Fyzická bezpečnost a ochrana IT

Pokud firma sídlí v administrativní budově v centru Prahy Na Příkopech, a je doporučeno obehnat sídlo plotem, musí se zvážit, zda být raději na tomto reprezentativním místě bez plotu, nebo se přestěhovat jinam.


Téma propojení fyzické a IT bezpečnosti by bylo možné pojmout tak, že na kontrolu a řízení fyzické bezpečnosti, respektive na jednotlivé její části, jsou k dispozici prostředky, které řešení podporují.

Příkladem by mohly být systémy BMS (Building Management System) kompletně hlídající, řídící a monitorující vše, co se v budově dá – a ovládající třeba topení, klimatizaci a sklápějící žaluzie v závislosti na tom, jak svítí slunce --, nebo systémy podporující vydávání elektronických karet, pomocí kterých jsou ovládány zámky do místností apod.

Tento příspěvek je však zaměřen na bezpečnost řešenou komplexně a s cílem zajistit to, aby všechny aspekty bezpečnosti byly přibližně na stejné úrovni a pokud někde nejsou, aby to bylo při rozhodování bráno v úvahu.

V konečném důsledku totiž bude k ničemu heslo na dvě stě padesát šest znaků, nebo elektronické karty zaměstnanců s nahranými certifikáty a při přihlašování do počítače kontrolovaným CRL, nebude-li věnována odpovídající pozornost bezpečnosti fyzické nebo personální, a to po celou dobu trvání pracovního poměru zaměstnanců.

 

Oblasti zájmu

Jaké problémové oblasti do fyzické bezpečnosti patří? Pokud se vyjde z normy ČSN ISO/IEC 27001, jsou to zaprvé zabezpečené oblasti, tedy v podstatě fyzická bezpečnost sídla, budovy a místnosti včetně oken a vstupních dveří, dále elektronické zabezpečovací a požární systémy. Je to ale i fyzické oddělení zařízení na zpracování informací od zařízení vlastněných někým jiným, dále kontrola vstupu do těchto zabezpečených oblastí nebo ochrana před vlivy požárů, povodní a výbuchů (tedy před katastrofami přírodními i těmi způsobenými lidskou činností). V neposlední řadě je to také řízení v prostorách, kam se mohou dostat neoprávněné osoby, nebo materiál (zásilky) od nich.

Zadruhé se jedná o záležitosti týkající se zařízení na zpracování informací, jejich správné umístění, dodávky potřebných služeb (jako jsou elektřina a plyn), dále o silové i telekomunikační rozvody, údržbu a bezpečnost mimo organizaci, když je zařízení na opravě, nebo když mají zaměstnanci notebooky a počítače doma. Důležitá je rovněž bezpečná likvidace informací ve všech formách, tedy dokumentů nebo paměťových médií, ale i postupy popisující odprodej nebo likvidaci zastaralých osobních počítačů nebo jejich přemisťování, tedy tvorba předávacích protokolů, inventur a povolení pro odvoz přes recepci či vrátnici.

 

Všeho s mírou

Naplnění jednotlivých okruhů samozřejmě závisí na tom, co je třeba chránit. Vybrána by měla být bezpečnostní opatření dostatečně přísná, avšak nikoliv zase přemrštěná. V případě jednoho osobního počítače, nepřipojeného do internetu a udržujícího údaje o opravách obuvi v dílně, bude naprosto dostatečné, když je místnost možné zamykat a na okně, protože dílna je v přízemí, je mříž. Protože by ale bylo pro takového řemeslníka horší přijít o vrtačku a další nářadí, které v dílně také je, bezpečnostní zámek a mříž si tento člověk nainstaluje nezávisle na tom, že tam zároveň provozuje i zmíněné PC.

Pokud je v oblasti IT používáno podstatně více technologií a prvků, měla by se provést takzvaná analýza rizik, jejímž prostřednictvím firma získá kompletní množinu opatření, jež budou IT systémy dostatečně chránit.

Existují dvě možnosti takového rozboru:. První je sehnat jednoho či více zkušených analytiků bezpečnosti IT, kteří zpracují posudek na základě svých znalostí a zkušeností. Budou postupovat buď podle nějaké metodiky, nebo mohou použít nějaký katalog bezpečnostních opatření, třeba NIST 800-53, ze kterého vyberou, co udělat.

Druhou možností je nalézt nějaký subjekt, který provádí analýzu rizik s následným výběrem protiopatření pomocí automatizovaného prostředku. Časová náročnost by měla být podobná jako v předchozím případě, protože v obou případech se musejí hodnotit věrohodné informace a ty se nezískají jinak, než konkrétními dotazy, což je časově nejnáročnější část posudku. Pokud někdo nabízí, že vše i s výběrem opatření udělá „do tří dnů“, není to reálné.

Analytik by se neměl nechat automatizovaným prostředkem ovládnout, ale používat ho s rozmyslem a určitým nadhledem. Je tedy důležité vybrat si, kdo analýzu bude dělat. Množství akademických titulů a získaných certifikátů (jako CISA nebo CISSP) ve spojení s nízkým věkem nezaručuje dostatečné zkušenosti, které člověk získá praxí ve společnostech, kde se výpočetní technika masově používá. Takové informace lze zjistit z předložených referencí a nejlepší způsob je osobním dotazem u odpovědné osoby - jak vše probíhalo a kdo konkrétně analytikem byl. Napsat referenci na práci, kterou sice firma dělala, ale provedl ji úplně někdo jiný, by mohlo být lákavé.

Když je vybráno kdo a jak analýzu udělá, nezbývá než začít. O analyticích je zjištěno, co zjištěno být mohlo a automatizovaný prostředek zajistí, že analýza, respektive konečná množina opatření, bude kompletní, na nic se nezapomene a že bude přiměřeně odpovídat tomu, co je potřeba chránit. Samozřejmě je s výslednou množinou bezpečnostních opatření nutno dále pracovat. Automat je jen automat a je třeba posoudit, jestli se to které opatření analyzovaného systému vůbec týká. Pokud firma sídlí v administrativní budově v centru Prahy Na Příkopech, a je doporučeno obehnat sídlo plotem, musí se zvážit, zda být raději na tomto reprezentativním místě bez plotu, nebo se přestěhovat jinam. Některá doporučovaná opatření lze jen odškrtnout, protože i bez analýzy rizik je jasné, že snadno přístupná okna v přízemí mají být osazena mřížemi a dveře zámky. A nějaká skupina opatření, většinou malá, zbude.

Ten zbytek je nutné pečlivě posoudit, to se už přechází od požadavků na bezpečnost k jejímu konkrétnímu řešení, protože realizace, a zvlášť opatření fyzické bezpečnosti, bude určitě něco stát. Požadovaná opatření se rozdělí podle jejich účinnosti na straně jedné a podle ceny na straně druhé. Z toho vyjde, že některá opatření by byla tak drahá, že ani nemá smysl je realizovat. Akceptuje se tím, že určené riziko není pokryto úplně a tak zvané zbytkové riziko bude nenulové. Lze ho i nějak kvantifikovat, dobře použitý tabulkový editor dokáže zázraky. Co zbylo je už plně určeno k realizaci a první co udělat, je předložit tento soupis jako návrh vedení firmy či společnosti - bude to stát peníze a čas specialistů, kteří se na realizaci budou podílet. Pouhý "seznam opatření k realizaci" by určitě vedení nestačil, protože jej bude v první řadě zajímat, kolik co bude stát a kolik času tomu kdo bude muset věnovat. Připraví se tedy raději něco jako "plán realizace", podrobný popis co, kdo, kdy a za kolik by měl udělat a ten se předloží ke schválení. Jakmile je schválen, je možné zahájit podle něj činnost. Paralelně s implementací opatření jako její integrální součást probíhá také zpracování a dokumentování podpůrných procedur a vydání příslušných směrnic - pokud se např. instaluje elektronický docházkový systém, musí být vydána směrnice, jak ho používat a třeba jak se chovat, když vypadne proud a vyčerpá se i záložní baterie.

Po splnění "plánu realizace" je v podstatě vše hotovo. V podstatě proto, že je třeba kontrolovat dodržování vydaných směrnic. Pokud byly nainstalovány protipožární dveře za několik desítek tisíc, jsou k ničemu, pokud je nikdo nezavírá. Řešení bezpečnosti musí být také řádně dokumentované. Na tom se samozřejmě pracovalo průběžně, ale neuškodí úplnost dokumentace ještě jednou zkontrolovat, aby se za dva roky zoufale nepátralo v paměti a nehledalo v počítači, jak to tenkrát bylo. V neposlední řadě je namístě úvaha, zda celému řešení bezpečnosti nedat komplexní a systematickou formu s využitím osvědčených standardů a postupovat od analýzy rizik, výběru bezpečnostních opatření přes bezpečnostní projekt až k bezpečnostnímu systému, který vznikne jeho zavedením. A pokud již bezpečnostní systém existuje, zvážit jeho formalizaci podle určitých pravidel řízení informační bezpečnosti a integrovat ho do již případně existujícího systému řízení bezpečnosti nebo kvality.

Pokud je podnikání společnosti silně závislé na IT, měla by být bezpečnost IT řešena, protože nejcennější v této oblasti jsou, hned po lidech, data. Počítač lze koupit, ale ztracená data se budou hodně těžko dohledávat. Bezpečnost IT není jen délka hesla a zálohovací robot, ale nedílnými součástmi jsou bezpečnost fyzická a personální. Pokud je podnikání na IT opravdu silně závislé, měla by být bezpečnost IT řešena komplexně a systémově, určitě zahájena analýzou rizik, mělo by být zváženo zavedení systému řízení informační bezpečnosti a jeho integrace do systému řízení bezpečnosti a kvality.

 

Autoři pracují jako konzultanti bezpečnosti IS ve společnosti První certifikační autorita. 

Plná verze tohoto článku vyšla v tištěném SecurityWorldu 2/2010.











Komentáře