ISO 27000 - Systém řízení bezpečnosti informací

Řada norem ISO/IEC 27000 je označo­vaná jako Systém řízení bezpečnosti infor­mací. Základem rodiny norem je ISO/IEC 27001, která definuje požadavky na celou organizaci práce s informacemi. Zjedno­dušeně řečeno říká, co musí IT dělat a na co si dát pozor, aby péče o infor­mace byla kvalitní a lidé mohli spát bez strachu, že průšvih v IT, podrazí firmě nohy.

Nejčastěji používané standardy z rodiny norem 27000 jsou (názvy jsou zjednodušeny):

  • ISO/IEC 27000 — Přehled a slovník
  • ISO/IEC 27001 — Požadavky
  • ISO/IEC 27002 — Soubor postupů pro ISMS. Nástupce starší a dosud hojně citované ISO/IEC 17999
  • ISO/IEC 27003 — Doporučení jak ISMS implementovat
  • ISO/IEC 27004 — Měření
  • ISO/IEC 27005 — Řízení rizik bezpečnosti informací
  • ISO/IEC 27006 — Požadavky na certifikační organizace
  • ISO/IEC 27005 — Speciální požadavky pro telekomunikace
  • ISO/IEC 27013 — Doporučení pro implementaci ISO 27001
  • ISO/IEC 27014 — Správa informační bezpečnosti
  • ISO/IEC 27018 — Ochrana osobních údajů ve veřejných cloudech
  • ISO/IEC 27019 — Informační bezpečnost v energetice
  • ISO/IEC 27021 — Požadavky na schoposti a dovednosti profesionálů informační bezpečnosti
  • ISO/IEC 27031 — Doporučení na zajištění spolehlivosti IT pro kontinuální podporu businessu
  • ISO/IEC 27032 — Doporučení na kyberbezpečnost
  • ISO/IEC 27033 — Síťová bezpečnost
  • ISO/IEC 27034 — Bezpečnost aplikací
  • ISO/IEC 27035 — Řízení informačních incidentů
  • ISO/IEC 27036 — Správa informační bezpečnosti u dodavatelů
  • ISO/IEC 27039 — Zjišťování a zajištění informací o průnicích do systémů
  • ISO/IEC 27040 — Bezpečnost úložišť
  • ISO/IEC 27043 — Vyšetřování incidentů
  • ISO/IEC 27045 — Bezpečnost v oblasti vekých dat (Big Data) — zatím ve formě návrhu.

Ve výčtu jsou vynechány zejména normy týkající se auditních postupů a vyšetřování problémů. Některé další normy jsou stále ještě v přípravě, nebo dokonce jen napláno­vány. Z těch budoucích bude jistě zajímavá ISO/IEC 27099 — Zajištění veřejných klíčů.

Jak normy využít?

Pomineme-li auditory, o které nejde, je norma určena vedoucím IT, kterým vedle standardů, jako je ITIL nebo Cobit vytváří etalon kvalitní péče o IT. Jsou vhodným nástrojem, který poradí, co všechno by IT mělo zabezpečit. Výhodou norem je, že na rozdíl od komerčních zdrojů, do kterých patří i v podstatě všechny tuzemské IT konference, nejsou normy tolik ovlivněny chutí konkrétních firem to či ono super­bezpečnostní řešení prodat.

Normy jsou nesmlouvavé a zajištění spolehlivosti, ochrany a zabezpeční podle všech jejich požadavků rozhodně není jedno­duchou a lacinou záležitostí. Správnou míru ochrany a vyvážení investic, rizik a bezpečnosti musí řešit každá firma. Jinak na tom je banka, zdravotnické zařízení a jinak internetový obchod. Normy – až na pár výjimek ve speciali­zovaných normách – typ businessu nijak nezohledňuji. Jejich použití proto předpo­kládá nejenom znalosti IT, ale také businessu, jeho rizik a souvislostí. A v neposlední řadě také zdravý rozum, pečlivost a odvpovědnost vůči firmě, zákazníkům i zaměstnancům.

Můžeme pomoci

PDQM může pomoci jak se zhodno­cením současného stavu, tak s návrhem opatření na zlepšení. Pro efektivní využití je důležitá i analýza rizik, které z narušení IT bezpečosti hrozí nejen firmě samotné, ale i klientům a obchodním partnerům, pokud by se k datům firmy dostal útočník. A k tomu se využívají i další stnadardy, např. norma ISO/IES 31000.