SYSTÉM MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI Anna Moščáková ÚVOD Medzinárodná organizácia pre normalizáciu (ISO z angl. International Organization for Standardization) uvádza delenie sektorov podnikania, pričom jedným z nich je i sektor elektroniky, informačných technológii (ďalej uvádzané pod skratkou IT) a telekomunikácií. V dôsledku rýchleho nárastu informácií, dát a predovšetkým na základe neustáleho vývoja IT sektora vzniká potreba zavádzania systému manažérstva informačnej bezpečnosti (ďalej uvádzané pod skratkou SMIB) [2]. IT predstavuje súbor informačných technológii používaných nielen na prípravu a spracovanie dát, ale taktiež na monitorovanie informácií a procesov pre dosahovanie účinnejších a efektívnejších výsledkov na základe optimalizácie manažmentu zdrojov, distribúcie dát, či know-how. Informatizácia procesov v spoločnostiach, prenos a uchovávanie informácií prináša zvýšené riziko ich úniku, a tak je potrebné venovať pozornosť systematickému prístupu k informačnej bezpečnosti, riadiť jednotlivé procesy a informačné toky. V súčasnosti je rozšírený spôsob riadenia informačnej bezpečnosti v čoraz väčšej miere, zabezpečovaný zavádzaním SMIB do spoločnosti, vychádzajúci z modelu definovaného normou ISO/IEC 27001:2005. Príspevok je venovaný zavedeniu konkrétneho druhu manažérskeho systému, pričom je pozornosť sústredená na vytvorenie prehľadu potrebných aktivít pre implementáciu a certifikáciu SMIB. 1 SYSTÉM MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI V podnikovej praxi sa SMIB vyskytuje pomerne často. Skupinu prvých troch najčastejšie sa vyskytujúcich manažérskych systémov, ako uvádzajú autori [3], [4], [8], [7] a ďalší, predstavujú manažérske systémy s ohľadom na kvalitu, ŽP a BOZP. Štvrtým, často využívaným druhom manažérskeho systému podľa autorov [5], [1], či [6] je práve rozoberaný SMIB. SMIB je založený na podobných princípoch ako systém manažérstva kvality, systém pre ochranu ŽP a iné druhy manažérskych systémov. SMIB funguje predovšetkým na základe jeho vybudovania, zavedenia, prevádzkovania, kontrolovania, na základe jeho údržby a neustáleho zlepšovania. Základné zdroje pre riadenie bezpečnosti informácií v rámci podniku sú právne predpisy, štandardy, normy a odporúčania, ktoré musia byť v procese riadenia bezpečnosti informácií rešpektované. Pod pojmom bezpečnosť informácií sa rozumie proces zlepšovania ochrany informácií na potrebnej úrovni z hľadiska nasledovných prvkov: - Dôvernosť je potrebné zabezpečiť poskytnutie informácií a ich sprístupnenie len oprávneným osobám. - Dostupnosť oprávnené osoby majú mať neobmedzený prístup k informáciám. - Integrita informácie majú byť zabezpečené z hľadiska obsahu a formy. Uvádzané prvky na ochranu údajov je potrebné v spoločnosti neustále zabezpečovať a kontrolovať v rámci daného manažérskeho systému a sú zakreslené v Obr.1. Obr.1: Prvky pre ochranu údajov Zdroj: Vlastné spracovanie S uvedeným súvisí i PDCA cyklus ( angl. Plan Do Check Act), na ktorom je založený SMIB, avšak tento cyklus predstavuje spoločný znak pre všetky druhy manažérskych systémov. V rámci PDCA cyklu je predstavená postupnosť krokov, kde vstupy tvoria požiadavky zainteresovaných strán a výstupmi je manažment spĺňajúci ich požiadavky. Obr. 2 ilustruje nadväznosť jednotlivých krokov v uvádzanom PDCA cykle pre SMIB.
Obr. 2: PDCA cyklus Zdroj: Spracované na základe [2] SMIB predstavuje druh manažérskeho systému, ktorý je možné zavádzať a certifikovať v akejkoľvek typologicky veľkostne zatriedenej spoločnosti, a rovnako tak je ho možné využívať v ktoromkoľvek sektore pôsobenia [2]. 1.1 DÔVODY ZAVEDENIA SMIB Výkon spoločnosti, či dosiahnutie stanovených cieľov je úzko spojené s prácou vrcholového manažmentu. Práve vrcholový manažment rozhoduje o prijatí SMIB. Na základe zavedenie vybraného druhu manažérskeho systému dochádza k viacerým pozitívnym prínosom pre spoločnosť. Deklarovanie prijatia SMIB je vyjadrením toho, že spoločnosť zodpovedne pristupuje k riadeniu v oblasti informácií, zlepšuje zapojenie a motiváciu zamestnancov k bezpečnostnej kultúre, zlepšuje sa celkový imidž spoločnosti, zvyšuje sa uplatnenie na trhu a konkurencieschopnosť a pod. 1.2 NORMA ISO/IEC 27001 Norma ISO/IEC 27001:2005 predstavuje jednu z najrýchlejšie rastúcich noriem v rámci noriem pre systémy riadenie využívaných na celom svete. Bola pripravená s cieľom poskytnúť model na zostavenie implementácie, prevádzky, monitorovanie, preskúmanie a zlepšenie SMIB. Obsahuje základné požiadavky pre SMIB. Koncepcia a implementácia SMIB podľa príslušnej normy je ovplyvnená podnikovými potrebami a cieľmi, bezpečnostnými požiadavkami, či používanými procesmi. Norma funguje ako základ pre posudzovanie SMIB pre podnik ako celok alebo len pre jej časť. Je ju možné použiť ako základ pre formalizovaný postup k certifikácii. Úspešné zavedenie daného druhu manažérskeho systému je možné certifikovať príslušnou normou a vydaním certifikátu, avšak nie je povinné. Niektoré spoločnosti majú zavedený SMIB, aby mohli ťažiť z osvedčených postupov, ktoré norma pre SMIB obsahuje, zatiaľ čo iné spoločnosti okrem zavedeného SMIB chcú získať i certifikát, ktorým preukážu platnosť certifikovaného systému. 2 IMPLEMENTÁCIA A CERTIFIKÁCIA SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI Implementácia manažérskeho systému do spoločnosti predstavuje dobrovoľnú aktivitu. Mnoho podnik nemá predstavu o tom, z akých aktivít je zložená implementácia SMIB. Implementácia nepredstavuje jednoduchý proces, naopak je zložený z viacerých aktivít, ktoré sú nevyhnutné pre úspešnú implementáciu SMIB. Na základe získaných poznatkov z podnikovej praxe v oblasti implementácie manažérskych systémov je vytvorený prehľad jednotlivých aktivít implementácie. Celkovo je nevyhnutne realizovať desať aktivít. Ako uvádza ISO, certifikácia môže predstavovať užitočný nástroj, ktorý zvyšuje dôveryhodnosť preukázaním, že produkt, alebo služba spĺňa očakávanie svojich zákazníkov. V niektorých odvetviach predstavuje certifikácia právnu alebo zmluvnú požiadavku. Certifikáty k normám vydávajú externé certifikačné spoločnosti, ktoré majú povolenie na výkon tejto činností.
2.1 AKTIVITY IMPLEMENTÁCIE SMIB Prvou aktivitou je vytvorenie tímu a rozdelenie úloh jednotlivým členom tímu, ktorý bude zabezpečovať implementáciu SMIB. Tím tvorí niekoľko členov, pričom na čele je člen, ktorý bude zastávať funkciu predstaviteľa manažmentu pre informačnú bezpečnosť. Tím sa spravidla tvorí zástupcami všetkých organizačných jednotiek spoločnosti. Druhá aktivita je charakterizovaná analýzou rizík informačnej bezpečnosti v podniku. Táto aktivita predstavuje realizáciu rozhovorov s vedúcimi organizačných jednotiek, kde sú mapované jednotlivé činností súvisiace so SMIB. Cieľom analýzy je identifikovať hlavné riziká pôsobiace na informačnú bezpečnosť, identifikovať možnosti pre správu zistených rizík a určiť spôsoby správy rizík. Táto aktivita je pomerne zložitou a rozsiahlou aktivitou v rámci všetkých potrebných aktivít pre implementáciu. Na základe toho tvorí vysokú časovú náročnosť vyjadrovanú v hodinách. Ďalšou aktivitou je vypracovanie bezpečnostnej politiky podniku. Vypracovanie bezpečnostnej politiky je v úzkom spojení s potrebami a obchodnými cieľmi podniku tak, aby sa dosiahlo spojenie v rámci všetkých organizačných jednotiek a bol získaný maximálny efekt pre podnik ako celok. Následnou aktivitou je stanovenie cieľov a opatrení na riadenie rizík. Cieľom tejto aktivity je výber kontrolných cieľov a opatrení podľa normy ISO/IEC 27001. Zároveň dochádza k tvorbe návrhov bezpečnostných opatrení pre neskoršiu implementáciu v prostredí podniku. Piata aktivita predstavuje vypracovanie riadiacej dokumentácie podniku. Je charakteristická stanovením návrhu, pripomienkovaním a schválením riadiacej dokumentácie SMIB s ohľadom na súčasný stav už spracovanej a využívanej riadiacej dokumentácie a záznamov v podniku. Šiesta aktivita pozostáva z vypracovania plánu na zvládnutie rizík. Vypracovanie tohto plánu predstavuje koordinačný dokument, ktorý definuje aktivity potrebné na zníženie úrovne vybraných rizík a podporuje implementáciu požadovaných opatrení. Siedmou aktivitou je vypracovanie vyhlásenia o aplikovateľnosti, čo tvorí vypracovaniu návrhu tohto dokumentu, ktorý v sebe zahŕňa prehľad o požiadavkách uvádzaných v norme príslušnej pre SMIB. Ďalšia aktivita je spojená so školením zamestnancov v podniku. Je nevyhnutné zaškolenie zamestnancov pre zavedenie SMIB. Školenia sú organizované buď prostredníctvom e-learningu, alebo sú hromadné. Deviata aktivita je nositeľom realizácie interných auditov v podniku. Je potrebné realizovať danú aktivitu, so zámerom overiť a vyhodnotiť zostavenie SMIB a preveriť plnenie všetkých prvkov normy ISO/IEC 27001. Poslednou, desiatou aktivitou v rámci implementácie SMIB je preskúmanie manažmentom. Náplň aktivity tvorí spracovanie správy, v ktorej je zhodnotený stav, v akom sa SMIB nachádza a zároveň je obsahom správy i uvedenie príležitostí na možné zlepšenie a potreba vykonávania zmien SMIB. Jednotlivé aktivity implementácie, ktoré uvádza príspevok, sú zhrnuté v Tab. 1. V konkrétnej tabuľke je ku každej z aktivít priradený minimálne potrebný čas vyjadrený v počte hodín na ich realizáciu. Kým vyššie uvádzané aktivity sú platné za každých podmienok, časový odhad vyjadrený v hodinách je v rámci príspevku uvádzaný na základe konkrétneho príkladu, ktorý je popísaný pod Tab. 1. Tab. 1: Aktivity implementácie SMIB Aktivita 1. 2. Časová náročnosť v hodinách Vytvorenie tímu a rozdelenie úloh 12 Analýza rizík informačnej bezpečnosti v podniku 250 3. Vypracovanie Bezpečnostnej politiky podniku 60 4. 5. 6. Stanovenie cieľov a opatrení na riadenie rizík 80 Vypracovanie riadiacej dokumentácie 240 Vypracovanie Plánu zvládania rizík 80 7. Vypracovanie Vyhlásenia o aplikovateľnosti 80
8. 9. 10. Školenie zamestnancov podniku 20 Realizácia Interných auditov 40 Preskúmanie SMIB vedením podniku 65 SPOLU 927 Zdroj: Vlastné spracovanie Tab. 1 umožňuje prehľad každej z potrebných aktivít pre implementáciu spolu s časovým odhadom, avšak za konkrétne stanovených podmienok. V tomto prípade bol braný do úvahy podnik, ktorý má 5 organizačných jednotiek, zamestnáva 200 zamestnancov a plánuje vypracovať 20 riadiacich dokumentov. Ukážkový príklad poukazuje, na základe uvedených základných údajov, že je potrebných minimálne 927 hodín pre implementáciu SMIB. Z uvedeného vyplýva, že pokiaľ by šlo o podnik zložený z viacerých organizačných jednotiek a plánovalo by sa so spracovaním vyššieho počtu riadiacej dokumentácie, čas potrebný pre implementáciu SMIB by bol navýšený a naopak. 2.2 CERTIFIKÁCIA SMIB Po zavedení systému manažérstva informačne bezpečnosti môže podnik pristúpiť k certifikačnému auditu. Predmetom certifikácie je zavedený a dokumentovaný SMIB v podniku. Samotný proces certifikácie je realizovaný externou certifikačnou spoločnosťou. Podnik má k dispozícii na výber z množstva certifikačných spoločností, ktoré existujú v podnikovej praxi. Na základe uvedenia svojich základných údajov a požiadaviek je následne certifikačnou spoločnosťou tvorená cenová ponuka za realizáciu externého certifikačného auditu. V konkrétnom prípade ide o tvorbu cenovej ponuky pre podnik s rozhodnutím certifikovať zavedený SMIB. Externý certifikačný audit spravidla vykonáva externý audítor danej certifikačnej spoločnosti. Všeobecne platí, že počas realizáciu auditu v podniku ho sprevádzajú interný zamestnanci daného podniku, kde počet interných zamestnancov závisí od celkovej náročnosti externého certifikačného auditu. Pokiaľ podnik úspešne absolvuje externý certifikačný audit SMIB podľa normy ISO/IEC 27001, je mu udelený certifikát externou certifikačnou spoločnosťou. Platnosť certifikátu je na obdobie troch rokov, pričom po tomto období sa opäť preveruje plnenie požiadaviek príslušnej normy. Počas trojročného obdobia navštevuje podnik certifikačný orgán v ročných intervaloch a v rámci krátkych previerok opäť overuje funkčnosť systému. Pokiaľ podnik obdrží certifikát SMIB, je jedno v akej krajine ho získal a nemusí preukazovať znovu splnenie požiadaviek tejto normy v inej krajine. ZÁVER Problém bezpečnosti informácií sa stáva čoraz dôležitejším pre podniky z hľadiska čoho je rozšírené zavádzania SMIB. Príspevok poukázal na základné poznatky v rozoberanej problematike zvoleného druhu manažérskeho systému s ohľadom na bezpečnosť informácií a dát. Rovnako tak poukázal na všetky potrebné aktivity pre zavedenie daného druhu manažérskeho systému spolu s popisom pre certifikáciu. Je možné vytvorený prehľad spolu s odhadovanou časovou náročnosťou implementácie SMIB pokladať za prínos predkladaného príspevku a je možné jeho použitie ako názorného príkladu pre podniky v praxi, ktoré majú záujem o zavedenie daného druhu manažérskeho systému. LITERATÚRA [1] GILLIES, A. Improving the quality of information security management syst with ISO27000. In The TQM Journal, Vol. 23 No. 4, 2011. pp. 367-376. q Emerald Group Publishing Limited, 1754-2731. DOI 10.1108/17542731111139455. [2] ISO/IEC 27001:2005. Information technology. Requirements, ISO, Geneva, 2013. [3] JøRGENSEN, T. H.- REMMEN, A.- MELLADO, M. D. Integrated Management Syst - three different levels of integration. In Journal of Cleaner Production. 2006. 14:713e22.áciu systémom. ISSN 0959-6526.
[4] KARAPETROVIC, S. CASADEUS, M. Implementing environmental with other standardized management syst: scope, sequence, time and integration. In Journal of Cleaner Production, 2009. Vol. 17 No. 5, pp. 533-40.. ISSN 0959-6526. [5] PAREIRA, T. SANTOS, H. A. Conceptual Model Approach to Manage and Audit Information Syst Security, Proceedings of the 9th European Conference on Information Warfare and SecurityAcademic Conferences Limited,, pp. 360. [6] SUSANTO, H. ALMUNAWAR, N. M. TUAN, CH. Y. Information Security Management System Standards: A Comparative Study of the Big Five. In International Journal of Electrical & Computer Sciences. 2011. Volume 12, Issue 1. ISSN 2077-1231. [7] TUROF, M. The current state of design and implementation of integrated management syst. In Economics, Management, and Financial Markets. Vol. 7(4), 2012. pp. 726-723. ISSN 1842-3191. [8] ZENG, S. X. XIE, X. M. TAM, C. M. SHEN, L. Y. An empirical examination of benefits from implementing integrated management system (IMS). In Total Quality management and Business Excellence. 22 (2), 173-186. ISSN 1478-3363. eissn 1478-3371. Adresa autora: Ing. Anna Moščáková Ekonomická univerzita v Bratislave, Podnikovohospodárska fakulta v Košiciach, Katedra manažmentu Tajovského 13, 041 30 Košice Slovensko anna.moscakova@euke.sk INFORMATION SECURITY MANAGEMENT SYSTEM Abstract At present the continuing development of information and businesses are the most important asset for businesses. It is necessary to ensure their protection when storing, updating and delivery. The aim of enterprise management is to ensure maximum safety information ISMS implementation. Establish a certified ISMS brings several benefits to the company. The paper is a description of the activities necessary for the implementation and certification of the selected type of management system, which is based on the company created a quick overview of basic knowledge in the present area. Key words management system, informatics security, standard, difficulty JEL Classification L15