Řízení informační bezpečnosti

Nechcete-li se setkávat s následky bezpečnostních incidentů, potřebujete řídit informační bezpečnost. Informačn...


Nechcete-li se setkávat s následky bezpečnostních incidentů, potřebujete řídit
informační bezpečnost.

Informační bezpečnost je třeba řídit stejně, jako se řídí třeba bezpečnost
práce nebo požární bezpečnost. V ideálním případě začnete s řízením bezpečnosti
už ve fázi projektování informačního systému. Hovoříme-li ovšem o ideálním
stavu, tak samozřejmě nejde o věc zcela obvyklou a běžnou. Málokterý systém
totiž začíná takříkajíc na zelené louce. Většinou dochází k upravování,
doplňování nebo obměňování již existující infrastruktury (u které pohříchu
nebyla bezpečnost jednou z priorit což je ale pochopitelné, protože
kybernetický prostor vypadal ještě před několika lety úplně jinak než dnes).
Proto je často nezbytné začít informační bezpečnost řídit dodatečně a pracovat
s tím, co je již k dispozici. I to je samozřejmě možné, musíme ovšem dodržet
ono základní pravidlo při pořizování nového hardwaru, softwaru, přijímání
pracovníků nebo zavádění nových postupů na ni pamatovat.
Celý proces řízení bezpečnosti v žádném případě není o objevování již
objeveného, ale představuje implementaci osvědčených a odzkoušených modelů,
postupů a bezpečnostních prvků. Těžko si lze představit, že by se někdo
pokoušel "dělat bezpečnost jinak" lehce si naopak lze představit, jak by s
takovýmto přístupem asi dopadl.
Při řízení informační bezpečnosti je zapotřebí mít na paměti několik základních
pravidel:
lNestavět infrastrukturu tak, aby stála na spolehlivosti a znalostech
jednotlivých uživatelů. Zvláště ve větších organizacích totiž brzy shledáte, že
útočníci jsou vždy o několik kroků napřed před uživateli (a i mírná fluktuace
pracovníků veškeré vzdělávací procesy silně znehodnocuje).
lNebudovat infrastrukturu stylem "tento problém se nás netýká, tento možná
ano". Bezpečnost je zapotřebí budovat komplexně.
lNemít systém ani příliš otevřený, ani příliš restriktivní. První poloha je
nebezpečná, druhá omezuje využívání informačních technologií (což v žádném
případě není cílem informační bezpečnosti).
lJe zapotřebí mít vypracovaný systém kontroly. Podotýkáme, že má jít o systém
kontroly, který bude transparentní, funkční a vypovídající. Nikoliv systém
kontroly vytvořený sám pro sebe a okolí obtěžující.
lSystém je zapotřebí budovat otevřený, aby jej v budoucnu bylo možné podle
potřeby měnit. Informační bezpečnost není jednorázovým úkonem, nýbrž průběžným
procesem.
lInformační bezpečnost je zapotřebí řídit na všech úrovních. Není to otázka jen
uživatelů nebo jen administrátorů. lJe také zapotřebí mít na paměti, že
investice do prevence jsou v konečném důsledku levnější než řešení možných škod.
Samozřejmě, že celé řízení informační bezpečnosti je otázkou určitých
kompromisů mezi bezpečností a dalšími požadavky. Jak tedy při řízení informační
bezpečnosti postupovat v praxi?

První kroky
Prvním základním krokem je vyčlenit subjekt za informační bezpečnost
zodpovědný. Je logické, že v menších organizacích bude tato funkce kumulovaná s
dalšími povinnostmi (z čistě ekonomických důvodů si těžko lze představit
správce informační bezpečnosti na plný úvazek ve firmě čítající patnáct
zaměstnanců), ve větších (banky, telekomunikační firmy apod.) půjde naopak o
celé oddělení. Každopádně ale tento subjekt musí být vyčleněný. Není možné, aby
informační bezpečnost dělali všichni a nikdo. Zodpovědnost za bezpečnost se ale
špatně přidává k jiným činnostem nicméně, jak již bylo uvedeno výše, někdy je
to nutné. Pak je ale třeba mít na paměti, že k některým činnostem se přidává
snadněji a k některým hůře. Je například nemyslitelné, aby správce sítě zároveň
hodnotil síť z hlediska bezpečnosti. Hodnotil by tak de facto svoji práci.
Pouhé zřízení funkce správce informační bezpečnosti (dále je správce) ale
nestačí. Důležité je také její zařazení v organizačním diagramu instituce své
místo má mít mezi vedením a ostatními složkami společnosti. Jiné umístění totiž
tuto činnost může degradovat, takže by se stala víceméně zbytečnou. Správce se
musí zodpovídat přímo nejvyššímu vedení instituce bez jakýchkoliv prostředníků,
čímž se ale dostává do nezáviděníhodné situace současně totiž musí dohlížet na
to, že vedení dodržuje bezpečnostní pravidla. Náplní práce správce je dohled
nad budováním a údržbou systémů, budování, prosazování a kontrola bezpečnostní
politiky, vytváření bezpečnostní dokumentace, úpravy informační bezpečnosti v
čase (požadavky na bezpečnost se průběžně mění), zajištění vzdělávání
zaměstnanců, odhalování hrozeb, zranitelných míst, externí konzultace aj.
Přitom nemůže mít pouze zodpovědnost, ale musí být vybaven rovněž příslušnými
kompetencemi a pravomocemi. Z výše uvedeného vyplývá, že se jedná o pozici
velmi nevděčnou, neboť mnozí uživatelé ji považují za zbytečnou a práci
komplikující. Proto musí být správce schopen svá rozhodnutí obhájit. Měl by si
stejně jako uživatelé, administrátoři i vedení uvědomit, že za přesně
stanovenou roli lze převzít zodpovědnost, za vágní požadavky nikoliv.

Pomoc vedení
Dalším důležitým prvkem řízení informační bezpečnosti je vedení společnosti.
Zřízením funkce správce dává najevo svůj kladný postoj k této otázce, ale samo
o sobě je to málo. Vedení společnosti totiž pravidelně schvaluje a přiděluje
rozpočet na bezpečnost. Rovněž musí stát za správcem při prosazování mnohdy
nepopulárních opatření. Vedení ale také kontroluje činnost správce a vyžaduje
reporty či komentáře ke strategickým rozhodnutím. A ještě jednou připomínáme
vedení spadá pod správce v otázkách bezpečnosti stejně jako kterýkoliv jiný
uživatel. Vedení se tak podřizuje obecně platným pravidlům nebo restriktivním
opatřením. Není horší příklad pro ostatní než kasta vyvolených, které se
informační bezpečnost z nějakého záhadného důvodu netýká.

Role uživatelů
Dalším prvkem řízení informační bezpečnosti jsou uživatelé. Tím je v určitém
okamžiku každý (včetně vedení, administrátorů nebo i samotného správce). Každý
uživatel musí nést svůj díl zodpovědnosti, protože informační bezpečnost nelze
postavit pouze na technických prostředcích, ale také na administrativních a
personálních opatřeních. Uživatelé se v ideálním případě do řízení bezpečnosti
zapojují ne pasivně, ale aktivně například odhalují slabá místa v systému
(jejich úkolem ale není donášet na kolegy, nýbrž pomáhat budovat bezpečnost). K
tomu je zapotřebí především to, aby se ztotožnili s informační bezpečností
třeba tak, že pochopí její důsledky pro organizaci.
Pro uživatele je důležité průběžné zvyšování znalostí, a to nejen v oblasti
informační bezpečnosti, ale informačních technologií vůbec. Bezpečnost je totiž
jen jejich součástí a k jejímu pochopení je zkrátka potřeba hlubších základů.
Nejde pouze o to, že poučený uživatel (pravděpodobně) způsobí méně škod, ale
také o to, že spíše přijde na chyby v systému nebo odhalí bezpečnostní
incident. Ostatně těžko může neznalý uživatel převzít svůj díl zodpovědnosti.
Ale pozor na uživatele je zapotřebí klást rozumnou míru požadavků, jinak se pro
něj informační bezpečnost stane noční můrou.
Systém, který je po technické, technologické i organizační stránce sebelepší,
totiž s lidmi právě stojí a padá. Každý systém je tak silný, jak silný je
nejslabší článek. Pokud má organizace 3 000 uživatelů, pak má 3 000 možných
slabých míst. Chyba se přitom samozřejmě může stát. Dokonce je pravděpodobné,
že se stane. Špatné ale je chybu opakovat, byť třeba na základě argumentu
"ostatním se to stává taky". Uživatele je proto třeba usměrňovat pomocí
motivace (odměny, povyšování, vzdělávání...) i represe (sankce, finanční
penalizace, důtky apod.).
Na závěr zmiňme ještě personální bezpečnost, která je v našich zeměpisných
šířkách často zanedbávána. Respektive je na ni kladen velmi malý důraz, protože
trh práce zvláště ve špičkových profesích je velmi úzký. Personální bezpečnost
je potřeba uplatnit napříč všemi úrovněmi společnosti a spadá pod ni vyžadování
čistého trestního rejstříku, morální bezúhonnosti, dobrých referencí a solidní
znalostní báze. Obecně platí, že čím vyšší je zastávaný post, tím vyšší důraz
by na ni měl být kladen.


Informační bezpečnost: Normy a standardy
Tématu řízení informační bezpečnosti se týkají především následující
publikované normy, standardy a pravidla ČSN:

ČSN ISO/IEC TR 13335 1
Část 1 Pojetí a modely bezpečnosti IT: Tato část normy je určena především
členům vyššího managementu a nabízí seznámení se základními pojetími a modely
informační bezpečnosti. Pro lepší pochopení problematiky obsahuje terminologii
a vysvětlení pojmů řízení informační bezpečnosti.

ČSN ISO/IEC TR 13335 2
Část 2 Řízení a plánování bezpečnosti IT: Tato část normy je určena především
pro manažery přímo zodpovědné za informační bezpečnost. Věnuje se jednotlivým
oblastem plánovaní a následného řízení informační bezpečnosti.

ČSN ISO/IEC TR 13335 3
Část 3 Techniky pro řízení bezpečnosti IT: Část normy určená pro všechny, kdo
se podílejí na jednotlivých fázích životního cyklu projektu (od plánování přes
navrhování, implementaci, testování až po jeho provozování). Obsahuje informace
o bezpečnostních technikách a postupech vztahujících se právě k životnímu cyklu.

ISO/IEC TR 13335 4
Část 4 Výběr ochranných opatření: Tato směrnice navazuje na předchozí, neboť se
zabývá výběrem ochranných opatření. Tyto navíc podporuje tím, že přináší
základní modely a kontroly.

ISO/IEC TR 13335 5
Část 5 Ochranná opatření pro externí spojení: Směrnice, která se věnuje
problematice připojení informačních technologií k vnějším sítím (internet
apod.). Obsahuje výběr bezpečnostních opatření při připojování i opatření
následná.

ČSN ISO/IEC 17799
Informační technologie: Jde o soubor postupů pro řízení informační bezpečnosti.
Norma představuje základní dokument, v němž jsou popisovány prvky informační
bezpečnosti, potřeby, požadavky, hodnocení rizik, kontroly a další. Tato norma
představuje základní (v mnoha případech i dostatečné) vodítko pro efektivní
řízení informační bezpečnosti všem zodpovědným pracovníkům.

ISO/IEC 15408 (1-3) Evaluation Assurance Level: Norma deklaruje jednotlivé
úrovně zaručitelnosti informační bezpečnosti podle splněných kritérií v
obsáhlých způsobech hodnocení a požadavcích na průvodní dokumentaci.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.