Řada norem ISO/IEC 27000 je označovaná jako Systém řízení bezpečnosti informací. Základem rodiny norem je ISO/IEC 27001, která definuje požadavky na celou organizaci práce s informacemi. Zjednodušeně řečeno říká, co musí IT dělat a na co si dát pozor, aby péče o informace byla kvalitní a lidé mohli spát bez strachu, že průšvih v IT, podrazí firmě nohy.
Rodina standardů ISO 27000
Nejčastěji používané standardy z rodiny norem 27000 jsou (názvy jsou zjednodušeny):
- ISO/IEC 27000 – Přehled a slovník
- ISO/IEC 27001 – Požadavky
- ISO/IEC 27002 – Soubor postupů pro ISMS. Nástupce starší a dosud hojně citované ISO/IEC 17999
- ISO/IEC 27003 – Doporučení jak ISMS implementovat
- ISO/IEC 27004 – Měření
- ISO/IEC 27005 – Řízení rizik bezpečnosti informací
- ISO/IEC 27006 – Požadavky na certifikační organizace
- ISO/IEC 27005 – Speciální požadavky pro telekomunikace
- ISO/IEC 27013 – Doporučení pro implementaci ISO 27001
- ISO/IEC 27014 – Správa informační bezpečnosti
- ISO/IEC 27018 – Ochrana osobních údajů ve veřejných cloudech
- ISO/IEC 27019 – Informační bezpečnost v energetice
- ISO/IEC 27021 – Požadavky na schopnosti a dovednosti profesionálů informační bezpečnosti
- ISO/IEC 27031 – Doporučení na zajištění spolehlivosti IT pro kontinuální podporu businessu
- ISO/IEC 27032 – Doporučení na kybernetickou bezpečnost
- ISO/IEC 27033 – Síťová bezpečnost
- ISO/IEC 27034 – Bezpečnost aplikací
- ISO/IEC 27035 – Řízení informačních incidentů
- ISO/IEC 27036 – Správa informační bezpečnosti u dodavatelů
- ISO/IEC 27039 – Zjišťování a zajištění informací o průnicích do systémů
- ISO/IEC 27040 – Bezpečnost úložišť
- ISO/IEC 27043 – Vyšetřování incidentů
- ISO/IEC 27045 – Bezpečnost v oblasti velkých dat (Big Data) – zatím ve formě návrhu.
Ve výčtu jsou vynechány zejména normy týkající se auditních postupů a vyšetřování problémů. Některé další normy jsou stále ještě v přípravě, nebo dokonce jen naplánovány. Z těch budoucích bude jistě zajímavá ISO/IEC 27099 – Zajištění veřejných klíčů.
Pro koho jsou normy ISO 27000
Normy jsou důležité pro každou organizaci, která má odpovědnost za důležitá data a informace.
- Nemocnice, zdravotní pojišťovny a jakékoli organizace, které přicházejí do styku s informacemi o pacientech
- Banky, pojišťovny a všechny další instituce
- Energetické firmy
- Všechny firmy vyvíjejí software.
- Všechny firmy vyvíjející prvky s vlivem na bezpečnost - např. podle standardu ISO 26262.
Výčtem jsme pominuli interní odpovědnost vůči organizaci samotné a rizikům spojeným s bezpečností podnikání. V kontextu důležitosti vlastních dat je norma fakticky důležitá v podstatě pro každou firmu, která potřebuje data pro své podnikání.
Proč je ISO 27000 důležité všechny firmy vyvíjející software
Poznámka na úvod: Záměrně není uvedeno softwarové firmy. Standard se úplně stejně týká firem vyvíjecích např. součástky do auta, které software obsahují. Většina z nich se neřadí mezi softwarové firmy, ale jejich software musí splňovat např. ISO 21434 a do jeho požadavků spadá i bezpečnost informací při samotném vývoji, tedy naplňování ISO 27001.
Softwarové firmy samotné nemusí u sebe mít žádná kritická data, ale musí vzít v potaz i otázku, kde bude software vyvinutý jejich vývojáři. Jakmile bude kdekoli v rámci firemní infrastruktury klientů, může se software stát tajnou cestou do provozní prostředí uživatelů.
Vzhledem k významu mobilních telefonů v kybernetické bezpečnosti je i doslova „kdejaká apka“ v mobilu potenciálním rizikem. Většina firem, které berou bezpečnost vážně - tedy dodržují ISO 27001 - používá nějakou formu dvoufaktorového přihlašování. Mobilní telefon pro ověření uživatele je v tomto klíčovým prvkem.
Varování: Bezpečnostní průšvih z r. 2021
V roce 2021 měly stovky firem zejména v USA velký problém s hromadným útokem na jejich počítače. Útok mířil zevnitř, a proto byla proti němu těžká obrana.
Jak se poměrně rychle ukázalo, za problém mohl dodavatele bezpečnostního software monitorujícího sítě ve firmách. Jeho repository bylo napadeno, útočníci změnili kód, který se bez vědomí firmy následně dostal ke klientům a cesta k útoku byla otevřená.
Software pro monitoring sítí je takřka ideální nástroj pro napadení firem, ale to neznamená, že by jiný typ podnikového software nemohl způsobit podobný problém. Stačí, že software je napojen na firemní autentizaci – už to mu dává možnost se potenciálně vydávat za někoho jiného.
Bez problémů nejsou ani řešení v Cloudu
Z hlediska kybernetické bezpečnosti by se lépe mohly jevit systémy poskytované z cloudu. Nevstupují do "perimetru" - zabezpečené oblasti firmy - tolik, jako aplikace provozované přímo ve firmě. Ale případ není o nic jednodušší.
V okamžiku, kdy pracovníci berou jakoukoli aplikaci za podnikovou, jsou k ní méně ostražití. Aplikace tam s pomocí sociální inženýrství, nebo třeba i falešné autentizace získat od pracovníků citlivá data, která by přímo v ní neměla vůbec být. Opět může napadení přijít i z třetí strany prostřednictvím kódu.
Můžeme pomoci
PDQM může pomoci jak se zhodnocením současného stavu, tak s návrhem opatření na zlepšení. Pro efektivní využití je důležitá i analýza rizik, které z narušení IT bezpečnosti hrozí nejen firmě samotné, ale i klientům a obchodním partnerům, pokud by se k datům firmy dostal útočník. A k tomu se využívají i další standardy, např. norma ISO/IES 31000.