Otázky v oblasti informačnej bezpečnosti
(Otázka č. 2, október 2015) Aký je súčasný stav technickej normalizácie v Slovenskej republike v oblasti informačnej bezpečnosti (IB)?
Na úvod je predovšetkým potrebné uviesť čo je to vlastne technická norma v zmysle zákonnej definície (zák. č. 264/1999 Z. z. v znení neskorších predpisov): § 5 Technické normy (1) Technická norma obsahuje pravidlá, usmernenia, charakteristiky alebo výsledky činností, ktoré sú zamerané na dosiahnutie ich najvhodnejšieho usporiadania v danej oblasti a pri všeobecnom a opakovanom použití. Technická norma je
a) medzinárodná norma, ktorú prijala medzinárodná organizácia pre normalizáciu a ktorá je verejne prístupná,
b) európska norma, ktorú prijala európska organizácia pre normalizáciu a ktorá je verejne prístupná,
c) slovenská technická norma, ktorá je verejne prístupná,
d) zahraničná norma, ktorú prijala zahraničná národná normalizačná organizácia a ktorá je verejne prístupná.
Platné technické normy v oblasti informačnej bezpečnosti v SR:
1. STN ISO/IEC 27000 (36 9789) Informačné technológie. Bezpečnostné metódy. Systémy riadenia informačnej bezpečnosti. Prehľad a slovník (Dátum vydania: 1. 4. 2014),
2. STN ISO/IEC 27001 (36 9789) Informačné technológie. Bezpečnostné metódy. Systémy riadenia informačnej bezpečnosti. Požiadavky (Dátum vydania: 1. 9. 2014),
3. STN ISO/IEC 27002 (36 9784) Informačné technológie. Bezpečnostné metódy. Pravidlá dobrej praxe riadenia informačnej bezpečnosti (Dátum vydania: 1. 9. 2014),
4. STN ISO/IEC 27005 (36 9789) Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej bezpečnosti (Dátum vydania: 1. 2. 2012).
Zoznam je síce pomerne skromný, žiaľ ale len toľko je možné uviesť k aktuálne platnému stavu technickej normalizácie v SR pre oblať informačnej bezpečnosti (z hľadiska technických noriem pre všeobecne aplikovateľné procesne orientované systémové riadenie IB a jej jednotlivých bezpečnostných domén). Základným odborným poradným orgánom v technickej normalizácii na národnej úrovni sú TK - technické (normalizačné) komisie, ktorých kompletný prehľad nájdete tu. Špecificky oblasť informačnej bezpečnosti zastrešuje technická komisia TK 37 Informačné technológie. Slovenské technické normy je možné zakúpiť prostredníctvom online predajne Úradu pre normalizáciu, metrológiu a skúšobníctvo SR (ÚNMS) na URL: www.sutn.sk alebo osobne navšíviť študovňu úradu (viac informácií tu). Názov domény online predajne nech Vás nepletie, Slovenský ústav technickej normalizácie ako svojho času jediná určená právnická osoba na tvorbu, schvaľovanie a vydávanie slovenských technických noriem bol k 31. 12. 2013 zrušený a v súčasnosti jeho činnosť zastrešuje samotný ÚNMS - odbor technickej normalizácie.
(Otázka č. 1, júl 2011) Aká je súvislosť opatrení elektrotechnickej bezpečnosti prevádzkovaných informačných a komunikačných technológií (zariadení) s bezpečnosťou a ochranou informačných systémov (informačnou bezpečnosťou)?
Z hľadiska informačnej bezpečnosti (definícia napr. podľa čl. 2.5 STN ISO/IEC 27002: informačná bezpečnosť – zachovanie dôvernosti, integrity a dostupnosti informácií, okrem toho iné požiadavky, ktoré môžu byť tiež zahrnuté, ako sú autenticita, sledovateľnosť, nemožnosť poprieť zodpovednosť a spoľahlivosť) jednoznačne vyplývajú aj požiadavky na elektrotechnickú spoľahlivosť a bezpečnosť prevádzkovaných technických zariadení. V ustanoveniach platnej technickej normy STN ISO/IEC 27001 je korelácia oboch uvedených typov bezpečnosti dotknutá predovšetkým v doménach A.9 Fyzická bezpečnosť a bezpečnosť prostredia (napr. A.9.1.4, A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.4), A.13 Riadenie incidentov informačnej bezpečnosti (napr. A.13.2.2), A.14 Riadenie kontinuity činnosti (napr. A.14.1.2, A.14.1.3) a doméne A.15 Súlad (napr. A.15.1.1, A.15.2.1, A.15.2.2). V súvislosti s informačnou bezpečnosťou je okrem základných elektrotechnických noriem (vybrané technické normy sú uvedené aj v mojich odpovediach tu a tu) na zaistenie elementárnej prevádzkovej elektrotechnickej bezpečnosti technických zariadení žiadúce aplikovať aj opatrenia ďalších technických noriem, obzvlášť vhodných pri prevádzke zariadení informačnej a komunikačnej techniky – teda pre organizáciu cenných informačných aktív (sú to napr. opatrenia na ochranu pred rôznymi druhmi interferencie a opatrenia EMC, ochrana proti prepätiu a nadprúdom, osobitné požiadavky na ochranu pred účinkami tepla a požiaru atď.). Uvedené opatrenia je možné vyhľadať v technických normách napr. STN EN 62305-4, STN 33 2000-4-443, STN 33 2000-4-45, STN 33 2000-4-473, STN 33 2000-4-42, 33 2000-4-482 a ďalších. Pre rizikový manažment (analýzu rizík) v základnom (všeobecnom) rámci definovania rizík možno použiť napr. STN ISO 31000. V konkrétnom (elektrotechnickom) rámci sú to najmä normy rady STN EN 62305, STN EN 61643 a STN P CLC/TS 61643.
Aj keď sú potenciálne riziká vyplývajúce „len“ zo samotného narušenia stavu informačnej bezpečnosti v porovnaní s možnými bezprostrednými škodami na majetku (napr. prevádzkované zariadenia vysokej finančnej hodnoty), možným poškodením zdravia a ohrozením života zamestnancov zdanlivo len marginálne, je nevyhnutné vždy zvažovať aj riziká nepriame (sekundárne a terciálne), ktoré z narušenia niektorých atribútov informačnej bezpečnosti (a ďalších súvisiacich informačných aktív) nevyhnutne vyplynú (napr. poškodenie dobrého mena podnikateľského subjektu či strata dôvery zákazníkov, v prípade štátnych inštitúcií napr. až ohrozenie funkčnosti zložiek krízového manažmentu štátu, v prípade verejných inštitúcií napr. zdravotníckych zariadení obmedzenie alebo až znemožnenie poskytovania zdravotníckej starostlivosti atď.).