Plánuj
V první fázi procesu řízení bezpečnosti informací, by měla společnost:
Stanovit hranici a rozsahu ISMS, dle analýzy s ohledem mimo jiné na zaměření svého podnikání, uspořádání organizace, lokality, požadavky organizace a další.
Dále by také měla stanovit kritéria pro hodnocení rizik.
Stanovit systematický přístup k hodnocení rizik, zajistit porovnatelnost a reprodukovatelnost výsledků hodnocení.
Identifikovat zranitelnosti, které by mohly potenciálně být zneužity.
Posoudit dopady na činnost organizace v případě selhání bezpečnosti.
Aplikovat vhodná opatření. Zohlednit kritéria pro akceptaci rizik. Přenesení rizik na třetí strany.
Dělej
V druhé fázi procesu by měla organizace zajistit zavedení a provozování Systému řízení bezpečnosti informací následujícími kroky:
Formulovat plán zvládání rizik s vymezením zdrojů, priorit a odpovědnost za řízení.
Určit způsob měření.
Provést implementaci kroků vedoucích k odstranění či alespoň snížení rizik.
Proškolení zaměstnanců a klientů.
Kontroluj
Ve třetím kroku by měla organizace zajistit kontrolu a vyhodnocování průběžné snahy.
Kroky, které musí organizace zajistit:
Provádění pravidelných kontrol a testování. A jejich vyhodnocování.
Vyhodnocování všech incidentů z reálného provozu, tedy mimo testovací prostředí.
Měření účinnosti provedených změn.
Jednej
Ve čtvrté a poslední fázi by měla firma pracovat na vylepšení systému řízení bezpečnosti informací a jeho zefektivnění.
Zajistit zpětnou vazbu.
Zlepšování ISMS.
Důležitý krok v procesu implementace ISMS je zapojení vedení organizace na všech úrovních od vrcholového managementu po jednotlivé projektové manažery. Zajímavým krokem by bylo přímé propojení bezpečnosti dat s politikou kvality. Vedení musí důsledně
prosazovat politiku bezpečnosti a také její kontrolu. Dále vedení musí poskytnout dostatečně zdrojů pro účinnou implementaci ISMS a jeho budoucí zlepšování.
Zaměstnanci, kteří budou mít na starosti úkoly, kterých se týkají povinnosti definované v ISMS, musejí být řádně a odborně proškoleni k výkonu stanovených úkolů. A tito zaměstnanci si musejí být vědomi svých povinností. Organizace odpovídá za zajištění takového školení. (Drastich, 2011)
4.2.4 ISO/IEC 27002
Tato norma obsahuje seznam doporučení, které by organizace měla zvážit a dodržovat pro bezpečnost v různých oblastech firmy. Příklady bezpečnostních politik, které by měla organizace implementovat: (ČSN ISO/IEC 27002:2014)
Kontrola a řízení přístupu
Utajování informací
Fyzické a environmentální zabezpečení
Transfer dat
Restrikce určitého softwaru
Zálohování
Ochrana před malwarem
Kryptografická kontrola
Zabezpečení komunikace
Soukromí a zabezpečení osobních údajů
Kontrola a řízení přístupu
Organizace by měla zajistit zabezpečený přístup ke všem informacím a datům a konzistenci mezi přístupovými právy a klasifikací různých druhů informací podle jejich závažnosti. Tento přístup musí být podle platných zákonů daného státu, ve kterém organizace podniká a uchovává data. Měla by umět rozlišovat různé role uživatelů a přiřadit jim určitá práva. Dále by organizace měla mít určenou politiku a technické řešení pro odebírání těchto práv, například pro případ rozvázání pracovního poměru se zaměstnancem nebo zákazníkem. A je potřeba tyto práva pravidelně kontrolovat.
Zajistit politiku, že „všechno je v základu zakázáno a práva se přidávají“ místo politiky, že
„všechno je v základu povoleno a práva se odebírají“.
Koncepce, kterou spousta firem přijala, je rozdělování předem připravených systémových rolí na základě propojení těchto rolí s pracovními rolemi v organizaci.
(ČSN ISO/IEC 27002:2014)
Fyzické a environmentální zabezpečení
Cílem fyzického zabezpečení je zabránit neautorizovanému přístupu do budov a místností se servery, stejně tak jako zabránit fyzickému poškození serverů nebo datových nosičů, aby nedošlo k manipulaci nebo ztrátě dat. Mezi taková zabezpečení můžou patřit fyzické bariéry, ostraha, alarm, kamerový systém atd.
Fyzická ochrana může být zajištěna vytvořením jedné nebo více fyzických bariér okolo areálu, budovy nebo místnosti, kde se nacházejí chráněná data. Použití více bariér může pomoct se zajištěním dodatečné ochrany v případě, že dojde k selhání jedné z nich a tudíž nedojde k okamžitému narušení bezpečnosti.
Dále by měly v rámci organizace existovat ochrany proti přírodním pohromám nebo nehodám, jako jsou oheň, záplavy, zemětřesení nebo exploze. (ČSN ISO/IEC 27002:2014)
Zálohování
Cílem zálohování dat v organizaci je zabránění ztrátě těchto dat v případě technického problému nebo narušení bezpečnosti.
Restrikce určitého softwaru
Uživatelé či zaměstnanci by neměli být schopni instalovat neoprávněný software, který by mohl vést k potenciálnímu nebezpečí. Nekontrolovatelné instalování softwaru na počítače nebo servery může vést k zavádění zranitelností a poté i k úniku informací, ztrátě integrity dat nebo k porušení práv duševního vlastnictví. (ČSN ISO/IEC 27002:2014)
4.2.5 ISO/IEC TR 13335-3
Tato norma dříve sloužila k ujasnění technik pro řízení bezpečnosti v IT, ale již byla nahrazena novější normou ISO/IEC 27005. Tyto směrnice jsou užitečné pro identifikaci a řízení všech aspektů bezpečnosti IT.
4.2.6 ISO/IEC 27005
Tato norma poskytuje pokyny pro řízení rizik v oblasti bezpečnosti informací, včetně doporučení týkajícího se posouzení rizik, odstraňování rizik, přijatelnosti rizika, hlášení rizik, sledování rizik a přezkoumání rizik. Rovněž jsou zahrnuty příklady metodik hodnocení rizika.
Řízení rizik v oblasti informační bezpečnosti by mělo přispět k následujícím:
Rizika jsou identifikována
Rizika jsou posouzena z hlediska jejich důsledků pro podnikání a pravděpodobnost jejich výskytu
Pravděpodobnost a následky těchto rizik jsou projednány a pochopeny
Priorita opatření ke snížení rizika
Zúčastněné strany se podílejí na rozhodování o řízení rizik a jsou průběžně informovány o stavu řízení rizik
Rizika a proces řízení rizik jsou pravidelně sledována a revidována
Získané informace jsou využity za účelem zlepšení přístupu k řízení rizik
Manažeři a zaměstnanci jsou obeznámeni s riziky a kroky vedoucími k jejich zmírnění
Obrázek 14: Proces managementu pro řízení rizik