BEZPEČNOST IT

 

  Bezpečnost informačních technologií je nedílnou součástí provozu IT služeb. Každý na ni nahlíží po svém, teda spíše do té míry do jaké si dokáže představit rizika, která jsou s konkrétním provozem informačních technologií spojené. Rozdílný pohled na tuto problematiku bude mít běžný  živnostník, který provozuje svůj osobní počítač pro svou administrativní činnost a jiný pohled na bezepčnost bude mít korporace. Vždy je to o tom, že investice do bezpečnosti IT by neměla převyšovat aktiva daného subjektu. Je potřeba si uvědomit, že bezpečnost IT by měla být řízena nějakým procesem. Proto při zavedení bezpečnosti IT se často mluví o zavedení systému pro řízení bezpečnosti (ISMS - Information Security Management System). Pojďme si tedy říct jak lze takový systém ISMS chápat.

 

Princip fungování ISMS

  • Princip fungování řízení bezpečnosti informačního systému je založen na modelu PDCA

 

P(Plan/Plánuj) --> D(Do/Dělej) --> C(Check/Kontroluj) --> A(Act/Jednej)

 

 

PDCA - Information Security Management System

Jaké kroky jsou potřebné pro implementaci ISMS?

  • Krok 1 - shodnout se všemi, kterých se zavedení ISMS bude týkat, že tento proces zavedeme
    • Musí být podporováno z pohledu financí a lidí, kteří se budou na zavedení podílet
    • Určení implementačního plánu
  • Krok 2 - identifikovat a ocenit aktiva a vypracovat celkovou analýzu rizik
    • Ocenění aktiv je vlastně taková inventůra IT prostředí
    • Hodnocení aktiv je potřebné zohlednit z pohledu integrity, dostupnosti a důvěrnosti
    • Analýza rizik -> velmi důležité, protože špatné zpracování = nefunkční systém ISMS
  • Krok 3 - navrhnout bezepečnostní protiopatření s ohledem na provedenou analýzu rizik
    • Stručný popis
      • Cílového stavu
      • Jak se k němu dostaneme
      • Termín splnění a finance
    • Reakce na případná rizika
      • Akceptování rizik
      • Doporučení řešení
  • Krok 4 - pokud je vyžadováno tak projít potřebnou certifikací
    • Pro případnou certifikaci je potřeba
      • Mít vypracovaný soubor postupů pro řízení ISMS
      • Mít nastaven a zaveden proces pro kontrolu praktického zavedení ISMS