Řízení informační bezpečnosti
ISMS (Information Security Management System) je osvědčený a standardizovaný způsob zajištění a řízení informační bezpečnosti. Při jeho návrhu a implementaci vycházíme především z norem rodiny ISO/IEC 27000.
V případě požadavku klienta je systém stavěn jako kompatibilní s řízením jakosti dle ISO 9001, řízením životního prostředí dle ISO 14001 a směrnicemi OECD. Tento postup umožňuje integraci a sdílení společných zdrojů, principů a nástrojů ostatních normalizovaných procesních postupů, a tím snížení nákladů na zavedení a provoz systému.
Systém je budován jako součást celkového systému řízení organizace se zdůrazněním ochrany informací jako cenného aktiva.
Základní části systému řízení informační bezpečnosti:
![dot](images/dot.png)
ČSN ISO/IEC 27001 - procesní přístup ISMS na základě cyklu "Plánuj - Dělej - Kontroluj - Jednej";
![dot](images/dot.png)
ČSN ISO/IEC 27002 - doporučená bezpečnostní opatření.
Hlavním přínosem zavedení ISMS je efektivní řízení bezpečnosti, tj. řízení nákladů s ohledem na bezpečnostní rizika, které zároveň zajišťuje účelné vynakládání prostředků (např. je málo efektivní zlepšovat opatření proti externímu průniku, když většina bezpečnostních incidentů s vysokou pravděpodobností škody pochází od uživatelů interních systémů).
Pro vedení společnosti je transparentnost fungování IT nezbytným podkladem kvalitního řízení. Řízení bezpečnosti pomocí jasných pravidel a transparentnost životního cyklu informace podporují efektivní rozhodování manažerů.
Zavedení systému řízení informační bezpečnosti založeného na uznávaných standardech umožňuje organizaci naplňování vnitřní politiky v oblastech kvality služeb, spokojenosti zákazníků, kompetentního managementu a řízení společnosti.
Implementace systému řízení informační bezpečnosti probíhá v následujících fázích:
Fáze plánování
![dot](images/dot.png)
Projekt bezpečnosti a Bezpečnostní politika - vymezení rozsahu, zásady a pravidla na úrovni cílů, organizační struktura bezpečnosti (definování rolí).
![dot](images/dot.png)
Analýza rizik - přehled o hrozbách, pravděpodobnosti jejich uskutečnění a možných dopadech na organizaci (škody, omezení provozu, …).
![dot](images/dot.png)
Plán implementace a Prohlášení o aplikovatelnosti - výběr bezpečnostních opatření na základě analýzy rizik, dokumentace rozhodnutí.
Fáze realizace
![dot](images/dot.png)
Způsob implementace opatření a metody prosazení;
![dot](images/dot.png)
Bezpečnostní dokumentace (směrnice, postupy, návody, …);
![dot](images/dot.png)
Program zvyšování bezpečnostního povědomí;
![dot](images/dot.png)
Způsob zvládání rizik za provozu;
![dot](images/dot.png)
Nároky na provoz opatření a zajištění bezpečnosti;
![dot](images/dot.png)
Zavedení opatření DRP (Disaster Recovery Planning - tvorba a údržba havarijních plánů) a IRP (Incident Response Handling - zpracování bezpečnostních incidentů).
Fáze vyhodnocení
![dot](images/dot.png)
Monitoring provozu informačních systémů;
![dot](images/dot.png)
Testování funkčnosti opatření;
![dot](images/dot.png)
Audit a kontrola bezpečnostních opatření;
![dot](images/dot.png)
Revize adekvátnosti a efektivnosti ISMS.
Zpětná vazba
![dot](images/dot.png)
Vyhodnocení kroku „Kontroluj“;
![dot](images/dot.png)
Identifikace a analýza neshod;
![dot](images/dot.png)
Náprava a preventivní opatření.