Bezpečnostní politika

V každé organizaci musí existovat dokument, který vymezuje základní principy bezpečnosti informačního systému. V ...


V každé organizaci musí existovat dokument, který vymezuje základní principy
bezpečnosti informačního systému.

V minulém vydání této rubriky jsme hovořili o bezpečnostní analýze a na jejím
základě by měla být vypracována bezpečnostní politika. Ta pak představuje
jakési přenesení získaných informací do praxe. Bezpečnostní politika je zkrátka
interním předpisem, který vymezuje základní principy bezpečnosti informačního
systému.
Jinými slovy: Bezpečnostní politika je souhrnem zásad, pravidel, norem,
opatření apod. sloužících k zajištění bezpečnosti. Navíc je třeba podotknout,
že bezpečnostní politika činí informační bezpečnost přehlednou. Jednak
sumarizuje veškerá aktiva, jednak poukazuje na nebezpečí, která jim hrozí, ale
především shrnuje prvky bezpečnosti, které je zapotřebí nasadit.
Bezpečnostní politika obecně vychází z celkové koncepce instituce s důrazem
právě na bezpečnost. Měla by vycházet z provedené rizikové analýzy, což ovšem
není dogmatickou podmínkou. Může totiž vycházet i z jiných zdrojů třeba
empirických nicméně to nebývá nejlepší řešení, protože pak bere v potaz vždy
jen určitý okruh informací, často navíc zatížených neobjektivním hodnocením. A
mimochodem pokud analýza dosud provedena nebyla, tak by její realizace měla být
jedním ze základních požadavků v bezpečnostní politice obsažených.

Hierarchie politik
Podle struktury příslušné instituce (resp. podle jejího začlenění do dalších
podobných struktur například do státní správy), podle její rozsáhlosti i podle
struktury informačních systémů existuje určitá hierarchie bezpečnostních
politik. Typicky následující:

Politika celé organizace zastřešující dokument stanovující směrování celé
instituce, její cíle, termíny, prostředky apod.

Politika bezpečnosti celé organizace zastřešující dokument pro otázky veškeré
bezpečnosti (tedy nejen informační). Stanovuje cíle, priority, normy aj. Měla
by navazovat a/nebo doplňovat politiku celé organizace.

Politika IT bezpečnosti organizace vzhledem k tomu, že informační bezpečnost
nemůže a nesmí stát mimo vlastní instituci, tak je zapotřebí politiku
informační bezpečnosti implementovat do politiky celkové bezpečnosti. Politika
bezpečnosti IT organizace neřeší jednotlivé dílčí otázky, ale věnuje se
celkovému směrování informační bezpečnosti.

Politika IT bezpečnosti systému (resp. systémů) jsou určitá pravidla, která je
potřeba konkrétně specifikovat a která procházejí napříč celou institucí (resp.
napříč všemi uživateli informačního systému) třeba podmínky používání
elektronické pošty, internetu, vyplňování výkazů práce apod. Některé instituce
přitom mohou využívat služeb vícero informačních systémů, z nichž pro každý by
měla být vytvořena vlastní bezpečnostní politika (systémy interní, systémy
externí apod.).

Politika IT bezpečnosti oddělení konkrétní dokument obsahující informace o
bezpečnosti v rámci daného oddělení či podobného dílčích subjektu a odrážející
jeho specifika.
Další dělení pak záleží na struktuře a velikosti dané instituce. Někdy je
účelné a žádoucí vypracovat bezpečnostní politiku pro jednotlivé funkce, jindy
postačuje typizovaný souhrnný dokument pro celé oddělení nebo skupinu osob.
Vzhledem k tomu, že názvosloví těchto dokumentů není pevně dáno, hovoří se v
souvislosti s nimi nejčastěji o bezpečnostních směrnicích a pracovních
postupech (nicméně v praxi se lze setkat i s jinými názvy).
Těchto dokumentů už musí být vypracováno povícero pravidla je zapotřebí
diferencovat, a těžko si představit, že stejnou pravomoc i zodpovědnost bude
mít správce systému, běžný uživatel nebo manažer pracující s veškerými
citlivými daty. Ale pozor, více než kde jinde zde platí pravdivost tvrzení
"méně je někdy více". Pokud budou mít směrnice a postupy pro jednotlivé
uživatele podobu fasciklu svou tloušťkou připomínající telefonní seznam, pak je
pravděpodobné, že nebudou čteny a používány, a že se tedy jejich vytvoření
zcela mine účinkem. Proti tomu je často namítáno, že pokud chceme ošetřit
opravdu všechny situace, pak je zapotřebí podobnou podrobnou směrnici
vypracovat. Otázkou ale je, zdali je potřeba ošetřovat všechny situace (tedy i
ty, jejichž pravděpodobnost výskytu je velmi, velmi nízká). Informační
bezpečnost je totiž trochu paradoxní oblastí: Přestože žádné kompromisy
nesnese, tak je často otázkou kompromisů (neb jinak bychom se stali její
obětí).
Ideální situace nastane v případě, kdy se uvedené směrnice a postupy podaří
nenásilnou formou včlenit do stávajících pravidel a směrnic. Samozřejmě, že je
dobré v závislosti na skutečných potřebách ji rozdělit na části vhodné pro
jednotlivé typy uživatelů, pro jednotlivé systémy, pro jednotlivé organizační
jednotky. Bezpečnost se netýká pouze někoho, bezpečnost se týká všech.

Obsah politiky
Bezpečnostní politika by v každém případě měla obsahovat teze o datech v
instituci (jak je klasifikovat, jak s nimi nakládat apod.), o přidělování
oprávnění (schvalování, rozsah, zodpovědnost, zpětná kontrola apod.), o
kompetencích pro jednotlivé činnosti, ale především postupy pro případ závad a
nenadálých událostí (v oblasti hardwaru, softwaru, při přírodních pohromách
apod.). Cílem bezpečnostní politiky je totiž zachování kontinuity provozu
instituce ať již předcházením incidentům nebo jejich včasným podchycením a
řešením.
Bezpečnostní politika se skládá ze dvou typů postupů. Jednak jsou to postupy
periodicky se opakující a jednak postupy sloužící k jednorázovému zavedení
bezpečnostních prvků. Jednorázové úkony přitom v rámci bezpečnostní politiky
řeší plán bezpečnosti IT. Ten stanovuje potřebu nasazení jednotlivých prvků,
termíny a priority v období krátkodobém (administrativní opatření, změny
přístupových práv, konfigurace apod.), střednědobém (školení uživatelů apod.) a
dlouhodobém (na co je třeba dbát při nákupu nového hardwaru i softwaru apod.).
Součástí samozřejmě musí být i podrobný rozpis investic, provozních nákladů a
lidských zdrojů a nesmí samozřejmě také chybět informace o zodpovědnosti.
Bezpečnostní politika by ovšem neměla řešit pouze běžný provoz, ale také
mimořádné situace a přinášet informace vedoucí k jejich řešení. Je zkrátka
zapotřebí počítat s různými incidenty i s těmi, které "by přece neměly
vzniknout" (virový útok, zneužití dat...). Stejně tak je nutno počítat s
incidenty nepravděpodobnými tvrzení "mně se to nemůže stát" neobstojí (už
proto, že tohle říká každý). Proto je nutné vypracovat krizový plán. Většina IT
hrozeb je totiž přesně známá a definovaná, s novou či neočekávanou hrozbou se
lze setkat opravdu jen výjimečně. Krizový plán tak obsahuje typické scénáře s
tím, jak reagovat na nejrůznější druhy poruch, havárií či katastrof, jak
zajistit kontinuální provoz jednotlivých systémů, jak zajistit fungování celé
organizace, jak co nejrychleji odstranit následky incidentu. Přitom by se tento
plán měl pohybovat nejen v oblasti teoretické, ale v něm popsané postupy by
měly být čas od času prověřovány v praxi (v rámci jakýchsi "požárních
cvičení"). Nemusíme pak čekat na mimořádnou událost, abychom posoudili, zda
jsou postupy dobré (a třeba s hrůzou zjistili, že nejsou).
Krizový plán je totiž součástí prevence, a ta je v konečném důsledku vždy
levnější než řešení následků. Navíc brání chaosu, nesmyslným pokusům o tutlání
incidentu či zbytečným škodám (které zpravidla v čase rostou). Obsahuje totiž
informace o tom, jak incident identifikovat, kam ho hlásit, co dělat a jaké
jsou role jednotlivých aktérů (uživatel, správce apod.).

Zavedení politiky
Říká se "to nejlepší na konec". Slovo "nejlepší" ovšem můžeme směle nahradit
výrazem "nejtěžší". Jedná se o zavedení bezpečnostní politiky do každodenní
praxe každého zaměstnance firmy, která si bezpečnostní politiku nechala
vypracovat. Tedy pokud její vypracování nezadávala jen s cílem mít ji a vykázat
další splněný úkol, a to bez jakékoliv vazby na praktickou potřebu.
Zavádění bezpečnostní politiky představuje běh na dlouhou trať a nikdy
nekončící příběh. Tento proces je v každé firmě velmi individuální ostatně
stejně jako řešení celé problematiky bezpečnostní politiky. I když se postupy
mohou zdát velmi podobné, nenajdete dva naprosto shodné systémy, a už vůbec ne
dvě shodná prostředí se stejně smýšlejícími uživateli a stejným pochopením či
"pochopením" manažerů. Když je bezpečnostní politika zavedena do praxe, je
vhodné po nějaké události nebo po nějakém daném čase překontrolovat
smysluplnost přijatých opatření a eventuálně je dle aktuální situace
modifikovat. Této činnosti se věnuje bezpečnostní audit, o němž bude řeč v
příštím vydání této rubriky.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.