Informačná bezpečnosť (ISO/IEC 27001) v prvej trojke globálne využívaných štandardov
Cieľom tohoto článku nie je upozorňovať na nové kybernetické hrozby, ale pozrieť sa na problematiku informačnej bezpečnosti v súvislostiach.
Priamo na hlavnej stránke ISO môžete nájsť odkaz na najpopulárnejšie normy v svetovom meradle. Spolu s kvalitou (ISO 9001) a environmentom (ISO 14001) tu nájdete informačnú bezpečnosť. Táto informácia je ešte hodnotnejšia v kontexte sloganu, ktorý tiež nájdete na hlavnej stránke International Organization for Standardization (ISO): “Great things happen when the world agrees.” Logicky sa teda organizácie na celom svete zameriavajú najmä na:
1. Uspokojovanie potrieb zákazníkov – nutná podmienka pre udržateľnosť a rozvoj podnikania.
2. Ochranu životného prostredia a jej preukázateľnosť – nutná podmienka pre udržateľnosť a rozvoj podnikania, najmä výrobných organizácií.
3. Zabezpečenie dát, informácií a ICT infraštruktúry – nutná podmienka pre udržateľnosť a rozvoj podnikania, ako výrobných organizácií, tak organizácií poskytujúcich služby. Tu je potrebné podotknúť aj ochranu informácií zákazníkov a ochranu komunikácie so zákazníkmi, ktorá sa stáva stále častejšie cieľom útokov a obchodovania.
Narastajúca závislosť na informačných technológiách je nepopierateľná. Úplne bežnou sa stala “práca na diaľku”, súčasným trendom sú cloudové riešenia, bez prístupu na e-mail a použitia smartfónov si väčšina z nás už pracovný deň ani nedokáže predstaviť. Informatizácia verejnej správy a štátnych inštitúcií je ďalším dôkazom toho, že využívanie kybernetického priestoru je neoddeliteľnou súčasťou bežného života.
Na to, aby všetko fungovalo, musíme všetky tieto oblasti (aktíva) riadiť. Alternatívnou možnosťou je riešiť informačnú bezpečnosť živelne, nesystémovo a poskytovať tým priamo výhodu konkurencii. To už ale nejde o klasické riadenie, v zmysle Demingovho cyklu PDCA.
Práve normy radu 27 (označované ak 27k) ponúkajú výber fungujúcej a overenej globálnej praxe. S cieľom zohľadniť špecifiká jednotlivých odvetví boli v nadväznosti na ISO/IEC 27001 spracované napríklad aj tieto medzinárodné normy:
- ISO/IEC 27009 pre špecifické odvetvia
- ISO/IEC 27011 pre telekomunikácie
- ISO/IEC 27017 pre cloud computing
- ISO/IEC 27019 pre energetický sektor
Ich použitie sa odporúča napríklad v odvetví financií, dopravy, zdravotnej starostlivosti, alebo pri projektoch v oblasti infraštruktúry, ako sú inteligentné mestá, tzv. “smart cities”. Samotná certifikácia systému informačnej bezpečnosti poskytuje organizácii dôkaz. Dôkaz o tom, že to, ako bola postavená infraštruktúra a nastavené pravidlá je v zhode s požiadavkymi najlepšej globálnej praxe. Proces hodnotenia požiadaviek zabezpečujú nezávislí a kvalifikovaní audítori.
Nezávislý pohľad na organizáciu zvonka, aj zvnútra je jednou z najväčších výhod certifikácie. Keďže umožnuje pohľad na fungovanie nastavení bezpečnsoti z iného uhlu a v širšom kontexte. To dáva predpoklad na to, že prípadné nedostatky budú identifikované a riešené skôr, ako dôjde k ich zneužitiu.