Dodržovat mezinárodní normu ISO 27001 znamená zřídit ve vaší organizaci účinný systém řízení bezpečnosti informací (ISMS). Podíváme-li se na to z praktického hlediska, chcete-li pro svou organizaci vytvořit a provozovat co nejlepší systém ISMS, můžete se obrátit na specifikace normy ISO 27001, které vám poradí, jak to přesně udělat.
Co je to ISO 27001?
ISO 27001 je metodika, jejímž cílem je vytvořit a zavést účinný systém ISMS pro organizaci. Zjednodušeně řečeno, solidní systém ISMS je hlavním produktem implementace normy ISO 27001. Jestliže ISMS odpovídá na otázku "co", ISO 27001 znamená "jak".
Norma ISO 27001 je založena na rizicích, což znamená, že je postavena především na identifikaci a vyhodnocení rizik v organizaci a jejím systému ochrany dat. Dalším krokem je zavedení opatření na základě těchto hodnocení a následné průběžné monitorování a zlepšování.
Jaký je účel normy ISO 27001?
Účelem normy ISO 27001 je poskytnout pokyny pro "zavedení, implementaci, provozování, monitorování, přezkoumávání, udržování a zlepšování systému řízení bezpečnosti informací".
Cílem vytvoření systému ISMS v souladu s normou ISO 27001 je chránit důvěrnost, integritu a dostupnost dat organizace.
- Důvěrnost: informace jsou přístupné pouze oprávněným osobám.
- Integrita: změny v informacích mohou provádět pouze oprávněné osoby.
- Dostupnost: oprávněné osoby mají včasný a nepřetržitý přístup k informacím.
Co je systém ISMS?
Systém ISMS je důležitý pro kybernetickou bezpečnost společnosti. Je to soubor konkrétních zásad, jejichž hlavním cílem je chránit data společnosti (a jejích klientů), snížit riziko narušení dat a kybernetických útoků a nařídit kontrolní mechanismy, které by mohly zmírnit škody, pokud k nim dojde.
Jakmile budete mít systém ISMS nastaven, důkladně se seznámíte se zásadami, postupy, technickými opatřeními a školením zaměstnanců, které jsou nezbytné pro řízení rizik spojených s hrozbami pro bezpečnost dat.
Jaký je rozsah normy ISO 27001?
Každá organizace, která pracuje s jakýmkoli typem citlivých informací, je kandidátem na plnění požadavků normy ISO 27001.
Zřejmými kandidáty jsou IT, finanční, farmaceutický a zdravotnický průmysl. V konečném důsledku však může mít z dodržování normy ISO 27001 velký prospěch jakákoli organizace bez ohledu na její velikost nebo typ. Soukromé, veřejné, ziskové i neziskové organizace jsou všechny náchylné k narušení bezpečnosti dat.
Norma ISO 27001 je navíc mezinárodní, což znamená, že je snadno rozpoznatelná bez ohledu na to, kde podnikáte.
Jak zavést normu ISO 27001
Na normu ISO 27001 můžete nahlížet jako na přehled osvědčených postupů v oblasti zabezpečení dat. Není normativní. Nejde o návod krok za krokem, kterým byste se řídili při nastavování systému ISMS. Je to průvodce, který umožňuje každé organizaci dosáhnout systému ISMS šitého na míru jí samotné na základě individuálního posouzení rizik.
Organizace se pak rozhodne, přičemž stále bere v úvahu své jedinečné okolnosti, která ochranná opatření navržená normou ISO 27001 mají největší smysl pro každé zjištěné riziko. A ta se implementují do systému ISMS dané organizace.
Komplexní přístup k ochraně dat
Norma ISO 27001 vychází z holistického přístupu, který nahlíží na bezpečnost dat ze tří hlavních úhlů: lidé, technologie a procesy. Měli byste proto očekávat, že vámi sestavený systém ISMS bude viditelný ve všech oblastech vaší organizace a obchodních procesů.
K zabezpečení dat totiž nebude stačit pouhé používání technologií. Ve většině případů se na narušení dat podílí lidský faktor. Vzpomeňte všechny aspekty, nad kterými nemá oddělení IT žádnou kontrolu, jako je například náhodný únik citlivých informací v e-mailu, externí zaměstnanci používající vlastní počítače nebo nezabezpečené sítě, nebo se může stát, že je ukraden telefon manažera.
Proto musí být systém ISMS založený na normě ISO 27001 dodržován v celé organizaci nebo společnosti, a to spíše přístupem shora dolů než zdola nahoru.
Zapojení vedení podniku je jedním z klíčových předpokladů pro zavedení normy ISO 27001. Můžete mít sebelepší systém ISMS na papíře, ale pokud za ním nestojí vedení, nikdy se ve vaší organizaci neprosadí.
Jedna věc je mít moderní technologie a software, ale stejně důležití jsou lidé, jejich školení a prosazování zásad. Norma ISO 27001 toto zohledňuje a pomáhá zajistit, aby tyto body byly řešeny stejně jako samotná technologie.
Hlavní kroky implementace ISO 27001
Základními prvky při zavádění normy ISO 27001 jsou:
- Identikace zúčastněných stran.
- Definice očekávání zainteresovaných stran z hlediska bezpečnosti informací.
- Posouzení rizik, analýza nedostatků.
- Definice kontrolních mechanismů a dalších metod zmírňování rizik tak, aby splňovaly stanovená očekávání.
- Zavedení kontrolních mechanismů a dalších metod ošetření rizik.
- Průběžné měření, zda kontroly fungují podle očekávání.
- Provádění průběžných zlepšení k zajištění co nejlepšího fungování systému.
Posouzení rizik
Abyste mohli provést formální analýzu rizik vyžadovanou normou ISO 27001, musíte se nejprve rozhodnout, zda si najmete konzultanta, který vám pomůže, nebo zda ji budete provádět sami.
Větší společnosti mohou mít zaměstnance nebo celé týmy, které se takovým úkolům věnují, takže se mohou rozhodnout provést posouzení na vlastní pěst. Na druhou stranu, najmutí zkušeného konzultanta by mohlo celý proces urychlit a usnadnit, aniž by celý tým věnoval drahocenný čas na jeden poměrně náročný úkol.
Malá organizace může sama posoudit, jestli je opravdu dostatečně malá na to, aby takové hodnocení rizik zvládla na vlastní pěst. Nebo může dát přednost odborníkovi, protože se na takovou výzvu necítí.
Bez ohledu na to, pro co se rozhodnete, budete muset nejprve sestavit seznam aktiv (to zahrnuje záležitosti, jako jsou elektronické soubory, hardware a duševní vlastnictví) a určit, kdo je jejich vlastníkem, jinými slovy definovat, kdo je odpovědný za které riziko.
Jakmile je seznam aktiv sestaven, je čas zamyslet se nad riziky a zranitelnými místy, které se k nim vážou, a následně vyhodnotit jednotlivá rizika. Je třeba zhodnotit každé riziko, abyste mohli určit, které z těchto rizik je nejpravděpodobnější a které by mělo nejhorší dopady, a proto má přednost před ostatními.
Jakmile je hodnocení rizik podle normy ISO 27001 dokončeno, můžete přejít k vymýšlení metod k jejich zmírnění a kontrolních mechanismů.
Čtrnáct kontrolních souborů podle normy ISO 27001
Hovořili jsme o tom, jak by měl systém ISMS dané organizace ovlivňovat všechny aspekty byznysu. Pro lepší pochopení tohoto systému a toho, co všechno obnáší, obsahuje příloha A normy ISO 27001 14 oblastí systému bezpečnosti informací společnosti, a popisuje kontrolní mechanismy, které lze v rámci dané oblasti využít.
Jedná se o 14 kontrolních souborů normy ISO 27001 a jejich (velmi stručný) obsah:
Doména |
Obsah |
Zásady zabezpečení informací |
Sladění zásad s celkovým směrem zabezpečení organizace. Provádění zásad. |
Organizace zabezpečení informací |
Řízení postupů zabezpečení informací v rámci organizace. Řešení mobilních zařízení a externí pracovní síly. |
Zabezpečení lidských zdrojů |
Povinnosti jednotlivců před nástupem do zaměstnání v organizaci, v jeho průběhu a po jeho skončení. |
Správa aktiv |
Zabezpečení a identifikace datových aktiv, ukládání a ochrana dat. |
Řízení přístupu |
Zajištění, aby zaměstnanci mohli zobrazovat pouze informace, které jsou pro ně určeny. |
Kryptografie |
Šifrování dat, ochrana důvěrnosti dat. |
Fyzická bezpečnost a bezpečnost prostředí |
Zabránění neoprávněnému fyzickému přístupu nebo poškození zařízení organizace. Zabránění ztrátě nebo krádeži hardwaru nebo zařízení pro ukládání souborů. |
Provozní zabezpečení |
Zajištění bezpečnosti zařízení zabývajících se shromažďováním a ukládáním dat. Řízení zranitelnosti. |
Zabezpečení komunikace |
Ochrana informací v sítích, ať už v rámci organizace, nebo při jejich přenosu třetí straně. |
Pořízení, vývoj a údržba systému |
Zachování bezpečnostních požadavků v průběhu celého životního cyklu. |
Vztahy s dodavateli |
Jaké informace jsou k dispozici smluvním stranám a jak je řešeno zabezpečení informací? |
Řízení incidentů v oblasti bezpečnosti informací |
Určení, kdo je odpovědný za řešení a hlášení bezpečnostních událostí, a kroky v tomto procesu. |
Řízení kontinuity podnikání |
Vytvoření systému pro udržení procesu zabezpečení informací během přerušení provozu. |
Dodržování předpisů |
Identifikace a dodržování zákonů a předpisů relevantních pro organizaci. |
Závěr
Jak už bylo vysvětleno, organizace nemusí zavést všechny kontroly uvedené v normě ISO 27001. Je třeba je zvážit pouze tehdy, pokud mají smysl na základě posouzení rizik a očekávání organizace.
Nedílnou součástí dobrého systému ISMS je nejen implementace osvědčených postupů podle normy ISO 27001, ale také neustálá údržba a zlepšování systému. Jen tak lze zajistit, aby byl systém zabezpečení dat organizace stále svěží a aktuální.
Pojďme si popovídat o vašem zabezpečení dat
Jak Safetica pomáhá dodržovat normu ISO 27001
Přehled citlivých údajů
Safetica poskytuje přehled o informačních tocích a ukládání citlivých dat, a pomáhá sledovat operace uživatelů a poskytuje hlášení o tom, jak jsou data zpracovávána.
Klasifikace dat a bezpečnostní politiky
Pomocí systému Safetica můžete snadno klasifikovat data, a na základě toho aplikovat zásady prevence ztráty dat, a vynucovat požadované chování při interakci uživatelů s citlivými informacemi.
Šifrování dat
Safetica vám pomůže šifrovat vaše data. Šifrování je centrálně spravováno v aplikaci Safetica management console.
Upozornění na únik dat
V případě bezpečnostního incidentu obdrží příslušní pracovníci e-mailové upozornění v reálném čase. Poskytne vám podrobné informace, takže můžete přijmout následná opatření a minimalizovat dopad úniku dat.
Dodržování právních předpisů
Se Safeticou a jejími zásadami ochrany před únikem dat si můžete být jisti, že jste v souladu nejen s normou ISO 27001, ale také s dalšími předpisy, jako jsou GDPR (obecné nařízení o ochraně údajů), PCI DSS (standard zabezpečení dat platebních karet), HIPAA (zákon o přenositelnosti a odpovědnosti zdravotního pojištění), CMMC (zásady kybernetické ochrany) a další.