logo itpoint.cz

Směrnice OECD pro bezpečnost informačních systémů a sítí

Ministerstvo informatiky je gestorem spolupráce za ČR s Výborem pro informační, počítačovou a komunikační politiku OECD, v jehož rámci působí Pracovní skupina pro informační bezpečnost a ochranu soukromí. Významným výstupem této pracovní skupiny je Směrnice OECD, která stanovuje devět zásad v oblasti bezpečnosti informačních systémů a sítí ...

Ministerstvo informatiky je gestorem spolupráce za ČR s Výborem pro informační, počítačovou a komunikační politiku OECD, v jehož rámci působí Pracovní skupina pro informační bezpečnost a ochranu soukromí. Významným výstupem této pracovní skupiny je Směrnice OECD pro bezpečnost informačních systémů a sítí: směrem ke kultuře bezpečnosti (OECD Guidelines for the Security of Information Systems and Network: Towards a Culture of Security), která stanovuje devět zásad v oblasti bezpečnosti informačních systémů a sítí. Tato směrnice byla přijata jako Doporučení Rady OECD na jejím 1037. zasedání dne 25. července 2002.

Devět zásad v oblasti bezpečnosti informačních systémů a sítí :

Následující zásady se navzájem doplňují a měly by být vykládány jako celek. Týkají se ú častníků na všech úrovních, včetně úrovně koncepční a provozní. Podle této Směrnice se odpovědnost účastníků liší podle jejich role. Všem účastníkům pomůže informovanost, vzdělání, sdílení informací a školení, které může vést k lepšímu pochopení bezpečnosti a přijetí správnější praxe. Snahy prohloubit bezpečnost informačních systémů a sítí by měly být v souladu s hodnotami demokratické spole čnosti, zvláště s potřebou otevřeného a svobodného toku informací a se základními ohledy na ochranu soukromí.

  1. Informovanost
    Účastníci by měli být informováni o potřebě bezpečnosti informa čních systémů a sítí a o tom, co mohou udělat, aby bezpečnost prohloubili. Informovanost o rizicích a dostupných bezpečnostních zajištěních představuje prvoliniovou obranu bezpečnosti informačních systémů a sítí. Informační systémy a sítě mohou ovlivnit jak interní, tak externí rizika. Účastníci by měli chápat, že bezpečnostní selhání mohou závažně poškodit systémy a sítě , které ovládají. Rovněž by si měli být vědomi potenciálního poškození ostatních daného vzájemnou propojitelností a závislostí. Účastníci by měli být informováni o konfiguraci svého systému a dostupných aktualizacích systému, jeho místě v rámci sítí, správné praxi, kterou mohou provádět, aby prohloubili bezpečnost a potřeby dalších účastníků.

  2. Odpovědnost
    Všichni účastníci jsou odpovědní za bezpečnost informačních systémů a sítí. Účastníci jsou závislí na vzájemně propojených lokálních a globálních informačních systémech a sítích a měli by rozumět své odpovědnosti za bezpečnost těchto informačních systémů a sítí. Měli by odpovídat způsobem přiměřeným jejich individuální úloze. Účastníci by měli pravidelně přehodnocovat vlastní politiku, praxi, opatření a postupya zjišťovat, zda jsou, s ohledem na jejich prostředí, přiměřené. Ti, kteří vytvářejí, navrhují a dodávají produkty a služby, by se měli zabývat bezpečností systému a sítě a včas šířit příslušné informace včetně aktualizací, aby uživatelé lépe chápali bezpečnostní funkce produktů a služeb a svou odpovědnost v souvislosti s bezpečností.

  3. Reakce
    Účastníci by měli jednat včas a vzájemně spolupracovat při předcházení bezpečnostním incidentům, jejich odhalování a reagování na ně. S ohledem na vzájemnou propojitelnost informačních systémů a sítí a možnost rychlého a rozsáhlého poškození.

  4. Etika
    Účastníci by měli respektovat legitimní zájmy ostatních. Vzhledem k pronikavosti informačních systémů a sítí do naší společnosti je třeba, aby účastníci uznali, že jejich činnost či nečinnost může poškodit ostatní. Etické chování je proto rozhodující a účastníci by se měli snažit vytvořit a přijmout nejlepší praxi a prosazovat jednání, které uznává bezpečnostní potřeby a respektuje legitimní zájmy ostatních.

  5. Demokracie
    Bezpečnost informač ních systémů a sítí by měla být slučitelná se základními hodnotami demokratické společnosti. Bezpečnost by měla být zavádě na způsobem, který je v souladu s hodnotami uznávanými v demokratických společnostech, včetně svobody výměny myšlenek a idejí, volného toku informací, důvěrnosti informací a komunikace, příslušné ochrany osobních informací, otevřenosti a průhlednosti.

  6. Odhad rizika
    Účastníci by měli provádět odhady rizik. Odhad rizika poukazuje na hrozby a zranitelná místa a měl by být dostatečně široký, aby zahrnul interní i externí faktory, jako je technologie, fyzické a lidské faktory, politiky a služby třetích stran s bezpečnostními implikacemi. Odhad rizika umožní určit přijatelnou úroveň rizika a pomůže při výbě ru vhodných kontrolních mechanismů ke zvládnutí rizika potenciálního poškození informačního systému a sítě s ohledem na povahu a důležitost informací, které mají být chráněny. Vzhledem k rostoucí vzájemné propojitelnosti informačních systémů by odhad rizika měl obnášet zvážení potenciálních škod, které mohou být způsobeny ostatními nebo mohou být způsobeny ostatním.

  7. Navržení a realizace bezpe č nosti
    Účastníci by měli bezpečnost zahrnout mezi základní prvky informačních systémů a sítí. Systémy, sítě a politiky je třeba řádně navrhovat, realizovat a koordinovat, aby bylo možné optimalizovat bezpečnost. Hlavním, ale nikoli výlučným jádrem této činnosti, je navrhovat a přijímat příslušná bezpečnostní zajištění a řešení k vyhnutí se potenciálnímu poškození ze zjištěné hrozby nebo zranitelného místa či omezení takového poškození. Je třeba jak technických, tak netechnických bezpečnostních zajištění a řešení a ta by měla být úměrná hodnotě informací v systémech a sítích organizace. Bezpečnost by měla být základním prvkem všech produktů , služeb, systémů a sítí a integrální součástí řešení a architektury systému. Pro koncové uživatele navrhování a realizace bezpečnosti obnáší převážně výběr a konfiguraci produktů a služeb pro jejich systém.

  8. Řízení bezpečnosti
    Účastníci by měli k řízení bezpečnosti zaujmout komplexní př ístup. Řízení bezpečnosti by mělo být založeno na odhadu rizik a mělo by být dynamické, postihovat všechny úrovně činnosti účastníků a všechny aspekty jejich provozu. Mělo by obsahovat do budoucna namířené reakce na vznikající hrozby a zabývat se prevencí a odhalováním incidentů a reakcí na ně , zotavením systému, průběžnou údržbou, revizí a auditem. Politika, praxe, opatření a postupy v oblasti bezpečnosti informačních systémů a sítí by měly být koordinovány a integrovány, aby utvářely ucelený systém bezpečnosti. Požadavky na ř ízení bezpečnosti závisejí na úrovni zapojení, úloze účastníka, souvisejícím riziku a požadavcích systému.

  9. Přehodnocování
    Účastníci by měli revidovat a přehodnocovat bezpečnost informačních systémů a sítí a provádět příslušné úpravy bezpečnostní politiky, praxe, opatření a postupů. Stále jsou odhalovány nové a proměň ující se hrozby a zranitelná místa. Účastníci by měli průběžně revidovat, přehodnocovat a upravovat veškeré aspekty bezpečnosti, aby se s tě mito vyvíjejícími se riziky vypořádali.

celý dokument je k dispozici na http://www.micr.cz/upload_file/20030422114605_smernice_oecd.pdf

Ministrerstvo informatiky

Článek ze dne 23. dubna 2003 - středa