Všeobecné predstavenie ISMS

Medzinárodný štandard ISO 27001:2013 je špecifikácia pre systém riadenia informačnej bezpečnosti (ISMS). ISMS je rámec politík a postupov, ktorý zahŕňa všetky právne, fyzické a technické kontroly, ktoré sa podieľajú na procesoch riadenia informačných rizík organizácie.
Norma ISO 27001, poskytuje model na zavedenie, implementáciu, prevádzku, monitorovanie, kontrolu, údržbu a zlepšovanie systému riadenia informačnej bezpečnosti.
Zavádzanie ISMS je čoraz populárnejšie, lebo synergicky zvyšuje úroveň informačnej bezpečnosti, stáva sa základom pre kybernetickú bezpečnosť a ochranu osobných údajov.

Ako zabezpečiť súlad

Pred samotnou certifikáciou spoločnosti na štandard ISO 27001 treba zaviesť systém podľa
Demingovho cyklu (PDCA cyklus)

P - Plan - naplánovanie zamýšľaného zlepšenia (zámer)
D - Do - realizácia plánu
C - Check - overenie výsledku realizácie oproti pôvodnému zámeru
A - Act - úpravy zámeru aj prevedenie na základe overenia a plošná implementácia zlepšení do praxe

Tento systém si vyžaduje určenie procesov, vlastníkov a jednotlivých procesov. Tieto procesy je nutné implementovať do praxe a na základe merania zistiť ich efektívnosť. Nevyhnutné je zapojiť do budovanie systému ľudí a to interných zamestnancov ale aj tretie strany a to hlavne systematickým vzdelávaním. Je nevyhnutné, aby sa v spoločnosti navzájom dopĺňali ľudia, procesy a technológie tak, aby vytvorili skutočne účinný systém informačnej bezpečnosti.

Implementácia sa realizuje podľa postupu uvedenom v ISO27003 „Guidance in implementing an ISMS“ v presne definovanom poradí z dôvodu zohľadnenia funkčných závislostí.
Je vhodné pred samotnou realizáciou vykonať GAP analýzu, ktorá presne zmapuje skutočný stav informačnej bezpečnosti. GAP analýza poskytuje informáciu o časovom rozsahu a prípadných investičných nákladoch vo fáze implementácie ISMS.

Prvoradá je podpora manažmentu, ktorý svoju vôľu prejavil podpísaním memoranda o podpore. Kľúčovým krokom bol správny výber ľudí do implementačného tímu z radov zákazníka. Je vhodné do tímu delegovať člena manažmentu. Nevyhnutná je informovanosť všetkých zainteresovaných strán aby sa dosiahlo vnímanie bezpečnosti ako integrálnej súčasti riadenia businessu spoločnosti. Kvalita informačných vstupov. Procesný prístup. Kvalitná komunikácia.
Kľúčové procesy sú predpísané normou. Pre tieto procesy sú spracované smernice a procedúry ktoré sú záväzné pre zamestnancov. Interný audit kontroluje správne používanie a manažment vykonáva review efektívnosti procesu. Týmto je zaručené kontinuálne zlepšovanie a funkčnosť procesov.

Roadmapa implementácie ISMS

Benefity

• ISO 27001 so sebou prináša systematické riadenie rizík, čím sa náklady vynakladajú cielene
• Zvýšenie spoľahlivosti a bezpečnosti systémov a spracovávaných informácií
• Zvýšená dôvera zákazníkov a obchodných partnerov, certifikácia predstavuje medzinárodne uznávanú značku kvality pre správu informačnej bezpečnosti
• Výrazne znížiť počet incidentov v spoločnosti
• Jasné rozdelenie zodpovednosti
• Poskytuje motiváciu k neustálemu zlepšovaniu
• Vylepšený imidž a povesť spoločnosti

Informačná bezpečnosť budovaná podľa medzinárodného štandardu ISO27001 znamená chrániť informačné aktíva a nepretržitosť business procesov, ktorých funkčnosť predstavuje reputáciu spoločnosti. Zníženie reputácie môže byť príčina straty konkurenčnej výhody alebo dokonca vylúčenie z oblasti biznisu. Neriadené investovanie do informačnej bezpečnosti je neefektívne a predstavuje plytvanie. Preto metóda, ktorú ponúkame, Vám dáva záruku vo forme transparentnosti, a merateľnosti a dáva predpoklad k skutočnému kontinuálneho zlepšovania procesov, čo sa synergicky prejaví na spokojnosti interných a externých zákazníkov.

GAP analýza slúži na objektívne vyhodnotenie úrovne informačnej bezpečnosti v spoločnosti. Z dôvodu objektívnosti a opakovateľnosti posúdenia úrovne boli použité nasledovné rámce:

• ISO/IEC 27001 Implementácia ISMS
• ISO/IEC 27002 Best practices ISMS
• ISO/IEC 27005 Riadenie rizík

Počas analýzy sa identifikujú vlastníci IT procesov (Cobit RACI) a podľa metódy CMM (Capability Maturity Model) určuje zrelosť jednotlivých procesov.

Príklad definovanie RACI matice:

Hodnotenie procesov podľa ISO 27001:2013

Hodnotenie zrelosti procesov bolo vykonané podľa metódy CMM (Capability Maturity Model) v členení podľa funkčných oblastí, ale aj podľa cieľových skupín vlastníkov a používateľov informačného systému.

Výstupy z GAP analýzy

Výstupy z GAP analýzy obsahujú v zrozumiteľnej forme úroveň informačnej bezpečnosti v spoločnosti v nasledovnom rozsahu:

• Stav opatrení, ich maturita súladu s požiadavkou referenčnej normy v členení Implementované, čiastočne implementované alebo neimplementované.
• Stav opatrení, ich maturita súladu s požiadavkou referenčnej normy v členení podľa bezpečnostných domén
• Akčný plán k zosúladeniu požiadaviek s riadením ISMS
• Opatrenie / Závažnosť / Priorita

Príklad plnenia opatrení:

Príklad plnenia opatrení v členení podľa bezpečnostných domén:

GAP analýza je efektívny spôsob ako naplánovať implementáciu a certifikáciu ISM z pohľadu definovania zdrojov a časového plánu implementácie a certifikácie.
Aplikuje sa štandardne pri agendách informačnej bezpečnosti, kybernetickej bezpečnosti, Biznis kontinuite alebo ochrane osobných údajov.