ISO 27000 a NIS2 – Bezpečnost informací

Řada norem ISO/IEC 27000 je označovaná jako Systém řízení bezpečnosti informací. Zjednodušeně řečeno říká, co musí IT dělat a na co si dát pozor, aby péče o informace byla kvalitní a lidé mohli spát bez strachu, že průšvih v IT, podrazí firmě nohy. NIS 2 na této normě staví a definuje povinnosti vůči státu.

Standardy školíme. Pomáháme s jejím zavedením i dodržováním. Ozvěte se nám.

ISO 27000 – v kostce

Ve stručnosti řečeno, ISO 27001 stanovuje cíle bezpečnosti a definuje základní pravidla, odpovědnosti. Logicky je podobná ISO 9001 v tom, že definuje odpovědnosti vedení a základní cíle. Zatímco se ale 9001 věnuje kvalitě, ISO 27000 se věnuje informační bezpečnosti. ISO 27000 organizace vede k tomu, aby pojem informační bezpečnost nebyla prázdná floskule, ale pojem, který má jasný význam a hlavně implementaci v tom, co firma skutečně dělá a kontroluje.

Standardy ISO 27000 jsou velmi užitečným zdrojem doporučení, co je potřeba pro bezpečnost dělat. Pár konkrétních příkladů ukazuje, že norma vám může velmi pomoci, abyste nevymýšleli, co už je dávno vymyšleno:

  • Zjistit bezpečnost při přístupu do firemní sítě z vnějšího prostředí, např. při práci lidí z domova.
  • Jak zajistit přístup k soukromým zařízením lidí (např. mobilním telefonům), když je nutné vyšetřování např. bezpečnostního incidentu.
  • Zajistit rušení přístupových práv pracovníkům, kterým skončila práce, kvůli které přístupy dostali.
  • Zajistit podporu pro whistleblowing – anonymní hlášení porušení bezpečnostních pravidel
  • Zajistit pravidelnou inventuru všech zařízení s přístupem k informacím
  • Pravidelné audity přístupových práv
  • Pravidelné kontroly postupů, jak obnovit systémy po jejich poškození

Ukázky jsou jen malým výčtem z mnoha doporučení. I když některé nemusí mít pro vaši organizaci význam, téměř jistě naprostá většina je relevantní – ať už přímo u vás, nebo u vašich dodavatelů SaaS služeb.

Uvedené ukázky jsou z ISO 27002. Další součásti ISO 270xx rodiny obsahují doporučení pro konkrétní postupy a zajištění všech potřebných činností. Zatímco ISO 27001 je zejména manažerský pohled, ISO 27002 globální technický přehled, další části se soustředí na jednotlivé dílčí součásti a jsou užitečné zejména pro ty, kdo mají na starost technicky zajistit dodržování ISO 270xx. (Tedy např. pro nás, když si necháte od nás pomoci.)

Rodina standardů ISO 27000

Nejčastěji používané standardy z rodiny norem 27000 jsou (názvy jsou zjednodušeny):

  • ISO/IEC 27000 – Přehled a slovník
  • ISO/IEC 27001 – Požadavky
  • ISO/IEC 27002 – Soubor postupů pro ISMS. Nástupce starší a dosud hojně citované ISO/IEC 17999
  • ISO/IEC 27003 – Doporučení jak ISMS implementovat
  • ISO/IEC 27004 – Měření
  • ISO/IEC 27005 – Řízení rizik bezpečnosti informací
  • ISO/IEC 27006 – Požadavky na certifikační organizace
  • ISO/IEC 27005 – Speciální požadavky pro telekomunikace
  • ISO/IEC 27013 – Doporučení pro implementaci ISO 27001
  • ISO/IEC 27014 – Správa informační bezpečnosti
  • ISO/IEC 27018 – Ochrana osobních údajů ve veřejných cloudech
  • ISO/IEC 27019 – Informační bezpečnost v energetice
  • ISO/IEC 27021 – Požadavky na schopnosti a dovednosti profesionálů informační bezpečnosti
  • ISO/IEC 27031 – Doporučení na zajištění spolehlivosti IT pro kontinuální podporu businessu
  • ISO/IEC 27032 – Doporučení na kybernetickou bezpečnost
  • ISO/IEC 27033 – Síťová bezpečnost
  • ISO/IEC 27034 – Bezpečnost aplikací
  • ISO/IEC 27035 – Řízení informačních incidentů
  • ISO/IEC 27036 – Správa informační bezpečnosti u dodavatelů
  • ISO/IEC 27039 – Zjišťování a zajištění informací o průnicích do systémů
  • ISO/IEC 27040 – Bezpečnost úložišť
  • ISO/IEC 27043 – Vyšetřování incidentů
  • ISO/IEC 27045 – Bezpečnost v oblasti velkých dat (Big Data) – zatím ve formě návrhu.

Ve výčtu jsou vynechány zejména normy týkající se auditních postupů a vyšetřování problémů. Některé další normy jsou stále ještě v přípravě, nebo dokonce jen naplánovány. Z těch budoucích bude jistě zajímavá ISO/IEC 27099 – Zajištění veřejných klíčů.

Pro koho jsou normy ISO 27000

Normy jsou důležité pro každou organizaci, která má odpovědnost za důležitá data a informace.

  • Nemocnice, zdravotní pojišťovny a jakékoli organizace, které přicházejí do styku s informacemi o pacientech
  • Banky, pojišťovny a všechny další instituce
  • Energetické firmy
  • Všechny firmy vyvíjejí software.
  • Všechny firmy vyvíjející prvky s vlivem na bezpečnost – např. podle standardu ISO 26262.

Výčtem jsme pominuli interní odpovědnost vůči organizaci samotné a rizikům spojeným s bezpečností podnikání. V kontextu důležitosti vlastních dat je norma fakticky důležitá v podstatě pro každou firmu, která potřebuje data pro své podnikání.

Proč je ISO 27000 důležité všechny firmy vyvíjející software

Poznámka na úvod: Záměrně není uvedeno softwarové firmy. Standard se úplně stejně týká firem vyvíjecích např. součástky do auta, které software obsahují. Většina z nich se neřadí mezi softwarové firmy, ale jejich software musí splňovat např. ISO 21434 a do jeho požadavků spadá i bezpečnost informací při samotném vývoji, tedy naplňování ISO 27001.

Softwarové firmy samotné nemusí u sebe mít žádná kritická data, ale musí vzít v potaz i otázku, kde bude software vyvinutý jejich vývojáři. Jakmile bude kdekoli v rámci firemní infrastruktury klientů, může se software stát tajnou cestou do provozní prostředí uživatelů.

Vzhledem k významu mobilních telefonů v kybernetické bezpečnosti je i doslova „kdejaká apka“ v mobilu potenciálním rizikem. Většina firem, které berou bezpečnost vážně – tedy dodržují ISO 27001 – používá nějakou formu dvoufaktorového přihlašování. Mobilní telefon pro ověření uživatele je v tomto klíčovým prvkem.

Varování: Bezpečnostní průšvih z r. 2021

V roce 2021 měly stovky firem zejména v USA velký problém s hromadným útokem na jejich počítače. Útok mířil zevnitř, a proto byla proti němu těžká obrana.

Jak se poměrně rychle ukázalo, za problém mohl dodavatele bezpečnostního software monitorujícího sítě ve firmách. Jeho repository bylo napadeno, útočníci změnili kód, který se bez vědomí firmy následně dostal ke klientům a cesta k útoku byla otevřená.

Software pro monitoring sítí je takřka ideální nástroj pro napadení firem, ale to neznamená, že by jiný typ podnikového software nemohl způsobit podobný problém. Stačí, že software je napojen na firemní autentizaci – už to mu dává možnost se potenciálně vydávat za někoho jiného.

Bez problémů nejsou ani řešení v Cloudu

Z hlediska kybernetické bezpečnosti by se lépe mohly jevit systémy poskytované z cloudu. Nevstupují do "perimetru" – zabezpečené oblasti firmy – tolik, jako aplikace provozované přímo ve firmě. Ale případ není o nic jednodušší.

V okamžiku, kdy pracovníci berou jakoukoli aplikaci za podnikovou, jsou k ní méně ostražití. Aplikace tam s pomocí sociální inženýrství, nebo třeba i falešné autentizace získat od pracovníků citlivá data, která by přímo v ní neměla vůbec být. Opět může napadení přijít i z třetí strany prostřednictvím kódu.

NIS2

NIS2 je legislativa upravující povinnosti kybernetické bezpečnosti pro organizace státní správy a firmy, které jsou pro fungování státu důležité – distribuční a energetické společnosti, nemocnice, ale také jejich dodavatele, kteří buď přímo dodávají informační systémy, nebo s nimi významně spolupracují (např. poskytují důležitá data). Rozsah "povinných osob" je poměrně široká a v podstatě zahrnuje všechny organizace, pro které bylo a je důležité i ISO 27000.

NIS2 má původ v evropské legislativě a podobné zákony tak během r. 2025 zavádějí všechny evropské státy. Vzhledem k svému původu není překvapením, že má řadu podobných rysů s GDPR – zejména povinného strážce, monitoring a včasné hlášení incidentů státnímu orgánu. Pro NIS2 je hlavním orgánem NÚKIB.

NIS2 ani její česká implementace neobsahuje technické podrobnosti, jak bezpečnost prakticky zajistit. NIS2 se v tomto přímo odvolává na ISO27000: "Opatření … budou zahrnovat opatření … v souladu s evropskými a mezinárodními jako jsou normy obsažené v řadě ISO/IEC 27000." Jednoduše řečeno, NIS2 je nadstavbou nad ISO 27000.

ISO 27000 vs NIS2

Prvním a zásadním rozdílem mezi ISO27000 a NIS2 je povinnost a rozsah působnosti:

  • ISO 27000 byla vytvořena jako sada doporučení. Přímo v normách je uvedeno, že "provides guidance" – poskytují návod. Z normy ISO 27000 hodně vycházel Zákon 181/2014 Sb. o kybernetické bezpečnosti, který nový zákon NIS2 nahrazuje.
  • NIS2 je zákonnou úpravou, která stanovuje povinnosti organizacím různého druhu. Organizace, které NIS2 podléhají, jsou povinny ji dodržovat a vyžadovat ji i od svých dodavatelů.
  • Velkou část NIS2 zabírá definice, kde ji musí dodržovat (v jedné ze dvou úrovní). Tím, že je povinná pro mnoho organizací, musí jasně vymezit, kdo a v jaké úrovni povinností, ji musí dodržovat.
  • NIS2 definuje vztah ke státu a hlášení incidentů. Tato oblast logicky vůbec není součástí ISO 27000. Pravidla NIS2 jsou velmi podobná hlášení incidentů podle GDPR. Bohužel, česká legislativa se nedokázala zamyslet nad tím, jak sjednotit tyto v podstatě shodné postupy, které navíc většinou budou muset probíhat společně.

Standardy ISO 27000 a NIS2 se nedrží stejné terminologie, ale vzhledem k jejich různé úrovni detailu nejde o zásadní problém (např. ISO 27000 nemá povinnou osobu, ale její význam v NIS2 je zejména ve vztahu ke státu). Je také patrné, že každý vznikal jinde a vycházel z jiného logického rámce. ISO 27000 staví na vlastní odpovědnosti firmy, kdežto NIS2 vytváří státní dohled a odpovědnost vůči státním orgánům.

Na praktické úrovni skutečné bezpečnosti, tedy co bezpečnost zajišťuje, co je třeba hlídat a kontrolovat, není NIS2 dostatečně kvalitním zdrojem informací. Tím, že se přímo na ISO27000 odkazuje, se zároveň vyhýbá všem podrobnostem. Pro firmu, která dodržuje povinnosti ISO 27000 tak s NIS2 vznikají nové odpovědnosti a povinnosti vůči státu, ale dovnitř do IT a vzhledem k zaměstnancům nebude muset měnit v podstatě nic.

NIS2 pochopitelně definuje i pravomoci státu kontrolovat a trestat, pokud povinné organizace kyberbezpečnost podceňují a normu nedodržují.

NIS2 je nadstavbou – ISO 27000 neruší, ale dělá závazným

Pokud vaše organizace není povinným subjektem z hlediska dodržování NIS2, je rodina standardů ISO27000 základem pro zajištění bezpečnosti. Soustředí se na praktickou bezpečnost, a NIS2 v podstatě nedává žádnou další přidanou hodnotu. Z praktického hlediska je ale důležité zvážit také:

  • NIS2 po vás jako dodavateli může vyžadovat váš zákazník. Když ho nebudete dodržovat, můžete o zákazníka přijít
  • Abyste dodržovali NIS2, budete muset znát a dodržovat i ISO27000. Implementace NIS2 je tedy náročnější
  • NIS2 je národní legislativa a je snadno dostupná na internetu. ISO 27000 si musíte zakoupit a není úplně levné, ale pro implementaci NIS2 ho potřebujete.

Pokud už má vaše firma podle ISO 27000 bezpečnost ošetřenu, NIS2 vám vyšší bezpečnost nezajistí. Pokud ale s bezpečnostní začínáte, zvažte, zda realizovat jenom ISO 27000 nebo ISO27000+NIS2. Doporučení od nás je: ISO27000 určitě ano, ale NIS2 až bude nezbytné. Pokud budete požadavky ISO 27000 plnit kvalitně, NIS 2 nebude problém doplnit.

Potřebuji audit na ISO 27000 nebo NIS2?

Stejně, jako je dobrovolná norma ISO 27000, je dobrovolný i audit. Naproti tomu NIS2 je povinná a vztahuje se k ní audit od auditora certifikované organizace.

Samotný audit samozřejmě bezpečnost nedělá. Audit je ale ověřením, že věci jsou tak, jak mají být a to nejenom pro zákazníky, ale i pro vedení organizace. Pokud máte za střední nebo velký podnik odpovědnost, měli byste audit ISO 27000 zahrnout mezi nutné kontroly, že ve firmě je o bezpečnost informací postaráno. Pokud vaše organizace spadá mezi organizace povinné dodržovat NIS2, tak není moc co řešit: Budete potřebovat audit od akreditovaného auditora.

Audit podle obou standardů může v zásadě zajistit i interní pracovník, ale ale musí splňovat požadavky na auditora a současně být nezávislý, takže v praxi interní auditor dává smysl jenom opravdu velkým organizacím.

Pomůžeme vám dodržovat ISO 27000 / NIS 2

PDQM má odborníky s vysokoškolských vzděláním a desetiletím praxe. Přineseme vám nejenom zkušenosti, ale i ověřené postupy, metodiky a návrh kompletní organizaci, abyste své informace měli v bezpečí a dostali certifikát, který potřebujete. S bezpečností informatiky pomáháme už desetiletí.

Nejsme auditory ani pro NIS2 ani pro ISO 27000 Auditor vás může kontrolovat, ale nemůže vám pomáhat. My vám rádi pomůžeme, abyste byli na audit připraveni. Stačí nám napsat dole v boxu.

Umíme efektivně pomoci mikropodnikům s pár lidmi i velkým organizacím – se zajištěním bezpečnosti a zákonných povinností na nás spolehla např. i Karlova Univerzita.


Audit IT
Systém pro práci podle norem