informačná bezpečnosť v spoločnosti information security in society

INFORMAČNÁ BEZPEČNOSŤ V SPOLOČNOSTI
INFORMATION SECURITY IN SOCIETY
Marek Šolc
Hutnícka fakulta Technickej univerzity v Košiciach
Marek.Solc@tuke.sk
Abstrakt: Článok sa zaoberá problematikou informačnej bezpečnosti. Pojednáva a popisuje základne pojmy v oblasti
informačnej bezpečnosti, akými sú dôvernosť, integrita a dostupnosť. Následne sa článok zaoberá informačnou
bezpečnosťou vo svete a v SR a ČR, aké sú poznatky z posledných prieskumov stavu informačnej bezpečnosti,
popisuje medzinárodné štandardy zamerané na informačnú bezpečnosť (ISO/IEC 27001 a ISO/IEC TR 13335:2004.
Nakoniec sa článok venuje certifikácii systému manaţérstva informačnej podľa ISO/IEC 27001:2005 a popisuje výhody
a moţné prekáţky pri budovaní informačnej bezpečnosti.
Klíčová slova: informácia, bezpečnosť, hrozba, štandard, systém
Abstract: The article deals with information security. It discusses and describes the basic concepts of information
security, such as confidentiality, integrity and availability. Subsequently, the article deals with information security in the
world and in the SR and CR, what are the findings of recent surveys of the Information Security, describes international
standards aimed at information security (ISO / IEC 27001 and ISO/IEC TR 13335:2004. Finally, the article deals with the
certification system management information according to ISO / IEC 27001:2005 and describes the benefits and
possible obstacles to the establishment of information security.
Key words: information, security, threat, standard, system
JEL Classification: L86, J28
1 ÚVOD
Informačná bezpečnosť sa ako kaţdá oblasť ľudského ţivota dynamicky vyvíja. Typickým problémom niektorých
organizácií je nedostatočná pozornosť venovaná informačnej bezpečnosti, nedostatok času a finančných zdrojov pre
túto oblasť, nedostatočný počet nezávislých kvalifikovaných pracovníkov, ktorí sa zaoberajú informačnou bezpečnosťou,
nevhodná konfigurácia niektorých kľúčových IT zariadení a nízka úroveň povedomia väčšiny pracovníkov o
bezpečnostných zásadách v organizácii. Mnoho vedúcich pracovníkov si preto dobre uvedomuje nutnosť chrániť
informačný systém organizácie a potrebu zaoberať sa riešením tejto problematiky. Prax ukazuje, ţe ţiadny
bezpečnostný systém sa nezaobíde bez technických a procesných kontrolných mechanizmov, posudzovania kvality a
vyhodnocovania jeho účinnosti, s následným návrhom primeraných opatrení pre zlepšenie. Táto činnosť je
neoddeliteľnou súčasťou bezpečnostného procesu z pohľadu aplikácie ISO noriem.
12

2 VÝZNAM A VYMEDZENIE POJMU INFORMAČNÁ BEZPEČNOSŤ
Ak si pojem informačná bezpečnosť rozmeníme na jednotlivé podskupiny, tak informácie sa v organizácii
povaţujú za aktíva. Aktívum je čokoľvek, čo má pre organizáciu hodnotu[1]. Informácie sú hlavným majetkom
organizácie. Sú nevyhnutné pre činnosť a správne fungovanie organizácie. Preto je potrebné, aby ich ochrane a
bezpečnosti bola venovaná primeraná pozornosť. Inak povedané informačná bezpečnosť je vlastnosť subjektu, ktorá
určuje mieru ochrany pred rôznorodými hrozbami a zraniteľnosťami s cieľom zabezpečiť kontinuálny a úspešný chod
činností organizácie, minimalizovať podnikateľské riziko a maximalizovať vyuţitie investícií a obchodných príleţitostí.
Informačnú bezpečnosť vieme dosiahnuť zavedením jednotlivých opatrení bezpečnosti, tieto opatrenia je nutné
implementovať, monitorovať, preskúmavať, udrţiavať a zlepšovať, ak je to potrebné. Jednotlivé opatrenia by sa mali
realizovať v súčinnosti s ostatnými manaţérskymi procesmi.
3 ZÁKLADNÁ TERMINOLÓGIA TÝKAJÚCA SA INFORMAČNEJ BEZPEČNOSTI
Informačná bezpečnosť je podľa normy ISO/IEC 27002:2007 zachovanie dôvernosti, integrity, dostupnosti
informácií a navyše sa môţe týkať aj ďalších vlastností, akými sú autentičnosť, sledovateľnosť, nemoţnosť poprieť
zodpovednosť a spoľahlivosť [2].
3.1 Dôvernosť
Dôvernosť je podľa normy ISO/IEC 13335-1:2004 definovaná ako vlastnosť, na základe ktorej informácie nie sú
sprístupňované a odhaľované neautorizovaným osobám, entitám alebo procesom[1]. Informačné systémy v organizácii
pracujú s informáciami, ktoré sú prevaţne dôverného charakteru. Majú priam existenčnú hodnotu pre danú organizáciu.
Poskytujú organizácií konkurenčnú výhodu a podiel na trhu. Preto je v záujme organizácie chrániť a dohliadať na to, aby
mali k informáciám prístup len oprávnené a autorizované osoby. Poznáme niektoré základné spôsoby ochrany
dôvernosti informácii a to riadením prístupu k informáciám, čo je jednoducho povedané určenie stupňa priority ochrany
a povolenia prístupu k informácii. Druhým spôsobom je kódovanie informácie a zabezpečenie pred moţným útokom
z vonku.
3.2 Integrita
Norma ISO 13335:2004 definuje integritu ako vlastnosť zabezpečujúcu presnosť a kompletnosť aktív [1].
Synonymom integrity je celistvosť, nedotknuteľnosť alebo neporušenosť systému. Je to stav, keď je systém nenarušený
a nepodľahol neţiaducej zmene. Integrita sa zisťuje pomocou kontrolných súčtov, samoopravnými kódmi, hašovacími
funkciami a digitálnym podpisom.
3.3 Dostupnosť
Jednou z dôleţitých vlastností informačného systému je dostupnosť. Dostupnosť je schopnosť byť dostupný
a pouţiteľný na poţiadanie autorizovanej entity[1]. Znamená to, ţe informačný systém je schopný poskytnúť relevantné
informácie v čase, kedy o to autorizovaná osoba, entita alebo proces poţiada. Dostupnosť sa v organizácii
zabezpečujeme buď archiváciou údajov a zálohovaním, alebo redundanciou zdrojov a systémov (súbeţná činnosť
viacerých zariadení, kedy v prípade výpadku jedného naskočí druhé)
13

Obrázok 1: Model súvislostí medzi základnými vlastnosťami informačnej bezpečnosti (IB)
Dôvernosť
I B
Integrita
Dostupnosť
Zdroj: vlastné spracovanie
3.4 Niektoré ďalšie pojmy týkajúce sa informačnej bezpečnosti
Autentickosť
Synonymum slova autentický alebo autenticita je pôvodný, pravý, originálny alebo hodnoverný. Na to, aby
informácia mohla byť autentická, teda hodnoverná, musíme vedieť spoľahlivo určiť pôvod informácie. Len vtedy sa
informácia povaţuje za autentickú, keď je nezmenená a pochádza od zdroja, ktorý je nami určený, známy a ohodnotený
za hodnoverný.
Sledovateľnosť
Pod pojmom sledovateľnosť sa rozumie, ţe sa musia dať spätne vypátrať činnosti, ktorými informácia počas
ţivota prešla, napríklad :
Obsahové zmeny: čiastočné či úplné pozmenie.
Atribútové zmeny: úplné zmazanie informácie, kopírovanie, čítanie informácie.
Dopad
Dopad je dôsledok hrozby a z nej plynúceho incidentu, ktorý sa uskutočnil a môţe mať podobu v strate
funkčnosti systému; straty dôvernosti, integrity, dostupnosti a individuálnej zodpovednosti; zničenia alebo poškodenia
informačných aktív alebo systému (siete); taktieţ tu môţeme zaradiť finančné straty, stratu podielu na trhu, stratu
dobrého mena atď.
14

Hrozba
Hrozbu definuje norma ako moţnú príčinu neţelaného incidentu, ktorý môţe vyústiť do poškodenia systému
alebo organizácie [1]. To znamená, ţe hrozba má potenciálnu schopnosť spôsobiť neţiadúci incident, s moţnosťou
neţelaného efektu a to poškodenia systému alebo organizácie. Incident je signalizovaný jednou alebo viacerými
neţelanými a neočakávanými udalosťami, pri ktorých je vysoká pravdepodobnosť kompromitácie aktivít organizácie a
ohrozenia informačnej bezpečnosti. Aby hrozba spôsobila poškodenie systému alebo organizácie, vyuţíva zraniteľnosť
systému (alebo organizácie). Zraniteľnosť znamená slabé miesto existujúce v oblasti[3] :
□
□
□
□
□
□
□
Fyzickej,
Personálnej,
Organizačnej,
Riadiacej,
Legislatívnej,
Hardvérovej/softvérovej,
V oblasti informačných aktív.
Zraniteľnosť systému nie je príčinou škody, ale jej prekurzívou. Zahŕňa slabé miesto aktíva alebo skupiny aktív,
ktoré môţe byť vyuţité na realizáciu hrozby. Príklady moţných hrozieb podľa ISO/IEC TR 13335 sa nachádzajú
v tabuľke.
Tabuľka 1: Príklady moţných hrozieb podľa ISO/IEC TR 13335
ĽUDSKÉ HROZBY - ÚMYSLENÉ ĽUDSKÉ HROZBY - NÁHODNÉ HROZBY PROSTREDIA
Odpočúvanie Chyby a zabudnutie Zemetrasenie
Zmena a zámena informácie Vymazanie súboru Blesk
Nepriateľský program- vírus Nesprávne smerovanie Povodeň
Hacking systému Fyzické nehody Poţiar
Krádeţ
Zdroj: ISO/IEC 13335:2004 Information technology
4 STAV INFORMAČNEJ BEZPEČNOSTI VO SVETE
V nasledujúcej tabuľke sú uvedené údaje o počte certifikovaných spoločností štandardom ISO 27001:2005
v jednotlivých krajinách sveta.
15

Tabuľka 2: Počet udelených certifikátov SMIB (systém manaţérstva informačnej bezpečnosti) v jednotlivých krajinách
sveta
Zdroj: http://www.iso27001certificates.com/
5 STAV INFORMAČNEJ BEZPEČNOSTI V ČESKEJ A SLOVENSKEJ REPUBLIKE
V posledných rokoch sa v Českej a Slovenskej republike uskutočnil prieskum stavu informačnej bezpečnosti,
ktorý realizoval časopis o bezpečnosti, správe a riadení rizík informačných systémov DSM (Data Security Management)
v spolupráci so spoločnosťou KPMG Slovensko, spol s.r.o a NBÚ (Národným bezpečnostným úradom). Cieľom
prieskumu bolo zachytiť tendencie a s nimi súvisiace kvalitatívne a kvantitatívne zmeny v oblasti informačnej
bezpečnosti. Z prieskumu v roku 2009 v Českej republike a v roku 2008 v Slovenskej republike vyplynuli nasledovne
závery:
Tabuľka 3: Závery vyplyvajúce z prieskumu stavu IB v SR 2008 a ČR 2009
Slovenská republika 2008 Česká republika 2009
□
□
V roku 2008 prikladalo informačnej bezpečnosti význam
92 % opýtaných spoločností na Slovensku, no napriek
tomu 18 % z nich hodnotilo svoj stav informačnej
bezpečnosti stále ako nízky alebo nedostatočný.
Ako najviac motivujúce faktory pre investície do
□
□
69 % respondentov zdieľalo názor, ţe dopad ekonomickej
krízi na oblasť informačnej bezpečnosti bude nulový alebo
pozitívny.
Klesal podiel respondentov, ktorí hodnotili vlastnú úroveň
riešenia informačnej bezpečnosti ako nízku.
16

□
□
informačnej bezpečnosti spoločnosti označili
bezpečnosť a ochranu údajov, rýchly vývoj v oblasti IT a
hrozbu útoku.
83 % spoločností nemalo zamestnaného ţiadneho
špecialistu zaoberajúceho sa prioritne informačnou
bezpečnosťou.
Pracovníci, ktorí aktívne pôsobia v oblasti informačnej
bezpečnosti, v priemere zarábajú okolo 43.000 Sk (1
427,34 €), čo je oproti predchádzajúcim rokom výrazný
nárast.
□ Spoločnosti si najviac u svojich bezpečnostných
pracovníkov cenili vecné znalosti problematiky, IT
technológií a flexibilitu, a naopak im najviac chýbala
znalosť finančného riadenia a schopnosť efektívnej
komunikácie s vedením.
□ Beţnou praxou v spoločnostiach bola integrácia
informačnej bezpečnosti pod IS/IT oddelenia. Priemerný
rozpočet na bezpečnostné záleţitosti tvorili firmy iba v
18 % prípadov a to väčšinou vo veľkosti 10 % z
celkového rozpočtu na IS/IT. Iba slabá tretina
spoločností následne kalkulovala návratnosť investícií
do informačnej bezpečnosti.
□
65 % spoločností malo vytvorené bezpečnostné politiky
a tieto boli v 43 % pravidelne prepracovávané a
aktualizované. Pribúdali politíky stredného rozsahu,
ktoré spoločnosti preferovali pred obširnejšími, a tými
najstručnejšími.
□ Majorita spoločností spoliehala na interné štandardy
alebo tie prevzaté od materských spoločností.
□ Medzi najvýznamnejšie identifikované hrozby stále
patrili výpadky prúdu, SPAM a porucha hardvérového
vybavenia.
□ Oproti predchádzajúcim rokom problematika
□
□
□
□
□
□
počítačových vírusov ustupila do pozadia.
Najväčšími výzvami posledného obdobia boli pre
spoločnosti participujúce na prieskume prechod na Euro
a implementácia nových operačných systémov.
Aţ 34 % spoločností nemalo vypracovaný systém
monitorovania bezpečnostných incidentov a viac ako
štvrtina nedisponovala ţiadnými formálnymi postupmi v
tejto oblasti.
Rastol podiel podnikov, ktoré mali vypracované a
pripravené plány obnovy funkčnosti, ktoré majorita
z nich pravidelne aktualizuje a testuje.
Hlavnými prioritami na riešenie v oblasti informačnej
bezpečnosti sa stávali uţ identifikované, známe
problémy firiem.
Skoro 20 % podnikov ešte nikdy nevykonalo analýzu
rizík informačného systému.
Tretina podnikov riešila informačnú bezpečnosť vo
vlastnej réţii, dve tretiny volilo externých dodávateľov
riešení. Iba zanedbateľné percento túto oblasť neriešilo
vôbec.
□ Oproti predchádzajúcim rokom klesol podiel
spoločností, ktoré dokázali a mohli vyuţívať elektronický
podpis z jednej tretiny na jednu štvrtinu. Taký istý počet
jeho zavedenie vôbec neplánuje. Nedostatok aplikácií
podporujúcich elektronický podpis a zriedkavá
akceptácia zo strany štátu boli hlavnými prekáţkami pre
jeho zavádzanie do praxe.
□ Rýchlejšiemu rozvoju informačnej bezpečnosti bránilo
nízke povedomie o bezpečnosti a finančná náročnosť.
□ Lídrami v oblasti informačnej bezpečnosti stále
□ Hrozba útoku mala stále najväčší význam na presadzovanie
informační bezpečnosti.
□ Ubúdli spoločnosti, kde neboli pre riešenie informačnej
bezpečnosti jasne definovane ţiadne zodpovednosti.
□ Informačná bezpečnosť bola u veľkej väčšiny spoločnosti
začlenená do úseku IS/IT.
□ Najväčšou prekáţkou rýchlejšieho presadenia informačnej
bezpečnosti bolo vo všeobecnosti nízké bezpečnostné
povedomie. Rastol podiel spoločností, ktoré túto prekáţku
uvádzali na prvom mieste pred finančnou náročnosťou.
□ Zvýšenie bezpečnostného povedomia bolo taktieţ
najčaštejšie spomínanou aktivitou s potenciálom pre úspory
nákladov v informačnej bezpečnosti v strednodobom
horizonte.
□ Dve tretiny respondentov uţ mali zavedenú bezpečnostnú
politiku.
□ SPAM a výpadok prúdu boli stále najčastejšie zaznamenané
bezpečnostné incidenty.
□ Pre polovicu spoločností bolo najväčšou výzvou hľadisko
bezpečnosti virtualizácie serverov.
□ Takmer dve tretiny spoločnosti nemalo dostatočne
□
□
□
□
□
□
□
17
spracované postupy reakcie na bezpečnostné incidenty.
Na 16 % poklesol podiel organizácii, ktoré nikdy neurobili
analýzu rizik IS.
U 63 % spoločnosti bola informačná bezpečnosť riešená v
spolupráci s externými firmami.
Štyri pätiny spoločnosti nemali na informačnú bezpečnosť
vyčlenené zvláštny rozpočet, pričom výdavky na túto oblasť
tvorili najčastejšie 1-5 % celkového rozpočtu na IS/IT.
Takmer dve tretiny organizácií neurobilo analýzu návratnosti
investícií do bezpečnostných projektov.
66 % respondentov malo, alebo plánovalo posúdenie oblasti
informačnej bezpečnosti externým subjektom.
Najčastejšie outsoursovanou časťou IT bolo internetové
pripojenie.
U takmer pätiny spoločnosti trávili zamestnanci na Internete
viac, ako 30 minút denne mimopracovnými aktivitami.
□ 77 % spoločnosti monitorovalo aktivity svojích
zamestnancov na Internete.
□ Iba 5 % spoločnosti nevyuţívala a ani neplánovala
v budúcnosti vyuţívať elektronický podpis.
□
□
□
14 % organizácií nevedelo určiť, aké výhody pouţívanie
elektronického podpisu prináša.
Asi polovica opýtaných sa domnievala, ţe dopad zákona o
ochrane osobných údajov na informačnú bezpečnosť nebol
ţiadny, alebo bol malý.
74 % spoločností hodnotilo úroveň informačnej bezpečnosti
v ČR ako rovnakú alebo lepšiu vo vzťahu k
západoeurópským krajinám.

zostávajú banky a finančné inštitúcie spolu s IT
spoločnosťami, ktoré dosahujú nadpriemerné výsledky.
Zdroj: http://www.dsm.tate.cz/cz/
6 MEDZINÁRODNÉ ŠTANDARDY ZAMERANÉ NA INFORMAČNÚ BEZPEČNOSŤ
V roku 2005 organizácia ISO spolu s IEC vydala štandardy pod číselným označením ISO/IEC 2700x. Štandardy
obsahujú poţiadavky na systém, návody na zavedenie, monitorovanie a meranie efektívnosť systému manaţérstva
informačnej bezpečnosti. Medzi aktuálne štandardy, ktoré uţ boli publikované patria:
• ISO/IEC 27000:2009 - Information Security Management Systems - Overview and vocabulary; Systém
manaţérstva informačnej bezpečnosti - Prehľad a slovník termínov (poskytuje celkový prehľad a špecifikuje
terminológiu pre radu noriem ISO/IEC 2700X);
• ISO/IEC 27001:2005 - Information Security Management Systems - Requirements; Systém manaţérstva
informačnej bezpečnosti – Poţiadavky (špecifikuje poţiadavky na systém riadenia informačnej bezpečnosti);
• ISO/IEC 27002:2005 - Code of Practice for Information Security Management; Kódex postupov pre riadenie
informačnej bezpečnosti (poskytuje návod na implementáciu vo fáze návrhu opatrení pre dosiahnutie
informačnej bezpečnosti);
• ISO/IEC 27003:2010 - Information Security Management System Implementation Guidance; Vykonávacie
usmernenia pre systém riadenia informačnej bezpečnosti (poskytuje návod na zavedenie systému manaţérstva
informačnej bezpečnosti podľa);
• ISO/IEC 27004:2009 - Information Security Management – Measurement; Riadenie bezpečnosti informácií –
Meranie (je vyhradená pre metriku a meranie manaţérstva informačnej bezpečnosti, poskytuje návod a rady
z oblasti merania a následného ohodnotenia efektívnosti systému informačnej bezpečnosti);
• ISO/IEC 27005:2008 - Information Security Risk Management; Informačná bezpečnosť a riadenie rizík
(štandard pre riadenie rizík tak, aby boli dosiahnuté poţiadavky, ktoré sú v norme špecifikované);
• ISO/IEC 27006:2007 - Requirements for Bodies Providing Audit and Certification of Information Security
Management Systems; Poţiadavky na orgány vykonávajúce audit a certifikáciu systémov riadenia informačnej
bezpečnosti (týka sa poţiadaviek, ktoré sú kladené na orgány vykonávajúce audit a certifikáciu);
• ISO/IEC 27011:2008 - Information Security Management Guidelines for Telecommunications Organizations
Based on ISO/IEC 27002; Usmernenie pre správu a zabezpečenie pre telekomunikačné organizácie zaloţené
na ISO/IEC 27002:2005;
• ISO/IEC 27799:2008 - Information Security Management in Health Using ISO/IEC 27002:2005; Riadenie
bezpečnosti informácií v oblasti zdravia pomocou ISO/IEC 27002:2005 (ustanovuje osobitné usmernenia pre
sektor zdravotníctva).
18

Návody
Poţiadavky
Terminológia
Obrázok 2: Vzťahy medzi normami rady ISO/IEC 2700X
ISO 27000:2009
Prehľad a slovník
ISO 27001:2005
ISO 27006:2007
Poţiadavky
Poţiadavky na akreditáciu
ISO 27002:2005
Kódex praxe
ISO 27007: xxxx
Návod na auditovanie
ISO 27003:2010
Návod na implementáciu
ISO 27005:2008
Riadenie rizika
ISO 27004:2009
Riadenie merania
ISO 27011:2008
Usmernenie IB pre telekomunikačné organizácie
ISO 27799:2008
Zdroj: vlastné spracovanie
Riadenie IB v oblasti zdravotníctva
V súčasnosti organizácia ISO v spolupráci s organizáciou IEC pracuje na vydaní štandardov, ktoré majú byť
začlenené do rodiny ISO/IEC 2700X. Pripravované štandardy pre oblasť manaţérstva informačnej bezpečnosti z radu
ISO 2700X:
• ISO/IEC 27007 bude slúţiť ako návod na vykonávanie auditov systémov manaţérstva informačnej bezpečnosti;
• ISO/IEC 27008 má poskytovať usmernenia na audit kontrolu bezpečnosti informácií;
• ISO/IEC 27010 bude poskytovať poradenstvo pre oblasť riadenia informačnej bezpečnosti v komunikácii medzi
viacerými sektormi;
• ISO/IEC 27014 publikovaná pod názvom „Information Security Governance“;
• ISO/IEC 27015 bude poskytovať usmernenie v oblasti systému informačnej bezpečnosti pre organizácie vo
finančnom sektore;
• ISO/IEC 27031 má to byť norma zameraná na zachovanie kontinuity prevádzky;
• ISO/IEC 27032 má obsahovať opatrenia za zabránenie kyberterorizmu;
• ISO/IEC 27033 norma má obsahovať sústavu doporučení pre implementáciu protiopatrení vzťahujúcich sa
k bezpečnosti sietí;
• ISO/IEC 27034 bude publikovaná pod názvom „Information Technology – Security Techniques – Application
Security“;
• ISO/IEC 27035 vychádza z ISO TR 18044 pod názvom „Security Incident Management“;
• ISO/IEC 27036 bude obsahovať návod pre hodnotenie a zniţovanie rizík týkajúcich sa outsourcovaných
sluţieb;
19

• ISO/IEC 27037 bude obsahovať návod pre zisťovanie, zber, získavanie a uchovávanie digitálnych dôkazov.
Vývoj štandardov radu ISO/IEC 27000 je ešte len na začiatku, čo dokazuje počet štandardov čakajúcich na
publikáciu. To len poukazuje na širokú obsiahlosť a zloţitosť problematiky informačnej bezpečnosti. Keďţe vývoj
v oblasti technológií a zdieľaní informácií ďalej napreduje, dá sa predpokladať, ţe taktieţ sa bude neustále zvyšovať aj
počet štandardov, čo môţe neskôr viesť k neprimeranej a neefektívnej byrokracii a neprehľadnosti v systéme
manaţérstva informačnej bezpečnosti.
Štandardy a normy týkajúce sa riadenia informačnej bezpečnosti mimo radu ISO/IEC 2700X:
• STN ISO/IEC 17799:2005 Informačné technológie: Pravidlá dobrej praxe manaţérstva informačnej
bezpečnosti;
• STN ISO/IEC 13335-1 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 1: Koncepcie
a modely bezpečnosti;
• STN ISO/IEC 13335-2 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 2: Riadenie
a plánovanie bezpečnosti IT;
• STN ISO/IEC 13335-3 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 3: Techniky pre
manaţérstvo bezpečnosti IT;
• STN ISO/IEC 13335-4 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 4: Výber
bezpečnostných opatrení;
• STN ISO/IEC 13335-5 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 5: Externé
prepojenia
• AS/NZS 4360:2004 (Australian/New Zealand Standard) – Risk Management – Riadenie Rizík.
7 CHARAKTERISTIKA MEDZINÁRODNÉHO ŠTANDARDU ISO/IEC 27001 A ISO/IEC 13335:2004
7.1 Charakteristika štandardu ISO/IEC 27001
Štandard ISO/IEC 27001 špecifikuje poţiadavky na vytváranie, zavádzanie, prevádzku, monitorovanie,
preskúmanie, udrţiavanie a zlepšovanie zdokumentovaného systému riadenia informačnej bezpečnosti v organizácii. Je
zvyčajne aplikovateľný na všetky typy organizácií, či uţ vo verejnom alebo súkromnom sektore. Zavedenie SMIB
zabezpečuje ochranu aktív kaţdého druhu (digitálne informácie, dokumenty v papierovej forme a fyzické aktíva
(počítače a siete), vedomosti a znalosti jednotlivých zamestnancov a ochranu fyzických objektov organizácie).
20

Obrázok 3: Vývoj ISO/IEC 27001
10. November 2005 vydaná ISO/IEC 27001:2005
BS 7799-2 je reevidovaná ako BS 77992:2002
BS 7799 je publikovaná ako ISO/IEC 17799:2000
1987 1989 1995 1998 2000 2002 2005
CCSC publikuje zbierku bezpečnostných opatrení :
„Users Code of Practice“
Veľká Británia – Ministerstvo obchodu a priemyslu zakladá:
Commercial Computer Security Center (CCSC)
Zdroj: vlastné spracovanie
Britská norma sa rozrastá o časť 2:
BS 7799-2:1998
Z praktickej sa po doplnení stáva norma na národnej úrovni:
BS 7799:1995
P-D-C-A- princíp v SMIB
SMIB podporuje osvojenie procesného prístupu PDCA. Označenie PDCA sa skladá z anglických názvov
jednotlivých fáz cyklu: P – Planning (1. fáza); D – Doing (2. fáza); C – Checking (3. fáza); A – Acting (4. fáza).
Obrázok 4: PDCA cyklus
Zdroj: www.securityrevue.com/mkportal/modules
21

PDCA cyklus znázorňuje sled aktivít, ktoré smerujú k zlepšovaniu procesov. Ide o všeobecne pouţiteľný
algoritmus, ktorý sa často pouţíva pri rôznych príleţitostiach intuitívne. Pri jeho aplikácii v praxi však často chýba
sústavnosť a dôslednosť. Preto je treba zdôrazniť nutnosť dodrţania uvedenej postupnosti. Preskakovaním niektorých,
zdanlivo nepodstatných bodov, sa môţe účinnosť vykonaných prác úplne zníţiť (resp. úplne eliminovať). Postup je nutné
uplatňovať tímovým spôsobom.[7]
Pri implementácii systému manaţérstva informačnej bezpečnosti s vyuţitím procesného prístupu je v organizácii
kladený dôraz na:
‣ pochopenie poţiadaviek na informačnú bezpečnosť a potrebu stanovenia zásad a cieľov informačnej
bezpečnosti,
‣ zavedenie a realizáciu opatrení v nadväznosti na riadenie celkových podnikateľských rizík organizácie,
‣ monitorovanie a prehodnocovanie funkčnosti a efektívnosti systému manaţérstva informačnej bezpečnosti,
‣ neustále zlepšovanie zaloţené na objektívnych dôkazoch a meraniach.
Pred samotnou realizáciou projektu implementácie systému riadenia je potrebné vykonať vstupnú analýzu
existujúceho stavu systému riadenia organizácie v porovnaní s poţiadavkami príslušnej medzinárodnej normy. Samotný
projekt implementácie systému riadenia je následne zahájený jeho úvodnou etapou, ktorej súčasťou je predovšetkým
školenie vrcholového, resp. stredného manaţmentu organizácie ohľadom:
poţiadaviek príslušnej medzinárodnej normy,
procesu tvorby, implementácie a následnej certifikácie systému riadenia,
základných prístupov a metód mapovania procesov a tvorby procesného modelu organizácie.
Súčasťou úvodnej fázy projektu implementácie systému riadenia je i spracovanie stratégie organizácie na úrovni
poslania, vízie a politiky, resp. cieľov organizácie. [8]
7.2 Charakteristika štandardu ISO/IEC TR 13335:2004
ISO/IEC 13335 je metodika, ktorá dlhodobejšie figuruje v riešení informačnej bezpečnosti, najmä jej projektovej
oblasti. Norma je preto odporúčaná v projektoch na ochranu osobných údajov, projektoch jednotlivých oblastí ochrany
utajovaných skutočností, ale aj v iných zákonmi nešpecifikovaných oblastiach. Nevýhodou normy je najmä to, ţe sa ako
technická špecifikácia zameriava len na riešenie IT bezpečnosti, čo znamená síce podstatnú časť informačnej
bezpečnosti, ale rozhodne nie celú jej oblasť. V súčasnosti je preto norma pouţívaná ako doplnok k iným normám. [9]
Norma má päť častí :
• ISO/IEC TR 13335-1:2004 táto časť sa zaoberá definovaním pojmov, modelov a vzťahov IT bezpečnosti k iným
oblastiam IT;
• ISO/IEC TR 13335-2:1997 popisuje riadiace a plánovacie aspekty. Tieto aspekty majú význam pre manaţérov
so zodpovednosťami súvisiacimi so systémami IT v spoločnosti;
• ISO/IEC TR 13335-3:1998 Techniky pre riadenie bezpečnosti IT: popisuje bezpečnostné techniky vhodné pre
pouţitie pracovníkmi, ktorý sú zapojený do manaţérskych činností v priebehu celého ţivotného cyklu.
Predstavuje základ pre pochopenie procesného a projektového prístupu riešenia informačnej bezpečnosti a tým
aj celej ISMS.
• ISO/IEC TR 13335-4:2000 Výber ochranných opatrení: poskytuje návod na výber ochranných opatrení a na to,
ako môţe byť tento výber uľahčený pouţitím základných modelov a kontrolných opatrení;
• ISO/IEC TR 13335-5:2001 predstavuje návod pre bezpečné pripojenie IT systémov k externým sieťam.
Smernica zahŕňa výber a pouţitie ochranných opatrení k zaisteniu bezpečnosti pripojenia a sluţieb
podporovaných týmito. [9,10,11,12,13]
22

Ako uţ bolo spomínané, oblasť riadenia informačnej bezpečnosti sa neustále vyvíja, čoho dôsledkom je aj
neustále zdokonaľovanie a modernizovanie medzinárodných noriem a štandardov, ktoré napomáhajú k vytvoreniu
efektívnejšieho systému IB. Aj keď metodika ISO/IEC TR 13335 stále nachádza svoje vyuţitie, od roku 2008 existuje
štandard ISO/IEC 27005, ktorý v súčinnosti s rodinou štandardou ISO/IEC 2700x dokáţe plne nahradiť funkciu ISO/IEC
TR 13335.
Ak sa dnes organizácia rozhoduje medzi ISO/IEC TR 13335 a ISO/IEC 27005, zo strategického hľadiska je lepšie
orientovať sa na štandard ISO/IEC 27005. Základné výhody implementácie ISO/IEC 27005 sú:
a) Nadväznosť na štandardy radu ISO/IEC 2700x.
b) Vytvorenie plne kompatibilného systému so štandardmi ISO 9001:2000 a ISO 14001:2004.
c) ISO/IEC 27005 plnohodnotne nahrádza ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000 a naviac
obsahuje riešenia, ktoré nie sú zamerané len na riešenie IT bezpečnosti.
8 CERTIFIKÁCIA SMIB PODĽA NORMY ISO/IEC 27001:2005, JEJ PRÍNOSY, VÝHODY A MOŢNÉ
PREKÁŢKY
Podľa normy STN EN ISO/IEC 17000:2005. čl. 5.5 je certifikácia – atestácia treťou stranou týkajúca sa produktov,
procesov, systémov alebo osôb. S procesom certifikácie SMIB súvisia aj tieto normy:
ISO/IEC 27001:2005 - SMIB- špecifikácia poţiadaviek,
ISO/IEC 17799:2005 - Kódex Praxe Riadenia Informačnej Bezpečnosti,
ISO 19 011 - Návod pre auditovanie SMK,
ISO TR 13335 - Návod na Riadenie Informačnej Bezpečnosti.
Proces certifikácie má vo všeobecnosti 4 fázy, ktorými sú: Príprava auditu, Previerka dokumentácie SMIB,
Certifikačný audit (plánovanie auditu, vykonanie auditu, dokumentovanie výsledkov auditu a následný audit) a Udelenie
certifikátu a následná periodická kontrola prevádzkovania SMIB. [7]
Externé výhody vyplývajúce zo zavedenia a certifikácie SMIB:
zvýšenie konkurencieschopnosti organizácie
certifikát vydaný nezávislou, kompetentnou, certifikačnou organizáciou je zárukou splnenia poţiadaviek
certifikačnej normy
odstraňuje prístupové bariéry ku svetovým, ale aj domácim trhom
zvyšuje imidţ organizácie - napomáha udrţiavať lojalitu zákazníkov
Interné výhody vyplývajúce zo zavedenia a certifikácie SMIB:
ochrana informačných aktív organizácie
predchádzanie rizikám v oblasti informačnej bezpečnosti
pripravenosť na zvládanie krízových situácií a ich rýchla eliminácia
jasne definované štruktúry a zodpovednosti
preskúmanie interných bezpečnostných pravidiel
proces trvalého zlepšovania
redukcia nákladov spojených s chybami personálu a ich následné odstraňovanie
motivácia zamestnancov k ochrane informačných aktív organizácie. [7]
Organizácia by mala mať zároveň minimálne jedného pracovníka, ktorý sa vyzná v problematike SMIB, aby mohol
efektívne spolupracovať jednak pri zavádzaní systému a konečnej certifikácii, ako aj pri správe, údrţbe a trvalom
zlepšovaní systému s tým, ţe bude komunikačným partnerom pre vedenie organizácie aj pre výkonnú zamestnaneckú
23

zloţku. Medzi moţné prekáţky, ktoré by sa mohli vyskytnúť pri budovaní informačnej bezpečnosti by sme mohli zaradiť
napr.:
o
o
o
o
zlá implementácia resp. nedodrţiavanie bezpečnostných postupov,
nedostatok finančných zdrojov,
nevedomosť, informačná bezpečnosť chápaná iba ako nadstavba IS,
nekoordinovaný postup resp. neexistencia bezpečnostnej politiky.
ZÁVER
Prax ukazuje, ţe ţiadny bezpečnostný systém sa nezaobíde bez technických a procesných kontrolných
mechanizmov, posudzovania kvality a vyhodnocovania jeho účinnosti, s následným návrhom primeraných opatrení pre
zlepšenie. Dnes uţ azda nenájdeme organizáciu, ktorej kľúčové informácie by neboli uloţené a spracované v nejakom
informačnom systéme. Počítačom beţne zverujeme všetky cenné informácie, od ktorých závisí úspech alebo neúspech
podnikania. Musíme si ale uvedomiť, ţe na počítače číhá nejedno nebezpečenstvo. Sú to nielen často medializovaný
hackeri a počítačové vírusy, ale aj obyčajné súvislosti, ako je napríklad výpadok prúdu alebo prírodná katastrofa. Práve
z týchto dôvodov je v posledných niekoľkých rokoch venovaná informačnej bezpečnosti veľká pozornosť, ako na úrovni
výrobcov softvéru, tak aj u beţných uţívateľov. Proces zavedenia systému manaţérstva informačnej bezpečnosti je
pomerne zloţitý a môţe pôsobiť odstrašujúco. Vyţaduje si dostatok priestoru, času, trpezlivosti, odbornosti, finančných
prostriedkov a pod.. Organizácia, ktorá si je vedomá svojho informačného bohatstva, nesmie zanedbať externé
ani interné riziká, z neho vyplývajúce a vykročiť informačnej bezpečnosti v ústrety. Zavedenie systému manaţérstva
informačnej bezpečnosti by malo byť plánovaným a strategickým rozhodnutím, pretoţe čiastkové investície bez ucelenej
stratégie nie sú z dlhodobého hľadiska efektívne.
Práca vznikla za podpory VEGA pri riešení projektu 1/4141/07.
Literatúra
[1] ISO/IEC 13335-1:2004 Information technology – Security techniques – Management of information and
communications technology security – part1: Concepts and models for information and communications
technology security management.
[2] ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security
management
[3] ORAVEC, M.: Posudzovanie rizík, Ostrava 2009, SPBI Ostrava, ISBN 978-80-7385-043-2.
[4] Dostupné na internete:
[5] Dostupné na internete: