Bezpečnostní strategie
Bezpečnostní politika v organizaci
Jak budovat, implementovat a spravovat celou infrastrukturu organizačních, procesních i technických opatření k zajištění bezpečnosti.
Každá organizace, bez ohledu na její zaměření, je při výkonu svých činností plně závislá na pracovnících a dostupných - motných i nehmotných. Nezbytnou součástí základních manažerských plánů jsou proto i úvahy o tom, jak pracovníky a aktiva organizace chránit. Často se objevuje požadavek na vytvoření systému řízení bezpečnosti organizace. Organizace v něm pomocí stanovených cílů, strategií a politik hierarchicky rozvrhuje oblast řešení bezpečnosti od úrovně celé společnosti až po jednotlivé chráněné oblasti - ersonální, informační a fyzickou. Aktiva organizace mají svoji hodnotu, která je v absolutní většině případů pro organizaci z hlediska jejího fungování kritická. V případě ztráty nebo závažného poškození některých aktiv tak může dojít i k ukončení činnosti organizace, a tím ke značným finančním ztrátám majitele nebo akcionářů, nemluvě o obchodních partnerech, zákaznících i zaměstnancích.
Stanovení bezpečnostních požadavků
Systém řízení bezpečnosti je nedílnou
součástí systému řízení organizace a představuje zejména plnění manažerských
funkcí. Na začátku jeho tvorby se jedná o stanovení bezpečnostních požadavků.
Nejobecnější formou těchto požadavků jsou správně stanovené bezpečnostní cíle,
které vycházejí z obchodních cílů organizace, legislativy, smluv a interních
požadavků. Jsou-li jasné cíle, je třeba vytyčit strategii ukazující principy a
rámcové postupy pro jejich dosažení, následně se uplatní bezpečnostní politiky
popisující, co je třeba udělat. Je výhodné vytvářet bezpečnostní politiky jako
více provázaných hierarchických dokumentů, které na své úrovni řeší vždy
příslušné oblasti bezpečnosti. Zpracovávány tak jsou:
. Bezpečnostní politika organizace zahrnující nejširší a nejvyšší politiky organizace směřující k ochraně jejich pracovníků a aktiv.
. Jako podřízená pro oblast informatiky je v organizaci požadována bezpečnostní politika informací.
. Jejím rozpracováním je bezpečnostní politika IT s případným vytvořením specializovaných bezpečnostních politik jednotlivých informačních systémů organizace.
Tak, jak se snižuje úroveň záběru jednotlivých politik ke konkrétním informačním systémům, rostou nároky na jejich "správné" sestavení. Zatímco nejvyšší politiky proklamativně prezentující vůli vedení k řešení bezpečnosti informací ukazují z vlastního řešení bezpečnosti pouze obecné základní principy a naznačují způsoby a platformy jejich vynucení v rámci organizace, tak bezpečnostní politika IT již prezentuje ve svých pravidlech široký souhrn pečlivě vybraných opatření, závazný pro celou oblast IT organizace. Pro sestavení obou zmíněných druhů politik tedy bude zapotřebí jiná výchozí znalostní báze jdoucí od obecného ke konkrétním opatřením prosazujícím bezpečnost.
Formulace bezpečnostní politiky
Jak tedy formulovat jednotlivé "správné"
bezpečnostní politiky informací? K již uvedeným zdrojům politik (obchodní cíle,
legislativa, smlouvy) je nutné připojit bezpečnostní rizika. Správné stanovení
bezpečnostních rizik vůči aktivům dané organizace vytváří podklad pro
identifikaci odpovídajících přiměřených bezpečnostních opatření. Tato opatření,
jsou-li vhodně zobecněna, resp. rozpracována, tvoří základ bezpečnostní politiky
požadované úrovně. Postupy vedoucí k ohodnocení rizik (přes stanovení hodnot
aktiv) a k velikosti hrozeb a zranitelností jsou určující pro výsledné formulace
bezpečnostních politik. Politiky tak odrážejí na příslušné úrovni požadovaná
bezpečnostní opatření, která byla pro eliminaci zjištěných rizik formulována na
základě výběru z katalogů (normy) nebo jako výstup z automatizovaného expertního
systému (např. metoda analýzy a zvládání rizik CRAMM -CCTA Risk Analysis and
Management Method). Pevná a prokazatelná vazba mezi aktivy a přiměřenými
formulacemi ochranných bezpečnostních politik je tak díky stanoveným rizikům
vždy zajištěna. Zařazení pravidla o stanovování bezpečnostních rizik informací
organizace, včetně jeho povinné aplikace do nadřazené politiky bezpečnosti
informací, ukazuje, jak systémově správně řešit tvorbu bezpečnostních politik.
Rámcové postupy, které vedou k formulaci a vytvoření specializovaných politik,
jsou tak součástí politik nadřazených.
Od požadavků politiky k řešení bezpečnosti
Rozebrali jsme první obecnou část
tvorby systému řízení bezpečnosti - stanovení bezpečnostních požadavků ve formě
politik. Odpověď na otázku, jak přejít od požadavků k jejich řešení, tedy k
implementaci politik, dává bezpečnostní projekt. Činnosti spojené s
bezpečnostním projektem spočívají v nalezení a v popisu realizace stanovených
bezpečnostních opatření v celé jejich šíři. Technická opatření je třeba
promítnout do bezpečnostní architektury IT organizace, což znamená najít
jednotlivé komponenty IT infrastruktury a na ně navázat jednotlivá požadovaná
bezpečnostní opatření. Případně může být nutno pro jistou část bezpečnostních
opatření stávající infrastrukturu vylepšit (nové prvky nebo prvky s novými,
bezpečnost podporujícími vlastnostmi). Netechnická (fyzická, personální a
procedurální) opatření je třeba dostat do života formou směrnic. Bezpečnostní
projekt tvoří organizace ve spolupráci svých odborných IT útvarů s externím
dodavatelem - bezpečnostním specialistou. Stranou projektu nesmějí zůstat
případní dodavatelé aplikačního programového vybavení do organizace, neboť
bezpečnostní projekt realizuje požadavky politik i v této oblasti. Výstupy z
bezpečnostního projektu popisují, jak byly bezpečnostní architekturou
realizovány a implementovány bezpečnostní požadavky z příslušných politik a jaké
byly vytvořeny podpůrné procedury k jejich prosazení. Zpracované bezpečnostní
příručky pro uživatele a správce pak dávají detailní návod pro obsluhu,
nastavení a údržbu bezpečnostních mechanismů. Důležitou součástí bezpečnostního
projektu je rozpracovávání vhodné řídící bezpečnostní struktury organizace,
spolu s vydefinováním základních rolí, odpovědností a povinností v systému
řízení bezpečnosti, včetně vhodné klasifikace aktiv organizace. Vazba této
organizační normy na základní manažerské činnosti organizace je zajištěna
nadřazenou bezpečnostní politikou informací, která zavazuje vedení organizace
bezpečnost řídit a spravovat. Dalším klíčovým dokumentem bezpečnostního projektu
se základní platností pro celou organizaci je dokument "Obnova funkčnosti IT
systémů organizace". Ten poskytuje rámcový návod na řešení havarijních situací v
organizaci pomocí rozpracovaného systému detailních a průběžně aktualizovaných
havarijních plánů jednotlivých informačních systémů. Základy nouzového
plánování, vyjádřené v tomto dokumentu, mají přímou vazbu na bezpečnostní
politiky, protože jsou spojeny s identifikovanými nejcennějšími aktivy a
odvozeny od míry rizika jim hrozící. Pro řešení bezpečnostních incidentů v
organizaci slouží "Manuál zvládání bezpečnostních incidentů", který definuje
bezpečnostní incident a popisuje činnosti zúčastněných na jeho identifikaci,
lokalizaci, zvládnutí a vyšetření. Bezpečnostní projekt dále obsahuje výčet a
přiřazení netechnických bezpečnostních opatření zejména organizačního
charakteru, která směřují do příslušných útvarů organizace (personální
bezpečnost, fyzická bezpečnost, provozní a vývojová bezpečnost).
Implementace řešení bezpečnosti
Zpracovaný bezpečnostní projekt, který
představuje realizaci bezpečnostních politik, je nyní třeba uvést v život -
implementovat. Tato činnost představuje především manažerské úsilí, při kterém
se organizace snaží implementací přeměnit bezpečnostní projekt ve fungující
bezpečnostní systém. Stručně řečeno jde o to, jak vypracovaný bezpečnostní
projekt, tedy jeho technickou i netechnickou část, zavést do každodenního
fungování organizace. Při implementaci roste důležitost role organizace a jejích
odborných útvarů. Celá činnost musí být v rámci organizace dobře koordinována a
vedena, a to i ve směru k případným dodavatelům aplikačního vybavení. Dodavatel
bezpečnostního projektu pomáhá při efektivní plošné implementaci technických
opatření dle bezpečnostního projektu, upravuje a zpřesňuje bezpečnostní
dokumentaci a spolupodílí se na implementaci dalších, ve fázi projektu jen
připravených, netechnických bezpečnostních opatření organizačního charakteru.
Další jeho činností je školení implementátorů, správců i uživatelů tak, aby
celkové bezpečnostní povědomí přispělo k pochopení, osvojení a vědomé podpoře
implementovaných opatření u co nejširší komunity uživatelů. Implementace
bezpečnostního projektu představuje velmi komplexní, rozsáhlou činnost, znatelně
zasahující do běžného každodenního fungování organizace. Je třeba mít na
zřeteli, že tvorba bezpečnosti a obzvláště její implementace je vždy proces,
nikoli stav. Běžně se totiž stává, že původní časové odhady při implementaci
byly vyčerpány, a to včetně připravených rezerv, a stále ještě zbývá uvést v
život řadu např. netechnických organizačních opatření. Nechci na tomto místě
navádět k "nedodělkům", ale ze zkušenosti připojuji, že je třeba vždy dobře
zvážit, kam až je možné původní termíny posunout. Rozhodně díky zpřesňovanému
harmonogramu je v každém okamžiku implementace zřejmé, jak práce postupují a co
ještě zbývá. Je tedy možné "plánovaně" řídit přesun implementace některých
organizačních opatření až na pozdější dobu. Vlastní implementace končí
provedením akceptačních bezpečnostních testů majících za úkol přesvědčit a
dokumentovat, že zvláště požadovaná technická opatření byla implementována
správně, v požadovaném rozsahu a plně v souladu s bezpečnostní dokumentací.
Provozování, kontrola a vyhodnocení
Bezpečnostní systém je předán do provozu
a podřízen periodické kontrole, zda realizovaná a implementovaná opatření
bezpečnostních politik pracují efektivně a v souladu s tím, jak byla zamýšlena.
Postupně jsou procházeny jednotlivé oblasti řešené v bezpečnostních politikách,
případné odchylky jsou dokumentovány a odstraňovány nápravnými akcemi. Po jejich
vyhodnocení v širším kontextu bezpečnostních politik pak dochází i k případným
úpravám příslušných částí bezpečnostního projektu. Vykazuje-li bezpečnostní
systém uspokojivý stav, je třeba věnovat se měnícím se podnikatelským požadavkům
dané organizace, zachycovat a vyhodnocovat technologické změny a periodicky
zkoumat stav hrozeb a zranitelností.
Závěr
Bezpečnostní systém představující správně vytvořené, realizované a do
každodenního fungování organizace implementované bezpečnostní politiky se stává
pevným základem funkčního systému řízení bezpečnosti organizace. Je základním
prvkem jistoty managementu, že aktiva organizace jsou dostatečně zabezpečena
proti poškození nebo zničení.
Vzhledem k narůstajícímu počtu útoků na data a jiná aktiva řady organizací může vést podceňování bezpečnostního systému k vážnému porušování povinností při správě majetku a zanedbávání chování dobrého hospodáře. Následky pak mohou být vážné pro organizaci i její vedení. Aktivní práce zaměřené na vybudování bezpečnostního systému organizace jsou tak pozitivním krokem managementu k zajištění aktiv organizace a čistého svědomí vzhledem k řešení potenciálních rizik. Informace o vytvoření bezpečnostního systému se v současnosti stává konkurenční výhodou na trhu, která deklaruje kvalitu firmy.
Normy:
[1] ČSN ISO/IEC 17799 Informační technologie - Soubor postupů pro
řízení informační bezpečnosti.
[2] ČSN ISO/IEC TR 13335-4 Informační
technologie - Směrnice pro řízení bezpečnosti IT - Část 4: Výběr ochranných
opatření.