informaÄná bezpeÄnosÅ¥ v spoloÄnosti information security in society
informaÄná bezpeÄnosÅ¥ v spoloÄnosti information security in society
informaÄná bezpeÄnosÅ¥ v spoloÄnosti information security in society
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORMAČNÁ BEZPEČNOSŤ V SPOLOČNOSTI<br />
INFORMATION SECURITY IN SOCIETY<br />
Marek Šolc<br />
Hutnícka fakulta Technickej univerzity v Košiciach<br />
Marek.Solc@tuke.sk<br />
Abstrakt: Článok sa zaoberá problematikou <strong>in</strong>formačnej bezpečnosti. Pojednáva a popisuje základne pojmy v oblasti<br />
<strong>in</strong>formačnej bezpečnosti, akými sú dôvernosť, <strong>in</strong>tegrita a dostupnosť. Následne sa článok zaoberá <strong>in</strong>formačnou<br />
bezpečnosťou vo svete a v SR a ČR, aké sú poznatky z posledných prieskumov stavu <strong>in</strong>formačnej bezpečnosti,<br />
popisuje medz<strong>in</strong>árodné štandardy zamerané na <strong>in</strong>formačnú bezpečnosť (ISO/IEC 27001 a ISO/IEC TR 13335:2004.<br />
Nakoniec sa článok venuje certifikácii systému manaţérstva <strong>in</strong>formačnej podľa ISO/IEC 27001:2005 a popisuje výhody<br />
a moţné prekáţky pri budovaní <strong>in</strong>formačnej bezpečnosti.<br />
Klíčová slova: <strong>in</strong>formácia, bezpečnosť, hrozba, štandard, systém<br />
Abstract: The article deals with <strong><strong>in</strong>formation</strong> <strong>security</strong>. It discusses and describes the basic concepts of <strong><strong>in</strong>formation</strong><br />
<strong>security</strong>, such as confidentiality, <strong>in</strong>tegrity and availability. Subsequently, the article deals with <strong><strong>in</strong>formation</strong> <strong>security</strong> <strong>in</strong> the<br />
world and <strong>in</strong> the SR and CR, what are the f<strong>in</strong>d<strong>in</strong>gs of recent surveys of the Information Security, describes <strong>in</strong>ternational<br />
standards aimed at <strong><strong>in</strong>formation</strong> <strong>security</strong> (ISO / IEC 27001 and ISO/IEC TR 13335:2004. F<strong>in</strong>ally, the article deals with the<br />
certification system management <strong><strong>in</strong>formation</strong> accord<strong>in</strong>g to ISO / IEC 27001:2005 and describes the benefits and<br />
possible obstacles to the establishment of <strong><strong>in</strong>formation</strong> <strong>security</strong>.<br />
Key words: <strong><strong>in</strong>formation</strong>, <strong>security</strong>, threat, standard, system<br />
JEL Classification: L86, J28<br />
1 ÚVOD<br />
Informačná bezpečnosť sa ako kaţdá oblasť ľudského ţivota dynamicky vyvíja. Typickým problémom niektorých<br />
organizácií je nedostatočná pozornosť venovaná <strong>in</strong>formačnej bezpečnosti, nedostatok času a f<strong>in</strong>ančných zdrojov pre<br />
túto oblasť, nedostatočný počet nezávislých kvalifikovaných pracovníkov, ktorí sa zaoberajú <strong>in</strong>formačnou bezpečnosťou,<br />
nevhodná konfigurácia niektorých kľúčových IT zariadení a nízka úroveň povedomia väčš<strong>in</strong>y pracovníkov o<br />
bezpečnostných zásadách v organizácii. Mnoho vedúcich pracovníkov si preto dobre uvedomuje nutnosť chrániť<br />
<strong>in</strong>formačný systém organizácie a potrebu zaoberať sa riešením tejto problematiky. Prax ukazuje, ţe ţiadny<br />
bezpečnostný systém sa nezaobíde bez technických a procesných kontrolných mechanizmov, posudzovania kvality a<br />
vyhodnocovania jeho úč<strong>in</strong>nosti, s následným návrhom primeraných opatrení pre zlepšenie. Táto č<strong>in</strong>nosť je<br />
neoddeliteľnou súčasťou bezpečnostného procesu z pohľadu aplikácie ISO noriem.<br />
12
2 VÝZNAM A VYMEDZENIE POJMU INFORMAČNÁ BEZPEČNOSŤ<br />
Ak si pojem <strong>in</strong>formačná bezpečnosť rozmeníme na jednotlivé podskup<strong>in</strong>y, tak <strong>in</strong>formácie sa v organizácii<br />
povaţujú za aktíva. Aktívum je čokoľvek, čo má pre organizáciu hodnotu[1]. Informácie sú hlavným majetkom<br />
organizácie. Sú nevyhnutné pre č<strong>in</strong>nosť a správne fungovanie organizácie. Preto je potrebné, aby ich ochrane a<br />
bezpečnosti bola venovaná primeraná pozornosť. Inak povedané <strong>in</strong>formačná bezpečnosť je vlastnosť subjektu, ktorá<br />
určuje mieru ochrany pred rôznorodými hrozbami a zraniteľnosťami s cieľom zabezpečiť kont<strong>in</strong>uálny a úspešný chod<br />
č<strong>in</strong>ností organizácie, m<strong>in</strong>imalizovať podnikateľské riziko a maximalizovať vyuţitie <strong>in</strong>vestícií a obchodných príleţitostí.<br />
Informačnú bezpečnosť vieme dosiahnuť zavedením jednotlivých opatrení bezpečnosti, tieto opatrenia je nutné<br />
implementovať, monitorovať, preskúmavať, udrţiavať a zlepšovať, ak je to potrebné. Jednotlivé opatrenia by sa mali<br />
realizovať v súč<strong>in</strong>nosti s ostatnými manaţérskymi procesmi.<br />
3 ZÁKLADNÁ TERMINOLÓGIA TÝKAJÚCA SA INFORMAČNEJ BEZPEČNOSTI<br />
Informačná bezpečnosť je podľa normy ISO/IEC 27002:2007 zachovanie dôvernosti, <strong>in</strong>tegrity, dostupnosti<br />
<strong>in</strong>formácií a navyše sa môţe týkať aj ďalších vlastností, akými sú autentičnosť, sledovateľnosť, nemoţnosť poprieť<br />
zodpovednosť a spoľahlivosť [2].<br />
3.1 Dôvernosť<br />
Dôvernosť je podľa normy ISO/IEC 13335-1:2004 def<strong>in</strong>ovaná ako vlastnosť, na základe ktorej <strong>in</strong>formácie nie sú<br />
sprístupňované a odhaľované neautorizovaným osobám, entitám alebo procesom[1]. Informačné systémy v organizácii<br />
pracujú s <strong>in</strong>formáciami, ktoré sú prevaţne dôverného charakteru. Majú priam existenčnú hodnotu pre danú organizáciu.<br />
Poskytujú organizácií konkurenčnú výhodu a podiel na trhu. Preto je v záujme organizácie chrániť a dohliadať na to, aby<br />
mali k <strong>in</strong>formáciám prístup len oprávnené a autorizované osoby. Poznáme niektoré základné spôsoby ochrany<br />
dôvernosti <strong>in</strong>formácii a to riadením prístupu k <strong>in</strong>formáciám, čo je jednoducho povedané určenie stupňa priority ochrany<br />
a povolenia prístupu k <strong>in</strong>formácii. Druhým spôsobom je kódovanie <strong>in</strong>formácie a zabezpečenie pred moţným útokom<br />
z vonku.<br />
3.2 Integrita<br />
Norma ISO 13335:2004 def<strong>in</strong>uje <strong>in</strong>tegritu ako vlastnosť zabezpečujúcu presnosť a kompletnosť aktív [1].<br />
Synonymom <strong>in</strong>tegrity je celistvosť, nedotknuteľnosť alebo neporušenosť systému. Je to stav, keď je systém nenarušený<br />
a nepodľahol neţiaducej zmene. Integrita sa zisťuje pomocou kontrolných súčtov, samoopravnými kódmi, hašovacími<br />
funkciami a digitálnym podpisom.<br />
3.3 Dostupnosť<br />
Jednou z dôleţitých vlastností <strong>in</strong>formačného systému je dostupnosť. Dostupnosť je schopnosť byť dostupný<br />
a pouţiteľný na poţiadanie autorizovanej entity[1]. Znamená to, ţe <strong>in</strong>formačný systém je schopný poskytnúť relevantné<br />
<strong>in</strong>formácie v čase, kedy o to autorizovaná osoba, entita alebo proces poţiada. Dostupnosť sa v organizácii<br />
zabezpečujeme buď archiváciou údajov a zálohovaním, alebo redundanciou zdrojov a systémov (súbeţná č<strong>in</strong>nosť<br />
viacerých zariadení, kedy v prípade výpadku jedného naskočí druhé)<br />
13
Obrázok 1: Model súvislostí medzi základnými vlastnosťami <strong>in</strong>formačnej bezpečnosti (IB)<br />
Dôvernosť<br />
I B<br />
Integrita<br />
Dostupnosť<br />
Zdroj: vlastné spracovanie<br />
3.4 Niektoré ďalšie pojmy týkajúce sa <strong>in</strong>formačnej bezpečnosti<br />
Autentickosť<br />
Synonymum slova autentický alebo autenticita je pôvodný, pravý, orig<strong>in</strong>álny alebo hodnoverný. Na to, aby<br />
<strong>in</strong>formácia mohla byť autentická, teda hodnoverná, musíme vedieť spoľahlivo určiť pôvod <strong>in</strong>formácie. Len vtedy sa<br />
<strong>in</strong>formácia povaţuje za autentickú, keď je nezmenená a pochádza od zdroja, ktorý je nami určený, známy a ohodnotený<br />
za hodnoverný.<br />
Sledovateľnosť<br />
Pod pojmom sledovateľnosť sa rozumie, ţe sa musia dať spätne vypátrať č<strong>in</strong>nosti, ktorými <strong>in</strong>formácia počas<br />
ţivota prešla, napríklad :<br />
<br />
<br />
Obsahové zmeny: čiastočné či úplné pozmenie.<br />
Atribútové zmeny: úplné zmazanie <strong>in</strong>formácie, kopírovanie, čítanie <strong>in</strong>formácie.<br />
Dopad<br />
Dopad je dôsledok hrozby a z nej plynúceho <strong>in</strong>cidentu, ktorý sa uskutočnil a môţe mať podobu v strate<br />
funkčnosti systému; straty dôvernosti, <strong>in</strong>tegrity, dostupnosti a <strong>in</strong>dividuálnej zodpovednosti; zničenia alebo poškodenia<br />
<strong>in</strong>formačných aktív alebo systému (siete); taktieţ tu môţeme zaradiť f<strong>in</strong>ančné straty, stratu podielu na trhu, stratu<br />
dobrého mena atď.<br />
14
Hrozba<br />
Hrozbu def<strong>in</strong>uje norma ako moţnú príč<strong>in</strong>u neţelaného <strong>in</strong>cidentu, ktorý môţe vyústiť do poškodenia systému<br />
alebo organizácie [1]. To znamená, ţe hrozba má potenciálnu schopnosť spôsobiť neţiadúci <strong>in</strong>cident, s moţnosťou<br />
neţelaného efektu a to poškodenia systému alebo organizácie. Incident je signalizovaný jednou alebo viacerými<br />
neţelanými a neočakávanými udalosťami, pri ktorých je vysoká pravdepodobnosť kompromitácie aktivít organizácie a<br />
ohrozenia <strong>in</strong>formačnej bezpečnosti. Aby hrozba spôsobila poškodenie systému alebo organizácie, vyuţíva zraniteľnosť<br />
systému (alebo organizácie). Zraniteľnosť znamená slabé miesto existujúce v oblasti[3] :<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
Fyzickej,<br />
Personálnej,<br />
Organizačnej,<br />
Riadiacej,<br />
Legislatívnej,<br />
Hardvérovej/softvérovej,<br />
V oblasti <strong>in</strong>formačných aktív.<br />
Zraniteľnosť systému nie je príč<strong>in</strong>ou škody, ale jej prekurzívou. Zahŕňa slabé miesto aktíva alebo skup<strong>in</strong>y aktív,<br />
ktoré môţe byť vyuţité na realizáciu hrozby. Príklady moţných hrozieb podľa ISO/IEC TR 13335 sa nachádzajú<br />
v tabuľke.<br />
Tabuľka 1: Príklady moţných hrozieb podľa ISO/IEC TR 13335<br />
ĽUDSKÉ HROZBY - ÚMYSLENÉ ĽUDSKÉ HROZBY - NÁHODNÉ HROZBY PROSTREDIA<br />
Odpočúvanie Chyby a zabudnutie Zemetrasenie<br />
Zmena a zámena <strong>in</strong>formácie Vymazanie súboru Blesk<br />
Nepriateľský program- vírus Nesprávne smerovanie Povodeň<br />
Hack<strong>in</strong>g systému Fyzické nehody Poţiar<br />
Krádeţ<br />
Zdroj: ISO/IEC 13335:2004 Information technology<br />
4 STAV INFORMAČNEJ BEZPEČNOSTI VO SVETE<br />
V nasledujúcej tabuľke sú uvedené údaje o počte certifikovaných spoločností štandardom ISO 27001:2005<br />
v jednotlivých kraj<strong>in</strong>ách sveta.<br />
15
Tabuľka 2: Počet udelených certifikátov SMIB (systém manaţérstva <strong>in</strong>formačnej bezpečnosti) v jednotlivých kraj<strong>in</strong>ách<br />
sveta<br />
Zdroj: http://www.iso27001certificates.com/<br />
5 STAV INFORMAČNEJ BEZPEČNOSTI V ČESKEJ A SLOVENSKEJ REPUBLIKE<br />
V posledných rokoch sa v Českej a Slovenskej republike uskutočnil prieskum stavu <strong>in</strong>formačnej bezpečnosti,<br />
ktorý realizoval časopis o bezpečnosti, správe a riadení rizík <strong>in</strong>formačných systémov DSM (Data Security Management)<br />
v spolupráci so spoločnosťou KPMG Slovensko, spol s.r.o a NBÚ (Národným bezpečnostným úradom). Cieľom<br />
prieskumu bolo zachytiť tendencie a s nimi súvisiace kvalitatívne a kvantitatívne zmeny v oblasti <strong>in</strong>formačnej<br />
bezpečnosti. Z prieskumu v roku 2009 v Českej republike a v roku 2008 v Slovenskej republike vyplynuli nasledovne<br />
závery:<br />
Tabuľka 3: Závery vyplyvajúce z prieskumu stavu IB v SR 2008 a ČR 2009<br />
Slovenská republika 2008 Česká republika 2009<br />
□<br />
□<br />
V roku 2008 prikladalo <strong>in</strong>formačnej bezpečnosti význam<br />
92 % opýtaných spoločností na Slovensku, no napriek<br />
tomu 18 % z nich hodnotilo svoj stav <strong>in</strong>formačnej<br />
bezpečnosti stále ako nízky alebo nedostatočný.<br />
Ako najviac motivujúce faktory pre <strong>in</strong>vestície do<br />
□<br />
□<br />
69 % respondentov zdieľalo názor, ţe dopad ekonomickej<br />
krízi na oblasť <strong>in</strong>formačnej bezpečnosti bude nulový alebo<br />
pozitívny.<br />
Klesal podiel respondentov, ktorí hodnotili vlastnú úroveň<br />
riešenia <strong>in</strong>formačnej bezpečnosti ako nízku.<br />
16
□<br />
□<br />
<strong>in</strong>formačnej bezpečnosti spoločnosti označili<br />
bezpečnosť a ochranu údajov, rýchly vývoj v oblasti IT a<br />
hrozbu útoku.<br />
83 % spoločností nemalo zamestnaného ţiadneho<br />
špecialistu zaoberajúceho sa prioritne <strong>in</strong>formačnou<br />
bezpečnosťou.<br />
Pracovníci, ktorí aktívne pôsobia v oblasti <strong>in</strong>formačnej<br />
bezpečnosti, v priemere zarábajú okolo 43.000 Sk (1<br />
427,34 €), čo je oproti predchádzajúcim rokom výrazný<br />
nárast.<br />
□ Spoločnosti si najviac u svojich bezpečnostných<br />
pracovníkov cenili vecné znalosti problematiky, IT<br />
technológií a flexibilitu, a naopak im najviac chýbala<br />
znalosť f<strong>in</strong>ančného riadenia a schopnosť efektívnej<br />
komunikácie s vedením.<br />
□ Beţnou praxou v spoločnostiach bola <strong>in</strong>tegrácia<br />
<strong>in</strong>formačnej bezpečnosti pod IS/IT oddelenia. Priemerný<br />
rozpočet na bezpečnostné záleţitosti tvorili firmy iba v<br />
18 % prípadov a to väčš<strong>in</strong>ou vo veľkosti 10 % z<br />
celkového rozpočtu na IS/IT. Iba slabá tret<strong>in</strong>a<br />
spoločností následne kalkulovala návratnosť <strong>in</strong>vestícií<br />
do <strong>in</strong>formačnej bezpečnosti.<br />
□<br />
65 % spoločností malo vytvorené bezpečnostné politiky<br />
a tieto boli v 43 % pravidelne prepracovávané a<br />
aktualizované. Pribúdali politíky stredného rozsahu,<br />
ktoré spoločnosti preferovali pred obširnejšími, a tými<br />
najstručnejšími.<br />
□ Majorita spoločností spoliehala na <strong>in</strong>terné štandardy<br />
alebo tie prevzaté od materských spoločností.<br />
□ Medzi najvýznamnejšie identifikované hrozby stále<br />
patrili výpadky prúdu, SPAM a porucha hardvérového<br />
vybavenia.<br />
□ Oproti predchádzajúcim rokom problematika<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
počítačových vírusov ustupila do pozadia.<br />
Najväčšími výzvami posledného obdobia boli pre<br />
spoločnosti participujúce na prieskume prechod na Euro<br />
a implementácia nových operačných systémov.<br />
Aţ 34 % spoločností nemalo vypracovaný systém<br />
monitorovania bezpečnostných <strong>in</strong>cidentov a viac ako<br />
štvrt<strong>in</strong>a nedisponovala ţiadnými formálnymi postupmi v<br />
tejto oblasti.<br />
Rastol podiel podnikov, ktoré mali vypracované a<br />
pripravené plány obnovy funkčnosti, ktoré majorita<br />
z nich pravidelne aktualizuje a testuje.<br />
Hlavnými prioritami na riešenie v oblasti <strong>in</strong>formačnej<br />
bezpečnosti sa stávali uţ identifikované, známe<br />
problémy firiem.<br />
Skoro 20 % podnikov ešte nikdy nevykonalo analýzu<br />
rizík <strong>in</strong>formačného systému.<br />
Tret<strong>in</strong>a podnikov riešila <strong>in</strong>formačnú bezpečnosť vo<br />
vlastnej réţii, dve tret<strong>in</strong>y volilo externých dodávateľov<br />
riešení. Iba zanedbateľné percento túto oblasť neriešilo<br />
vôbec.<br />
□ Oproti predchádzajúcim rokom klesol podiel<br />
spoločností, ktoré dokázali a mohli vyuţívať elektronický<br />
podpis z jednej tret<strong>in</strong>y na jednu štvrt<strong>in</strong>u. Taký istý počet<br />
jeho zavedenie vôbec neplánuje. Nedostatok aplikácií<br />
podporujúcich elektronický podpis a zriedkavá<br />
akceptácia zo strany štátu boli hlavnými prekáţkami pre<br />
jeho zavádzanie do praxe.<br />
□ Rýchlejšiemu rozvoju <strong>in</strong>formačnej bezpečnosti bránilo<br />
nízke povedomie o bezpečnosti a f<strong>in</strong>ančná náročnosť.<br />
□ Lídrami v oblasti <strong>in</strong>formačnej bezpečnosti stále<br />
□ Hrozba útoku mala stále najväčší význam na presadzovanie<br />
<strong>in</strong>formační bezpečnosti.<br />
□ Ubúdli spoločnosti, kde neboli pre riešenie <strong>in</strong>formačnej<br />
bezpečnosti jasne def<strong>in</strong>ovane ţiadne zodpovednosti.<br />
□ Informačná bezpečnosť bola u veľkej väčš<strong>in</strong>y spoločnosti<br />
začlenená do úseku IS/IT.<br />
□ Najväčšou prekáţkou rýchlejšieho presadenia <strong>in</strong>formačnej<br />
bezpečnosti bolo vo všeobecnosti nízké bezpečnostné<br />
povedomie. Rastol podiel spoločností, ktoré túto prekáţku<br />
uvádzali na prvom mieste pred f<strong>in</strong>ančnou náročnosťou.<br />
□ Zvýšenie bezpečnostného povedomia bolo taktieţ<br />
najčaštejšie spomínanou aktivitou s potenciálom pre úspory<br />
nákladov v <strong>in</strong>formačnej bezpečnosti v strednodobom<br />
horizonte.<br />
□ Dve tret<strong>in</strong>y respondentov uţ mali zavedenú bezpečnostnú<br />
politiku.<br />
□ SPAM a výpadok prúdu boli stále najčastejšie zaznamenané<br />
bezpečnostné <strong>in</strong>cidenty.<br />
□ Pre polovicu spoločností bolo najväčšou výzvou hľadisko<br />
bezpečnosti virtualizácie serverov.<br />
□ Takmer dve tret<strong>in</strong>y spoločnosti nemalo dostatočne<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
□<br />
17<br />
spracované postupy reakcie na bezpečnostné <strong>in</strong>cidenty.<br />
Na 16 % poklesol podiel organizácii, ktoré nikdy neurobili<br />
analýzu rizik IS.<br />
U 63 % spoločnosti bola <strong>in</strong>formačná bezpečnosť riešená v<br />
spolupráci s externými firmami.<br />
Štyri pät<strong>in</strong>y spoločnosti nemali na <strong>in</strong>formačnú bezpečnosť<br />
vyčlenené zvláštny rozpočet, pričom výdavky na túto oblasť<br />
tvorili najčastejšie 1-5 % celkového rozpočtu na IS/IT.<br />
Takmer dve tret<strong>in</strong>y organizácií neurobilo analýzu návratnosti<br />
<strong>in</strong>vestícií do bezpečnostných projektov.<br />
66 % respondentov malo, alebo plánovalo posúdenie oblasti<br />
<strong>in</strong>formačnej bezpečnosti externým subjektom.<br />
Najčastejšie outsoursovanou časťou IT bolo <strong>in</strong>ternetové<br />
pripojenie.<br />
U takmer pät<strong>in</strong>y spoločnosti trávili zamestnanci na Internete<br />
viac, ako 30 m<strong>in</strong>út denne mimopracovnými aktivitami.<br />
□ 77 % spoločnosti monitorovalo aktivity svojích<br />
zamestnancov na Internete.<br />
□ Iba 5 % spoločnosti nevyuţívala a ani neplánovala<br />
v budúcnosti vyuţívať elektronický podpis.<br />
□<br />
□<br />
□<br />
14 % organizácií nevedelo určiť, aké výhody pouţívanie<br />
elektronického podpisu pr<strong>in</strong>áša.<br />
Asi polovica opýtaných sa domnievala, ţe dopad zákona o<br />
ochrane osobných údajov na <strong>in</strong>formačnú bezpečnosť nebol<br />
ţiadny, alebo bol malý.<br />
74 % spoločností hodnotilo úroveň <strong>in</strong>formačnej bezpečnosti<br />
v ČR ako rovnakú alebo lepšiu vo vzťahu k<br />
západoeurópským kraj<strong>in</strong>ám.
zostávajú banky a f<strong>in</strong>ančné <strong>in</strong>štitúcie spolu s IT<br />
spoločnosťami, ktoré dosahujú nadpriemerné výsledky.<br />
Zdroj: http://www.dsm.tate.cz/cz/<br />
6 MEDZINÁRODNÉ ŠTANDARDY ZAMERANÉ NA INFORMAČNÚ BEZPEČNOSŤ<br />
V roku 2005 organizácia ISO spolu s IEC vydala štandardy pod číselným označením ISO/IEC 2700x. Štandardy<br />
obsahujú poţiadavky na systém, návody na zavedenie, monitorovanie a meranie efektívnosť systému manaţérstva<br />
<strong>in</strong>formačnej bezpečnosti. Medzi aktuálne štandardy, ktoré uţ boli publikované patria:<br />
• ISO/IEC 27000:2009 - Information Security Management Systems - Overview and vocabulary; Systém<br />
manaţérstva <strong>in</strong>formačnej bezpečnosti - Prehľad a slovník termínov (poskytuje celkový prehľad a špecifikuje<br />
term<strong>in</strong>ológiu pre radu noriem ISO/IEC 2700X);<br />
• ISO/IEC 27001:2005 - Information Security Management Systems - Requirements; Systém manaţérstva<br />
<strong>in</strong>formačnej bezpečnosti – Poţiadavky (špecifikuje poţiadavky na systém riadenia <strong>in</strong>formačnej bezpečnosti);<br />
• ISO/IEC 27002:2005 - Code of Practice for Information Security Management; Kódex postupov pre riadenie<br />
<strong>in</strong>formačnej bezpečnosti (poskytuje návod na implementáciu vo fáze návrhu opatrení pre dosiahnutie<br />
<strong>in</strong>formačnej bezpečnosti);<br />
• ISO/IEC 27003:2010 - Information Security Management System Implementation Guidance; Vykonávacie<br />
usmernenia pre systém riadenia <strong>in</strong>formačnej bezpečnosti (poskytuje návod na zavedenie systému manaţérstva<br />
<strong>in</strong>formačnej bezpečnosti podľa);<br />
• ISO/IEC 27004:2009 - Information Security Management – Measurement; Riadenie bezpečnosti <strong>in</strong>formácií –<br />
Meranie (je vyhradená pre metriku a meranie manaţérstva <strong>in</strong>formačnej bezpečnosti, poskytuje návod a rady<br />
z oblasti merania a následného ohodnotenia efektívnosti systému <strong>in</strong>formačnej bezpečnosti);<br />
• ISO/IEC 27005:2008 - Information Security Risk Management; Informačná bezpečnosť a riadenie rizík<br />
(štandard pre riadenie rizík tak, aby boli dosiahnuté poţiadavky, ktoré sú v norme špecifikované);<br />
• ISO/IEC 27006:2007 - Requirements for Bodies Provid<strong>in</strong>g Audit and Certification of Information Security<br />
Management Systems; Poţiadavky na orgány vykonávajúce audit a certifikáciu systémov riadenia <strong>in</strong>formačnej<br />
bezpečnosti (týka sa poţiadaviek, ktoré sú kladené na orgány vykonávajúce audit a certifikáciu);<br />
• ISO/IEC 27011:2008 - Information Security Management Guidel<strong>in</strong>es for Telecommunications Organizations<br />
Based on ISO/IEC 27002; Usmernenie pre správu a zabezpečenie pre telekomunikačné organizácie zaloţené<br />
na ISO/IEC 27002:2005;<br />
• ISO/IEC 27799:2008 - Information Security Management <strong>in</strong> Health Us<strong>in</strong>g ISO/IEC 27002:2005; Riadenie<br />
bezpečnosti <strong>in</strong>formácií v oblasti zdravia pomocou ISO/IEC 27002:2005 (ustanovuje osobitné usmernenia pre<br />
sektor zdravotníctva).<br />
18
Návody<br />
Poţiadavky<br />
Term<strong>in</strong>ológia<br />
Obrázok 2: Vzťahy medzi normami rady ISO/IEC 2700X<br />
ISO 27000:2009<br />
Prehľad a slovník<br />
ISO 27001:2005<br />
ISO 27006:2007<br />
Poţiadavky<br />
Poţiadavky na akreditáciu<br />
ISO 27002:2005<br />
Kódex praxe<br />
ISO 27007: xxxx<br />
Návod na auditovanie<br />
ISO 27003:2010<br />
Návod na implementáciu<br />
ISO 27005:2008<br />
Riadenie rizika<br />
ISO 27004:2009<br />
Riadenie merania<br />
ISO 27011:2008<br />
Usmernenie IB pre telekomunikačné organizácie<br />
ISO 27799:2008<br />
Zdroj: vlastné spracovanie<br />
Riadenie IB v oblasti zdravotníctva<br />
V súčasnosti organizácia ISO v spolupráci s organizáciou IEC pracuje na vydaní štandardov, ktoré majú byť<br />
začlenené do rod<strong>in</strong>y ISO/IEC 2700X. Pripravované štandardy pre oblasť manaţérstva <strong>in</strong>formačnej bezpečnosti z radu<br />
ISO 2700X:<br />
• ISO/IEC 27007 bude slúţiť ako návod na vykonávanie auditov systémov manaţérstva <strong>in</strong>formačnej bezpečnosti;<br />
• ISO/IEC 27008 má poskytovať usmernenia na audit kontrolu bezpečnosti <strong>in</strong>formácií;<br />
• ISO/IEC 27010 bude poskytovať poradenstvo pre oblasť riadenia <strong>in</strong>formačnej bezpečnosti v komunikácii medzi<br />
viacerými sektormi;<br />
• ISO/IEC 27014 publikovaná pod názvom „Information Security Governance“;<br />
• ISO/IEC 27015 bude poskytovať usmernenie v oblasti systému <strong>in</strong>formačnej bezpečnosti pre organizácie vo<br />
f<strong>in</strong>ančnom sektore;<br />
• ISO/IEC 27031 má to byť norma zameraná na zachovanie kont<strong>in</strong>uity prevádzky;<br />
• ISO/IEC 27032 má obsahovať opatrenia za zabránenie kyberterorizmu;<br />
• ISO/IEC 27033 norma má obsahovať sústavu doporučení pre implementáciu protiopatrení vzťahujúcich sa<br />
k bezpečnosti sietí;<br />
• ISO/IEC 27034 bude publikovaná pod názvom „Information Technology – Security Techniques – Application<br />
Security“;<br />
• ISO/IEC 27035 vychádza z ISO TR 18044 pod názvom „Security Incident Management“;<br />
• ISO/IEC 27036 bude obsahovať návod pre hodnotenie a zniţovanie rizík týkajúcich sa outsourcovaných<br />
sluţieb;<br />
19
• ISO/IEC 27037 bude obsahovať návod pre zisťovanie, zber, získavanie a uchovávanie digitálnych dôkazov.<br />
Vývoj štandardov radu ISO/IEC 27000 je ešte len na začiatku, čo dokazuje počet štandardov čakajúcich na<br />
publikáciu. To len poukazuje na širokú obsiahlosť a zloţitosť problematiky <strong>in</strong>formačnej bezpečnosti. Keďţe vývoj<br />
v oblasti technológií a zdieľaní <strong>in</strong>formácií ďalej napreduje, dá sa predpokladať, ţe taktieţ sa bude neustále zvyšovať aj<br />
počet štandardov, čo môţe neskôr viesť k neprimeranej a neefektívnej byrokracii a neprehľadnosti v systéme<br />
manaţérstva <strong>in</strong>formačnej bezpečnosti.<br />
Štandardy a normy týkajúce sa riadenia <strong>in</strong>formačnej bezpečnosti mimo radu ISO/IEC 2700X:<br />
• STN ISO/IEC 17799:2005 Informačné technológie: Pravidlá dobrej praxe manaţérstva <strong>in</strong>formačnej<br />
bezpečnosti;<br />
• STN ISO/IEC 13335-1 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 1: Koncepcie<br />
a modely bezpečnosti;<br />
• STN ISO/IEC 13335-2 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 2: Riadenie<br />
a plánovanie bezpečnosti IT;<br />
• STN ISO/IEC 13335-3 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 3: Techniky pre<br />
manaţérstvo bezpečnosti IT;<br />
• STN ISO/IEC 13335-4 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 4: Výber<br />
bezpečnostných opatrení;<br />
• STN ISO/IEC 13335-5 Informačné technológie: Návod na manaţérstvo bezpečnosti IT, Časť 5: Externé<br />
prepojenia<br />
• AS/NZS 4360:2004 (Australian/New Zealand Standard) – Risk Management – Riadenie Rizík.<br />
7 CHARAKTERISTIKA MEDZINÁRODNÉHO ŠTANDARDU ISO/IEC 27001 A ISO/IEC 13335:2004<br />
7.1 Charakteristika štandardu ISO/IEC 27001<br />
Štandard ISO/IEC 27001 špecifikuje poţiadavky na vytváranie, zavádzanie, prevádzku, monitorovanie,<br />
preskúmanie, udrţiavanie a zlepšovanie zdokumentovaného systému riadenia <strong>in</strong>formačnej bezpečnosti v organizácii. Je<br />
zvyčajne aplikovateľný na všetky typy organizácií, či uţ vo verejnom alebo súkromnom sektore. Zavedenie SMIB<br />
zabezpečuje ochranu aktív kaţdého druhu (digitálne <strong>in</strong>formácie, dokumenty v papierovej forme a fyzické aktíva<br />
(počítače a siete), vedomosti a znalosti jednotlivých zamestnancov a ochranu fyzických objektov organizácie).<br />
20
Obrázok 3: Vývoj ISO/IEC 27001<br />
10. November 2005 vydaná ISO/IEC 27001:2005<br />
BS 7799-2 je reevidovaná ako BS 77992:2002<br />
BS 7799 je publikovaná ako ISO/IEC 17799:2000<br />
1987 1989 1995 1998 2000 2002 2005<br />
CCSC publikuje zbierku bezpečnostných opatrení :<br />
„Users Code of Practice“<br />
Veľká Británia – M<strong>in</strong>isterstvo obchodu a priemyslu zakladá:<br />
Commercial Computer Security Center (CCSC)<br />
Zdroj: vlastné spracovanie<br />
Britská norma sa rozrastá o časť 2:<br />
BS 7799-2:1998<br />
Z praktickej sa po doplnení stáva norma na národnej úrovni:<br />
BS 7799:1995<br />
P-D-C-A- pr<strong>in</strong>cíp v SMIB<br />
SMIB podporuje osvojenie procesného prístupu PDCA. Označenie PDCA sa skladá z anglických názvov<br />
jednotlivých fáz cyklu: P – Plann<strong>in</strong>g (1. fáza); D – Do<strong>in</strong>g (2. fáza); C – Check<strong>in</strong>g (3. fáza); A – Act<strong>in</strong>g (4. fáza).<br />
Obrázok 4: PDCA cyklus<br />
Zdroj: www.<strong>security</strong>revue.com/mkportal/modules<br />
21
PDCA cyklus znázorňuje sled aktivít, ktoré smerujú k zlepšovaniu procesov. Ide o všeobecne pouţiteľný<br />
algoritmus, ktorý sa často pouţíva pri rôznych príleţitostiach <strong>in</strong>tuitívne. Pri jeho aplikácii v praxi však často chýba<br />
sústavnosť a dôslednosť. Preto je treba zdôrazniť nutnosť dodrţania uvedenej postupnosti. Preskakovaním niektorých,<br />
zdanlivo nepodstatných bodov, sa môţe úč<strong>in</strong>nosť vykonaných prác úplne zníţiť (resp. úplne elim<strong>in</strong>ovať). Postup je nutné<br />
uplatňovať tímovým spôsobom.[7]<br />
Pri implementácii systému manaţérstva <strong>in</strong>formačnej bezpečnosti s vyuţitím procesného prístupu je v organizácii<br />
kladený dôraz na:<br />
‣ pochopenie poţiadaviek na <strong>in</strong>formačnú bezpečnosť a potrebu stanovenia zásad a cieľov <strong>in</strong>formačnej<br />
bezpečnosti,<br />
‣ zavedenie a realizáciu opatrení v nadväznosti na riadenie celkových podnikateľských rizík organizácie,<br />
‣ monitorovanie a prehodnocovanie funkčnosti a efektívnosti systému manaţérstva <strong>in</strong>formačnej bezpečnosti,<br />
‣ neustále zlepšovanie zaloţené na objektívnych dôkazoch a meraniach.<br />
Pred samotnou realizáciou projektu implementácie systému riadenia je potrebné vykonať vstupnú analýzu<br />
existujúceho stavu systému riadenia organizácie v porovnaní s poţiadavkami príslušnej medz<strong>in</strong>árodnej normy. Samotný<br />
projekt implementácie systému riadenia je následne zahájený jeho úvodnou etapou, ktorej súčasťou je predovšetkým<br />
školenie vrcholového, resp. stredného manaţmentu organizácie ohľadom:<br />
<br />
<br />
<br />
poţiadaviek príslušnej medz<strong>in</strong>árodnej normy,<br />
procesu tvorby, implementácie a následnej certifikácie systému riadenia,<br />
základných prístupov a metód mapovania procesov a tvorby procesného modelu organizácie.<br />
Súčasťou úvodnej fázy projektu implementácie systému riadenia je i spracovanie stratégie organizácie na úrovni<br />
poslania, vízie a politiky, resp. cieľov organizácie. [8]<br />
7.2 Charakteristika štandardu ISO/IEC TR 13335:2004<br />
ISO/IEC 13335 je metodika, ktorá dlhodobejšie figuruje v riešení <strong>in</strong>formačnej bezpečnosti, najmä jej projektovej<br />
oblasti. Norma je preto odporúčaná v projektoch na ochranu osobných údajov, projektoch jednotlivých oblastí ochrany<br />
utajovaných skutočností, ale aj v <strong>in</strong>ých zákonmi nešpecifikovaných oblastiach. Nevýhodou normy je najmä to, ţe sa ako<br />
technická špecifikácia zameriava len na riešenie IT bezpečnosti, čo znamená síce podstatnú časť <strong>in</strong>formačnej<br />
bezpečnosti, ale rozhodne nie celú jej oblasť. V súčasnosti je preto norma pouţívaná ako doplnok k <strong>in</strong>ým normám. [9]<br />
Norma má päť častí :<br />
• ISO/IEC TR 13335-1:2004 táto časť sa zaoberá def<strong>in</strong>ovaním pojmov, modelov a vzťahov IT bezpečnosti k <strong>in</strong>ým<br />
oblastiam IT;<br />
• ISO/IEC TR 13335-2:1997 popisuje riadiace a plánovacie aspekty. Tieto aspekty majú význam pre manaţérov<br />
so zodpovednosťami súvisiacimi so systémami IT v spoločnosti;<br />
• ISO/IEC TR 13335-3:1998 Techniky pre riadenie bezpečnosti IT: popisuje bezpečnostné techniky vhodné pre<br />
pouţitie pracovníkmi, ktorý sú zapojený do manaţérskych č<strong>in</strong>ností v priebehu celého ţivotného cyklu.<br />
Predstavuje základ pre pochopenie procesného a projektového prístupu riešenia <strong>in</strong>formačnej bezpečnosti a tým<br />
aj celej ISMS.<br />
• ISO/IEC TR 13335-4:2000 Výber ochranných opatrení: poskytuje návod na výber ochranných opatrení a na to,<br />
ako môţe byť tento výber uľahčený pouţitím základných modelov a kontrolných opatrení;<br />
• ISO/IEC TR 13335-5:2001 predstavuje návod pre bezpečné pripojenie IT systémov k externým sieťam.<br />
Smernica zahŕňa výber a pouţitie ochranných opatrení k zaisteniu bezpečnosti pripojenia a sluţieb<br />
podporovaných týmito. [9,10,11,12,13]<br />
22
Ako uţ bolo spomínané, oblasť riadenia <strong>in</strong>formačnej bezpečnosti sa neustále vyvíja, čoho dôsledkom je aj<br />
neustále zdokonaľovanie a modernizovanie medz<strong>in</strong>árodných noriem a štandardov, ktoré napomáhajú k vytvoreniu<br />
efektívnejšieho systému IB. Aj keď metodika ISO/IEC TR 13335 stále nachádza svoje vyuţitie, od roku 2008 existuje<br />
štandard ISO/IEC 27005, ktorý v súč<strong>in</strong>nosti s rod<strong>in</strong>ou štandardou ISO/IEC 2700x dokáţe plne nahradiť funkciu ISO/IEC<br />
TR 13335.<br />
Ak sa dnes organizácia rozhoduje medzi ISO/IEC TR 13335 a ISO/IEC 27005, zo strategického hľadiska je lepšie<br />
orientovať sa na štandard ISO/IEC 27005. Základné výhody implementácie ISO/IEC 27005 sú:<br />
a) Nadväznosť na štandardy radu ISO/IEC 2700x.<br />
b) Vytvorenie plne kompatibilného systému so štandardmi ISO 9001:2000 a ISO 14001:2004.<br />
c) ISO/IEC 27005 plnohodnotne nahrádza ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000 a naviac<br />
obsahuje riešenia, ktoré nie sú zamerané len na riešenie IT bezpečnosti.<br />
8 CERTIFIKÁCIA SMIB PODĽA NORMY ISO/IEC 27001:2005, JEJ PRÍNOSY, VÝHODY A MOŢNÉ<br />
PREKÁŢKY<br />
Podľa normy STN EN ISO/IEC 17000:2005. čl. 5.5 je certifikácia – atestácia treťou stranou týkajúca sa produktov,<br />
procesov, systémov alebo osôb. S procesom certifikácie SMIB súvisia aj tieto normy:<br />
<br />
<br />
<br />
<br />
ISO/IEC 27001:2005 - SMIB- špecifikácia poţiadaviek,<br />
ISO/IEC 17799:2005 - Kódex Praxe Riadenia Informačnej Bezpečnosti,<br />
ISO 19 011 - Návod pre auditovanie SMK,<br />
ISO TR 13335 - Návod na Riadenie Informačnej Bezpečnosti.<br />
Proces certifikácie má vo všeobecnosti 4 fázy, ktorými sú: Príprava auditu, Previerka dokumentácie SMIB,<br />
Certifikačný audit (plánovanie auditu, vykonanie auditu, dokumentovanie výsledkov auditu a následný audit) a Udelenie<br />
certifikátu a následná periodická kontrola prevádzkovania SMIB. [7]<br />
Externé výhody vyplývajúce zo zavedenia a certifikácie SMIB:<br />
<br />
<br />
<br />
<br />
zvýšenie konkurencieschopnosti organizácie<br />
certifikát vydaný nezávislou, kompetentnou, certifikačnou organizáciou je zárukou splnenia poţiadaviek<br />
certifikačnej normy<br />
odstraňuje prístupové bariéry ku svetovým, ale aj domácim trhom<br />
zvyšuje imidţ organizácie - napomáha udrţiavať lojalitu zákazníkov<br />
Interné výhody vyplývajúce zo zavedenia a certifikácie SMIB:<br />
ochrana <strong>in</strong>formačných aktív organizácie<br />
predchádzanie rizikám v oblasti <strong>in</strong>formačnej bezpečnosti<br />
pripravenosť na zvládanie krízových situácií a ich rýchla elim<strong>in</strong>ácia<br />
jasne def<strong>in</strong>ované štruktúry a zodpovednosti<br />
preskúmanie <strong>in</strong>terných bezpečnostných pravidiel<br />
proces trvalého zlepšovania<br />
redukcia nákladov spojených s chybami personálu a ich následné odstraňovanie<br />
motivácia zamestnancov k ochrane <strong>in</strong>formačných aktív organizácie. [7]<br />
Organizácia by mala mať zároveň m<strong>in</strong>imálne jedného pracovníka, ktorý sa vyzná v problematike SMIB, aby mohol<br />
efektívne spolupracovať jednak pri zavádzaní systému a konečnej certifikácii, ako aj pri správe, údrţbe a trvalom<br />
zlepšovaní systému s tým, ţe bude komunikačným partnerom pre vedenie organizácie aj pre výkonnú zamestnaneckú<br />
23
zloţku. Medzi moţné prekáţky, ktoré by sa mohli vyskytnúť pri budovaní <strong>in</strong>formačnej bezpečnosti by sme mohli zaradiť<br />
napr.:<br />
o<br />
o<br />
o<br />
o<br />
zlá implementácia resp. nedodrţiavanie bezpečnostných postupov,<br />
nedostatok f<strong>in</strong>ančných zdrojov,<br />
nevedomosť, <strong>in</strong>formačná bezpečnosť chápaná iba ako nadstavba IS,<br />
nekoord<strong>in</strong>ovaný postup resp. neexistencia bezpečnostnej politiky.<br />
ZÁVER<br />
Prax ukazuje, ţe ţiadny bezpečnostný systém sa nezaobíde bez technických a procesných kontrolných<br />
mechanizmov, posudzovania kvality a vyhodnocovania jeho úč<strong>in</strong>nosti, s následným návrhom primeraných opatrení pre<br />
zlepšenie. Dnes uţ azda nenájdeme organizáciu, ktorej kľúčové <strong>in</strong>formácie by neboli uloţené a spracované v nejakom<br />
<strong>in</strong>formačnom systéme. Počítačom beţne zverujeme všetky cenné <strong>in</strong>formácie, od ktorých závisí úspech alebo neúspech<br />
podnikania. Musíme si ale uvedomiť, ţe na počítače číhá nejedno nebezpečenstvo. Sú to nielen často medializovaný<br />
hackeri a počítačové vírusy, ale aj obyčajné súvislosti, ako je napríklad výpadok prúdu alebo prírodná katastrofa. Práve<br />
z týchto dôvodov je v posledných niekoľkých rokoch venovaná <strong>in</strong>formačnej bezpečnosti veľká pozornosť, ako na úrovni<br />
výrobcov softvéru, tak aj u beţných uţívateľov. Proces zavedenia systému manaţérstva <strong>in</strong>formačnej bezpečnosti je<br />
pomerne zloţitý a môţe pôsobiť odstrašujúco. Vyţaduje si dostatok priestoru, času, trpezlivosti, odbornosti, f<strong>in</strong>ančných<br />
prostriedkov a pod.. Organizácia, ktorá si je vedomá svojho <strong>in</strong>formačného bohatstva, nesmie zanedbať externé<br />
ani <strong>in</strong>terné riziká, z neho vyplývajúce a vykročiť <strong>in</strong>formačnej bezpečnosti v ústrety. Zavedenie systému manaţérstva<br />
<strong>in</strong>formačnej bezpečnosti by malo byť plánovaným a strategickým rozhodnutím, pretoţe čiastkové <strong>in</strong>vestície bez ucelenej<br />
stratégie nie sú z dlhodobého hľadiska efektívne.<br />
Práca vznikla za podpory VEGA pri riešení projektu 1/4141/07.<br />
Literatúra<br />
[1] ISO/IEC 13335-1:2004 Information technology – Security techniques – Management of <strong><strong>in</strong>formation</strong> and<br />
communications technology <strong>security</strong> – part1: Concepts and models for <strong><strong>in</strong>formation</strong> and communications<br />
technology <strong>security</strong> management.<br />
[2] ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for <strong><strong>in</strong>formation</strong> <strong>security</strong><br />
management<br />
[3] ORAVEC, M.: Posudzovanie rizík, Ostrava 2009, SPBI Ostrava, ISBN 978-80-7385-043-2.<br />
[4] Dostupné na <strong>in</strong>ternete: <br />
[5] Dostupné na <strong>in</strong>ternete: