Audit informační bezpečnosti – normy a legislativa

2. Normy a legislativa

V současném globálním světě již není možné v řadě oborů spoléhat na vlastní zkušenosti a zkušenosti pracovníků pracujících v podniku při sestavování jasných a fungujících pravidel. Tím více toto platí v souvislosti s informační bezpečností, kde je důležitá harmonizace v rámci místní legislativy, tak i v rámci integrace do EU. Existuje proto množství specifických požadavků a doporučení, která je nutné vzít za vlastní. Ve spolupráci s evropskými normalizačními institucemi byly vyvinuty normy a legislativa, kterými se musí každý subjekt realizující informační bezpečnost řídit. Specifické normy také slouží i jako metrika zaručující srovnatelnost implementace mezi jednotlivými podniky. Měly by ale také zaručit stejný pohled několika nezávislých konzultantů či auditorů na stejný podnik.Pro oblast informační bezpečnosti byla organizací ISO (International Organization for Standardization), která řídí proces vydávání norem, rezervována série ISO/IEC 27000. Tato rodina norem se v rámci integrovaného systému řízení postupně propojuje s rodinami norem pro řízení jakostí, tedy ISO/IEC 9000, a systému řízení vztahu k okolí, ISO/IEC 14000. Každá z norem je označena číslem a rokem jejího vydání. Normy ISO bývají v ČR přebírány jako ČSN.
Vedle norem vydávaných pro oblast informační bezpečnosti organizací ISO jsou zde i další subjekty, plnící stejnou úlohu. Příkladem může být standardizační institut USA NIST se svými dokumenty. Informační bezpečností se ale zabývá také český NBÚ, německý BSI nebo NATO. Tyto organizace také vydávají vlastní standardy, které jsou však platné pouze územně.

2.1. Historie norem pro řízení informační bezpečnosti

Na počátku roku 1990 byla ve Velké Británii zřízena pracovní skupina, která vytvořila soubor postupů řízení informační bezpečnosti. V roce 1995 byl tento dokument vydán jako britský standard BS 7799. Následně došlo v roce 1999 k vytvoření druhé verze s názvem BS 7799-1:1999. Roku 2000 byl standard akceptován organizací ISO a vydán jako ISO/IEC 17799. Roku 2005 byl standard ISO/IEC 17799 přepracován a přejmenován na ISO/IEC 2002:2005. Ještě téhož roku byl vydán i ISO/IEC 27001:2005, který definuje požadavky na řízení informační bezpečnosti a vychází z BS 7799-2:2002.

2.2. Normy pro řízení informační bezpečnosti

Obrázek zobrazuje hierarchii rodiny norem ISO 27000. Jak je možné pozorovat, sestává se ze čtyř částí. První část představuje standardy obsahující přehled a terminologii využívanou v ISO/IEC 27000. Zde je uveden pouze standard ISO/IEC 27000. Část druhá definuje standardy obsahující závazné požadavky využívané při certifikacích. Zástupci jsou ISO/IEC 27001 a ISO/IEC 27006 (tyto standardy jsou označovány jako normativní. O ostatních se hovoří jako o standardech informativních). Základní generické směrnice obsahuje část třetí, kde nalezneme standardy pro implementaci, audit, řízení rizik anebo i využívané metriky. V části poslední jsou standardy využívané pro specifickou oblast, tedy například telekomunikace a zdravotnictví. Ve stádiu vývoje jsou specifické standardy pro automobilový průmysl a loterie.

Rodina norem pro řízení informační bezpečnosti

Norma ISO/IEC 27000:2009 Overview and vocabulary, česky Přehled a slovník, vysvětluje terminologii provázející veškeré specifikace ISO/IEC 27000. Tato terminologie je adaptována i dalšími pracemi, jako CobiT nebo ITIL z důvodu předejití nepochopení při popisu souvislostí.
Klíčovou normou se stala ISO/IEC 27001:2005, která nese název Information security management system – Requirements, česky Systém řízení bezpečnosti informací – Požadavky. Jak již bylo uvedeno, vychází z BS 7799-2 a obsahuje formální soubor specifikací, které slouží pro nezávislou certifikaci podniku v rámci systému řízení informační bezpečnosti. ISO/IEC 27001 specifikuje požadavky na zřízení, implementaci, monitorování a přezkoumání, udržování a zlepšování systému řízení, tedy celkový rámec řízení a kontroly pro řízení rizik informační bezpečnosti uvnitř podniku. Standard se vztahuje na všechny typy organizací, např. obchodní společnosti, vládní agentury a neziskové organizace, všech velikostí. Informační bezpečnost je řízena režimem neustálého zlepšování. ISO/IEC 27001 proto obsahuje několik PDCA cyklů.
Druhou neméně důležitou normou je ISO/IEC 27002:2005 Code of practice for information security management, česky Soubor postupů pro řízení bezpečnosti informací, vycházející z BS 7799-1:1999, tedy ISO/IEC 17799. Standard obsahuje množství bezpečnostních opatření, kterými se řídí celosvětově velké množství organizací. Obsahem je 11 kategorií bezpečnosti, které jsou dále rozděleny do 39 cílů opatření:

  • bezpečnostní politika;
  • organizace bezpečnosti;
  • klasifikace a řízení aktiv;
  • bezpečnost lidských zdrojů;
  • fyzická bezpečnost a bezpečnost prostředí;
  • řízení komunikací a řízení provozu;
  • řízení přístupu;
  • vývoj, údržba a rozšíření informačního systému;
  • zvládání bezpečnostních incidentů;
  • řízení kontinuity činností organizace;
  • soulad s požadavky.

Norma dále obsahuje 133 základních opatření, které jsou reprezentovány stovkami dalších bezpečnostních opatření.
Návodem na implementaci ostatních norem se stala ISO/IEC 27003:2010 Information security management system implementation guidance, česky Směrnice pro implementaci systému řízení bezpečnosti informací. Popisuje proces specifikace ISMS a design plánů realizace projektu, který zahrnuje přípravu a plánování činností před vlastní realizaci, a zabývá se klíčovými prvky, jako řízení schválení a svolení k realizaci projektu, hodnocení a vymezení rizik informační bezpečnosti, projektování systému řízení informační bezpečnosti a plánování realizace projektu. BSI během posledních let publikoval několik podobných návodů k implementaci známých jako BSI/DISC PD 3001-3005, které jsou do dnešní doby využívány jako efektivní příručka pro celý životní cyklus projektů zahrnujících BS 7799.
ISO/IEC 27004:2009 Information security management measurements, v překladu Měření účinnosti řízení bezpečnosti informací, je pro organizace pomůckou k měření a prezentaci efektivity jejich systémů řízení bezpečnosti informací, zahrnující řídící procesy definované v ISO/IEC 27001 a opatření z ISO/IEC 27002. Obsahem standardu je přehled měření informační bezpečnosti, odpovědnost za řízení, definice jednotlivých metrik a jejich měření a dále následná analýza dat a vyhodnocování výsledků měření.
ISO/IEC 27005:2011 Information security risk management, česky Řízení rizik bezpečnosti informací, poskytuje doporučení a techniky pro analýzy informačních rizik. Jejím základem jsou revize dříve vydaných norem ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000 a využití některých pasáží BS 7799-3.
ISO/IEC 27006:2007 Requirements for the accreditation of bodies providing audit and certification of information security management systems, česky Požadavky na akreditaci osob poskytujících audit a certifikaci systémů řízení bezpečnosti informací, poskytuje doporučení určená akreditovaným certifikačním autoritám. Týká se zejména průběhu certifikace systému řízení informační bezpečnosti a doplňuje požadavky obsažené v ISO/IEC 17021 a ISO/IEC 27001.
ISO/IEC 27011:2008 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002, česky Řízení informační bezpečnosti pro telekomunikační organizace založené na základě ISO/IEC 27002, je norma připravená současně s ITU, kde nese označení ITU-T X.1051. Tato norma je založena na normách ISO 9001:2000 (Quality management systems – Requirements), ISO 14001:1996 (Environmental management systems – Specification with guidance for use), ISO/IEC 17799:2000/27002 (Information technology – Code of practice for information security management), BS 7799-2:2002/ISO/IEC 27001 (Information Security Management Systems – Specification with Guidance for use) a doporučeních ITU-T Recommendation X.800 (Security architecture for Open Systems Interconnection for CCITT applications), ITU-T Recommendation X.805 (Security architecture for systems providing end-to-end communications). ISO/IEC 27011:2008 přidává k ISO/IEC 27002 1 další cíl opatření a 13 základním opatření.
ISO/IEC 27031:2011 Guidelines for information and communications technology readiness for business continuity, česky Pravidla pro informační a komunikační technologii – zajištění kontinuity provozu, obsahuje procedury a metody BCM použitelné ve všech organizacích s identifikací jejich významných aspektů a způsobů měření.
ISO 27799:2008 Health informatics — Information security management in health using ISO/IEC 27002, česky Řízení informační bezpečnosti ve zdravotnických zařízeních dle ISO/IEC 27002, obsahuje doporučení pro implementaci ISO/IEC 27002 a nejlepší praktiky pro řízení bezpečnosti informací ve zdravotnictví.
V současné době jsou připravovány další ISO/IEC normy doplňující rodinu norem pro systém řízení informační bezpečnosti:
ISO/IEC 27007 Guidelines for information security management systems auditing
ISO/IEC TR 27008 Guidelines for auditors on information security management systems controls
ISO/IEC 27010 Information security management for intersector and inter-organisational communications
ISO/IEC 27013 Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
ISO/IEC 27014 Governance of information security
ISO/IEC 27015 Information security management guidance for financial services
ISO/IEC TR 27016 Organizational economics
ISO/IEC 27032 Guidelines for cybersecurity
ISO/IEC 27033 Network security
ISO/IEC 27034 Application security
ISO/IEC 27035 Information security incident management
ISO/IEC 27036 Information security for supplier relationships
ISO/IEC 27037 Guidelines for identification, collection and/or acquisition and preservation of digital evidence
ISO/IEC 27038 Specification for digital redaction
ISO/IEC 27040 Storage security

Kromě standardů rodiny ISO/IEC 27000 existují i další normy, které se například zabývají problematikou soukromí, jakou je ISO/IEC 29000. Pro audit bezpečnosti IT je používána norma ISO/IEC 154408 Evaluation criteria for IT security. Tato norma je často využívána při certifikaci operačních systémů.

Normy německého bezpečnostního úřadu BSI:
BSI Standard 100-1 Information Security Management Systems (ISMS)
BSI-Standard 100-2 IT-Grundschutz Methodology
BSI-Standard 100-3 Risk Analysis based on IT-Grundschutz
BSI-Standard 100-4 Business Continuity Management

Normy standardizačního úřadu USA – NIST:
SP 800-30 Risk Management Guide for Information Technology Systems
SP 800-146 Cloud Computing Synopsis and Recommendations
SP 800-145 A NIST Definition of Cloud Computing
SP 800-132 Recommendation for Password-Based Key Derivation
SP 800-127 Guide to Securing WiMAX Wireless Communications
SP 800-126 The Technical Specification for the Security Content Automation Protocol
SP 800-125 Guide to Security for Full Virtualization Technologies
SP 800-123 Guide to General Server Security

2.3. Legislativa v České republice a Evropské unii

O normy vydávané normalizačními organizacemi a národními bezpečnostními úřady se opírá celá řada zákonů a vyhlášek jak v České republice, tak i Evropské unii.

Legislativa ČR:
ústavní zákon č. 110/1998 Sb., o bezpečnosti ČR;
zákon č. 148/1998Sb., o ochraně utajovaných skutečností;
zákon č. 106/1999 Sb., o svobodném přístupu k informacím;
zákon č. 101/2000 Sb., o ochraně osobních údajů;
zákon č. 227/2000 Sb., o elektronickém podpisu;
zákon č. 365/2000 Sb., o informačních systémech veřejné správy;
zákon č. 480/2004 Sb., o některých službách informační společnosti;
zákon č. 499/2004 Sb., o archivnictví a spisové službě;
zákon č. 127/2005 Sb., o elektronických komunikacích;
zákon č. 412/2005 Sb., o utajovaných informacích;
usnesení vlády c. 624 z 20. 6. 2001, o pravidlech, zásadách a způsobu zabezpečování kontroly užívání počítačových programů;
vyhláška NBÚ 56/1999 Sb., o zajištění bezpečnosti informačních systému nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu.

Legislativa EU:
směrnice rady 1991/250/EHS, o právní ochraně počítačových programů;
směrnice 1995/46/ES, o ochraně osobních dat;
směrnice 1997/66/ES, o ochraně dat v telekomunikacích;
směrnice 1999/93/ES, o zásadách Společenství pro elektronické podpisy;
nařízení 2001/45/ES, o ochraně fyzických osob při zpracování osobních údajů orgány a institucemi;
směrnice rady 2001/264/EC, o ochraně utajovaných informací;
směrnice 2002/58/ES, o zpracování osobních údajů a ochraně soukromí.

Všechny články:
1. Informační bezpečnost
2. Normy a legislativa
3. Analýza a řízení rizik
4. Systém řízení informační bezpečnosti (ISMS)
5. Metodiky a pracovní rámce
6. Audit informační bezpečnosti
7. Využití softwarových nástrojů

4 komentáře u „Audit informační bezpečnosti – normy a legislativa

  1. Pingback: Audit informační bezpečnosti – audit a softwarové nástroje | brichacek.net

  2. Pingback: Audit informační bezpečnosti – metodiky a pracovní rámce | brichacek.net

  3. Pingback: Audit informační bezpečnosti – analýza a řízení rizik | brichacek.net

  4. Pingback: Audit informační bezpečnosti – informační bezpečnost | brichacek.net

Leave a Reply