rady a zaujímavosti

Riadenie bezpečnosti podľa normy ISO/IEC 27001 – 1. časť

Článkom sa začína krátky seriál o normách ISO/IEC 27001 a 27002. Dozviete sa základné informácie, aby ste sa mohli rozhodnúť, či by zavedenie normy bolo pre vás užitočné. Články sú pripravované nielen na základe formálneho znenia noriem, ale aj na základe vlastných skúseností ako audítora.

Zmysel noriem ISO/IEC 27000

Normy hovoria ako vybudovať a prevádzkovať systém, ktorým sa dá riadiť informačná bezpečnosť v organizácii. Pod slovom informačná pritom rozumieme nielen informácie uložené v počítačovom systéme, ale aj mimo neho, napríklad v papierovom archíve.

Normy vznikali postupne, riešením skutočných problémov v prevádzke rôznych typov organizácií. Majú za sebou niekoľko desaťročí vývoja, predovšetkým vo Veľkej Británii. Obsahujú overené postupy, ktoré môžete využiť pri budovaní vlastného systému. Ich výhodou je veľká pružnosť, organizácia si môže stanovené požiadavky maximálne prispôsobiť svojim potrebám.

Na čom normy stavajú

Hlavná idea sa dá zhrnúť približne takto:

  • Ak chceme niečo riadiť, najprv si vymenujeme, čo presne to bude (určenie aktív).
  • Ujasníme si dôležitosť aktív a odhadneme hrozby, ktoré na ne pôsobia.
  • Prijmeme opatrenia, aby bol dopad hrozieb minimalizovaný.
  • Ak to má byť firemný systém, tak musíme nejako zapojiť ľudí. Vysvetliť im, čo chceme dosiahnuť, aby chápali a postupne sa stotožnili so zmenenými nárokmi, ktoré to bude mať.
  • No a, samozrejme, musíme kontrolovať, ako to celé funguje a vyhodnocovať výsledky. Aby sme dokázali rozumne reagovať na zmenu  okolností a celkovo sa posúvali dopredu.

Obsah noriem

ISO/IEC 27001 – obsahuje samotné články normy a prílohu so zoznamom praktických opatrení. Ste povinný sa ku každému opatreniu vyjadriť, či ste ho vo firme nasadili, alebo nie. Príloha sa označuje ako Prehlásenie o aplikovateľnosti (Statement of Applicability). Podľa normy ISO/IEC 27001 sa môžete dať auditovať.

ISO/IEC 27002 – obsahuje detailné vysvetlenie navrhovaných opatrení z Prehlásenia o aplikovateľnosti. Je dobrým zdrojom informácií a tak trochu aj inšpiráciou, ako by sa dali veci robiť.

Priestor na prispôsobenie

Normy neurčujú konkrétny spôsob, ako požiadavky uskutočniť. Rovnako neurčujú rebríček dôležitosti – niektoré opatrenia môžu byť pre jedného viac dôležité, pre iného menej.
Zameriavajú sa iba na vymedzenie organizačných rámcov a typov opatrení. Praktická realizácia uvedená nie je. Pri dnešnej rýchlosti vývoja technológií by to ani nemalo zmysel.
Máte preto dosť priestoru postaviť si na základe noriem vlastný systém riadenia, prispôsobený vašim podmienkam tak, aby ste normu – v dobrom slova zmysle – maximálne využili pre svoje potreby.

Normy, samozrejme, môžete využívať aj bez oficiálneho auditu. Ak si ale budete myslieť, že to máte spravené dobre, prečo sa tým nepochváliť aj verejne? Okrem zlepšeného fungovania systému vám to môže priniesť aj konkurenčnú výhodu.

Kde normy zoženiete

Normy nie sú dostupné zadarmo. Dajú sa zakúpiť na e-shop stránke Slovenského ústavu technickej normalizácie www.sutn.sk.
Približné ceny bez DPH (08/2011): ISO/IEC 27001 – 14 €, ISO/IEC 27002 – 30 €.

 

Čo nájdete v ďalšej časti

Nasledovať bude stručný popis jednotlivých častí ISO/IEC 27001.

Publikoval: Ján Matuška, 2.9.2011

Pridať komentár:

Prvý príspevok s vašou identifikáciou bude schválený administrátrom.
Nasledujúce príspevky už môžete zadávať priamo, bez schvaľovania.