Bezpečnostní audit

Je třeba ověřovat, zda bezpečnostní politika odpovídá skutečné situaci. V minulých vydáních této rubriky jsme se...


Je třeba ověřovat, zda bezpečnostní politika odpovídá skutečné situaci.

V minulých vydáních této rubriky jsme se zaměřili na bezpečnostní analýzy a na
bezpečnostní politiky, tentokrát se podíváme na prvek, který obě tato témata
zastřešuje. Totiž na bezpečnostní audit.
Hlavním úkolem bezpečnostního auditu je porovnání situace požadované v
bezpečnostní politice (která by měla být postavena na informacích z rizikové
analýzy) se situací skutečnou. Jen tak lze zjistit, kde dochází k plnění
požadavků a kde naopak k jejich neplnění a proč. Důvodem neplnění totiž nemusí
nutně být pouze nedbalost, nedisciplinovanost apod., ale také třeba skutečnost,
že při navrhování bezpečnostní politiky nebyly vzaty v potaz veškeré
skutečnosti a zavádění některých požadavků do praxe je obtížné, ne-li přímo
nemožné.
Uvedený cíl je cílem hlavním, nikoliv však jediným. Cíle bezpečnostního auditu
lze definovat takto:
lPoskytnout informace o tom, zda je dosaženo požadovaných kritérií v oblasti IT
bezpečnosti.
lOdhalit nedostatky v informačním systému nebo v bezpečnostní politice.
lExistují-li nedostatky v informačním systému nebo v bezpečnostní politice,
navrhnout možnost nápravy.

Úkoly
Bezpečnostní audit ale není jen o pouhé kontrole a nalezení přehlédnutých/
přehlížených nedostatků a jejich odstranění. Úkol bezpečnostního auditu je
mnohem širší, protože s jeho pomocí musí být kromě jiného také zajištěna
aktualizace požadavků na bezpečnost IT. Není totiž možné stále donekonečna
pracovat s původním zadáním, je potřeba reflektovat nejaktuálnější vývoj v
oblasti IT technologií, především pak v oblasti bezpečnosti. Jak už jsme
opakovaně uvedli v minulých dílech našeho seriálu, bezpečnost IT není
záležitostí statickou, ale dynamickou (někdy velmi).
Kromě sledování celkové situace navíc musí být průběžně posuzována každá změna
či zásah do informačního systému. Musí být posouzen a ošetření jejich vliv na
oblast zabezpečení a ochrany přitom musí být posouzen jednak samotný zásah a
jednak jeho dopad na již fungující systémy a mechanismy.
Cílem auditu je dále zajistit, aby aktuální (tedy imunní vůči novým hrozbám)
byl nejen informační systém, ale také dokumentace (především bezpečnostní
politika), a aby byla doporučená opatření uvedena do praxe. Opatření přitom
dělíme na dočasná a trvalá. Dočasná implementujeme v okamžiku, kdy odhalíme
nějakou hrozbu a potřebujeme rychle zareagovat, aby se z ní nestalo riziko. Tím
získáme čas, abychom našli způsob (a uvedli ho do praxe), jak se před touto
hrozbou chránit trvale.
Bezpečnostní audit se skládá z několika základních částí, které by nikdy neměly
být opomenuty. Jednak je to kontrola bezpečnostní politiky. Jednak je to
technický audit, což představuje kontrolu hardwaru, softwaru a jejich
konfigurace. Jednak je to audit procesů a postupů (zdali jsou bezpečně
nastaveny a zdali jsou dodržovány). A v neposlední řadě je to audit zálohovací
politiky ač se incidentům snažíme předcházet, čas od času se stejně vyskytnou
(nejčastěji jde o hardwarová selhání).

Průběh auditu
Bezpečnostní audit probíhá ve dvou rovinách. Jednak je to audit provádění toho,
co prováděno být má na základě rizikové analýzy a bezpečnostní politiky. A
jednak je to audit toho, co je stanoveno k provádění. Jinými slovy, jestli jsou
v pořádku požadavky, z nichž se následně vychází.
Vlastní bezpečnostní audit přitom není samoúčelný, ale s jeho pomocí získané
informace jsou důležitým podkladem v prvé řadě pro management instituce. Na
jejich základě lze totiž stanovit, zda je do informační bezpečnosti investováno
rozumně (není problém investovat značné částky bez jakéhokoliv hmatatelného
efektu a stejně tak není problém bezpečnost podinvestovat, kdy sice finance a
další zdroje jsou vynakládány účelně, leč kýženého ochranného efektu není
dosaženo).
Výstupy bezpečnostního auditu jsou důležité také pro uživatele, kteří díky němu
získávají jistotu, že je přemíra bezpečnostních prvků nebude obtěžovat nebo
brzdit v práci. A navíc si mohou být jisti, že při dodržení všech stanovených
postupů je nikdo nebude vinit z případného bezpečnostního incidentu.
A konečně i pro administrátory a správce sítí má bezpečnostní audit svůj
význam. Díky němu se totiž mají o co opřít zjistí, co dělají dobře, kde jsou
naopak určité rezervy apod. Nicméně administrátoři a správci často právě
auditory často kritizují, protože je považují za vetřelce ve svém hájemství.
Pravdou ale je, že díky bezpečnostnímu auditu mají i oni krytá záda. A že
dochází k odhalování chyb, slabin a nepřesností? Cílem těchto úkonů přece není
někoho pranýřovat, nýbrž snažit se silami společnými předcházet bezpečnostním
incidentům. Ostatně, pokud jedete v automobilu podle předpisů, tak vám radar
silniční kontroly nevadí.

Kdy a jak
Bezpečnostní audit je stejně jako jakýkoliv jiný audit záležitostí jednak
pracovníků interních, jednak externích. Oba přístupy se přitom vyznačují svými
výhodami i nevýhodami. Interní auditor zpravidla zná dokonale prostředí a
vazby, neb se s nimi dnes a denně shledává. Nicméně na druhé straně může být
jeho rozhodování ovlivněno "provozní slepotou". Externista zase vidí věci s
patřičným nadhledem a odstupem, ale mohou mu unikat některé důležité
souvislosti. Ať tak či onak, audit musí být proveden nezávisle tedy ne pod
tlakem (časovým, technickým apod.). Jen tak lze dosáhnout výsledků, které mají
vypovídací hodnotu.
Jednou z nejčastějších otázek týkajících se bezpečnostního auditu je: Jak často
jej provádět? To samozřejmě záleží na velikosti instituce, jejího informačního
systému a především na charakteru chráněných dat. Nicméně úplný audit by měl
probíhat v pravidelných intervalech a částečný vždy, když dojde k nějaké změně
v informačním či jiném systému.
Jako bezpečnostní audit se také někdy označuje pouhá sumarizace stavu
informační bezpečnosti v rámci inkriminované instituce. To ale není úplně
přesné, protože se svým způsobem jedná o rizikovou analýzu tedy o zjištění
stavu a nikoliv o audit v pravém slova smyslu.


Slovník pojmů
n Aktiva soubor dat a informací v informačním systému stejně jako veškeré
softwarové aplikace. Tedy všechna data mající pro chod instituce nějakou
hodnotu a která se mohou stát obětí incidentu.
n Analýza proces, který podrobuje konkrétní situaci důkladnému posuzování
stavu, vazeb, příčin, důsledků apod.
n Analýza bezpečnostní představuje proces, který konkrétní situaci rozebírá z
hlediska informační bezpečnosti.
n Audit nezávislé posouzení záznamů a aktivit s cílem zjistit, zda jsou
dodržovány všechny předpisy a procedury, eventuálně navrhnout nezbytná opatření.
n Audit bezpečnostní je audit zaměřený na problematiku informační bezpečnosti
daného systému či jeho prvku.
n Bezpečnost vlastnost daného prvku v rámci příslušného systému, který je
chráněn proti ztrátě, zneužití nebo zničení.
n Data soubor hodnot (zpravidla v elektronické podobě).
n Hrozba jakékoliv nebezpečí (ať reálné, pouze teoreticky známé nebo
potenciálně možné), které představuje ohrožení pro informační systém.
n Incident pokus (úspěšný či neúspěšný) o porušení bezpečnostních pravidel nebo
narušení bezpečnostních opatření.
n Informace jsou nějakým způsobem a s nějakým cílem zpracovaná data, přičemž
mají vypovídací hodnotu.
n Informační systém systém založený na využití výpočetní techniky a
informačních technologií pro přenos, pořizování, zpracovávání a uchovávání
dat/informací.
n Politika bezpečnostní je souhrn požadavků, potřeb, pravidel, směrnic,
předpisů a zásad, které jsou definovány pro zabezpečení všech prvků na všech
úrovních přístupu odpovídajících potřebám a možnostem instituce.
n Prevence předcházení tomu, aby se hrozba stala rizikem.
n Riziko podmnožina hrozeb. Jedná se o reálné nebezpečí, které ohrožuje
konkrétní informační systém. Riziko lze kvantifikovat v podobě reálné hodnoty
dat, která jsou v případě útoku v ohrožení.
n Útočník subjekt usilující o nekorektní zásah do informačního systému.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.