Implementácia SMIB - ISO 27001

Implementácia systému riadenia (manažérstva) informačnej bezpečnosti

Implementácia ISMS - ISO 27001

In-formatio, alebo informácia – v pôvodnom význame označuje akt vytvárania, určenia tvaru či formy, ale taktiež ako utváranie mysle – teda učenie či vzdelávanie. Odtiaľ už je malý krôčik k dnes bežne využívanému významu informácií ako poznatkov, ktoré je možné predávať.

Moderná, informačná spoločnosť, v ktorej dnes žijeme je založená na získavaní, šírení a využívaní informácií. Informácie sa totiž stávajú veľmi cenným tovarom, ktorý je predmetom záujmu, obchodu, konkurenčnou výhodou, ale na druhej strane i rizikom či ohrozením zo strany nielen ľudí samotných, ale tiež nimi vytvorených, niekedy nedokonale fungujúcich technológií. Navyše je v hre i príroda so svojimi faktormi, ktoré človek nie je schopný ovplyvniť, veľakrát ani správne predpovedať. Ochrana informácií je preto dôležitým predpokladom pre úspešné fungovanie každej modernej spoločnosti.

Ciele implementácie systému riadenia informačnej bezpečnosti

Pokiaľ ste zaznamenali či práve riešite problémy s rastúcim počtom chýb či nefunkčností IT služieb, úniky či stratu cenných dát, problémy spôsobené chybami personálu – teda všeobecne povedané bezpečnostné incidenty, možno ste dospeli k rozhodnutiu riešiť bezpečnosť vašich informácií komplexne. Potom ste sa iste pozastavili nad podobnými otázkami:

  • ako (s primeranými nákladmi) docieliť pokrytie všetkých oblastí, ktorými sa je nutné pri ochrane informácií zaoberať – od fyzickej bezpečnosti cez personálne a legislatívne, k bezpečnosti IT technológií, riadenie prístupu k informáciám a omnoho viacej
  • ako udržať raz vybudovaný koncept dlhodobo funkčný, najlepšie za znižujúcich sa nákladov a s rastúcou účinnosťou – problémy typicky začínajú už s údržbou dokumentácie postupov a pravidiel tak, aby odrážali reálny prevádzkový stav, ďalším problémom je obyčajné ohodnotenie stavu, v ktorom sa nachádzate pri svojom postupe
  • ako všetko riešiť v rozumnej hĺbke a v reálnom čase – vaše prostredie (koniec koncov i celý svet) je z princípu dynamickou záležitosťou, teda je potrebné reagovať na zmeny rýchlo a bez zbytočných nákladov

Stručne zhrnuté, k zvládnutiu vyššie uvedených potrieb je potrebný nejaký mechanizmus, ktorý je schopný riadiť prevádzku veľmi zložitého celku (všetky IT i ostatné zdroje, v prvom rade však ľudské) dlhodobo, podľa vopred stanovenej koncepcie a pravidiel, navyše efektívne (teda s čo najnižšími nákladmi) a dlhodobo (teda so schopnosťou prispôsobovania sa okolitému svetu i zmenám vo vnútri spoločnosti).

K vyššie uvedeným účelom sa dnes využívajú viac či menej prepracované systémy riadenia, pre ochranu informácií potom tieto systémy majú nasledujúce atribúty:

  • sú založené na prístupe vyhodnocovania rizík
  • majú komplexný mechanizmus priebežnej analýzy, implementácie, kontroly, údržby a zlepšovania systému informačnej bezpečnosti
  • vedia zaistiť systematickú prevenciu vzniku incidentov
  • majú spoľahlivé vnútorné kontrolné mechanizmy
  • stanovujú vymáhateľné pravidlá a povinnosti pre všetky zainteresované strany

Vhodným riešením je postup podľa niektorého bezpečnostného štandardu. Tým je možné dosiahnuť nielen zmienenú komplexnosť a efektívnosť, ale tiež vytvoriť dobrý základ pre pravidelný bezpečnostný audit či prípadnú budúcu certifikáciu.

Na základe našich praktických skúseností v oblasti bezpečnosti a na základe znalostí špecifík českého a slovenského prostredia sa nám ako vhodná alternatíva javí využite systému manažérstva informačnej bezpečnosti SMIB (z anglického ISMS - Information Security Managment System) definovaného pomocou medzinárodného štandardu ISO/IEC 27001.

V súlade s týmto štandardom ponúkame vytvorenie kvalitného systému riadenia bezpečnosti informácií – optimálne a presne podľa vašich potrieb.