Systém manažérstva informačnej bezpečnosti

Z Kiwiki
Verzia z 16:39, 19. jún 2011, ktorú vytvoril Samopalo (diskusia | príspevky) (Vytvorená stránka „{{Praca_uvod|3|Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008|Integrovaný m…“)
(rozdiel) ← Staršia verzia | Aktuálna úprava (rozdiel) | Novšia verzia → (rozdiel)
Skočit na navigaci Skočit na vyhledávání

Obsah práce
1. Integrovaný manažérsky systém
2. Podsystémy IMS
3. Systém manažérstva informačnej bezpečnosti
4. Podnikový informačný systém
5. Bezpečnosť informácií a IMS vo firme SLOVECA, Sasol Slovakia, spol. s.r.o.


Systém manažérstva informačnej bezpečnosti

Systém riadenia informačnej bezpečnosti podľa ISO 27001:2005 je určený k ochrane informácií a teda k zvládaniu rizík, ktoré tieto informácie môžu potenciálne ohrozovať.

Systém riadenia informačnej bezpečnosti podľa ISO 27001:2005 je dokumentovaný systém dokazujúci, že identifikované informačné aktíva sú chránené, riziká bezpečnosti informácií sú riadené, sú zavedené opatrenia s požadovanou úrovňou záruky a tie sú kontrolované. ISMS môže byť zavedený pre špecifický IS, jednotlivé časti IS alebo môže zahŕňať celú organizáciu.

Prečo systém manažérstva informačnej bezpečnosti

Informácie sú aktíva, ktoré majú pre spoločnosť veľkú hodnotu a teda potrebujú byť vhodným spôsobom chránené. Bezpečnosť informácií je zameraná na širokú škálu hrozieb a zabezpečuje tak kontinuitu činností organizácie, minimalizuje obchodné straty a maximalizuje návratnosť investícii a podnikateľských príležitostí. Informácie môžu existovať v rôznych podobách. Môžu byť tlačené, písané, zachytené na filme alebo posielané elektronickou poštou. Nech už majú akúkoľvek formu alebo sú zdieľané akýmikoľvek prostriedkami, vždy by mali byť vhodne chránené.


Pre účely tejto normy je bezpečnosť informácií charakterizovaná ako zachovanie:

-dôvernosti

-integrity

-dostupnosti

Bezpečnosť informácií je možné dosiahnuť implementáciou sústavy opatrení, ktoré môžu existovať vo forme pravidiel, natrénovaných postupov, procedúr, organizačnej štruktúry a programových funkcií. Tieto opatrenia musia byť zavedené preto, aby sa dosiahli špecifické bezpečnostné ciele organizácie. [7]

Norma ISO 27001:2005

ISO 27001:2005 je certifikovateľný štandard a obsahuje špecifikáciu pre systémy riadenia bezpečnosti informácií.

Funguje ako základ pre posudzovanie systémov riadenia bezpečnosti informácií (ISMS - Information Security Management System) pre organizáciu ako celok alebo len pre jej časť. Je ju možné použiť ako základ pre formalizovaný postup k certifikácii.

Dôležitou súčasťou normy ISO 27001 je popis k vybudovaniu a prevádzke systému riadenia bezpečnosti informácií: Organizácie musia realizovať analýzu rizík, aby bolo možné určiť špecificky optimálne bezpečnostné ciele a opatrenia, implementovať ich a aplikovať podľa vlastných požiadaviek. Po ich identifikácii je ich potrebné zrozumiteľne zdokumentovať pre všetky osoby v organizácii, pre ktoré budú aplikované. Tieto podklady musia byť k dispozícii pre manažérov, zamestnancov a vybrané nezávislé strany (napr. interných audítorov, certifikačných audítorov atď.).

Zdokumentované bezpečnostné ciele a opatrenia, dokumentácia bezpečnostnej politiky a postupy, ako aj všetky ostatné záznamy, dôležité z hľadiska IS, sa označujú ako systém riadenia bezpečnosti informácií organizácie.

Príloha A ISO 27001 sleduje štruktúru normy ISO 17799, ako návod na riadenie bezpečnosti informácií. Zoznam bezpečnostných cieľov a opatrení tejto časti normy ISO 27001 však nie je vyčerpávajúci. Na základe špecifík organizácie môže vyplynúť potreba konkretizácie ďalších bezpečnostných cieľov a opatrení.

Spoločnosť by mala mať minimálne jedného pracovníka, ktorý sa vyzná v problematike ISMS, aby mohol efektívne spolupracovať jednak pri zavádzaní systému a konečnej certifikácii, ako aj pri správe, údržbe a trvalom zlepšovaní systému s tým, že bude komunikačným partnerom pre vedenie organizácie aj pre výkonnú zamestnaneckú zložku.

Pre tento účel sa ponúka a je vo veľkom využívaný medzinárodne akreditovaný vzdelávací program „ Manažér IS“ ( informačnej bezpečnosti) od spoločnosti CIS-Certificaion & Information Security Services. [8] Norma popisuje systém manažérstva informačnej bezpečnosti – Information Security Management System (ISMS), založený na podobných princípoch ako systém manažérstva kvality podľa normy ISO 9001:2005 a systém environmentálneho manažérstva podľa normy ISO 14001:2004. Cieľom tohto systému je riadiť procesy narábania s informáciami pri zabezpečení troch prvkov:

Dôvernosti – confidentiality – t.j. zabezpečenie toho, že informácie sú poskytnuté a prístupne len oprávneným osobám.

Dostupnosti – availability – t.j. zabezpečenie toho, že k informáciám majú neobmedzený prístup len oprávnené osoby. Inými slovami, správne informácie, správnym ľuďom v správny čas.

Integrity – integrity – t.j. zabezpečenie správnosti a úplnosti informácií z hľadiska obsahu a formy.

Implementácia systému manažérstva informačnej bezpečnosti

Treba si uvedomiť, že implementácia systému je kontinuálny proces.Nie je to jednorázová záležitosť a treba sa jej venovať neustále. Pri zavedení systému manažérstva informačnej bezpečnosti treba vychádzať z PDCA cyklu, ktorého autorom je Alexander Deming.

Plan -Plánovanie

Do- Zavedenie a prevádzka

Check- Monitorovanie a preskúmanie

Act -Udržiavanie a zlepšovanie

Postup implementácie

-Stanoviť si stratégiu, rozsah a cieľ

-Vypracovať rizikovú analýzu

-Vytvoriť bezpečnostné štandardy

-Implementovať bezpečnostné opatrenia

-Monitorovať systém


Implementácia ISO 27001:2005 predstavuje mnoho výhod pre organizáciu, medzi ktoré patria najmä:

Externé konkurenčné výhody:

-certifikáciou ISMS sa zvyšuje imidž a osobná prestíž organizácie na trhu, u zákazníkov, dodávateľov, odberateľov a širokej verejnosti, čo prospieva jej dlhodobej stabilite a prosperite

- ISMS poskytuje zrýchľovanie rastu konkurenčnej schopnosti organizácie

- ISMS napomáha odstráneniu prístupových bariér ku svetovým aj domácim trhom

Interné organizačné výhody:

-zvýšenie produktivity činnosti pozitívnou efektivitou motivácie, vzdelanosti, monitoringu, kontroly a sankcií

- zníženie počtu a účinnosti rizík a z nich vyplývajúcich incidentov, čím sa redukujú náklady na chyby

- optimalizácia a zefektívnenie plánovania investícií do IS a IT

- objektívnejšie vyhodnocovanie a ochrana firemného know-how


Doba zavádzania systému riadenia je závislá na:

- veľkosti organizácie a časovému prispôsobeniu vedenia a zamestnancov

- často spôsobu a forme zavádzania (iba vlastnými silami, s pomocou odborného externého poradcu alebo kombináciou týchto možností) [7]

Certifikácia- Po vykonaní certifikačného auditu môže organizácia získať certifikát. Doba jeho platnosti je 3 roky. Pred uplynutím tejto doby môže organizácia požiadať o recertifikáciu.

Medzinárodná platnosť

Norma ISO 27001 je rovnako ako všetky ISO štandardy medzinárodne platným štandardom. a to znamená, že firma, ktorá obdrží certifikát v jednej krajine, nemusí preukazovať znovu splnenie požiadaviek v inej krajine. [9]

Predpisy súvisiace s bezpečnosťou informácií

V niektorých prípadoch býva dôvodom na zavedenie systému bezpečnosti informácií aby organizácia vyhovela požiadavkám legislativy.

Medzi takéto požiadavky a predpisy patria okrem iného aj:

Zákon č. 211/2000 Z.z. o slobodnom prístupe,

Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností,

Zákon č. 428/2002 Z.z. o ochrane osobných údajov,

Zákon č. 215/2002 Z. z. o elektronickom podpise,

Obchodný zákonník č. 513/1991 Zb.

Zdroj: „http://www.kiwiki.info/index.php?title=Systém_manažérstva_informačnej_bezpečnosti&oldid=10752