Při prosazování bezpečnosti IT se často dostanete do situace, kdy musíte některým lidem odpovídat na otázky typu „Jaký to má význam zabývat se bezpečností IT?“ Odpověď není tak složitá, může znít například takto: „Pro mě, a možná i pro vás, žádný. Nemělo by to však být jedno majiteli firmy. Ten se samozřejmě může kdykoliv svobodně rozhodnout majetek firmy rozdat, ale neměl by umožnit, aby jej o majetek firmy snadno připravili vlastní zaměstnanci nebo konkurence.“
Robert Gogela, Information
Security Senior Consultant,
Asseco Czech Republic
Zajištění přiměřené bezpečnosti IT je dnes podmínkou úspěšného fungování všech typů organizací. Případné podcenění této skutečnosti může vést až k totálnímu kolapsu fungování organizace v důsledku bezpečnostního incidentu. Fungování organizace je úkolem vrcholového managementu. Součástí tohoto úkolu je i řízení bezpečnosti provozovaných informačních systémů. Základem řízení bezpečnosti IT v organizaci je pak existence procesů a struktur bezpečnostního managementu.
Základní principy bezpečnostního managementu
Dříve než můžeme začít budovat bezpečnost IT, musí existovat pevný výchozí bod –bezpečností cíle a způsob jejich naplňování. Stanovení bezpečnostních cílů vychází z předpokladu, že byla v organizaci provedena analýza rizik informačních systémů a na jejím základě byly formulovány bezpečnostní pravidla a postupy – tedy bezpečnostní politika IT.
Při její formulaci musí být naplněny následující základní principy bezpečnostního managementu:
— Každé pravidlo definované v bezpečnostní politice je přiřazeno konkrétnímu zaměstnanci a zahrnuto mezi jeho pracovní povinnosti.
— Postavení a pravomoci zaměstnance musí být takové, aby mu umožnily plnění úkolů v bezpečnostním managementu.
— Odpovědnosti zaměstnance ve struktuře bezpečnostního managementu vždy zahrnují všechny odpovědnosti jeho podřízených.
— Bezpečnost je v organizaci prosazována shora dolů, bezpečnostní management musí mít podporu vrcholového vedení.
— Bezpečnostní management musí mít dostatečné materiální zabezpečení.
— Bezpečnostní management musí mít dostatečné personální obsazení.
— Dodržování každého bezpečnostního pravidla je kontrolováno.
— Žádný zaměstnanec nemůže vykonávat funkci kontrolora pro vlastní činnost.
— Zaměstnanec nesmí být podřízen nikomu, jehož činnost kontroluje.
— Každé bezpečnostní pravidlo je periodicky revidováno.
— Každé bezpečnostní pravidlo je revidováno při změně výchozích podmínek.
— Každé bezpečnostní pravidlo je revidováno na základě výsledků bezpečnostního auditu.
— V oblasti informačních systémů nelze slučovat činnosti administrátora systému a administrátora bezpečnosti. Administrátor systému provádí nastavení systémových parametrů neovlivňujících bezpečnost spravovaného systému, naproti tomu administrátor bezpečnosti nastavuje pouze bezpečnostní parametry.
Postavení bezpečnostního managementu v organizaci
Teorie uvádí, že bezpečnostní management by měl mít postavení nezávislého organizačního celku, který je přímo podřízen vrcholovému vedení. Tímto způsobem získáme zcela nezávislý bezpečnostní tým, který za předpokladu, že bude finančně zainteresován na množství a způsobu řešení bezpečnostních incidentů, má optimální předpoklady k dokonalému řízení bezpečnosti.
Pokud však zvážíme, že každý člen tohoto týmu bude odborníkem v příslušné oblasti, zjistíme, že náklady na takovou strukturu řízení bezpečnosti jsou obrovské. Dalším komplikací je to, že většina činností nenaplní celý pracovní fond jednotlivce a funkce v bezpečnostním managementu nelze slučovat. Je zcela zřejmé, že budování teoreticky nejsprávnějšího bezpečnostního managementu je vyhrazeno pouze pro organizace, kde je hledisko výše vynakládaných prostředků podružné.
V praxi se ukázalo jako bezpečné a efektivní následující řešení:
— Nebudovat paralelní bezpečnostní strukturu.
— Přímo pod vedením organizace vytvořit malou skupinu specialistů, která zajišťuje činnosti tvorby pravidel na nejvyšší úrovni a zkoumání pravidel na všech úrovních. Tím je zajištěno vytvoření kvalitních bezpečnostních dokumentů na nejvyšší úrovni a přímá zpětná vazba ze všech úrovní řízení bezpečnosti.
— Tvorbu pravidel nižší úrovně, realizaci a kontrolu realizace zajišťovat v rámci nižších organizačních jednotek.
— Na tvorbu a aktualizaci (revizi) bezpečnostních dokumentů využívat služeb externí specializované organizace.
— Pro provádění auditů vyšší úrovně využívat služeb externí specializované organizace.
Řízení bezpečnosti při outsourcingu IT
Zvláštní pozornost musíme věnovat řízení bezpečnosti informačních systémů, které jsou spravovány externí organizací. Nejsložitější situace z hlediska bezpečnosti nastává v případě, kdy nemáme objektivní možnost kontroly dodržení bezpečnostních pravidel.
Základním, a často i jediným prostředkem pro zajištění bezpečnosti informačního systému při spolupráci s externí organizací je zahrnutí bezpečnostních pravidel do obsahu smlouvy. Ve všech případech odpovídá za dodržení bezpečnostních pravidel zaměstnanec, který za organizaci podepisuje smlouvu s externí organizací. Pokud tento zaměstnanec nenese přímou odpovědnost za systém, který je předmětem smlouvy, měl by si interně vyžádat souhlas se zněním smlouvy před jejím podpisem od zaměstnance přímo odpovědného za bezpečnost příslušného systému.
Pokud to předmět smlouvy umožňuje, zakotvíme v podmínkách smlouvy kontrolní roli zaměstnanců organizace. V každém případě musí smlouva obsahovat závazek dodržování bezpečnostních pravidel ze strany externí organizace. Pro případ nedodržení smluvních podmínek musí smlouva obsahovat sankce, jejichž výše by měla být větší než hodnota ohrožených aktiv, která byla zjištěna v rámci analýzy rizik. Při uzavírání smlouvy je nezbytné důkladně zkoumat základní jmění externí organizace, které by mělo být řádově větší než celková suma sankcí v uzavřených smlouvách.
Výchozí axiomy bezpečnosti IT
Při zajišťování bezpečnosti IT je třeba mít vždy na paměti následující výchozí axiomy:
— Neexistuje absolutně bezpečný informační systém.
— Bezpečnost záleží především na lidech.
— Technologie jsou jen nástroje k prosazení bezpečnosti.
— Celková bezpečnost je určena nejslabším článkem v řetězci bezpečnostních opatření.
— Bezpečnost je dynamický proces, který podléhá neustálému vývoji a hodnocení.
— Bezpečnost komplikuje a znesnadňuje práci uživatele.
— Nelze slučovat funkce výkonné a kontrolní ve všech fázích životního cyklu systému.
— Uživatelům jsou přidělována minimální privilegia nezbytná pro jejich práci.
— Bezpečnost systému musí být zachována i po obnově provozu systému, která následovala po selhání nebo havárii.
Profil
Autor článku zastává pozici Information Security Senior Consultant ve společnosti Asseco Czech Republic. Robert Gogela se zabývá problematikou bezpečnosti informačních systémů více než 10 let. Podílel se na realizaci projektu První certifikační autority (I.CA) a na bezpečnostních projektech informačních systémů ministerstva obrany a ministerstva vnitra. Specializuje se na analýzy rizik, vytváření architektur bezpečnosti informačních systémů a zajištění ochrany osobních údajů. Svůj volný čas věnuje cestování, jízdě na kole s přáteli a plavání.
Přečtěte si také