Řízení bezpečnosti firemních informací

Bezpečnost firemních informací je stále častějším tématem odborných článků i diskusí na různých specializovan


Bezpečnost firemních informací je stále častějším tématem odborných článků i
diskusí na různých specializovaných konferencích. Dnes se na tento problém
pokusíme podívat tak nějak z větší výšky abstrahujeme od konkrétních pojmů,
jako jsou firewally, antivirové programy, přístupová hesla či šifrování, a
podíváme se na bezpečnost informací jako na proces, který může být úspěšný
pouze tehdy, pokud je integrální součástí vrcholové podnikové strategie.
Jako takový může být analyzován, řízen a posléze i certifikován. Absolvování
auditu provedeného nezávislou firmou potom stvrdí nejen úspěch samotné firmy v
řešení tohoto problému, ale je i vizitkou směrem k jejímu okolí: konkurenci,
partnerům a hlavně zákazníkům.
V první řadě je třeba se zamyslet nad tím, co všechno si můžeme představit pod
pojmem bezpečnost informací. Informace jsou stejně důležitým aktivem firmy jako
jakýkoliv hmotný majetek, a popravdě řečeno, často mívají hodnotu ještě
podstatně vyšší. Každá firma vlastní, ukládá a analyzuje plno informací
týkajících se jejího vlastního majetku a hospodaření, získává, ukládá a
zpracovává data svých klientů, získává, ukládá a analyzuje informace
charakterizující situaci na trhu a postavení konkurence. Všechna tato data je
třeba chránit jednak před přímým útokem (neautorizovaní uživatelé, viry,
hackeři, špionáž) a jednak před nedbalostí vlastních zaměstnanců. To vše za
situace, kdy se množství privátních sítí napojuje na síť nejveřejnější, a tedy
i nejnebezpečnější na internet. S rozvojem elektronického obchodování (B2B i
B2C) se také kříží dva rozdílné požadavky: jednak by mělo být přístupné velké
množství informací zároveň s možností uskutečňovat stále složitější transakce a
jednak by všechny informace měly být adekvátně chráněné. Navíc by tato ochrana
neměla obtěžovat uživatele víc, než je nezbytné, jelikož jinak je velká šance,
že pohodlnost zvítězí, a buď budou pravidla obcházena, nebo bude spousta
informací takříkajíc ležet ladem.
Pokud se tento problém svěří informatikům což se stává velmi často bývá
většinou řešen (v tom lepším případě) právě na té úrovni, na jaké je zadán:
používané informační systémy jsou sledovány z hlediska přístupových práv,
pozornost je věnována pravidelné archivaci a péči o uložená data, jsou
instalovány a aktualizovány antivirové systémy a správci firemní sítě se snaží
omezit na minimum rizika plynoucí z napojení počítačů lokální sítě na internet.
To však zdaleka není vše. Je třeba si uvědomit, že informace nejsou pouze data
uložená v informačních systémech firmy. Ty nejcennější se často nacházejí právě
mimo ně v hlavách zaměstnanců a manažerů. Opravdu úspěšný systém ochrany
informací musí počítat i s nimi!

Poklad v hlavě
O tom, co vlastně všechno zaměstnanec o firmě ví, se většinou vedení začne
zajímat až v okamžiku, kdy pracovník podnik opouští. Pokud ještě navíc odchází
ke konkurenci nebo po sporu s vedením, nastává problém. Ten má několik aspektů,
které se dají rozdělit zhruba do tří základních kategorií: lznalost
přístupových hesel a bezpečnostních kódů
- výlučné znalosti
- důvěrné informace o firmě
Ta první je v podstatě technického rázu, a proto je ve svém důsledku nejlépe
řešitelná. Znamená to informovat včas správce sítě, který by měl vědět, kam
všude měl odcházející zaměstnanec přístup. Měl by tedy být schopen dotčené
systémy řádně a včas ošetřit. Další kategorií jsou výlučné znalosti tedy
firemní know--how. Pokud ve společnosti nefungují alespoň základní principy
knowledge managementu, je riziko poškození zájmů firmy potenciálně velmi
vysoké. Někdy jde jenom o dočasné nepříjemnosti, jako např. hledání spisů či
souborů, které spravoval propuštěný pracovník, ale jindy to mohou být podstatně
zásadnější informace, týkající se přímo chodu firmy. Sem patří např. kontakty
na konkrétní osoby u zákazníků a v partnerských společnostech nebo dokonce
procesní záležitosti, jakými může být způsob vyřizování nestandardních
objednávek či (radši nepomyslet!) specifické výrobní postupy. Někteří
pracovníci si takto vědomě budují vlastní pozici, takže v nejhorším případě
mohou být prostě nepropustitelní. Ve svých důsledcích je tomuto velmi podobná i
třetí kategorie důvěrné informace o firmě. To se týká především manažerů, čím
vyšší je jejich pozice, tím je riziko ztráty podstatných (a důvěrných)
informací vyšší. V tomto případě je možnost ochrany jediná smluvní závazek
pojištěný příslušnými sankcemi. Není to nic nového, jenom se na to musí myslet
předem a ve všech případech! To se však podaří jen málokdy, pokud není
bezpečnost informací pojímána jako komplexní řízený proces s pevnými pravidly.

Jak stanovit pravidla
Vybudovat opravdu komplexní systém ochrany informací není ani jednoduchá, ani
krátkodobá záležitost. Jednodušší to mají společnosti, které mají své procesy
již sladěné s modelem řízení podle normy ISO 9001:2000. Vhodnou analýzou
známých procesů se totiž dají snáze identifikovat rizika, a tedy i vytvořit
systém, který je má za úkol eliminovat, resp. řídit jejich dopad. Pokud to
firma opravdu myslí vážně, bývá pro ni nejvhodnější si pro tento úkol najmout
pomoc zvenčí. Má to několik výhod: jednak pracovníci expertních firem obvykle
vědí, co hledají, a znají většinu rizikových scénářů, a jednak hledí na firmu
očima "zvenčí", jsou tedy schopni vidět to, co vlastní pracovníci často ani
nevnímají.
V případě velkých společností hospodařících s citlivými daty klientů nebo tam,
kde je třeba výrazněji podpořit důvěru klientů v ochranu dat (B2B a B2C
obchodování), je v tomto případě namístě uvažovat o zcela systémovém přístupu
neboli o systému pro řízení informační bezpečnosti (ISMS Information Security
Management System).

Co je to ISMS?
O systému řízení informační bezpečnosti se hovoří především v souvislosti se
standardem, a tedy i následující certifikací. Proč? Standard a z něho
vycházející norma znamená, že je vytvořen jakýsi základní postup, který
odpovídá nejlepším zkušenostem (best practice) v dané oblasti. Pokud se firma
pokusí sladit své procesy s uznávaným standardem, měla by být postižena většina
hrozeb (neodvážím se říci, že všechny), které mohou v organizaci vést k
neoprávněnému přístupu a manipulaci s informacemi. Další důležitou výhodou
tohoto přístupu je možnost veřejně demonstrovat svoji připravenost a schopnost
ochránit citlivé informace, což znamená nepopiratelnou konkurenční výhodu.
Norma, která se na tuto oblast vztahuje, má označení BS 7799 a zahrnuje v sobě
právě celý koncept ISMS. Audit nezávislé certifikační společnosti ověří
spolehlivost zavedeného systému, a mezinárodně platný certifikát potom tuto
skutečnost nezpochybnitelným způsobem prezentuje směrem k okolí firmy.

Kdo potřebuje ISMS
V první řadě je třeba si uvědomit, že systém řízení informační bezpečnosti
(ISMS standard) se nezaměřuje na specifický sektor průmyslu a může být použit
ve všech druzích společností. Je zřejmé, že nutnost ochrany informací se velmi
liší v závislosti na velikosti a zaměření firmy. Řekněme si tedy, pro koho může
být standard a následující certifikace zajímavá. Hlavními kandidáty jsou
společnosti, které pracují s důvěrnými daty velkého množství klientů,
následovat budou firmy zainteresované v elektronickém podnikání a dále
instituce, které poskytují přístup k informacím široké veřejnosti. Další
zainteresovanou skupinu firem by bylo možné nazvat "intenzivní uživatelé
informačních a telekomunikačních technologií". Je to logické uhlídat složité
systémy operující prostřednictvím intraa extranetů na různě velkých územích dá
spoustu práce a cesty, kterými může dojít k nežádoucím únikům informací, jsou
velmi rozmanité. Když si to dáme dohromady, tak zjistíme, že prvními aspiranty
jsou především různé finanční společnosti, orgány státní správy,
telekomunikační firmy, internetoví provideři a s nimi postupně i další utility,
velcí obchodníci využívající elektronické obchodování, provozovatelé B2B tržišť
a aukčních sítí, či firmy zapojené v dodavatelském řetězci se vzájemně
propojenými informačními systémy. Nesmíme zapomenout ani na zdravotnictví velká
nemocnice je doslova zlatým dolem dobře zpeněžitelných informací, které obvykle
nebývají příliš důsledně chráněny. Ostatně jako společného jmenovatele všech,
kdo podobný systém potřebují, můžeme označit závislost na důvěře veřejnosti.

Proč zrovna norma?
Norma jako slovo nemá v naší zemi vůbec dobrý zvuk. Buď se vtírá představa
budovatelských norem, tedy vlastně kvantifikace pracovního úkolu používaná
převážně ve výrobě, nebo si představíme štos papírů obsahující desítky nic
neříkajících formálních nařízení. Mnoho firem v posledních letech bylo nuceno
buď kvůli konkurenci nebo přístupu ke státním zakázkám sladit své procesy s
normou ISO 9001:2000 a následně projít auditem, aby obdržely certifikát.
Výsledky tohoto snažení však bývají rozporuplné, a to jak kvůli přístupu
certifikovaných společností, tak i samotných auditorů. Byrokratický přístup
mění certifikát na nutný papír, který však nemá na provoz podniku valný vliv.
Za takových okolností bývá zbytečné někoho přesvědčovat o nutnosti ISMS.
Pokud je však norma pochopena jako užitečný návod, s jehož pomocí je možné
nastavit firemní procesy tak, aby byla minimalizována rizika a z nich
vyplývající škody, jde o něco principiálně odlišného. Cílem normy by správně
mělo být vytvoření jakéhosi algoritmu, který podchytí běžně se opakující
činnosti, minimalizuje výskyt chyb vyplývajících z nedbalosti a omylů, nabídne
způsoby řešení mimořádných situací a záměrně minimalizuje možnost zneužití
systému (i s jeho daty). V případě havárie velkého rozsahu by měl poskytnout
způsob, jak celý systém co nejrychleji a nejúplněji obnovit.

Základní pojmy
Základními pojmy, se kterými operuje norma BS 7799, jsou důvěrnost, integrita a
dostupnost. Pod pojmem důvěrnost si můžeme představit systém nastavený tak, že
zajišťuje přístup k relevantní informaci pouze autorizovanému uživateli. Pokud
jde o integritu, tak tu můžeme chápat jako ochranu proti neoprávněným změnám a
poškození informací, což zároveň obsahuje i ochranu jejich přesnosti a
kompletnosti. Význam pojmu dostupnost je zřejmý informace musí být přístupna
vždy a ve správném kontextu, když je požadována oprávněnou osobou. Norma BS
7799 byla poprvé publikována jako Code of Information security v roce 1993,
jako BS 7799 byla představena v roce 1995. Následovalo několik specifikací a
revizí (1998-99), aby nakonec byla v říjnu 2000 publikována jako ISO/IEC
17799-1. Auditoři s touto specializací se mohli začít registrovat v IRCA
(Internetional Register of Certifications Auditors) již během roku 1999. Výhody
certifikace
Přestože mnohé již vyplynulo z předchozích odstavců, nebude od věci si shrnout,
jaké výhody vlastně zavedení ISMS představuje. V první řadě jsou díky ochraně
informací před nejrůznějšími hrozbami minimalizovány obchodní ztráty a je
zajišťována kontinuita podnikání firmy. Dále shoda s normou pro informační
bezpečnost demonstruje spolupracujícím organizacím a zákazníkům péči, kterou
firma řešení tohoto problému věnuje, což podporuje důvěru při vzájemné
spolupráci. Zavedení systému řízení informační bezpečnosti umožňuje srovnání
(benchmarking) systémů řízení bezpečnosti informací ve firmě se všeobecně
uznávaným standardem postaveným na best practice. ISMS zvyšuje konkurenční
výhodu organizace vytvářením externí a interní atmosféry důvěry.

Systémové požadavky
Proces budování ISMS zahrnuje šest základních systémových požadavků. Patří mezi
ně: definice bezpečnostní politiky, určení rozsahu ISMS, resp. identifikace
entity, na kterou je systém aplikován (tzv. Scope Statement), analýza rizik,
řízení rizik, výběr indikátorů a vyjádření aplikovatelnosti.
- Politika informační bezpečnosti: demonstruje závazek výkonného managementu k
existenci ISMS a definuje přístup k jeho budování. Měla by obsahovat shrnutí
bezpečnostních zásad, principů a norem, stejně jako stanovení odpovědnosti za
jednotlivé oblasti řízení bezpečnosti informací. Jedním z hlavních úkolů
bezpečnostní politiky je poskytnout pravomoci delegovanému personálu pro
implementaci ISMS.
- Scope Statement: identifikuje entitu, na kterou se aplikuje ISMS, to znamená,
že se určí, které informace a do jaké míry je třeba chránit. Smyslem je
definování stupně bezpečnosti relevantní oboru podnikání a požadavkům trhu.
Výstupem je seznam informačních aktiv.
- Analýza rizik: každá třída aktiv má být identifikována společně se svou
hodnotou, hrozbami a citlivostí vůči uvedeným hrozbám. Každá hrozba (riziko) je
hodnocena pravděpodobností jejího vzniku a důsledkem, který má pro firmu.
Stanovují se nejen rizika, ohrožující samotné informace, ale i rizika týkající
se zařízení, která rizika zpracovávají.
- Řízení rizik: znamená proces rozpoznání, kontroly, cenově přijatelné
minimalizace nebo odstranění bezpečnostních rizik, které mohou mít vliv na
informační systémy. Patří sem mj. popis pracovních funkcí, výcvikové požadavky,
pracovní diagramy, procedury, soubory a různé formuláře.
- Výběr indikátorů: zde jde o výběr bezpečnostních cílů a opatření, které budou
organizací implementovány. Vedle bezpečnostní politiky a organizace bezpečnosti
sem patří především klasifikace a kontrola aktiv, personální bezpečnost,
fyzická bezpečnost (zajištění před vloupáním, požárem apod.), správa komunikací
a řízení výroby, vývoj a údržba systémů a také soulad s požadavky normy.
Výsledkem jsou kontrolní seznamy, instrukce a opatření.
- Vyjádření aplikovatelnosti: úkolem tohoto kroku je sepsat všechna opatření
plynoucí z BS 7799 a identifikovat ta, které jsou smysluplná a aplikovatelná
jako výsledek rizikové analýzy. Výsledkem je dokument obsahující popis
zvolených opatření včetně zdůvodnění jejich výběru. Musí být vysledovatelný
logický vztah mezi analýzou rizik a vyjádřením aplikovatelnosti.
Poté, co firma projde všemi těmito stadii, následuje vlastní implementace
definovaných opatření. Po ní přijde opět kontrola a případně zajištění shody
provedených opatření s bezpečnostní politikou a pochopitelně samotnou normou.
Vše musí být náležitě dokumentováno. Tím však celá práce nekončí. Aby byl
systém opravdu pružný a dokázal se přizpůsobovat průběžně se měnícím podmínkám,
je třeba ho pravidelně monitorovat, přezkoumávat a případně i měnit. Tím se
uzavře známé kolečko obsahující plán činnosti, jeho provedení, kontrolu a
posléze jeho úpravu.

Co zajímá auditora
Základním úkolem auditora je posoudit míru shody mezi implementovaným systémem
a normou. V rámci této činnosti ho zajímá množství věcí, které je obvykle
uvozeno otázkou: Jsou k dispozici záznamy? Jako první prověří (výše zmíněné)
systémové požadavky, bude ho zajímat, jak probíhá školení uživatelů, jak účinné
je řízení antivirové kontroly, ochrana důležitých dokumentů a vůbec ochrana
dat. Bude chtít vidět zprávy z incidentů a vědět, jak se k celému procesu staví
vedení firmy. Ověří si shodu s autorskými právy, se zákonnými požadavky, s
bezpečnostní politikou a technickou shodu.
Aktivním přínosem auditu by mělo být odborné ověření, zda a jak jsou zavedená
regulace a její cíle přizpůsobeny dotyčné firmě.

Co auditor musí a může
Především musí posoudit míru shody systému s normou a v případě důkazu neshody
ji pojmenovat a vyžadovat nápravu. Přitom je povinen postupovat podle BS
c:cure, naplánovat audit a dodržet jeho časový rozvrh. Musí se zaměstnanci a
vedením firmy komunikovat a argumentovat. V rámci svých povinností se auditor
může ptát na věci související s předmětem auditu, a to jakéhokoliv zaměstnance
společnosti, nahlížet do relevantní dokumentace, pojmenovat neshodu nebo
pozorování, a tedy i navštívit části podniku, které se vztahují k předmětu
auditu.

Co od auditora chtít
Přestože auditor přichází kontrolovat a hodnotit, zákazník má právo z jeho
strany na profesionalitu, slušnost, spolupráci, pochopení, dodržení pravidel a
stanového časového harmonogramu. Zároveň by měl vyžadovat (a od lepších
certifikačních firem opravdu i dostat) tzv. přidanou hodnotu auditu. To znamená
využít toho, že má ve firmě odborníka, který vidí cizíma očima to, v čem jsou
zaměstnanci ponoření často až nad hlavu. Je třeba si uvědomit (na obou
stranách!), že neshoda není ostuda, ale odhalený potenciální malér, který je
tak možné včas zprovodit ze světa.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.