Österreich
Secure Your Business
 

Sada bezpečnostných nástrojov, ktoré ochránia vašu organizáciu pred kybernetickými útokmi

Kybernetické útoky patria medzi najväčšie riziká, ktorým môže organizácia čeliť. Mať nastavené pravidlá a systém tak, aby uchovával informácie v bezpečí ešte nebolo tak dôležité ako v dnešnej digitálnej dobe. To je aj dôvod prečo rada noriem ISO/IEC 27000 je aktualizovaná tak, aby poskytovala organizáciám viac pridanej hodnoty a istoty.

 

V celosvetovom prieskume vykonávanom ISACA v 129 krajinách, len 38% respondentov uviedlo, že sa cítia pripravení na kybernetický útok. Napriek tomu až 83 % respondentov uviedlo, že uvádzajú túto hrozbu medzi top 3 hrozby, ktorým musia čeliť organizácie v dnešných dobách. Z dôvodu množstva osobných údajov a citlivých informácií, ktoré sú spracovávané elektronicky, by nemala byť táto hrozba prehliadaná.

Profesor Edward Humphreys, predseda pracovnej skupiny pre normy ISO v oblasti systémov manažérstva informačnej bezpečnosti zdôrazňuje: „Pre zabezpečenie bezpečnosti v dnešnej digitálnej dobe, by si mali všetky organizácie, nehladiac na veľkosť zaviesť riadiaci systém ako prvý krok pre zvládanie kybernetických rizík. Norma ISO/IEC 27001 bola navrhnutá ako pomôcka pre organizácie, aby mohli tak urobiť . Táto norma je svetovým spoločným jazykom, keď dôjde na témy ako posudzovanie, zvládanie a manažérstvo rizík v oblasti informačnej bezpečnosti. Nižšie uvádzame revízie a pridané normy v rámci radu noriem ISO/IEC 27000, publikované v priebehu roka 2015. Tieto normy sú súčasťou sady nástrojov ISO/IEC 27000 pre kybernetické riziká, ktoré pomáhajú mať tieto riziká takpovediac v šachu.

 

Ochrana informácii v cloude (ISO/IEC 27017)
Nové pravidlá dobrej praxe vzťahujúce sa na opatrenia informačnej bezpečnosti pre cloud služby, ISO/IEC 27017 boli vydané koncom novembra 2015. Cloud je jedna z najviac rozšírených inovácií v dnešnom rýchlo meniacom sa svete Ako cloud získava na váhe, užívatelia požadujú záruky, že dáta ukladané a spracovávané v cloude sú v bezpečí. Vzhľadom na povahu služby je trh pre cloudové služby globálny, s poskytovateľmi rozptýlenými v rozsiahlych geografických oblastiach a údaje sa rutinne prenášajú aj cez štátne hranice. Kľúčové sú preto aj medzinárodné postupy (smernice), ktoré berú do úvahy všetky legislatívne požiadavky.


Podľa Satoruho Yamasaki, jedného z editorov, ktorí pracovali na tejto norme: „ISO/IEC 27017 pomôže poskytovateľom služieb dôjsť k všeobecnej dohode s ich zákazníkmi v oblasti adekvátnych bezpečnostných opatrení a postupov pre ich implementáciu. Táto medzinárodná norma pre bezpečnostné opatrenia cloud technológií uľahčí vývoj a rozvoj bezpečných cloud computing systémov.“

 

Nová norma a z nej vyplývajúce postupy sú výsledkom spoločnej iniciatívy hlavných svetových vydavateľov medzinárodných štandardov a noriem: IEC (International Electrotechnical Commission) , ISO (International Organization for Standardization) a ITU (International Telecommunication Union), čo garantuje maximálny dosah.

 

Integrované riešenia pre poskytovanie IT služieb (ISO/IEC 27013)

Viaceré organizácie si vybrali kombináciu systému manažérstva informačnej bezpečnosti (ISO/IEC 27001) so systémom manažérstva poskytovania IT služieb – ITIL (ISO/IEC 20000-1). Naozaj integrovaný systém znamená systém, ktorým organizácia dokáže účinne riadiť kvalitu poskytovaných služieb, uchopiť spätnú väzbu od zákazníkov a riešiť problémy, pričom sú informácie a údaje (nielen zákazníkov) stále v bezpečí.

 

ISO/IEC 27013 ponúka systematický prístup k zvládaniu integrácie systému manažérstva informačnej bezpečnosti s systémom manažérstva poskytovania IT služieb. Výsledkom sú nižšie náklady implementácie a predchádzanie duplicitnému úsiliu, ako napr. jeden certifikačný audit namiesto dvoch.

 

Komunikácia medzi organizáciami a v rámci sektora (ISO/IEC 27010)

Keď organizácia zdieľa informácie s inou organizáciou, ako si môže byť istá, že jej údaje budú udržiavané v bezpečí ? ISO/IEC 27010 je špecifické doplnenie sady nástrojov ISO/IEC 27000, ktorá vedie k naštartovaniu, implementácii, udržiavaniu a zlepšovaniu informačnej bezpečnosti v komunikácii medzi organizáciami a v rámci sektora (napr. rôzne komory, záujmové zoskupenia a pod.). Je očakávané, že táto norma podporí rast globálnych komunít pre zdieľanie informácií.

 

Ako Dr. Mike Nash, editor normy ISO/IEC 27010 vysvetľuje „ISO/IEC 27010 v podstate aplikuje ISO/IEC 27001 a ISO/27002 do komunikácie medzi organizáciami. Mať túto normu aplikovanú dodáva organizácii dôveru v to, že informácie, ktoré zdieľala s inou organizáciou nebudú neadekvátne prezradené“. Norma je čiastočne relevantná pre ochranu kritickej infraštruktúry štátov, kde sa kladie vysoký význam na bezpečnú výmenu citlivých informácií.

 

Detekcia a prevencia kybernetických útokov (ISO/IEC 27039)

Ako môže organizácia identifikovať a predchádzať kybernetickým prienikom do svojich sieti, systémov a aplikácií ? Najlepšia prax ukazuje, že musí byť schopná zistiť kedy, či a ako sa prienik do jej siete, systému alebo aplikácie vyskytol. Tak isto by mala byť pripravená identifikovať, ktorá zraniteľnosť bola využitá a ktoré opatrenia by mali byt implementované pre prevenciu podobných prienikov v budúcnosti. Jedna cesta k tomuto je cez systém detekcie a prevencie prienikov IDPS (Intrusion Detection and Prevention Systems).

 

ISO/IEC 27039 ponúka postupy ako pripraviť a nasadiť IDPS systém, pričom pokrýva tak kritické aspekty ako výber, nasadenie a prevádzka týchto systémov. Norma je čiastočne užitočná v dnešnej situácii, kde je na trhu prístupných mnoho komerčných a open-source IDPS produktov a služieb, ktoré sú ale založené na rozdielnych prístupoch a technológiách. Norma ISO/IEC 27039 povedie organizácie v priebehu celého tohto procesu.

 

Audit a certifikácia (ISO/IEC 27006)
Stále viac a viac organizácií využíva certifikačné audity tretou stranou pre preukázanie toho, že ich systém manažérstva informačnej bezpečnosti je funkčný a v súlade s požiadavkami ISO/IEC 27001. ISO/IEC 27006 obsahuje požiadavky, ktoré musia splniť certifikačné orgány, aby mohli byť akreditované pre poskytovanie služieb v oblasti certifikácie ISO/IEC 27001.

 

Ako objasňuje Prof. Humphreys „Norma ISO/IEC 27006 je akreditačným benchmarkom pre certifikačné orgány, ktoré ponúkajú služby v oblasti ISO/IEC 27001. To je dôležité z dôvodu, že akreditácia certifikačných orgánov prináša vyššiu dôveru v správny proces auditu a dôveryhodnosť certifikátu, ktorý vydávajú.

 
 
CIS - Certification & Information Security Services T +421 55 677 0156 office.sk@cis-cert.com Imprint

T&C