Úroveň bezpečnosti IT je odrazem vyzrálosti managementu

Robert Gogela, 02. říjen 2008 07:30 0 komentářů

Klic
Při prosazování bezpečnosti IT se často dostanete do situace, kdy musíte některým lidem odpovídat na otázky typu "Jaký to má význam zabývat se bezpečností IT?" Odpověď není tak složitá, může znít například takto: "Pro mě, a možná i pro vás, žádný. Nemělo by to však být jedno majiteli firmy. Ten se samozřejmě může kdykoliv svobodně rozhodnout majetek firmy rozdat, ale neměl by umožnit, aby jej o majetek firmy snadno připravili vlastní zaměstnanci nebo konkurence."

Robert-gogela
Robert Gogela, Information
Security Senior Consultant,
Asseco Czech Republic

Zajištění přiměřené bezpečnosti IT je dnes podmínkou úspěšného fungování všech typů organizací. Případné podcenění této skutečnosti může vést až k totálnímu kolapsu fungování organizace v důsledku bezpečnostního incidentu. Fungování organizace je úkolem vrcholového managementu. Součástí tohoto úkolu je i řízení bezpečnosti provozovaných informačních systémů. Základem řízení bezpečnosti IT v organizaci je pak existence procesů a struktur bezpečnostního managementu.

Základní principy bezpečnostního managementu

Dříve než můžeme začít budovat bezpečnost IT, musí existovat pevný výchozí bod –bezpečností cíle a způsob jejich naplňování. Stanovení bezpečnostních cílů vychází z předpokladu, že byla v organizaci provedena analýza rizik informačních systémů a na jejím základě byly formulovány bezpečnostní pravidla a postupy – tedy bezpečnostní politika IT.

Při její formulaci musí být naplněny následující základní principy bezpečnostního managementu:

-- Každé pravidlo definované v bezpečnostní politice je přiřazeno konkrétnímu zaměstnanci a zahrnuto mezi jeho pracovní povinnosti.
-- Postavení a pravomoci zaměstnance musí být takové, aby mu umožnily plnění úkolů v bezpečnostním managementu.
-- Odpovědnosti zaměstnance ve struktuře bezpečnostního managementu vždy zahrnují všechny odpovědnosti jeho podřízených.
-- Bezpečnost je v organizaci prosazována shora dolů, bezpečnostní management musí mít podporu vrcholového vedení.
-- Bezpečnostní management musí mít dostatečné materiální zabezpečení.
-- Bezpečnostní management musí mít dostatečné personální obsazení.
-- Dodržování každého bezpečnostního pravidla je kontrolováno.
-- Žádný zaměstnanec nemůže vykonávat funkci kontrolora pro vlastní činnost.
-- Zaměstnanec nesmí být podřízen nikomu, jehož činnost kontroluje.
-- Každé bezpečnostní pravidlo je periodicky revidováno.
-- Každé bezpečnostní pravidlo je revidováno při změně výchozích podmínek.
-- Každé bezpečnostní pravidlo je revidováno na základě výsledků bezpečnostního auditu.
-- V oblasti informačních systémů nelze slučovat činnosti administrátora systému a administrátora bezpečnosti. Administrátor systému provádí nastavení systémových parametrů neovlivňujících bezpečnost spravovaného systému, naproti tomu administrátor bezpečnosti nastavuje pouze bezpečnostní parametry.

Postavení bezpečnostního managementu v organizaci

Teorie uvádí, že bezpečnostní management by měl mít postavení nezávislého organizačního celku, který je přímo podřízen vrcholovému vedení. Tímto způsobem získáme zcela nezávislý bezpečnostní tým, který za předpokladu, že bude finančně zainteresován na množství a způsobu řešení bezpečnostních incidentů, má optimální předpoklady k dokonalému řízení bezpečnosti.

Pokud však zvážíme, že každý člen tohoto týmu bude odborníkem v příslušné oblasti, zjistíme, že náklady na takovou strukturu řízení bezpečnosti jsou obrovské. Dalším komplikací je to, že většina činností nenaplní celý pracovní fond jednotlivce a funkce v bezpečnostním managementu nelze slučovat. Je zcela zřejmé, že budování teoreticky nejsprávnějšího bezpečnostního managementu je vyhrazeno pouze pro organizace, kde je hledisko výše vynakládaných prostředků podružné.

V praxi se ukázalo jako bezpečné a efektivní následující řešení:

-- Nebudovat paralelní bezpečnostní strukturu.
-- Přímo pod vedením organizace vytvořit malou skupinu specialistů, která zajišťuje činnosti tvorby pravidel na nejvyšší úrovni a zkoumání pravidel na všech úrovních. Tím je zajištěno vytvoření kvalitních bezpečnostních dokumentů na nejvyšší úrovni a přímá zpětná vazba ze všech úrovní řízení bezpečnosti.
-- Tvorbu pravidel nižší úrovně, realizaci a kontrolu realizace zajišťovat v rámci nižších organizačních jednotek.
-- Na tvorbu a aktualizaci (revizi) bezpečnostních dokumentů využívat služeb externí specializované organizace.
-- Pro provádění auditů vyšší úrovně využívat služeb externí specializované organizace.
Řízení bezpečnosti při outsourcingu IT

Zvláštní pozornost musíme věnovat řízení bezpečnosti informačních systémů, které jsou spravovány externí organizací. Nejsložitější situace z hlediska bezpečnosti nastává v případě, kdy nemáme objektivní možnost kontroly dodržení bezpečnostních pravidel.

Základním, a často i jediným prostředkem pro zajištění bezpečnosti informačního systému při spolupráci s externí organizací je zahrnutí bezpečnostních pravidel do obsahu smlouvy. Ve všech případech odpovídá za dodržení bezpečnostních pravidel zaměstnanec, který za organizaci podepisuje smlouvu s externí organizací. Pokud tento zaměstnanec nenese přímou odpovědnost za systém, který je předmětem smlouvy, měl by si interně vyžádat souhlas se zněním smlouvy před jejím podpisem od zaměstnance přímo odpovědného za bezpečnost příslušného systému.

Pokud to předmět smlouvy umožňuje, zakotvíme v podmínkách smlouvy kontrolní roli zaměstnanců organizace. V každém případě musí smlouva obsahovat závazek dodržování bezpečnostních pravidel ze strany externí organizace. Pro případ nedodržení smluvních podmínek musí smlouva obsahovat sankce, jejichž výše by měla být větší než hodnota ohrožených aktiv, která byla zjištěna v rámci analýzy rizik. Při uzavírání smlouvy je nezbytné důkladně zkoumat základní jmění externí organizace, které by mělo být řádově větší než celková suma sankcí v uzavřených smlouvách.

Výchozí axiomy bezpečnosti IT

Při zajišťování bezpečnosti IT je třeba mít vždy na paměti následující výchozí axiomy:

-- Neexistuje absolutně bezpečný informační systém.
-- Bezpečnost záleží především na lidech.
-- Technologie jsou jen nástroje k prosazení bezpečnosti.
-- Celková bezpečnost je určena nejslabším článkem v řetězci bezpečnostních opatření.
-- Bezpečnost je dynamický proces, který podléhá neustálému vývoji a hodnocení.
-- Bezpečnost komplikuje a znesnadňuje práci uživatele.
-- Nelze slučovat funkce výkonné a kontrolní ve všech fázích životního cyklu systému.
-- Uživatelům jsou přidělována minimální privilegia nezbytná pro jejich práci.
-- Bezpečnost systému musí být zachována i po obnově provozu systému, která následovala po selhání nebo havárii.

Profil

Autor článku zastává pozici Information Security Senior Consultant ve společnosti Asseco Czech Republic. Robert Gogela se zabývá problematikou bezpečnosti informačních systémů více než 10 let. Podílel se na realizaci projektu První certifikační autority (I.CA) a na bezpečnostních projektech informačních systémů ministerstva obrany a ministerstva vnitra. Specializuje se na analýzy rizik, vytváření architektur bezpečnosti informačních systémů a zajištění ochrany osobních údajů. Svůj volný čas věnuje cestování, jízdě na kole s přáteli a plavání.

Přečtěte si také

Jedou vaše informační technologie po bezpečné cestě?


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Apple opouští myšlenku výroby samořízeného vozu

ČTK , 23. srpen 2017 10:54

Do projektu Titan, který odstartoval v roce 2014, šel Apple se svým standardním nasazením. Projekt s...

Více 0 komentářů

Podíl sociálních sítí na on-line reklamě vzroste na pětinu

ČTK , 23. srpen 2017 09:00

Největší rozpočty mají každoročně technologické firmy, automobilové společnosti, obchodní řetězce, o...

Více 0 komentářů

Seznam chce za 3 roky prodávat polovinu reklamy na aukcích

ČTK , 23. srpen 2017 08:00

Mobily již nyní zprostředkovávají až 40 % přístupů na služby Seznamu....

Více 0 komentářů

Starší zprávičky

Útočníci si oblíbili sadu exploitů Lost in Translation

Pavel Houser , 22. srpen 2017 10:21

Studie mapuje vývoj malwaru v České republice a ve světě ve druhém čtvrtletí. ...

Více 0 komentářů

České Radiokomunikace nabízejí i privátní cloud

Pavel Houser , 22. srpen 2017 08:00

Řešení je podle CRA vhodné pro provoz citlivých, náročných a exponovaných aplikací a ukládání citliv...

Více 0 komentářů

LG V30 bude mít displej OLED FullVision

Pavel Houser , 21. srpen 2017 11:42

P-OLED vzniká umísťováním pixelů na plastový substrát, který je mnohem pevnější než skleněná základn...

Více 0 komentářů

Jak funguje byznys na tuzemském YouTube

ČTK , 21. srpen 2017 09:47

Zájem Čechů o sledování videí na YouTube vzrostl letos meziročně o 35 procent. Poptávka se přesouvá ...

Více 0 komentářů