Jistě, je třeba dodržovat zákony

Když se změní legislativa v oblasti podnikání, mohou být na oddělení IT bezpečnosti kladeny zcela nové požadavky. ...


Když se změní legislativa v oblasti podnikání, mohou být na oddělení IT
bezpečnosti kladeny zcela nové požadavky.
Někdy nejsou trable se zajištěním funkčnosti naší bezpečnostní infrastruktury
tím nejhorším, co nás mohlo potkat. Ještě menší oblibě se u našeho týmu těší
úkoly, které souvisejí s potřebou vyhovět některým zákonným normám, které v
naší zemi nabyly platnosti. I když jsou tyto normy do jisté míry specifické pro
oblast, kde podnikáme, lze předpokládat, že na podobné problémy lze narazit
kdekoli na světě.
Většině odborníků na informační bezpečnost v USA je pravděpodobně znám nejméně
jeden z mnoha nedávno přijatých zákonů, které se alespoň zčásti týkají i
problematiky bezpečnosti informací. Naší firmy se týká zejména zákon označovaný
jako Sarbanes-Oxley Act, který zahrnuje nové požadavky na finanční účetnictví a
výkaznictví firmy.
Nedávno jsem tento zákon pročetl, abych zjistil, co musí oddělení pro
bezpečnost IT udělat pro naplnění jeho požadavků. Jednalo se bezpochyby o
nejnudnější dokument, jaký jsem za posledních pár měsíců musel číst.
Kromě toho, že jsem se nudil, byl jsem také zmaten. Zákon totiž neposkytuje
žádná vodítka týkající se přímo problematiky informační bezpečnosti, která mě
zajímá. Po dalším studiu jsem se rozhodl, že nejdůležitější částí pro mé
oddělení je článek 404, nazvaný "Management Assessment of Internal Controls".
Ten vyžaduje, aby management osvědčil efektivnost struktur interního dohledu a
procedur finančního výkaznictví.
Interní dohled je extrémně širokým pojmem, nicméně pro účely svého oddělení
jsem si ho přeložil tak, že CEO bude od našeho oddělení očekávat zajištění
dostatečných kontrolních mechanismů v oblasti utajení důvěrných informací a
integrity i dostupnosti finančních a dalších kritických informací. V souladu s
tím jsem vytvořil počáteční plán.

Naše infrastruktura
Během několika minulých let jsme vytvořili sérii bezpečnostních politik,
standardů, procedur a směrnic, kterými se ve firmě řídíme. Některé z nich byly
zveřejněny, jiné jsou poskytovány na vyžádání a další jsou pouze umístěny ve
složce na naší síti.
Myslím, že disponujeme dostatečnou infrastrukturou k tomu, abychom byli schopni
naplnit většinu očekávání vedení firmy i auditora. Abych ale všem usnadnil
život, rozhodl jsem se pro standardizaci metodiky vytváření politik a standardů
podle ISO 17799, jak to ostatně dělají i další odborníci pracující v této
oblasti. Prováděcí předpisy pro informační bezpečnost podle normy ISO poskytují
vodítka pro vytváření silné informační bezpečnosti.
Struktura ISO má deset hlavních částí, přičemž každá z nich je dále rozvedena
do několika odstavců. Nejprve jsem tedy sestavil obsah a zajistil použití názvů
v souladu s ISO 17999, do nichž bude možné implementovat každou politiku,
standard či směrnici, kterou jsme během uplynulých let vytvořili. Většina
dokumentace je ve formátu Microsoft Word nebo Adobe Acrobat. Nakonec bych chtěl
všechny dokumenty převést do HTML a vytvořit sadu dokumentů se vzájemnými
odkazy, kterou by mohli uživatelé využít pro rychlé navedení od příslušné
politiky k odpovídajícímu standardu, směrnici a procedurám.

Problém s kontrolou
Ale ani dobře zorganizovaný dokument nezajistí dodržení příslušných firemních
standardů. Zákon vyžaduje, aby zprávy auditora obsahovaly také popis testování
interních kontrolních mechanismů a zdokumentování systému interní kontroly. A
to je problém.
V oddělení pro informační bezpečnost jsme mívali auditora, avšak po jeho
odchodu nikdo nenašel náhradu. Nebyli jsme schopni získat uchazeče s
odpovídající kvalifikací. Poté bylo jeho místo zrušeno a tuto práci nikdo
nevykonával. Máme vlastní auditorské oddělení, ale to má na starosti zejména
finanční otázky, nikoliv bezpečnost IT.
Z mého hlediska je pro naplnění požadavků zákona důležité, abychom byli schopni
zajistit dodržování vytvořených politik a standardů ve všech odděleních naší
firmy. To rovněž znamená přezkoumat stávající standardy a zjistit, zda jsou
aktualizovány.
Tento proces jsme zahájili naplánováním porad s každým oddělením za účelem
posouzení dokumentace a zajištění její aktuálnosti a dodržování. Také jsme
prozkoumali dokončenou práci dřívějšího auditora pro bezpečnost IT. Během
uvedeného procesu jsme objevili databázi v Accessu, do níž lze zapisovat
auditované položky a sledovat jejich dodržování a problematické oblasti.
Naštěstí byl termín pro splnění požadavků výše uvedeného zákona prodloužen,
takže bychom měli mít k dispozici dostatek času, abychom jeho požadavky na
audit splnili.

Cíle pro tento rok
Ačkoliv nám práce ohledně splnění výše zmíněných zákonných podmínek zabere v
příštích několika měsících většinu času, mám také několik další iniciativ s
vysokou prioritou, jimž by se moje oddělení mělo letos věnovat.
První z nich je systém pro správu identity, zahrnující technologii
infrastruktury veřejného klíče (PKI, Public Key Infrastructure). Úkolem bude
zjistit veškeré aplikace, jichž se systém pro správu identity dotkne, a
zajistit správné rozhodnutí o dodavateli PKI systému. Budeme se také muset
rozhodnout, zda bychom měli vytvořit vlastní certifikační autoritu, nebo tuto
záležitost outsourcovat.
Bude rovněž třeba se poprat s problémem nedostatečné kompatibility PKI a
dalších souvisejících produktů od různých dodavatelů. Je naprosto nutné, aby
zvolený systém byl kompatibilní se všemi aplikacemi a operačními systémy, které
využíváme. V následujících týdnech nás tedy čeká shromažďování množství
podkladů, které by nám měly rozhodování usnadnit.
Jakmile výše uvedený úkol splníme, zaměříme se na výběr nového nástroje pro
korelaci událostí v síti. Stávající produkt nefunguje podle našich očekávání,
takže se poohlédneme po lepším řešení u konkurence. Navíc chceme instalovat
systém pro vzdálené skenování zranitelných míst naší infrastruktury.
A nakonec bychom rádi začali s instalací nástroje pro konfiguraci a správu
oprav, který by měl vyřešit nekonzistence v našem IT prostředí. Chceme
zajistit, aby jak naše kritické servery, tak jednotlivé pracovní stanice měly
aktualizované konfigurace v každém prostředí, kde je používáme.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.