Celková bezpečnostní politika (BP) je dokument, jenž je chápán jakožto základ-ní
dokument celkového zabezpečení organizace, který umožňuje koncepční a kon-
zistentní budování bezpečnosti jak v oblasti
IT, tak v ostatních oblastech. Tento dokument v obecné rovině popisuje základní
požadav-
ky organizace na zabezpečení a jeho cílem je ochrana veškerého hmotného i
nehmotného majetku firmy, ochrana jejího dobrého jména a předmětu činnosti
organizace. Stručně řečeno BP definuje, co chránit, proti čemu a jakým způsobem.
Obsah BP musí pokrývat veškeré aspekty zabezpečení ochrany organizace, počínaje
např. ochranou budov přes definování jednotlivých skupin zaměstnanců, zálohování
dat až po např. plány obnovy činnosti. Obsah BP schvaluje vedení organizace a
její schválená podoba je závazná pro všechny zaměstnance organizace.
Prostřednictvím smluv s třetími stranami se pak jednotlivé relevantní požadavky
BP přenášejí i na smluvní partnery organizace a jejich zaměstnance. Požadavky a
zásady BP by měly být zpracovány na takové úrovni, aby tento dokument nemusel
být při organizačních změnách organizace menší a střední úrovně nijak měněn.
Nicméně obsah BP podléhá stejně jako každá bezpečnostní dokumentace pravidelné
kontrole své aktuálnosti a revizím.
Z pohledu standardizace bezpečnostní politiky se je v současné době možné opřít
o standardy ISO, zejména ISO/IEC 17799:200O IT: Code of Practice for Information
Security Management a ISO/IEC 17799:200O IT: Code of Practice for Information
Security Management. Tyto standardy pomáhají zejména při definici cílů a
strategií BP, nejsou však plnohodnotným návodem na její vypracování. Tím se
dostáváme k otázce, kdo by měl pro organizaci BP vypracovat. První cestou je
využití vlastních zdrojů. Z různých, převážně však finančních či kádrových
důvodů může organizace vypracovat bezpečnostní politiku a následnou dokumentaci
prostřednictvím vlastních zaměstnanců. Výhody tohoto řešení se zdají zpočátku
jasné: nižší náklady a vyšší sepětí tvůrce s organizací. Nicméně pokud
organizace nepatří k úzké skupině organizací, zaměstnávajících vlastního
kvalitního bezpečnostního experta a jeho tým, začínají zprvu jasně viditelné
výhody postupně ustupovat – dá se tedy říci, že toto řešení přináší spíše
některé podstatné nevýhody.
Běžný zaměstnanec běžné organizace nemá a ani nemůže mít komplexní přehled a
dostatek zkušeností s tímto druhem práce. Nutně z toho vyplývá potřeba finančně
nákladných školení či konzultací. Jejich počet nemusí být vůbec nízký, neboť
určený pracovník organizace minimálně zpočátku nemusí tušit, co vlastně ke své
práci potřebuje vědět a na co se ptát. To vede k postupnému zmizení výhody
nízkých nákladů. Navíc i sebelepší školení je stále jen školení a praktické
zkušenosti nenahradí. I školený pracovník potřebuje nutně spolupracovat se
zkušeným kolegou. Ve většině organizací je navíc práce na BP chápána jako cosi
navíc a členové týmu tento úkol řeší souběžně se svými běžnými povinnostmi. To
pak vede k nesystematickým postupům a ve výsledku i k závažným chybám. Další
nevýhodou tohoto řešení může být i nedostatek autority autorského týmu v očích
vedení organizace, které by mělo vypracované řešení prosadit. I zde existuje
efekt vyšší autority materiálu, přicházejícího od specializované firmy zvenčí a
podloženého jasně vyčíslenými náklady.
Druhou cestou je vypracování bezpečnostní politiky externí firmou. Tento případ
lze považovat za protipól výše uvedeného řešení. V tomto případě je zadána
tvorba příslušné dokumentace externí firmě, v jejímž řešitelském týmu nefunguje
žádný přímý zástupce organizace, který by byl u tvorby od začátku do konce. V
takovém případě nemusí být ani reakce pracovníků organizace při interview ideál-
ní a jejich výsledky tak mohou být zkresleny. Nicméně hlavním rizikem tohoto
způsobu je odchod „know-how“ spojeného s projektem, ke kterému dochází s
odchodem posledního zaměstnance externí firmy z organizace. Vynaložené
prostředky tedy nejsou využity zcela efektivně a další rozvoj bezpečnostního
povědomí a změny stávajícího stavu zabezpečení se nemusí kvalitně projevit ve
změně bezpečnostní dokumentace a v zabezpečení aktiv oproti novým hrozbám či
zvýšeným rizikům.
Z uvedeného vyplývá, že jako optimální varianta se jeví příprava bezpečnostní
politiky za účasti externí firmy za předpokladu, že je v pracovním týmu zařazen
i dostatečný počet zaměstnanců organizace. Na tyto zaměstnance pak na základě
uzavřené smlouvy přechází všechny znalosti potřebné pro údržbu a rozvoj
bezpečnosti organizace. Toto řešení zabezpečí i další z potřebných podmínek
úspěšného řešení, totiž aby celé řešení bylo chápáno jako samostatný a
plnohodnotný projekt organizace. Tím by mělo být zajištěno dodržování termínů,
poskytnutí potřebných kapacit, ať již finančních či kapacitních, potřebná
podpora, autorita u ostatních pracovníků organizace a podobně.
Velmi důležitým faktorem při řešení bezpečnostní problematiky je komplexní
pohled. Je třeba dbát na to, aby se nekladl neoprávněný důraz na jednu složku
řešení bezpečnosti (např. technické zabezpečení IT, útoky zvenčí) na úkor druhé
(např. personální opatření, útoky zevnitř) a vzniklo tak vyvážené a celistvé
řešení. Organizace si musí uvědomit, že tvorba kvalitní BP a navazující řešení
bezpečnosti zasáhne více či méně do všech organizačních struktur, bude se muset
projevit ve většině stávajících psaných i nepsaných norem organizace. Zavedení a
udržení požadované míry úrovně bezpečnosti vyžaduje osvětu a pravidelné školení
mezi pracovníky na všech úrovních, rovněž je nutná plná podpora ze strany vedení
organizace. Nelze prosadit úspěšnou implementaci bezpečnostní politiky bez
podpory a zainteresovanosti nejvyššího managementu organizace. Dalším
předpokladem úspěšné tvorby BP je určení osoby objednatele na straně organizace,
zodpovědné za realizaci projektu BP, tedy určitého garanta projektu.
Za standardní postup při tvorbě a implementaci BP je považován tento souhrn
kroků:
• předběžná studie
• zadání,
• analýza rizik,
• bezpečnostní politika organizace,
• realizace BP,
• realizace a tvorba bezpečnostní dokumentace nižší úrovně,
• průběžná realizace osvěty – udržování bezpečnostního povědomí zaměstnanců.
Předběžná studie se nepovažuje za nezbytnou součást řešení, nicméně je často na
místě. Z hlediska finančního jde o poměrně levnou záležitost, jež může celý
projekt zkrátit a tím ve finále i zlevnit. Účelem studie je získat základní
orientaci v organizaci a činnostech firmy i základní údaje o bezpečnostní
situaci. Na podkladě těchto informací je možné stanovit přesněji zejména rozsah
budoucích nutných prací, rozvržení a náplň jednotlivých etap a tím i rámcovou
finanční náročnost.
V zadání stanoví organizace ve spolupráci s řešitelem své požadavky na
bezpečnost. Řešitel toto zadání ve shodě se zadavatelem koriguje ve smyslu
zákonných předpisů, „rozumnosti“ a obvyklosti požadavků zákazníka, případně
navrhuje doplnění opomenutých skutečností.
Opravdu kvalitní bezpečnostní politiku lze sestavit pouze na základě kvalitně
provedené analýzy rizik (AR). AR by měla rovněž předcházet jakýmkoliv finančním
investicím do bezpečnosti, aby bylo zaručeno jejich maximál-
ně efektivní využití. Analýza rizik poskytne na základě relativně obecných
informací ze zadání řešitelskému týmu odpovědi na otázky, co chránit, proti čemu
a jakým způsobem. Výstupem AR tedy bude ocenění hmotných či nehmotných hodnot,
tedy aktiv organizace, včetně finančního ohodnocení, či prostřednictvím scénářů
stanovujících, co se stane v případě poškození, ztráty či nedostupnosti daného
aktiva. Dalším výstupem bude seznam veškerých hrozeb, které byly ve vztahu k
aktivům organizace identifikovaný i s jejich ohodnocením a návrhem postupů na
minimalizaci.
Velmi důležitým krokem úspěšného provedení AR je výběr vhodné metody (základní,
neformální, podrobná analýza, kombinovaný přístup) a případně příslušného
nástroje (CRAMM, Cobra, NetRecon, RiskWatch, RiskPAC, @RISK). Zde je pro
organizaci velmi vhodné spolehnout se na zkušenosti externích bezpečnostních
firem a nechat si doporučit nejvhodnější typ metody pro AR. Obecně lze říci, že
hlavní výhodou podrobné analýzy je komplexnost všech navržených opatření,
nevýhodou pak delší doba takového zpracování. Použití automatizovaných nástrojů
pak přináší výhodu maximální eliminace lidských chyb, případně opomenutí
některých oblastí a aspektů celkového řešení bezpečnosti.
Sekundárním přínosem provedení AR a na jejím základě získaných informací může
být i lepší pochopení vnitřních mechanizmů organizace a zlepšení řídicích
procesů firmy. Nedostatečně či špatně provedená AR může mít pro organizaci
fatální následky.
Kvalitní BP musí obsahovat minimálně tyto body:
• Stanovení účelu BP, prohlášení o závaznosti BP pro pracovníky a deklarace plné
podpory ze strany vedení organizace.
• Definici požadované úrovně bezpečnosti.
• Definici úrovní zabezpečení a míry odolnosti proti jednotlivým typům útoků.
• Definici bezpečnostního managementu organizace.
• Základní (obecné) bezpečnostní opatření v oblasti administrativní, personální,
fyzické a systémové (oblast IT/ICT).
• Normy chování zaměstnanců organizace.
• Havarijní plány a postupy v obecné rovině.
• Deklarace souladu řešení bezpečnosti s relevantní legislativou a normami.
Po zpracování jednotlivých kapitol bezpečnostní politiky jsou pak tyto
konzultovány a předloženy k připomínkám a akceptaci. Po odsouhlasení všech
kapitol je vypracován výsledný dokument, tedy celková BP. Ta je poté předložena
nejvyššímu managementu organizace k vyslovení souhlasu a má být uvedena v
platnost. Velmi vhodné je již akceptovanou bezpečnostní politiku formou
prezentace představit minimálně vyššímu a střednímu managementu organizace. Její
autor by měl vysvětlit význam dokumentu a objasnit všechny používané pojmy,
definice, odpovědět na dotazy atd.
Realizace neboli zavedení vypracované BP do praxe se zdánlivě jeví jako snadný
úkol. Ve skutečnosti však spíše opak bývá pravdou – hlavně v případech, kdy je
bezpečnost v dané organizaci řešena „na zelené louce“. Praktické zavedení
jednotlivých opatření do každodenního provozu fungující organizace vždy přináší
určité restrikce vůči zaměstnancům a klade na ně požadavky, na něž dosud nebyli
zvyklí. Zatímco restriktivní složka těchto opatření je patrná hned a pracovník
ji pocítí s okamžitou platností, přínos daných opatření už tak snadno a jasně
vidět není a obvykle se projeví až po určitém časovém úseku. Je zřejmě v lidské
přirozenosti se všem změnám „k horšímu“ bránit, a tak je prosazení nových
opatření a zavádění nových struktur velmi nesnadný úkol. Od zodpovědných
pracovníků vyžaduje velkou dávku trpělivosti, asertivity a znalosti lidských
vztahů.
Vypracování bezpečnostní politiky představuje významný krok v nastavení
bezpečnosti organizace na potřebnou úroveň, není však krokem posledním. Logickým
důsledkem existence BP je potřeba vypracovat veškerou dokumentaci pro technickou
i netechnickou oblast organizace.
Autor je ředitelem divize finančních institucí společnosti PVT