ISO/IEC 27001 je medzinárodný štandard pre systém riadenia bezpečnosti informácií. Nepopisuje, aký firewall má byť nasadený ani aký antivírus si vybrať. Popisuje, ako má organizácia nastaviť riadenie bezpečnosti tak, aby bolo dlhodobo udržateľné, konzistentné a preukázateľné.

V mnohých firmách sa bezpečnosť rieši reaktívne. Dlhší čas sa nič nedeje, potom príde incident alebo audit, spravia sa rýchle opatrenia a o pár mesiacov sa riešia tie isté témy znovu. ISO 27001 dáva bezpečnosti štruktúru. Zavádza systém, v ktorom je definované, čo sa chráni, kto nesie zodpovednosť, aké riziká organizácia prijíma a aké kontroly má zavedené.

Dôležité je pochopiť, že ISO 27001 nie je cieľ sám o sebe. Je to spôsob, ako nastaviť riadenie. Certifikát môže byť prínos, ale najväčšia hodnota je v tom, že organizácia má bezpečnosť pod kontrolou aj vtedy, keď sa menia ľudia, dodávatelia, technológie alebo priority.

Čo ISO 27001 v praxi znamená

ISO 27001 definuje požiadavky na ISMS, teda Information Security Management System. ISMS je súbor pravidiel, procesov a kontrol, ktoré organizácia používa na riadenie bezpečnosti informácií. Bezpečnosť tak nie je postavená len na schopnostiach konkrétnych ľudí, ale na mechanizmoch, ktoré sa dajú udržiavať a kontrolovať.

ISMS typicky pokrýva tieto oblasti:

• riadenie rizík, teda spôsob, ako sa identifikujú riziká a vyhodnocuje dopad
• kontroly, ktoré riziká znižujú, od organizačných pravidiel až po technické opatrenia
• interné audity a revízie, ktoré držia systém aktuálny a funkčný

ISO 27001 sa dá zaviesť aj bez certifikácie. Štandard je však certifikovateľný, čo znamená, že organizácia môže absolvovať externý audit a získať certifikát. V praxi dáva zmysel uvažovať postupne. Najprv sa nastaví systém, potom sa stabilizuje a až potom sa rieši certifikácia.

Prečo organizácie ISO 27001 zavádzajú

ISO 27001 sa často zavádza z dvoch dôvodov naraz. Prvým je obchod a dôvera, druhým je interné riadenie.

V B2B vzťahoch, najmä v enterprise segmente, je ISO 27001 pre mnohé firmy základná kvalifikačná podmienka. Zákazník si tým znižuje riziko a skracuje due diligence. Namiesto desiatok otázok typu „ako riešite prístupy, incidenty a dodávateľov“ vidí, že organizácia má systém a vie ho preukázať. Neznamená to, že je bez rizika. Znamená to, že bezpečnosť je riadená a auditovateľná.

Druhý dôvod je prevádzkový. Bez ISMS sa bezpečnosť rozpadá na lokálne zvyky, neformálne rozhodnutia a osobné dohody. Robia sa zmeny bez jednotného posúdenia dopadov, výnimky sa povoľujú bez dohľadateľného schválenia, prístupy dodávateľov sa riešia ad hoc a až pri incidente sa zisťuje, čo vlastne platí. ISO 27001 tieto situácie zredukuje tým, že vyžaduje jasné procesy, zodpovednosti a dôkazy o kontrolách.

Čo je jadrom ISO 27001

ISO 27001 stojí na riadení rizík. Prakticky to znamená, že organizácia musí mať mechanizmus, podľa ktorého vie pomenovať riziká, vyhodnotiť dopad a rozhodnúť, ako s rizikom naloží.

Kľúčové je aj rozhodovanie o zodpovednosti. Ak má ISMS fungovať, musí byť jasné, kto vlastní aktíva a služby, kto schvaľuje výnimky a kto má právomoc prijať riziko. Ak táto otázka nie je vyriešená, riziko sa v praxi prijíma bez jasného rozhodnutia a bez zodpovednosti. Pri incidente potom nie je možné spätne obhájiť, prečo bolo riešenie povolené.

Tretí prvok je preukázateľnosť. Organizácia musí vedieť dokázať, že kontroly existujú a fungujú. To je dôležité nielen pri audite, ale aj pri vyšetrovaní incidentu a pri komunikácii so zákazníkom alebo poisťovňou.

Čo musí mať organizácia zavedené

ISO 27001 nie je o jednom dokumente. Je to systém, ktorý má viac častí a tie na seba nadväzujú.

Rozsah ISMS

Ako prvé je potrebné definovať rozsah, teda scope. Organizácia musí určiť, čo ISMS pokrýva. Môže to byť celá firma, vybraná služba alebo konkrétny produkt. Rozsah musí byť jasný, lebo od neho závisí, čo sa bude riadiť a čo sa bude auditovať.

Platí jednoduché pravidlo. Ak je scope príliš široký a organizácia nemá kapacitu, ISMS sa stane formálnym. Ak je scope príliš úzky, systém síce bude zvládnuteľný, ale prínos bude obmedzený.

Inventár aktív a ownerstvo

Organizácia musí mať prehľad o aktívach, ktoré sú v scope. Aktíva sú dáta, systémy, služby, infraštruktúra a procesy, ktoré sú kritické. Pri každom aktíve má byť jasné, kto je owner. Bez ownera sa nedá udržať zodpovednosť ani riadenie rizík.

Risk assessment a risk treatment

Risk assessment je proces, ktorý určí, ktoré riziká sú relevantné a aké sú ich dopady. Nestačí len zoznam hrozieb. Musí byť jasné, ako sa riziko hodnotí, kto hodnotenie schvaľuje a aké opatrenia sa vyberajú.

Risk treatment je rozhodnutie, čo sa s rizikom spraví. Typicky existujú tri smery:

• zaviesť kontrolu, ktorá riziko zníži
• zmeniť systém alebo proces tak, aby sa riziko odstránilo
• riziko prijať, ak je to vedomé a schválené rozhodnutie

Ak sa riziko prijíma, musí byť dohľadateľné, kto ho prijal a prečo.

Statement of Applicability (Vyhlásenie o aplikovateľnosti)

Statement of Applicability je dokument, ktorý hovorí, ktoré kontroly organizácia aplikuje a ktoré nie, vrátane odôvodnenia. Kontroly sa často vyberajú z Annexu A. Dôležité je, aby to nebol formálny zoznam. Má to byť mapa toho, ako organizácia pokrýva svoje riziká a kde má vedomé výnimky.

V ISO/IEC 27001:2022 sú kontroly v Annex A zoskupené do štyroch oblastí: organizačné, personálne, fyzické a technické.

Incident management

ISMS musí počítať s tým, že incident sa môže stať. Preto musí byť nastavený incident management. Teda postup, ako sa incident deteguje, klasifikuje, eskaluje a vyhodnotí. Cieľom je rýchla reakcia, konzistentná komunikácia a dohľadateľnosť.

Riadenie dodávateľov

Dodávatelia majú prístupy, spracúvajú dáta a často prevádzkujú časť služby. ISO 27001 vyžaduje, aby organizácia riadila riziká tretích strán. To znamená zmluvné požiadavky, kontrolu prístupov, pravidlá práce dodávateľov a pravidelné hodnotenie.

Ako prebieha certifikácia ISO 27001

Certifikácia prebieha formou externého auditu a je vždy viazaná na definovaný scope. Certifikát teda neznamená automaticky, že je pokrytá celá organizácia. Znamená, že v definovanom rozsahu ISMS spĺňa požiadavky štandardu.

Audit sa typicky delí na dve fázy:

• Stage 1 je kontrola pripravenosti, scope, dokumentácie a základných mechanizmov
• Stage 2 je audit implementácie, teda overenie, či procesy a kontroly fungujú v praxi a existujú dôkazy

Po certifikácii nasledujú pravidelné dozorové audity a recertifikácia. V praxi to znamená, že ISMS sa musí udržiavať priebežne. Jednorazové nastavenie nestačí.

Čo ISO 27001 nie je

ISO 27001 nie je technický checklist. Organizácia môže mať certifikát a zároveň mať slabé technické nastavenia, ak je ISMS formálny. Naopak, organizácia môže mať technicky dobre postavenú bezpečnosť a nemá certifikáciu, ale často jej chýba preukázateľnosť a konzistentnosť.

ISO 27001 tiež nie je garancia, že sa incident nestane. Je to spôsob, ako znížiť pravdepodobnosť a dopad incidentov a mať kontrolu nad rozhodnutiami o rizikách, zodpovednostiach a výnimkách.

Kedy dáva ISO 27001 najväčší zmysel

ISO 27001 je vhodný najmä pre organizácie, ktoré dodávajú služby do enterprise alebo verejného sektora, spracúvajú citlivé údaje alebo majú komplexné IT a viacero tímov. V takýchto firmách je riziko nejednotných rozhodnutí vysoké a ISMS pomáha zaviesť konzistentný rámec.

Pre menšie firmy môže byť certifikácia náročná. Aj vtedy však dáva zmysel použiť princípy ISMS, najmä scope, risk assessment, ownerstvo, incident management a riadenie dodávateľov.

Ako začať rozumne

Ako prvé je potrebné spraviť tri kroky, ktoré dávajú rýchly obraz o pripravenosti.

• určiť scope, teda čo sa bude riadiť a preukazovať
• spraviť základný risk assessment, aby bolo jasné, ktoré riziká sú najdôležitejšie
• overiť ownerstvo a dôkazy, najmä prístupy, incident management a riadenie dodávateľov

Ak tieto základy neexistujú, ISO 27001 sa zmení na dokumentačné cvičenie. Ak existujú, ISMS sa dá budovať postupne a udržať ho v praxi.

Záver

ISO/IEC 27001 je štandard pre riadenie bezpečnosti informácií. Nehovorí, akú technológiu použiť. Hovorí, ako nastaviť systém, v ktorom sú zodpovednosti, riziká a kontroly riadené a preukázateľné.

Organizácia získa rámec pre riadenie rizík, zodpovednosti, incidenty a dodávateľov. Certifikácia má zmysel až vtedy, keď ISMS funguje v praxi a organizácia vie preukázať, že kontroly nie sú len formálne, ale reálne používané.