Bankovní institut vysoká škola Praha
Bezpečnostní rozhraní mezi informačními systémy Bakalářská práce
Zbyněk Marx
Červenec, 2009
Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování
Bezpečnostní rozhraní mezi informačními systémy Bakalářská práce
Autor:
Zbyněk Marx Informační technologie, Správce IS
Vedoucí práce:
Praha
Ing. Vladimír Beneš
Červenec, 2009
Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a s pouţitím uvedené literatury.
V Praze dne 11. 7. 2009
Zbyněk Marx
Poděkování: Na tomto místě bych rád poděkoval panu Ing. Vladimíru Benešovi za hodnotné rady, zajímavé podněty a pomoc při psaní této bakalářské práce.
Anotace První část bakalářské práce uvádí čtenáře do oblasti ochrany informací v informačním systému, druhá pak podrobněji rozebírá problematiku analýzy rizik. Ve třetí, neobsáhlejší části, je probírána organizace bezpečnosti, klasifikace informací, stanovení vlastníků informací, bezpečnostní opatření a nejpouţívanější bezpečnostní rozhraní. Samotný závěr třetí kapitoly přináší pohled na problematiku bezpečnosti zaměstnanců a sociálního inţenýrství. Čtvrtá, poslední část, shrnuje výsledek bakalářské práce.
Annotation First part baccalaureate work features reader to the save area information in information system, second then in more detail construes problems risk analysis. In third, inextensive parts, is mull over organization security factor, classification information, assesment owner information, security procuration and most widely used security interface. End third chaps bears view of problems safeness employees and social engineering. Fourth, last part, summarises result baccalaureate work.
Obsah ÚVOD ..................................................................................................................................................................... 7 1.
BEZPEČNOSTNÍ SYSTÉM ...................................................................................................................... 8 1.1. INFORMACE A BEZPEČNOST .................................................................................................................. 8 1.1.1. Rozdělení informací z pohledu společnosti ..................................................................................... 9 1.1.2. Proč chránit informace ................................................................................................................... 9 1.1.3. Co znamená zabezpečení informací ................................................................................................ 9 1.1.4. Informační systém ......................................................................................................................... 10 1.1.5. Systémové řešení bezpečnosti ........................................................................................................ 10
2.
VÝČET RIZIK .......................................................................................................................................... 14 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9.
3.
STANOVENÍ HRANICE ANALÝZY RIZIK ................................................................................................ 15 IDENTIFIKACE AKTIV .......................................................................................................................... 15 OHODNOCENÍ AKTIV ........................................................................................................................... 15 SESKUPENÍ AKTIV ............................................................................................................................... 17 IDENTIFIKACE HROZEB........................................................................................................................ 17 ROZDĚLENÍ HROZEB............................................................................................................................ 18 ANALÝZA HROZEB .............................................................................................................................. 18 STANOVENÍ MÍRY RIZIK ...................................................................................................................... 19 ZPRÁVA O ANALÝZE RIZIK .................................................................................................................. 21
STANOVENÍ BEZPEČNOSTNÍ POLITIKY ........................................................................................ 22 3.1. ORGANIZACE BEZPEČNOSTI ................................................................................................................ 23 3.1.1. Bezpečnostní funkce ...................................................................................................................... 23 3.1.2. Bezpečnostní procesy .................................................................................................................... 23 3.1.3. Bezpečnostní pravidla při outsourcingu ........................................................................................ 25 3.1.4. Výčet nedostatků v organizaci a řízení bezpečnosti ...................................................................... 26 3.2. KLASIFIKACE INFORMACÍ ................................................................................................................... 27 3.2.1. Model klasifikace informací .......................................................................................................... 27 3.2.2. Klasifikace informací z pohledu důvěrnosti .................................................................................. 28 3.2.3. Klasifikace informací z pohledu integrity...................................................................................... 29 3.2.4. Klasifikace informací z pohledu dostupnosti ................................................................................. 30 3.3. STANOVENÍ VLASTNÍKŮ INFORMACÍ ................................................................................................... 31 3.4. BEZPEČNOSTNÍ OPATŘENÍ ................................................................................................................... 34 3.4.1. Řízení a zabezpečení informačního systému.................................................................................. 36 3.4.2. Řízení přístupu k informacím ........................................................................................................ 39 3.4.3. Vývoj částí informačního systému ................................................................................................. 39 3.4.4. Fyzická bezpečnost ........................................................................................................................ 40 3.4.5. Personální bezpečnost ................................................................................................................... 40 3.4.6. Kontinuita podnikání ..................................................................................................................... 44 3.4.7. Soulad s právem a legislativou ...................................................................................................... 45 3.4.8. Monitorování a audit informačního systém ................................................................................... 46 3.5. VÝČET BEZPEČNOSTNÍCH ROZHRANNÍ ................................................................................................ 48 3.5.1. Firewally ....................................................................................................................................... 48 3.5.2. Intrusion Detection System (IDS) .................................................................................................. 52 3.5.3. Intrusion Prevention System (IPS) ................................................................................................ 53 3.5.4. Kryptografické nástroje................................................................................................................. 54 3.6. ZAMĚSTNANEC: BEZPEČNOSTNÍ ROZHRANNÍ ČI HROZBA? ................................................................... 58 3.6.1. Sociální inženýrství ....................................................................................................................... 65
4.
ZÁVĚREČNÉ ZHODNOCENÍ ............................................................................................................... 69
POUŽITÁ LITERATURA ................................................................................................................................. 70 SLOVNÍK ODBORNÝCH TERMÍNŮ ............................................................................................................. 71
Úvod Cílem práce je probrání nejpouţívanějších bezpečnostních rozhranní a vyzdvihnutí těch nejvíce efektivních a nejdůleţitějších. První kapitola, nazvaná Bezpečnostní systém, se hned v úvodu pouští do rozboru informací z pohledu firmy. Rozčleňuje informace do jednotlivých oblastí, zdůvodňuje ochranu informací a osvětluje základy zabezpečení informací. Ve své druhé polovině zasazuje informace do kontextu s informačním systémem a následně i se systémovým řešením bezpečnosti. Druhá kapitola, jak napovídá samotný její název Výčet rizik, se zaobírá celým průběhem analýzy rizik. Od stanovení hranice analýzy, přes analýzu hrozeb, aţ po závěrečnou zprávu. Obsáhlá třetí kapitola, nesoucí titulek Stanovení bezpečnostní politiky, se dále dělí do šesti podkapitol, kde jsou probírány v rámci Organizace bezpečnosti bezpečnostní funkce, procesy a pravidla, následuje Klasifikace informaci z pohledu důvěrnosti, integrity a dostupnosti,
první
trojici
podkapitol
uzavírá
Stanovení
vlastníků
informací.
Čtvrtá podkapitola, Bezpečnostní opatření, pak konkrétně probírá osm hledisek ochrany informací, pátá čítá seznam technických bezpečnostních rozhranní, poslední podkapitola probírá problematiku bezpečnosti zaměstnanců a sociálního inţenýrství. Závěrečná kapitola shrnuje zjištěné výsledky.
7
1. Bezpečnostní systém Aby mohla firma úspěšně prosperovat, musí efektivně vyuţívat znalosti, kterými konkurence nedisponuje. Veškeré znalosti uţívané při řízení společnosti lze nazvat informacemi neboli nehmotnými aktivy, která patří mezi nejdůleţitější konkurenční výhody na trhu. Proto se firmy snaţí pomocí analytického zpracování vyuţít informace co nejefektivněji. Informace uţívané společností patří mezi její nejcennější aktiva, poněvadţ informace jsou pro ni v drtivé většině případů nepostradatelné a mnohdy i ţivotně důleţité. Z podstaty důleţitosti informací pro společnost pramení potřeba jejich ochrany a zabezpečení. Zabezpečením informací společnost sniţuje moţnost znehodnocení nebo poškození významných aktiv společnosti.
1.1. Informace a bezpečnost Úspěšná realizace zabezpečení elektronických informací ve firmě je podmíněna tím, aby se řídící pracovníci a zaměstnanci seznámili alespoň se základy uvedené problematiky, uvědomili si nezbytnost řízení bezpečnosti v zájmu prosperity firmy a podporovali řešení bezpečnostní problematiky. Avšak ochrana elektronických informací a zabezpečení informačních systémů je v současnosti v mnoha obchodních firmách na nízké úrovni. Změny pohledu pracovníků často zůstávají pozadu za rychle se měnící technikou. Mnoho manaţerů a specialistů stále postrádá potřebné informace o procesu zabezpečení informací a řešení bezpečnostní problematiky ve firmě se vyhýbá, pověřují tím raději jiné pracovníky apod. Zavádění bezpečnosti ve firmě přináší finanční náklady, ale nikoliv okamţitý přímý zisk. Často je úspěšnost manaţerů společnosti hodnocena podle toho, zda dosáhnou dílčích stanovených cílů v krátkém čase s minimálními náklady. Tento přístup hodnocení pak mnohé vedoucí pracovníky vede k odkládání řešení bezpečnostní problematiky na „pozdější dobu" a k dílčímu a nekoncepčnímu řešení bezprostředně po výskytu bezpečnostních incidentů. Avšak zajištění bezpečnosti elektronických informací je jednou z podmínek dosaţení ziskovosti a konkurenceschopnosti organizace, plnění zákonných povinností a vybudování dobrého jména společnosti. Zabezpečením elektronických informací společnost redukuje moţnost znehodnocení nebo poškození jedněch z nejdůleţitějších aktiv společnosti, na kterých je navíc závislá její činnost. 8
1.1.1.
Rozdělení informací z pohledu společnosti
Informace lze rozdělit podle několika hledisek. Z pohledu firmy na pět typů informací: a) interní informace společnosti (strategické plány) b) interní znalosti (know-how), které nejsou dostupné konkurenci c) informace o zaměstnancích společnosti d) informace o klientech a obchodních partnerech e) informace z volně přístupných zdrojů (internet, zpravodajství, knihy, katalogy)
1.1.2.
Proč chránit informace
Pro ochranu informací existují tři důvody: a) povinnost plynoucí z legislativy České republiky nebo směrnic doporučených od Evropské unie (ochrana osobních údajů) b) závazky k obchodním partnerům či zákazníkům (detaily smluv) c) vlastní strategie firmy (utajení interních informací) Začátku 21. století jednoznačně dominuje pořizování informací v elektronické podobě a vzhledem k trvalému rozvoji informačních technologií lze předpokládat vzrůstající mnoţství takto zpracovaných informací i jejich procentuální zastoupení v rámci objemu informací ve firmě. Nelze opomenout ale ani ostatní druhy forem podávání informací, jako jsou písemné dokumenty, telefonování, faxování či mluvená řeč.
1.1.3.
Co znamená zabezpečení informací
Lidé často povaţují bezpečnost informací za zamezení přístupu k informacím neoprávněným osobám. Jedná se však pouze o částečné zabezpečení informace. Celkové zabezpečení informací zahrnuje zajištění důvěryhodnosti, integrity a dostupnosti informace. a) důvěryhodnost – zajišťuje prevenci proti neoprávněnému uţití informace b) integrita – chrání proti neautorizované modifikaci informace c) dostupnost – brání proti znemoţnění oprávněného pouţití informace
9
Uţivatele většinou zajímá pouze jistota dostupnosti informací, aby mohly nerušeně vykonávat svou práci. Otázka důvěryhodnost a integrity nastává aţ při vzniku bezpečnostního incidentu – to je uţ ale bohuţel pozdě.
1.1.4.
Informační systém
Veškeré firemní informace se nacházejí v informačním systému (IS), coţ je funkční celek, který zabezpečuje systematické shromaţďování, zpracování, uchovávání a zpřístupňování informací, přičemţ integruje data, informační technologie (SW, HW), finance, prostupy (procesy, předpisy aj.) a lidi. Data prezentují všechny skutečnosti, pojmy nebo údaje, které vznikají, jsou uchovávány a zpracovávány v rámci činnosti firmy tak, aby bylo moţné jejich zpřístupňování, interpretace či zpracování lidmi nebo automatizovanými prostředky.
Informační systém Lidé
finance
uţivatelé
data
správci IT HW
SW postupy
Obrázek č. 1: Schéma jednotlivých složek informačního systému Zdroj: [1]
1.1.5.
Systémové řešení bezpečnosti
Aby bylo zabezpečení informací účinné, musí být vybudováno jako systémové bezpečnostní řešení chránící celou firmu, které má předdefinované vlastnosti a parametry.
1.1.5.1.
Vymezení oblastí bezpečnosti
V podstatě, bezpečnostní systém musí kontrolovat, případně řídit, tři typy aktiv: a) informace
10
b) hmotný majetek c) lidi Z výchozích tří typů aktiv vyplynou tři oblasti bezpečnosti: a) informační bezpečnost b) fyzická (majetková) bezpečnost c) personální bezpečnost
1.1.5.2.
Plánování zabezpečení
Pro eliminaci slabých míst a vytvoření komplexního bezpečnostního řešení, musí být realizováno několik kroků. a) Vypracování bezpečnostní strategie firmy – Realizací zabezpečení musí být pověřen konkrétní člověk či pracovní útvar, který vypracuje a předloţí vedení firmy ke schválení dokument o bezpečnostní strategii firmy, tzv. bezpečnostní záměr. Spis stručnou (o rozsahu 1 aţ 2 stran) a všem zainteresovaným osobám obecně srozumitelnou formou (bez technických výrazů) nastíní cílový stav firemní bezpečnosti a způsob jakým bude informační bezpečnost řešena. Zpravidla bývá cílem zamezení zneuţití, neoprávněné modifikace, poškození, nedostupnost nebo zničení informací. Mohou být i zmíněny okruhy informací, které budou zabezpečeny, při potřebě zabezpečit pouze vybranou oblast informací. b) Analýza rizik – Na základě stanovených cílů z bezpečnostního záměru vystává potřeba zmapování stávajícího stavu bezpečnosti, tzv. analýza rizik z pohledu bezpečnosti. Analýzu rizik by měli vytvořit odborníci na danou problematiku, ideálně pak externí specializovaná firma ve spolupráci s interními odborníky a členy týmu řešících bezpečnost, u kterých se předpokládá, ţe budou v budoucnu analýzu rizik provádět. Výstupem analýzy rizik je zpráva o aktuálním stavu bezpečnosti ve firmě, kde popisuje nalezená bezpečnostní rizika a navrhuje opatření k odstranění či minimalizaci rizik na přijatelnou úroveň akceptovatelnou firmou. Pro větší srozumitelnost se doporučuje rozpracovat analýzu rizik do dvou částí. V první části, určené pro odborné pracovníky, detailně rozepsat existující rizika
11
a navrhovaná opatření. V druhé, určené zejména pro vedení firmy, popsat stávající stav a zdůvodnit nápravná opatření. c) Bezpečnostní politika informačního systému – Na základě získaných informací z analýzy rizik se vyhotoví bezpečnostní politika informačního systému. Tento dokument definuje všechny aktivity spojené s informační bezpečností. Po schválení vedením firmy se stává dokument bezpečnostní politiky závazný jak pro všechny firemní zaměstnance tak i pro ostatní zainteresované osoby, které přijdou s informacemi do styku. d) Implementace bezpečnostní politiky do IS – Základní bezpečnostní principy bezpečnostní politiky je třeba zapracovat v systémových bezpečnostních politikách a předpisech. e) Realizace bezpečnostní politiky – Samotné provedení bezpečnostních opatření vyplývající bezpečnostní politiky lze provést téměř ihned (konfigurace serverů) nebo i v několika fázích (školení zaměstnanců, implementace nových systémů). f) Monitorování, audit, analýza nových potřeb – Po zavedení bezpečnostní politiky je vhodné nastavit pravidelné kontroly a audit stavu zabezpečení a následně dle získaných poznatků provést nápravná opatření. Po vybudování tvoří firemní bezpečnostní systém tři vzájemně koordinované systémy: a) bezpečnostní systém informačního systému b) systém fyzické ochrany c) systém ochrany osob Přitom kaţdý z výše uvedených systémů je sloţen ze tří sloţek: a) řízení bezpečnosti – obsahuje sloţku personální a procedurální. Personální sloţka stanovuje odpovědnost a pravomoci jednotlivých pracovních pozic v oblasti bezpečnosti. Procedurální sloţka stanovuje postupy pro pracovní pozice při správě a auditu zabezpečení aktiv firmy. b) bezpečnostní opatření – realizují zabezpečení aktiv. c) bezpečnostní dokumentace správní dokumentace (slouţí k řízení bezpečnostního systému a jeho auditu)
12
provozní dokumentace (provoz a údrţba bezpečnostního systému) uživatelská dokumentace (vytvořeno několik typů dokumentů podle povinností pracovních pozic) plány řešení bezpečnostních incidentů – popisují procesní řešení incidentu, odpovědnosti a pravomoci pracovních pozic, které se na řešení incidentu podílejí. havarijní plány – řeší procesy a činnost jednotlivých pracovních pozic těsně po havárii s cílem minimalizace dopadů havárie a stanovuje procesy a činnosti pro uvedení prostředí firmy do původního stavu pře havárií.
Bezpečnostní systém společnosti
Bezpečnostní systém IS
Systém fyzické ochrany
Systém ochrany osob
Řízení bezpečnosti
Řízení bezpečnosti
Řízení bezpečnosti
Bezpečnostní opatření
Bezpečnostní opatření
Bezpečnostní opatření
Bezpečnostní dokumentace
Bezpečnostní dokumentace
Bezpečnostní dokumentace
Obrázek č. 2: Schéma bezpečnostního systému společnosti Zdroj: [1]
13
2. Výčet rizik Za klíčový krok při budování zabezpečeného informačního systému lze označit analýzu rizik, jejíţ cíl spočívá z rozboru aktuální bezpečnostní situace, ve které se informační systém nachází a následně na jejím základě návrhu dalšího postupu (opatření). Je důleţité, aby vedení společnosti zaměstnancům vysvětlilo podstatu a důleţitost vypracování bezpečnostní analýzy, jelikoţ kvalita analýzy nezanedbatelnou měrou závisí i na ochotě zaměstnanců spolupracovat a podílet se na jejím zhotovení. Aby byl průběh bezpečnostní analýzy co nejrychlejší, je třeba si stanovit priority z hlediska dopadu a pravděpodobnosti jejich výskytu a zaměřit se na klíčové rizikové oblasti. Součástí dobrého řízení společnosti je řízení rizik informačního systému. Jak uţ jsme zmínily výše, společnost můţe riziko akceptovat, sníţit, převést na jiný subjekt či se riziku zcela vyhnout. Všeobecná analýza rizik obsahuje hned několik na sebe navazujících kroků znázorněných v diagramu níţe.
Stanovení hranice analýzy rizik Identifikace aktiv Ohodnocení aktiv Seskupení aktiv Identifikace hrozeb Analýza hrozeb, zranitelností a stanovení míry rizik Návrh bezpečnostních opatření Obrázek č. 3: Postup při realizaci analýzy rizik informačního systému Zdroj: [1]
14
2.1. Stanovení hranice analýzy rizik Celý proces analýzy rizik začíná vymezením aktiv, které budou zahrnuty do ochrany bezpečnostního systému a tedy i bezpečnostní analýzy. Hranice se stanovuje na základě předem stanovených cílů, které vytyčují, za jakým účelem bezpečnostní systém vzniká. Můţe jít pouze o část informačního systému (emailová pošta, elektronické bankovnictví, know-how firmy…) anebo celý informační systém.
2.2. Identifikace aktiv Po stanovení hranice analýzy rizik přichází na řadu vytvoření seznamu aktiv, který zahrnuje všechna aktiva, která budou podléhat ochraně bezpečnostního systému. Jedná se zpravidla níţe uvedené typy aktiv. Data/informace (databáze, dokumenty, e-maily) Hardware (servery, PC, notebooky, PDA, telefony, routery, switche, tiskárny, kabely, archivační media [CD, DVD, flash disky, pásky]) Software (operační systémy, aplikace, programy) Služby – konektivita k internetu, dodávky elektřiny, pošta Prostory (budovy a místnosti) – objekty v nichţ se informace, hardware a software nacházejí Za nejproblematičtější úlohu lze označit vyhledávání informačních aktiv. Jako drobné vodítko můţeme pouţít postup podle pracovní náplně jednotlivých útvarů, v ideálním případě zaměstnanců, kdy kaţdý útvar (zaměstnanec) sepíše seznam informací, se kterými přichází do styku. Pro lepší přehlednost se doporučuje slučovat informace do výstiţných celků, tzv. informačních jednotek, kdy například v informační jednotce o zaměstnancích najdeme pohromadě mzdové a osobní údaje, nebo ve strategické jednotce data o firemním rozpočtu a know-how.
2.3. Ohodnocení aktiv Kaţdé aktivum má pro organizaci svoji hodnotu, ze které vychází stanovení úrovně bezpečnosti vyţadované pro informační systém. Nejdůleţitější skupinou jsou datová aktiva (data, informace), která jsou hodnocena z hlediska dopadů na organizaci nebo její část v případě nedostupnosti a zničení dat, prozrazení dat, a chyby (modifikace) dat. Aby bylo 15
moţné chránit data a aplikační programové vybavení, je nutné chránit také fyzická aktiva. Jedná se v podstatě o všechny aktiva, která nelze označit za informace či software. Hodnota fyzických aktiv vychází z hodnot datových a aplikačních programových aktiv, které je podporují/obsahují, a především z nákladů na jejich nahrazení. Fyzická a datová aktiva jsou propojena pomocí aplikačních programových aktiv (software), která zahrnují programové vybavení mimo operačních systémů (ty jsou součástí fyzických aktiv). Jejich hodnota se určuje stejným způsobem jako u fyzických, a to podle nákladů na jejich obnovu. Posledním typem aktiv informačního systému jsou prostory, které nejsou hodnoceny. Hodnoty dopadů jsou odvozeny od hodnot ostatních aktiv, která jsou umístěna v hodnocených prostorách. K ohodnocení aktiv existuje mnoho metodologií. Mezi nejjednodušší a nejrychlejší patří postup, kdy stanovíme stupnici celočíselných hodnot (třeba podobné té ze školy) a k ní přiřadíme hodnotící kritéria, která budou pouţita k přiřazování ohodnocení určitého aktiva. Kvalitativní ohodnocení Stupeň Hodnotící kritéria 1 zanedbatelný dopad na firmu 2 nízký dopad na firmu 3 střední dopad na firmu 4 vážné problémy 5 kritické až existenční problémy Tabulka č. 1.: Kvalitativní ohodnocení Zdroj: Vlastní zdroj
Samotné ohodnocení aktiv pak odvodíme z nákladů vzniklých v důsledku porušení důvěrnosti, integrity a dostupnosti. Typická otázka tak můţe například znít: „ Jaký dopad bude mít na firmu nedostupnost ERP systému?“ Odpověď: „Od „zanedbatelný dopad na firmu (1), aţ po kritické aţ existenční problémy (5)“. Celkovou váhu kritéria pak dostaneme vytvořením aritmetického průměru ze všech tří kritérií zaokrouhleného na celé číslo.
16
Ohodnocení aktiv Typ aktiv
Identifikovaná Důvěrnost Integrita Dostupnost aktiva
Informace Data zaměstnanců Strategie firmy Hardware Server PC, notebooky Software ERP Docházkový systém
Celková hodnota aktiva (průměr)
4 5 5 4 5
3 4 4 4 5
1 1 5 4 5
3 3 5 4 5
1
4
3
3
Tabulka č. 2: Ohodnocení aktiv Zdroj: Vlastní zdroj
Ohodnocení aktiv by měla provádět osoba, která dobře zná účel pouţívání informací a má nad problematikou dostatečný nadhled (neulpívá na detailech). Úspěšné ohodnocení informační jednotky totiţ přímo závisí na kvalitě zhotovitele, jelikoţ i přes poţadovanou objektivitu, nakonec stejně půjde o lidské subjektivní hodnocení. Proto se pro vyšší korektnost hodnocení doporučuje zvolit více respondentů – např. vedoucí daného útvaru, který s danými informace mi pracuje a uţivatel informační jednotky.
2.4. Seskupení aktiv Pro zjednodušení realizace analýzy rizik se obvykle provádí slučování aktiv do skupin aktiv. Do jedné skupiny zahrneme aktiva stejných vlastností a slouţící v rámci IS ke stejnému účelu. Například servery obsahující databáze uţívané aplikace ve společnosti a umístěné společně v jedné místnosti lze sloučit do jedné skupiny aktiv „servery". Podobně pracovní počítačové stanice v rámci celé zkoumané části IS, na nichţ je nainstalováno stejné softwarové prostředí, můţeme sloučit do jedné skupiny aktiv „pracovní stanice". Aktivům začleněným do společné skupiny aktiv pak lze přiřadit stejné hrozby a zranitelnosti.
2.5. Identifikace hrozeb Po ohodnocení informačních aktiv přichází na řadu zjišťování hrozeb, které mohou ohrozit námi identifikovaná aktiva. Pro určení hrozeb vycházíme zpravidla ze seznamu hrozeb vztahujících se k námi identifikovaným aktivům. Vyuţívají se téţ zkušenosti specialistů
17
provádějících analýzu rizik informačního systému, kteří na základě své praxe vytvoří vlastní seznam hrozeb. Mezi nejčastější hrozby patří: Pouţívání informačního systému neoprávněnou osobou Porucha hardwaru (PC, serveru, switche, chlazení, klimatizace) Výpadek sítě, a to jak elektrické, tak datové Porucha či chyba softwaru Chyba uţivatele Nedostatek pracovníků (nemoc) Přírodní katastrofy Krádeţ Poţár
2.6. Rozdělení hrozeb Hrozby lze dělit podle okolností na náhodné (poţár, chyba díky nepozornosti uţivatele) a úmyslné (krádeţ, záměrná modifikace dat). Všeobecně hrozby mohou ohrozit: Informace (modifikace/zničení informace) Hardware (kolaps serveru) Software (chyba v programu) Komunikační kanály (odposlouchávání telefonních hovorů, smazání e-mailů) Dokumentaci (ztráta dokumentace) Personál (vydírání, podplacení, nemoc, výpověď, vyzrazení tajných informací)
2.7. Analýza hrozeb Po sepsání seznamu hrozeb je třeba stanovit úrovně pravděpodobnosti hrozeb (pravděpodobnost uskutečnění hrozby), coţ můţeme opět sestavit pomocí stupnice o pěti hodnotách (velmi nízká, nízká, střední, vysoká, velmi vysoká). Při jejich určování
18
vycházíme z motivace k proniknutí k informacím, z důleţitosti, cennosti a utajení informací, pravděpodobnost výskytu hrozby aj. Spolu s tvorbou úrovní hrozeb zjišťujeme také úroveň zranitelnosti aktiv vzhledem k dané hrozbě, čímţ hledáme slabá bezpečnostní místa informačního systému. Stupnici hodnot můţeme definovat podobně jako u úrovně hrozeb. K určení úrovní hrozeb a zranitelnosti nejlépe dojdeme konzultací se správci informačního systému, vedoucími odděleních a vybranými zaměstnanci společnosti.
2.8. Stanovení míry rizik Pomocí ohodnocení aktiv, stanovení úrovní pravděpodobnosti hrozeb působících na jednotlivá aktiva a zranitelností aktiv, můţeme stanovit míru rizika hrozeb vůči danému aktivu. Míru rizika R lze vyjádřit číselně pomocí funkce, kde a představuje ohodnocení aktiva, p úroveň pravděpodobnosti hrozby a z stupeň zranitelnosti aktiva vůči dané hrozbě. Funkci lze jednoduše zobrazit prostřednictvím tabulkového procesoru do matice rizik. Pro větší přehlednost opět ohodnocená rizika rozčleníme do pěti barevně odlišených tříd rizik.
19
PC/Notebooky
ERP
Docházkový systém
Pravděpodobnost Hodnota aktiva (a ) hrozby (p) Selhání hardwaru 3 Zranitelnost (z ) Celkem (R ) Krádež 2 Zranitelnost (z ) Celkem (R ) Chyba uživatele 1 Zranitelnost (z ) Celkem (R ) Porucha/chyba sw 1 Zranitelnost (z ) Celkem (R ) Nedostatek zaměstnanců 1 Zranitelnost (z ) Celkem (R ) 0-20 Zanedbatelné riziko 21-40 Nízké riziko 41-60 Střední riziko 61-80 Vysoké riziko 81-100 Kritické riziko Popis hrozby
Server
Popis aktiva
Strategie firmy
Vrozec pro výpočet rizika: R=a×p×z
Data zaměstnanců
Matice výpočtu míry rizik
3
3
5
4
5
3
1 1 4 4 9 9 60 48 2 4 4 3 12 24 40 24 1 1 2 2 3 3 10 8 2 3 3 3 6 9 15 12 1 3 1 1 3 9 5 4
4 4 60 36 4 1 40 6 2 1 10 3 4 2 20 6 1 1 5 3
Tabulka č. 3: Matice výpočtu míry rizik Zdroj: Vlastní zdroj
Kromě námi uvedené demonstrativní „zjednodušené“ metody analýzy rizik existují daleko propracovanější metodiky jako CRAMM, COBRA nebo FRAP. Ani o jedné však nelze říci, ţe přestavuje ideální metodiku. U kaţdé můţe dojít k nedocenění názorů a pohledů interních pracovníků společnosti. Proto by měly být brány při výběru dané metodiky ohledy na její srozumitelnost a to pro všechny zainteresované strany. Pokud se vedení zkoumané společnosti neztotoţní se závěry provedené analýzy a vytvořené závěry neakceptuje, skutečný přínos bude pro společnost minimální. I proto je důleţité zapojit do analýzy rizik informačního systému vedoucí, specialisty i ostatní zaměstnance společnosti, aby výsledek analýzy co nejvíce korespondoval s reálným stavem.
Bez analýz rizik? Ne kaţdý zadavatel ale lpí na detailní (pomalé a pracné) analýze rizik a to z důvodu časové náročnosti, zapojení zaměstnanců či celkové pracnosti, a „vrhne“ se přímo do aplikace bezpečnostních opatření. Jedná se o velice rychlou metodu, kdy se aplikují všeobecně uznávaná doporučení ze standardů a norem. V tomto případě však hrozí výskyt 20
nezmapovaných a tudíţ i neošetřených rizik. Taktéţ není definována míra jednotlivých rizik, z čehoţ nelze jasně určit poţadovanou míru jednotlivých bezpečnostních opatření. Hrozí tak, ţe zabezpečení bude buď nedostatečné, nebo naopak zbytečně na vysoké úrovni.
2.9. Zpráva o analýze rizik Finální krok při analýze rizik spočívá v sestavení zprávy, která sumarizuje všechna zjištění a doporučení z provedené analýzy. Pro větší srozumitelnost se doporučuje vytvořit dvě verze zpráv. První, stručnější a všeobecně srozumitelnou verzi pro vedení společnosti, která obsahuje hlavní závěry a navrţená opatření k minimalizaci bezpečnostních rizik. Druhou detailní verzi, podrobně popisující exitující existující rizika a navrhované postupy jejich odstranění pro firemní odborníky. Obě verze by měli obsahovat: předmět analýzy (celý informační systém, e-shop, koncové stanice) účel analýzy (identifikace rizik, návrh jejich eliminace) metodika a postup jakým byla analýza provedena, lidé kteří analýzu prováděli byla nalezena rizika s katastrofálními důsledky pro společnost? uvedení hlavních zjištění rizik (řízení bezpečnosti, monitorování, definování procesů) návrh opatření k odstranění rizik Podrobná verze by měla obsahovat i popis ostatních rizik a návrh na jejich odstranění.
21
3. Stanovení bezpečnostní politiky Základním dokumentem systému řízení informační bezpečnosti, který stanovuje cíle, strategii a zásady informační bezpečnosti je bezpečnostní politika. Dokument bezpečnostní politiky se stává po schválení nejvyšším managementem společnosti závazným pro všechny zaměstnance společnosti a všechny ostatní, kteří firemní informační systém pouţívají. Mezi hlavní cíle bezpečnostní politiky informačního systému patří: definovat hlavní cíle ochrany informací určit způsob řešení bezpečnosti informačního systému vymezit pravomoci a zodpovědnost v oblasti bezpečnosti informační systému. Bezpečnostní politika informačního systému by měla být zhotovena ve dvou verzích. Jedna rozpracovaná pouze do obecných principů, kde vše bude všeobecně srozumitelné. Daní za stručnost a srozumitelnost mohou být obecné formulace, pod kterými si mnoho čtenářů nemusí dokázat představit konkrétní obsah a nemusí popisované pravidlo pochopit. A právě moţnou nesrozumitelnost má eliminovat daleko podrobněji rozepsaná druhá verze bezpečnostní politiky. Dokument bezpečnostní politiky informačního systému na obecné úrovni by měl řešit: organizaci informační bezpečnosti klasifikaci a řízení informačních aktiv personální bezpečnost fyzickou bezpečnost a bezpečnost prostředí vývoj a správu informačního systému řízení přístupu uţivatelů do informačního systému soulad s firemní strategií shodu s právem a legislativou podmínky auditu. V bezpečnostní politice by neměla chybět ani pracovní pozice, ze které lze ve výjimečném stavu povolit činnost, která není v souladu se zásadami z bezpečnostní politiky. Bezpečnostní politika představuje pro kaţdou společnost specifický dokument, proto jej 22
nelze bez jakéhokoliv přizpůsobení aplikovat na jinou firmu. Tatáţ bezpečnostní opatření mohou být pro druhou firmu zbytečně přísné nebo naopak nedostatečné.
3.1. Organizace bezpečnosti Aby bylo moţné ve společnosti prosazovat a řídit bezpečnost informačního systému, je potřeba určit potřebné pracovní role, podle kterých má kaţdý vedoucí pracovník vymezenou oblast odpovědnosti, a taktéţ vytvořit procesy, prostřednictvím nichţ jsou realizovány zásady bezpečnosti.
3.1.1.
Bezpečnostní funkce
Aby bezpečnostní politika mohla efektivně fungovat, musí být veškeré aktivity v oblasti informačního systému řízeny centrálně a téţ za kaţdou aktivitu musí odpovídat konkrétní zaměstnanec. Proto se doporučuje vytvořit ve společnosti pozici Bezpečnostního ředitele informačního systému (v menší firmě můţe tuto úlohu zastávat někdo z vedoucích pozic). Pro moţnost vedoucím pracovníků firmy iniciovat poţadavky v oblasti bezpečnosti a vyjádřit se k návrhům bezpečnostního ředitele informačního systému, je vhodné zřídit Výbor bezpečnosti informačního systému. Výbor můţe slouţit i jako poradní orgán nejvyššího vedení společnosti při přijímání rozhodnutí v oblasti bezpečnosti informačního systému. Aby mohli vyjádřit své názory i ostatní zaměstnanci, doporučuje se ustanovit Fórum bezpečnosti, například formou emailové schránky či intranetové chatovací stránky. Bezpečnostní ředitel by měl zodpovídat za projednání relevantních připomínek předloţených fóru bezpečnosti a za vyrozumění autorů připomínek s přijatými stanovisky.
3.1.2.
Bezpečnostní procesy
Nezbytnou podmínku zajištění systémového a úplného řízení bezpečnosti představuje nejen ustanovení bezpečnostních rolí a orgánů, ale i realizace bezpečnostních aktivit pomocí přesně určených procesů. Kaţdý proces má definované vstupní podmínky, řídící část přenosu a moţné výstupy procesu. Příkladem procesu je například přidělení přístupových práv novému zaměstnanci nebo začlenění nového softwarového nástroje do informačního systému atp. Pro definování procesního řízení lze pouţít například metodologie CobiT nebo ITIL. Zatímco CobiT pokrývá všechny oblasti řízení IS, ITIL se zabývá řízením ICT infrastruktury a jejími sluţbami. Obě metodologie přitom mohou fungovat společně. CobiT se hodí především pro tvorbu strategie a dlouhodobých 23
firemních cílů. ITIL podává rady ohledně efektivního poskytování sluţeb a řízení provozu v oblasti sluţeb.
CobiT (Control Objectives for Information and Related Technology) Jedná se mezinárodně uznávaný standard, jehoţ náplň spočívá v zajištění ţivotního cyklu informační a komunikačních technologií (ICT) v souladu s obchodními poţadavky. Metodika CobiT je procesně orientovaný nástroj umoţňující začlenit ICT do budování a strategie společnosti. Řízení CobiTu staví na třech základních částech: Informační kritéria – stanovují poţadavky na ICT, z jejich plnění lze odvodit plnění daných cílů (např. zajištění dostupnosti). Zdroje – prostředky které lze při řízení vyuţít (aplikace, lidé) Procesy – činnosti prováděné při řízení (např. hodnocení aktiv, hledání rizik).
Obchodní požadavky
Procesy Informačního systému
Zdroje Informačníhosystému
Obrázek č. 4: Základní princip CobiTu Zdroj: [1]
Kaţdý proces má svého vlastníka a obsahuje informace typu: Vstupy – co vlastník procesu potřebuje od ostatních subjektů Výstupy – co ostatní subjekty vyţadují od vlastníka procesu, co má být výsledkem procesu 24
Cíle a metriky – stanovují, jak je hodnocena kvalita realizace sluţby Model zralosti – ukazuje, jak můţe být proces zlepšen
ITIL (Information Technology Infrastructure Library) Jde o mezinárodně uznávaný standard v oblasti řízení IT sluţeb, které IT infrastruktura poskytuje. ITIL pouţívá procesní řízení, definuje obsah procesů (jejich vstupů, výstupů, aktivity které jsou součástí procesů, metriky pro měření kvality procesů). Zároveň definuje role, jejich odpovědnosti a činnosti při realizaci jednotlivých procesů. Standard ITIL shrnuje nejlepší zkušenosti z praxe (best practice). Obsahuje celkem osm kniţních svazků, jeden z nich se věnuje přímo řízení bezpečnosti (security management), konkrétně procesům plánování a řízení bezpečnosti informací a IT sluţeb a řešení bezpečnostních incidentů.
3.1.3.
Bezpečnostní pravidla při outsourcingu
Podstata outsourcingu spočívá v převedení činnosti, která netvoří podstatu předmětu podnikání společnosti, na externího poskytovatele (např. externí úklidová sluţba, účetnictví,
stravování).
Outsourcing
přináší
výhody
v podobě
sníţení
nákladů
na zaměstnance, pořízení sw a hw či řízení provozu. Pokud však firma svěří zpracování některých informací třetím stranám, musí obstarat i jejich zabezpečení informací na poţadované úrovni. Proto je potřeba, aby na odpovídající úrovni byla realizována potřebná bezpečnostní opatření a procedury pro IS, v němţ externí společnost informace zpracovává. Bezpečnostní poţadavky při zpracování informací externí společností by měli být
součástí
smlouvy
mezi
společností
a
externím
poskytovatelem
sluţby.
Smlouva by měla obsahovat: Uvedení obecných pravidel a zásad, které bude externí společnost uplatňovat s cílem zajištění bezpečnosti informací. Jakým způsobem budou plněny právní poţadavky na provoz IS (ochrana osobních údajů). Zajištění odpovědnosti za dodrţení bezpečnostních poţadavků i u subdodavatelů externí společnosti. Jaká opatření budou realizována k zajištění důvěrnosti a integrity informací.
25
Způsob zabezpečení citlivých informací vůči neautorizovanému přístupu, jak bude omezen přístup k citlivým informacím pro neoprávněné uţivatele (časové omezení, na jakých pracovních stanicích). Forma
monitorování
aktivit
uţivatelů
IS,
vyhodnocování,
zda nedošlo ke kompromitaci informací (jejich vyzrazení, modifikace). Způsob zajištění dostupnosti informací v případě havárie. Stanovení odpovědných osob za správu a instalaci hardwaru a softwaru. Procedura přidělování přístupových práv k informacím, způsob autorizace uţivatele při přístupu do systému. Proces hlášení a šetření bezpečnostních incidentů. Stanovení, za jakých podmínek je poskytovaná sluţba z bezpečnostního hlediska akceptovatelná. Vyhrazení si práva provedení auditu stavu zabezpečení informací v externí společnosti. V případě potřeby moţnost rozšíření smlouvy o její dodatek a bezpečnostní poţadavky na základě jeho schválení oběma stranami. Úroveň a kvalita poskytovaných sluţeb externím dodavatelem se stanovuje na základě písemné dohody obou zúčastněných stran. Jde o tzv. SLA (Service Level Agreement).
3.1.4.
Výčet nedostatků v organizaci a řízení bezpečnosti
Mezi nejčastější nedostatky v organizaci a řízení bezpečnosti patří: Informační bezpečnost není managementem podporována nebo je podporována pouze formálně (schvalování bezpečnostních předpisů bez podpory jejich praktické realizace a kontroly jejich dodrţování). Nekomplexní řízení. Neexistence
některých
bezpečnostních
rolí
nezbytných
k vybudování
zabezpečeného IS. Nejasné vymezení pravomocí a povinností pracovníků v oblasti bezpečnosti IS, překrývání pravomocí. 26
Absence klasifikace informací ve společnosti a stanovení pravidel jak s informacemi jednotlivých kategorií zacházet. Analýza rizik není prováděna periodicky. Bezpečnostní politika informačního systému a bezpečnostní předpisy nepokrývají komplexně bezpečnostní problematiku, není prováděna její aktualizace. Nedostatečně prováděný bezpečností audit IS. I kdyţ probíhá monitorování aktivit uţivatelů IS a vytvářejí se záznamy, nefunguje průběţné vyhodnocování získaných dat. Nevyřešení všech otázek outsourcingu. Nízké bezpečnostní podvědomí zaměstnanců. Nedostatečné
prověření
uchazečů
na
pozici
vyţadující
vyšší
úroveň
důvěryhodnosti.
3.2. Klasifikace informací Informace se vyskytují ve firmě v různých formách, například ve formě elektronické, písemné, mluvené, přičemţ kaţdá z forem má odlišnou důleţitost a význam. Abychom mohli informace přiměřeně chránit ve všech formách, ve kterých se ve firmě nachází, musí fungovat klasifikace informací. Pokud by totiţ fungovalo řešení ochrany informací zpracovaných a přenášených v elektronické formě bez vazby na ostatní formy, nešlo by o příliš efektivní řešení. Pokud ve firmě nefunguje klasifikace informací, dochází buď k nedostatečnému, nebo naopak nadměrnému zabezpečení informací.
3.2.1.
Model klasifikace informací
Firemní informace vyţadují ochranu ze tří hledisek: důvěrnosti, integrity a dostupnosti. Aby zabezpečení působilo komplexně, je potřeba zavedení jednotné klasifikace informací, které bude respektovat celá firma. Za primární klasifikaci lze povařovat hledisko důvěrnosti, protoţe obsah představuje nejdůleţitější obsah informace. Na druhou stranu hodnocení z hlediska dostupnosti a integrity vyjadřuje spíše technický význam. Aby se klasifikační model mohl efektivně
27
realizovat, není vhodné definovat jiné třídy, neţ zmiňovanou důvěrnost, integritu a dostupnost.
Důvěrnost
Integrita
Dostupnost
Stanovené třídy
Stanovené třídy
Stanovené třídy
Bezpečnostní opatření pro třídy důvěrnosti
Bezpečnostní opatření pro třídy integrity
Bezpečnostní opatření pro třídy dostupnosti
Oblasti stanovení bezpečnostní ch opatření • Tištěná forma – uložení, kopírování, zasílání, likvidace... • Elektronická forma – uložení, zálohování, archivace, přenos sítí... • Použití telefonu, SMS, faxu • Ústní komunikace Obrázek č. 5: Model klasifikace informací Zdroj: [1]
Pro jednotlivé střídy informací klasifikačního modelu by měl být především stanoven způsob uloţení informací v počítačích na pevných discích a na přenosových médiích, způsob elektronického přenosu, nakládání s vytištěnými informacemi či postup při likvidaci informací.
3.2.2.
Klasifikace informací z pohledu důvěrnosti
Pro společnost se doporučuje zavést tři nebo čtyři třídy z hlediska důvěrnosti. Níţe je uvedena varianta tří tříd, pro kaţdou třídu její charakteristika a příklady informací, které mohou být dodané třídy začleněny. Třída veřejných informací Tato třída zastupuje obvykle 10 % informací společnosti a zahrnuje informace, které nevyţadují zvláštní ochranu. Informace jsou přístupné jak všem zaměstnancům, tak i mimo organizaci.
28
Příklad informací: reklamní informace, informace z webových stránek společnosti, výroční zprávy. Třída vnitropodnikových informací Jedná se o převaţující (80 %) část informací uţívaných ve společnosti. Vnitropodnikové informace „obíhají“ po organizaci, přičemţ přístup k nim je poskytován zaměstnancům společnosti na základě jejich pracovních potřeb (need to know). Jsou poskytovány i pracovníkům externích organizací na základě ujednání o mlčenlivosti a dodrţování dalších ujednaných pravidel. Pokud do této třídy informací spadají i informace, které je potřeba chránit ze zákona (zákon o ochraně osobních údajů, o bankách), musí být zajištěna ze zákona vyplývající opatření, i pokud tato opatření nejsou součástí opatření stanovených pro třídu vnitropodnikových informací. Podobný postup se týká informací zatíţených smluvními vztahy s jinými subjekty. Vyzrazení informací spadajících do třídy vnitropodnikových informací můţe společnosti způsobit dílčí problémy, narušení provozu pracoviště, určitých projektů a úkolů. V některých organizacích mohou být tyto informace rozčleněny dokonce do dvou tříd. Příklad informací: informace o klientech a zaměstnancích, havarijní a provozní plány. Třída důvěrných informací Informace z této třídy reprezentují zhruba kolem 10 % firemních informací. Mají velmi důvěrný charakter a jejich vyzrazení můţe vést k váţnému poškození organizace, krajním případě aţ k jejímu zániku. Jedná se především o závaţné porušení zákona, ohroţení obchodních zájmů a osob nebo znevýhodnění vůči konkurenci. Přístup k důvěrným informacím je co nejvíce omezován. Jejich poskytování mimo společnost je obvykle zakázáno, výjimky uděluje pouze vedení firmy. Příklad informací: strategické a finanční plány, šifrovací klíče, hesla
3.2.3.
Klasifikace informací z pohledu integrity
Při členění informací z hlediska integrity se bere v úvahu zaručení celistvosti a neporušenosti obsahu informací. Níţe následuje příklad moţného členění informací do tří tříd z hlediska integrity.
29
Třída autentických informací Informace, u nichţ je poţadována nejen celistvost a neporušenost, ale i prokazatelné ověření jejich zdroje (princip neodmítnutelnosti). Příklad informací: příkaz klienta k provedení transakce, poţadavek na změnu konfigurace systému. Třída cenných informací Informace vyţadující oproti autentickým pouze zaručení celistvosti a neporušenosti obsahu. Jde o informace které buď, nesou hodnotu a jejich zfalšování by osoba získat neţádoucí prospěch, nebo jsou mimořádně důleţité pro rozhodovací proces. Na stejnou úroveň patří i systémové, aplikační či konfigurační soubory, jejichţ neoprávněnou změnou by mohlo dojít k chybnému rozhodnutí, k odepření sluţby, vyzrazení informací nebo k ohroţení zdraví lidí. Příklad informací: kurzovní lístek Třída ostatních informací Ostatní informace, které nespadají jak do informací autentických, tak cenných.
3.2.4.
Klasifikace informací z pohledu dostupnosti
Z hlediska dostupnosti mohou být informace členěny do několika tříd. Pro kaţdou třídu je vhodné stanovit dva časové limity pro obnovení přístupu k informacím. Částečná dostupnost – časový interval, během něhoţ musí být zajištěn alespoň částečný přístup k informacím (např. s delší časovou odezvou) Úplná dostupnost – přístup k informacím ve stejné kvalitě a rozsahu, jako před vznikem nedostupnosti) Postup technické realizace obnovení dostupnosti informací je obvykle součástí havarijních plánů. Dále jsou uvedeny příklady moţného členění informací na třídy z pohledu dostupnosti: Třída kritických informací Částečná dostupnost: 1hodina Úplná dostupnost: 3 hodiny
30
Příklad informací: informace týkající se internetového bankovnictví, internetového obchodu
Třída prioritních informací
Částečná dostupnost: 1den Úplná dostupnost: 1týden Příklad informací: informace o zaměstnancích, mzdách, klientech Třída potřebných informací Částečná dostupnost: 1 týden Úplná dostupnost: 1měsíc Příklad informací:evidence majetku, archív zpráv Zavedení klasifikace informací v organizaci je jednou ze základních podmínek pro budování bezpečného informačního systému. Úspěšné vedení klasifikace informací ve společnosti je podmíněno aktivním podílením útvary a vedení společnosti. Zavedení klasifikace informací má pro organizaci přínos především v oblastech: Zajištění přiměřené ochrany informací ve všech jejich formách výskytu v organizaci. Sníţení pravděpodobnosti úniku informací. Celkové finanční úspory vynakládané na zabezpečení informačního systému. Zvýšení bezpečnostního povědomí zaměstnanců organizace. Moţnost oprávněného postihnutí zaměstnanců, kteří se dopustí porušení bezpečnostních zásad.
3.3. Stanovení vlastníků informací Ke klasifikaci informací neodmyslitelně patří i identifikace vlastníků informací. Role vlastníka informací je jednou z klíčových bezpečnostních rolí informační bezpečnosti a i proto by vlastníky informací mělo schvalovat vedení společnosti. Typického vlastníka informací ve firmě obvykle představuje vedoucí pracovník organizační jednotky. Vlastnictví informací lze chápat jako hlavní právo stanovení zásad, jak smí být s danými informacemi zacházeno. Zásady jsou realizovány definováním cílů, strategií, politik následně jejich implementací a administrací. Mezi důleţitá pravidla vlastníků informací 31
patří, ţe útvar informačních technologií (IT administrátoři, vývojáři ajp.) vlastní pouze informace týkající se IT (IT hardware, software), ne jiţ např. obchodní informace, i kdyţ je ve svých systémech spravují. Právě vlastníci informací provádějí ohodnocení informací (viz kapitola Výčet rizik) a jejich začlenění do klasifikačního modelu. Vlastník by totiţ měl být schopen správně zodpovědět důsledky pro organizaci, pokud dojde k vyzrazení, modifikaci, nedostupnosti nebo zničení informací. Informace jsou následně na základě ohodnocení jejich vlastníkem začleněny do stanovených tříd klasifikačního modelu z hlediska důvěrnosti, integrity a dostupnosti.
Stanovení vlastníka informací
Ohodnocení informací
Začlenění informací do klasifikačního modelu
Stanovení bezpečnostních opatření pro dané informace Obrázek č. 6: Postup stanovení bezpečnostních opatření pro informace Zdroj: [1]
Je důleţité, aby určený pracovník/útvar dohlíţel na průběţné začleňování nových informací do klasifikačního modelu, na plnění povinností vlastníků informací a lpěl na dodrţování stanovených bezpečnostních zásad daných tříd informací. Pracovník/útvar pověřený evidovat zpracovávané informace, by měl sledovat vznik nových informací, případně zánik informací, průběţně aktualizovat seznam vlastníků informací a dbát na pravidelné provádění ohodnocování informací. Mezi povinnosti vlastníka informací patří: Provést ocenění a začlenění jemu přidělených informací do klasifikačního modelu.
32
Stanovit výši škod pro organizaci při znehodnocení informací. Určit přiměřená opatření k zajištění ochrany informací při neautorizovaném přístupu, modifikaci, vyzrazení nebo zničení informací. Pravidelně (alespoň 1krát za rok) provádět přezkoumání hodnot informací a jejich začlenění do klasifikačního modelu organizace. Stanovit časový limit platnosti hodnocení informací (hodnota informací s postupem času klesá, u některých informací známe datum změny jejich hodnot). Vymezit, k jakému účelu mohou být informace uţity. Stanovit, v jaké formě se mohou informace zpracovávat, přenášet, uchovávat (elektronicky, papírově, fax). Určit a dohlíţet na realizaci přiměřených bezpečnostních opatření redukujících rizika důvěrnosti, dostupnosti a integrity. Schválit přístup a bezpečnostní opatření pro správce a uţivatele informací. Definovat přístupovou politiku pro záznam, čtení, změny, archivaci a rušení pro informace. Podílet se na specifikaci a poţadavků pro vývoj nebo nákup nových systémů, vývoj nového systému. Vyjadřovat se k uţivatelské dokumentaci aplikačních systémů. Sledovat a vyhodnocovat bezpečnostní poţadavky k zajištění patřičné ochrany informací. Zajistit zpracování a testování plánů kontinuity podnikání vztahujících se k daným informacím. Spolupracovat při řešení bezpečnostních incidentů.
33
Příklad pravidel pro nakládání s informacemi Níţe je uveden příklad stanovení pravidel bezpečného uţití informací ve firemním prostření: Stanovení pravidel užití informací z hlediska důvěrnosti Třídy informací Veřejné Vnitropodnikové Důvěrné dokumenty se neposílají dokumenty se neposílají jako emailové přílohy, jako emailové přílohy, ale ale ukládají se do ukládají se do směrnicemi směrnicemi určených určených složek, v esíťových adresářových mailu jsou zmiňovány Vnitropodniký e-mail nespecifikováno složek, v e-mailu se pouze síťové odkazy zmiňují pouze síťové odkazy
Externí email
Telefon
dokumenty ve formě emailové přílohy jsou povinně šifrovány automatizovaným softwarem, výměna nespecifikováno šifrovacích klíčů probíhá dle firemních směrnic.
celý e-mail včetně příloh musí být zašifrovaný automatizovaným softwarem, výměna šifrovacích klíčů probíhá dle firemních směrnic, nebo jiným způsobem schváleným manažerem bezpečnosti
dbát aby průběh hovoru Zakázáno nespecifikováno vyslechly neoprávněné osoby Tabulka č. 4: Stanovení pravidel užití informací z hlediska důvěrnosti Zdroj: Vlastní zdroj
3.4. Bezpečnostní opatření Jedním z nezbytných předpokladů úspěšnosti společnosti je řízení rizik, a tedy i rizik v oblasti bezpečnosti IS. Na základě provedené analýzy rizik IS jsou zmapovány existující hrozby a míry rizik. Společnost stojí před rozhodnutím, která bezpečnostní rizika jsou pro ni závaţná a jaká bude vůči nim aplikovat bezpečnostní opatření. Obecně společnost můţe existující riziko akceptovat (tj. společnost nepodnikne vůči tomuto riziku ţádné opatření, pokud je pro ni přijatelné, důleţitá je však skutečnost, ţe společnost ví o jeho existenci), sníţit riziko (zavedením bezpečnostních opatření), převést riziko na jiný subjekt (například formou pojištění), můţe se riziku vyhnout (nebude provozovat aktivitu, s níţ je riziko spojeno).
34
Některá bezpečnostní opatření mohou být realizována velmi rychle a s minimálními finančními náklady (například upravení nastavení bezpečnostních parametrů serveru), aplikování jiných bezpečnostních opatření je náročnější časově i finančně
(například
vybudování centrálního systému monitorování aktivit uţivatelů informačního systému) a bývají často realizována formou projektu. Důleţitou roli při rozhodování společnosti, zda bezpečnostní opatření ke sníţení existujícího rizika realizovat či nikoliv, hraje velikost míry rizika (závaţnost dané hrozby vůči aktivu) a finanční náklady spojené s aplikováním bezpečnostního opatření. Pokud míra rizika není vysoká, není potřebné provádět finančně nákladné bezpečnostní opatření. Opět se ukazuje důleţitost předchozího provedení ohodnocení aktiv IS, zejména informací, aby rozhodnutí, zda realizovat bezpečnostní opatření či nikoliv, bylo relevantní. Základní moţnosti působení bezpečnostních opatření: opatření redukující hrozbu (například vyškolení uţivatele softwarového nástroje – – sníţení hrozby chyby uţivatele) opatření redukující zranitelnost (například zajištění záloţního zdroje elektřiny pro server) opatření redukující účinek při uskutečnění hrozby (například šifrování informací – – při infiltraci neoprávněné osoby do informačního systému) opatření detekující uskutečnění hrozby (například generování souborů s aktivitami uţivatelů IS) obnova aktiv po uskutečnění hrozby (například zálohování informací). Vůči jedné hrozbě můţe být uplatněno několik bezpečnostních opatření (například vůči hrozbě infiltrace neoprávněné osoby do systému a zneuţití informací lze aplikovat opatření pouţití dostatečně dlouhých a kvalitních hesel pro přístup do IS a současně šifrování informací), jedno bezpečnostní opatření můţe působit současně vůči více hrozbám (například opatření zálohování informací redukuje účinky uskutečnění hrozby výpadku proudu a současně i výpadku klimatizace, v důsledku čehoţ dojde k výpadku serveru a ztrátě informací). Jak jiţ bylo uvedeno, součástí bezpečnostní politiky informačního systému je stanovení oblastí, v nichţ jsou bezpečnostní opatření realizovány, stanovení postupů a zásad při
35
jejich zavádění. Velmi důleţitým předpokladem zavedení zabezpečeného informačního systému je přijetí modelu klasifikace informací a ustanovení vlastníků informací. V následující části této kapitoly bude uveden přehled oblastí, v nichţ mohou být aplikovány bezpečnostní procesy a opatření za účelem zabezpečení informačního systému.
3.4.1.
Řízení a zabezpečení informačního systému
Oblast Řízení a zabezpečení provozu informačního systému se zaměřuje na zásady bezpečné správy informačního systému, na přijetí závazných postupů a procedur pro správu bezpečnosti a jednoznačné přiřazení odpovědností za jednotlivé činnosti. Pokud chce společnost dosáhnout efektivního řízení a zabezpečení informačního systému, měly by být zpracovány následující postupy a odpovědnosti: a) Zdokumentování obslužných procedur Jde například o zdokumentování závazného postupu nastavení bezpečnostních parametrů serveru zpracovaného ve formě bezpečnostního předpisu. b) Změnová řízení Jedná se například o provedení aktualizace stávajícího softwaru – instalace vyšší verze lze provést pouze na základě změnového řízení. V rámci změnového řízení je zapotřebí sledovat především následující skutečnosti: identifikace a evidování významné změny stanovení potenciálních účinků dané změny schvalovací proces změny stanovení postupů a určení odpovědností pro případ havárie a obnovy části IS při neúspěšném provedení změny. c) Postupy při incidentu Je zapotřebí stanovit postup a odpovědnosti při řešení incidentu (například incident v důsledku technické závady v informačním systému, selhání podpory IS, získání důvěrných informací neoprávněnou osobou). Společnost by měla vést databázi výskytu incidentů a měla by přijmout opatření k zamezení jejich opakování. 36
d) Uplatňování principu oddělení neslučitelných funkcí Společnost by měla v rámci svých moţností dodrţovat princip oddělení neslučitelných funkcí (například funkce správce systému a funkce bezpečnostního správce systému). Pokud tomu tak není, dochází ke zvýšení rizika bezpečnostního incidentu. e) Oddělení vývojového a provozního prostředí V rámci moţností společnosti je potřebné oddělit vývojové a provozní prostředí IS tj. umístit vývojový a provozní software na různé počítače, provést oddělení vývojových a provozních činností, provozní systém by neměl obsahovat systémové utility – například kompilátor, editory, vývojoví pracovníci by obecně neměli mít přístup do provozního prostředí. Při testování (například nové aplikace) je zapotřebí se vyvarovat pouţívání produkčních dat (pouţít fiktivní data nebo upravená produkční data, která jiţ nemají ţádnou vypovídající hodnotu). f) Kontroly služeb IS poskytovaných třetí stranou Je ţádoucí provádět kontroly činností, které vykonává pro společnost externí firma (včetně outsourcingu), zda jsou v oblasti bezpečnosti dodrţovány povinnosti vyplývající z platné legislativy a smlouvy uzavřené mezi oběma stranami. g) Systém plánování a akceptace Systém plánování a odhadu paměťových kapacit a výkonnosti pro jednotlivé servery a dalších poţadavků na komponenty IS by měl být zaloţen na stávajících poţadavcích společnosti na IS a na plánovaných aktivitách společnosti a jejich dopadu na IS. V rámci kaţdého projektu by před jeho vlastní realizací měly být stanoveny poţadavky na jednotlivé sloţky IS (například poţadavky na kapacitu paměti). Systém akceptace spočívá ve stanovení kritérií, testů a postupů (jsou zdokumentovány), jejichţ splnění musí předcházet akceptaci nového systému (například akceptace zavedení nového softwarového nástroje do provozního prostředí IS). h) Ochrana proti škodlivému softwaru Cílem ochrany je zajištění především integrity a dostupnosti informací a softwaru. Opatření jsou zaměřena na prevenci, detekci a případné ošetření poškozených informací. 37
Mezi škodlivý software patří např. viry, síťoví červi, trojské koně, spy-ware a jiný malware. Uţivatelé IS by měli být informováni o nebezpečí škodlivého softwaru a měli by pouţívat kontrolní prostředky systému k prevenci a detekování škodlivého softwaru. i) Zálohování informací V rámci celého IS by měly být stanoveny rutinní postupy zálohování. Cílem je zajištění integrity a dostupnosti informací. j) Bezpečnostní záznamy Za účelem monitorování aktivit uţivatelů IS jsou vedeny bezpečnostní záznamy (logy) o činnosti uţivatelů a je prováděno vyhodnocování pořízených záznamů. k) Zabezpečení přenosu informací Při přenosu informací v rámci IS společnosti a při přenosu veřejnou sítí společnost dbá o jejich zabezpečení (jedná se zejména o vyuţití šifrovacích nástrojů). l) Zabezpečení přenosných médií Stanovení pravidel, za jakých podmínek mohou být přenosná média přepravována mimo prostory společnosti a postupy likvidace přenosných médií (CD, DVD, diskety, optická paměťová média, magnetické pásky, flash disky). m) Zabezpečení elektronického obchodování Při elektronickém obchodování se vyuţívá veřejné sítě, především internet. Elektronické obchodování je proto zranitelné vůči mnoha síťovým hrozbám. U tohoto obchodování dochází k podvodným aktivitám nebo k pokusům o takové aktivity. Proto musí společnost dbát, aby v této oblasti byla realizována dostatečná bezpečnostní opatření. n) Bezpečné používání e-mailu Společnost chrání pouţívání e-mailu uvnitř organizace i vně vyuţitím vhodných softwarových nástrojů pouţívajících šifrovací nástroje.
38
3.4.2.
Řízení přístupu k informacím
Ve společnosti je zapotřebí definovat pravidla pro přidělování přístupu uţivatelů a skupin uţivatelů k informacím v rámci IS. Přístup k informacím je řízen na základě obchodních a bezpečnostních poţadavků. Z toho vyplývá, ţe uţivateli IS je umoţněn přístup pouze k takovým informacím, které potřebuje nezbytně při své pracovní činnosti (princip „need to know"). Pro celkovou přehlednost je ţádoucí zavést jednotné přístupové profily uţivatelů na základě jejich pracovní pozice. Pokud například nastupuje do společnosti nový zaměstnanec na pozici asistenta ředitele obchodního útvaru, je této pozici přiřazen přístupový profil, na základě něhoţ mu správce systému přidělí přístupová oprávnění (je stanoveno, do kterých aplikací bude mít přístup a s jakým oprávněním). Ve společnosti by měla být zpracována systémová bezpečnostní politika, která obsahuje závazná pravidla týkající se uţivatelských přístupů do IS. Tento dokument by měl obsahovat zejména: pravidla postupu přidělení, pozastavení a odebrání uţivatelského přístupu podmínky přístupu a ukončení přístupu (například stanovení podmínky pro kvalitu uţivatelského hesla – délka hesla, pouţití speciálních znaků, vynucená perioda změny hesla atd.) stanovení
odpovědností
uţivatele
(například
za
správu
svého
hesla,
odhlásit se z aplikace při opuštění svého pracoviště atd.) určení podmínek přístupu u přenosných počítačů (zejména notebooky) podmínky vzdáleného přístupu do IS společnosti.
3.4.3.
Vývoj částí informačního systému
Je zapotřebí, aby společnost dbala na koncepční přístup při začleňování informační bezpečnosti do IS. Zejména je zapotřebí splnit následující poţadavky: a) Uživatelské požadavky na systém Součástí uţivatelských (obchodních) poţadavků na nové nebo jiţ existující systémy jsou i poţadavky na bezpečnost, při realizaci poţadavků například v rámci projektů jsou v pracovním týmu zastoupeni i bezpečnostní specialisté. Je zapotřebí, aby bezpečnostní poţadavky byly součástí poţadavků na systém a byly součástí realizace poţadavku. 39
Bohuţel jsou časté případy, kdy po realizaci poţadavku (například zavedení nové aplikace pro potřeby obchodního útvaru) se zjistí nedostatečné zabezpečení systému a je řešeno dodatečně. b) Použití šifrovacích nástrojů Společnost by měla mít definovánu politiku pouţívání šifrovacích prostředků formou bezpečnostního předpisu (především šifrování, kontrolní součty, digitální podpis). Tento předpis stanovuje poţadavky, které musí splňovat šifrovací nástroje (slouţí k zajištění důvěrnosti, integrity a nepopíratelnosti informací) uţité k zabezpečení nově pořízeného nebo upraveného systému (například aplikace). c) Proces zavádění nového softwaru Ve společnosti by měl existovat proces definující postup zavedení nového softwaru do systému, nový software musí být testován a projít akceptačním řízením.
3.4.4.
Fyzická bezpečnost
Cílem fyzického zabezpečení je zamezení neoprávněného fyzického přístupu, zneuţití informací neoprávněnou osobou a narušení obchodních aktivit společnosti. Citlivé informace organizace je zapotřebí uchovávat v zabezpečených oblastech na základě definování bezpečnostních zón s přiměřenými bezpečnostními bariérami (například mříţe na vstupních dveřích a u oken) a vstupními kontrolami (vstup do bezpečnostní zóny je umoţněn například pouze na základě uţití magnetické karty s nastaveným přístupem do dané zóny a zadání hesla). Technická zařízení IS musí být umístěna tak, aby byla dostatečně chráněna před nepovolanými osobami. Součástí fyzické bezpečnosti je i zajištění provozuschopnosti a správné funkčnosti fyzických aktiv IS.
3.4.5.
Personální bezpečnost
V oblasti personální bezpečnosti je cílem bezpečnostních opatření minimalizace rizik lidských omylů a chyb, špatného pouţití aktiv IS, krádeţí a podvodů. Personální bezpečnostní opatření lze realizovat zejména níţe uvedenými prostředky: a) Přijímání nových zaměstnanců 40
Součástí přijímacího řízení nového zaměstnance jsou následující činnosti: ověření totoţnosti uchazeče ověření proklamovaného vzdělání kontrola věrohodnosti ţivotopisu uchazeče prověření poţadovaných schopností a vlastností (odborných i osobních) uchazeče. b) Bezpečnostní školení zaměstnanců Firmy obvykle pořádají pro nové zaměstnance vstupní školení, na němţ se účastníci dozvědí základní informace, potřebné pro zvládání přidělených pracovních úkolů. Je ţádoucí, aby součástí těchto školení bylo seznámení účastníků i se základními bezpečnostními principy a poţadavky uplatňovanými v informačním systému společnosti. Na školení jsou noví zaměstnanci seznámeni s bezpečnostními opatřeními, která společnost vyţaduje dodrţovat uţivateli IS. Stávající zaměstnanci společnosti mohou být dle potřeby seznámeni s novými bezpečnostními opatřeními realizovanými v IS. Je také zapotřebí, aby s dodrţováním bezpečnostních zásad uplatňovaných v IS byli seznámeni i uţivatelé IS z externích spolupracujících firem. Specializovaná školení z oblasti bezpečnosti IS obvykle vybraní zaměstnanci absolvují u odborných školicích firem, účastní se odborných seminářů apod. Cílem bezpečnostních školení je budování bezpečnostního povědomí uţivatelů IS, jejich pochopení významu zabezpečení IS pro společnost, dodrţování potřebných bezpečnostních opatření jako součásti jejich kaţdodenní pracovní činnosti, získání jejich podpory při praktické realizaci bezpečnostních principů uvedených v BPIS. c) Bezpečnost a popis práce zaměstnance Součástí popisu práce zaměstnance je i definování jeho odpovědností a povinností v oblasti bezpečnosti. Je sledováno jejich průběţné plnění. d) Písemné prohlášení zaměstnance
41
Zaměstnanec při přijetí na danou pozici písemně potvrdí závazné prohlášení o dodrţování zásad nakládání s informacemi společnosti v pracovní i mimo pracovní dobu a po ukončení pracovního poměru. Součástí prohlášení můţe být i seznam bezpečnostních zásad uţivatele IS. Příklad obsahu seznamu: uţívat pouze prostředky IS a výstupy z IS k činnostem vyplývajícím z jeho pracovní náplně nebo na základě pokynů přímého nadřízeného pouţívat pouze své oprávněné přístupy do IS a nepokoušet se o neoprávněný přístup, nepouţívat cizí přístupová oprávnění do IS nesnaţit se překonat stávající zabezpečení IS pokud uţivatel IS zjistí, ţe je mu umoţněn přístup i do jiných částí IS, neţ vyplývá z jeho pracovní náplně, je povinen oznámit tuto skutečnost neprodleně svému nadřízenému poskytovat informace obdrţené v rámci IS společnosti pouze oprávněným subjektům zajistit pouţívané prostředky IS proti zneuţití (zejména legální ukončeni přístupu do aplikací a systému, spuštění bezpečnostního spořiče obrazovky chráněného heslem při krátkodobé nepřítomnosti, vypnutí uţivatelské stanice při dlouhodobější nepřítomnosti, fyzické zabezpečení výpočetní techniky) bezpečně uschovávat výstupy z IS uloţené na přenosných médiích nebo v tištěné formě nesdělovat jiným osobám a udrţovat v tajnosti informace slouţící k autentizaci do IS a k přístupu ke kryptografickým klíčům (například heslo, PIN). V případě kompromitace nebo podezření z kompromitace uvedených informací provést neprodleně jejich změnu (pokud je to moţné) a informovat o dané skutečnosti svého nadřízeného nepůjčovat jiným osobám autentizační předměty do systému (například čipovou kartu), dbát o jejich bezpečné uloţení a jejich případnou ztrátu neprodleně oznámit svému nadřízenému
42
neprovádět neoprávněné zásahy do IS, zejména instalovat software, nastavovat parametry systému, provádět hardwarové úpravy – tyto činnosti jsou oprávněni vykonávat pouze stanovení pracovníci nemazat a nemodifikovat data, jeţ bezprostředně nesouvisí s vlastní pracovní činností dodrţovat licenční politiku, zejména neposkytovat software jiným subjektům neuţívat neprověřená data doručená elektronickou poštou nebo na přenosných magnetických médiích (například flash disk, CD, DVD, magnetická páska) neprodleně oznámit svému nadřízenému veškeré závady a problémy se systémem. Informovat ho o narušení bezpečnosti IS, o případných rizicích a zjištěných bezpečnostních nedostatcích IS. Prohlášení je moţné formulovat tak, ţe nedodrţení výše uvedených zásad lze posuzovat jako porušení pracovní kázně a v souladu se zákoníkem práce můţe zaměstnavatel z této skutečnosti vyvodit pro zaměstnance odpovídající důsledky. Obdobné prohlášení písemně potvrdí i pracovník třetí strany, který se stává uţivatelem IS společnosti. e) Oznámení poruch a bezpečnostních incidentů Společnost má stanoveny procesy pro odstranění závad v IS a řešení bezpečnostních incidentů. Výchozím bodem těchto procesů je ohlášení výskytu závady nebo incidentu osobou, která tuto skutečnost zjistí. Proto musí být definovány komunikační kanály pro ohlášení těchto skutečností (například telefonní číslo, e-mailová adresa). Zaměstnanci také mohou pomocí těchto kanálů ohlásit podezření z výskytu nové hrozby, bezpečností slabiny atd. f) Disciplinární opatření Pro společnost je přínosné, pokud se jí podaří vybudovat u zaměstnanců bezpečnostní povědomí. Přesto je však nezbytné, aby byly stanoveny disciplinární postupy vztahující se na uţivatele IS, kteří způsobí bezpečnostní incident nebo poruchu (především úmyslně nebo hrubou nedbalostí). Je v zájmu společnosti postihovat závaţné porušení jejich
43
povinností včetně oblasti bezpečnosti. V opačném případě dochází obvykle k nárůstu výskytu uvedených událostí.
3.4.6.
Kontinuita podnikání
Cílem této oblasti bezpečnosti je ochrana důleţitých obchodních procesů před důsledky havárií (například v důsledku přírodní pohromy, technického selhání zařízení, závaţné chyby uţivatele – úmyslné i neúmyslné). Jedná se tedy většinou o málo pravděpodobné události s moţností velkého negativního dopadu pro společnost. Za účelem obnovení poskytovaných sluţeb ve stanovených časových limitech jsou ve společnosti zpracovány havarijní plány (plán postupu společnosti při zajištění alespoň náhradního, provizorního zajištění poskytované sluţby a obnovení poskytované sluţby ve stejném rozsahu jako před havárií). Součástí plánů by měly být následující informace a údaje: zodpovědná osoba za realizaci plánu pracovní týmy podílející se na realizaci plánu personální sloţení jednotlivých týmů a kontakty na členy týmů, aktivity týmů a jednotlivých členu v týmech návaznost jednotlivých aktivit v týmech. Ve společnosti je zapotřebí zajistit jednotné řízení kontinuity podnikání, zpracování plánů a jejich aktualizaci.
Testování havarijních plánů Havarijní plány je zapotřebí pravidelně testovat. Existuje hned několik úrovní testování plánů: a) Strukturovaný test (structured walk – through test) Tento typ testu je důkladnou revizí plánu. Součástí testu je rozbor všech kroků plánu. Cílem testu je zajištění přesného a srozumitelného popisu všech aktivit uvedených v plánu. b) Ověřovací test (check test) Testovaný plán je distribuován na všechna pracoviště, která se mají podílet na jeho realizaci. Jednotlivá pracoviště plán zkontrolují. Cílem je, aby plán obsahoval všechny nezbytné aktivity. 44
c) Simulační test (simulation test) Jedná se o praktické procvičení realizace plánu. Při tomto testu se sejdou zástupci všech týmů, které se mají podílet na provedení plánu. Plán je společně procházen, všichni účastníci smí fiktivně pouţívat pouze prostředky, které by byly v případě havárie k dispozici. Simulace realizace plánu je prováděna aţ do bodu vlastního přemístění prostředků do náhradního pracoviště. d) Paralelní test (parallel test) V
průběhu testu jsou sluţby kritických systémů přesunuty do záloţního pracoviště.
Kontroluje se schopnost realizovat všechny poţadované operace na systémech. e) Test výpadku systému (full interruption test) Při tomto testu jsou zcela přerušeny funkce testovaného systému a činnost systému je přesunuta do záloţního pracoviště. Provoz systému je zajišťován pouze na základě pouţití záloţní techniky a osob specifikovaných v plánu.
3.4.7.
Soulad s právem a legislativou
Společnost musí také dbát, aby v oblasti bezpečnosti IS nedocházelo k závaţným porušením právních předpisů a smluvních závazků. Aby zmíněným nárokům vyhověla, musí identifikovat a zdokumentovat poţadavky legislativy vztahující se na zabezpečení IS společnosti (zákony, vyhlášky) a poţadavky vyplývající z uzavřených smluv se spolupracujícími externími společnostmi. Především je zapotřebí dbát na zajištění souladu v následujících oblastech: ochrana osobních údajů dodrţování duševních vlastnických práv (např. neprovádění nelegálních kopií softwaru) dodrţení podmínek průkazného svědectví (dodrţení stanovených zákonných podmínek, aby důkazy poskytnuté prostřednictvím bezpečnostních nástrojů společnosti mohly být uţity jako průkazné svědectví u soudu – například bezpečnostní záznamy o aktivitách uţivatelů IS) uţití kryptografických nástrojů v souladu s platnou legislativou 45
při poskytování informací do zahraničí dbát na soulad s tamní legislativou zajištění souladu BPIS s platnou legislativou.
3.4.8.
Monitorování a audit informačního systém
Důleţitou součástí bezpečnosti IS je i průběţné monitorování a vyhodnocování uţivatelských aktivit v IS, provádění auditu IS. Tyto činnosti umoţní získat informace o dodrţování platných interních předpisů a průběţně vyhodnocovat stav bezpečnosti IS.
Monitorování IS V procesu průběţného monitorování bezpečnosti IS musí být určeny zodpovědnosti vedoucích pracovníků a útvarů podílejících se na této činnosti (především členů vedení společnosti, bezpečnostního ředitele IS, vlastníků informací [informačních jednotek], bezpečnostních správců systému). Současně je zapotřebí stanovit rozsah monitorování (jaké součásti IS budou sledovány, na jaké hrozby bude sledování zaměřeno). Před vlastním zahájením monitorování je nezbytné nastavit vlastní procesy monitorování a implementovat potřebné technické nástroje (například nastavení některých parametrů u technických komponent IS, instalace a zprovoznění potřebných softwarových nástrojů). Mezi základní monitorované oblasti patří: přihlášení a odhlášení uţivatele IS záznam aktivit uţivatele IS (například podrobný záznam o provedených transakcích) záznam o pouţitých informačních zdrojích uţivatelem (například uţití databáze s osobními údaji klientů) pokusy o provedení aktivit, k nimţ uţivatel nemá oprávnění, pokusy o neautorizované přihlášení do systému, záznam kritických a neobvyklých událostí v komponentách IS (například výpadek komponenty, neobvyklý nárůst počtu záznamů v databázi). Provádění monitorování bezpečnosti IS lze rozdělit na dvě na sebe navazující části, pořizování bezpečnostních záznamů a jejich vyhodnocování. Pořizování záznamů
46
je prováděno technickými prostředky, vyhodnocování záznamů je prováděno stanovenými pracovníky, kteří obvykle k této činnosti vyuţívají technické nástroje. Mezi nejčastější nedostatky při monitorování aktivit v IS patří nedostatečné vyhodnocování pořízených záznamů. Častým jevem bývá skutečnost, ţe průběţné vyhodnocování záznamů není prováděno vůbec (například se zdůvodněním, ţe na tuto činnost nejsou k dispozici kapacity pracovníků) a vţdy po určité době jsou starší záznamy z důvodu kapacity úloţných médií vymazány. Některé společnosti vyhodnocují záznamy pouze v průběhu řešení bezpečnostních incidentů při potřebě dohledání některých záznamů. Dalším z častých nedostatků je stav, kdy jsou zaznamenávány údaje mající bezvýznamnou vypovídající schopnost. Monitorování IS musí být také v případě potřeby přizpůsobeno změnám provedeným v IS (například zavedení nové významné aplikace pracující s produkčními daty musí být spojeno se zavedením jejího monitorování). Některé společnosti zavádějí systém centrálního sběru a vyhodnocování bezpečnostních záznamů z jednotlivých subsystémů IS v jednotném formátu záznamů událostí. Takto pořízené záznamy jsou uchovávány v centrálním úloţišti a jejich vyhodnocování je prováděno speciálním pracovním týmem. Pořízené záznamy mohou být dlouhodobě uchovávány dle potřeb společnosti. Tento přístup při svém zavedení přináší zvýšení finančních nákladů, po zprovoznění je však velmi efektivní.
Audit IS Nedílnou součástí řízení bezpečnosti je provádění auditů IS společnosti. Důleţitým předpokladem úspěšně prováděných auditů ve společnosti je nezávislost pracovníků provádějících audit v kontrolovaných oblastech na vedoucích pracovnících, kterým uvedené oblasti podléhají. Audity jsou nejčastěji prováděny v oblastech dodrţování stanovených závazných procesů v IS (například nastavování a odebírání přístupových uţivatelů), dodrţování platné bezpečnostní politiky informačního systému a ostatních bezpečnostních předpisů, bezpečnosti IT pro jednotlivé subsystémy, bezpečnosti síťového prostředí. Jsou prováděny pracovníky auditu za asistence specialistů společnosti. Součástí závěrečné zprávy o provedeném auditu je popis oblasti a rozsahu provedeného auditu, hodnocení stavu zabezpečení IS a přehled nalezených nedostatků včetně jejich moţného negativního dopadu pro společnost a návrh opatření k jejich odstranění.
47
Závěrečná zpráva je obvykle předkládána nejvyššímu vedení společnosti a odborným útvarům společnosti, které jsou odpovědny za bezpečnost IS. Vedení společnosti a odpovědní specialisté se vyjadřují k auditorské zprávě, bývají stanoveny termíny kontroly stavu plnění a odstraňování zjištěných nedostatků. Audity IS mohou být prováděny pracovníky interního auditu společnosti (tzv. interní audit) i externími auditorskými společnostmi (tzv. externí audit). Monitorování i provádění auditů je nedílnou součástí řízení bezpečnosti IS společnosti. Monitorování a vyhodnocování činností v IS umoţňuje odhalit bezpečnostní incidenty. Potřeba provádění monitorování je především u produkčních subsystémů, kde se obvykle vyskytují i největší bezpečnostní rizika IS. Audity IS umoţňují společnosti získat objektivní nezaujatý pohled na stav bezpečnosti a hodnocení úrovně zabezpečení IS.
Penetrační testování Penetrační test je realizován po předchozí dohodě se společností, avšak bez asistence dalších zaměstnanců společnosti. Jedná se o simulaci pokusu o průnik do systému neoprávněným uţivatelem, tudíţ tento typ testu je velmi blízký reálnému napadení systému. Test je prováděn vzdáleně po síti, záměrem je na základě zjištěných slabin proniknout do systému. Pomocí speciálních softwarových nástrojů a manuálních testů nejdříve specialista provádějící test zmapuje zranitelnosti systému. Na základě vyuţití takto získaných poznatků se pak pokouší proniknout do IS společnosti. Cílem penetračních testů je zjištění aktuálního stavu zabezpečení konkrétních technologických částí subsystémů IS (například serverů, firewallů, počítačových sítí). Penetrační testy mohou být prováděny vlastními specialisty společnosti nebo externími specializovanými firmami. Penetrační testy umoţňují především ověřit úroveň zabezpečení komponent IS. [1]
3.5.
Výčet bezpečnostních rozhranní
3.5.1.
Firewally
Jedná se o síťové zařízení, které slouţí k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Zjednodušeně, slouţí jako kontrolní bod, který definuje pravidla pro komunikaci mezi sítěmi, které od sebe odděluje. Pravidla 48
zahrnují např. identifikaci zdroje a cíle dat (zdrojovou a cílovou IP adresu) a zdrojový a cílový port, pokročilejší firewally se opírají i o informace o stavu spojení, znalost kontrolovaných protokolů. Firewally lze rozdělit do několika kategorií: Paketové filtry Aplikační brány Stavové paketové filtry Stavové paketové filtry s kontrolou známých protokolů a popř. kombinované s IDS
3.5.1.1.
Paketové filtry
Nejjednodušší a nejstarší forma řízení a zabezpečení síťového provozu, spočívá definování pravidel, kdy je přesně uvedeno, z jaké adresy a portu na jakou adresu a port můţe být doručen procházející paket, tj. kontrola se provádí na třetí a čtvrté vrstvě modelu síťové komunikace OSI. Výhodou tohoto řešení je vysoká rychlost zpracování, proto se ještě i dnes pouţívají paketové filtry na místech, kde není potřebná přesnost nebo důkladnější analýza procházejících dat, ale spíš jde o vysokorychlostní přenosy velkých mnoţství dat. Nevýhodou paketových filtrů je nízká úroveň kontroly procházejících spojení, která zejména u sloţitějších protokolů (např. FTP, video/audio streaming, RPC apod.) nejen nedostačuje ke kontrole vlastního spojení, ale pro umoţnění takového spojení vyţaduje otevřít i porty a směry spojení, které mohou být vyuţity jinými protokoly, neţ bezpečnostní správce původně zamýšlel povolit.
3.5.1.2.
Aplikační brány
Jen o málo později, neţ jednoduché paketové filtry, byly vytvořeny firewally, které na rozdíl od paketových filtrů zcela oddělily sítě, mezi které byly postaveny. Říká se jim většinou Aplikační brány, někdy také Proxy firewally. Veškerá komunikace přes aplikační bránu probíhá formou dvou spojení – klient (iniciátor spojení) se připojí na aplikační bránu (proxy), ta příchozí spojení zpracuje a na základě poţadavku klienta otevře nové spojení k serveru, kde klientem je aplikační brána. Data, která aplikační brána dostane od serveru, pak zase v původním spojení předá klientovi. Kontrola se provádí na sedmé (aplikační) vrstvě síťového modelu OSI (proto aplikační brány). 49
Jedním vedlejším efektem pouţití aplikační brány je, ţe server nevidí zdrojovou adresu klienta, který je původcem poţadavku, ale jako zdroj poţadavku je uvedena vnější adresa aplikační brány. Aplikační brány díky tomu automaticky působí jako nástroje pro překlad adres (NAT), nicméně tuto funkcionalitu má i většina paketových filtrů. Výhodou tohoto řešení je poměrně vysoké zabezpečení známých protokolů. Nevýhodou je zejména vysoká náročnost na pouţitý HW – aplikační brány jsou schopny zpracovat mnohonásobně niţší mnoţství spojení a rychlosti, neţ paketové filtry a mají mnohem vyšší latenci. Kaţdý protokol vyţaduje napsání specializované proxy, nebo vyuţití tzv. generické proxy, která ale není o nic bezpečnější, neţ vyuţití paketového filtru. Většina aplikačních bran proto uměla kontrolovat jen několik málo protokolů (obyčejně kolem deseti). Původní aplikační brány navíc vyţadovaly, aby klient uměl s aplikační branou komunikovat a neuměly dost dobře chránit svůj vlastní operační systém. Tyto nedostatky se postupně odstraňovaly, ale po nástupu stavových paketových filtrů se vývoj většiny aplikačních bran postupně zastavil a ty přeţivší se dnes pouţívají uţ jen ve velmi specializovaných nasazeních.
3.5.1.3.
Stavové paketové filtry
Stavové paketové filtry provádějí kontrolu stejně jako jednoduché paketové filtry, navíc si však ukládají informace o povolených spojeních, které pak mohou vyuţít při rozhodování, zda procházející pakety patří do jiţ povoleného spojení a mohou být propuštěny, nebo zda musí znovu projít rozhodovacím procesem. To má dvě výhody – jednak se tak urychluje zpracování paketů jiţ povolených spojení, jednak lze v pravidlech pro firewall uvádět jen směr navázání spojení a firewall bude samostatně schopen povolit i odpovědní pakety a u známých protokolů i další spojení, která daný protokol pouţívá. Například pro FTP tedy stačí nastavit pravidlo, ve kterém povolíte klientu připojení na server pomocí FTP a protoţe se jedná o známý protokol, firewall sám povolí navázání řídícího spojení z klienta na port 21 serveru, odpovědi z portu 21 serveru na klientem pouţitý zdrojový port a po příkazu, který vyţaduje přenos dat, povolí navázání datového spojení z portu 20 serveru na klienta na port, který si klient se serverem dohodli v rámci řídícího spojení a pochopitelně i odpovědní pakety z klienta zpět na port 20 serveru. Zásadním vylepšením je i moţnost vytváření tzv. virtuálního stavu spojení pro bezstavové protokoly, jako např. UDP a ICMP.
50
K největším výhodám stavových paketových filtrů patří jejich vysoká rychlost, poměrně slušná úroveň zabezpečení a ve srovnání s výše zmíněnými aplikačními branami a jednoduchými paketovými filtry řádově mnohonásobně snazší konfigurace – a díky zjednodušení konfigurace i niţší pravděpodobnost chybného nastavení pravidel obsluhou. Nevýhodou je obecně niţší bezpečnost, neţ poskytují aplikační brány.
3.5.1.4.
Stavové paketové filtry s kontrolou protokolů a IDS
Moderní stavové paketové filtry kromě informací o stavu spojení a schopnosti dynamicky otevírat porty pro různá řídící a datová spojení sloţitějších známých protokolů implementují něco, co se v marketingové terminologii různých společností nazývá nejčastěji Deep Inspection nebo Application Intelligence. Znamená to, ţe firewally jsou schopny kontrolovat procházející spojení aţ na úroveň korektnosti procházejících dat známých protokolů i aplikací. Mohou tak například zakázat průchod http spojení, v němţ objeví indikátory, ţe se nejedná o poţadavek na WWW server, ale tunelování jiného protokolu, coţ často vyuţívají klienti P2P sítí (ICQ, gnutella, napster, apod.), nebo kdyţ data v hlavičce e-mailu nesplňují poţadavky RFC apod. Nejnověji se do firewallů integrují tzv. in-line IDS (Intrusion Detection Systems – systémy pro detekci útoků). Tyto systémy pracují podobně jako antiviry a pomocí databáze signatur a heuristické analýzy jsou schopny odhalit vzorce útoků i ve zdánlivě nesouvisejících pokusech o spojení, např. skenování adresního rozsahu, rozsahu portů, známé signatury útoků uvnitř povolených spojení apod. Výhodou těchto systémů je vysoká úroveň bezpečnosti kontroly procházejících protokolů při zachování relativně snadné konfigurace, poměrně vysoká rychlost kontroly ve srovnání s aplikačními branami, nicméně je znát významné zpomalení (zhruba o třetinu aţ polovinu) proti stavovým paketovým filtrům. Nevýhodou je zejména to, ţe z hlediska bezpečnosti designu je základním pravidlem bezpečnosti udrţovat bezpečnostní systémy co nejjednodušší a nejmenší. Tyto typy firewallů integrují obrovské mnoţství funkcionality a zvyšují tak pravděpodobnost, ţe v některé části jejich kódu bude zneuţitelná chyba, která povede ke kompromitování celého systému.
51
3.5.2.
Intrusion Detection System (IDS)
IDS neboli Intrusion Detection System (systém pro detekci narušení) má mnoho společného s firewallem, avšak funguje na odlišné bázi. Firewall otevírá či uzavírá příslušné porty. Dokáţe tedy efektivně omezit útoky na sluţby, které nejsou v systému aktuálně provozovány. Přesto však existují sluţby, které povolíme – například přístup k webovým stránkám (TCP port 80) či přístup k portům poštovních sluţeb POP/SMTP/IMAP. Co kdyţ se útočník rozhodne vyuţít slabiny těchto protokolů nebo sluţeb, které je vyuţívají? Firewall nám v takovém případě moc platný nebude. Zde tedy vzniká prostor právě pro systém IDS. Nástroje IDS kontrolují obsah datových toků, v nichţ se snaţí hledat pokusy o útok na konkrétní aplikace. I kdyţ tedy útočník projde přes firewall, IDS jej stále můţe zachytit – a záleţí jen na schopnostech toho kterého IDS nástroje a jeho konfiguraci, zda bude úspěšný.
Principy IDS Pro samotnou analýzu paketů vyuţívá IDS dvě základní technologie: První z nich je rozeznávání signatur, coţ je unikátní sekvence znaků obsaţená v paketu. IDS vyhledává určité známé signatury, které vypovídají o tom, ţe daný paket „není tak docela v pořádku“ a představuje pro náš systém potenciální bezpečnostní riziko. Kontroluje se nejen samotná signatura, ale také její umístění v paketu, aby bylo dosaţeno maximální přesnosti. K tomuto účelu je však zapotřebí, aby byl IDS vybaven databází signatur známých útoků a aby se tato databáze pravidelně doplňovala. Druhou moţností je dekódování protokolů. To znamená, ţe IDS dekóduje jednotlivé protokoly a v dekódovaném síťovém provozu pak vyhledává obecné známky zranitelnosti a bezpečnostní hrozby (například přetečení zásobníku apod.). Je třeba také rozlišovat hardwarový IDS a softwarový IDS, coţ je podobné dělení, jaké můţeme nalézt i u firewallů. Hardwarový IDS je umístěn na samostatném, obvykle read-only, zařízení, které je externě připojeno k serveru. Výhodou je větší bezpečnost samotného IDS, nevýhodou pak vyšší cena. Tato řešení nabízí většina výrobců aktivních síťových prvků. Softwarové IDS pak mají výhody opačné – výhodu je moţnost získání takového IDS zdarma (například celosvětově populární aplikace Snort) a nevýhodou pak moţnost kompromitace IDS útočníkem. 52
3.5.3.
Intrusion Prevention System (IPS)
Systém IPS funguje na podobném principu jako IDS. Na rozdíl od systému IDS, který „pouze“ zjišťuje, zda došlo k pokusu o nějakou formu narušení bezpečnosti, systém IPS dokáţe přímo zabránit, aby k narušení skutečně došlo. Typickým nasazením IPS je inline implementace přímo v síti, kdy jím prochází veškerý datový provoz – tyto systémy jsou označovány jako Network-based IPS. Druhou moţností je nasazení tzv. hostovaných IPS (Host-based IPS) – na kaţdém serveru je instalován softwarový agent sledující síťový provoz, přičemţ správa všech agentů je prováděna centralizovaným způsobem z jedné konzole. Samozřejmě, ţe oba přístupy lze zejména v rozsáhlejší síti zkombinovat. Systémy IPS prostřednictvím signatur, které popisují charakteristické vzory chování pro jiţ známé červy, viry aj., zajišťují ochranu proti různým formám útoků. Vedle toho však sledují síťový provoz i s vyuţitím sady pravidel nadefinovaných administrátorem, popisující přijatelné a nepřijatelné formy provozu, a na tomto principu pak veškerý nelegitimní provoz blokují. Oproti firewallům, IPS nechává veškerý síťový provoz procházet a to do doby, neţ se objeví „neţádoucí“ data (permisivní princip). Kdeţto firewall pakety projít nenechá, pokud se nejedná o „ţádoucí“ datový přenos dat (prohibitivní princip). Systémy IPS vyuţívají pro detekci napadení nástroje, které lze rozdělit podle principů do dvou základních kategorií. Zaloţené na analýze obsahu (content-based) a analýze síťového provozu (rate-based).
Analýza síťového provozu U nástrojů, jeţ fungují na principu vyhodnocování provozu, je síťový přenos blokován podle velikosti zatíţeni, dojde-li k nadměrnému zatíţen sítě. Správce nastaví, jaký typ provozu má systém sledovat a které hodnoty jsou povaţovány za běţné. Pokud jsou překročeny, IPS provede akci, nastavenou jako adekvátní pro odezvu – pokud je například zřejmé, ţe dochází ke skenování portů některým ze zákeřných červů, jsou příslušné pakety ihned „zahozeny“. Jestliţe se nárazově zvýší počet příchozích dotazů na server, coţ by mohlo indikovat útoky typu SYN-flood apod., je moţné nejen zaslat varovné hlášení, ale např. na určitou dobu omezit nebo přesměrovat provoz či zcela zablokovat dotazy útočníka. Přitom je třeba mít na paměti, ţe při nasazení systému bude nejprve nezbytné
53
vyladit potřebné parametry. To znamená, ţe správci musí v první řadě zjistit, jakou úroveň provozu lze pro danou síť povaţovat za běţnou anebo jaké zatíţeni jsou schopny zvládnout firemní webové servery.
Analýza obsahu Nástroje orientované na analýzu obsahu vyuţívají známé signatury útoků známých červů a anomálii protokolů. Pomocí analýz zvládají zablokovat například útok červa, který svým chováním odpovídá některé z nastavených signatur, nebo přímo odstranit pakety, jeţ nedodrţují předpisy RFC (Request For Comment) – odpovídající „protiakci“ lze opět nakonfigurovat podle poţadavků. Pozornost je třeba věnovat nastavení potřebných signatur, neboť vţdy nebývají defaultně zapnuty všechny. Není to tak jednoduché, jak by se na první pohled mohlo zdát – nastavení signatur, pravidel a omezení je nutné věnovat velkou pozornost. Příliš nízká úroveň zabezpečení implikuje vyšší riziko úspěšného napadení, zatímco vysoká úroveň můţe vyústit v záplavu chybných varovných hlášení, které mohou neúměrně zatíţit správce a následně vyústit v komplikovanou situaci. Stejně tak je nutné určit zranitelné porty. Z těchto důvodů často dodávají výrobci (spolu s IPS řešeními) také nástroje pro skenování firemní sítě, které vyhledávají zranitelná místa a nabízejí tak správcům vodítko, na co zaměřit pozornost. K jednotlivým signaturám lze také většinou přiřadit různé poţadované reakce, např. zahození paketů, přerušení daného TCP či UD spojení nebo vysílání, reset paketů na adresu útočníka. Dá se zablokovat i budoucí provoz od pravděpodobného útočníka (blokováním IP adresy a tvorbou blacklistů).
3.5.4.
Kryptografické nástroje
Kryptografická nástroje napomáhají zajistit u informací jejich důvěrnost, integritu a autentičnost, nepopíratelnost původu informací (autor dokumentu nemůţe později popřít své autorství). Také se uplatňují při autentizaci entit (uţivatele IS, počítače, počítačové aplikace). Mezi základní kryptografické nástroje patří zejména kontrolní kryptografická součty, šifrovací algoritmy a algoritmy digitálního podpisu.
3.5.4.1.
Jednosměrné funkce
Jednosměrná funkce funguje na principu, kdy pro daný obraz není v rozumném čase moţné najít odpovídající vzor. Typickým příkladem jednosměrné funkce je rozklad čísla
54
na dvě prvočísla: Dvě velká (řádově sto a více místná) prvočísla dokáţe vynásobit s počítačem nebo s kouskem papíru kaţdý, ale pokud známe naopak výsledné číslo a máme za úkol přijít na ona dvě prvočísla, nejsme toho schopni dosáhnout v rozumném čase ani s dnešní nejmodernější technikou. Při této metodě není moţné dešifrování zašifrovaných dat. Aplikuje se nejčastěji např. při ukládání uţivatelských hesel do databáze. Nově zadané heslo se zašifruje (např. pomocí funkce MD5) a uloţí se bezpečně do databáze. Při opětovném přihlášení uţivatele se zadané heslo opět zašifruje a tato šifrovaná hodnota se porovná s dříve uloţenou hodnotou v databázi.
Hašovací funkce
3.5.4.2.
Speciálním případem jednosměrných funkcí jsou funkce hašovací (anglicky hash function). Hašovací funkce je reprodukovatelná metoda pro převod vstupních dat do (relativně) malého čísla, které vytváří jejich jednoznačnou charakteristiku a je velmi obtíţné najít taková
data,
která
vyhovují
poţadovanému
otisku
(tzv.
jednocestná
funkce).
Výstup hašovací funkce označujeme jako výtah, miniatura, otisk, fingerprint či hash (česky haš). Funkce je důleţitou součástí kryptografických systémů pro digitální podpisy a často se téţ pouţívá pro kontrolu integrity dat, k rychlému porovnání dvojice zpráv, indexování, vyhledávání apod. [3]
3.5.4.3.
Šifrové systémy
Z pohledu realizace zašifrování otevřeného textu lze moderní šifry rozdělit zhruba do dvou základních skupin. První tvoří systémy s proudovým šifrováním, kdy šifrování probíhá po bitech nebo bajtech. Přitom v kaţdém kroku šifrování je otevřený text zašifrován pomocí nové hodnoty generované ze šifrovacího klíče (například algoritmy RC4, A5). Druhou skupinu tvoří systémy s blokovým šifrováním, které šifrují více bajtů najednou. Blok otevřeného textu a klíč vstupují do algoritmu, výstupem je blok stejné délky zašifrovaného textu (například šifra DES šifruje bloky délky 8 bajtů). Z hlediska uţití šifrovacího klíče rozlišujeme šifrové systémy na symetrické a asymetrické.
55
Symetrické šifrové systémy Symetrická šifra, někdy téţ nazývaná konvenční, je takový šifrovací algoritmus, který pouţívá k šifrování i dešifrování jediný klíč. Tím se liší od algoritmů s veřejným klíčem, které mají dvojici klíčů – tajný a veřejný. Podstatnou výhodou symetrických šifer je jejich nízká výpočetní náročnost. Algoritmy pro šifrování s veřejným klíčem můţou být i stotisíckrát pomalejší. Na druhou stranu velkou nevýhodou je nutnost sdílení tajného klíče, takţe se odesilatel a příjemce tajné zprávy musí předem domluvit na tajném klíči. Mezi blokové symetrické šifry patří: AES Blowfish DES GOST IDEA RC2 RC5 Triple DES Twofish Mezi proudové symetrické šifry patří: FISH RC4 [4]
Asymetrické šifrové systémy Jde o skupinu kryptografických metod, ve kterých se pro šifrování a dešifrování pouţívají odlišné klíče. Základem jsou jednosměrné funkce, které umoţní původní zprávu zašifrovat pomocí veřejného klíče, ale jiţ nikoliv dešifrovat za pomocí téhoţ klíče. Pro dešifrování zpráv se pouţije klíč soukromý, který má uschovaný příjemce zprávy. Kaţdý, kdo chce 56
šifrovat zprávy s pouţitím asymetrických metod, si vytvoří pár klíčů (soukromý a veřejný). Veřejný klíč distribuuje mezi všechny osoby, se kterými chce komunikovat a klíč soukromý si uchová u sebe v tajnosti. Dvě komunikující strany se pak vůbec nemusí setkat, a přesto mají k dispozici nástroj pro bezpečnou komunikaci. Základní princip asymetrického šifrování, šifrovací klíč sestává ze dvou částí: Veřejný klíč – pouţívá se pro zašifrování zprávy, je veřejně dostupný. Soukromý klíč – pouţívá se pro dešifrování zprávy, je vlastníkem pečlivě uschován. Tím je vyřešen základní problém distribuce klíčů, není třeba sdílet ţádné veřejné tajemství a komunikace můţe probíhat asynchronně. Pouţívá se nejen pro šifrování zpráv, ale i pro jejich podepisování (ověření původu). Nejznámějším algoritmem vyuţívajícího asymetrické šifrování je šifrový systém RSA. [5]
3.5.4.4.
Digitální podpis
Digitální podpis se uţívá k ověření, ţe daný dokument pochází skutečně od odesílatele (zajištění autentičnosti a principu neodmítnutelnosti) a ţe původní obsah nebyl změněn. Pro pouţití digitálního podpisu potřebujeme nejprve nějakou známou hashovaní funkci (např. MD5 nebo SHA-1). Známou v tom smyslu, aby všichni adresáti, kteří budou chtít ověřit pravost naší zprávy tuto funkci znali (resp. ji znal program, který ověření na provede). Hash funkce udělá z naší zprávy tzv. otisk (angl. „message digest“) nebo se výsledek také dá nazvat jakýmsi kontrolním součtem zprávy. Tento otisk má vţdy stejnou délku bez ohledu na délku vstupní zprávy (128 či 160 bitů). Jednou z vlastností této hašovací funkce je fakt, ţe prakticky není moţné z otisku zpětné získání původní zprávy, a je i velmi nepravděpodobné nalezení jiné zprávy, která by pouţitím hashovaní funkce dala stejný otisk. Jestliţe takto vzniklý otisk zakódujeme svým soukromým klíčem, vznikne nám kýţený digitální podpis. Podpis pak přiloţíme k původní zprávě, kterou podepisujeme, a zprávu i s touto přílohou odešleme. Příjemce zprávu otevře, a pomocí stejné hašovací funkce zakóduje její obsah. Pomocí veřejného klíče odesílatele dále rozkóduje obsah digitálního podpisu. Je-li tento rozkódovaný obsah totoţný s otiskem přijaté zprávy, je identita odesílatele potvrzena, jelikoţ nikdo jiný, neţ vlastník soukromého klíče nemohl digitální podpis s touto vlastností vytvořit. 57
Hašovaní funkce se pouţívá z důvodu, aby přikládaný digitální podpis nebyl příliš velký. Pokud by odesílatel svým soukromým klíček kódoval celou zprávu, digitální podpis by byl minimálně jednou tak velký a tedy finální zpráva s podpisem by zvětšila objem minimálně na dvojnásobek. V případě pouţití hašovací funkce je zaručena stejná funkčnost, avšak s minimální datovou přítěţí k původní zprávě. [6]
3.6. Zaměstnanec: bezpečnostní rozhranní či hrozba? Ačkoli drtivá většina výše uvedených direktiv, doporučení nebo postupů je napsána pro zaměstnance, je dobré si uvědomit, ţe zaměstnanci jsou pouze „lidé“ a občas se dopouštějí chyb, ať uţ vědomě nebo úmyslně. Firma si de-facto nikdy nemůţe být jistá, zdali jí jakýkoli z jejích zaměstnanců nezpůsobí záměrně škodu. O tom ostatně hovoří i níţe uvedené zprávy.
Zpráva č. 1.: Největší bezpečnostní hrozbou pro 78 % českých firem jsou vlastní zaměstnanci Společnost GiTy a.s., specializující se na správu IT a komunikačního prostředí, včetně zabezpečení IT systémů, provedla vlastní výzkum prostřednictvím agentury Ogilvy Public Relations s.r.o. Z výsledků výzkumu mimo jiné vyplývá, ţe největší hrozbou z pohledu firemní bezpečnosti IS/IT jsou v 78 % vlastní zaměstnanci. Získané výsledky korespondují v mnoha ohledech s podobnými průzkumy ze zahraničí a ukazují, ţe firmy berou riziko ohroţení jejich IS/IT stále váţněji. Více neţ polovina (57,5 %) z nich povaţuje 100% bezpečnost IS/IT za maximálně důleţitou s ohledem na jejich primární byznys. Přesto 20 % dotázaných potvrdilo, ţe se v této oblasti u nich ve firmě nevěnuje dostatečná pozornost. Prostor pro zlepšení zabezpečení vlastní IS/IT vidí 80 % dotázaných. Marek Chlup, IT Expert GiTy, a.s.:"Z vlastní zkušenosti víme, ţe naši technici řeší zhruba 10krát do měsíce výjezd do terénu za účelem záchrany dat z pracovních stanic a serverů. Hodnota dat je pro kaţdou společnost velmi důleţitá, bohuţel si to většinou uvědomí aţ v případě nastalých problémů. Základem pro kvalitní zabezpečení IS/IT je zavedení uceleného systému informační bezpečnosti, který je pravidelně aktualizován."
58
Někteří stále neaktualizují bezpečnostní politiku pravidelně Základem kvalitního zabezpečení IS/IT je kvalitní interní bezpečnostní politika. Vzhledem k vývoji počítačové kriminality je nutné ji také pravidelně aktualizovat. Zde si české firmy vedou velmi dobře a průměrně 2,5krát do roka ji aktualizuje na 73 % dotázaných. Pouze 3 % aktualizují aţ na základě reakce na novou nebo očekávanou hrozbu. Primárně je bezpečnost firem zaměřena na bezpečnost síťovou a to v téměř v polovině případů (48 %), komplexní bezpečnostní politiku zastává jen 20 % dotázaných. Marek Chlup, IT Expert GiTy, a.s.: "Pravidelná kontrola a aktualizace bezpečnostní politiky a systémů obnovy je pro firmu zcela zásadní a měla by být provedena v průměru 2krát do roka. Reagovat aţ na vyvstalé problémy je vyloţeně hazard ze strany vedení daných společností. Přitom finanční náročnost pravidelné obnovy můţe být o řád menší neţ následné krizové řešení." Trendem je outsourcování IT služeb Na sluţby externích specializovaných firem se v oblasti bezpečnosti IT spoléhá kaţdá čtvrtá společnost v Česku. Přičemţ kaţdá třetí firma není zcela spokojena se zabezpečením vlastní IS/IT. Hlavní riziko bezpečnosti IS/IT vidí firmy v 78 % ve vlastních zaměstnancích. Pouze 8 % se obává neexistence či nevhodného nastavení bezpečnostní politiky. Je zaráţející, ţe 12,5 % firem nijak neposiluje povědomí o bezpečnosti IS/IT uvnitř firmy. Převaţujícími kanály, jak informovat zaměstnance o bezpečnostních rizicích jsou v 40 % směrnice a ve více neţ 30 % oběţníky a emaily. Marek Chlup, IT Expert GiTy, a.s.: "Stejně jako v zahraničí, i v Česku jsou uţivatelé/zaměstnanci vnímáni jako bezpečnostní hrozba číslo 1. Riziko úniku dat ze strany zaměstnanců je podceňováno. Je však třeba si uvědomit, ţe zaměstnanci sledují i svoje individuální zájmy, případně tímto způsobem mohou řešit interpersonální problémy ve firmě." Každá pátá firma již byla nějakým způsobem ohrožena Z výsledků průzkumů vyplývá, ţe u 23 % firem byla v poslední době ohroţena bezpečnost jejich IS/IT. Jako hlavní důvod jsou uváděny počítačové viry. 18 % dotázaných se do problémů dostalo kvůli selhání výpočetní techniky. Finanční ztráty se v těchto případech pohybují v desítkách tisíc za rok.
59
Marek Chlup, IT Expert GiTy, a.s.: "Uvedené výsledky jsou značně ovlivněny tím, ţe nedokonalé zabezpečení cenných dat, a z toho plynoucí škody, jsou citlivým tématem a spousta firem tyto informace není ochotna zveřejnit. Ve skutečnosti však můţem počítat s daleko vyšším vyčíslením škod, i počtem napadených. Z naší zkušenosti vyplývá, ţe s bezpečnostními incidenty se potýká průměrně kaţdá druhá firma." Výzkum, který pro společnost GiTy, a.s. provedla agentura Ogilvy PR, proběhl mezi nejvýznamnějšími firmami, které působí na českém trhu (například: United Bakeries, Penam, Telefonica O2, Siemens, FINEP, Česká Spořitelna, ČSOB, Komerční Banka, CZECHINVEST, České Radiokomunikace, Shell, DB Schenker a další). Osloveno bylo více neţ 150 firem a to primárně na úrovni managementu. Cílem výzkumu bylo zjistit, jak firmy pohlíţejí na moţná bezpečnostní rizika spojená s jejich infrastrukturou IT. PR zpráva od Gity a.s. z 26. listopadu 2008 [7]
60
Zpráva č. 2. Bezpečnost a vnitřní hrozby Nejen vnější hrozby ohrožují v současné době naše počítače Musíme si začít lámat hlavu i tím, jak se ochránit před hrozbami, které přicházejí přímo od našich vlastních zaměstnanců. Tzv. „vnitřní hrozby“ jsou jedním z dalších bezpečnostních problémů, jímţ se musí majitelé firem i podniků či bezpečnostní manaţeři zabývat a hledat vhodné řešení, jak moţným útokům předejít. Mnoho řadových zaměstnanců nemá tušení o bezpečnostním zajištění svého firemního laptopu a ani si neuvědomují, ţe by na svém laptopu měli mít aktualizované bezpečnostní záplaty. Nemluvě o tom, ţe skoro kaţdý z nás do sítě připojuje vlastní zařízení, např. iPody, USB nebo digitální fotoaparáty. Pokud nemá společnost přesně stanovena jasná pravidla pro pouţití firemních zařízení, jako jsou laptopy či např. PDA, představují pro ně zaměstnanci riziko, ţe se vnitropodnikové počítačové sítě nakazí viry, červy či škodlivými programy. Aby bylo moţné zjistit, jaká panuje situace v Evropě, objednala si společnost McAfee, Inc. průzkum, který proběhl v šesti evropských zemích. Do průzkumu se zapojilo 1 500 profesionálů z různých firem. Některá zjištění z tohoto průzkumu zde nyní uvádíme, abychom si mohli udělat obrázek, jak můţe vypadat situace na tomto poli u nás. V Evropě kaţdý pátý zaměstnanec nechává rodinu nebo přátele pouţívat svůj laptop nebo počítače pro přístup na internet. To je zvlášť varující, kdyţ si uvědomíte, ţe 42 % rodičů nesleduje, co si jejich teenageři čtou nebo píší na chatu nebo instant messagingu. Z průzkumu vyplývá, ţe téměř čtvrtina (24 %) všech evropských profesionálů pouţívá firemní laptop pro přístup na internet z domova. Bohuţel celých 61 % má velmi omezené znalosti o IT bezpečnosti. 21 % umoţňuje rodině nebo přátelům, aby pouţívali jejich pracovní laptopy/počítače pro přístup na internet - v Itálii je to aţ 42 %. Na pracovním počítači ukládá svoje soubory, např. fotografie, hudbu nebo dokumenty, 60 % zaměstnanců.
61
61 % zaměstnanců buď "vůbec netuší", co je to virus, nebo to "ví jen přibliţně". Kaţdý bezpečnostní incident stojí kolem 45 000 euro a stačí pouze jediný, aby způsobil rozsáhlé škody. Přesto 66 % společností nemá v současnosti ţádné plány s odpovídajícími protiopatřeními. Podle nedávného průzkumu společnosti Datamonitor 46 % společností tvrdí, ţe zdrojem nákazy podniku byly „divoké systémy“ jejich zaměstnanců. Jako „divoké systémy“ označujeme takové systémy, které nejsou identifikovatelné, nevedou se o nich záznamy a nejsou centrálně spravované, ale mají přitom přístup k podnikové síti. Jedná se například o mobilní zařízení a laptopy zaměstnanců. Datamonitor zjistil, ţe někteří respondenti označili tyto systémy jako odpovědné za více neţ 50 % nákaz v posledních 12 měsících. Na základě průzkumu identifikovala společnost McAfee čtyři odlišné profily těchto zaměstnanců: Neznalý uţivatel: zaměstnanci s velmi omezenými znalostmi o bezpečnosti. Nadšenec pro elektroniku: zaměstnanci s několika privátními elektronickými zařízeními, které připojují k síti. Squatter: zaměstnanci, kteří pouţívají podnikovou síť nedovoleným způsobem, ale záměrně neškodí - např. stahují hudbu, ukládají fotografie, on-line hry. Sabotér: zaměstnanci, kteří záměrně hackují firemní IT systémy a zcizují informace. Neznalý uţivatel: tabulka evropské ligy Dovolují zaměstnanci rodině a přátelům doma nebo v práci, aby s pomocí jejich laptopu/pracovního počítače přistupovali na internet? Evropský průměr 21 %. Italští zaměstnanci 42 % nejvíce nedbalí. Francouzští zaměstnanci 23 %. Britští zaměstnanci 21 %. Španělští zaměstnanci 16 %. Holandští zaměstnanci 14 %.
62
Němečtí zaměstnanci 12 % nejméně nedbalí. Kolik toho evropští zaměstnanci vědí o IT bezpečnosti? Jaké procento zaměstnanců říká, ţe nemají o IT bezpečnosti ponětí nebo mají velmi omezené znalosti? Evropský průměr 62 %. Němečtí zaměstnanci 66 % nejmenší znalosti. Španělští zaměstnanci 62 %. Holandští a italští zaměstnanci 62 %. Francouzští zaměstnanci 56 %. Britští zaměstnanci 46 % největší znalosti. Jaké procento zaměstnanců je osobně zodpovědných za aktualizaci virové ochrany na svých firemních laptopech/pracovních PC? Evropský průměr 22 %. Španělští zaměstnanci 34 % nejvíce. Italští zaměstnanci 22 %. Holandští, němečtí, britští a francouzští zaměstnanci 19 % nejméně. Neznalost významu instalování a aktualizování softwaru ilustrovala studie AOL Online Safety Study - 67 % počítačových uţivatelů během posledních sedmi dnů neaktualizovalo virové definice. Celých 72 % uţivatelů nemělo správně nakonfigurovaný firewall, ačkoliv 63 % uţivatelů mělo na svém počítači virus. Nadšenec pro elektroniku: tabulka evropské ligy Jaká procento zaměstnanců připouští, ţe vlastní nejméně jedno osobní zařízení připojitelné k PC? Evropský průměr 51 %. Francouzští zaměstnanci 56 % nejvíce. Španělští zaměstnanci 54 %. 63
Britští zaměstnanci 51 %. Italští zaměstnanci 49 %. Holandští zaměstnanci 48 %. Němečtí zaměstnanci 46 % nejméně. Jaké procento zaměstnanců připojuje zařízení nejméně jednou týdně? Evropský průměr 52 %. Italští zaměstnanci 56 % nejvíce. Španělští zaměstnanci 53 %. Holandští a francouzští zaměstnanci 52 %. Britští zaměstnanci 47 %. Němečtí zaměstnanci 46 % nejméně.
Squatter: tabulka evropské ligy Jaké procento evropských zaměstnanců potvrdilo, ţe ukládají na svých osobních PC/laptopech osobní materiály? Evropský průměr 60 %. Britští zaměstnanci 64 % nejvíce. Francouzští zaměstnanci 63 %. Italští zaměstnanci 62 %. Španělští zaměstnanci 61 %. Holandští zaměstnanci 60 %. Němečtí zaměstnanci 49 % nejméně.
Jaké procento evropských zaměstnanců připouští, ţe stahují z internetu obsah, který by neměli? Evropský průměr 12 %.
64
Španělští zaměstnanci 18 % nejvíce. Holandští zaměstnanci 15 %. Italští zaměstnanci 13 %. Němečtí zaměstnanci 9 %. Francouzští zaměstnanci 8 %. Britští zaměstnanci 7 % nejméně. Analytická společnost Gartner Group ve své zprávě uvádí, ţe 84 % bezpečnostních incidentů s velkými škodami se objevilo, kdyţ lidé zevnitř firmy předali tajné informace někomu zvnějšku. Podle jednotky High Tech Crime Unit: 75 % poškození webových stránek je výsledkem interních činů. 38 % finančních podvodů má souvislost s interními činy. 20 % neautorizovaných přístupů k pracovním systémům je interní záleţitostí. 68 % krádeţí dat je interní záleţitostí. [8]
Spolehlivost nezaručuje nezranitelnost Z následujících dvou zpráv jasně vyplývá, ţe i kdyţ zaměstnanci „fungují“ v rámci společnosti jako „bezpečnostní rozhraní“, nelze na ně spoléhat. A to i za podmínek, kdy kdyţ projdou důkladným výběrovým řízením, které prověří jejich minulost, důvěryhodnost, charakter nebo chování (viz kapitola Personální bezpečnost). Alarmující situaci ohledně zaměstnanců umocňuje další aspekt, kdy se mezi dvojici zaměstnanec, firma vloţí třetí strana a díky vyuţití techniky sociálního inţenýrství pouţije zaměstnance jako zbraň.
3.6.1.
Sociální inženýrství
Sociotechnika (sociální inţenýrství) představuje techniku ovlivňování a přesvědčování lidí s cílem oklamat je tak, aby uvěřili, ţe sociotechnik je osoba s totoţností, kterou předstírá a kterou si vytvořil pro potřeby manipulace. Díky tomu je sociotechnik schopný vyuţít lidi, se kterými hovoří, případně dodatečné technologické prostředky, aby získal hledané informace.
65
Z výsledků bezpečnostních firem, které provádějí penetrační testy informačních systémů, vyplývá trend téměř stoprocentní úspěšnosti prolomení bezpečnostních systémů prostřednictvím sociotechnických metod. Za jedinou účinnou metodu k potlačení těchto rizik lze povaţovat aplikaci základních technologických zabezpečení spolu s dobře proškolenými zaměstnanci. I proto někteří experti doporučují vynaloţit kolem 40 % rozpočtu vyhrazeného pro bezpečnost právě na pravidelné školení/procvičování zaměstnanců v oblasti bezpečnostních postupů. V prvé řadě je nutné zaměstnance seznámit s hrozbami manipulace druhé osoby pomocí podvodů a psychologických metod. Jakmile zaměstnanec zná metody, kterými můţeme být „napaden“, vrůstá pravděpodobnost, ţe útok odhalí a následně se mu i ubrání. Zaměstnanec téţ musí rozlišovat mezi rozdílnou závaţností informací, se kterými pracuje a následně ty citlivé chránit.
Čeho útočníci zneužívají? Neţ se samotným školením začněme, je efektivní pro ilustraci provést na zaměstnance cvičný sociotechnický útok. Například poţádat důvěrně známou osobu, aby se jako IT technik pokusila z firmy odnést PC za záminkou zvýšení výkonu HW atp. Nachytaní zaměstnanci si po tomto incidentu lépe uvědomí, jak jednoduše lze podlehnout manipulaci, a při školení budou dávat větší pozor. Sociotechnici stavějí z pravidla na šesti základních vlastnostech lidské povahy: a) Autorita – útočník se vydává za někoho mocného (z pravidla se jedná o ředitele, státního zástupce, administrátora atp.), ze kterého má mít oběť respekt. Z pozice finančního ředitele si například můţe vyţádat výplatní pásky a účty zaměstnanců. b) Sympatie – lidé mají sklon více vyhovět sympatickým osobám, které s nimi sdílí podobné názory, koníčky či přístup k ţivotu atp. c) Vděčnost – snadněji se podřídíme ţádosti, jestliţe nám bylo něco cenného slíbeno nebo dáno. Pokud pro nás někdo něco udělá, cítíme potřebu odvděčit se. Dáme-li někomu dárek nebo vykonáme pro něj sluţbu, vyvoláme u něj pocit vděčnosti, jehoţ důsledkem je snaha revanš. Pakliţe budeme chtít později od osoby sluţbu, v rámci protisluţby jí dosáhneme mnohem snadněji.
66
d) Zavázanost – pokud jednou něco slíbíme, nechceme následně vypadat nedůvěryhodně a postupujeme podle našich dřívějších prohlášení či slibů. Na základě této vlastnosti můţe útočník zneuţít firemních směrnic, díky nimţ např. přinutí zaměstnance nainstalovat aktualizaci programu, jeţ obsahuje škodlivý kód atp. e) Společenský souhlas – oběť vyhoví snáze prosbě, jestliţe ji jiţ vykonal někdo jiný či většina lidí. Příklad ostatních je vnímáno jako souhlas a potvrzení, ţe dané chování je správné. f) Vzácná příležitost – čím více se atraktivní objekt vyskytuje v menším mnoţství, přitom je ţádán mnoha jinými lidmi nebo je dostupný jen po omezenou dobu, tím více nutí potenciálního majitele podřídit se. [9]
Jak zaměstnance efektivně informovat? Pouhým
vydáním
směrnice
o
bezpečnosti
či
odkázáním
zaměstnanců
na webovou/intranetovou stránku s popisem bezpečnostní politiky firmy, bezpečnostní riziko
příliš
nezmenšíme.
Firma
musí
bezpečnostní
zásady
nejen
písemně
definovat ale i přesvědčit všechny zainteresované osoby, které přicházejí do kontaktu s informacemi či informačními systémy, aby se zásady naučily a následně i striktně dodrţovaly. Navíc je třeba se ujistit, například pomocí krátkého pohovoru či testu, ţe všichni rozumějí důvodům, kvůli nimţ byly bezpečnostní principy zavedeny, aby je později z pohodlnosti nevynechávaly. Po absolvování školení se pak nemůţe zaměstnanec vymlouvat, ţe danou problematiku nezná, nebo jí nerozumí. Naopak, stane se pomyslným pevným článkem řetězu bezpečnosti. Zaměstnanci musí pochopit, ţe kaţdý má při ochraně firemních informací svou úlohu, taktéţ ţe útok na jejich osobu můţe nastat kdykoli. Nesmějí nabýt dojmu, ţe veškeré bezpečnostní problémy vyřeší firewally, antiviry a jim podobné systémy. Naopak, právě oni tvoří hlavní obranou linii nezbytnou k zajištění úplné bezpečnosti v organizaci. Zaměstnanci musí chápat, ţe ohroţení sociotechnickým útokem je reálné a ţe váţná ztráta důvěrných informací můţe ohrozit firmu, její pracovníky i jejich zaměstnání. Všechny sociotechnické útoky mají v podstatě jeden společný prvek: podvod. Útočník se snaţí přesvědčit oběť, ţe je kolega nebo jiná osoba oprávněná k přístupu k důvěrným
67
informacím, nebo někým pověřená vydávat příkazy. Skoro kaţdý takový útok můţe potencionální oběť zmařit, pokud: 1) ověří totoţnost osoby, která o něco ţádá (Je osoba tím, za koho se vydává?) 2) ověří oprávněnost osoby (Má osoba nárok získat tento typ informace?). Vysoké priority bezpečnosti dosáhneme, pokud kaţdou osobu učiníme zodpovědnou za daný okruh informací. Lidé se uvědomí svůj význam v udrţování bezpečnosti firmy a nebudou si myslet, ţe bezpečnost nepatří k jejich povinnostem. Musí si být vědomi důsledků, pokud se nebudou přizpůsobovat bezpečnostním postupům. Všichni děláme chyby,
ale
opakující
se
případy
porušování
bezpečnostních
ať uţ z lehkomyslnosti, pohodlnosti či naschválu, nemohou být tolerovány.
68
pravidel,
4. Závěrečné zhodnocení Zabezpečení informačního systému představuje souhrn mnoha postupů, technických zařízení, odpovědných rolí atp. Z pohledu bezpečnostních rozhranní, které fungují mezi informačními systémy a okolím, jsou patrné dvě větve rozhranní – technická a lidská. Do technické patří bezpečnostní rozhranní vyjmenované kapitole 3.5 Výčet bezpečnostních rozhranní, do lidské spadají lidé (zaměstnanci). U technických bezpečnostních rozhranní, co se týče kontroly síťového provozu, mají největší perspektivu systémy IPS, které dokáţí pomocí heuristických metod a vloţených signatur identifikovat neţádoucí datový provoz a následně jej i eliminovat. Jejich sílá tkví zejména v jejich „inteligenci“, pomocí které dokáţí relativně rychle odhalit mnohdy i velmi rafinovaně skrytý nebezpečný kód, a to ještě před tím, neţ překročí perimetr sítě. Co se týče kryptografických nástrojů, zde hraje důleţitou roli čas. Je nutné průběţně sledovat trendy a pouţívat pouze „bezpečné nástroje“ jejichţ šifrovací algoritmus dosud nebyl prolomen. Aktuální informace týkající se této problematiky lze najít na českém webu působícím na adrese http://crypto-world.info/news/. V pohledu na zaměstnance, jako lidská bezpečnostní rozhranní, panuje daleko komplikovanější situace. Kaţdý člověk je svým způsobem jedinečný, z čehoţ vyplývá i jeho specifické chování. Proto by měla otázka bezpečnosti probírána s kaţdým zaměstnancem zvlášť, aby mohly být odhaleny jeho slabiny a ty pak posléze prostřednictvím školení eliminovány. Pokud
se
podíváme,
kolik
finančních
prostředků
firmy
v praxi
vynakládají
na bezpečnostní rozhranní, jasně převládá technická větev. Vezmeme-li však na vědomí, ţe největší bezpečnostní roli (paradoxně i hrozbu) hraje v podniku právě zaměstnanec, nepůsobí toto počínání příliš pragmaticky. Z kapitoly 3.6 Zaměstnanec: bezpečnostní rozhranní či hrozba? jasně vyplývá, ţe firmy by měli přehodnotit investice do bezpečnostních rozhranní a více se zaměřit lidská bezpečnostní rozhranní – zaměstnance.
69
Použitá literatura [1] MLÝNEK, Jaroslav, Zabezpečení obchodních informací, Brno: Computer Press, a.s., 2007. ISBN: 978-80-251-1511-4. [2] KYSELA, Martin, Bezpečnost v GNU/Linuxu V. – Intrusion Detection System, Brno: Computer Press, a.s., 2006, Connect!. [3] Hašovací funkce, Wikipedie, 27.6.2009, [Online] http://cs.wikipedia.org/wiki/Hašovací_funkce. [4] Symetrická kryptografie, Wikipedie, 27.6.2009, [Online] http://cs.wikipedia.org/wiki/Symetrická_kryptografie. [5] Asymetrická kryptografie, Mendelova zemědělské a lesnické univerzity v Brně. 27.6.2009, [Online] http://is.mendelu.cz/eknihovna/opory/zobraz_cast.pl?cast=7027. [6] Vývoj kryptografie, 27.6.2009, [Online] http://krypto.krokonet.com/krypto.html. [7] PR zpráva od Gity a.s., z 26. listopadu 2008 [8] BROŢ, Vladimír, Bezpečnost a vnitřní hrozby, 27.6.2009, [Online] http://securityworld.cz/securityworld/bezpecnost-a-vnitrni-hrozby-1133 [9] MITNICK,
Kevin,
Umění
klamu,
Polsko,
ISBN: 83-7361-210-6.
70
Gliwice:
Helion
S.A.,
2003,
Slovník odborných termínů Analýza rizik Klasifikuje nebezpečnost jednotlivých hrozeb, slabá místa informačního systému a odhaduje moţné ztráty. Aktivum Hmotný a nehmotný majetek mající pro organizaci určitou hodnotu. Bezpečnostní opatření Prostředek ke zmírnění hrozby či sníţení zranitelnosti. Bezpečnostní rozhranní technické Zařízení zabezpečující bezpečnou výměnu informací (firewall, IPS, IDS, šifrovací nástroje) Bezpečnostní rozhranní lidské Zaměstnanec firmy CRAMM (CCTA Risk Analysis and Management Methodology), Metodika CRAMM byla původně vyvinuta pro potřeby vlády Velké Britanie, ale v současné době je široce vyuţívána jako uznávaný prostředek pro analýzu rizik v případech, kdy je vyţadován souhlas s normou ČSN ISO/IEC 13335 a mezinárodním standardem ISO/IEC 17799. Analýza v rámci CRAMM řeší ohodnocení systémových aktiv, seskupení aktiv do logických skupin a stanovení hrozeb, působících na tyto skupiny, prozkoumání zranitelnosti systému a stanovení poţadavků na bezpečnost pro jednotlivé skupiny, na základě čehoţ jsou navrţena bezpečnostní opatření, která jsou vymezena ve shodě s úrovní rizika při porovnání s jiţ implementovanými systémovými opatřeními. Dostupnost (availability) Zajištění, ţe informace je pro oprávněné uţivatele přístupná v okamţiku její potřeby Důvěrnost (confidentiality) 71
Zajištění, ţe informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni Hrozba Událost která můţe způsobit, ţe informace nebo prostředky zpracovávající informace budou záměrně nebo náhodně ztraceny, modifikovány, stanou se nedostupnými nebo budou jinak negativně ovlivněny ve vztahu k společnosti. Informačních jednotka Sdruţení informací stejného významu do jednoho celku. Např. informace o zaměstnancích, produktech, zboţí atp. Informační systém (IS) Představuje soubor lidí, metod a technických prostředků zajišťujících sběr, přenos, uchování, zpracování a prezentaci dat, jehoţ cílem je tvorba a poskytování informací podle potřeb jejich příjemců, činných v systémech řízení. Integrita (integrity) Zajištění správnosti a úplnosti informací Princip neodmítnutelnosti odpovědnosti Princip neodmítnutelnosti odpovědnosti slouţí k jednoznačnému určení totoţnosti původce ať uţ nějaké zprávy, nebo činnosti. Zásadní odlišnost od autentizace je v tom, ţe uřčení totoţnosti původce se v tomto případě provádí aţ po uskutečnění sledované činnosti. Nemohu tedy zabránit provedení neţádoucích akcí, mohu pouze následně určit jejich původce. V platebním protokolu je tento princip nutný k tomu, aby bylo moţné zjistit a následně postihovat účastníky systému, kteří se nechovají podle pravidel. Offshoring Přesun výroby do zahraničí bez ohledu na to, zda výrobu provádí jiná firma nebo jde pouze o přestěhování vlastní továrny.
72
Outsourcing Firma vyčlení své podpůrné a vedlejší činnosti a svěří je smluvně jiné společnosti čili subkontraktorovi, specializovanému na přílušnou činnost. Riziko Vyjadřuje míru ohroţení/nebezpečí, ţe daná hrozba nastane a následně dojde ke vzniku škod. SLA (Service Level Agreement) Dohoda o úrovni poskytovaných sluţeb. Umoţňuje definovat kvalitu a garance IT sluţeb, například maximální povolený výpadek, odezvu aplikace nebo dostupnost a rychlost reakce technické podpory. SYN-flood Záplava pakety SYN neboli SYN-flood je druh útoku označovaný jako Denial of Service. Útočník pošle posloupnost paketů s příznakem SYN cílovému počítači, ale jiţ dále neodpovídá. Zranitelnost Slabé místo, které sniţuje bezpečnost daného aktiva.
73