Standard managementu bezpečnosti informací firmám a institucím, které se nemusejí řídit zněním kybernetického zákona, slouží jako propracovaný návod, jak efektivně chránit klíčová aktiva, zejména citlivá data. Pokud tyto společnosti navíc obstojí u auditu, kontrolujícího splnění požadavků normy, mohou získat od akreditovaného certifikačního orgánu certifikát a výrazně tak zlepšit svou pozici na trhu. Výhodou systému managementu bezpečnosti informací, standardizovaného normou ČSN EN ISO/IEC 27001 je, že je dobrovolný a svou univerzálností se hodí prakticky pro všechny firmy, protože aktivy se vlastně rozumějí jakékoliv informace, které jsou klíčové. „Může tak jít o osobní data klientů, data z vývoje určitých produktů včetně technických nákresů a plánů, autorské umělecké návrhy, zápisy z porad vedení, ale třeba i o všechny prostředky na uložení, zpracování a zabezpečení primárních – nebo jinak řečeno informačních – aktiv. Každá společnost si musí sama určit, co jsou její informační aktiva a jak je chce chránit, aby zachovala nejen důvěrnost, ale také dostupnost a integritu svých klíčových informací,“ říká Petr Imlauf, auditor systému řízení z Elektrotechnického zkušebního ústavu. Motivací pro to, aby se firmy či instituce rozhodly k aplikaci normy a certifikaci, může podle něj být konkurenční výhoda. Pokud totiž firma poptává například tvorbu informačního systému, bude preferovat dodavatele, který má své vnitřní procesy nastavené tak, aby nedošlo k úniku informací. „Z mých zkušeností vyplývá, že motivací může být i získání větší důvěry v práci svého interního IT oddělení. Ne každý vedoucí jeho životu, tedy procesům, pravidlům, požadavkům a rutině, detailně rozumí, navíc z předchozích pracovišť může mít s chodem tohoto oddělení jiné zkušenosti. Pokud tedy nastaví jasná pravidla této normy, podle kterých se bude hrát, může se na své IT spolehnout.“ Aby firma mohla certifikaci získat, musí tedy po určení vlastních aktiv udělat analýzu rizik. Oproti kybernetickému zákonu norma ČSN EN ISO/ /IEC 27001 neříká, jak konkrétně má analýza vypadat, takže forma záleží jen na aplikovateli. Všeobecně však platí, že analýza rizik vyjadřuje různé dopady různých scénářů (hrozeb), pokud by došlo k události. Zahrnuje v sobě reálná zhodnocení, nejčastěji vyjádřená v penězích, a to včetně ztrát za přerušení provozu či poškozenou reputaci. Na základě této analýzy se vyjádří velikosti rizik a nakonec udělají opatření, buď jednorázového, nebo trvalého charakteru. Norma obsahuje kromě „těla“ také normativní přílohu s konkrétními opatřeními, ale firma je může naplnit podle svého tak, aby to pro ni mělo smysl. Některé body či jejich části navíc ani nemusí aplikovat, pokud zdůvodní jejich vyloučení. Součástí certifikátů je ale také odkaz na verzi „Prohlášení o aplikovatelnosti“ odsouhlasené vedením společnosti, v němž se firma vyjadřuje, zda opatření zavádí, či nikoliv a proč.
Audit je důkladný a zaměřuje se na aplikaci normy jako celek Pokud má firma veškerá nutná opatření zavedena a chce získat certifikaci, vybere certifikační orgán, kam pošle žádost včetně informací o předmětu činnosti, počtu zaměstnanců, provozovnách a rozsahu certifikace, čili na jaké části podniku se má certifikace vztahovat. Důležitá je také informace o podobě IT oddělení a IT infrastruktuře. Pak již následuje vlastní audit certifikačního orgánu, který ověřuje uvedené skutečnosti a nastavené procesy celého systému managementu bezpečnosti informací. „Auditoři na místě kontrolují nejen veškeré dostupné a potřebné dokumenty, ale také plnění ‚politik‘, které si společnost sama formulovala. Může to být například politika mobilních zařízení, politika řízení přístupu, politika pro používání kryptografických opatření, politika zálohování, politika bezpečného vývoje a podobně,“ pokračuje. Když má všechno v pořádku, získá firma certifikát na tříleté období. Ten dosvědčuje, že systém řízení je ve firmě zaveden a je funkční. Pro udržení certifikace provádí certifikační orgán po prvním a po druhém roce takzvaný „dozorový“ audit. Po třech letech se provádí „recertifikace“ s vydáním certifikátu na další tříleté období.
Náklady na certifikaci Certifikace má jednoznačné výhody, protože firma získá jistotu, že má svá aktiva řádně chráněná, ale na druhou stranu je nutno uvést, že může být i poměrně nákladná. Cena za celý proces získání certifikátu se může vyšplhat do stovek tisíc korun. Nedá se to vyčíslit úplně přesně, ale obecně se cena odvíjí od tří faktorů. Jedním je cena za certifikaci. Druhým faktorem, který určuje výslednou cenu, je příprava všech procesů a požadavků normy. „Na tuto práci je zpravidla vhodné získat externího poradce, který firmu provede procesem přípravy na certifikaci. Dá se to zvládnout i bez něj, ale je to časově o hodně náročnější. Dále je třeba započítat cenu práce interních zaměstnanců, kteří se přípravě na certifikaci věnují,“ vysvětluje dále. A v neposlední řadě je ještě jeden faktor, který stojí za zmínku. „Když se udělá analýza rizik, může být jejím výsledkem také potřeba obnovy IT infrastruktury, na kterou do této chvíle ‚nebyly peníze‘. Takže se do očekávaných nákladů promítne i nějaká modernizace IT, která sice nesouvisí přímo s certifikací, ale je rozumné ji udělat a vedení na to většinou kývne.“ Petr Imlauf na závěr dodává, že ke zlepšení bezpečnosti informací nevede cesta jen přes normu 27001. „Lze využít dobrá doporučení NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost), která jsou dostupná na jeho stránkách. Předejdete tak nejčastějším chybám. K dispozici je například Bezpečnostní doporučení NÚKIB pro administrátory 4.0, které se zabývá bezpečnou prací na dálku, případně Minimální bezpečnostní standard, což je podpůrný materiál pro subjekty, které nespadají pod zákon o kybernetické bezpečnosti, či Základní bezpečnostní opatření pro vrcholové vedení organizace.“ /Kristina Kadlas Blümelová/
