı´ bezpecˇnost prˇedstavuje soubor vesˇkeryćh opatrˇenı´ a procesu˚ prˇi tvorbeˇ, zpracovańı´, archivaci a nicˇenı´ utajovanyćh informacı´[4]. Opatrˇenı´ fyzicke´ bezpecˇnosti zajisˇt’ujı´ zabrańeˇnı´, cˇi ztı´zˇenı´ prˇ´ıstupu k utajovany´m informacı´m neopra´vneˇny´m osoba´m a umozˇnˇujı´ zaznamena´vańı´ pokusu˚ o tento prˇ´ıstup[4]. Soubor opatrˇenı´ bezpecˇnosti informacˇnıćh a komunikacˇnıćh syste´mu˚ zajisˇt’uje integritu, du˚veˇrnost a dostupnost utajovanyćh informacı´ v teˇchto syste´mech[4]. Definuje take´ odpoveˇdnosti spra´vy a uzˇivatelu˚ za cˇinnost v dotcˇenyćh syste´mech. Opatrˇenı´ kryptograficke´ ochrany popisujı´ prˇ´ımou ochranu utajovanyćh informacı´ pomocı´ uzˇitı´ kryptografickyćh metod prˇi jejich zpracovańı´, prˇenosu a ukla´dańı´[4]. 5.2.1 Persona´lnı´ bezpecˇnost Persona´lnı´ bezpecˇnost se zaby´va´ fyzicky´mi osobami, ktere´ nutneˇ potrˇebujı´ prˇistupovat k utajovany´m informacı´m. V te´to oblasti je za´kon doplnˇovań vyhla´sˇkou cˇ. 363/2011 Sb., o persona´lnı´ bezpecˇnosti a o bezpecˇnostnı´ zpu˚sobilosti, ktera´ take´ obsahuje vesˇkere´ vzory prohla´sˇenı´ poda´vanyćh fyzickou osobou[5]. 21

5. PRAĆE S UTAJOVANY´MI INFORMACEMI DLE ZA´KONA Cˇ. 412/2005 SB. ´ rovenˇ utajenı´ U Prˇ´ısneˇ tajne´

Hrozıćı´ u´jma Mimorˇa´dneˇ va´zˇna´

Tajne´

Va´zˇna´

Du˚veˇrne´

Prosta´

Mozˇne´ dopady mimorˇa´dne´ ohrozˇenı´: svrchovanosti, uzemnı´ celistvosti a demokracie CˇR vy´znamnyćh bezpecˇnostnıćh operacı´ CˇR cˇinnosti zpravodajskyćh sluzˇeb CˇR cˇinnosti cˇlenu˚ NATO, EU bojeschopnosti ACˇR nebo cˇlenu˚ NATO, EU mimorˇa´dne´ posˇkozenı´: ekonomiky CˇR (nebo dlouhodobe´) diplomacie CˇR nebo cˇlenu˚ NATO, EU jine´ mimorˇa´dne´ du˚sledky: rozsa´hle´ ztra´ty na zˇivotech a ohrozˇenı´ zdravı´ obyvatel narusˇenı´ vnitrˇnı´ho porˇa´dku a bezpecˇnosti CˇR va´zˇne´ ohrozˇenı´: bojeschopnosti ACˇR nebo cˇlenu˚ NATO, EU vy´znamnyćh bezpecˇnostnıćh operacı´ CˇR cˇinnosti zpravodajskyćh sluzˇeb CˇR cˇinnosti cˇlenu˚ NATO, EU diplomacie CˇR nebo cˇlenu˚ NATO, EU ohrozˇenı´: svrchovanosti, uzemnı´ celistvosti a demokracie CˇR ekonomicke´, financˇnı´, meˇnove´ oblasti CˇR jine´ du˚sledky: ztra´ty na lidskyćh zˇivotech a ohrozˇenı´ zdravı´ obyvatel narusˇenı´ vnitrˇnı´ho porˇa´dku a bezpecˇnosti CˇR va´zˇne´ zvy´sˇenı´ mezina´rodnı´ho napeˇtı´ ohrozˇenı´: vztahu˚ CˇR s cizı´ mocı´ bezpecˇnosti jednotlivce bojeschopnosti ACˇR nebo cˇlenu˚ NATO, EU bezpecˇnostnıćh operacı´ cˇinnosti zpravodajskyćh sluzˇeb cˇinnosti cˇlenu˚ NATO, EU vysˇetrˇovańı´ zvla´sˇteˇ za´vazˇnyćh zlocˇinu˚

Tabulka 5.2: Prˇehled u´jmy a jejıćh dopadu˚ pro Prˇ´ısneˇ tajne´, Tajne´ a Du˚veˇrne´.

Je trˇeba rozlisˇovat, zda fyzicka´ osoba pozˇaduje prˇ´ıstup k utajovany´m informacı´m u´rovneˇ Vyhrazene´ nebo vysˇsˇ´ı. Prˇi u´rovni Vyhrazene´ je prˇ´ıstup umozˇneˇn osobeˇ, ktera´ tyto informace nezbytneˇ potrˇebuje k vy´konu sve´ho povolańı´. Osoba musı´ by´t poucˇena a musı´ by´t drzˇitelem jednoho ze trˇ´ı platnyćh dokladu˚: 22

5. PRAĆE S UTAJOVANY´MI INFORMACEMI DLE ZA´KONA Cˇ. 412/2005 SB. •

ozna´menı´ o splneˇnı´ podmıńek prˇ´ıstupu k utajovane´ informaci stupneˇ utajenı´ Vyhrazene´

•

osveˇdcˇenı´ fyzicke´ osoby

•

dokladu o bezpecˇnostnı´ zpu˚sobilosti

Fyzicke´ osoby zˇa´dajıćı´ o prˇ´ıstup k utajovany´m informacı´m u´rovneˇ Vyhrazene´ musı´ splnˇovat trˇi du˚lezˇite´ prˇedpoklady. Fyzicka´ osoba musı´ by´t starsˇ´ı 18 let. Toto se osoba proka´zˇe obcˇansky´ pru˚kazem nebo cestovnı´m dokladem. Musı´ by´t take´ zpu˚sobila´ k pra´vnı´m u´konu˚m, cozˇ prokazuje prˇedlozˇenı´m vyplneˇne´ho prohla´sˇenı´ o zpu˚sobilosti k pra´vnı´m u´konu˚m. Poslednı´m pozˇadavkem na fyzickou osobu je podmıńka bezu´honnosti. Tato osoba nesmı´ by´t odsouzena za u´myslny´ trestny´ cˇin, za trestny´ cˇin vztahujıćı´ se k ochraneˇ utajovanyćh informacı´. Toto dokla´da´ vy´pisem z Rejstrˇ´ıku trestu˚ mladsˇ´ım nezˇ 3 meˇsıće od jeho vydańı´. V prˇ´ıpadeˇ splneˇnı´ pozˇadavku˚ vyda´ odpoveˇdna´ osoba ozna´menı´ o splneˇnı´ podmıńek prˇ´ıstupu k utajovane´ informaci stupneˇ Vyhrazene´ s platnostı´ 5 let. Prˇi vysˇsˇ´ıch u´rovnıćh utajenı´ Prˇ´ısneˇ tajne´, Tajne´ nebo Du˚veˇrne´ je prˇ´ıstup k utajovany´m informacı´m umozˇneˇn osobeˇ, ktera´ tyto informace nezbytneˇ potrˇebuje k vy´konu sve´ho povolańı´. Osoba musı´ by´t poucˇena a musı´ by´t drzˇitelem platne´ho dokladu fyzicke´ osoby odpovı´dajıćı´ u´rovneˇ. Tento doklad je vydań Na´rodnı´m bezpecˇnostnı´m u´rˇadem, pokud fyzicka´ osoba splnˇuje pozˇadavky u´rovneˇ Vyhrazene´ a da´le take´ pozˇadavky na osobnostnı´ a bezpecˇnostnı´ zpu˚sobilost. Platnost osveˇdcˇenı´ fyzicke´ osoby je pro u´rovenˇ Prˇ´ısneˇ tajne´ 5 let, Tajne´ 7 let a Du˚veˇrne´ 9 let. Za osobnostneˇ zpu˚sobilou se povazˇuje fyzicka´ osoba, ktera´ netrpı´ obtı´zˇemi, ktere´ by mohly ovlivnit jejı´ schopnost utajovat informace. Jedna´ se zde prˇedevsˇ´ım o ru˚zne´ druhy za´vislosti. Toto je oveˇrˇovańo prohla´sˇenı´m k osobnostnı´ zpu˚sobilosti a v prˇesneˇ definovanyćh prˇ´ıpadech take´ znalecky´m posudkem o osobnostnı´ zpu˚sobilosti[4]. Bezpecˇnostneˇ zpu˚sobilou je osoba, u ktere´ nebylo zjisˇteˇno bezpecˇnostnı´ riziko[4]. Teˇmito riziky jsou zejmeńa za´vazˇna´ nebo opakovana´ cˇinnost proti za´jmu˚m Cˇeske´ republiky, cˇinnost nebo podpora cˇinnosti vedoucı´ k potlacˇovańı´ za´kladnıćh pra´v a svobod, majetkove´ pomeˇry zcela neprˇimeˇrˇene´ prˇiznany´m prˇ´ıjmu˚m fyzicke´ osoby[4]. Mezi dalsˇ´ı rizika patrˇ´ı pravomocne´ odsouzenı´ pro trestny´ cˇin, neuplynula´ zkusˇebnı´ doba u podmıńecˇne´ho zastavenı´ stı´hańı´, uzˇ´ıvańı´ jine´ identity a mnohe´ dalsˇ´ı (§ 14 bod 3). V prˇ´ıpadeˇ zańiku platnosti oveˇrˇenı´, nebo osveˇdcˇenı´ fyzicke´ osoby musı´ odpoveˇdna´ osoba znemozˇnit prˇ´ıstup subjektu k utajovany´m informacı´m. Platnost dokumentu˚ zanika´ zejmeńa: •

uplynutı´m doby platnosti

•

v prˇ´ıpadeˇ, zˇe osoba prˇestala splnˇovat neˇkterou podmıńku

•

skoncˇil jejı´ pracovnı´ nebo sluzˇebnı´ pomeˇr

•

v prˇ´ıpadeˇ odcizenı´, ztra´ty, u´mrtı´ osoby a dalsˇ´ıch (§ 9 bod 3,§ 56)

23

5. PRAĆE S UTAJOVANY´MI INFORMACEMI DLE ZA´KONA Cˇ. 412/2005 SB. ´ rovenˇ utajenı´ U Vyhrazene´

De´lka platnosti 5 let

Prova´dı´ odpoveˇdna´ osoba

Prˇ´ısneˇ tajne´ Tajne´ Du˚veˇrne´

5 let 7 let 9 let

´ NBU

Pozˇadavky na fyzickou osobu veˇk nad 18 let zpu˚sobilost k pra´vnı´m u´konu˚m bezu´honnost pozˇadavky u´rovneˇ Vyhrazene´ osobnostnı´ zpu˚sobilost bezpecˇnostnı´ zpu˚sobilost

Tabulka 5.3: Prˇehled pozˇadavku˚ na fyzickou osobu a de´lka platnosti oveˇrˇenı´ a osveˇdcˇenı´. 5.2.2 Pru˚myslova´ bezpecˇnost Pru˚myslova´ bezpecˇnost nastavuje syste´m opatrˇenı´, ktera´ dovolujı´ zajisˇt’ovat a oveˇrˇovat dodrzˇovańı´ podmıńek pro prˇ´ıstup organizace k utajovany´m informacı´m a jejı´ praći s nimi v souladu se za´konem o utajovanyćh informacıćh. Organizaci je mozˇne´ zprˇ´ıstupnit utajovane´ informace u´rovneˇ Vyhrazene´, pokud je potrˇebuje ´ prohla´sˇenı´m (Prohla´sˇenı´ podnikatele) schopnost rˇa´dneˇ pro vy´kon sve´ cˇinnosti a dolozˇ´ı NBU zabezpecˇit dle za´kona tyto utajovane´ informace proti vyzrazenı´ a zneuzˇitı´. Informace je take´ mozˇne´ zprˇ´ıstupnit, pokud je organizace drzˇitelem Osveˇdcˇenı´ podnikatele. Pokud organizace chce zı´skat Prohla´sˇenı´ podnikatele, musı´ splnˇovat soucˇasneˇ dveˇ podmıńky. Organizace je schopna zabezpecˇit jeden nebo vıće druhu˚ zajisˇteˇnı´ utajovane´ informace s ohledem na to, zda u nı´ tyto informace vznikajı´, nebo k nim pouze prˇistupuje[4]. Organizace take´ musı´ mı´t ustanovenu Odpoveˇdnou osobu, ktera´ musı´ by´t ve shodeˇ s Fyzickou bezpecˇnostı´ drzˇitelem Ozna´menı´ o splneˇnı´ podmıńek prˇ´ıstupu k utajovane´ informaci stupneˇ utajenı´ Vyhrazene´, Osveˇdcˇenı´ fyzicke´ osoby nebo Dokladu o bezpecˇnostnı´ zpu˚sobilosti. Podrobnosti Prohla´sˇenı´ podnikatele jsou stanoveny prova´deˇcı´m pra´vnı´m prˇedpisem[4], ktery´m je vyhla´sˇka cˇ. 405/2011 Sb. o pru˚myslove´ bezpecˇnosti[6]. V prˇ´ıpadeˇ, zˇe organizace potrˇebuje k vy´konu sve´ cˇinnosti utajovane´ informace u´rovneˇ Du˚veˇrne´, Tajne´ nebo Prˇ´ısneˇ tajne´, musı´ splnit prˇedpoklady pro zı´skańı´ Osveˇdcˇenı´ podnikatele ´ . Toto osveˇdcˇenı´ lze udeˇlit pouze organizaci, ktera´ pro praći s utajovany´mi informacemi od NBU je ekonomicky stabilnı´, bezpecˇnostneˇ spolehliva´ a je schopna´ zajistit zabezpecˇenı´ utajovanyćh informacı´. Da´le musı´ by´t odpoveˇdna´ osoba drzˇitelem Osveˇdcˇenı´ fyzicke´ osoby stejne´ nebo vysˇsˇ´ı u´rovneˇ, nezˇ je Osveˇdcˇenı´ podnikatele pro u´rovenˇ utajenı´, o ktere´ organizace zˇa´da´. Organizace splnˇuje podmıńku ekonomicke´ stability, pokud ma´ splneˇny vsˇechny za´vazky vu˚cˇi sta´tu a dalsˇ´ım organizacı´m. Nesmı´ tedy vu˚cˇi organizaci by´t vydańo rozhodnutı´ o u´padku, rozhodnutı´ o exekuci, prˇ´ıpadneˇ nad nı´ nesmı´ by´t soudem vyhla´sˇeno moratorium nebo uvalena nucena´ spra´va. Ekonomicky stabilnı´ organizace da´le nesmı´ mı´t splatne´ nedoplatky na danıćh, pojisˇteˇnı´ a to vcˇetneˇ pena´le. Prˇ´ıpadneˇ nesmı´ neplnit jaky´mkoliv dalsˇ´ım zpu˚sobem sve´ financˇnı´ za´vazky vu˚cˇi sta´tu, fyzicky´m a pra´vnicky´m osoba´m. Bezpecˇnostnı´ spolehlivost definuje cˇiny a chovańı´ cˇlenu˚ du˚lezˇityćh orgańu˚ a zameˇstnancu˚ organizace, ktere´ mu˚zˇe prˇedstavovat bezpecˇnostnı´ riziko pro utajovane´ informace vsˇech u´rovnı´ utajenı´. Mezi tato rizika patrˇ´ı cˇinnost proti za´jmu˚m Cˇeske´ republiky, cˇinnosti a podpora cˇinnostı´ vedoucı´ k potlacˇovańı´ za´kladnıćh pra´v a svobod nebo spolupraće s osobami, ktere´ se podı´lejı´ 24

5. PRAĆE S UTAJOVANY´MI INFORMACEMI DLE ZA´KONA Cˇ. 412/2005 SB. na takove´ cˇinnosti. Bezpecˇnostnı´ riziko take´ prˇedstavuje skutecˇnost, zˇe organizace nebo spolecˇnıći organizace majı´ jinou formu akciı´ nezˇ tzv. zaknihovane´ akcie[4]. Podrobny´ soupis teˇchto bezpecˇnostnıćh rizik je pak dostupny´ v paragrafu § 18 za´kona o utajovanyćh informacıćh. Zpu˚sobilost zabezpecˇit ochranu utajovanyćh informacı´ popisuje schopnost organizace zajistit a dodrzˇovat jednotlive´ druhy zajisˇteˇnı´ ochrany utajovanyćh informacı´ podle popisovane´ho za´kona a prˇidruzˇenyćh pra´vnıćh prˇedpisu˚ v za´vislosti na prˇ´ıslusˇne´ u´rovni utajenı´ a formeˇ nakla´dańı´ s teˇmito informacemi[4]. Organizace lze rozdeˇlit dle formy prˇ´ıstupu k utajovany´m skutecˇnostem na dveˇ skupiny. Do prvnı´ spadajı´ organizace, ktere´ k utajovany´m informacı´m pouze prˇistupujı´. Druhou skupinu pak tvorˇ´ı ty, kde utajovana´ informace prˇ´ımo vznika´. ´ rovenˇ utajenı´ U Vyhrazene´ (prohla´sˇenı´) Prˇ´ısneˇ tajne´ Tajne´ Du˚veˇrne´ Vyhrazene´ (osveˇdcˇenı´)

De´lka platnosti 5 let

Prova´dı´ ´ NBU

5 let 7 let 9 let 12 let

´ NBU

Pozˇadavky na organizaci certifikovana´ odpoveˇdna´ osoba zabezpecˇenı´ utajovanyćh informacı´ odpoveˇdna´ osoba potrˇebne´ u´rovneˇ splneˇnı´ ekonomicke´ stability splneˇnı´ bezpecˇnostnı´ spolehlivosti zabezpecˇenı´ utajovanyćh informacı´

Tabulka 5.4: Prˇehled pozˇadavku˚ na organizaci a de´lky platnosti oveˇrˇenı´ a osveˇdcˇenı´. V prˇ´ıpadeˇ zańiku platnosti oveˇrˇenı´, nebo Osveˇdcˇenı´ podnikatele je organizace povinna ´ . Podrobnosti pak stanovuje prova´deˇcı´ odevzdat utajovane´ informace poskytovateli, nebo NBU pra´vnı´ prˇedpis (vyhla´sˇka cˇ. 405/2011 Sb.[6]). Platnost teˇchto dokumentu˚ zanika´ zejmeńa: •

uplynutı´m doby platnosti

•

v prˇ´ıpadeˇ, zˇe organizace prˇestala splnˇovat stanovene´ podmıńky

•

v prˇ´ıpadeˇ odcizenı´, ztra´ty dokumentu

•

v prˇ´ıpadeˇ zrusˇenı´ nebo zańiku podnikatele a dalsˇ´ıch (§ 15a bod 5, § 56)

5.2.3 Fyzicka´ bezpecˇnost Fyzicka´ bezpecˇnost popisuje ochranu utajovanyćh informacı´ v ra´mci ochrany objektu˚ a jejich zabezpecˇenyćh a jednacıćh oblastı´. Pro tyto potrˇeby je pak vypracovań projekt fyzicke´ bezpecˇnosti, za ktery´ odpovı´da´ ustanovena´ odpoveˇdna´ osoba ve smyslu za´kona. Mezi jejı´ povinnosti patrˇ´ı zajisˇteˇnı´ nı´zˇe popsanyćh skutecˇnostı´. Hodnocenı´ rizik je nutno prova´deˇt periodicky a vyvozovat du˚sledky v opatrˇenıćh fyzicke´ bezpecˇnosti. Dotcˇena´ organizace je take´ povinna zajistit pravidelne´ oveˇrˇovańı´ souladu aktua´lneˇ platnyćh opatrˇenı´ s projektem fyzicke´ bezpecˇnosti a pra´vnı´mi prˇedpisy. Podrobne´ informace o vsˇech aspektech projektu fyzicke´ bezpecˇnosti jsou definovańy v prova´deˇcı´ vyhla´sˇce cˇ. 528/2005 Sb. o fyzicke´ bezpecˇnosti a certifikaci technickyćh prostrˇedku˚, ve zneˇnı´ pozdeˇjsˇ´ıch prˇedpisu˚[8]. Pro lepsˇ´ı orientaci v pozˇadavcıćh na projekty slouzˇ´ı tabulka 5.5. 25

5. PRAĆE S UTAJOVANY´MI INFORMACEMI DLE ZA´KONA Cˇ. 412/2005 SB. Pravidlem je, zˇe utajovane´ informace lze zpracova´vat pouze v zabezpecˇene´ oblasti (ZO) odpovı´dajıćı´ nebo vysˇsˇ´ı kategorie. Vstup do te´to oblasti je nutne´ kontrolovat pomocı´ ostrahy, rezˇimovyćh opatrˇenı´, technickyćh prostrˇedku˚. Rezˇimova´ opatrˇenı´ stanovı´ opra´vneˇnı´ osob a dopravnıćh prostrˇedku˚ pro vstup a vjezd do objektu, opra´vneˇnı´ osob pro vstup do zabezpecˇene´ oblasti a jednacı´ oblasti a zpu˚sob kontroly teˇchto opra´vneˇnı´ a da´le zpu˚sob manipulace s klıćˇi a identifikacˇnı´mi prostrˇedky[4]. Zabezpecˇene´ oblasti je mozˇne´ rozdeˇlit do dvou trˇ´ıd. Do prvnı´ z nich spadajı´ oblasti, kde se vstupem docha´zı´ k sezna´menı´ s informacı´. Ve druhe´ trˇ´ıdeˇ jsou pak oblasti, kde k sezna´menı´ s informacı´ se vstupem nedocha´zı´. Informace oznacˇene´ jako Prˇ´ısneˇ tajne´ nebo Tajne´ je pak mozˇne´ zpracova´vat pouze v jednacı´ oblasti objektu podle´hajıćı´ zvla´sˇtnı´mu rezˇimu. V te´to oblasti pak musı´ zajistit odpoveˇdna´ osoba, aby nedocha´zelo k ohrozˇenı´ nebo uńiku informacı´ zvla´sˇteˇ nedovoleny´m pouzˇitı´m technickyćh prostrˇedku˚ urcˇenyćh k zı´ska´vańı´ informacı´. Vstup do te´to oblasti je pak opeˇt nutne´ kontrolovat pomocı´ ostrahy, rezˇimovyćh opatrˇenı´, technickyćh prostrˇedku˚. Zabezpecˇenı´ jednacı´ oblasti a zabezpecˇenyćh oblastı´ je urcˇovańa pomocı´ bodovyćh hodnot teˇchto opatrˇenı´ v za´vislosti na vyhodnocenı´ rizik[4]. Soupis teˇchto opatrˇenı´ je dostupny´ ve vyhla´sˇce cˇ. 528/2005 Sb[8]. Kombinace teˇchto opatrˇenı´ pak musı´ odpovı´dat u´rovni pravidelneˇ zpracova´vanyćh, nebo projedna´vanyćh informacı´ a vyhodnocenı´ rizik[4]. ´ rovenˇ utajenı´ U Vyhrazene´ Vyhrazene´

Zabezpecˇena´ oblast NE ANO


NE


ANO

Pozˇadavky projektu urcˇenı´ objektu vcˇetneˇ jeho hranic urcˇenı´ objektu a ZO, urcˇenı´ hranic, kategoriı´ a trˇ´ıd ZO, zpu˚sob pouzˇitı´ opatrˇenı´ fyz. bezpecˇnosti urcˇenı´ objektu vcˇetneˇ jeho hranic, zpu˚sob pouzˇitı´ opatrˇenı´ fyz. bezpecˇnosti, provoznı´ rˇa´d objektu, plań zabezpecˇenı´ objektu v krizovyćh situacıćh urcˇenı´ objektu a ZO, urcˇenı´ hranic, kategoriı´ a trˇ´ıd ZO, vyhodnocenı´ rizik, zpu˚sob pouzˇitı´ opatrˇenı´ fyz. bezpecˇnosti, provoznı´ rˇa´d objektu, plań zabezpecˇenı´ objektu v krizovyćh situacıćh

Tabulka 5.5: Prˇehled pozˇadavku˚ na projekt fyzicke´ bezpecˇnosti vzhledem k u´rovni utajenı´. Pozˇadavky na projekt fyzicke´ bezpecˇnosti obsahujıćı´ jednacı´ oblast pro projedna´vańı´ utajovanyćh informacı´ u´rovneˇ Prˇ´ısneˇ tajne´ a Tajne´ jsou obdobne´ s projektem obsahujıćı´m ZO pro u´rovneˇ utajenı´ Prˇ´ısneˇ tajne´, Tajne´ a Du˚veˇrne´ a obsahuje na´sledujıćı´ pozˇadavky[4]: •

urcˇenı´ objektu a jednacı´ oblasti, vcˇetneˇ jejich hranic

•

vyhodnocenı´ rizik

•

zpu˚sob pouzˇitı´ opatrˇenı´ fyzicke´ bezpecˇnosti 26


provoznı´ rˇa´d objektu

•

plań zabezpecˇenı´ objektu a jednacı´ oblasti v krizovyćh situacıćh

5.2.4 Bezpecˇnost informacˇnıćh a komunikacˇnıćh syste´mu˚ Bezpecˇnosti informacˇnıćh a komunikacˇnıćh syste´mu˚ definuje soubor postupu˚ a opatrˇenı´ pro zajisˇteˇnı´ bezpecˇnosti utajovanyćh informacı´ v teˇchto syste´mech. Informacˇnı´m syste´mem (IS) je pak cha´pań jeden a vıće pocˇ´ıtacˇu˚, jejich programove´ vybavenı´, perifernı´ zarˇ´ızenı´ a spra´va tohoto syste´mu[4]. Da´le jsou zahrnuty k syste´mu va´zane´ procesy a prostrˇedky pro sbeˇr, tvorbu, zpracovańı´, ukla´dańı´ a zobrazenı´ utajovanyćh informacı´[4]. Komunikacˇnı´ syste´m (KS) je definovań jako syste´m zajisˇt’ujıćı´ prˇenos teˇchto informacı´ mezi koncovy´mi uzˇivateli a komunikacˇnı´mi zarˇ´ızenı´mi za vyuzˇitı´ prˇenosove´ho prostrˇedı´ a kryptografickyćh prostrˇedku˚. Take´ jsou zde definovańy provoznı´ podmıńky a postupy. K utajovany´m informacı´m lze prˇistupovat pouze v syste´mech, ktere´ majı´ vypracovańy ´ . Detailnı´ na´lezˇite´ bezpecˇnostnı´ projekty. Da´le musely by´t syste´my schva´leny pro provoz NBU pozˇadavky na IS a KS, schvalovańı´ projektu˚ a postupy certifikace definuje vyhla´sˇka cˇ. 523/2011 Sb. o bezpecˇnosti informacˇnıćh a komunikacˇnıćh syste´mu˚ a dalsˇ´ıch elektronickyćh zarˇ´ızenı´ nakla´dajıćıćh s utajovany´mi informacemi a o certifikaci stıńıćıćh komor ve zneˇnı´ vyhla´sˇky cˇ. 453/2011 Sb.[7]. Pro zjisˇteˇnı´ hrozeb, prˇed ktery´mi je nutne´ informacˇnı´ syste´m chrańit, je nutne´ prove´st analy´zu rizik. V ra´mci analy´zy jsou vymezena aktiva IS a na neˇ pu˚sobıćı´ hrozby s du˚razem na ty, ktere´ mohou zpu˚sobit ztra´tu funkcˇnosti a narusˇenı´ bezpecˇnosti syste´mu. Vy´sledkem analy´zy je seznam hrozeb, rizik, vybranyćh protiopatrˇenı´ a zbytkova´ rizika. Dba´ se na to, aby byly implementovańa pouze protiopatrˇenı´, ktera´ jsou nezbytna´ pro splneˇnı´ ućˇelu, pro ktery´ je IS zrˇizovań[7]. Bezpecˇnost informacˇnı´ho syste´mu musı´ by´t dle smeˇrnice zajisˇt’ovańa soucˇasneˇ v sˇesti uvedenyćh oblastech a musı´ snizˇovat rizika na prˇijatelnou u´rovenˇ[7]: •

pocˇ´ıtacˇova´ a komunikacˇnı´ bezpecˇnosti

•

kryptograficka´ ochrana

•

ochrana proti uńiku kompromitujıćı´ho vyzarˇovańı´

•

administrativnı´ bezpecˇnost a organizacˇnı´ opatrˇenı´

•

persona´lnı´ bezpecˇnost

•

fyzicka´ bezpecˇnost IS

Bezpecˇnostnı´ politika IS obsahuje soubor pravidel a postupu˚ vymezujıćıćh zajisˇteˇnı´ du˚veˇrnosti, integrity, dostupnosti utajovane´ informace, dostupnosti sluzˇeb informacˇnı´ho syste´mu, odpoveˇdnosti vsˇech uzˇivatelu˚ za jejich cˇinnost v informacˇnı´m syste´mu[7]. V prˇ´ıpadeˇ potrˇeby je mozˇne´ take´ stanovit zpu˚sob zajisˇteˇnı´ pravosti informacı´ a nepopiratelnost. Pro vytvorˇenı´ te´to politiky je vhodne´ vyuzˇ´ıt mezina´rodneˇ uzna´vanyćh norem z oblasti informacˇnı´ bezpecˇnosti a pocˇ´ıtacˇove´ bezpecˇnosti jako jsou naprˇ´ıklad Common Criteria for Information Technology Security Evaluation (ISO/IEC 15408) a Syste´m rˇ´ızenı´ bezpecˇnosti informacı´ (rodina norem ISO/IEC 27000)[7]. 27

5. PRAĆE S UTAJOVANY´MI INFORMACEMI DLE ZA´KONA Cˇ. 412/2005 SB. Na informacˇnı´ syste´m obsahujıćı´ utajovane´ informace jsou prova´deˇcı´ vyhla´sˇkou stanoveny minima´lnı´ bezpecˇnostnı´ pozˇadavky, ktere´ musı´ syste´m splnˇovat. Mechanismy realizujıćı´ nı´zˇe uvedene´ pozˇadavky musı´ by´t chrańeˇny prˇed narusˇenı´m a umozˇnˇovat neza´visly´ audit. 1.

identifikace a autentizace vsˇech uzˇivatelu˚ prˇed prˇ´ıstupem k IS

2.

zajisˇteˇnı´ du˚veˇrnosti a integrity autentizacˇnı´ informace

3.

volitelne´ rˇ´ızenı´ prˇ´ıstupu k objektu˚m IS

4.

zajisˇteˇnı´ nemozˇnosti zı´skat informace z pameˇti objektu po ukoncˇenı´ praće s nı´m

5.

za´znam uda´lostı´ v IS potencia´lneˇ ovlivnˇujıćıćh bezpecˇnost a jejich uchovańı´ pro audit

6.

mozˇnost auditu a vyvozenı´ odpoveˇdnosti vsˇech uzˇivatelu˚

7.

zabezpecˇenı´ integrity auditnıćh informacı´ a ochrana prˇed znicˇenı´m

8.

zajisˇteˇnı´ du˚veˇrnosti informace beˇhem prˇenosu

Informacˇnı´ syste´m musı´ by´t provozovań v jednom ze cˇtyrˇ uvedenyćh bezpecˇnostnıćh provoznıćh mo´du˚, ktere´ nastavujı´ a rˇ´ıdı´ prˇ´ıstup uzˇivatelu˚ k utajovany´m informacı´m dostupny´m v tomto syste´mu. Prvnı´ trˇi mo´dy prˇ´ıstupu splnˇujı´ minima´lnı´ pozˇadavky pocˇ´ıtacˇove´ bezpecˇnosti a umozˇnˇujı´ pracovat s informacemi ru˚zne´ho stupneˇ utajenı´. Ovsˇem majı´ za´vazˇna´ omezenı´ plynoucı´ z jejich jednou´rovnˇove´ho na´vrhu. Vsˇichni uzˇivatele´ v tomto mo´du musı´ splnˇovat nejvysˇsˇ´ı u´rovenˇ utajenı´ shodnou s u´rovnı´ utajenı´ informace v IS a musı´ by´t opra´vneˇni pracovat se vsˇemi utajeny´mi informacemi. Mo´d vyhrazeny´: bezpecˇnost syste´mu se zajisˇt’uje splneˇnı´m minima´lnıćh bezpecˇnostnıćh pozˇa´ rovenˇ davku˚ z bodu˚ 1, 2, 3, 4, 6 a da´le zarucˇenı´m persona´lnı´ a fyzicke´ bezpecˇnosti. U zajisˇteˇnı´ du˚veˇrnosti beˇhem prˇenosu musı´ odpovı´dat u´rovni utajenı´ informacı´ v IS. Mo´d vyhrazeny´ s nejvysˇsˇ´ı u´rovnı´: bezpecˇnost syste´mu se zajisˇt’uje splneˇnı´m bodu˚ 1-6 a da´le za´ rovenˇ zajisˇteˇnı´ du˚veˇrnosti jisˇteˇnı´m administrativnı´, persona´lnı´ a fyzicke´ bezpecˇnosti. U beˇhem prˇenosu musı´ odpovı´dat u´rovni utajenı´ informacı´ v IS. Mo´d vyhrazeny´ s nejvysˇsˇ´ı u´rovnı´ a formalizovany´m rˇ´ızenı´m prˇ´ıstupu: da´le prˇida´va´ k prˇedchozı´mu mo´du forma´lnı´ centra´lnı´ spra´vu kontroly prˇ´ıstupu. Mo´d vıćeu´rovnˇovy´: umozˇnˇuje IS soucˇasne´ zpracovańı´ utajovanyćh informacı´ ru˚znyćh u´rovnı´ utajenı´, ve ktere´m nemusı´ vsˇichni uzˇivatele´ splnˇovat podmıńky prˇ´ıstupu k utajovany´m informacı´m nejvysˇsˇ´ıho stupneˇ utajenı´ a nemusı´ mı´t opra´vneˇni pro vsˇechny informacemi[7]. Da´le musı´ informacˇnı´ syste´m splnˇovat rˇadu na neˇj kladenyćh pozˇadavku˚ v mnoha dalsˇ´ıch oblastech. Pro snadneˇjsˇ´ı orientaci je zde prˇilozˇen jejich strucˇny´ vyćˇet. Podrobnosti je mozˇne´ nale´zt ve vy´sˇe uvedene´ vyhla´sˇce cˇ. 523/2011 Sb. •

syste´moveˇ za´visle´ bezpecˇnostnı´ pozˇadavky na bezpecˇnost v prostrˇedı´ pocˇ´ıtacˇovyćh sı´tı´ 28


bezpecˇne´ propojenı´ informacˇnıćh syste´mu˚

•

pozˇadavky na dostupnost utajovane´ informace a sluzˇeb informacˇnı´ho syste´mu

•

mozˇnost nahrazenı´ prostrˇedku˚ pocˇ´ıtacˇove´ bezpecˇnosti

•

pozˇadavky na ochranu mobilnıćh a prˇenosnyćh informacˇnıćh syste´mu˚

•

pozˇadavek ochrany proti kompromitujıćı´mu vyzarˇovańı´

•

pozˇadavky na bezpecˇnost nosicˇu˚ utajovanyćh informacı´

•

pozˇadavky na prˇ´ıstup k utajovane´ informaci v informacˇnı´m syste´mu

•

pozˇadavek odpoveˇdnosti za cˇinnost v informacˇnı´m syste´mu

•

bezpecˇnostnı´ spra´va informacˇnı´ho syste´mu

•

pozˇadavky persona´lnı´ bezpecˇnosti prˇi provozu informacˇnı´ho syste´mu

•

pozˇadavky fyzicke´ bezpecˇnosti informacˇnıćh syste´mu˚

•

pozˇadavek testovańı´ bezpecˇnosti informacˇnı´ho syste´mu

•

pozˇadavky na bezpecˇnost instalace a provozu informacˇnı´ho syste´mu

V cˇa´sti smeˇrnice veˇnovane´ komunikacˇnı´mu syste´mu jsou uvedeny na´lezˇitosti zˇa´dosti pro schva´lenı´ projektu pro zajisˇteˇnı´ bezpecˇnosti dotcˇene´ho syste´mu, zpu˚sob a podmıńky schvalovańı´ tohoto projektu. Dokumentace popisujıćı´ zabezpecˇenı´ syste´mu musı´ splnˇovat na´lezˇitosti dane´ vyhla´sˇkou a musı´ obsahovat nı´zˇe uvedene´ body s na´sledujıćı´m obsahem[7]: Bezpecˇnostnı´ politika: urcˇuje zpu˚soby zajisˇteˇnı´ du˚veˇrnosti, integrity a dostupnosti utajovane´ informace. Da´le definuje odpoveˇdnosti uzˇivatelu˚ za jejich cˇinnost dotcˇene´m KS. Organizacˇnı´ a provoznı´ postupy: obsahujı´ soubor opatrˇenı´ a postupu˚ pro provoz KS, strukturu spra´vy KS a zajisˇteˇnı´ kryptograficke´ ochrany v souladu s certifikacı´. Provoznı´ bezpecˇnostnı´ smeˇrnice: obsahuje konkre´tnı´ postupy k zajisˇteˇnı´ bezpecˇnosti spra´vy KS a prova´deˇnı´ prˇidruzˇene´ kryptograficke´ ochrany. Je vypracovańa na za´kladeˇ bezpecˇnostnı´ politiky a organizacˇnıćh a provoznıćh postupu˚. Provoznı´ smeˇrnice uzˇivatele KS: stanovuje odpoveˇdnosti uzˇivatelu˚ KS, pracovnı´ku˚ kryptograficke´ ochrany a uzˇivatelu˚ zajisˇt’ujıćıćh ochranu utajovanyćh informacı´. Je vypracovańa na za´kladeˇ bezpecˇnostnı´ politiky a organizacˇnıćh a provoznıćh postupu˚. Ve vyhla´sˇce jsou definovańy take´ pozˇadavky na minimalizaci kompromitujıćı´ho vyzarˇovańı´, ktere´ mu˚zˇe potencia´lneˇ zpu˚sobit uńik utajovanyćh informacı´. Je definovańa stıńıćı´ komora jako zarˇ´ızenı´ zabranˇujıćı´ sˇ´ırˇenı´ elektromagneticke´ho, opticke´ho a akusticke´ho vyzarˇovańı´ mimo tento prostor[7]. Jsou take´ definovańy postupy hodnocenı´ zpu˚sobilosti elektronickyćh zarˇ´ızenı´ objektu a je popsań postup jejich certifikace. 29

5. PRAĆE S UTAJOVANY´MI INFORMACEMI DLE ZA´KONA Cˇ. 412/2005 SB. 5.2.5 Kryptograficka´ ochrana Opatrˇenı´ kryptograficke´ ochrany popisujı´ prˇ´ımou ochranu utajovanyćh informacı´ pomocı´ uzˇitı´ kryptografickyćh metod prˇi jejich zpracovańı´, prˇenosu a ukla´dańı´[4]. Jsou zde definovańy nezbytne´ pozˇadavky na kryptograficke´ pracovisˇteˇ, zameˇstnance kryptograficke´ ochrany, kryptograficka´ zarˇ´ızenı´, vlastnı´ vy´kon kryptograficke´ ochrany, nakla´dańı´ s kryptograficky´m materia´lem a postupy prˇi jeho kompromitaci. Vesˇkera´ kryptograficka´ zarˇ´ızenı´ a pracovisˇteˇ musı´ ´ [4]. Podrobne´ rˇesˇenı´ jednotlivyćh soucˇa´stı´ by´t prˇed uvedenı´m do provozu certifikovańa NBU kryptograficke´ ochrany lze nale´zt ve vyhla´sˇce cˇ. 432/2011 Sb. Vlastnı´ certifikace kryptografickyćh prostrˇedku˚ pro potrˇeby praće s utajovany´mi skutecˇnostmi se pak prova´dı´ dle vyhla´sˇky cˇ. 525/2005 Sb. o prova´deˇnı´ certifikace prˇi zabezpecˇovańı´ kryptograficke´ ochrany utajovanyćh informacı´, ve zneˇnı´ vyhla´sˇky cˇ. 434/2011 Sb[46].

5.3

Postup certifikace organizace (podnikatele)

Nı´zˇe je popsań postup zı´skańı´ prˇ´ıstupu k utajovany´m informacı´m, ktere´ organizace nezbytneˇ potrˇebuje k vy´konu sve´ cˇinnosti. Tato problematika je da´le podrobneˇ rozpracovańa v hlaveˇ cˇ. III o pru˚myslove´ bezpecˇnosti za´kona o utajovanyćh informacıćh a v prova´deˇcı´m prˇedpise, ktery´m je vyhla´sˇka cˇ. 405/2011 Sb. o pru˚myslove´ bezpecˇnosti. Vlastnı´ certifikace je pak deˇlena dle § 20 dotcˇene´ho za´kona a tedy faktu, zda utajovana´ informace v organizaci vznika´ na jake´mkoliv nosicˇi informacı´, nebo je jı´ pouze poskytovańa naprˇ´ıklad sezna´menı´m u zadavatele zaka´zky. Zˇa´dost o certifikaci lze podat osobneˇ na podatelneˇ ´ , zaslat doporucˇenou posˇtovnı´ za´silkou, nebo pomocı´ datove´ schrańky. Na webovyćh NBU strańkaćh u´rˇadu je popsańo elektronicke´ podańı´ a forma´ty jednotlivyćh dokumentu˚[45]. Organizace musı´ v obou prˇ´ıpadech zrˇ´ıdit a obsadit funkci odpoveˇdne´ osoby a bezpecˇnostnı´ho rˇeditele proveˇrˇene´ho pro odpovı´dajıćı´ u´rovenˇ utajenı´, ktery´ je te´to osobeˇ podrˇ´ızen. Funkci bezpecˇnostnı´ho rˇeditele mu˚zˇe prova´deˇt i odpoveˇdna´ osoba sama. Pracovnı´ na´plnı´ bezpecˇnostnı´ho rˇeditele je schvalovańı´ mı´st a funkcı´, kde docha´zı´ k prˇ´ıstupu k utajovane´ informaci. Funkci bezpecˇnostnı´ho rˇeditele nelze vykona´vat u vıće organizacı´ soubeˇzˇneˇ. Zˇa´dost podnikatele: vyplneˇna´ zˇa´dost o prˇ´ıstup k informacı´m vcˇetneˇ u´rovneˇ jejich utajenı´ a mı´sta jejich vy´skytu dle § 20. Take´ obsahuje zdu˚vodneˇnı´ nutnosti prˇ´ıstupu k informacı´m. Dotaznı´k podnikatele: zjisˇt’ujıćı´ majetkove´ pomeˇry a dalsˇ´ı podrobnosti pro bezpecˇnostnı´ rˇ´ızenı´. Prˇ´ılohou dotaznı´ku je seznam funkcı´ a osob, u kteryćh se prˇedpokla´da´ prˇ´ıstup k utajovany´m informacı´m. Dotaznı´k je prˇedkla´dań v tisˇteˇne´ i elektronicke´ podobeˇ. Bezpecˇnostnı´ dokumentace: popisuje mozˇna´ ohrozˇenı´ a syste´m ochrany utajovanyćh informacı´ dle § 98 za´kona. Musı´ obsahovat vyćˇet utajovanyćh informacı´ vcˇetneˇ vsˇech na´lezˇitostı´, analy´zu rizik pro utajovane´ informace a protiopatrˇenı´, popis realizace jednotlivyćh druhu˚ ochrany a seznam osob prˇistupujıćıćh k utajovany´m informacı´m[45]. Dokumentace pro oveˇrˇenı´ § 16: oveˇrˇuje ekonomickou stabilitu a bezpecˇnostnı´ spolehlivost[45]. 30

5. PRAĆE S UTAJOVANY´MI INFORMACEMI DLE ZA´KONA Cˇ. 412/2005 SB. Zprosˇteˇnı´ mlcˇenlivosti spra´vce daneˇ: umozˇnˇuje zprostit osoby zućˇastneˇne´ na spra´veˇ danı´ mlcˇenlivosti v plne´m rozsahu za ućˇelem bezpecˇnostnı´ho rˇ´ızenı´. 5.3.1 Certifikace organizace ktere´ se utajovana´ informace poskytuje Pokud je utajovana´ informace organizaci pouze poskytovańa, musı´ dotcˇena´ organizace zabezpecˇit ochranu utajovanyćh informacı´ pomocı´ zajisˇteˇnı´ persona´lnı´ bezpecˇnosti ve smyslu za´kona. V ra´mci persona´lnı´ bezpecˇnosti pak musı´ osoby vybrane´ k prˇ´ıstupu k utajovane´ informaci pozˇa´dat o osveˇdcˇenı´ fyzicke´ osoby pro patrˇicˇnou u´rovenˇ utajenı´ a postupovat dle vyhla´sˇky ´ vy´sˇe uvedene´ cˇ 363/2011 Sb.[5]. Organizace zˇa´dajıćı´ o vydańı´ osveˇdcˇenı´ musı´ prˇedlozˇit NBU dokumenty[45] spolecˇneˇ se zaplacenı´m spra´vnı´ho poplatku 5000 Kcˇ. Vzory dokumentu˚ jsou do´ [45] a ve vyhla´sˇce cˇ. 405/2011 Sb. Aktua´lnı´ popis postupu stupne´ na webovyćh strańkaćh NBU ´ [44]. zˇa´dosti organizace pro proveˇrˇenı´ jsou dostupne´ na webovyćh strańkaćh NBU 5.3.2 Certifikace organizace ve ktere´ utajovana´ informace vznika´ Pokud organizace zˇa´da´ o oveˇrˇenı´ a certifikaci v situaci, kdy u nı´ utajovane´ informace libovolne´ u´rovneˇ prˇ´ımo vznikajı´, je postup slozˇiteˇjsˇ´ı. Je trˇeba postupovat dle hlavy cˇ. III o pru˚myslove´ bezpecˇnosti za´kona o utajovanyćh informacıćh a v prova´deˇcı´m prˇedpisu (vyhla´sˇka cˇ. 405/2011 Sb. o pru˚myslove´ bezpecˇnosti). V tomto prˇ´ıpadeˇ je nutne´ splnit k zabezpecˇenı´ utajovanyćh informacı´ nejen pozˇadavky persona´lnı´ bezpecˇnosti, ale i ostatnıćh oblastı´ (Fyzicka´ bezpecˇnost, Bezpecˇnost informacˇnıćh a komunikacˇnıćh syste´mu˚ a Kryptograficka´ ochrana informacı´). Prakticky to znamena´ vypracovańı´ kompletnı´ho projektu fyzicke´ bezpecˇnosti vcˇetneˇ prˇ´ıpadne´ jednacı´ oblasti, pokud organizace zˇa´da´ o oveˇrˇenı´ pro u´rovenˇ utajenı´ Prˇ´ısneˇ tajne´. Da´le ´ informacˇnı´ a komunikacˇnı´ syste´my organizace, ktere´ budou je nutne´ nechat certifikovat NBU prˇicha´zet do styku s utajovany´mi informacemi. V neposlednı´ rˇadeˇ je potrˇebne´ prove´st oveˇrˇenı´ a certifikaci kryptografickyćh na´stroju˚ a praće s nimi slouzˇ´ıcı´ pro zabezpecˇenı´ teˇchto informacı´. Pro tuto certifikaci organizace je du˚lezˇite´ vyuzˇ´ıt mimo vy´sˇe popsanyćh postupu˚[44] zˇa´dosti organizace o oveˇrˇenı´ praće s utajovany´mi skutecˇnostmi i vsˇechny prova´deˇcı´ prˇedpisy pro jednotlive´ oblasti zajisˇteˇnı´ bezpecˇnosti[46].

31

6 Syste´m rˇı´zenı´ bezpecˇnosti informacı´ 6.1

Prˇedstavenı´ syste´mu rˇı´zenı´ bezpecˇnosti informacı´

V dnesˇnı´m globalizovane´m a neusta´le vıće se propojujıćı´m sveˇteˇ cˇelı´ vsˇechny informace a praće s nimi v informacˇnıćh syste´mech organizacı´ zdańliveˇ nekonecˇne´mu seznamu bezpecˇnostnıćh hrozeb zahrnujıćıćh sˇpiona´zˇ, podvody, hacking, u´toky D(D)oS, vandalismus a prˇ´ırodnı´ katastrofy. Veˇtsˇina teˇchto u´toku˚ se sta´va´ podstatneˇ cˇasteˇjsˇ´ımi a sofistikovaneˇjsˇ´ımi[21]. Syste´m rˇ´ızenı´ bezpecˇnosti informacı´ (Information Security Management System - ISMS) poskytuje model pro zavedenı´, implementaci, monitorovańı´, kontrolu, u´drzˇbu a zlepsˇovańı´ ochrany informacˇnıćh aktiv[21]. Umozˇnˇuje chrańit informace v organizaci beˇhem jejich zı´ska´vańı´, zpracovańı´, prˇenosu a skladovańı´ prˇed sˇirokou sˇka´lou vy´sˇe uvedenyćh hrozeb a odstranit, nebo snı´zˇit na prˇijatelnou u´rovenˇ rizika, ktery´m je v tomto ohledu organizace vystavena. Z tohoto pohledu je ISMS du˚lezˇity´ pro drtivou veˇtsˇinu organizacı´ ze soukrome´ho i verˇejne´ho sektoru. Jeho zavedenı´m a certifikacı´ lze demonstrovat obchodnı´m partneru˚m a dalsˇ´ım zainteresovany´m strana´m spolehlivost, bezpecˇnost a du˚veˇryhodnost syste´mu managementu informacı´. Zajisˇteˇnı´ informacˇnı´ bezpecˇnosti a minimalizace rizik je dosazˇeno pomocı´ analy´zy pozˇadavku˚ na ochranu informacı´, obsahujıćı´ odpovı´dajıćı´ analy´zu rizik v organizaci, vytvorˇenı´m a aplikacı´ vhodnyćh kontrolnıćh mechanismu˚, protiopatrˇenı´ a metrik v dotcˇene´ organizaci. Lze stanovit neˇkolik za´kladnıćh principu˚ du˚lezˇityćh pro dosazˇenı´ informacˇnı´ bezpecˇnosti a u´speˇsˇnou implementaci ISMS[21]: •

uveˇdomeˇnı´ si potrˇeby informacˇnı´ bezpecˇnosti a prˇirˇazenı´ odpoveˇdnosti za ni

•

zapojenı´ managementu a zı´skańı´ si zainteresovanyćh stran

•

provedenı´ analy´zy rizik, stanovenı´ prˇijatelne´ho rizika a nastavenı´ vhodnyćh opatrˇenı´

•

propagace mysˇlenky informacˇnı´ bezpecˇnosti jako neoddeˇlitelne´ soucˇa´sti informacˇnıćh syste´mu˚ a sı´t’ove´ infrastruktury

•

aktivnı´ prevence a detekce bezpecˇnostnıćh incidentu˚

•

zajisˇteˇnı´ komplexnı´ho prˇ´ıstupu k managementu bezpecˇnosti informacı´

•

neusta´le´ meˇrˇenı´ a vyhodnocovańı´ informacˇnı´ bezpecˇnosti a zajisˇteˇnı´ u´prav a modifikace vsˇech soucˇa´stı´ dle zjisˇteˇnyćh vy´sledku˚

6.1.1 Kriticke´ faktory u´speˇchu ISMS Jako kazˇdy´ noveˇ zava´deˇny´ prˇ´ıstup mu˚zˇe i snaha o implementaci ISMS v organizaci snadno ztroskotat. Toto selhańı´ mu˚zˇe pomeˇrneˇ snadno zdiskreditovat a zablokovat na dlouho dobu pokusy o zavedenı´ vsˇech forem managementu bezpecˇnosti informacı´. Mezi nejpodstatneˇjsˇ´ı kriticke´ faktory v pocˇa´tecˇnıćh fa´zıćh praće na zavedenı´ ISMS je zı´skańı´ dostatecˇneˇ silne´ a viditelne´ podpory na vsˇech u´rovnıćh managementu[21] i u klıćˇovyćh zameˇstnancu˚. Je nezbytneˇ nutne´ vysveˇtlit, zˇe bezpecˇnost informacı´ neprˇedstavuje pouze samoućˇelna´ 32

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ omezenı´, ale poma´ha´ prˇedcha´zet a minimalizovat dopady rea´lnyćh hrozeb. V tomto ohledu je uzˇitecˇne´ zvysˇovańı´ poveˇdomı´ o informacˇnı´ bezpecˇnosti u relevantnıćh osob prˇ´ımo v organizaci i mimo ni pomocı´ treńingovyćh programu˚, kurzu˚ a dalsˇ´ıch zpu˚sobu˚ vzdeˇla´vańı´[21]. Take´ je potrˇeba informovat tyto osoby o nutnosti respektovat politiky, motivovat je k tomu a sezna´mit s na´sledky, ktere´ mu˚zˇe jejich porusˇenı´ mı´t pro neˇ i pro celou organizaci[21]. V neposlednı´ rˇadeˇ je v pocˇa´tcıćh implementace du˚sledneˇ dba´t na to, aby byly zvoleny realisticke´ cı´le[13] a vsˇechny vytva´rˇene´ bezpecˇnostnı´ politiky a dalsˇ´ı aktivity byly ve shodeˇ s teˇmito cı´li. Dalsˇ´ım du˚lezˇity´m faktorem prˇi zava´deˇnı´ ISMS je potrˇeba bra´t ohled, prˇi nastavovańı´ cele´ho prˇ´ıstupu k jeho na´vrhu, implementaci, monitorovańı´ a u´drzˇbeˇ, na zavedenou kulturu organizace[21]. Po zavedenı´ je potrˇeba udrzˇovat kvalitnı´ proces hla´sˇenı´ bezpecˇnostnıćh incidentu˚[21], ktery´ umozˇnı´ vcˇasnou reakci a nasazenı´ protiopatrˇenı´. Take´ je nutne´ mı´t zavedeno efektivnı´ rˇ´ızenı´ kontinuity organizace[21] zajisˇt’ujıćı´ rychlou obnovu klıćˇove´ infrastruktury a procesu˚ po u´speˇsˇne´m u´toku. V neposlednı´ rˇadeˇ musı´ by´t udrzˇovańy metriky a postupy meˇrˇenı´ urcˇene´ k vyhodnocovańı´ vy´konnosti ISMS. Da´le by meˇla by´t sbı´rańa naprˇ´ıcˇ organizacı´ zpeˇtna´ vazba a relevantnı´ na´meˇty na vylepsˇenı´ od osob dotcˇenyćh ISMS[21]. 6.1.2 Benefity plynoucı´ ze zavedenı´ ISMS Na prvnı´ pohled mezi hlavnı´ benefity plynoucı´ ze zavedenı´ ISMS do organizace patrˇ´ı samozrˇejmeˇ snı´zˇenı´ pravdeˇpodobnosti a dopadu bezpecˇnostnıćh incidentu˚[21]. Prˇi detailneˇjsˇ´ım pohledu jsou pak patrne´ i dalsˇ´ı benefity. Organizace implementacı´ ISMS zı´ska´va´ globa´lneˇ prˇijı´many´ a uzna´vany´ soubor bezpecˇnostnıćh praktik, ktere´ vsˇak nemajı´ dogmaticky´ charakter. Je mozˇne´ je do jiste´ mı´ry prˇizpu˚sobovat dotcˇene´ organizaci a take´ je upravovat v pru˚beˇhu cˇasu dle vnitrˇnıćh zmeˇn v organizaci a sledovat trendy a vy´voj vneˇjsˇ´ıho sveˇta[21]. Rodina norem ISO/IEC 27000 poskytuje take´ spolecˇny´ jazyk informacˇnı´ bezpecˇnosti pro komunikaci a usnadnˇuje budovańı´ du˚veˇry mezi partnersky´mi organizacemi s kompatibilnı´mi ISMS[21]. Tuto du˚veˇru lze jesˇteˇ posı´lit vyzˇadovańı´m certifikace organizace dle ISO/IEC 27001[21]. 6.1.3 ISMS kompatibilnı´ a certifikovana´ organizace Stejneˇ jako u mnoha jinyćh standardu˚ je i zde organizace postavena prˇed ota´zku, zda prove´st certifikacˇnı´ rˇ´ızenı´ nasazene´ho ISMS, nebo pouze prohla´sit, zˇe je s tı´mto standardem kompatibilnı´. Obeˇ mozˇnosti majı´ sva´ opodstatneˇnı´ a kazˇda´ z nich je vhodna´ prˇi urcˇityćh okolnostech. Kompatibilnı´ organizace zavedla standard do sve´ struktury a aktivneˇ jej vyuzˇ´ıva´. Motivacı´ je cˇasto snaha o nastolenı´ vnitrˇnı´ho porˇa´dku vyuzˇ´ıvańı´m obecneˇ osveˇdcˇenyćh postupu˚. Neexistuje vsˇak zˇa´dne´ forma´lnı´ potvrzenı´, zˇe je standard spra´vneˇ implementovań a udrzˇovań[16]. Pravdou je, zˇe veˇtsˇina z benefitu˚ plynoucıćh z dobrˇe zabezpecˇenyćh informacı´ po implementaci ISMS je zı´skańa jizˇ prˇi snaze o kompatibilitu s normami z rodiny ISO/IEC 27000. Je vsˇak trˇeba zdu˚raznit, zˇe efektivita bezpecˇnosti je prˇ´ımo u´meˇrna´ mı´rˇe shody s normami. Forma´lneˇ certifikovana´ organizace je takova´, jejı´zˇ ISMS byl oveˇrˇen a schva´len neza´visly´m akreditovany´m orgańem[16]. V idea´lnı´m prˇ´ıpadeˇ by nemeˇla znamenat za´sadnı´ zvy´sˇenı´ ceny oproti kompatibiliteˇ, protozˇe drtiva´ veˇtsˇina u´kolu˚ je jizˇ hotova[16]. Certifikace da´va´ za´ruku, 33

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ zˇe v organizaci existuje korektneˇ implementovany´ a spra´vneˇ rˇ´ızeny´ ISMS[16]. Jejı´ nejveˇtsˇ´ı nevy´hodou je, zˇe mu˚zˇe donutit organizaci aplikovat prˇ´ısneˇjsˇ´ı postupy v oblastech, ktere´ mohly by´t rˇesˇeny vzhledem k charakteru organizace podstatneˇ meńeˇ du˚sledneˇ nebo vu˚bec[16].

6.2

Procesnı´ prˇı´stup k ISMS

Procesnı´ prˇ´ıstup k ISMS diskutovany´ ve vsˇech normaćh te´to rodiny je zalozˇen na principu PDCA (Plan – Do – Check – Act) prˇijate´m ve vsˇech standardech ISO ty´kajıćıćh se managementu[21]. Prˇedstavuje pomeˇrneˇ jednoduchou metodu postupne´ho a neusta´le´ho zlepsˇovańı´ s univerza´lnı´m pouzˇitı´m. Obecny´ smysl jednotlivyćh kroku˚ je pak na´sledujıćı´: Plańuj (Plan): je analyzovańa situace v organizaci, urcˇeny cı´le a vytvorˇeny plańy k jejich splneˇnı´. Prova´deˇj (Do): jsou implementovańy vsˇechny vytvorˇene´ plańy. Kontroluj (Check): jsou meˇrˇeny vy´sledky, kontrolovańy metriky a zjisˇt’ovańo splneˇnı´ cı´lu˚. Jednej (Act): jsou zlepsˇovańy postupy a napravovańy nalezene´ chyby. 6.2.1 Plańovańı´, zavedenı´, monitorovańı´, u´drzˇba a zlepsˇovańı´ ISMS Cely´ postup implementace ISMS vycha´zı´ z drˇ´ıve prˇedstavene´ho procesnı´ho modelu PDCA. Pro organizaci je tedy du˚lezˇite´ nejen aplikovat da´le uvedene´ kroky a postupy a zave´st tak ISMS, ale take´ jej da´le udrzˇovat, vylepsˇovat a reagovat s nı´m na aktua´lnı´ hrozby. Ve fa´zi plańovańı´ je trˇeba zı´skat informace o celkove´ strategii, cı´lech organizace, jejı´ velikosti a geograficke´m rozdeˇlenı´. Tyto informace jsou du˚lezˇite´ z hlediska potrˇeby identifikovat informacˇnı´ aktiva organizace a jejich hodnoty, potrˇeb organizace na zpracovańı´ a ulozˇenı´ informacı´ a take´ z pohledu legislativnıćh a smluvnıćh pozˇadavku˚ na dotcˇenou organizaci. V ra´mci u´vodnı´ho pru˚zkumu organizace jsou analyzovańa rizika a hrozby pro aktiva organizace vcˇetneˇ vyuzˇ´ıvanyćh zranitelnostı´, pravdeˇpodobnosti vzniku a za´vazˇnosti sˇkod vzniklyćh realizacı´ konkre´tnı´ho bezpecˇnostnı´ho incidentu. Analy´za rizik vyzˇaduje realisticke´ odhadnutı´ vsˇech pravdeˇpodobnyćh ztra´t. Je trˇeba zvazˇovat vsˇechny pra´vnı´ a smluvnı´ pozˇadavky na organizaci. Stejneˇ tak je du˚lezˇite´ bra´t v potaz prˇi vypracova´vańı´ a analy´ze vsˇechny zainteresovane´ strany, socia´lnı´, financˇnı´ a dalsˇ´ı dopady. V dalsˇ´ı fa´zi jizˇ zava´deˇjıćı´ ISMS do organizace jsou navrzˇeny a aplikovańy vhodne´ kontrolnı´ mechanismy do chodu dotcˇene´ organizace tak, aby bylo docı´leno snı´zˇenı´ rizik na u´rovenˇ nastavenou v prˇedchozı´m kroku jako akceptovatelnou pro organizaci. Tyto mechanismy mohou by´t vybrańy z normy ISO/IEC 27002, z ostatnıćh relevantnıćh zdroju˚, prˇ´ıpadneˇ mohou by´t vytvorˇeny prˇ´ımo organizaci na mı´ru[21]. Ve fa´zi monitorovańı´ je sledovańo a vyhodnocovańo plneˇnı´ cı´lu˚ a efektivita nastavenyćh opatrˇenı´. Vy´stupy te´to fa´ze jsou pouzˇity k u´prava´m a zlepsˇovańı´ nastavenyćh mechanismu˚ a prˇ´ıpadneˇ take´ vlastnıćh monitorovacıćh postupu˚ a metrik. 34

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´

Obra´zek 6.1: Realizace PDCA cyklu prˇi implementaci ISMS.

6.3

Harmonizace s pra´vnı´mi prˇedpisy z pohledu ISMS

Prˇi implementaci ISMS je trˇeba zajistit, aby se organizace vyhnula porusˇenı´ vesˇkere´ legislativy vztahujıćı´ se k obcˇanske´mu, trestnı´mu a obchodnı´mu pra´vu. Rodina standardu˚ ISO/IEC 27000 v te´to oblasti neposkytuje a vzhledem ke sve´ univerza´lnosti a mezina´rodnı´ pu˚sobnosti ani nemu˚zˇe poskytovat zˇa´dne´ konkre´tnı´ rady[18]. Mu˚zˇe vsˇak pu˚sobit v te´to oblasti pu˚sobit jako obecny´ na´vod pro zajisˇteˇnı´ shody s legislativou. Je trˇeba take´ podotknout, zˇe v oblasti informacˇnıćh technologiı´ cˇasto docha´zı´ k prˇete´kańı´ organizace mezi jednotlivy´mi oblastmi s odlisˇny´m pra´vnı´m prostrˇedı´m[13]. Mu˚zˇe se tedy snadno sta´t, zˇe organizace musı´ splnˇovat nejen legislativu vlastnı´ domovske´ zemeˇ, ale take´ zemı´, kde poskytuje sve´ sluzˇby a to i v prˇ´ıpadeˇ, zˇe jsou poskytovańy prˇes sı´t’internet[13]. V za´jmu organizace by meˇlo by´t du˚sledne´ zajisˇteˇnı´ smluvnıćh vztahu˚ a obchodnıćh podmıńek se svy´mi partnery. U mezina´rodnıćh smluv je nutne´ da´le definovat i pra´vnı´ prostrˇedı´, dle ktere´ho jsou tyto kontrakty uzavı´rańy. K tomuto prostrˇedı´ jsou pak vztahovańy vesˇkere´ budoucı´ transakce a prˇ´ıpadne´ spory[18]. V typickyćh prˇ´ıpadeˇch je pra´vnı´ prostrˇedı´ pro smluvnı´ vztahy vybrańo z jedne´ z na´sledujıćıćh mozˇnostı´[18]: 35

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ •

pra´vnı´ prostrˇedı´ zemeˇ, kde se nacha´zı´ sı´dlo organizace

•

pra´vnı´ prostrˇedı´ zemeˇ, kde se nacha´zı´ servery organizace

•

pra´vnı´ prostrˇedı´ zemeˇ, kde se nacha´zı´ za´kaznı´k organizace

•

pra´vnı´ prostrˇedı´ zemeˇ, v nı´zˇ je provedena doda´vka sluzˇby nebo produktu

Vlastnı´m sladeˇnı´m ISMS s legislativou zemeˇ se pak zaby´va´ norma ISO/IEC 27002 v prvnı´ cˇa´sti patnaćte´ kapitoly s na´zvem Compliance. Druha´ cˇa´st te´to kapitoly rˇesˇ´ı zajisˇt’ovańı´ shody Syste´mu rˇ´ızenı´ bezpecˇnosti informacı´ s bezpecˇnostnı´mi politikami a standardy zavedeny´mi v organizaci, kontrolu mı´ry shody informacˇnıćh syste´mu˚ s jejich technicky´mi specifikacemi a v neposlednı´ rˇadeˇ na´stroje a postupy auditu informacˇnıćh syste´mu˚[18]. 6.3.1 Identifikace dotcˇene´ legislativy Nejprve je z pohledu zajisˇteˇnı´ shody s legislativou nutne´ nejle´pe ve spolupraći s pra´vnı´m poradcem identifikovat konkre´tnı´ pra´vnı´ dokumenty a jejich pozˇadavky na informacˇnı´ syste´my organizace nejen v rˇesˇene´ oblasti informacˇnı´ bezpecˇnosti. Tyto pozˇadavky je nutne´ zaznamenat v dokumentaci, ktera´ musı´ by´t udrzˇovańa aktua´lnı´ a upravovańa dle zmeˇn v legislativeˇ[13]. Strucˇny´ prˇehled za´konu˚ doty´kajıćıćh se prˇ´ımo informacˇnıćh syste´mu˚ a informacˇnı´ bezpecˇnosti je vypracovań v prvnı´ cˇa´sti kapitoly Legislativa a normy informacˇnı´ bezpecˇnosti a da´le je rozpracovań prˇ´ıstup k utajovańı´ informacı´ v cˇeske´ legislativeˇ v kapitole Praće s utajovany´mi informacemi dle za´kona 412/2005 Sb. Mimo za´konu˚ Cˇeske´ republiky je trˇeba bra´t v potaz i legislativu Evropske´ unie. Mezi nejdu˚lezˇiteˇjsˇ´ı na´stroje EU v te´to oblasti lze v soucˇasnosti povazˇovat smeˇrnice EU Data Protection Directive z roku 1995 a EU Privacy Directive vydanou v roce 2003[13]. 6.3.2 Zabezpecˇenı´ za´znamu˚ organizace Norma po organizaci vyzˇaduje, aby byly vsˇechny jejı´ za´znamy chrańeˇny prˇed znicˇenı´m, ztra´tou a neautorizovanou manipulacı´ v souladu s pozˇadavky organizace, legislativy a smluvnıćh vztahu˚[18]. V pra´vnı´m prostrˇedı´ Cˇeske´ republiky se mohou pozˇadavky na zabezpecˇenı´ za´znamu organizace doty´kat v prˇ´ıpadeˇ, zˇe pracuje s osobnı´mi u´daji chrańeˇny´mi za´konem o ochraneˇ osobnıćh u´daju˚ (za´kon cˇ. 101/2000 Sb.)[1], pracuje s utajovany´mi skutecˇnostmi chrańeˇny´mi za´konem o ochraneˇ utajovanyćh informacı´ (za´kon cˇ. 412/2005 Sb.)[4], pracuje s elektronicky´m podpisem[2], nebo provozuje informacˇnı´ syste´m verˇejne´ spra´vy[3]. V normeˇ ISO/IEC 27002 jsou navrzˇeny pouze za´kladnı´ postupy a opatrˇenı´ pro zajisˇteˇnı´ zabezpecˇenı´ za´znamu˚ organizace. Podstatneˇ podrobneˇjsˇ´ı informace o problematice obsahuje standard Information and documentation – Records management – Part 1: General (ISO 15489-1:2001)[18]. Dobry´m vodı´tkem v te´to oblasti mu˚zˇe by´t take´ za´kon cˇ. 499/2004 Sb., o archivnictvı´ a spisove´ sluzˇbeˇ. Zaznamenane´ informace by meˇly by´t nejprve usporˇa´dańy do kategoriı´ dle sve´ho pu˚vodu (databa´zove´ za´znamy, auditnı´ za´znamy, ućˇetnı´ knihy, atd.) a opatrˇeny informacemi o typu ulozˇenı´ (tiskopisy, opticke´ disky, magneticke´ pa´sky, atd.). U kazˇde´ho za´znamu by meˇl by´t jasneˇ definovany´ u´daj jak dlouho ma´ by´t archivovań (archivacˇnı´ doba). U tohoto u´daje je nutne´ bra´t 36

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ v u´vahu i vy´robcem deklarovanou zˇivotnost media a doporucˇene´ postupy nakla´dańı´ s nı´m a prostrˇedı´ pro jeho skladovańı´. Pokud se jedna´ o dlouhodobe´ skladovańı´, norma dorucˇuje vyuzˇitı´ tisˇteˇnyćh dokumentu˚ a mikrofisˇe[18]. U elektronicky ulozˇenyćh za´znamu˚ je trˇeba zva´zˇit fakt, zˇe je nutne´ zajistit cˇitelnost media i forma´tu po celou dobu archivacˇnı´ doby a vyhnout se necˇitelnosti kvu˚li zmeˇna´m technologie. Spolecˇneˇ s vlastnı´mi za´znamy by meˇly by´t da´le vhodny´m zpu˚sobem uchovańy kryptograficke´ materia´ly, software a hardware potrˇebny´ k jejich desˇifrovańı´.

6.3.3 Ochrana a zabezpecˇenı´ osobnıćh u´daju˚ V ra´mci patnaćte´ kapitoly standardu ISO/IEC 27002 jsou brańy v potaz nastavene´ legislativnı´ pozˇadavky na ochranu vsˇech osobnıćh u´daju˚, ktery´mi organizace disponuje. V Cˇeske´ republice se problematikou zaby´va´ jizˇ drˇ´ıve v praći popisovany´ za´kon o ochraneˇ osobnıćh u´daju˚ (za´kon cˇ. 101/2000 Sb.)[1] a jeho prova´deˇcı´ prˇedpisy. Je tedy nutne´ prˇi tvorbeˇ opatrˇenı´ a politik zajisˇtujıćıćh tuto oblast harmonizovat vesˇkere´ cˇinnosti pra´veˇ s tı´mto za´konem. Da´le by meˇla tato problematika by´t osˇetrˇena ve smluvnıćh vztazıćh, ktere´ organizace uzavı´ra´. V te´to oblasti mimo loka´lnıćh za´konu˚ vstupuje do hry take´ legislativa Evropske´ unie, ktera´ omezuje mimo prˇesneˇ stanovenyćh vy´jimek organizacı´m prˇesun osobnıćh u´daju˚ do zemı´ mimo Evropskou unii[13]. Toto se mu˚zˇe zvla´sˇteˇ dotknout organizacı´, ktere´ provozuji outsourcing sve´ uzˇivatelske´ podpory, nebo sdruzˇujı´ sluzˇby do datovyćh center mimo EU.

6.3.4 Legislativa regulujıćı´ kryptograficke´ materia´ly Tato cˇa´st kapitoly o pra´vnı´ shodeˇ informacˇnıćh syste´mu˚ s legislativou definuje nutnost prˇizpu˚sobenı´ kryptograficke´ho hardware, software a materia´lu˚ (postupy, klıćˇe) vyuzˇ´ıvanyćh organizacı´ platne´ legislativeˇ. Prˇestozˇe tato oblast nenı´ v Cˇeske´ republice zˇa´dny´m zvla´sˇtnı´m zpu˚soben legislativneˇ omezena[41][38], existujı´ zemeˇ, ve kteryćh je nutne´ toto respektovat[41][38]. Tato legislativa mu˚zˇe narˇizovat organizaci omezenı´ exportu a importu kryptograficke´ho hardware, software a materia´lu˚ a take´ kazˇde´ho hardware a software, do ktere´ho mu˚zˇe by´t tato funkcionalita snadno prˇidańa. Legislativa mu˚zˇe da´le narˇizovat omezenı´ pouzˇ´ıvanı´ kryptografie a jejı´ sı´ly[13]. Mu˚zˇe take´ vyzˇadovat prˇedańı´ klıćˇu˚, nebo desˇifrovanyćh materia´lu˚ v prˇ´ıpadeˇ vysˇetrˇovańı´ trestne´ cˇinnosti[13].

6.3.5 Ostatnı´ legislativnı´ pozˇadavky V ra´mci kapitoly Compliance jsou popsańy dalsˇ´ı legislativnı´ pozˇadavky, mezi ktere´ patrˇ´ı pozˇadavek na zabrańeˇnı´ neautorizovane´mu vyuzˇ´ıvańı´ vy´pocˇetnıćh prostrˇedku˚ organizace k ućˇelu˚m nevztahujıćı´m se k vy´konu zameˇstnańı´[13]. Take´ je v te´to kapitole rˇesˇeno zajisˇteˇnı´ ochrany dusˇevnı´ho vlastnictvı´ s du˚razem na dodrzˇovańı´ licencˇnıćh ujednańı´ u softwarovyćh produktu˚[13] a opatrˇenı´ pro prova´deˇnı´ auditu˚ informacˇnıćh syste´mu˚ v organizaci[13]. 37


6.4

Klasifikace informacı´ a praće s utajovany´mi informacemi v ISMS

Problematika praće s vlastnı´mi informacemi je popsańa ve standardu ISO/IEC 27002 v kapitole zaby´vajıćı´ se managementem aktiv. Mimo vysveˇtlenı´ motivace a du˚lezˇitosti potrˇeby klasifikovat informace jsou poskytnuty za´kladnı´ pokyny pro zavedenı´ klasifikace dat, je stanoven cı´l kapitoly a take´ kontrolnı´ metrika. Cı´lem cele´ kapitoly je zajistit, zˇe informace budou vhodneˇ klasifikovańy do patrˇicˇne´ u´rovneˇ a zˇe budou u´meˇrneˇ te´to u´rovni chrańeˇny prˇed vsˇemi hrozbami. Kontrolou zavedenı´ tohoto prˇ´ıstupu je fakt, zˇe informace je zarˇazena do vhodne´ u´rovneˇ vzhledem ke sve´ hodnoteˇ, pra´vnı´m pozˇadavku˚m, citlivosti, pozˇadavku˚m na integritu a kriticˇnosti pro organizaci (CIA triad)[18]. Postupy klasifikace a ochrany informace musı´ bra´t ohled na potrˇeby sdı´lenı´ informacı´. Je vhodne´, aby obsahovaly postupy pro prvotnı´ klasifikaci informace i pro jejı´ reklasifikaci. Potrˇeba drzˇet informaci na urcˇite´ u´rovni je cˇasto cˇasoveˇ omezena a pokud neexistuje oficia´lnı´ postup zmeˇny, tak mohou zbytecˇneˇ prˇ´ısneˇ klasifikovane´ informace prodrazˇovat svojı´ existencı´ pozˇadavky na prˇ´ısneˇjsˇ´ı zabezpecˇenı´[18]. Dohled nad klasifikacı´ informace, jejı´ pravidelna´ kontrola stejneˇ jako kontrola u´rovneˇ utajenı´ je odpoveˇdnostı´ prˇirˇazene´ odpoveˇdne´ osoby. ´ rovenˇ ochrany informace by meˇla vzˇdy za´viset na utajenı´, integriteˇ a dostupnosti inforU mace. K teˇmto trˇem parametru˚m je pak mozˇne´ prˇida´vat libovolne´ dalsˇ´ı parametry dle potrˇeby organizace. Standardem nenı´ doporucˇen zˇa´dny´ konkre´tnı´ zpu˚sob jak informace klasifikovat ani jake´ kategorie utajenı´ zvolit. Je vsˇak du˚razneˇ doporucˇovańo udrzˇovat cely´ syste´m jednoduchy´, aby nedocha´zelo ke komplikacı´m a jeho prodrazˇovańı´[18]. Prˇ´ıklad klasifikace informacı´ je prezentovań ve vyńˇatku z uka´zkove´ analy´zy rizik[11] v tabulce 6.1. Aktivum

Popis

Majitel

Mı´sto

CIA profil

Strategie firmy

Strˇedneˇ a dlouhodobe´ plańy Kra´tkodobe´ plańy

CEO

pocˇ´ıtacˇ CEO

CEO

pocˇ´ıtacˇ CEO

C: Vysoka´ I: Vysoka´ A: Strˇednı´ C: Vysoka´ I: Vysoka´ A: Nı´zka´

Plańy projektu˚

Hodnota na´hrady Vysoka´

Popis rizika Vyzrazenı´ informacı´

´ rovenˇ U rizika Vysoka´

Strˇednı´

Vyzrazenı´ informacı´

Strˇednı´

Tabulka 6.1: Klasifikace informacı´ v identifikaci rizik prova´deˇne´ spolecˇnostı´ atsec[11]. Pro parametr urcˇujıćı´ utajenı´ informacı´ je mozˇne´ aplikovat nejjednodusˇsˇ´ı a nejcˇasteˇji vyuzˇ´ıvany´ prˇ´ıstup klasifikace informacı´ do cˇtyrˇ navza´jem disjunktnıćh u´rovnı´ dle jejich du˚lezˇitosti a za´vazˇnosti dopadu na organizaci prˇi jejich prozrazenı´[13]. Du˚veˇrne´ (Confidential): jsou informace ty´kajıćı´ se jednotlivcu˚ nebo omezene´ pouze na prˇesneˇ specifikovane´ osoby. Jsou du˚lezˇite´ pro chod organizace anebo prozrazujıćı´ jejı´ za´sadnı´ rozhodnutı´ a kroky. Jejich vyzrazenı´ mu˚zˇe ovlivnit organizaci nebo jejı´ za´jmy a mu˚zˇe vyu´stit v legislativnı´, financˇnı´ nebo jine´ sankce a nebo za´sadnı´ zmeˇnu verˇejne´ho mıńeˇnı´. Cˇasto jsou materia´ly cˇ´ıslovańy a oznacˇeny jmeńem odpoveˇdne´ osoby[13], kvu˚li zajisˇteˇnı´ 38

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ ućˇtovatelnosti. Prˇ´ıkladem je dusˇevnı´ vlastnictvı´ organizace, informace o hlavnıćh akvizicıćh spolecˇnosti, informace ty´kajıćı´ se za´jmu˚ vla´dnıćh institucı´ a orgańu˚ cˇinnyćh v trestnı´m rˇ´ızenı´, citlive´ informace o za´kaznıćıćh, partnerech a konkurentech organizace[40]. Omezene´ (Restricted): prˇedstavuje informace dostupne´ pouze urcˇity´m pracovnı´ku˚m, typicky vysˇsˇ´ımu managementu organizace. Prˇestozˇe jsou du˚lezˇite´, nemeˇlo by jejich vyzrazenı´ znamenat fata´lnı´ komplikace pro organizaci, jejı´ za´kaznı´ky nebo partnery. Tyto informace nejsou typicky cˇ´ıslovańy. Protozˇe jsou dostupne´ vsˇem pracovnı´ku˚m od urcˇite´ pozice vy´sˇe, meˇly by zarˇazovańı´ do te´to kategorie probı´hat uva´zˇeneˇ[13]. Mezi informace tohoto typu patrˇ´ı plańy restrukturalizace, informace o za´kaznıćıćh, marketingove´ a jine´ strategie organizace a take´ osobnı´ informace zameˇstnancu˚[40]. Soukrome´ (Private): oznacˇuje informace, ktere´ nespadajı´ do u´rovnı´ Omezene´ a Du˚veˇrne´, ale majı´ prˇesto pro organizaci urcˇitou hodnotu a nemeˇly by tedy by´t volneˇ prˇ´ıstupne´ verˇejnosti. Kazˇdy´ zameˇstnanec by vsˇak meˇl mı´t mozˇnost k teˇmto materia´lu˚m prˇistupovat. Do te´to kategorie spadajı´ naprˇ´ıklad podrobne´ informace o zameˇstnancıćh spolecˇnosti, pozna´mky z porad, detaily organizacˇnı´ struktury a vnitrˇnı´ politiky organizace[40]. Verˇejne´ (Public): tato u´rovenˇ prˇedstavuje informace, ktere´ jsou verˇejneˇ dostupne´ pro libovolne´ osoby. Jsou vydańy v materia´lech organizace, nebo je lze je volneˇ zı´skat na internetu. Mezi takove´ informace patrˇ´ı hospoda´rˇske´ vy´sledky organizace publikovane´ ve vy´rocˇnı´ zpra´veˇ, verˇejna´ tiskova´ prohla´sˇenı´, informace o otevrˇenyćh pracovnıćh pozicıćh a dalsˇ´ı[40]. S klasifikacı´ informacı´ v organizaci take´ u´zce souvisı´ jejich takzvane´ oznacˇovańı´. Smyslem je navrhnout a implementovat postupy oznacˇovańı´ informacı´ ve shodeˇ s navrzˇeny´m sche´matem pro jejich klasifikaci. Postupy musı´ pokry´vat elektronicky prˇena´sˇene´ informace (elektronicka´ me´dia, emaily, prˇena´sˇene´ soubory, atd.) i informace ve fyzicke´ podobeˇ (dopis, tisˇteˇna´ dokumentace, pozna´mky, atd.). Informace urcˇene´ jako utajovane´, citlive´ cˇi jinak kriticke´ pro chod organizace nebo jejı´ partnery a za´kaznı´ky by meˇly by´t viditelneˇ oznacˇeny prˇideˇlenou u´rovnı´. V ra´mci vsˇech nastavenyćh u´rovnı´ v klasifikaci informacı´ je nutne´ navrhnout a vypracovat postupy pro jejich bezpecˇne´ zpracovańı´, ukla´dańı´, prˇenos, vyrˇazenı´ a znicˇenı´[18]. Take´ musı´ by´t zaznamena´vańy vsˇechny bezpecˇnostnı´ uda´losti vztahujıćı´ se k teˇmto informacı´m[18]. V prˇ´ıpadeˇ, zˇe organizace sdı´lı´ jaky´mkoliv zpu˚sobem informace s ostatnı´mi organizacemi, je trˇeba vypracovat postupy zajisˇt’ujıćı´ interpretaci a vza´jemnou kompatibilitu nastavenyćh opatrˇenı´ ve vsˇech dotcˇenyćh organizacıćh[18].

6.5

Normy popisujıćı´ ISMS

Cela´ rodina norem ISO/IEC 27000 prˇedstavuje velmi komplexnı´ syste´m, ktery´ je neusta´le doplnˇovań o nove´ normy popisujıćı´ vznikajıćı´ technologie, trendy a postupy. Proto jizˇ v soucˇasne´ dobeˇ existuje 22 norem z te´to rodiny a dalsˇ´ıch 11 je v ru˚zne´m sta´diu rozpracovańı´[42]. Z teˇchto 22 norem je 8 za´kladnıćh, ktere´ majı´ obecnou platnost a jsou pouzˇitelne´ pro libovolnou organizaci implementujıćı´ ISMS[13]. Dalsˇ´ı normy pak definujı´ doporucˇene´ postupy zameˇrˇene´ na organizace ve specifickyćh oborech jako naprˇ´ıklad telekomunikace a zdravotnictvı´[21]. 39


Terminologie

Za´kladnı´ normy lze rozdeˇlit na vztahujıćı´ se na certifikacˇnı´ orgańy zaby´vajıćı´ se audity organizacı´ a na ostatnı´ normy urcˇene´ pro konkre´tnı´ organizace implementujıćı´ do sve´ struktury ISMS. Z osmi za´kladnıćh norem dveˇ poskytujı´ takzvany´ normativnı´ standard stanovujıćı´ pozˇadavky, ktere´ musı´ by´t dodrzˇeny pro spra´vnou implementaci ISMS (ISO/IEC 27001) a certifikacˇnı´ho auditu organizace (ISO/IEC 27006)[21]. Ostatnı´ normy poskytujı´ pouze doporucˇene´ postupy pro zavedenı´ vsˇech normativnı´mi standardy definovanyćh polozˇek[21]. V soucˇasne´ ´ rˇadem pro techdobeˇ jsou jizˇ dostupne´ prˇeklady vsˇech nı´zˇe uvedenyćh norem zhotovene´ U nickou normalizaci, metrologii a sta´tnı´ zkusˇebnictvı´[48]. Tyto prˇejate´ normy jsou oznacˇovańy pı´semnou znacˇkou CˇSN prˇidanou k jejich sta´vajıćı´mu oznacˇenı´[43], tedy naprˇ´ıklad norma ISO/IEC 27001 je v platnosti v Cˇeske´ republice jako CˇSN ISO/IEC 27001.

Oborově specifické normy

Normy popisující postupy a doporučení

Normativní standardy

ISO/IEC 27000

ISO/IEC 27001

ISO/IEC 27002

ISO/IEC 27003

ISO/IEC 27006

ISO/IEC 27005

ISO/IEC 27004

ISO/IEC 27007

ISO/IEC 27799 ISO/IEC 27011

Obra´zek 6.2: Vztahy mezi normami rodiny ISO/IEC 27000.

40

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ 6.5.1 Normy poskytujıćı´ prˇehled a terminologii ISMS Hlavnı´m u´kolem normy ISO/IEC 27000:2009 Information security management systems – Overview and vocabulary je poskytnout prˇehled vsˇech za´kladnıćh norem tohoto standardu, prˇedstavit syste´m managementu informacˇnı´ bezpecˇnostı´ a definovat slovnı´k za´kladnıćh termıńu˚ te´to rodiny norem[21]. V roce 2012 prosˇla norma aktualizacı´ a nynı´ je uva´deˇna jako ISO/IEC 27000:2012. Take´ je v te´to normeˇ prˇedstaven jizˇ drˇ´ıve probı´rany´ procesnı´ prˇ´ıstup k neusta´le´mu zlepsˇovańı´ organizace (PDCA) a jeho prˇ´ıma´ aplikace ve formeˇ plańovańı´, zavedenı´, monitorovańı´, u´drzˇby a zlepsˇovańı´ syste´mu managementu bezpecˇnosti informacı´. Jsou zde take´ popsańy kriticke´ faktory ovlivnˇujıćı´ u´speˇch ISMS v organizaci a soupis benefitu˚, ktere´ mu˚zˇe po sve´m zavedenı´ organizaci prˇine´st. V neposlednı´ rˇadeˇ je pak pro prˇedstavu ve standardu uveden strucˇny´ popis vsˇech ostatnıćh za´kladnıćh norem z rodiny ISO/IEC 27000. 6.5.2 Normy definujıćı´ pozˇadavky ISMS Normy definujıćı´ pozˇadavky na syste´m managementu bezpecˇnosti informacı´, takzvane´ normativnı´ standardy[21], jsou za´kladnı´m kamenem cele´ho konceptu syste´mu managementu bezpecˇnosti informacı´. Vu˚cˇi nim jsou porovna´vańy vsˇechny implementovane´ syste´my a poskytujı´ take´ seznam polozˇek, ktere´ musı´ by´t splneˇny, aby mohl by´t ISMS certifikovań jako splnˇujıćı´ dany´ standard. V rodineˇ norem ISO/IEC 27000 se nacha´zı´ v soucˇasne´ dobeˇ dva tyto standardy. Prvnı´m a nejza´kladneˇjsˇ´ım standardem cele´ rodiny je ISO/IEC 20001:2005 Information security management systems – Requirements[19], ktery´ vycha´zı´ z britske´ho standardu BS 7799–2[13]. V jeho prvnı´ cˇa´sti je popsań postup neusta´le´ho zlepsˇovańı´ organizace (PDCA) a slovnı´k du˚lezˇityćh pojmu˚. Da´le se jizˇ norma veˇnuje definovańı´ pozˇadavku˚ na nı´zˇe uvedene´ oblasti ISMS. Vesˇkere´ pozˇadavky jsou pak popisovańy ve formeˇ kra´tke´ho popisu pozˇadavku (naprˇ´ıklad „4.3.2 Control of documents – Documents requierd by the ISMS shall be protected and controled ...“[19]) a neˇkolika odra´zˇek, ktere´ je nutne´ splnit pro splneˇnı´ pozˇadavku. ISMS: definuje za´kladnı´ pozˇadavky normy na ISMS. Da´le norma popisuje na´roky kladene´ na fa´zi tvorby, implementace, provozovańı´, u´drzˇby a zlepsˇovańı´ ISMS. Jsou take´ stanoveny pozˇadavky na dokumentaci vypracova´vanou v pru˚beˇhu teˇchto fa´zı´, zvla´sˇteˇ je zdu˚razneˇna nutnost ochrany a rˇ´ızenı´ vsˇech dokumentu˚ souvisejıćıćh s ISMS. Odpoveˇdnost managementu (Management responsibility): popisuje pozˇadavky kladene´ na management a deklarovańı´ jeho odhodlańı´ k na´vrhu, implementaci a provozovańı´ ISMS v organizaci. Zameˇrˇuje se zejmeńa na pozˇadavky na poskytnutı´ dostatecˇne´ho mnozˇstvı´ zdroju˚ a podpory pro ISMS. Da´le popisuje pozˇadavky normy pro zajisˇteˇnı´ sˇkolenı´ zameˇstnancu˚ a zajisˇteˇnı´ dostatecˇneˇ kompetentnıćh osob pro odpovı´dajıćı´ role v ISMS. Internı´ audity ISMS (Internal ISMS audits): urcˇuje pozˇadavky, ktere´ musı´ by´t splneˇny, na pravidelne´ audity ISMS prova´deˇne´ organizacı´ k urcˇenı´ vy´konnosti a efektivity jejı´ho ISMS. Revize ISMS (Management review of the ISMS): definuje nutne´ parametry pro revidovańı´ ISMS, jako je pravidelnost (minima´lneˇ 1x rocˇneˇ), potrˇebne´ dokumenty pro provedenı´ revize a povinne´ pozˇadavky na vy´stup a za´veˇry tohoto hodnocenı´ ISMS. 41

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ Zlepsˇovańı´ ISMS (ISMS improvement): popisuje pozˇadavky normy na poslednı´ fa´zi PDCA cyklu, konkre´tneˇ se jedna´ o pozˇadavky na neusta´le´ zlepsˇovańı´, na´pravna´ a preventivnı´ opatrˇenı´. V prˇ´ılohaćh normy je uveden du˚lezˇity´ seznam popisujıćı´ kontrolnı´ cı´le a bezpecˇnostnı´ opatrˇenı´ (Annex A – Control objectives and controls), ktera´ musı´ by´t vyuzˇita prˇi snizˇovańı´ zjisˇteˇnyćh rizik na prˇijatelnou u´rovenˇ[19]. Da´le obsahuje informativnı´ prˇ´ılohu popisujıćı´ kontext normy s OECD principy a korespondenci normy s ISO 9001:2000 a ISO 14001:2004. Druha´ norma pojmenovana´ ISO/IEC 20006:2011 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems popisuje forma´lnı´ pozˇadavky na akreditovane´ organizace, ktere´ poskytujı´ certifikacˇnı´ sluzˇby organizacı´m ve shodeˇ s normou ISO/IEC 20001. Standard poskytuje za´ruku, zˇe certifika´ty vypracovane´ akreditovanou organizacı´ jsou du˚veˇryhodne´ a smysluplne´[42]. 6.5.3 Normy popisujıćı´ obecne´ za´sady ISMS Nejdu˚lezˇiteˇjsˇ´ı norma prˇedkla´dajıćı´ potrˇebne´ rady a obecne´ postupy pro implementaci a provoz ISMS se nazy´va´ ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management. Vycha´zı´ z prvnı´ cˇa´stı´ drˇ´ıve prˇedstavene´ho britske´ho standardu BS 7799, pozdeˇji zavedene´ho jako ISO/IEC 17799 Information Technology – Code of practice for information security management[13]. Poskytuje tak velmi uzˇitecˇne´ doplneˇnı´ normativnı´ho standardu ISO/IEC 20001[18]. V prvnı´ cˇa´sti je definovań potrˇebny´ slovnı´k, rozsah normy a kra´tky´ u´vod. Na´sledneˇ jsou vesˇkere´ rady a doporucˇenı´ normy serˇazeny do 12 te´matickyćh okruhu˚ pro jejich lepsˇ´ı porozumeˇnı´ a snadneˇjsˇ´ı aplikovatelnost v organizaci. Mimo okruh Hodnocenı´ a na´prava rizik (Risk assessment and treatment) jsou shodne´ s kontrolnı´mi cı´li a opatrˇenı´mi z prˇ´ılohy A standardu ISO/IEC 27001. Hodnocenı´ a na´prava rizik (Risk assessment and treatment): prˇedkla´da´ doporucˇenı´ pro identifikaci, ohodnocenı´ a praći s riziky. Definuje polozˇky, ktere´ by nemeˇly by´t prˇi praći s riziky opomenuty, prˇedkla´da´ mozˇnosti rˇesˇenı´ rizik jako je jejich prˇijmutı´, vyhnutı´ se riziku a snizˇovańı´ jeho u´rovneˇ. Da´le prˇedkla´da´ strucˇny´ na´hled na minimalizaci rizik pomocı´ opatrˇenı´ a upozornˇuje na jejich potencia´lnı´ omezenı´. Bezpecˇnostnı´ politika (Security policy): poskytuje rady pro sladeˇnı´ vypracova´vane´ bezpecˇnostnı´ politiky ve shodeˇ s obchodnı´mi cı´li organizace a relevantnı´ legislativou. Poukazuje na nutnost ustavenı´ jasne´ politiky informacˇnı´ bezpecˇnosti a jejı´ podpory managementem. Prˇedkla´da´ doporucˇene´ postup tvorby, obsah a postup revidovańı´ politiky. Organizace informacˇnı´ bezpecˇnosti (Organization of information security): prˇedkla´da´ rady pro management informacˇnı´ bezpecˇnosti uvnitrˇ organizace a bezpecˇnost vztahujıćı´ se k externı´m subjektu˚m, s nimizˇ prˇicha´zı´ organizace do kontaktu (za´kaznıći, partnerˇi a dalsˇ´ı trˇetı´ strany). V ra´mci internı´ bezpecˇnosti je rˇesˇena koordinace informacˇnı´ bezpecˇnosti vcˇetneˇ odpoveˇdnostı´, autorizovane´ vyuzˇ´ıvanı´ zdroju˚, dohody o mlcˇenlivosti, kontakt s bezpecˇnostnı´mi slozˇkami a neza´visle´ audity informacˇnı´ bezpecˇnosti. 42

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ Management aktiv (Asset management): definuje postupy pro tvorbu inventa´rˇe aktiv organizace, urcˇenı´ vlastnı´ku˚ jednotlivyćh aktiv a jejich vhodne´ pouzˇ´ıvańı´. Da´le je v tomto okruhu definovań doporucˇeny´ postup klasifikace informacı´ do u´rovnı´ utajenı´ a bezpecˇna´ praće s nimi v ra´mci organizace. Persona´lnı´ bezpecˇnost (Human resources security): rozdeˇluje problematiku bezpecˇnosti informacı´ vzhledem k zameˇstnancu˚m do trˇ´ı oblastı´ (prˇed zameˇstnańı´m, v jeho pru˚beˇhu a prˇi jeho ukoncˇenı´). Pro kazˇdou z nich jsou doporucˇeny postupy pro zajisˇteˇnı´ bezpecˇnosti informacı´, ke ktery´m zameˇstnanci prˇistupujı´. Nama´tkou lze jmenovat proveˇrˇenı´ zameˇstnance, bezpecˇnostnı´ sˇkolenı´, disciplina´rnı´ proces, odebrańı´ aktiv a prˇ´ıstupovyćh pra´v. Fyzicka´ bezpecˇnost (Physical and enviromental security): poukazuje na nutnost zabezpecˇenı´ budov organizace ustavenı´m perimetru, fyzickyćh opatrˇenı´ kontroly vstupu, zabezpecˇenı´ mı´stnostı´ a zarˇ´ızenı´. Da´le poskytuje rady pro zajisˇteˇnı´ ochrany prˇed hrozbami zpu˚sobeny´mi vysˇsˇ´ı mocı´ a samostatna´ cˇa´st okruhu je take´ veˇnovańa zabezpecˇenı´ vybavenı´ organizace prˇed jejich posˇkozenı´m, ztra´tou nebo odcizenı´m. Komunikace a operacˇnı´ management (Communications and operations management): popsana´ oblast prˇedkla´da´ doporucˇenı´ prˇ´ımo pro operacˇnı´ management a da´le pro obranu proti sˇkodlive´mu ko´du, pro zajisˇteˇnı´ za´lohovańı´, bezpecˇnou praći s me´dii, monitorovańı´ infrastruktury, management sı´teˇ a management sluzˇeb doda´vanyćh externı´mi subjekty. Pro organizace zaby´vajıćı´ se elektronicky´m obchodem je take´ prˇipraven kra´tky´ seznam doporucˇenı´. Kontrola prˇ´ıstupu (Access control): popisuje doporucˇene´ postupy pro kontrolu prˇ´ıstupu uzˇivatelu˚, prˇirˇazovańı´ odpoveˇdnostı´, kontrole prˇ´ıstupu v ra´mci pocˇ´ıtacˇove´ sı´teˇ, operacˇnıćh syste´mu˚ a aplikacı´. Poslednı´ cˇa´st okruhu je veˇnovańa strucˇneˇ zvy´sˇene´mu riziku vztahujıćı´mu se k mobilnı´m zarˇ´ızenı´m (notebooky, PDA, mobilnı´ telefony) a vzda´lene´mu prˇ´ıstupu do organizace prˇi praći. Bezpecˇnost IS (Information system acquisition, development and maintenance): stanovuje doporucˇene´ pozˇadavky na informacˇnı´ syste´my, popisuje bezpecˇne´ souborove´ syste´my a postupy pro bezpecˇny´ a korektnı´ provoz aplikacı´. Na´sledneˇ upozornˇuje na nutnost kontroly praće s kryptograficky´mi zarˇ´ızenı´mi a materia´lem stejneˇ jako na potrˇebu managementu technickyćh zranitelnostı´. Jedna z oblastı´ tohoto okruhu se zaby´va´ zajisˇteˇnı´m bezpecˇnosti beˇhem vy´voje a prˇi na´sledne´ podporˇe aplikacı´. Management bezpecˇnostnıćh incidentu˚ (Information security incident management): poskytuje obecneˇ platne´ rady pro rˇesˇenı´ bezpecˇnostnıćh incidentu˚ doty´kajıćıćh se organizace. Doporucˇuje du˚sledne´ reportovańı´ nalezenyćh zranitelnostı´ a bezpecˇnostnıćh uda´lostı´. Stanovuje odpoveˇdnosti a procedury pro rˇesˇenı´ incidentu˚, sbeˇr du˚kazu˚ a zajisˇteˇnı´ poucˇenı´ organizace a jednotlivyćh uzˇivatelu˚ z probeˇhlyćh bezpecˇnostnıćh uda´lostı´. Kontinuita cˇinnostı´ organizace (Business continuity management): poukazuje na aspekty informacˇnı´ bezpecˇnosti, ktere´ jsou soucˇa´stı´ kontinuity managementu. Doporucˇuje zapracovańı´ hodnocenı´ rizik do postupu˚ a frameworku kontinuity organizace. Prˇedkla´da´ na´vrhy jak 43

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ vytvorˇit a implementovat kontinuitu cˇinnostı´ v prˇ´ıpadeˇ informacˇnı´ bezpecˇnosti, jak je testovat udrzˇovat a upravovat. Shoda s prˇedpisy (Compliance): prˇedkla´da´ poznatky o potrˇebeˇ sladeˇnı´ informacˇnı´ bezpecˇnosti s aktua´lneˇ platnou legislativou a vyzveda´va´ oblasti, ktere´ jsou typicky se zava´deˇnı´m ISMS v konfliktu, prˇ´ıpadneˇ se jej jakkoliv jinak doty´kajı´. Poskytuje take´ na´vod na sladeˇnı´ implementovane´ho syste´mu bezpecˇnosti informacı´ s bezpecˇnostnı´mi a technicky´mi standardy stejneˇ jako na´vod pro zajisˇteˇnı´ hladke´ho pru˚beˇhu vnitrˇnıćh i vneˇjsˇ´ıch auditu˚. Norma ISO/IEC 27003:2010 Information technology – Security techniques – Information security management system implementation guidance poskytuje na´vody a pru˚vodce pro u´speˇsˇnou implementaci standardu˚ rodiny ISO/IEC 27000 do organizace[22]. Soustrˇedı´ se na kriticke´ aspekty na´vrhu a implementace ISMS. Tento standard by meˇl by´t sˇiroce vyuzˇitelny´ v organizacıćh vsˇech velikostı´ a typu˚ (naprˇ´ıklad komercˇnı´ podniky, vla´dnı´ a nekomercˇnı´ organizace)[22]. U malyćh organizacı´ vsˇak lze prˇedpokla´dat zjednodusˇenı´ neˇkteryćh popisovanyćh aktivit[22]. Norma pokry´va´ oblast vytvorˇenı´ struktury ISMS, zı´skańı´ podpory managementu, definovańı´ rozsahu, hranic a politik ISMS. Jsou popsańy postupy analy´zy informacˇnı´ bezpecˇnosti, hodnocenı´ rizik a celkove´ho na´vrhu ISMS. Prˇ´ılohy poskytujı´ kontrolnı´ seznam implementace (Annex A), prˇ´ıklady rolı´ a odpoveˇdnostı´ informacˇnı´ bezpecˇnosti (Annex B), monitorovańı´ ISMS (Annex E). V neposlednı´ rˇadeˇ je v prˇ´ılohaćh Annex C, D) uveden popis vnitrˇnıćh auditu˚, hierarchii a strukturu vypracovanyćh nejen bezpecˇnostnıćh politik v organizaci[22]. ´ kolem normy ISO/IEC 27004:2009 Information technology – Security techniques – Information U security management – Measurement je zajisˇteˇnı´ pomoci organizaci s na´vrhem a tvorbou metrik pro kontrolu vy´sledku˚ zavedene´ho ISMS. Ve standardu jsou popsańy politiky, procesy, kontrolnı´ cı´le a opatrˇenı´ a take´ reviznı´ postup k identifikaci a u´prava´m ma´lo efektivnıćh opatrˇenı´[42]. Standard se, bohuzˇel, prˇ´ılisˇ soustrˇedı´ na technickou strańku veˇci a neposkytuje dostatecˇne´ na´vody a rady pro urcˇenı´ du˚lezˇityćh metrik a jejich spra´vne´ho nasazenı´[42]. Proto bylo rozhodnuto o revizi normy, ktera´ probı´ha´ v soucˇasne´ dobeˇ. Jejı´m vy´stupem by meˇl by´t podstatneˇ pragmaticˇteˇjsˇ´ı prˇ´ıstup k tomuto te´matu[42]. Norma ISO/IEC 27005:2008 Information technology – Security techniques – Information security risk management popisuje analy´zu a hodnocenı´ rizik, ktere´ organizace vyuzˇ´ıva´ v ra´mci vy´stavby ISMS[20] a nahrazuje drˇ´ıve vyuzˇ´ıvanou normu ISO/IEC TR 13335:1998, ktera´ pokry´vala tuto oblast. Nejedna´ se vsˇak o prˇ´ımo uchopitelnou a vyuzˇitelnou metodiku, ale spı´sˇe o meta– metodiku popisujıćı´ pozˇadavky a postupy metodiky, kterou by meˇla organizace vyuzˇ´ıvat[20]. V soucˇasne´ dobeˇ je zavedena druha´ verze te´to normy (ISO/IEC 27005:2011). V prvnı´ cˇa´sti te´to normy je definovań jejı´ kontext, zameˇrˇenı´ a definice termıńu˚. Na´sledneˇ je popsańo hodnocenı´ rizik informacˇnı´ bezpecˇnosti s du˚razem na analy´zu, identifikaci, odhadovańı´ a vyhodnocenı´ rizik. Da´le je rˇesˇenı´ rizik ve formeˇ redukce, retence, vyhnutı´ a prˇenesenı´ rizika. V ra´mci normy je take´ zmıńeˇno prˇijmutı´, komunikace, monitorovańı´ a revize rizik. Prˇ´ılohy A normy ISO/IEC 27005 pak definuje oblast pu˚sobnosti a hranice procesu managementu rizik informacˇnı´ bezpecˇnosti. Prˇ´ıloha B popisuje identifikaci a hodnocenı´ aktiv a dopadu˚. Prˇ´ıloha C poskytuje zajı´mavy´ prˇehled typickyćh hrozeb pro bezpecˇnost informacı´, prˇ´ıloha D prˇedkla´da´ obdobny´ seznam zranitelnostı´ a navıć metody pro jejich hodnocenı´. Prˇ´ıloha E popi44

6. SYSTE´M RˇI´ZENI´ BEZPECˇNOSTI INFORMACI´ suje postupy pro hodnocenı´ rizik informacˇnı´ bezpecˇnosti a na´sledneˇ prˇ´ıloha F definuje obecna´ omezenı´ (pra´vnı´, financˇnı´, technicka´, eticka´ atd.) pro jejich redukci. Poslednı´ z rˇady norem poskytujıćıćh pokyny je ISO/IEC 27007:2011 Information technology – Security techniques – Guidelines for information security management systems auditing urcˇena´ pro akreditovane´ certifikacˇnı´ orgańy, externı´ i internı´ auditory vykona´vajıćı´ certifikace organizacı´ proti normeˇ ISO/IEC 27001. Poskytuje rady pro rˇ´ızenı´ auditu˚ ISMS, postupy pro prova´deˇnı´ teˇchto auditu˚ a doporucˇovane´ kompetence a zkusˇenosti auditoru˚. 6.5.4 Oboroveˇ specificke´ normy Normy poskytujı´ nezbytnou podporu implementace managementu bezpecˇnosti informacı´ pro organizace, ktere´ chteˇjı´ zapojit do sve´ struktury ISMS, ale spadajı´ do neˇktere´ho ze specifickyćh oboru˚ podnikańı´. Tyto oblasti nenı´, bohuzˇel, mozˇne´ zcela pokry´t drˇ´ıve uva´deˇny´mi obecny´mi standardy a je tedy potrˇeba vyuzˇ´ıt dalsˇ´ıch norem prˇ´ımo na mı´ru konkre´tnı´ho oboru. Prˇ´ıkladem mu˚zˇe by´t norma pro telekomunikace ISO/IEC 27011 (Information security management guidelines for telecommunications organizations based on ISO/IEC 27002) a norma pro oblast zdravotnictvı´ ISO/IEC 27799 (Information security management in health using ISO/IEC 27002).

45

7 Analy´za spolecˇnyćh cˇa´stı´ vybranyćh prˇı´stupu˚ Na´sledujıćı´ kapitola shrnuje a analyzuje mozˇne´ pru˚niky v normaćh popisujıćıćh syste´m managementu bezpecˇnosti informacı´ se za´konem o utajovanyćh skutecˇnostech. Soustrˇedı´ se na nejvy´znamneˇjsˇ´ı oblasti obou prˇedkla´danyćh prˇ´ıstupu˚ a vyzdvihuje jejich vy´hody cˇi nevy´hody. V prvnı´ cˇa´sti kapitoly jsou rozebrańy administrativnı´ a metodicke´ pozˇadavky. Na´sledneˇ jsou popsańy oblasti persona´lnı´ a fyzicke´ bezpecˇnosti a rozdı´lne´ u´rovneˇ detailu obou prˇ´ıstupu˚ prˇi pohledu na informacˇnı´ syste´my, komunikacˇnı´ syste´my a kryptograficka´ zarˇ´ızenı´. Ke konci kapitoly jsou strucˇneˇ shrnuty zjisˇteˇne´ poznatky a z nich plynoucı´ vyuzˇitı´ prˇi implementaci ISMS v organizaci pracujıćı´, nebo prˇedpokla´dajıćı´ v brzke´ dobeˇ praći s utajovany´mi skutecˇnostmi.

7.1

Definice pozˇadavku˚ prˇı´stupu a jejich dokumentace

Dle poznatku˚ zı´skanyćh v pru˚beˇhu vypracova´vańı´ praće pozˇaduje za´kon a jeho prova´deˇcı´ prˇedpisy prˇesneˇ stanoveny´ forma´t pouze u tiskopisu˚ zası´lanyćh Nejvysˇsˇ´ımu bezpecˇnostnı´mu u´rˇadu. Pozˇadavky na faktickou strańku dokumentu˚ se take´ ve veˇtsˇineˇ prˇ´ıpadu˚ neodlisˇujı´ od pozˇadavku˚ prˇedepsanyćh normou ISO/IEC 27001. Je tedy vhodne´ vypracovat vesˇkerou dokumentaci tak, aby splnˇovala pozˇadavky na neˇ kladene´ normou ISO/IEC 27001. Vıće informacı´ o teˇchto pozˇadavcıćh je mozˇne´ nale´zt v na´sledujıćı´ kapitole praće, nebo v samotne´ normeˇ. V prˇ´ıpadeˇ, zˇe je nejdrˇ´ıve vypracovańa dokumentace pro nasazenı´ a provoz ISMS, nemeˇlo by jejı´ vyuzˇitı´ v prˇ´ıpadeˇ certifikace dle za´kona prˇedstavovat za´vazˇneˇjsˇ´ı proble´m. Za´kladnı´ dokumenty ISMS jako je bezpecˇnostnı´ politika a analy´za rizik jsou bez za´vazˇneˇjsˇ´ıch proble´mu˚ pouzˇitelne´. Shodna´ situace bude panovat i u veˇtsˇiny vypracovanyćh politik a procedur. Bude tedy potrˇebne´ vypracovat pouze neˇktere´ specificke´ dokumenty pro kryptograficke´ materia´ly, prˇ´ıpadneˇ stıńıćı´ komory a zabezpecˇene´ oblasti, tak aby odpovı´daly u´rovni utajenı´. V opacˇne´m prˇ´ıpadeˇ, zˇe je nejdrˇ´ıve prova´deˇna certifikace dle za´kona a da´le implementace ISMS, bude vhodne´ zachovat standardnı´ postup implementace a prove´st takzvanou diferencˇnı´ analy´zu dokumentu˚. Pro certifikaci dle za´kona cˇ. 412/2005 jsou sice cˇasto vyuzˇ´ıvańy postupy a sˇablony pouzˇ´ıvane´ pro ISMS, ale nenı´ to pravidlem a nelze se na tento fakt spole´hat.

7.2

Metodika hodnocenı´ rizik a aktiv

V ra´mci za´kona o utajovanyćh skutecˇnostech a ani v jeho prova´deˇcıćh prˇedpisech nejsou stanoveny zˇa´dne´ podrobneˇjsˇ´ı pozˇadavky a doporucˇenı´ na metodiku analy´zy rizik, ktera´ by meˇla by´t pouzˇita. Nelze identifikovat sadu pozˇadavku˚, aby analy´za rizik efektivneˇ splnila svu˚j u´kol a nebyla jen dokumentem pro vyhoveˇnı´ na´roku˚m kladeny´m na organizaci za´konem. V ohledu hodnocenı´ aktiv a k nim prˇirˇazovanyćh rizik se jevı´ jako vy´hodneˇjsˇ´ı prˇ´ıstup vyuzˇitı´ metodiky splnˇujıćı´ pozˇadavky kladene´ normou ISO/IEC 27001. Prˇestozˇe mu˚zˇe by´t tento prˇ´ıstup na prvnı´ pohled na´rocˇneˇjsˇ´ı na zdroje organizace, je metodika vypracovańa ve sveˇteˇ obecneˇ uzna´vany´m zpu˚sobem kompatibilnı´m s ISMS. Tento prˇ´ıstup v konecˇne´m du˚sledku umozˇnı´ zavedenı´ ISMS bez zvy´sˇenı´ na´kladu˚ oproti vypracovańı´ analy´zy rizik, ktera´ bude sice splnˇovat pozˇadavky kladene´ na ni za´konem, ale pro zava´deˇnı´ ISMS bude v podstateˇ nevhodna´. 46

7. ANALY´ZA SPOLECˇNYĆH CˇA´STI´ VYBRANYĆH PRˇI´STUPU˚ Vypracovańı´ ve shodeˇ s normou take´ dovoluje kontrolovat svu˚j postup oproti neˇktere´mu definovane´mu, vyuzˇ´ıvane´mu a oveˇrˇene´mu standardu (ISO/IEC 27005:2008 nebo Guide for Conducting Risk Assessments (NIST 800-30)) a odkazovat se na neˇj v prˇ´ıpadeˇ nejasnostı´ prˇi komunikaci se zainteresovany´mi stranami zevnitrˇ i z vneˇjsˇku organizace. V neposlednı´ rˇadeˇ umozˇnˇujı´ tyto normy prˇedvedenı´ vy´znamu hodnocenı´ rizik v organizaci v sˇirsˇ´ım kontextu. Ukazujı´ tak, zˇe nejsou samoućˇelny´m dokumentem, ale umozˇnˇujı´ zmapovat prostrˇedı´, ve ktere´m se organizace pohybuje, odstranit z neˇj vy´znamnou cˇa´st nejistoty a odhalit neˇkdy poneˇkud skryte´ hrozby pro organizaci samotnou.

7.3

Persona´lnı´ bezpecˇnost

Jak jizˇ bylo drˇ´ıve uvedeno, persona´lnı´ bezpecˇnost zajisˇt’uje, zˇe zameˇstnanci organizace a ostatnı´ osoby, ktere´ majı´ k organizaci jaky´koliv vztah, jsou sezna´meni se svy´mi odpoveˇdnostmi a povinnostmi prˇi zajisˇt’ovańı´ bezpecˇnosti informacı´. Celou oblast persona´lnı´ bezpecˇnosti lze rozdeˇlit do fa´zı´ prˇed zaha´jenı´m pracovnı´ho vztahu, v jeho pru˚beˇhu a po jeho ukoncˇenı´. Prvnı´ fa´zi bezpecˇnosti prˇed zaha´jenı´m pracovnı´ho vztahu se zameˇstnancem pokry´vajı´ velmi dobrˇe pozˇadavky za´kona cˇ. 412/2005 na proveˇrˇovańı´ osob, ktere´ budou prˇistupovat k utajovany´m informacı´m. Postup proveˇrˇovańı´ je velmi du˚kladny´ a pokry´va´ vsˇechny oblasti, kde by mohl odhalit potencia´lnı´ proble´my s novy´m zameˇstnancem. Faktem je, zˇe pro proveˇrˇovańı´ osob neprˇistupujıćıćh k utajovany´m informacı´m by bylo vhodne´ jej poneˇkud zjednodusˇit. Za´kon vsˇak pokry´va´ velmi va´gneˇ fa´zı´ v pru˚beˇhu zameˇstnańı´ a omezuje se pouze na konstatovańı´ faktu, zˇe by meˇly by´t vsˇechny osoby vhodny´m zpu˚sobem minima´lneˇ jednou rocˇneˇ prosˇkoleny a prˇ´ıpadneˇ revidovańa jejich proveˇrka provedena´ prˇi na´stupu. V te´to oblasti lze doporucˇit, aby organizace nepodcenˇovala vzdeˇla´vańı´ svyćh zameˇstnancu˚ a zameˇrˇila se na vypracovańı´ treńinkovyćh kurzu˚ a sˇkolenı´ s ohledem na pozˇadavky ISMS. Vhodne´ prˇ´ıklady a postupy lze nale´zt v normaćh ISO/IEC 27002 a ISO/IEC 27003. Problematika ukoncˇenı´ pracovnı´ho vztahu a bezpecˇnosti informacı´ je v za´koneˇ cˇa´stecˇneˇ rˇesˇena na u´rovni jinyćh oblastı´, jako je bezpecˇnost informacˇnıćh syste´mu˚ a cˇa´stecˇneˇ fyzicka´ bezpecˇnost. Prˇ´ımo k osoba´m se pouze vztahuje narˇ´ızenı´ o odneˇtı´ bezpecˇnostnı´ proveˇrky. Pra´veˇ tato akce mu˚zˇe by´t bez proble´mu˚ zahrnuta do postupu˚ danyćh normou ISO/IEC 27002 o navraćenı´ aktiv, zrusˇenı´ prˇ´ıstupovyćh pra´v a vyva´zańı´ z definovane´ odpoveˇdnosti. Z vy´sˇe uvedenyćh faktu˚ je patrne´, zˇe pro rˇesˇenı´ persona´lnı´ bezpecˇnosti organizace je vhodneˇjsˇ´ı vyuzˇitı´ postupu˚ prˇedlozˇenyćh normami pro provozovańı´ ISMS. Tento postup bude pouze drobneˇ doplneˇn o zprˇ´ısneˇnı´ proveˇrˇovańı´ vybranyćh zameˇstnancu˚ a o ukoncˇenı´ proveˇrky pro prˇ´ıstup k utajovany´m skutecˇnostem.

7.4

Fyzicka´ bezpecˇnost

Fyzicka´ bezpecˇnost prˇedstavuje zajisˇteˇnı´ aktiv a oblastı´ organizace prˇed pru˚nikem neautorizovanyćh osob a kra´dezˇ´ı zarˇ´ızenı´. V ra´mci norem syste´mu managementu bezpecˇnosti informacı´ je cˇa´st ty´kajıćı´ se fyzicke´ho zabezpecˇenı´ popsańa pomeˇrneˇ obecneˇ. I kdyzˇ jsou pozˇadavky 47

7. ANALY´ZA SPOLECˇNYĆH CˇA´STI´ VYBRANYĆH PRˇI´STUPU˚ pravdeˇpodobneˇ dostatecˇne´ pro organizace nepracujıćı´ s utajeny´mi informacemi, na´vrhy na implementaci jsou abstraktnı´ a osoba´m bez znalostı´ bezpecˇnostnı´ problematiky neprˇ´ılisˇ uzˇitecˇne´. Z pohledu fyzicke´ bezpecˇnosti lze pro organizace vıće nezˇ doporucˇit prova´deˇcı´ vyhla´sˇku za´kona cˇ. 412/2005. Tato je oznacˇena jako vyhla´sˇka cˇ. 528/2005 Sb. a poskytuje spolu s velmi du˚lezˇitou prˇ´ılohou cˇ. 1 podrobne´ informace o pozˇadavcıćh fyzicke´ho zabezpecˇenı´, ktere´ mohou organizaci nasmeˇrovat spra´vny´m smeˇrem prˇi implementaci rˇesˇenı´ te´to problematiky v ra´mci nasazovańı´ ISMS. Nenı´ trˇeba zminˇovat, zˇe pro organizaci pracujıćı´ s utajovany´mi skutecˇnostmi jsou pozˇadavky definovane´ vyhla´sˇkou za´vazne´. Norma ISO/IEC 27002 naopak poskytuje velmi uzˇitecˇne´ rady o fyzicke´m zabezpecˇenı´. Je zde popsańo zabezpecˇenı´ kabela´zˇe, ochrana podpu˚rnyćh zarˇ´ızenı´ (naprˇ. za´lozˇnı´ napa´jenı´), ochrana prˇed uda´lostmi zaprˇ´ıcˇineˇny´mi vysˇsˇ´ı mocı´, bezpecˇne´ znovupouzˇitı´ vybavenı´ a jeho znicˇenı´ po ukoncˇenı´ zˇivotnosti. Vzhledem k tomu, zˇe veˇtsˇineˇ z teˇchto oblastı´ se za´kon cˇ. 412/2005 ani prova´deˇcı´ prˇedpisy du˚sledneˇ neveˇnujı´, je vhodne´ vyuzˇ´ıt postupu˚ navrhovanyćh normou.

7.5

Bezpecˇnost informacˇnıćh a komunikacˇnıćh syste´mu˚

Bezpecˇnost informacˇnıćh a komunikacˇnıćh syste´mu˚ je pro potrˇeby organizace velmi dobrˇe vypracovańa v prova´deˇcı´ vyhla´sˇce cˇ. 523/2011 Sb. Je dostatecˇneˇ kompatibilnı´ s pozˇadavky norem vztahujıćıćh se k nasazenı´ a provozovańı´ ISMS v organizaci ve smyslu pozˇadavku˚ na zajisˇteˇnı´ du˚veˇrnosti, integrity a dostupnosti informacı´ (aktiv). Prˇi implementaci spolecˇneˇ s ISMS je trˇeba bra´t v potaz, zˇe ve vyhla´sˇce existujı´ specificke´ pozˇadavky dane´ takzvany´m bezpecˇnostnı´m provoznı´m mo´dem, ktere´ je nutne´ splnit prˇi praći s utajovany´mi skutecˇnostmi. Dalsˇ´ı problematickou oblast prˇedstavuje management bezpecˇnostnıćh incidentu˚, ktery´ nenı´ ve vyhla´sˇce detailneˇ rˇesˇen a mu˚zˇe prˇedstavovat proble´m prˇi vy´skytu incidentu vyzˇadujıćı´ho soucˇinnost orgańu˚ cˇinnyćh v trestnı´m rˇ´ızenı´. Minimum pouzˇitelnyćh postupu˚ pro tuto oblast prˇedkla´dajı´ opeˇt normy vztahujıćı´ se k ISMS. Pro komplexneˇjsˇ´ı rˇesˇenı´ te´to problematiky by vsˇak bylo vhodne´ konzultovat tuto oblast s materia´ly Evropske´ agentury pro bezpecˇnost sı´tı´ ´ zaby´vajıćı´m se kybernetickou bezpecˇnostı´. a informacı´ (ENISA), prˇ´ıpadneˇ pracovisˇteˇm NBU Poslednı´m faktem hodny´m zvla´sˇtnı´ho zrˇetele je problematicke´ cˇleneˇnı´ vlastnı´ vyhla´sˇky, ktera´ prˇ´ılisˇ neusnadnˇuje harmonizaci s normami z rodiny ISO/IEC 27000. Je nutno mı´t na pameˇti, zˇe termıńy pouzˇite´ v obou prˇ´ıstupech majı´ sice podobny´, ale mı´rneˇ odlisˇny´ vy´znam. Da´le se tato vyhla´sˇka sice u´dajneˇ zameˇrˇuje u´zce na informacˇnı´ a komunikacˇnı´ syste´my, ktere´ by meˇly by´t pokry´vańy jako jedna z cˇa´stı´ managementu bezpecˇnosti informacı´, ale cˇasto prˇete´ka´ do obecneˇjsˇ´ıho smyslu popisovane´ho pra´veˇ ISMS. Vyhla´sˇku je tedy le´pe cha´pat spı´sˇe v obecne´m smyslu s tı´m, zˇe se jejı´ obsah v hrubyćh obrysech kryje s kapitolami Komunikace a operacˇnı´ management (Communications and operations management), Kontrola prˇ´ıstupu (Access control) a Bezpecˇnost IS (Information system acquisition, development and maintenance) dle ISO/IEC 27002. Prˇi soucˇasne´m zava´deˇnı´ obou prˇ´ıstupu˚ je vhodne´ konzultovat faktickou strańku prˇedkla´danyćh pozˇadavku˚ s obeˇma dokumenty, aby se organizace vyvarovala ply´tvańı´ zdroji. 48

7. ANALY´ZA SPOLECˇNYĆH CˇA´STI´ VYBRANYĆH PRˇI´STUPU˚

7.6

Kryptograficka´ ochrana a utajenı´ informacı´

V dostupnyćh normaćh rodiny ISO/IEC 27000 jsou pomeˇrneˇ dobrˇe specifikovańy obecne´ pozˇadavky na bezpecˇne´ zacha´zenı´ a doporucˇenı´ pro praći s kryptograficky´mi materia´ly, jako jsou sˇifrovacı´ klıćˇe a jejich distribucˇnı´ kana´ly. Nenı´ rozsah dostupnyćh informacı´ vzhledem k obecnosti pouzˇitı´ te´to rodiny norem rozhodneˇ dostatecˇny´ pro tak sofistikovany´ prˇ´ıpad jako je praće s utajovany´mi skutecˇnostmi dle za´kona cˇ. 412/2005 Sb. Autorˇi zminˇovanyćh norem zaby´vajıćıćh se nasazenı´m a provozem ISMS jsou si veˇdomi omezenı´ svyćh materia´lu˚ kvu˚li jejich obecnosti v oblasti kryptograficke´ ochrany a sami doporucˇujı´ sladeˇnı´ ISMS v te´to oblasti s aktua´lneˇ platnou legislativou v dane´ zemi[19]. S ohledem na vy´sˇe uvedena´ fakta je vhodne´ zajistit implementaci v organizaci, ktera´ bude prˇistupovat k utajovany´m skutecˇnostem, dle platne´ legislativy v te´to oblasti dane´ za´konem cˇ. 412/2005 Sb. a jeho prova´deˇcı´ vyhla´sˇkami cˇ. 525/2005 Sb. a cˇ. 434/2011 Sb. Da´le je trˇeba zakomponovat tyto kryptograficke´ prostrˇedky prˇedstavujıćı´ aktiva a k nim se vztahujıćı´ rizika a hrozby do hodnocenı´ rizik pozˇadovanyćh ISO/IEC 27001. Opatrˇenı´ definovana´ a vyzˇadovana´ za´konem a jeho prova´deˇcı´mi vyhla´sˇkami prˇedstavujı´ dobry´ materia´l pro stavbu bezpecˇnostnı´ politiky pokry´vajıćı´ tuto oblast. Proto by z nich meˇla politika nejen vycha´zet a prˇ´ımo na tyto dokumenty odkazovat. Bude tak zajisˇteˇno prova´zańı´ ISMS s za´konem.

7.7

Vyuzˇitı´ pro implementaci ISMS

Vzhledem k vy´sˇe popsany´m skutecˇnostem se jevı´ jako nejvy´hodneˇjsˇ´ı postup v prˇ´ıpadeˇ, zˇe organizace chce vypracova´vat certifikaci dle za´kona i implementovat ISMS, rozpracovat nejprve praće na syste´mu managementu informacı´. Ve fa´zi, kdy je hotova bezpecˇnostnı´ politika organizace a analy´za rizik, je mozˇne´ zacˇ´ıt vypracova´vat certifikaci dle za´kona. Poznatky zı´skane´ prˇi prˇ´ıpraveˇ ISMS budou v ra´mci certifikace pro praći s utajovany´mi skutecˇnostmi beze zbytku vyuzˇity. Na´sledneˇ mohou by´t pouze upravena neˇktera´ opatrˇenı´ snizˇujıćı´ rizika v ISMS dle specifickyćh pozˇadavku˚ za´kona tak, aby bylo vyhoveˇno certifikacˇnı´m pozˇadavku˚m pro vybranou u´rovenˇ a typ proveˇrˇenı´. V prˇ´ıpadeˇ, zˇe byla jizˇ vypracovańa certifikace dle za´kona cˇ. 412/2005, je pravdeˇpodobneˇ nejlepsˇ´ım krokem provedenı´ diferencˇnı´ analy´zy vypracovanyćh materia´lu˚ vzhledem k pozˇadavku˚m ISMS. Mu˚zˇe sice dojı´t k jiste´mu zvy´sˇenı´ na´kladu˚, ale ty by se meˇly cˇa´stecˇneˇ vra´tit v pru˚beˇhu implementace ISMS. Navıć budou muset pravdeˇpodobneˇ oba tyto prˇ´ıstupy stejneˇ v budoucnu v organizaci koexistovat.

49

8 Provedeny´ postup spolecˇne´ implementace Na´sledujıćı´ kapitola popisuje postup implementace syste´mu managementu bezpecˇnosti informacı´ do organizace s ohledem na soucˇasnou legislativu vztahujıćı´ se k informacˇnı´m syste´mu˚m, informacˇnı´ bezpecˇnosti a zejmeńa utajovany´m informacı´m v Cˇeske´ republice. Jsou zde chronologicky prˇedstaveny vsˇechny u´kony od rozhodnutı´ o implementaci ISMS do organizace azˇ po prˇ´ıpravu na za´veˇrecˇnou certifikaci cele´ho syste´mu neza´visly´m certifikacˇnı´m orgańem. U u´konu˚ jsou da´le uvedena upozorneˇnı´ na potencia´lnı´ proble´my v jeho implementaci a jsou prˇedstaveny prˇ´ıklady a sˇablony vyuzˇ´ıvanyćh dokumentu˚. Dle tohoto postupu byla realizovańa vlastnı´ prˇ´ıprava a materia´ly pro implementaci ISMS v dotcˇene´ organizaci v ra´mci diplomove´ praće. Vzhledem k procesnı´mu cyklu PDCA se pak jedna´ o jeho prvnı´ fa´zi (Plan). V kapitole je vsˇak rozpracovań i na´vod a popis na´sledujıćıćh fa´zı´ cyklu zameˇrˇenyćh na zava´deˇnı´ a provoz (Do), kontrolu stavu (Check) a u´prav a zlepsˇovańı´ syste´mu (Act). V ra´mci mozˇnostı´ jsou prˇilozˇeny i rady vyuzˇitelne´ organizacı´ v pru˚beˇhu externı´ho auditu certifikovany´m orgańem.

8.1

Prˇı´pravna´ opatrˇenı´ implementace ISMS

V okamzˇiku, kdy padne rozhodnutı´ o zava´deˇnı´ syste´mu managementu bezpecˇnosti informacı´ do organizace, je potrˇeba vypracovat prvnı´ dva podpu˚rne´ u´koly prˇed zapocˇetı´m pracı´ na na´vrhu a implementaci vlastnı´ho ISMS. Prvnı´m a nejdu˚lezˇiteˇjsˇ´ım u´kolem je propagace ISMS v organizaci. Je potrˇebne´ prˇedlozˇit argumenty pro jeho zavedenı´ a prˇedstavit benefity plynoucı´ z jeho vyuzˇ´ıvańı´ v ra´mci organizace. Pokud nenı´ v te´to fa´zi zı´skańa dostatecˇna´ podpora, lze prˇedpokla´dat u dalsˇ´ıch u´kolu˚ zvy´sˇene´ riziko komplikacı´ a mozˇny´ neu´speˇch cele´ akce. Druhy´m u´kolem je zı´skańı´ dostatecˇne´ho mnozˇstvı´ materia´lu˚ pro nastudovańı´ a pochopenı´ principu˚ ISMS. Jako naproste´ minimum pro u´speˇsˇnou implementaci lze povazˇovat vlastnı´ normy Information security management systems – Overview and vocabulary (ISO/IEC 27000), Information security management systems – Requirements (ISO/IEC 27001) a Code of practice for information security management (ISO/IEC 27002), prˇ´ıpadneˇ jejich cˇeske´ ekvivalenty. Dalsˇ´ımi uzˇitecˇny´mi podklady mohou by´t Information security management system implementation guidance (ISO/IEC 27003) poskytujıćı´ prˇehled implementace ISMS a Information security risk management (ISO/IEC 27005) prˇedkla´dajıćı´ pozˇadavky na metodiku pro hodnocenı´ rizik vztahujıćıćh se k ISMS. Uzˇitecˇne´ informace k cele´mu konceptu ISMS take´ poskytujı´ webove´ strańky iso27001security.com a 27000.org. Obecneˇ je mozˇne´ nale´zt k problematice ISMS dostatek kvalitnıćh materia´lu˚ od za´jmovyćh sdruzˇenı´[42] i komercˇnıćh konzultacˇnıćh firem[11]. V prˇ´ıpadeˇ, zˇe organizace plańuje pracovat s utajovany´mi informacemi a prova´deˇt prˇ´ıpravu na neˇkterou z certifikacı´ pozˇadovanou za´konem cˇ. 412/2005 Sb., prˇ´ıpadneˇ tato certifikace jizˇ probeˇhla, je vhodne´ porovnat pozˇadavky obou prˇ´ıstupu˚ tak, aby se prˇedesˇlo ply´tvańı´ zdroji a prodluzˇovańı´ doby beˇhu projektu zava´deˇnı´ ISMS do organizace. Jako vhodny´ odrazovy´ mu˚stek pro tuto cˇinnost mu˚zˇe poslouzˇit kapitola 7 te´to praće. 50

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE

8.2

Definice bezpecˇnostnı´ politiky organizace

Prvnı´m u´kolem zava´deˇnı´ ISMS do organizace je zı´skańı´ souhlasu managementu a jeho za´vazku o podporˇe zava´deˇnı´, implementaci, provozovańı´, monitorovańı´, u´drzˇbeˇ a zlepsˇovańı´ ISMS. Je vhodne´, aby tento za´vazek obsahoval ujisˇteˇnı´ o poskytnutı´ vsˇech potrˇebnyćh zdroju˚ k implementaci ISMS. Management organizace bude da´le participovat na cˇinnostech prˇi urcˇovańı´ akceptovatelne´ho zbytkove´ho rizika a plańovanyćh revizıćh plańu˚ ISMS. Vedenı´ organizace musı´ da´le zajistit, aby vsˇechny osoby byly patrˇicˇny´m zpu˚sobem prosˇkoleny a byly si veˇdomy sve´ odpoveˇdnosti a role v tomto syste´mu. Po zı´skańı´ za´vazku managementu je trˇeba vypracovat dokument prˇedstavujıćı´ politiku ISMS, ktera´ ztvrzuje rozhodnutı´ zaby´vat se bezpecˇnostı´ informacı´. Politika vytycˇuje cı´le organizace v te´to oblasti z pohledu byznysu a musı´ obsahovat popis vlastnı´ bezpecˇnostnı´ politiky organizace v rozsahu neˇkolika odstavcu˚, popis cı´lu˚ a plańu˚ informacˇnı´ bezpecˇnosti v rozumne´m a zvla´dnutelne´m pocˇtu, popis jednotlivyćh rolı´ a jejich odpoveˇdnostı´. Prˇ´ıklad politiky splnˇujıćı´ popsana´ doporucˇenı´ je uveden v prˇ´ıloze A te´to praće. Nebezpecˇ´ım je, zˇe tento u´vodnı´ dokument by´va´ cˇasto podcenˇovań a je brań pouze jako nutna´ formalita[15]. Da´le take´ neza´jem managementu organizace a snaha o pouhe´ zı´skańı´ certifika´tu mı´sto zlepsˇenı´ fungovańı´ organizace zpu˚sobuje nı´zkou podporu vedenı´ ve fa´zi implementace a prosazovańı´ zmeˇn a mozˇny´ krach projektu[15].

8.3

Urcˇenı´ oblasti pu˚sobnosti ISMS

V okamzˇiku, kdy management organizace rozhodne o zavedenı´ ISMS a vypracovańı´ politiky ISMS, by meˇlo by´t prˇistoupeno k urcˇenı´ jejı´ prˇesne´ oblasti pu˚sobnosti. Jedna´ se o pecˇlive´ zvolenı´ konkre´tnıćh cˇa´stı´ organizace, ktere´ bude po nasazenı´ syste´m bezpecˇnosti informacı´ pokry´vat. Pro jeho vypracovańı´ je nezbytneˇ nutne´ vycha´zet z vypracovane´ bezpecˇnostnı´ politiky organizace obsahujıćı´ spra´vneˇ definovane´ plańy a cı´le informacˇnı´ bezpecˇnosti spolecˇneˇ rolemi a odpoveˇdnostmi osob. Spolecˇneˇ s tı´mto dokumentem je vhodne´ vytvorˇit si strucˇny´ seznam aktiv, technologiı´, lokalit a oblastı´ chodu organizace, ktere´ budou podle´hat ISMS. Vlastnı´ dokument pak ma´ forma´t neˇkolika odstavcu˚ popisujıćıćh pokry´vane´ oblasti. Jsou v neˇm popsańy jejich charakteristiky, pouzˇ´ıvane´ technologie, aktiva a dalsˇ´ı vy´sˇe uvedene´ skutecˇnosti. Je trˇeba take´ zva´zˇit, zda se noveˇ zava´deˇny´ ISMS doty´ka´ nastavene´ spolupraće se za´kaznı´ky, dodavateli a dalsˇ´ımi zainteresovany´mi organizacemi. Zda je nezbytne´, aby i oni respektovali noveˇ nastavena´ pravidla bezpecˇnosti informacı´. Prˇi implementaci ISMS v organizaci pracujıćı´ s utajovany´mi skutecˇnostmi je trˇeba veˇnovat zvla´sˇtnı´ pozornost faktu, zˇe ISMS mu˚zˇe a pravdeˇpodobneˇ bude pokry´vat podstatneˇ veˇtsˇ´ı oblast organizace nezˇ opatrˇenı´ vztahujıćı´ se pouze k utajovany´m informacı´m. Nejcˇasteˇjsˇ´ım proble´mem prˇi tvorbeˇ tohoto dokumentu je nevhodna´ u´rovenˇ jeho detailu. Oblast pu˚sobnosti ISMS je definovańa bud’ prˇ´ılisˇ obecneˇ a neprˇesneˇ a jeho dalsˇ´ı implementace je slozˇita´ a v podstateˇ nenı´ mozˇne´ pokry´t spra´vneˇ vsˇechny popsane´ oblasti. Nebo je rozsah urcˇen prˇ´ılisˇ detailnı´m zpu˚sobem a hrozı´ zde ztra´ta vysˇsˇ´ı u´rovneˇ pohledu a rozbitı´ vazeb na bezpecˇnostnı´ politiku. V ra´mci velkyćh organizacı´ je cˇasto vhodne´ zva´zˇit prvotnı´ zavedenı´ 51

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE ISMS pouze do cˇa´sti organizace v ra´mci pilotnı´ho projektu[15]. Da´le je prˇ´ıpustne´, aby rozsa´hle´ organizace meˇly vıće definovanyćh ISMS pokry´vajıćıćh pouze specificke´ oblasti (naprˇ´ıklad pocˇ´ıtacˇovou sı´t’a vy´voj produktu)[15].

8.4

Identifikace legislativy pro ISMS

V ra´mci prvotnıćh fa´zı´ vypracova´vańı´ syste´mu managementu bezpecˇnosti informacı´ je velmi du˚razneˇ doporucˇovańo vyhledat vesˇkerou legislativu doty´kajıćı´ se informacı´ a jejich bezpecˇnosti stejneˇ tak, jako normy a standardy z oblastı´, v nı´zˇ organizace poskytuje sve´ produkty a sluzˇby. Orientacˇnı´ prˇehled cˇeske´ a evropske´ legislativy z oblasti informacı´ a informacˇnı´ bezpecˇnosti poskytuje naprˇ´ıklad tato diplomova´ praće. Pro co nejdu˚sledneˇjsˇ´ı shodu je vhodne´ nepostupovat v te´to oblasti vlastnı´mi silami, ale je vyuzˇ´ıt rad pra´vnı´ho poradce spolupracujıćı´ho s organizacı´, prˇ´ıpadneˇ jej vyhledat a nava´zat s nı´m spolupraći. Organizace plańujıćı´ certifikaci dle za´kona cˇ. 412/2005 pro prˇ´ıstup nebo praći s utajova´ , kde jsou ny´mi skutecˇnostmi, se mohou zameˇrˇit prˇi cˇerpańı´ informacı´ prˇ´ımo na strańky NBU dostupne´ vsˇechny potrˇebne´ materia´ly. Pro strucˇnou orientaci lze vyuzˇ´ıt kapitoly 5 a 7 te´to praće.

8.5

Vy´beˇr metodiky pro hodnocenı´ rizik a aktiv

Vy´beˇr vhodnyćh metodik pro urcˇenı´ hodnoty aktiv organizace a pro ohodnocenı´ k nim se vztahujıćıćh rizik je jednı´m z nejdu˚lezˇiteˇjsˇ´ıch u´kolu˚ prˇi zava´deˇnı´ ISMS v organizaci. Na spra´vnosti provedenı´ te´to aktivity za´lezˇ´ı u´speˇsˇnost cele´ implementace a provozovańı´ ISMS. Z teoreticke´ho pohledu je mozˇne´ zvolit metodiku pro hodnocenı´ rizik i aktiv ze dvou okruhu˚, kam jsou metody rozdeˇleny dle faktu, zda vyuzˇ´ıvajı´ pro svou praći cˇ´ısla (tvrda´ data), nebo spı´sˇe slovnı´ popisy, expertnı´ hodnocenı´ a dotaznı´ky a interview[13]. Kvantitativnı´ metodiky vyuzˇ´ıvajıćı´ tvrda´ data nejsou prˇ´ılisˇ pouzˇ´ıvańy vzhledem k jejich na´rocˇnosti na prˇesnost a spolehlivost vstupnıćh dat, ktera´ navıć nejsou cˇasto dostupna´ v dostatecˇne´m mnozˇstvı´ pro odpovı´dajıćı´ hodnocenı´ rizik[13]. Kvalitativnı´ metodiky nevyzˇadujı´ tak podrobna´ data jako druhy´ prˇ´ıstup a proto jsou podstatneˇ vıće pouzˇ´ıvańy[13]. V prˇ´ıpadeˇ malyćh zkusˇenostı´ s analy´zou, hodnocenı´m a pracı´ s riziky je vhodne´ vyuzˇ´ıt pro konzultace neˇkterou z mnoha dostupnyćh publikacı´. Obecneˇ je k tomuto ućˇelu vyuzˇ´ıvańa norma ISO/IEC 27005:2008 nahrazujıćı´ drˇ´ıve vyuzˇ´ıvanou normu ISO/IEC TR 13335:1998, nebo americky´ volneˇ dostupny´ standard Guide for Conducting Risk Assessments (NIST 800-30)[11], ktery´ byl v srpnu 2012 revidovań, aby reflektoval soucˇasne´ hrozby. Pro podpory metodik lze vyuzˇ´ıt tabulkove´ procesory (Open Office Calc nebo MS Excel) a jejich mozˇnosti vy´pocˇtu˚ hodnot, filtrovańı´ a trˇ´ıdeˇnı´ aktiv, prˇ´ıpadneˇ specializovany´ software pro podporu metodik jako je CCTA Risk Analysis and Management Method (CRAMM). 8.5.1 Metodiky odhadu hodnoty aktiv Prˇesne´ urcˇenı´ hodnoty vsˇech aktiv v organizaci je pomeˇrneˇ na´rocˇny´m u´kolem. Velmi za´lezˇ´ı na zvolene´ metodice i na zkusˇenostech osoby prova´deˇjıćı´ hodnocenı´. Nejjednodusˇsˇ´ı a nejmeńeˇ 52

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE prˇesnou metodou odhadovańı´ je vytvorˇenı´ sˇka´ly typicky o 3 azˇ 5 stupnıćh, kde kazˇda´ hodnota mu˚zˇe prˇedstavovat financˇnı´ hodnotu aktiva, nebo dopad na organizaci prˇi jeho znicˇenı´, kra´dezˇi, nebo posˇkozenı´[33] jako je tomu v tabulce 8.1. Hodnota aktiva 0 1 2 3 4

Dopad pro organizaci zˇa´dny´ dopad zanedbatelny´ dopad vy´znamny´ dopad za´vazˇny´ dopad kriticky´ dopad

Na´sledky ztra´ty aktiva zˇa´dne´ posˇkozenı´ nebo ztra´ty organizace minima´lnı´ postrˇehnutelne´ potı´zˇe pro organizaci znatelne´ potı´zˇe anebo financˇnı´ ztra´ty za´sadnı´ potı´zˇe anebo podstatne´ financˇnı´ ztra´ty ohrozˇenı´ existence organizace

Tabulka 8.1: Ohodnocenı´ aktiv dle dopadu[36]. Pokud jsou pro vytvorˇenı´ sˇka´ly vyuzˇity financˇnı´ hodnoty aktiva, je mozˇne´ urcˇit snadno takzvane´ prˇ´ıme´ hodnoty prˇedstavovane´ naprˇ´ıklad cenou licencı´, patentu˚, projektu˚, na´klady na porˇ´ızenı´, instalaci a konfiguraci nove´ho aktiva[33]. U ostatnıćh aktiv mohou by´t jako hodnoty pro sˇka´lu zvazˇovańy na´klady nebo ztra´ty plynoucı´ ze ztra´ty, nebo zneuzˇitı´ aktiva (neprˇ´ıma´ hodnota)[33]. Da´le je mozˇne´ uvazˇovat na´klady a ztra´ty zpu˚sobene´ porusˇenı´m smluvnıćh a legislativnıćh narˇ´ızenı´, prˇ´ıpadneˇ plynoucıćh ze ztra´ty dobre´ poveˇsti. Mezi prˇesneˇjsˇ´ı a na zdroje na´kladneˇjsˇ´ı metodiky pro urcˇenı´ hodnoty aktiva patrˇ´ı naprˇ´ıklad vyuzˇitı´ matice urcˇujıćı´ hodnotu aktiva[33], What–if? analy´za[33] a soucˇtovy´ algoritmus 8.1. Prˇi vy´pocˇtu hodnoty aktiva jsou zvoleny hodnoty z tabulky 8.1 pro odhad na´sledku˚ ztra´ty dostupnosti, du˚veˇrnosti a integrity[36]. Tyto hodnoty jsou secˇteny, vydeˇleny a zaokrouhleny na cele´ cˇ´ıslo, ktere´ prˇedstavuje hodnotu aktiva v rozmezı´ dane´m tabulkou 8.1. Maticove´ metodiky typicky pracujı´ se sˇka´lou obdobnou jizˇ prˇedstavene´ tabulce 8.1 a maticı´ zobrazujıćı´ vztahy mezi hodnotami. Prˇ´ıkladem je tabulka 8.2 zobrazujıćı´ metodiku urcˇujıćı´ hodnotu aktiva na sˇka´le male´, strˇednı´ a vysoke´ hodnoty vzhledem k jeho du˚lezˇitosti a sta´rˇ´ı[33]. ernost + Integrita . Dostupnost + Duvˇ Hodnota aktiva = 3

Osobnı´ du˚lezˇitost Operativnı´ du˚lezˇitost Takticka´ du˚lezˇitost Strategicka´ du˚lezˇitost

Stare´ aktivum ma´lo hodnotne´ ma´lo hodnotne´ ma´lo hodnotne´ ma´lo hodnotne´

Strˇedneˇ stare´ aktivum ma´lo hodnotne´ strˇedneˇ hodnotne´ strˇedneˇ hodnotne´ vysoce hodnotne´

(8.1)

Nove´ aktivum ma´lo hodnotne´ strˇedneˇ hodnotne´ vysoce hodnotne´ vysoce hodnotne´

Tabulka 8.2: Maticova´ metodika pro vy´pocˇet hodnoty aktiva[33]. Vzhledem k potrˇebeˇ urcˇovańı´ hodnot dostupnosti, du˚veˇrnosti a integrity u jednotlivyćh aktiv, ktere´ je vyzˇadovańo od metodiky hodnocenı´ rizik normou ISO/IEC 27001, je postup vyuzˇ´ıvajıćı´ soucˇtovy´ algoritmus i prˇi sve´ veˇtsˇ´ı slozˇitosti pro organizacı´ meńeˇ zateˇzˇujıćı´ nezˇ jine´ pokrocˇile´ metody. Proto by meˇl by´t prˇednostneˇ pouzˇit prˇi hodnocenı´ aktiv tento postup. 53

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE 8.5.2 Metodiky odhadu hodnoty rizik Pro vlastnı´ odhady rizik hrozıćıćh aktivu˚m organizace lze v ra´mci ISMS pouzˇ´ıt neˇkterou z existujıćıćh a pouzˇ´ıvanyćh metodik, mezi ktere´ se rˇadı´ ISO/IEC 27005, Guide for Conducting Risk Assessments (NIST 800-30) a Risk IT organizace ISACA. Je take´ mozˇne´ vytvorˇit organizaci vlastnı´ metodiku prˇ´ımo na mı´ru za prˇedpokladu, zˇe splnˇuje pozˇadavky definovane´ v ISO/IEC 27001. Pro zajisˇteˇnı´ kompatibility metodiky hodnocenı´ rizik se stanoveny´mi pozˇadavky je nutne´, aby poskytovala za vsˇech okolnostı´ porovnatelne´ a reprodukovatelne´ vy´sledky. Jiny´mi slovy je trˇeba zajistit, jednoznacˇne´ a vzˇdy stejne´ prˇirˇazovańı´ vy´stupu˚ prˇedlozˇeny´m vstupu˚m, ktery´mi jsou aktivum, riziko a prˇ´ıpadneˇ dalsˇ´ı parametry. Da´le je potrˇeba zajistit, aby metodika brala ve sve´m rozhodovańı´ v potaz hodnoty du˚veˇrnosti, integrity a dostupnosti (CIA tria´da), meˇla stanovena krite´ria pro akceptovańı´ rizika a cı´le a hodnoty pro snı´zˇenı´ rizika na akceptovatelnou u´rovenˇ. Za pouzˇitı´ metodiky by meˇl ve vy´sledku vzniknout dokument popisujıćı´ prˇ´ıstup organizace k managementu rizik a obsahujıćı´ seznam krite´riı´ a postupu˚ pro vyhodnocovańı´ rizik. 8.5.3 Realizace metodiky odhadu hodnoty rizik Z mnoha mozˇnostı´ hodnocenı´ rizik byla zvolena kvalitativnı´ metodika zalozˇena´ na prˇ´ıkladu z prˇ´ılohy E normy ISO/IEC 27005, ktera´ je dostatecˇneˇ jednoducha´ pro realizaci, ale prˇesto relativneˇ prˇesna´, vzhledem k tomu, zˇe vyuzˇ´ıva´ pro urcˇenı´ hodnoty rizika trˇi neza´visle´ parametry. Hodnota aktiva pouzˇita´ pro odhad hodnoty rizika je zı´skańa aplikacı´ soucˇtove´ho algoritmu (8.1) na tabulku hodnot 8.1 pro odhad na´sledku˚ ztra´ty dostupnosti, du˚veˇrnosti a integrity. Vy´sledek je zkombinovań s pravdeˇpodobnostı´ realizace hrozby (sloupec Hrozba), kterou je mozˇne´ vybrat pro kazˇdou z jednotlivyćh hrozeb z tabulky 8.3. Pro kazˇdou z hrozeb je vybrańa hodnota z tabulky 8.4 urcˇujıćı´ velikost zranitelnosti dle faktu, jake´ na´sledky mu˚zˇe mı´t jejı´ vyuzˇitı´ pro organizaci. Na´sledneˇ je pro zı´skane´ hodnoty vypocˇteno riziko pomocı´ matice v tabulce 8.5. Hodnota hrozby mala´ strˇednı´ velka´

Pravdeˇpodobnost realizace hrozby realizovatelna´ typicky v rˇa´du let a maxima´lneˇ 1x rocˇneˇ realizovatelna´ cˇasteˇji nezˇ 1x rocˇneˇ a meńeˇ cˇasto nezˇ 1x meˇsıćˇneˇ hrozba je realizovatelna´ cˇasteˇji nezˇ 1x za meˇsıć

Tabulka 8.3: Hodnota hrozby v za´vislosti na pravdeˇpodobnosti zneuzˇitı´.

Hodnota zranitelnosti mala´ strˇednı´ velka´

Popis dopadu vyuzˇitı´ zranitelnosti zı´skańı´ znalosti o prostrˇedı´ organizace, aktivum nenı´ ohrozˇeno mozˇnost cˇa´stecˇne´ho posˇkozenı´ nebo kompromitace aktiva mozˇnost posˇkozenı´, znicˇenı´ nebo kompromitace du˚lezˇite´ho aktiva

Tabulka 8.4: Hodnoty zranitelnosti dle na´sledku˚ pro organizaci.

54


Hodnota aktiva

Hrozba Zranitelnost 0 1 2 3 4

m. 0 1 2 3 4

mala´ s. 1 2 3 4 5

v. 2 3 4 5 6

strˇednı´ m. s. v. 1 2 3 2 3 4 3 4 5 4 5 6 5 6 7

m. 2 3 4 5 6

velka´ s. 3 4 5 6 7

v. 4 5 6 7 8

Tabulka 8.5: Matice pro fina´lnı´ vy´pocˇet hodnoty rizika (zranitelnost: mala´, strˇednı´, velka´). Po aplikaci metodiky jsou zı´skańa pro vsˇechna rizika hodnoty v rozmezı´ 0 − 8 vyjadrˇujıćı´ hodnotu rizika pu˚sobıćı´ho na dane´ aktivum, ktere´ jsou interpretovańy v tabulce 8.6. Tabulka take´ definuje zda je riziko prˇijatelne´, prˇ´ıpadneˇ zda je potrˇeba prˇistoupit k jeho dalsˇ´ımu rˇesˇenı´ pomocı´ jeho prˇenesenı´, vyhnutı´ se, prˇijetı´, nebo snı´zˇenı´ pomocı´ kontrolnıćh opatrˇenı´. Sko´re rizika 0−2 3−5 6−8

Hodnota rizika nı´zke´ riziko strˇednı´ riziko vysoke´ riziko

Akceptovatelne´ riziko Ano Ne Ne

Tabulka 8.6: Urcˇenı´ obtı´zˇnosti zneuzˇitı´ zranitelnosti. Prˇ´ıklad vypracovane´ho dokumentu prˇedstavujıćı´ho vy´sˇe popsanou metodiku, kterou je mozˇne´ nasadit v ra´mci hodnocenı´ rizik v organizaci, je dostupny´ v prˇ´ıloze B te´to praće. Vlastnı´ dokument je da´le podporˇen tiskopisy pro soupis aktiv a rizik se vsˇemi na´lezˇitostmi a navıć jednoduchou, ale efektivnı´ realizacı´ metodiky v tabulkove´m procesoru.

8.6

Vypracovańı´ inventa´rˇe aktiv organizace

V okamzˇiku, kdy je vypracovańa metodika hodnocenı´ rizik, je prˇed jejich vlastnı´ identifikacı´ a hodnocenı´m nutne´ vytvorˇit kompletnı´ inventa´rˇ klıćˇovyćh aktiv organizace. V te´to fa´zi by nemeˇly by´t za aktiva povazˇovańy konkre´tnı´ vy´tisky dokumentu˚ a za´znamy informacı´, ale spı´sˇe veˇtsˇ´ı celky a syste´my. Ty pak spadajı´ dle normy ISO/IEC 27002 do jedne´ ze sˇesti skupin uvedenyćh nı´zˇe a pokry´vajıćıćh celou organizaci. Jedna´ se o informacˇnı´, softwarova´ a fyzicka´ aktiva a da´le sluzˇby, osoby a nehmotna´ aktiva. Informacˇnı´ aktiva: mezi aktiva te´to kategorie patrˇ´ı projektove´ plańy, strategie firmy, marketingove´ plańy, vesˇkera´ dokumentace, sˇkolıćı´ materia´ly, vnitrˇnı´ smeˇrnice, narˇ´ızenı´ a politiky, za´znamy o za´kaznıćıćh, smluvnı´ dokumenty, ućˇetnictvı´ a osobnı´ u´daje zameˇstnancu˚. Softwarova´ aktiva: obsahujı´ operacˇnı´ syste´my, aplikace, e-learningove´ zdroje, vy´vojove´ na´stroje a na´stroje pro spra´vu sı´teˇ. Fyzicka´ aktiva: tato aktiva obsahujı´ vesˇkerou vy´pocˇetnı´ techniku organizace vcˇetneˇ tiska´ren a skeneru˚, prvky sı´t’ove´ infrastruktury, komunikacˇnı´ techniku (telefony, mobilnı´ telefony 55

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE a videokonferencˇnı´ zarˇ´ızenı´), dalsˇ´ı du˚lezˇita´ technicka´ zarˇ´ızenı´ jako jsou za´lozˇnı´ baterie, zabezpecˇovacı´ syste´my. Lze zva´zˇit i zahrnutı´ zarˇ´ızenı´ patrˇ´ıcı´ zameˇstnancu˚m organizace, pokud prˇistupujı´ do jejı´ infrastruktury Sluzˇby: typicky´mi prˇedstaviteli aktiv z kategorie sluzˇeb jsou internetova´ konektivita, hlasove´ sluzˇby, doda´vky energiı´ a ostatnı´ zajisˇt’ovane´ cˇinnosti (naprˇ. servis vy´pocˇetnı´ techniky). Persona´lnı´ aktiva: kategorie obsahuje naprˇ´ıklad klıćˇovou kvalifikaci zameˇstnancu˚ a jejich knowhow. Jedna´ se vsˇak o velmi obtı´zˇnou kategorii k vypracovańı´[13]. Prˇesto je vhodne´ vypracovat kriticka´ aktiva typu: zameˇstnanec X je jedinou osobu znajıćı´ detaily sı´t’ove´ infrastruktury organizace, nebo pouze zameˇstnanec Y ma´ nava´zańy kontakty s du˚lezˇity´mi klienty. Nehmotna´ aktiva: do te´to obtı´zˇneˇ popsatelne´ kategorie aktiv patrˇ´ı naprˇ´ıklad reputace a znacˇka organizace. Pra´veˇ protozˇe se jedna´ o obtı´zˇnou kategorii, nemeˇla by by´t brańa na lehkou va´hu, protozˇe naprˇ´ıklad posˇkozenı´ reputace mu˚zˇe by´t pro organizaci fata´lnı´[13]. 8.6.1 Urcˇenı´ vlastnı´ka aktiva Prˇi definici vlastnı´ka aktiva lze vycha´zet z na´sledujıćı´ beˇzˇne´ praxe. Vlastnı´kem vsˇech aktiv spadajıćıćh do kategorie sluzˇeb a take´ neinformatickyćh fyzickyćh aktiv je urcˇena osoba odpoveˇdna´ za podpu˚rne´ cˇinnosti organizace (facility management)[13]. Manazˇerˇi IT a administra´torˇi jsou vlastnı´ky ostatnıćh fyzickyćh a vsˇech softwarovyćh aktiv. Konkre´tnı´ uzˇivatele´ jsou vlastnı´ky prˇ´ımo jim prˇideˇlenyćh notebooku˚, mobilnıćh telefonu˚ a dalsˇ´ıch zarˇ´ızenı´[13]. U neˇkteryćh informacˇnıćh aktiv jako jsou byznys plańy a projektove´ plańy lze zvolit jako vlastnı´ka jejich pu˚vodce. U informacˇnı´m aktiv jako osobnı´ u´daje zameˇstnancu˚ a ućˇetnı´ dokumenty je vhodne´ stanovit vlastnı´kem osobu, ktera´ ma´ nakla´dańı´ s nimi v na´plni praće. 8.6.2 Urcˇenı´ hodnoty aktiva Urcˇenı´ hodnoty aktiva pro organizaci musı´ vycha´zet z vybrane´ metodiky, ktera´ je soucˇa´stı´ dokumentu popisujıćı´ho prˇijatou metodiku pro hodnocenı´ rizik v organizaci. Nejjednodusˇsˇ´ım a nejmeńeˇ prˇesny´m prˇ´ıstupem je zavedenı´ 3–5 stupnˇove´ sˇka´ly popisujıćı´ financˇnı´ hodnotu aktiva, prˇ´ıpadneˇ dopad na organizaci prˇi posˇkozenı´, kompromitaci nebo znicˇenı´ aktiva[33]. Mezi prˇesneˇjsˇ´ı a take´ na zdroje na´kladneˇjsˇ´ımi prˇ´ıstupy pro urcˇenı´ hodnoty aktiva patrˇ´ı metody vyuzˇ´ıvajıćı´ matice[33], What–If? analy´zu[33] nebo soucˇtovy´ algoritmus [36]. 8.6.3 Postup vytvorˇenı´ inventa´rˇe aktiv Prˇi vypracova´vańı´ tohoto seznamu je trˇeba mı´t sta´le na pameˇti cı´le definovane´ v bezpecˇnostnı´ politice a cı´le definovane´ byznys plańem organizace. V okamzˇiku, kdy jsou tyto cı´le spra´vneˇ definovańy (SMART), je pomeˇrneˇ snadne´ nale´zt vsˇechny odpovı´dajıćı´ podcı´le a k nim na´lezˇejıćı´ syste´my. Tyto jsou pak klıćˇovy´mi aktivy, ktere´ je trˇeba chrańit, protozˇe na nich za´lezˇ´ı schopnost organizace doda´vat sve´ produkty a sluzˇby na trh. Kazˇdy´ za´znam aktiva musı´ obsahovat mnozˇinu povinnyćh polozˇek a da´le by meˇl obsahovat dalsˇ´ı polozˇky, pokud je to u konkre´tnı´ho aktiva mozˇne´. Popis teˇchto polozˇek je uveden v tabulce 8.7. 56

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE Povinne´ polozˇky na´zev aktiva popis aktiva vlastnı´k aktiva fyzicke´ umı´steˇnı´ hodnota aktiva

Dalsˇı´ polozˇky identifikacˇnı´ cˇ´ıslo vy´robce datum porˇ´ızenı´ a cena licence detaily za´lohovańı´ zˇivotnost provozovatel (lisˇ´ı–li se od vlastnı´ka)

Tabulka 8.7: Povinne´ a dalsˇ´ı vhodne´ polozˇky u za´znamu˚ v inventa´rˇi aktiv.

Seznam musı´ by´t prˇi kazˇde´m vzniku a vyrˇazenı´ aktiva upravovań a musı´ by´t ve stanovenyćh intervalech revidovań, aby poskytoval co nejaktua´lneˇjsˇ´ı obraz stavu aktiv v organizaci. Proble´m prˇi vypracova´vańı´ inventa´rˇe prˇedstavuje nevhodneˇ zvolena´ u´rovenˇ detailu, ktera´ poskytuje prˇ´ılisˇ mnoho podrobnostı´, nebo prˇ´ılisˇ nı´zkou u´rovenˇ detailu pro poskytovańı´ bezpecˇnosti. Dalsˇ´ım proble´m mu˚zˇe prˇedstavovat inventa´rˇ nerespektujıćı´ rozdeˇlenı´ do kategoriı´, ktere´ pozdeˇji prˇinese komplikace prˇi identifikaci rizik a hledańı´ opatrˇenı´.

8.7

Identifikace a hodnocenı´ rizik

Po vytvorˇenı´ vy´sˇe uvedene´ho inventa´rˇe aktiv organizace je prˇistoupeno k identifikaci maxima´lnı´ho mnozˇstvı´ rizik vztahujıćıćh se k teˇmto aktivu˚m a jejich ohodnocenı´ vzhledem k jejich za´vazˇnosti v souladu s drˇ´ıve definovanou metodikou hodnocenı´ rizik. Vy´stupy te´to kapitoly mohou vytvorˇit samostatny´ dokument, nebo mohou by´t prˇipojeny jako dalsˇ´ı sloupce do vytvorˇene´ tabulky s inventa´rˇem aktiv. Identifikace a hodnocenı´ rizik musı´ by´t prova´deˇna opeˇt periodicky, aby se zamezilo existenci neidentifikovanyćh hrozeb a naopak nebyly sta´le zvazˇovańy jizˇ da´vno neplatne´ hrozby. Pokud organizace soucˇasneˇ pracuje na proveˇrˇenı´ pro praći s utajovany´mi skutecˇnostmi, je pro usnadneˇnı´ pracı´ a snı´zˇenı´ na´kladu˚ vhodne´ zvolit metodiku hodnocenı´ rizik kompatibilnı´ s tı´mto prˇ´ıstupem. Bohuzˇel se nepodarˇilo stoprocentneˇ identifikovat metodiku vyuzˇ´ıvanou v za´koneˇ cˇ. 412/2005 Sb. a k neˇmu se vztahujıćı´m vyhla´sˇka´m, ale dostupne´ informace naznacˇujı´, zˇe se jedna´ pra´veˇ o metodiku prˇedstavenou v bodeˇ 8.5.2 a prˇ´ıloze B te´to praće. Vzhledem k faktu, zˇe i nejjednodusˇsˇ´ı metodiky spotrˇebova´vajı´ prˇi sve´m vypracovańı´ netrivia´lnı´ zdroju˚ a cˇasu, je vhodne´ jejich prova´deˇnı´ podporˇit specializovany´m software. V prˇ´ıpadeˇ vlastnı´ metodiky se uka´zal by´t uzˇitecˇny´m pomocnı´kem beˇzˇny´ tabulkovy´ procesor, ktery´ umozˇnil cely´ vy´pocˇet prova´deˇt automaticky a minimalizovat mozˇnost lidske´ chyby. Stejneˇ jako u identifikace aktiv je i zde proble´mem zvolenı´ vhodne´ u´rovneˇ detailu, ktera´ balancuje mezi prˇ´ılisˇ rozsa´hly´mi, podrobny´mi a teˇzˇko uchopitelny´mi opatrˇenı´mi a nedostatecˇnou u´rovnı´ detailu, ktera´ nenı´ schopna´ umozˇnit provoz informacˇnı´ bezpecˇnosti. 57


Obra´zek 8.1: Prˇ´ıklad podpu˚rne´ho na´stroje metodiky 8.5 v tabulkove´m procesoru Calc.

Obra´zek 8.2: Prˇ´ıklad vyhodnocenyćh rizik v podpu˚rne´m na´stroji metodiky 8.5.

8.7.1 Identifikace rizik Prˇi identifikaci rizik je vhodne´ zacˇ´ıt identifikacı´ soucˇasnyćh skutecˇnyćh i potencia´lnıćh hrozeb a zranitelnostı´ pro kazˇde´ aktivum a tento okruh postupneˇ rozsˇirˇovat. Riziko prˇedstavuje dle definice ISO/IEC 27000 a te´to praće: „kombinace pravdeˇpodobnosti uda´losti (hrozby) spolecˇneˇ s jejı´m dopadem. Jedna´ se tedy o ztra´tu, posˇkozenı´ nebo znicˇenı´ aktiva z du˚vodu vyuzˇitı´ zranitelnosti hrozbou.“ Hrozba byla definovańa v u´vodnı´ kapitole praće jako: „uda´lost, ktera´ mu˚zˇe vyvola´ incident, ktery´ zpu˚sobı´ u´jmu syste´mu v organizaci, nebo jı´ samotne´. Hrozba tedy vzˇdy vyuzˇ´ıva´ zranitelnosti k zı´skańı´, posˇkozenı´, nebo znicˇenı´ aktiva.“ Hledańy jsou uda´losti rozrˇaditelne´ do kategoriı´ dle pu˚vodu na u´myslne´ zpu˚sobenı´ sˇkody, nechteˇne´ incidenty zpu˚sobujıćı´ sˇkodu a uda´losti zpu˚sobujıćı´ sˇkody vysˇsˇ´ı mocı´[20]. Tyto hrozby je pak mozˇne´ rozdeˇlit dle typu do sedmi kategoriı´ v jako v tabulce s prˇ´ıklady 8.8 vycha´zejıćı´ z prˇ´ılohy C normy ISO/IEC 27005[20]. Zvla´sˇtnı´ zrˇetel je pak nutne´ bra´t na hrozby spojene´ s lidmi, ktere´ mohou by´t da´le rozdeˇleny dle typu pu˚vodce hrozby (hacker, pocˇ´ıtacˇovy´ krimina´lnı´k, terorista, pru˚myslovy´ sˇpioń, insader) vzhledem k jeho motivaci a na´sledne´mu incidentu[20]. Da´le je pro spojenı´ hrozby a zranitelnosti do rizika provedena u kazˇde´ho aktiva identifikace zranitelnosti drˇ´ıve definovane´ jako: „slabina aktiva, ktera´ mu˚zˇe by´t vyuzˇita v ra´mci urcˇite´ hrozby.“ Tuto identifikaci hrozeb a zranitelnostı´ je mozˇne´ prove´st vytvorˇenı´m tabulky se strukturou 58

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE Typ Fyzicka´ sˇkoda Vysˇsˇ´ı moc Ztra´ta du˚lezˇite´ sluzˇby Rusˇenı´ v du˚sledku radiace Kompromitace informacı´ Technicke´ selhańı´ Neautorizovana´ akce Kompromitace funkce

Hrozba pozˇa´r povodenˇ vy´padek telekomunikacı´ elektromagneticky´ puls kra´dezˇ me´dia/dokumentu selhańı´ vybavenı´ posˇkozenı´ dat zneuzˇitı´ pra´v

Pu˚vod u´myslny´, nechteˇny´, vysˇsˇ´ı moc vysˇsˇ´ı moc u´myslny´, nechteˇny´ u´myslny´, nechteˇny´, vysˇsˇ´ı moc u´myslny´ nechteˇny´ u´myslny´ u´myslny´, nechteˇny´

Tabulka 8.8: Prˇ´ıklady vsˇech typu˚ hrozeb pro aktiva organizace. podobnou te´ v tabulce 8.9 s prˇ´ıklady a vyuzˇitı´m prˇ´ıkladu˚ s definovany´mi okruhy zranitelnostı´ a odpovı´dajıćıćh hrozeb z prˇ´ılohy D normy ISO/IEC 27005[20]. Okruh Hardware Software Pocˇ´ıtacˇova´ sı´t’ Zameˇstnanci Prostory organizace Organizacˇnı´ postupy

Zranitelnost nekontrolovane´ kopı´rovańı´ beˇzˇ´ıcı´ nepotrˇebne´ sluzˇby nechrańeˇny´ citlivy´ provoz nevhodny´ na´borovy´ postup nestabilnı´ rozvodna´ sı´t’ mezery v zabezpecˇenı´ budovy

Hrozba kra´dezˇ me´dia/dokumentu neautorizovane´ zpracovańı´ dat odposlech dat/informacı´ znicˇenı´ vybavenı´/dat ztra´ta napa´jenı´ kra´dezˇ vybavenı´/dokumentu˚

Tabulka 8.9: Prˇ´ıklady zranitelnostı´ a hrozeb ze vsˇech okruhu˚. Pro vyhleda´vańı´ zranitelnostı´ lze da´le vyuzˇ´ıt v oblasti informacˇnıćh technologiı´ postupy zahrnujıćı´ naprˇ´ıklad specializovane´ automaticke´ na´stroje testujıćı´ zranitelnosti, simulovane´ u´toky na aktiva, code review, penetracˇnı´ testovańı´ infrastruktury a aplikacı´. Po dokoncˇenı´ identifikace hrozeb a zranitelnostı´ je nutne´ doplnit v dokumentu popis rizik hrozıćıćh kazˇde´mu z aktiv. Take´ je trˇeba u kazˇde´ho rizika doplnit pozˇadavky na jeho du˚veˇrnost, integritu a dostupnost. V okamzˇiku, kdy jsou u´daje doplneˇny, je mozˇne´ prˇejı´t k hodnocenı´ rizik. 8.7.2 Hodnocenı´ rizik Hodnocenı´ rizik umozˇnˇuje prˇideˇlit riziku˚m vztahujıćı´m se k aktivu˚m odpovı´dajıćı´ u´rovenˇ, ktera´ je urcˇena organizacı´ prˇijatou metodikou pro hodnocenı´ rizik. Obecneˇ jsou pro prˇirˇazenı´ rizika zvazˇovańy parametry jako hodnota ohrozˇene´ho aktiva, frekvence se kterou se mu˚zˇe dana´ hrozba opakovat a sˇkoda, ktera´ mu˚zˇe by´t zpu˚sobena organizaci, jejı´m za´kaznı´ku˚m anebo partneru˚m. Postup lze prˇirovnat k funkci, ktere´ jsou prˇedlozˇeny parametry a ona v za´vislosti na nich deterministicky urcˇ´ı u´rovenˇ rizika pro aktivum. V ra´mci hodnocenı´ jsou rizika rozdeˇlena na dveˇ rozsa´hle´ skupiny. V prvnı´ z nich se nacha´zejı´ rizika, ktera´ vyzˇadujı´ nasazenı´ opatrˇenı´ pro jejich snı´zˇenı´ na prˇijatelnou u´rovenˇ. V druhe´ skupineˇ jsou shroma´zˇdeˇna rizika, ktera´ neprˇesahujı´ stanovene´ limity. Ta jsou oznacˇena za prˇijatelna´ 59

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE a nebudou da´le rˇesˇena. Prˇestozˇe by bylo idea´lnı´ snı´zˇit vsˇechna nalezena´ rizika na minimum, nenı´ vzhledem k neprˇedstavitelne´ na´rocˇnosti tento prˇ´ıstup praktikovań. Vzˇdy jsou tedy rˇesˇena pouze ta rizika, ktera´ jsou vzhledem ke sve´ u´rovni neprˇijatelna´.

8.8

Identifikace a na´vrh mozˇnyćh opatrˇenı´

Po provedene´ analy´ze a hodnocenı´ rizik jsou pro vsˇechna neprˇijatelne´ rizika vybrańa vhodna´ opatrˇenı´, ktera´ je budou minimalizovat na prˇijatelnou u´rovenˇ. Tato jsou na´sledneˇ potvrzena managementem organizace. Vhodnou kontrolou prˇi zava´deˇnı´ opatrˇenı´ je fakt, zda na´klady na neˇj neprˇevysˇujı´ ztra´ty zpu˚sobene´ realizacı´ hrozby. Opatrˇenı´ pro kontrolu a minimalizaci rizik jsou prˇednostneˇ vybı´rańa z prˇ´ılohy A normy ISO/IEC 27001. Vsˇechna zde uvedena´ opatrˇenı´ je organizace povinna vyuzˇ´ıt, prˇ´ıpadneˇ zdu˚vodnit jejich vynechańı´. V prˇ´ıpadeˇ, zˇe normou prˇedlozˇena´ opatrˇenı´ nestacˇ´ı ke snı´zˇenı´ rizika na prˇijatelnou u´rovenˇ, je trˇeba aby organizace implementovala dalsˇ´ı kontrolnı´ opatrˇenı´ nad ra´mec normy. Du˚lezˇite´ informace vztahujıćı´ se ke kazˇde´mu opatrˇenı´ z prˇ´ılohy A jsou uvedeny v odpovı´dajıćı´m bodu normy ISO/IEC 27002. Kazˇde´ z nich obsahuje popis samotne´ho opatrˇenı´, doporucˇeny´ postup jeho implementace a du˚lezˇite´ rady pro u´speˇsˇne´ zavedenı´. V prˇ´ıpadeˇ na´vrhu opatrˇenı´ v organizaci prˇistupujıćı´ k utajovany´m skutecˇnostem je potrˇeba vyuzˇ´ıt teˇch doporucˇovanyćh prova´deˇcı´mi vyhla´sˇkami za´kona cˇ. 412/2005 Sb. Zejmeńa opatrˇenı´ definovana´ v prˇ´ıloze cˇ. 1 vyhla´sˇky cˇ. 528/2005 Sb. zaobı´rajıćı´ se fyzickou bezpecˇnostı´ jsou velmi dobrˇe zpracovańa a mohou slouzˇit jako na´vod i pro organizace, ktere´ certifikaci pro praći s utajovany´mi skutecˇnostmi nezvazˇujı´. V ra´mci rˇesˇenı´ rizik je take´ mozˇne´ mı´sto aplikace opatrˇenı´ neˇktera´ rizika takzvaneˇ prˇijmout. Jedna´ se o prˇ´ıpady, kdy je organizace s rizikem sezna´mena, ale opatrˇenı´ pro jejich zvla´dnutı´ jsou podstatneˇ drazˇsˇ´ı nezˇ ztra´ta zpu˚sobena´ realizacı´ hrozby. Dalsˇ´ı mozˇnostı´ je prˇesunutı´ rizika na trˇetı´ stranu, naprˇ´ıklad vytvorˇenı´m subdoda´vky na aktivitu, nebo pojisˇteˇnı´ vu˚cˇi riziku. Vy´stupem pracı´ je dokument popisujıćı´ rˇesˇenı´ rizik, ktery´ musı´ obsahovat postup zvoleny´ pro kazˇde´ z rizik (snı´zˇenı´ rizika, vyhnutı´, prˇ´ıjetı´, prˇenos), vyuzˇite´ kontrolnı´ opatrˇenı´, prˇ´ıpadneˇ dalsˇ´ı nasazena´ opatrˇenı´ nad ra´mec teˇch stanovenyćh normou. Da´le je nutne´ u kazˇde´ho rizika uve´st, zda je jizˇ rˇesˇeno neˇjaky´m opatrˇenı´m a v jake´m cˇasove´m horizontu bude implementovańo opatrˇenı´ nove´, jizˇ plneˇ vyhovujıćı´ pozˇadavku˚m ISMS. 8.8.1 Zajisˇteˇnı´ souhlasu managementu se zbytkovy´mi riziky Soucˇa´stı´ fa´ze identifikace a na´vrhu opatrˇenı´ snizˇujıćıćh rizika je take´ zı´skańı´ souhlasu managementu organizace s navrzˇeny´mi opatrˇenı´mi, zbytkovy´mi riziky pro jednotliva´ aktiva a zı´skańı´ povolenı´ k implementaci ISMS. Z tohoto rozhodnutı´ managementu organizace je na´sledneˇ porˇ´ızen za´znam, ktery´ se sta´va´ soucˇa´stı´ dokumentace ISMS. Prˇi zı´ska´vańı´ souhlasu managementu mu˚zˇe hrozit riziko nepochopenı´ definovanyćh opatrˇenı´ a faktu, zˇe nenı´ mozˇne´, prˇ´ıpadneˇ ekonomicky rentabilnı´, rizika u´plneˇ odstranit. Take´ se zde mu˚zˇe projevit nedostatek podpory ze strany managementu, ktery´ bude brańit naprˇ´ıklad z neznalosti odsouhlasenı´ zbytkovyćh rizik nebo neˇkteryćh opatrˇenı´. 60

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE 8.8.2 Prohla´sˇenı´ o aplikovatelnosti Spolecˇneˇ se zı´skańı´m souhlasu managementu je nutne´ vypracovat prohla´sˇenı´ o aplikovatelnosti Statement of Applicability (SoA), ktere´ prˇedstavuje shrnutı´ vsˇech ucˇineˇnyćh rozhodnutı´ a zvazˇovanyćh opatrˇenı´ pro minimalizaci odhalenyćh rizik. Tento dokument je za´kladem pro rˇ´ızenı´ ISMS a jeho prˇ´ıpadnou certifikaci. Povinny´m obsahem jsou cı´le opatrˇenı´ a zvolena´ kontrolnı´ opatrˇenı´ z prˇ´ılohy A normy ISO/IEC 27001 spolecˇneˇ s popisem du˚vodu˚, ktere´ vedly k jeho vybrańı´ a seznam aktua´lnı´ho stavu implementace opatrˇenı´. Vhodne´ je doplnit seznam o na´zvy dokumentu˚ obsahujıćıćh detailnı´ popisy opatrˇenı´. V neˇkteryćh prˇ´ıpadech je dokument da´le rozsˇirˇovań o volitelne´ polozˇky. Da´le musı´ by´t prˇipojen soupis nepouzˇityćh opatrˇenı´ z prˇ´ılohy normy spolecˇneˇ s odu˚vodneˇnı´m, procˇ nebylo pouzˇito. Tento postup zava´dı´ kontrolu zarucˇujıćı´, zˇe zˇa´dne´ z opatrˇenı´ nebude omylem opomenuto. Vy´sledny´ dokument Statement of Applicability, musı´ obsahovat tabulku s nı´zˇe uvedeny´mi sloupci, pokry´vajıćı´ vsˇechna opatrˇenı´ z normy a prˇ´ıpadneˇ dodatecˇna´ opatrˇenı´. Oblast opatrˇenı´: obsahuje prˇesny´ na´zev jedne´ z dvanaćti oblastı´ kontrolnıćh cı´lu˚ a opatrˇenı´ z prˇ´ılohy A normy ISO/IEC 27001 (6.5.3). Identifikacˇnı´ cˇ´ıslo opatrˇenı´: cˇ´ıslo opatrˇenı´ z prˇ´ılohy A normy ISO/IEC 27001. Na´zev kontrolnı´ho opatrˇenı´: na´zev kontrolnı´ho cı´le nebo opatrˇenı´ dle prˇ´ılohy A, ISO/IEC 27001. Soucˇasny´ stav opatrˇenı´: prohla´sˇenı´, zda je kontrolnı´ opatrˇenı´ v soucˇasne´ dobeˇ aplikovańo a prˇ´ıpadneˇ jaky´ je stav aktua´lnı´ stav implementace. Odu˚vodneˇnı´ vynechańı´ opatrˇenı´: dostacˇujıćı´ opatrˇenı´, procˇ bylo opatrˇenı´ vynechańo a nebude vyuzˇito (organizace neprovozuje e-commerce, organizace nevyuzˇ´ıva´ on-line platby, vy´voj software nenı´ outsourcovań). Du˚vody pro zvolenı´ opatrˇenı´: popis du˚vodu˚, ktere´ vedly ke zvolenı´ tohoto opatrˇenı´. Mezi legitimnı´ du˚vody pro zvolenı´ konkre´tnı´ho opatrˇenı´ lze zahrnout naprˇ´ıklad legislativnı´ smluvnı´ a byznys pozˇadavky, best practices a vy´sledek hodnocenı´ rizik. Odkaz na samotne´ opatrˇenı´: na´zev, nebo odkaz na dokumentace popisujıćı´ implementaci dotcˇene´ho kontrolnı´ho opatrˇenı´ v organizaci. Cˇasty´m proble´mem je nepochopenı´ konceptu dokumentu SoA. Du˚sledkem je jeho vytvorˇenı´ bez vsˇech potrˇebnıćh na´lezˇitostı´[15]. Obecneˇ lze zmıńit chybeˇjıćı´ popis stavu opatrˇenı´, odu˚vodneˇnı´ vyloucˇenyćh a zvolenyćh opatrˇenı´[15]. Na´sledkem tohoto je obtı´zˇne´ sva´zat opatrˇenı´ s riziky, ktera´ pokry´vajı´ a byznys cı´li a procesy, ktere´ podporujı´[15].

8.9

Nasazenı´ opatrˇenı´ pro kontrolu rizik

Po identifikaci jednotlivyćh opatrˇenı´ je mozˇne´ zacˇ´ıt prˇipravovat jejich realizaci a nasazenı´ v prostrˇedı´ spolecˇnosti. V ra´mci tohoto postupu je nutne´ mı´t na pameˇti existenci hierarchie politik, 61

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE ktere´ se navza´jem podporujı´ a vedou ke splneˇnı´ urcˇene´ho cı´le. Da´le je prˇi tvorbeˇ konkre´tnıćh politik trˇeba pamatovat na fakt, zˇe bezpecˇnostnı´ politika je pouze jednou z mnoha a nesmı´ kvu˚li dodrzˇovańı´ bezpecˇnostnıćh postupu˚ zpu˚sobovat za´sadnı´ omezenı´ byznysu organizace. 8.9.1 Omezenı´ opatrˇenı´ snizˇujıćıćh rizika Prˇi vy´beˇru opatrˇenı´ vzesˇlyćh z analy´zy a hodnocenı´ rizik v organizaci je nutne´ bra´t v potaz rea´lna´ omezenı´ metod na snizˇovańı´ rizik vznikajıćıćh v du˚sledku rozlicˇnyćh vneˇjsˇ´ıch i vnitrˇnıćh vlivu˚ pu˚sobıćıćh na organizaci. Tato mohou zpu˚sobit omezenı´ ućˇinnosti opatrˇenı´ snizˇovańı´ rizik, prˇ´ıpadneˇ mohou zpu˚sobit naproste´ znemozˇneˇnı´ jeho funkce. Cˇasova´ omezenı´: vyjadrˇujı´ cˇas, po ktery´ je management ochoten vystavit aktivum riziku, termıń implementace opatrˇenı´, dobu zˇivotnosti aktiva a mnoha´ dalsˇ´ı. Financˇnı´ omezenı´: vyjadrˇujı´ potrˇebu, aby implementace a provoz opatrˇenı´ byl financˇneˇ rentabilnı´, tedy aby na´klady na opatrˇenı´ nebyly vysˇsˇ´ı nezˇ ztra´ty zpu˚sobene´ incidentem. Technicka´ omezenı´: slozˇity´ hardware a software prodrazˇuje opatrˇenı´ a zvysˇuje riziko chyby. Operacˇnı´ omezenı´: prodrazˇujı´ cenu neˇkteryćh opatrˇenı´, pokud nejsou zvazˇovańa jizˇ od pocˇa´tku. Kulturnı´ omezenı´: omezujı´ neˇktera´ opatrˇenı´ (naprˇ. prohleda´vańı´ zavazadel) a mohou zpu˚sobit selhańı´ opatrˇenı´ za´visejıćıćh na aktivnı´ cˇinnosti persona´lu. Eticka´ omezenı´: ovlivnˇujı´ nebo zamezujı´ implementaci opatrˇenı´ jako naprˇ´ıklad kontrolu emailove´ komunikace a kladou zvy´sˇene´ na´roky na opatrˇenı´ z oblasti naprˇ´ıklad zdravotnictvı´. Omezenı´ prostrˇedı´: klimaticke´ podmıńky a prˇ´ırodnı´ jevy (naprˇ. vysoka´ vlhkost, cˇasta´ zemeˇtrˇesenı´) v oblasti mohou ovlivnˇovat vy´beˇr a nasazenı´ kontrolnıćh opatrˇenı´. Legislativnı´ omezenı´: omezenı´ dana´ prˇedpisy a za´kon snizˇujı´ ućˇinnost, cˇi znemozˇnˇujı´ zavedenı´ opatrˇenı´ (naprˇ. ochrana osobnıćh informacı´, pozˇa´rnı´ prˇedpisy, regulace kryptografie). Omezenı´ pouzˇitelnosti: zpu˚sobuje kvu˚li sˇpatne´ implementaci rozhranı´, nebo vysoke´ slozˇitosti pouzˇ´ıvańı´ zvy´sˇene´ mnozˇstvı´ lidskyćh chyb snizˇujıćıćh efektivitu opatrˇenı´. Persona´lnı´ omezenı´: dostupnost, platove´ podmıńky, bezpecˇnostnı´ proveˇrˇenı´ a v neposlednı´ rˇadeˇ znalosti zameˇstnancu˚ vy´znamneˇ ovlivnˇujı´ sı´lu a efektivitu opatrˇenı´. Integracˇnı´ omezenı´: prˇedstavujı´ proble´my prˇi integraci nove´ho opatrˇenı´ se sta´vajıćı´mi opatrˇenı´mi v organizaci. Zpu˚sobujı´ prodrazˇenı´ nasazenı´ opatrˇenı´, nebo omezenı´ funkce. 8.9.2 Na´vrh a implementace opatrˇenı´ V ra´mci dotcˇene´ organizace politiky reflektujı´ pravidla nastavena´ pro prova´deˇnı´ procesu˚, ktere´ zajistı´ bezpecˇne´ vyuzˇ´ıvańı´ aktiv pro podporu byznys plańu organizace. Pro jejich podporu je 62


Vysokoúrovňové politiky

Celkový pohled na oblast

Specifické politiky

Celkový pohled na problematiku

Vysokoúrovňové specifické politiky

Bezpečnostní politika Marketingová politika Vývojová politika

Politika informační bezpečnosti

Politika práce v počítačové síti Detailní řešení konkrétního problému

Politika přístupových práv Politika využívání mobilních zařízení

Obra´zek 8.3: Hierarchie politik v organizaci.

mozˇne´ v prˇ´ıpadeˇ nutnosti ustavit procedury, ktere´ prˇedstavujı´ prˇesnou implementaci procesu splnˇujıćı´ho danou politiku. Vzhledem k pozˇadavku˚m ISMS musı´ by´t kazˇde´ nasazene´ opatrˇenı´ vhodneˇ dokumentovańo, aby byla zachovańa mozˇnost prova´deˇnı´ vnitrˇnıćh auditu˚ organizace a pru˚beˇhu cyklu neusta´le´ho zlepsˇovańı´ PDCA. Je tedy velmi vhodne´ vytvorˇit obecnou sˇablonu politiky a procedury, ktere´ je mozˇno vyuzˇ´ıvat a udrzˇet tak nastavene´ pozˇadavky. Prˇi tvorbeˇ politik pro organizaci je nutne´ zajistit, aby tyto dokumenty poskytovaly jasneˇ definovany´ a prˇesto strucˇny´ a snadno pochopitelny´ pohled na implementovana´ opatrˇenı´. V dokumentu by meˇla by´t urcˇena pokry´vana´ oblast, detailnı´ popis pozˇadavku˚ a popis z neˇj plynoucıćh odpoveˇdnostı´ pro jednotlive´ role v organizaci. Prˇ´ıklad dokumentu prˇedstavujıćı´ho sˇablonu politiky je dostupny´ v prˇ´ıloze C te´to diplomove´ praće a v prˇ´ıloze D je mozˇne´ naleznout politiku pro vyuzˇ´ıvanı´ mobilnıćh zarˇ´ızenı´ vypravovanou dle te´to sˇablony. 63

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE Je trˇeba pamatovat na fakt, zˇe neˇktera´ opatrˇenı´ mohou produkovat dalsˇ´ı dokumenty (za´znamy) jako naprˇ´ıklad arch s podpisy na´vsˇteˇvnı´ku˚ organizace, ktere´ je take´ trˇeba archivovat pro ućˇely auditu. Vesˇkere´ politiky a procedury by meˇly by´t dostupne´ zameˇstnancu˚m organizace v tisˇteˇne´ verzi i v elektronicke´ podobeˇ v dokumentove´m skladu organizace. Pro nakla´dańı´ se vsˇemi dokumenty a za´znamy by meˇla by´t take´ ustavena politika dle pozˇadavku˚ ISO/IEC 27001. Po u´speˇsˇne´m nasazenı´ politiky a jejıćh procedur, je vhodne´ sezna´mit zameˇstnance odpovı´dajıćı´ formou vzhledem k jejich roli s konkretnı´mi opatrˇenı´mi, ktere´ politika prˇedstavuje, zdu˚raznit jejich odpoveˇdnosti a popsat prˇ´ıspeˇvek politiky k informacˇnı´ bezpecˇnosti.

8.9.3 Opatrˇenı´ proti nejcˇasteˇji se vyskytujıćı´m hrozba´m Pokud jsou uvazˇovańy beˇzˇne´ organizace vyuzˇ´ıvajıćı´ informacˇnı´ technologie, lze v ra´mci te´to skupiny pomeˇrneˇ snadno identifikovat sadu nejcˇasteˇji se vyskytujıćıćh hrozeb pro jejich informacˇnı´ bezpecˇnost. Tyto hrozby jsou spojeny s aktivy vyskytujıćı´mi se v organizacıćh vyuzˇ´ıvajıćıćh informacˇnı´ technologie. Lisˇ´ı se pouze za´vazˇnostı´ dopadu v prˇ´ıpadeˇ realizace. Nejcˇasteˇjsˇ´ı pozorovane´ hrozby potvrzene´ jejich popisem v prˇ´ıloze normy ISO/IEC 27005 jsou uvedeny v tabulce 8.10 spolecˇneˇ s nejcˇasteˇji ohrozˇeny´mi aktivy v beˇzˇnyćh organizacıćh. Prˇedstavujı´ dobry´ zacˇa´tek pro identifikaci hrozeb te´meˇrˇ v kazˇde´ organizaci vyuzˇ´ıvajıćı´ pro svou praći beˇzˇne´ informacˇnı´ technologie. Hrozba nespra´vne´ pouzˇitı´ kra´dezˇ aktiva

posˇkozenı´ aktiva zneuzˇitı´ opra´vneˇnı´ selhańı´ software neautorizovane´ pouzˇitı´ neautorizovane´ zpracovańı´

Nejcˇasteˇji ohrozˇena´ aktiva programy, inf. syste´my, hardware a technicke´ vybavenı´ dokumenty (fyzicka´ i elektronicka´ forma) prˇenosne´ vybavenı´ (notebooky, chytre´ telefony) nosicˇe informacı´ (externı´ disky, flash disky, DVD) informace v programech a inf. syste´mech hardware a technicke´ vybavenı´ programy, informacˇnı´ syste´my programy, informacˇnı´ syste´my hardware a technicke´ vybavenı´ (du˚veˇrne´) informace organizace

Tabulka 8.10: Nejcˇasteˇji se vyskytujıćı´ hrozby a zasazˇena´ aktiva. Pro snı´zˇenı´ rizik spojenyćh s nejcˇasteˇji se vyskytujıćı´mi hrozbami uvedeny´mi v tabulce 8.10 lze s pomeˇrneˇ vysokou sˇancı´ na u´speˇch pouzˇ´ıt na´sledujıćı´ vybrana´ protiopatrˇenı´. Ta majı´ za´klad v opatrˇenıćh vyzˇadovanyćh v prˇ´ıloze A normy ISO/IEC 27001, jejichzˇ vyuzˇitı´ je za´vazne´. Mohou vsˇak by´t doplneˇna o dalsˇ´ı prvky v prˇ´ıpadeˇ, zˇe by dostatecˇneˇ nepokry´vala riziko zpu˚sobene´ hrozbou a nesnizˇovala ho tak na prˇijatelnou u´rovenˇ. Prˇi na´vrhu teˇchto opatrˇenı´ vsˇak byla zvazˇovańa i cena jejich zavedenı´ a provozu, aby tato protiopatrˇenı´ byla dostatecˇneˇ efektivnı´ s co nejmensˇ´ımi na´klady. Proto nebylo uvazˇovańo zava´deˇnı´ zˇa´dnyćh novyćh rozsa´hlyćh syste´mu˚, pokud to nenı´ nezbytneˇ nutne´. Protiopatrˇenı´ 64

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE jsou tedy spı´sˇe drobneˇjsˇ´ıho procesnı´ho charakteru s maly´mi provoznı´mi na´klady. Jsou tak vhodna´ i pro mensˇ´ı organizace s napnuty´m rozpocˇtem. Opatrˇenı´ persona´lnı´ bezpecˇnosti: prˇedstavujı´ soubor opatrˇenı´ zajisˇt’ujıćıćh informacˇnı´ bezpecˇnost prˇi na´boru, praći a propusˇteˇnı´ zameˇstnancu˚. Zajisˇt’uje tak ochranu proti nespra´vne´mu pouzˇ´ıvańı´, posˇkozenı´ a kra´dezˇi aktiv. Mezi typicka´ opatrˇenı´ patrˇ´ı pecˇlive´ proveˇrˇenı´ zˇadatelu˚ o zameˇstnańı´, vhodneˇ realizovany´ na´borovy´ proces, podpis akceptovańı´ pozˇadavku˚ informacˇnı´ bezpecˇnosti prˇi na´stupu, vzdeˇla´vańı´ uzˇivatelu˚ nejen v oblasti informacˇnı´ bezpecˇnosti, nastavenı´ disciplina´rnıćh procesu˚ a odebrańı´ vsˇech prˇ´ıstupovyćh pra´v a aktiv prˇi ukoncˇenı´ pracovnı´ho pomeˇru. U teˇchto opatrˇenı´ platı´ vıće nezˇ u ostatnıćh potrˇeba nastavenı´ procesu˚ a du˚sledne´ dokumentace, aby se prˇedesˇlo pra´vnı´m komplikacı´m. Opatrˇenı´ fyzicke´ bezpecˇnosti: prˇedstavujı´ soubor opatrˇenı´ zabranˇujıćıćh prˇ´ıme´ kra´dezˇi pocˇ´ıtacˇu˚, tisˇteˇnyćh dokumentu˚ a elektronickyćh me´diı´. Da´le znesnadnˇujı´ fyzickou ochranou neautorizovanou praći s nimi a neautorizovane´ zpracovańı´ informacı´ organizace. Teˇchto cı´lu˚ je typicky dosahovańo zajisˇteˇnı´m fyzicke´ho perimetru organizace prˇedstavovane´ho ploty, zdmi, okny, dverˇmi a zavedenı´m fyzicke´ kontroly prˇ´ıstupu do organizace a vsˇech jejich prostor. To je mozˇne´ zajistit pomocı´ instalace vhodnyćh za´mku˚, du˚sledne´ho vyzˇadovańı´ zamykańı´ vstupu a prostor organizace v prˇ´ıpadeˇ neprˇ´ıtomnosti zameˇstnancu˚, pomocı´ vyzˇadovańı´ doprovodu na´vsˇteˇv organizace, prˇ´ıpadneˇ vytvorˇenı´m recepce. Opatrˇenı´ lze u prˇenosnyćh zarˇ´ızenı´ podporˇit na neˇ zameˇrˇenou politikou (prˇ´ıloha D). Politika za´lohovańı´: spra´vneˇ nastavene´ za´lohovacı´ politiky umozˇnˇujı´ organizaci prˇekonat na´sledky selhańı´ software a informacˇnıćh syste´mu˚. Stejneˇ tak minimalizujı´ sˇkody zpu˚sobene´ fyzicky´m posˇkozenı´m, nebo znicˇenı´m neˇktere´ho ze serveru˚ nebo stanic. Vypracovańı´m te´to politiky, stejneˇ jako odpoveˇdnostı´ za jejı´ plneˇnı´, by meˇla by´t poveˇrˇena osoba nebo oddeˇlenı´ odpoveˇdne´ za provoz IT infrastruktury organizace. Vy´sledna´ politika je za´visla´ na potrˇebaćh organizace. Obecneˇ lze doporucˇit za´lohovańı´ v dennıćh intervalech s meˇsıćˇnı´m intervalem tvorby pevnyćh za´loh. Tyto by meˇly by´t skladovańy mimo organizaci. Politika monitorovańı´ aktiv: politika prˇedstavuje pozˇadavky na nastavenı´ procesu˚ pro monitorovańı´ prˇeva´zˇneˇ hardwarove´ho vybavenı´ organizace, jejich programu˚ a informacˇnıćh syste´mu˚, ktere´ prˇedstavuje dobry´ zpu˚sob pro minimalizaci sˇkod zpu˚sobenyćh selhańı´m software a poruchami, prˇ´ıpadneˇ posˇkozenı´m hardware. Ve sve´ podstateˇ se jedna´ o pomeˇrneˇ nena´rocˇne´ opatrˇenı´ vyzˇadujıćı´ pravidelnou kontrolu generovanyćh logu˚ ve vhodneˇ nastavene´m cˇasove´m okneˇ. Jako idea´lnı´ se zde jevı´ vyuzˇitı´ neˇktere´ho z na´stroju˚ zajisˇt’ujıćı´ho podporu tohoto procesu. Da´le je vhodne´ ustanovit osoby odpoveˇdneˇ za rˇesˇenı´ krizovyćh situacı´, ktere´ by meˇly by´t dostupne´ pro prˇ´ıpad nouze v rezˇimu 24/7. Opatrˇenı´ nakla´dańı´ s dokumenty a me´dii: tato opatrˇenı´ se zameˇrˇujı´ na regulaci praće s tisˇteˇny´mi dokumenty a elektronicky´mi me´dii (DVD, flash disky a externı´ disky) obsahujıćı´mi ru˚zneˇ citlive´ informace patrˇ´ıcı´ organizaci, nebo se k nı´ vztahujıćı´. Jejich u´kolem je zabrańit kra´dezˇi, nebo zneuzˇitı´ teˇchto dokumentu˚. Opatrˇenı´ vhodneˇ doplnˇuje opatrˇenı´ persona´lnı´ bezpecˇnosti, prˇedevsˇ´ım v oblasti managementu me´diı´ a pozˇadavku˚ na jejich nicˇenı´. Proveditelna´ opatrˇenı´ pak jsou, pozˇadavek nenecha´vat me´dia a dokumenty bez dozoru a volneˇ 65

8. PROVEDENY´ POSTUP SPOLECˇNE´ IMPLEMENTACE prˇ´ıstupna´, citlive´ informace smı´ by´t prˇena´sˇeny na me´diıćh pouze v sˇifrovane´ podobeˇ. Vesˇkera´ me´dia a dokumenty musı´ by´t po ukoncˇenı´ sve´ zˇivotnosti odpoveˇdnou osobou skartovańy v souladu se skartacˇnı´ politikou.

Politika prˇ´ıstupovyćh pra´v: tato politika prˇedstavuje ochranu organizace prˇed neautorizovany´m zpracovańı´m informacı´ a neautorizovany´m pouzˇ´ıvańı´m jejı´ho SW a HW vybavenı´. Hlavnı´ mysˇlenkou je nastavenı´ vhodne´ho rozsahu opra´vneˇnı´ pro vsˇechny skupiny uzˇivatelu˚, kterˇ´ı majı´ pra´va pouze pro akce, ktere´ nezbytneˇ potrˇebujı´ ke sve´ cˇinnosti. S politikou da´le u´zce souvisı´ politiky upravujıćı´ tvorbu ućˇtu˚ uzˇivatelu˚, revizi opra´vneˇnı´, tvorbu a management hesel. Da´le s politikou souvisı´ pozˇadavky na ustanovenı´ odpoveˇdnosti uzˇivatelu˚ za jimi prova´deˇne´ akce a da´le naprˇ´ıklad pozˇadavky na zamykańı´ pocˇ´ıtacˇe prˇi neprˇ´ıtomnosti a bezpecˇne´ pouzˇ´ıvańı´ jim prˇideˇlene´ho vybavenı´.

Jak jizˇ bylo zmıńeˇno v cˇa´sti 8.9.1 popisujıćı´ omezenı´ opatrˇenı´ pro snizˇovańı´ rizik, nenı´ ekonomicky prozı´rave´ vytva´rˇet nerentabilnı´ protiopatrˇenı´. Jedna´ se o protiopatrˇenı´ vu˚cˇi riziku, jehozˇ na´klady na realizaci a provoz prˇevysˇujı´ financˇneˇ vycˇ´ıslenou sˇkodu, kterou organizace utrpeˇla realizacı´ konkre´tnı´ hrozby. Odhad na´kladu˚ na realizaci a provoz vy´sˇe uvedenyćh opatrˇenı´ pu˚sobıćıćh proti hrozba´m z tabulky 8.10 je uveden v tabulce 8.11. Na´klady majı´ pouze orientacˇnı´ charakter a umozˇnˇujı´ vytvorˇit si hrubou prˇedstavu o ceneˇ protiopatrˇenı´. Jejich prˇesne´ vycˇ´ıslenı´ je sva´zańo stejneˇ jako urcˇenı´ hodnoty sˇkody s konkre´tnı´ organizacı´. Protiopatrˇenı´ Opatrˇenı´ persona´lnı´ bezpecˇnosti Opatrˇenı´ fyzicke´ bezpecˇnosti Politika za´lohovańı´ Politika monitorovańı´ aktiv Opatrˇenı´ nakla´dańı´ s dokumenty a me´dii Politika prˇ´ıstupovyćh pra´v

Na´klady na zavedenı´ tisıće

Na´klady na provoz za rok tisıće azˇ desetitisıće

tisıće

tisıće

tisıće azˇ desetitisıće tisıće

tisıće

tisıće

tisıće

tisıće

stovky

stovky

Zdu˚vodneˇnı´ na´kladu˚ vytvorˇenı´ politik audity dodrzˇovańı´ politik prova´deˇnı´ sˇkolenı´ vytvorˇenı´ politik na´kup cylindr. vlozˇek na´kup a servis HW el. energie provoz monitor. SW krizove´ prˇ´ıplatky na´kup skartovacˇe a sˇifrovanyćh flash disku˚ vytvorˇenı´ politik audity dodrzˇovańı´ politik

Tabulka 8.11: Odhadovane´ na´klady na zavedenı´ a provoz protiopatrˇenı´ (na´klady v Kcˇ).

66


8.10 Alokace zdroju˚ a vzdeˇla´vańı´ uzˇivatelu˚ organizace Pro u´speˇsˇne´ zavedenı´ a vyuzˇ´ıvańı´ syste´mu managementu informacı´ je nutne´ vyhrazenı´ dostatecˇne´ho mnozˇstvı´ prostrˇedku˚ managementem na jeho implementaci a provoz vsˇech zvolenyćh opatrˇenı´[11]. Take´ je nutne´ vybrat pro praći s ISMS a jeho opatrˇenı´mi osoby s dostatecˇny´mi zkusˇenostmi a kompetencemi a zajistit jim dalsˇ´ı vzdeˇla´vańı´. Ru˚zneˇ na´rocˇny´mi sˇkolenı´mi a kurzy by pak meˇli projı´t vsˇichni zameˇstnanci organizace. Prˇestozˇe nenı´ standardem ISO/IEC 27001 vyzˇadovań zˇa´dny´ urcˇity´ dokument pro kontrolu a plańovańı´ sˇkolenı´ zameˇstnancu˚[11], je vıće nezˇ vhodne´ udrzˇovat alesponˇ seznam sˇkolenı´ a kurzu˚, ktery´mi kazˇdy´ zameˇstnanec prosˇel a jednoduchou agendu plańovanyćh vzdeˇla´vacıćh akcı´. Treńinkove´ a sˇkolıćı´ materia´ly by meˇly pokry´vat minima´lneˇ nı´zˇe uvedene´ oblasti s rozsahem odpovı´dajıćı´m potrˇeba´m osob podstupujıćıćh sˇkolenı´[22]: •

za´kladnı´ termıńy informacˇnı´ bezpecˇnosti

•

rizika a hrozby pro informacˇnı´ bezpecˇnost

•

bezpecˇnostnı´ politika, standardy a procedury v organizaci

•

definice bezpecˇnostnı´ho incidentu, na´vod na jeho rozpoznańı´ a ohla´sˇenı´

•

odpoveˇdnosti osob a stanovene´ kana´ly pro reportovańı´ incidentu˚

•

rady jak napomoci zlepsˇovańı´ informacˇnı´ bezpecˇnosti

8.11 Implementace a monitorovańı´ ISMS V ra´mci te´to fa´ze jsou provedeny v ra´mci syste´mu managementu informacı´ zby´vajıćı´ kroky (Do, Check, Act) cyklu PDCA. Nejprve jsou implementovańa a dokumentovańa vsˇechna zvolena´ opatrˇenı´ vypracovana´ v prˇedcha´zejıćı´m kroku zava´deˇnı´ ISMS do organizace. Vypracovana´ dokumentace je du˚lezˇita´ pro kontrolu efektivity soucˇasne´ implementace a zajisˇteˇnı´ efektivity a souladu ISMS s byznys plańy organizace i v budoucnu. Tyto kontroly dokumentace jsou prova´deˇny v ra´mci pravidelnyćh internıćh auditu˚ dle definovane´ procedury, ktera´ musı´ obsahovat urcˇenı´ metod, frekvence, oblasti pu˚sobnosti a krite´ria auditu[19]. Jeho vy´sledkem jsou odhalene´ odchylky od plańovane´ implementace, seznam na´pravnyćh a preventivnıćh opatrˇenı´, ktera´ jsou prˇedlozˇena managementu organizace. Struktura teˇchto opatrˇenı´ je prˇesneˇ definovańa ve standardu ISO/IEC 27001[19]. Pokud je ISMS implementovań ve shodeˇ s prˇedlozˇeny´m na´vodem a pozˇadavky dany´mi standardem ISO/IEC 27001, pak ma´ organizace v rukou silny´ na´stroj pro bezpecˇne´ vyuzˇ´ıvańı´ svyćh aktiv, ktery´ je mozˇno da´le zlepsˇovat. Vy´znamny´m prˇ´ınosem je zmapovańı´ okolı´, v neˇm existujıćıćh hrozeb a zmensˇenı´ kuzˇelu nejistoty. 67


8.12 Prˇı´prava na certifikaci organizace Pokud byl syste´m managementu bezpecˇnosti informacı´ vytva´rˇen za ućˇelem jeho certifikace a ne pouze pro zlepsˇenı´ vnitrˇnıćh procesu˚ a stavu bezpecˇnosti organizace, je nutne´ v te´to fa´zi oveˇrˇit kompletnost a spra´vnost vsˇech vytvorˇenyćh dokumentu˚. Na´sledneˇ musı´ cely´ ISMS projı´t minima´lneˇ jednou vsˇemi na´sledujıćı´mi fa´zemi (Do, Check, Act) neusta´le´ho zlepsˇovańı´ a dokoncˇit tak alesponˇ jeden kompletnı´ beˇh PDCA cyklu. Vy´sledkem potrˇebny´m pro audit je tedy mnozˇina dokumentu˚ popisujıćıćh navrzˇena´ opatrˇenı´ a jejich dodrzˇovańı´ v organizaci. Externı´ auditor pak nejprve provede oveˇrˇenı´ dokumentace z fa´ze Plan urcˇujıćı´ bezpecˇnostnı´ politiku, oblast pu˚sobnosti ISMS a dalsˇ´ı dokumenty vcˇetneˇ identifikace rizik a dokumentace vsˇech provedenyćh opatrˇenı´[11]. Na´sledneˇ jsou oveˇrˇeny dokumenty z ostatnıćh fa´zı´ ukazujıćı´, zˇe je ISMS provozovań dle deklarovanyćh u´daju˚ z dokumentace (internı´ audity, prˇehodnocovańı´ ISMS managementem, definovańı´ na´pravnyćh opatrˇenı´ a zlepsˇovańı´)[11]. V te´to za´veˇrecˇne´ fa´zi se projevı´ prˇeva´zˇneˇ du˚slednost vedenı´ dokumentace ISMS, ktera´ mu˚zˇe zpu˚sobit znacˇneˇ potı´zˇe. Neˇktere´ cˇa´sti mohou by´t dokumentovańy v rozporu s pozˇadavky normy, prˇ´ıpadneˇ mu˚zˇe jejich dokumentace chybeˇt u´plneˇ. Da´le je du˚lezˇite´, aby dokumentace byla konzistentnı´ s navrzˇeny´mi a prova´deˇny´mi opatrˇenı´mi v organizaci.

68

9 Prˇı´padova´ studie a pru˚zkum informacˇnı´ bezpecˇnosti Kapitola strucˇneˇ popisuje aplikaci poznatku˚ zı´skanyćh prˇi vypracova´vańı´ diplomove´ praće v ra´mci prˇ´ıprav nı´zˇe uvedenyćh certifikacı´ pro blı´zˇe nespecifikovanou organizaci. Da´le je v za´veˇru te´to kapitoly popsań provedeny´ pru˚zkum na te´ma informacˇnı´ bezpecˇnosti vcˇetneˇ shrnutı´ a interpretace jeho vy´sledku˚.

9.1

Prˇı´prava certifikace dle § 20 odst. 1 pı´sm. b), za´kona cˇ. 412/2005 Sb.

V ra´mci diplomove´ praće byl analyzovań za´kon cˇ. 412/2005 Sb. vcˇetneˇ k neˇmu prˇipojenyćh norem a prova´deˇcıćh prˇedpisu˚. Od pocˇa´tku byly brańy v u´vahu pozˇadavky organizace na prˇedpokla´dane´ vypracovańı´ certifikace organizace pro prˇ´ıstup k utajovany´m skutecˇnostem dle § 20 odst. 1 pı´sm. b) vy´sˇe uvedene´ho za´kona. Poznatky zı´skane´ z legislativy a postupu˚ jejı´ implementace v ra´mci certifikacı´ fyzickyćh a pra´vnickyćh osob jsou zahrnuty do diplomove´ praće v kapitole cˇ´ıslo 5, ktera´ mu˚zˇe nynı´ zasta´vat roli strucˇne´ho pru˚vodce za´konem o ochraneˇ utajovanyćh informacı´ a o bezpecˇnostnı´ zpu˚sobilosti (za´kon cˇ. 412/2005 Sb.) a usnadnˇovat orientaci v cele´ komplikovane´ problematice. Mimo vyuzˇitı´ jako pru˚vodce za´konem byly tyto poznatky da´le zakomponovańy do plańovańı´ prˇ´ıprav na certifikaci organizace ISO/IEC 27001 v souladu s tı´mto za´konem.

9.2

Prˇı´prava certifikace ISO/IEC 27001 ve shodeˇ se za´konem cˇ. 412/2005 Sb.

Organizaci byl detailneˇji prˇedstaven syste´m managementu informacı´ spolecˇneˇ s prˇedlozˇenı´m metodik, postupu˚ a opatrˇenı´, ktera´ budou muset by´t vypracovańa. Byla zdu˚razneˇna celkova´ relativnı´ na´rocˇnost cele´ho postupu, zvla´sˇteˇ, pokud musı´ by´t brańa v u´vahu i vypracova´vana´ certifikace dle za´kona o utajovanyćh skutecˇnostech. V ra´mci praće byla provedena analy´za soucˇasne´ certifikace dle normy ISO/IEC 27001 a certifikace dle za´kona o utajovanyćh skutecˇnostech a mozˇnyćh spolecˇnyćh bodu˚, jejichzˇ identifikace a popsańı´ by mohlo prˇine´st znacˇne´ u´spory na lidskyćh zdrojıćh a financˇnıćh na´kladech zapojenyćh do teˇchto certifikacˇnıćh postupu˚. Na´sledneˇ byl pro organizaci vypracovań postup implementace syste´mu managementu informacı´ obsahujıćı´ prˇ´ıklady a varovańı´ prˇed potencia´lnı´mi obtı´zˇemi, ktere´ mohou v pru˚beˇhu zava´deˇnı´ ISMS nastat. Spolecˇneˇ s nı´m byly vypracovańy klıćˇove´ dokumenty ISMS prˇedstavovane´ bezpecˇnostnı´ politikou, metodikou hodnocenı´ rizik spolecˇneˇ s dalsˇ´ımi dokumenty popisujıćı´mi hrozby pro aktiva organizace a na´stroj pro usnadneˇnı´ prova´deˇnı´ hodnocenı´ rizik. Obecne´ uka´zky bezpecˇnostnı´ politiky, metodik hodnocenı´ hrozeb, sˇablona prˇedstavujıćı´ bezpecˇnostnı´ politiku a prˇ´ıklad vypracovane´ politiky jsou uvedeny v prˇ´ıloze C a D te´to praće. Dalsˇ´ı informace a dokumenty nemohly by´t, bohuzˇel, vzhledem k jejich du˚veˇrne´ povaze zverˇejneˇny. 69

9. PRˇI´PADOVA´ STUDIE A PRU˚ZKUM INFORMACˇNI´ BEZPECˇNOSTI

9.3

Pru˚zkum stavu informacˇnı´ bezpecˇnosti v organizacıćh

Prˇi tvorbeˇ praće byl proveden pru˚zkum informacˇnı´ bezpecˇnosti v neˇkolika oslovenyćh organizacıćh. Jeho cı´lem bylo zjisˇteˇnı´ skutecˇne´ho stavu problematiky rˇesˇene´ v diplomove´ praći v organizacıćh s ru˚znou velikostı´ a zameˇrˇenı´m v Cˇeske´ republice. Pru˚zkum byl proveden pomocı´ sebehodnocenı´ organizacı´ s pomocı´ pomeˇrneˇ podrobne´ho anonymnı´ho dotaznı´ku. Vzhledem k citlive´ povaze dotaznı´ku byly organizace identifikovańy pouze dle pocˇtu svyćh zameˇstnancu˚ a velikosti rocˇnı´ho obratu. Vzhledem k relativnı´ citlivosti ota´zek bylo umozˇneˇno organizacı´m neodpoveˇdeˇt, pokud ji povazˇovali za prˇ´ılisˇ du˚veˇrnou. Dotazovańy byly organizace ze soukrome´ho i verˇejne´ho sektoru s ru˚zny´m zameˇrˇenı´m. Lze mezi nimi nale´zt organizace z IT byznysu i mimo neˇj. Organizace zaby´vajıćı´ se obchodem, poskytovańı´m sluzˇeb i prodejem, cˇi vy´robou zbozˇ´ı. Z celkem 20 vydanyćh dotaznı´ku˚ bylo vyplneˇno a vraćeno 14 z nich. V jednom prˇ´ıpadeˇ odmı´tla organizace odpoveˇdeˇt vzhledem k citlive´ povaze jejı´ cˇinnosti a v jednom prˇ´ıpadeˇ organizace vu˚bec nereagovala. V ostatnıćh prˇ´ıpadech organizace nedokoncˇily vyplnˇovańı´ dotaznı´ku vzhledem k jeho slozˇitosti. V prvnı´ cˇa´sti vypracova´vane´ho dotaznı´ku se prˇedstavitele´ organizace snazˇili odhadnout svou za´vislost na informacˇnıćh technologiıćh, pozˇadavky za´kaznı´ku˚ na bezpecˇnost a mnozˇstvı´ citlivyćh informacı´ v organizaci a take´ odhadovali dopad bezpecˇnostnı´ho incidentu na organizaci na prˇedem urcˇene´ stupnici s hodnotami mala´, strˇednı´, velka´ a neuvedeno.

Obra´zek 9.1: Sebehodnocenı´ organizacı´ vzhledem k uvedeny´m skutecˇnostem. Druha´ cˇa´st dotaznı´ku obsahuje ota´zky zameˇrˇene´ na zavedene´ postupy zajisˇteˇnı´ informacˇnı´ bezpecˇnosti. Ota´zky pro dotaznı´k byly zvoleny ve shodeˇ s pozˇadavky na opatrˇenı´ kladena´ 70

9. PRˇI´PADOVA´ STUDIE A PRU˚ZKUM INFORMACˇNI´ BEZPECˇNOSTI normou ISO/IEC 27001 v prˇ´ıloze A. Prˇedstavitele´ organizacı´ na ota´zky odpovı´dali vy´beˇrem odpoveˇdi ze stupnice nerealizovańo, plańovańo a realizovańo s mozˇnostı´ neodpoveˇdeˇt (neuvedeno).

Obra´zek 9.2: Realizace vybranyćh bezpecˇnostnı´ politiky, procedur a postupu˚ v organizacıćh. Z vypracovane´ho dotaznı´ku lze vysledovat mezi organizacemi neˇkolik trendu˚. V prvnı´ rˇadeˇ si v dnesˇnı´ dobeˇ vsˇechny organizace uveˇdomujı´ svoji za´vislost na informacˇnıćh technologiıćh, ale sta´le si neuveˇdomujı´ mozˇne´ du˚sledky bezpecˇnostnıćh incidentu˚ na jejich byznys. Take´ je pomeˇrneˇ zajı´mavy´m faktem, kolik organizacı´ veˇrˇ´ı, zˇe majı´ pouze male´ mnozˇstvı´ informacı´, ktere´ by mohly zajı´mat potencia´lnı´ u´tocˇnı´ky. V oblasti realizace bezpecˇnostnıćh opatrˇenı´ a politik je jasneˇ videˇt, zˇe drtiva´ veˇtsˇina organizacı´ ma´ realizovańu alesponˇ neˇjakou ochranu pocˇ´ıtacˇove´ sı´teˇ a ma´ inventarizovańa sva´ aktiva, cozˇ je pravdeˇpodobneˇ vedlejsˇ´ı du˚sledek ućˇetnictvı´, protozˇe aktivu˚m nejsou prˇideˇleni majitele´. Mezi nejvıće zanedba´vane´ oblastı´ patrˇ´ı dle ocˇeka´vańı´ ochrana zarˇ´ızenı´ patrˇ´ıcıćh uzˇivatelu˚m (BYOD politika), vzdeˇla´vańı´ uzˇivatelu˚ v oblasti bezpecˇnosti informacı´, bezpecˇna´ praće s prˇenosny´mi elektronicky´mi me´dii a chybeˇjıćı´ ochrana komunikace prˇes elektronicke´ kana´ly. Za´veˇrem lze poznamenat, zˇe mnoho z realizovanyćh opatrˇenı´ bylo pravdeˇpodobneˇ nasazeno ad hoc a jejich ućˇinnost vzhledem k vynalozˇeny´m na´kladu˚m mu˚zˇe by´t diskutabilnı´. Toto lze vyvodit z relativneˇ male´ho pocˇtu organizacı´, ktere´ ustavily bezpecˇnostnı´ politiku a provedly analy´zu rizik, cozˇ jsou dva naprosto nezbytne´ u´kony pro zajisˇteˇnı´ efektivnı´ bezpecˇnosti. 71

10 Za´veˇr Na za´kladeˇ podrobne´ho studia za´kona cˇ. 412/2005 Sb. o utajovanyćh skutecˇnostech a jeho vsˇech jeho prova´deˇcıćh prˇedpisu˚ byl vytvorˇen pru˚vodce touto legislativou pro organizace a fyzicke´ osoby usilujıćı´ o zisk opra´vneˇnı´ udeˇlovane´ho na´rodnı´m bezpecˇnostnı´m u´rˇadem pro praći s utajovany´mi skutecˇnostmi, ktere´ je nezbytne´ pro praći na projektech a ve´st u´speˇsˇny´ byznys nejen v oblasti bezpecˇnosti. Detailneˇ byla procˇtena kompletnı´ rodina norem ISO/IEC 27000 popisujıćı´ pozˇadavky na syste´m managementu bezpecˇnosti informacı´, doporucˇene´ rady pro jeho implementaci, nasazenı´ a provoz v organizaci. V praći jsou zvla´sˇteˇ zdu˚razneˇny prˇ´ıstupy norem ke klasifikaci utajovanyćh informacı´ a harmonizace s pra´vnı´mi prˇedpisy. Po prostudovańı´ obou vy´sˇe uvedenyćh prˇ´ıstupu˚ byla vypracovańa analy´za zaby´vajıćı´ se hledańı´m shodnyćh bodu˚ v teˇchto sadaćh dokumentu˚. Nalezenı´ pru˚secˇ´ıku˚ umozˇnˇuje snı´zˇit na´klady na implementaci, prˇ´ıpadneˇ mu˚zˇe slouzˇit jako podklad pro vypracovańı´ diferencˇnı´ analy´zu prˇi zava´deˇnı´ jednoho prˇ´ıstupu˚ do organizace s adoptovany´m prˇ´ıstupem druhy´m. Z vy´sledku˚ analy´zy vycha´zı´ poslednı´ cˇa´st praće prˇedkla´dajıćı´ doporucˇeny´ postup tvorby a nasazenı´ syste´mu managementu informacı´ do organizace. Zvla´sˇtnı´ pozornost byla v tomto ohledu veˇnovańa vytvorˇenı´ jednoduche´ metodiky hodnocenı´ rizik a vypracovańı´ sady dokumentu˚ vyuzˇitelnyćh pro nasazenı´ syste´mu v organizaci, ktere´ jsou dostupne´ v prˇ´ılohaćh praće. Doporucˇeny´ postup a dokumenty byly vyuzˇity prˇi prˇ´ıpraveˇ na certifikaci dle ISO/IEC 27001 ve shodeˇ se za´konem cˇ. 412/2005 Sb. v blı´zˇe nespecifikovane´ firmeˇ. Postup je vsˇak prakticky vyuzˇitelny´ pro vsˇechny organizace usilujıćı´ o certifikaci, nebo zlepsˇenı´ informacˇnı´ bezpecˇnosti. Mezi mozˇna´ rozsˇ´ırˇenı´ praće lze zarˇadit analy´zu s jiny´mi syste´my a soubory doporucˇenı´ pro informacˇnı´ bezpecˇnost naprˇ´ıklad od organizacı´ NIST a ENISA. Dalsˇ´ı mozˇne´ rozsˇ´ırˇenı´ poskytuje prˇipravovany´ za´kon upravujıćı´ kybernetickou bezpecˇnost Cˇeske´ republiky, se ktery´m mohou by´t tyto prˇ´ıstupy take´ porovnańy.

72

Literatura [1] Za´kon cˇ. 101/2000 Sb., o ochraneˇ osobnıćh u´daju˚ a o zmeˇneˇ neˇkteryćh za´konu˚. duben 2000 [cit. 15.3.2013], [online]. URL http://www.uoou.cz/uoou.aspx?submenu=5&menu=4&loc=20 [2] Za´kon cˇ. 227/2000 Sb., o elektronicke´m podpisu. cˇerven 2000 [cit. 15.3.2013], [online]. URL http://www.mvcr.cz/soubor/zakon-c-227-2000-sb-oelektronickem-podpisu.aspx [3] Za´kon cˇ. 365/2000 Sb., o informacˇnıćh syste´mech verˇejne´ spra´vy. rˇ´ıjen 2000 [cit. 15.3.2013], [online]. URL http://www.mvcr.cz/clanek/legislativa-zakon-c-365-2000-sb-oinformacnich-systemech-verejne-spravy.aspx [4] Za´kon cˇ. 412/2005 Sb., o ochraneˇ utajovanyćh informacı´ a o bezpecˇnostnı´ zpu˚sobilosti, ve zneˇnı´ pozdeˇjsˇ´ıch prˇedpisu˚. za´rˇ´ı 2005 [cit. 15.3.2013], [online]. URL http://www.nbu.cz/cs/pravni-predpisy/zakon-c-4122005/uplnezneni-zakona-c-4122005/ [5] Vyhla´sˇka cˇ. 363/2011 Sb., o persona´lnı´ bezpecˇnosti a o bezpecˇnostnı´ zpu˚sobilosti. listopad 2011 [cit. 15.3.2013], [online]. URL http://www.nbu.cz/download/nodeid-1089/ [6] Vyhla´sˇka cˇ. 405/2011 Sb. o pru˚myslove´ bezpecˇnosti. 2011 [cit. 15.3.2013], [online]. URL http://www.nbu.cz/download/nodeid-1966/ [7] Vyhla´sˇka cˇ. 523/2005 Sb., o bezpecˇnosti informacˇnıćh a komunikacˇnıćh syste´mu˚ a dalsˇ´ıch elektronickyćh zarˇ´ızenı´ nakla´dajıćıćh s utajovany´mi informacemi a o certifikaci stıńicıćh komor, ve zneˇnı´ vyhla´sˇky cˇ. 453/2011 Sb. 2011 [cit. 15.3.2013], [online]. URL http://www.nbu.cz/download/nodeid-1979/ [8] Vyhla´sˇka cˇ. 528/2005 Sb., o fyzicke´ bezpecˇnosti a certifikaci technickyćh prostrˇedku˚, ve zneˇnı´ vyhla´sˇky cˇ. 19/2008 Sb. a vyhla´sˇky cˇ. 454/2011 Sb. 2011 [cit. 15.3.2013], [online]. URL http://www.nbu.cz/download/nodeid-1389/ [9] Veˇcny´ za´meˇr za´kona o kyberneticke´ bezpecˇnosti. cˇerven 2012 [cit. 20.3.2013], [online]. URL http://www.nbu.cz/download/nodeid-1216/ [10] Arraj, V.: ITIL: The Basics. kveˇten 2010 [cit. 25.3.2013], [online]. URL http://www.best-managementpractice.com/gempdf/ITIL_The_Basics.pdf [11] Atsec Information Security: ISMS Implementation Guide. [cit. 10.4.2013], [online]. URL http://www.atsec.com/downloads/documents/ISMS-ImplementationGuide-and-Examples.pdf 73

10. ZA´VEˇR [12] Ba´rtı´k, F.: Analy´za Veˇcne´ho za´meˇru za´kona o kyberneticke´ bezpecˇnosti. cˇerven 2012 [cit. 22.2.2013], [online]. URL http://www.linuxexpres.cz/analyza-vecneho-zameru-zakona-okyberneticke-bezpecnosti [13] Calder, A.; Watkins, S.: IT GOVERNANCE: A Manager’s Guide to Data Security and ISO 27001/ISO 27002. Kogan Page Limited, Cˇtvrte´ vydańı´, 2008, ISBN 978-0-7494-5271-1. [14] Claycomb, W. R.: Tutorial: Cloud Computing Security. CERT Enterprise Threat and Vulnerability Management Team, 2012 [cit. 20.3.2013], [online]. URL http://www.cert.org/archive/pdf/COMPSAC2012CloudComputingSecurityTutorialSlides.pdf ˇ ´ızenı´ bezpecˇnosti informacı´ podle mezina´rodnıćh norem a jeho integrace [15] Hanzlıćˇek, L.: R do organizace. Sˇpaneˇlska´ 2, Praha 2, Cˇeska´ republika, 2006 [cit. 20.4.2013], [online]. URL http://si.vse.cz/archive/proceedings/2006/rizeni-bezpecnostiinformaci-podle-mezinarodnich-norem-a-jeho-integrace-doorganizace.pdf [16] Huggins, P.: Alignment vs Compliance vs Certification. cˇervenec 2012 [cit. 20.3.2013], [online]. URL http://blog.blackswansecurity.com/2012/07/alignment-vscompliance-vs-certification/ [17] ISACA: COBIT Overview. 2009 [cit. 5.3.2013], [online]. URL http://www.isaca.org/About-ISACA/Press-room/Pages/COBIT-FactSheet.aspx [18] ISO/IEC JTC1 SC27: Information technology – Security techniques – Code of practice for information security management. ISO 27002:2005, International Organization for Standardization, Zˇeneva, Sˇvyćarsko, 2005. [19] ISO/IEC JTC1 SC27: Information technology – Security techniques – Information security management systems – Requirements. ISO 27001:2005, International Organization for Standardization, Zˇeneva, Sˇvyćarsko, 2005. [20] ISO/IEC JTC1 SC27: Information technology – Security techniques – Information security risk management. ISO 27005:2008, International Organization for Standardization, Zˇeneva, Sˇvyćarsko, 2008. [21] ISO/IEC JTC1 SC27: Information technology – Security techniques – Information security management systems – Overview and vocabulary. ISO 27000:2009, International ˇ eneva, Sˇvyćarsko, 2009. Organization for Standardization, Z [22] ISO/IEC JTC1 SC27: Information technology – Security techniques – Information security management system implementation guidance. ISO 27003:2010, International ˇ eneva, Sˇvyćarsko, 2010. Organization for Standardization, Z 74

10. ZA´VEˇR [23] IT Governance Institute; The Office of Government Commerce: Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit. 2008 [cit. 15.3.2013], [online]. URL https://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/Aligning-COBIT-4-1ITIL-V3-and-ISO-IEC-27002-for-BusinessBenefit.aspx [24] Johnson, K.: SANS Mobility/BYOD Security Survey. brˇezen 2012 [cit. 15.3.2013], [online]. URL http://www.sans.org/reading_room/analysts_program/mobilitysec-survey.pdf [25] Kar, S.: CSA Report: Top Nine Cloud Security Threats in 2013. brˇezen 2013 [cit. 15.3.2013], [online]. URL http://cloudtimes.org/2013/03/07/csa-report-top-nine-cloudsecurity-threats-in-2013/ [26] Kempter, S.: IT Security Management. uńor 2013 [cit. 15.3.2013], [online]. URL http://wiki.en.itprocessmaps.com/index.php/IT_Security_Management [27] Knotek, M.: COBIT – DS5 Zabezpecˇenı´ syste´move´ bezpecˇnosti. cˇervenec 2012 [cit. 20.4.2013], [online]. URL http://blog.vyvojar.cz/dotnet/archive/2012/07/27/243300.aspx [28] Ministerstvo vnitra Cˇeske´ republiky: Co je a co nenı´ informacˇnı´ syste´m verˇejne´ spra´vy. kveˇten 2009 [cit. 15.3.2013], [online]. URL http://www.mvcr.cz/mvcren/ViewFile.aspx?docid=5544 [29] Na´rodnı´ bezpecˇnostnı´ u´rˇad: Du˚vodova´ zpra´va k za´konu o kyberneticke´ bezpecˇnosti. kveˇten 2012 [cit. 15.3.2013], [online]. URL http://www.nbu.cz/download/nodeid-806/ [30] Na´rodnı´ bezpecˇnostnı´ u´rˇad: Strategie pro oblast kyberneticke´ bezpecˇnosti Cˇeske´ republiky na obdobı´ 2012 - 2015. uńor 2012 [cit. 20.4.2013], [online]. URL http://www.govcert.cz/download/nodeid-727/ [31] Office of Government Commerce: ITIL – Service Management Practices V3 Qualifications Scheme. 2008 [cit. 20.4.2013], [online]. URL http://www.itilofficialsite.com/nmsruntime/saveasdialog.asp?lID=572&sID=86 [32] Pozˇa´r, J.: Vybrane´ hrozby informacˇnı´ bezpecˇnosti organizace. In Bezpecˇnostnı´ semina´rˇ, duben 2011 [cit. 20.3.2013], ISBN 978-80-7251-347-5, [online]. URL http://www.cybersecurity.cz/data/Pozar2.pdf [33] Sajko, M.; Rabuzin, K.; Bacˇa, M.: How to Calculate Information Value for Effective Security Risk Assassement. In Journal of Information and Organizational Sciences, rocˇnı´k 30, 75

10. ZA´VEˇR 2006 [cit. 20.4.2013], s. 263–278, [online]. URL http://hrcak.srce.hr/file/32938 [34] Shimeall, T.; Williams, P.; Dunlevy, C.: Countering cyber war. NATO Review, rocˇnı´k 49, cˇ. 4, 2001 [cit. 22.2.2013]: s. 16–18, [online]. URL http://www.nato.int/docu/review/2001/0104-04.htm [35] Vysoka´ prˇedstavitelka Evropske´ unie pro zahranicˇnı´ veˇci a bezpecˇnostnı´ politiku: Strategie kyberneticke´ bezpecˇnosti Evropske´ unie: Otevrˇeny´, bezpecˇny´ a chrańeˇny´ kyberprostor. Technicka´ zpra´va, Evropska´ komise, Brusel, Belgie, brˇezen 2013 [cit. 15.3.2013], [online]. URL http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=JOIN: 2013:0001:FIN [36] WWW strańky: ISMS – ohodnocenı´ aktiv. 2008 [cit. 30.4.2013], [online]. URL http://www.chrantesidata.cz/cs/art/1149-dil-3/ [37] WWW strańky: Threat, vulnerability, risk – commonly mixed up terms. kveˇten 2010 [cit. 22.2.2013], [online]. URL http://www.threatanalysis.com/blog/?p=43 [38] WWW strańky: Wikipedia – Cryptography law. brˇezen 2013 [cit. 10.4.2013], [online]. URL http: //en.wikipedia.org/wiki/Cryptography_laws_in_different_nations [39] WWW strańky: Wikipedia – Information security. duben 2013 [cit. 10.4.2013], [online]. URL http://en.wikipedia.org/wiki/CIA_triad [40] WWW strańky: Wikipedia – ISO/IEC 27001. duben 2013 [cit. 10.4.2013], [online]. URL http://en.wikipedia.org/wiki/ISO/IEC_27001 [41] WWW strańky: Wikipedia – Key disclosure law. brˇezen 2013 [cit. 10.4.2013], [online]. URL http://en.wikipedia.org/wiki/Key_disclosure_law [42] WWW strańky: About the ISO27K standards. brˇezen 2013 [cit. 20.3.2013], [online]. URL http://iso27001security.com/html/iso27000.html [43] WWW strańky: Wikipedia – CˇSN. brˇezen 2013 [cit. 20.4.2013], [online]. ˇSN URL http://cs.wikipedia.org/wiki/C ´ – Jak pozˇa´dat o vydańı´ osveˇdcˇenı´ podnikatele. [cit. 20.3.2013], [44] WWW strańky: NBU [online]. URL http://www.nbu.cz/cs/ochrana-utajovanych-informaci/prumyslovabezpecnost/jak-pozadat-o-osvedceni-podnikatele/ 76

10. ZA´VEˇR ´ – Podkladove´ materia´ly k zˇa´dosti podnikatele. [cit. 20.3.2013], [45] WWW strańky: NBU [online]. URL http://www.nbu.cz/cs/ochrana-utajovanych-informaci/prumyslovabezpecnost/podkladove-materialy-k-zadosti-podnikatele/ ´ – Prova´deˇcı´ pra´vnı´ prˇedpisy. [cit. 20.3.2013], [online]. [46] WWW strańky: NBU URL http://www.nbu.cz/cs/pravni-predpisy/provadeci-pravni-predpisy/ [47] WWW strańky: IT Management Fundamentals. What is ITIL? [cit. 20.4.2013], [online]. URL http://itil.osiatis.es/ITIL_course/it_service_management/it_ management_fundamentals/what_is_itil/what_is_itil.php [48] WWW strańky: TECHNICKE´ NORMY kategorie: 36 – ELEKTROTECHNIKA 3697 – Identifikacˇnı´ karty a ochrana dat. [cit. 20.4.2013], [online]. URL http://www.technicke-normy-csn.cz/technickenormy/elektrotechnika-36/identifikacni-karty-a-ochrana-dat-3697/ [49] WWW strańky: COBIT Fact Sheet. [cit. 5.3.2013], [online]. URL http://www.isaca.org/About-ISACA/Press-room/Pages/COBIT-FactSheet.aspx [50] Sˇmı´d, V.: Management informacˇnı´ho syste´mu – Pojem informacˇnı´ho syste´mu. [cit. 20.3.2013], [online]. URL http://www.fi.muni.cz/˜smid/mis-infsys.htm

77

A Prˇı´klad bezpecˇnostnı´ politiky organizace

78

A. PRˇI´KLAD BEZPECˇNOSTNI´ POLITIKY ORGANIZACE

79

B Metodika hodnocenı´ rizik

80

B. METODIKA HODNOCENI´ RIZIK

81


82


83

C Sˇablona pro tvorbu politik

84

C. SˇABLONA PRO TVORBU POLITIK

85

D Prˇı´klad politiky pro vyuzˇı´vanı´ mobilnıćh zarˇı´zenı´

86

D. PRˇI´KLAD POLITIKY PRO VYUZˇI´VANI´ MOBILNIĆH ZARˇI´ZENI´

87

012345

Recommend Documents