Bezpečnostní strategie

Bezpečnostní politika v organizaci

Jak budovat, implementovat a spravovat celou infrastrukturu organizačních, procesních i technických opatření k zajištění bezpečnosti.

 

Každá organizace, bez ohledu na její zaměření, je při výkonu svých činností plně závislá na pracovnících a dostupných - motných i nehmotných. Nezbytnou součástí základních manažerských plánů jsou proto i úvahy o tom, jak pracovníky a aktiva organizace chránit. Často se objevuje požadavek na vytvoření systému řízení bezpečnosti organizace. Organizace v něm pomocí stanovených cílů, strategií a politik hierarchicky rozvrhuje oblast řešení bezpečnosti od úrovně celé společnosti až po jednotlivé chráněné oblasti - ersonální, informační a fyzickou. Aktiva organizace mají svoji hodnotu, která je v absolutní většině případů pro organizaci z hlediska jejího fungování kritická. V případě ztráty nebo závažného poškození některých aktiv tak může dojít i k ukončení činnosti organizace, a tím ke značným finančním ztrátám majitele nebo akcionářů, nemluvě o obchodních partnerech, zákaznících i zaměstnancích.

Stanovení bezpečnostních požadavků
Systém řízení bezpečnosti je nedílnou součástí systému řízení organizace a představuje zejména plnění manažerských funkcí. Na začátku jeho tvorby se jedná o stanovení bezpečnostních požadavků. Nejobecnější formou těchto požadavků jsou správně stanovené bezpečnostní cíle, které vycházejí z obchodních cílů organizace, legislativy, smluv a interních požadavků. Jsou-li jasné cíle, je třeba vytyčit strategii ukazující principy a rámcové postupy pro jejich dosažení, následně se uplatní bezpečnostní politiky popisující, co je třeba udělat. Je výhodné vytvářet bezpečnostní politiky jako více provázaných hierarchických dokumentů, které na své úrovni řeší vždy příslušné oblasti bezpečnosti. Zpracovávány tak jsou:

. Bezpečnostní politika organizace zahrnující nejširší a nejvyšší politiky organizace směřující k ochraně jejich pracovníků a aktiv.

. Jako podřízená pro oblast informatiky je v organizaci požadována bezpečnostní politika informací.

. Jejím rozpracováním je bezpečnostní politika IT s případným vytvořením specializovaných bezpečnostních politik jednotlivých informačních systémů organizace.

Tak, jak se snižuje úroveň záběru jednotlivých politik ke konkrétním informačním systémům, rostou nároky na jejich "správné" sestavení. Zatímco nejvyšší politiky proklamativně prezentující vůli vedení k řešení bezpečnosti informací ukazují z vlastního řešení bezpečnosti pouze obecné základní principy a naznačují způsoby a platformy jejich vynucení v rámci organizace, tak bezpečnostní politika IT již prezentuje ve svých pravidlech široký souhrn pečlivě vybraných opatření, závazný pro celou oblast IT organizace. Pro sestavení obou zmíněných druhů politik tedy bude zapotřebí jiná výchozí znalostní báze jdoucí od obecného ke konkrétním opatřením prosazujícím bezpečnost.

Formulace bezpečnostní politiky
Jak tedy formulovat jednotlivé "správné" bezpečnostní politiky informací? K již uvedeným zdrojům politik (obchodní cíle, legislativa, smlouvy) je nutné připojit bezpečnostní rizika. Správné stanovení bezpečnostních rizik vůči aktivům dané organizace vytváří podklad pro identifikaci odpovídajících přiměřených bezpečnostních opatření. Tato opatření, jsou-li vhodně zobecněna, resp. rozpracována, tvoří základ bezpečnostní politiky požadované úrovně. Postupy vedoucí k ohodnocení rizik (přes stanovení hodnot aktiv) a k velikosti hrozeb a zranitelností jsou určující pro výsledné formulace bezpečnostních politik. Politiky tak odrážejí na příslušné úrovni požadovaná bezpečnostní opatření, která byla pro eliminaci zjištěných rizik formulována na základě výběru z katalogů (normy) nebo jako výstup z automatizovaného expertního systému (např. metoda analýzy a zvládání rizik CRAMM -CCTA Risk Analysis and Management Method). Pevná a prokazatelná vazba mezi aktivy a přiměřenými formulacemi ochranných bezpečnostních politik je tak díky stanoveným rizikům vždy zajištěna. Zařazení pravidla o stanovování bezpečnostních rizik informací organizace, včetně jeho povinné aplikace do nadřazené politiky bezpečnosti informací, ukazuje, jak systémově správně řešit tvorbu bezpečnostních politik. Rámcové postupy, které vedou k formulaci a vytvoření specializovaných politik, jsou tak součástí politik nadřazených.

Od požadavků politiky k řešení bezpečnosti
Rozebrali jsme první obecnou část tvorby systému řízení bezpečnosti - stanovení bezpečnostních požadavků ve formě politik. Odpověď na otázku, jak přejít od požadavků k jejich řešení, tedy k implementaci politik, dává bezpečnostní projekt. Činnosti spojené s bezpečnostním projektem spočívají v nalezení a v popisu realizace stanovených bezpečnostních opatření v celé jejich šíři. Technická opatření je třeba promítnout do bezpečnostní architektury IT organizace, což znamená najít jednotlivé komponenty IT infrastruktury a na ně navázat jednotlivá požadovaná bezpečnostní opatření. Případně může být nutno pro jistou část bezpečnostních opatření stávající infrastrukturu vylepšit (nové prvky nebo prvky s novými, bezpečnost podporujícími vlastnostmi). Netechnická (fyzická, personální a procedurální) opatření je třeba dostat do života formou směrnic. Bezpečnostní projekt tvoří organizace ve spolupráci svých odborných IT útvarů s externím dodavatelem - bezpečnostním specialistou. Stranou projektu nesmějí zůstat případní dodavatelé aplikačního programového vybavení do organizace, neboť bezpečnostní projekt realizuje požadavky politik i v této oblasti. Výstupy z bezpečnostního projektu popisují, jak byly bezpečnostní architekturou realizovány a implementovány bezpečnostní požadavky z příslušných politik a jaké byly vytvořeny podpůrné procedury k jejich prosazení. Zpracované bezpečnostní příručky pro uživatele a správce pak dávají detailní návod pro obsluhu, nastavení a údržbu bezpečnostních mechanismů. Důležitou součástí bezpečnostního projektu je rozpracovávání vhodné řídící bezpečnostní struktury organizace, spolu s vydefinováním základních rolí, odpovědností a povinností v systému řízení bezpečnosti, včetně vhodné klasifikace aktiv organizace. Vazba této organizační normy na základní manažerské činnosti organizace je zajištěna nadřazenou bezpečnostní politikou informací, která zavazuje vedení organizace bezpečnost řídit a spravovat. Dalším klíčovým dokumentem bezpečnostního projektu se základní platností pro celou organizaci je dokument "Obnova funkčnosti IT systémů organizace". Ten poskytuje rámcový návod na řešení havarijních situací v organizaci pomocí rozpracovaného systému detailních a průběžně aktualizovaných havarijních plánů jednotlivých informačních systémů. Základy nouzového plánování, vyjádřené v tomto dokumentu, mají přímou vazbu na bezpečnostní politiky, protože jsou spojeny s identifikovanými nejcennějšími aktivy a odvozeny od míry rizika jim hrozící. Pro řešení bezpečnostních incidentů v organizaci slouží "Manuál zvládání bezpečnostních incidentů", který definuje bezpečnostní incident a popisuje činnosti zúčastněných na jeho identifikaci, lokalizaci, zvládnutí a vyšetření. Bezpečnostní projekt dále obsahuje výčet a přiřazení netechnických bezpečnostních opatření zejména organizačního charakteru, která směřují do příslušných útvarů organizace (personální bezpečnost, fyzická bezpečnost, provozní a vývojová bezpečnost).

Implementace řešení bezpečnosti
Zpracovaný bezpečnostní projekt, který představuje realizaci bezpečnostních politik, je nyní třeba uvést v život - implementovat. Tato činnost představuje především manažerské úsilí, při kterém se organizace snaží implementací přeměnit bezpečnostní projekt ve fungující bezpečnostní systém. Stručně řečeno jde o to, jak vypracovaný bezpečnostní projekt, tedy jeho technickou i netechnickou část, zavést do každodenního fungování organizace. Při implementaci roste důležitost role organizace a jejích odborných útvarů. Celá činnost musí být v rámci organizace dobře koordinována a vedena, a to i ve směru k případným dodavatelům aplikačního vybavení. Dodavatel bezpečnostního projektu pomáhá při efektivní plošné implementaci technických opatření dle bezpečnostního projektu, upravuje a zpřesňuje bezpečnostní dokumentaci a spolupodílí se na implementaci dalších, ve fázi projektu jen připravených, netechnických bezpečnostních opatření organizačního charakteru. Další jeho činností je školení implementátorů, správců i uživatelů tak, aby celkové bezpečnostní povědomí přispělo k pochopení, osvojení a vědomé podpoře implementovaných opatření u co nejširší komunity uživatelů. Implementace bezpečnostního projektu představuje velmi komplexní, rozsáhlou činnost, znatelně zasahující do běžného každodenního fungování organizace. Je třeba mít na zřeteli, že tvorba bezpečnosti a obzvláště její implementace je vždy proces, nikoli stav. Běžně se totiž stává, že původní časové odhady při implementaci byly vyčerpány, a to včetně připravených rezerv, a stále ještě zbývá uvést v život řadu např. netechnických organizačních opatření. Nechci na tomto místě navádět k "nedodělkům", ale ze zkušenosti připojuji, že je třeba vždy dobře zvážit, kam až je možné původní termíny posunout. Rozhodně díky zpřesňovanému harmonogramu je v každém okamžiku implementace zřejmé, jak práce postupují a co ještě zbývá. Je tedy možné "plánovaně" řídit přesun implementace některých organizačních opatření až na pozdější dobu. Vlastní implementace končí provedením akceptačních bezpečnostních testů majících za úkol přesvědčit a dokumentovat, že zvláště požadovaná technická opatření byla implementována správně, v požadovaném rozsahu a plně v souladu s bezpečnostní dokumentací.

Provozování, kontrola a vyhodnocení
Bezpečnostní systém je předán do provozu a podřízen periodické kontrole, zda realizovaná a implementovaná opatření bezpečnostních politik pracují efektivně a v souladu s tím, jak byla zamýšlena. Postupně jsou procházeny jednotlivé oblasti řešené v bezpečnostních politikách, případné odchylky jsou dokumentovány a odstraňovány nápravnými akcemi. Po jejich vyhodnocení v širším kontextu bezpečnostních politik pak dochází i k případným úpravám příslušných částí bezpečnostního projektu. Vykazuje-li bezpečnostní systém uspokojivý stav, je třeba věnovat se měnícím se podnikatelským požadavkům dané organizace, zachycovat a vyhodnocovat technologické změny a periodicky zkoumat stav hrozeb a zranitelností.

Závěr
Bezpečnostní systém představující správně vytvořené, realizované a do každodenního fungování organizace implementované bezpečnostní politiky se stává pevným základem funkčního systému řízení bezpečnosti organizace. Je základním prvkem jistoty managementu, že aktiva organizace jsou dostatečně zabezpečena proti poškození nebo zničení.

Vzhledem k narůstajícímu počtu útoků na data a jiná aktiva řady organizací může vést podceňování bezpečnostního systému k vážnému porušování povinností při správě majetku a zanedbávání chování dobrého hospodáře. Následky pak mohou být vážné pro organizaci i její vedení. Aktivní práce zaměřené na vybudování bezpečnostního systému organizace jsou tak pozitivním krokem managementu k zajištění aktiv organizace a čistého svědomí vzhledem k řešení potenciálních rizik. Informace o vytvoření bezpečnostního systému se v současnosti stává konkurenční výhodou na trhu, která deklaruje kvalitu firmy.

Normy:
[1] ČSN ISO/IEC 17799 Informační technologie - Soubor postupů pro řízení informační bezpečnosti.
[2] ČSN ISO/IEC TR 13335-4 Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 4: Výběr ochranných opatření.