MASARYKOVA UNIVERZITA

MASARYKOVA UNIVERZITA FILOZOFICKÁ FAKULTA Ústav české literatury a knihovnictví Kabinet informačních studií a knihovnictví

Ochrana informací coby součást bezpečnostní politiky organizace Diplomová práce

Autor práce: Bc. Anna Pauličková Vedoucí práce: Ing. Miroslava Komínková, Ph.D.

Brno 2008

Bibliografický záznam PAULIČKOVÁ, Anna. Ochrana informací coby součást bezpečnostní politiky organizace. Brno: Masarykova univerzita, Filozofická fakulta, Ústav české literatury a knihovnictví, 2008. 79 s. Vedoucí diplomové práce Ing. Miroslava Komínková, Ph.D.

Anotace V diplomové práci „Ochrana informací coby součást bezpečnostní politiky organizace“ je představena problematika ochrany informací v organizaci v širších souvislostech a nastíněny návrhy na zlepšení informační bezpečnosti při činnostech spojených se zpracováním a uchováváním informací v organizaci. V práci jsou přiblíženy hrozby a zranitelnosti informací a popsány hlavní prvky ochrany informací v organizaci. Praktická část uvádí konkrétní příklad zabezpečení ochrany informací v rámci bezpečnostní politiky konkrétní organizace.

Annotation The diploma work “Protection of Information as a Part of Security of an Organization Politics” presents the problematic of protection of information in an organization in a wider context and it also lays out suggestions how to improve information security at activities dealing with processing and preserving information within an organization. The work puts forward threats and vulnerability of information and in main points describes how to protect information within an organization. The practical part brings forward a specific example of securing information within safety politics of a particular organization.

Klíčová slova Informace, ochrana informací, bezpečnostní politika organizace, bezpečnostní rizika

Keywords Information, Protection of Information, Security of Organization Politics, Safety Risks

Prohlášení Prohlašuji, že jsem magisterskou diplomovou práci vypracovala samostatně s využitím uvedených pramenů a literatury. Brně dne 1. května 2008

Anna Pauličková

Poděkování Na tomto místě bych ráda poděkovala své vedoucí práce, Ing. Miroslavě Komínkové, za poskytnuté odborné rady, cenné připomínky a pomoc při zpracování této práce. Dále bych ráda poděkovala svým blízkým za podporu při tvorbě této práce.

OBSAH ÚVOD ........................................................................................................................................... 8 I. TEORETICKÁ ČÁST .......................................................................................................... 10 1

BEZPEČNOST INFORMACÍ ........................................................................................ 11

2

NORMY, ZÁKONY, VYHLÁŠKY A JINÁ DOPORUČENÍ ...................................... 14

3

PROCES ŘEŠENÍ BEZPEČNOSTI INFORMACÍ...................................................... 17

4

3.1

CÍLE A STRATEGIE ŘEŠENÍ BEZPEČNOSTI INFORMACÍ ................................................ 17

3.2

ANALÝZA RIZIK ......................................................................................................... 18

3.3

BEZPEČNOSTNÍ POLITIKA ........................................................................................... 19

3.3.1

Vytvoření bezpečnostní politiky ............................................................................. 21

3.3.2

Rozsah a forma formulace bezpečnostní politiky .................................................. 21

3.3.3

Přijetí bezpečnostní politiky .................................................................................. 22

3.4

BEZPEČNOSTNÍ PROJEKT, STANDARD, STRATEGIE ..................................................... 22

3.5

IMPLEMENTACE BEZPEČNOSTI ................................................................................... 23

3.6

HODNOCENÍ, MONITORING A AUDIT .......................................................................... 24

3.7

PONAUČENÍ Z BEZPEČNOSTNÍCH INCIDENTŮ ............................................................. 25

PRVKY BEZPEČNOSTI ................................................................................................ 26 4.1

ORGANIZACE BEZPEČNOSTI ....................................................................................... 26

4.2

KLASIFIKACE A ŘÍZENÍ AKTIV .................................................................................... 27

4.3

PERSONÁLNÍ BEZPEČNOST ......................................................................................... 27

4.4

FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ .................................................... 28

4.5

ŘÍZENÍ KOMUNIKACÍ A ŘÍZENÍ PROVOZU ................................................................... 31

4.6

ŘÍZENÍ PŘÍSTUPU ........................................................................................................ 32

4.7

VÝVOJ A ÚDRŽBA SYSTÉMŮ....................................................................................... 33

4.8

ŘÍZENÍ KONTINUITY ČINNOSTÍ ORGANIZACE ............................................................. 33

4.9

SOULAD S POŽADAVKY NA BEZPEČNOST ................................................................... 34

4.10

REŽIMOVÁ BEZPEČNOST ............................................................................................ 34

4.11

OBRANNÉ KONKURENČNÍ ZPRAVODAJSTVÍ ............................................................... 35

II. PRAKTICKÁ ČÁST ........................................................................................................... 38 5

IDENTIFIKACE ORGANIZACE .................................................................................. 40

6

SPECIFIKACE AKTIV ORGANIZACE ...................................................................... 43 6.1

UTAJOVANÉ INFORMACE ........................................................................................... 43

6.1.1

Místa výskytu utajovaných informací .................................................................... 44

6.1.2

Režim pohybu utajovaných informací ................................................................... 45 6

6.1.3

Důsledky vyzrazení utajovaných informací ........................................................... 47

6.1.4

Stanovení jednotlivých hrozeb a zranitelnosti utajovaných informací a jejich

vyhodnocení ........................................................................................................................ 47 6.1.5

Pokyny pro ochranu utajovaných informací v případě vzniku mimořádné situace56

6.2

KOMERČNÍ INFORMACE ............................................................................................. 65

6.3

OSTATNÍ INFORMACE ................................................................................................. 68

7 ANALÝZA SOUČASNÉ ÚROVNĚ OCHRANY INFORMACÍ COBY SOUČÁSTI BEZPEČNOSTNÍ POLITIKY ORGANIZACE .................................................................... 69 7.1

SWOT ANALÝZA ....................................................................................................... 69

7.2

ANALÝZA SOUČASNÉHO STAVU BEZPEČNOSTI INFORMACÍ ....................................... 69

ZÁVĚR....................................................................................................................................... 72 SEZNAM OBRÁZKŮ A TABULEK ...................................................................................... 74 POUŽITÉ ZDROJE ................................................................................................................. 75

7

ÚVOD Informační a komunikační technologie jsou v dnešní době již užívány ve všech oblastech života. Prudkým rozvojem informačních technologií v posledních několika letech je zvýšeno také riziko bezpečnosti informačních a komunikačních systémů. Z hlediska ochrany informací je však jejich bezpečný provoz nesmírně důležitý. Současné organizace jsou většinou zcela závislé na informačních a komunikačních technologiích, mají internetově propojené své informační systémy, používají intranetové systémy – ve všech těchto systémech mají uloženy takřka veškeré informace. Jakékoliv ohrožení těchto systémů má pro organizaci nepříznivé dopady. Stále častěji se v této souvislosti objevuje pojem informační bezpečnost. Tento pojem chápeme jako zodpovědnost za ochranu informací během jejich vzniku, zpracování, ukládání, přenosů a likvidace prostřednictvím logických, technických, fyzických a organizačních opatření, která musí působit proti ztrátě důvěrnosti, integrity a dostupnosti těchto informací. Bezpečnost je dynamický, stále se měnící proces. O každý systém zabezpečení je třeba se stále odborně starat a reagovat na nové informace a hrozby. Oblast ochrany dat a informací je velmi široká a díky tomu také problematická. Ohrožení informací může nastat při neoprávněném přístupu do systému, neoprávněnou nebo neodbornou manipulací s informací, ztrátou funkčnosti nebo zabezpečenosti informačního systému, fyzickým napadnutím ale i dalšími způsoby. Také každý uživatel či vlastník informačních a komunikačních systémů by si měl být vědom rizik, která hrozí při každé manipulaci s nimi a měl by vyvinout maximální snahu o zabezpečení informací v těchto systémech uložených. K omezení potencionálních rizik je nutné provádět v organizaci průběžně analýzy a vyhodnocení rizik ohrožení informací v systémech, s cílem jejich eliminace. Obecně je v této diplomové práci řešena problematika bezpečnosti informací v organizaci. Cílem této práce je představit problematiku ochrany informací v organizaci v širších souvislostech a následně nastínit návrhy na zlepšení informační bezpečnosti při činnostech spojených se zpracováním a uchováváním informací v organizaci. V práci jsou přiblíženy hrozby a zranitelnost informací a popsány hlavní prvky ochrany informací v organizaci. Je popsána problematika bezpečnosti informací 8

v souvislosti s bezpečnostní politikou jako základním dokumentem každé organizace v oblasti bezpečnosti. V praktické části je uveden konkrétní příklad zabezpečení ochrany informací v rámci bezpečnostní politiky konkrétní organizace.

9

I.

TEORETICKÁ ČÁST

10

1

BEZPEČNOST INFORMACÍ Informace jsou aktiva, která mají pro organizaci nějakou hodnotu – např. aktiva

informační (databáze, datové soubory), aktiva programová (systémové programové vybavení), aktiva fyzická (počítačové vybavení), služby (komunikační služby). Informace v organizaci se vyskytují v různých podobách – elektronická podoba, tištěná podoba, psaná podoba, vyřčená podoba, nahraná podoba. Veškeré tyto informace v organizaci je nutné vhodným způsobem chránit. Ochranu informací tedy musíme zajišťovat také u informací, které jsou zpracovávány klasickým způsobem, nikoliv jen pomocí výpočetní techniky. Informační bezpečnost (také bezpečnost informací) se zabývá tedy zásadami bezpečné práce s informacemi všeho druhu a ve všech podobách.

Obrázek 1: Vztah úrovní bezpečnosti ve firmě1

Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišťuje tak kontinuitu činností organizace, minimalizuje obchodní ztráty a maximalizuje návratnost investic a podnikatelských příležitostí.2 Bezpečnost informací je spolu s např. bezpečností objektu, bezpečností majetku, bezpečností IS a ICT apod. součástí celkové bezpečnosti organizace nebo firmy. Informační bezpečnost v sobě zahrnuje mimo zásad bezpečnosti IS a ICT také zásady veškerého zpracovávání informací, jako např. archivování nedigitálních dat, skartace písemností, způsoby ukládání informací, apod.

1

POŽÁR, J. Informační bezpečnost, s. 39.

2

ČSN ISO/IEC 17799, s. 10.

11

Informační bezpečnost je ochrana informací před jejich neoprávněnou modifikací, zničením nebo neoprávněným přístupem, a to buď náhodnými vlivy nebo úmyslně.

V podmínkách organizací se jedná obecně o tyto hrozby:
ztráta informace,
vyzrazení informace,
neoprávněná modifikace informace,
neoprávněné zpracování informace,
hrozba vlivu času.

Bezpečnost informací v organizaci je charakterizována jako zachování3: 1/ důvěrnosti – utajení informací nebo zdrojů. Je třeba zajistit, aby informace byla dostupná jen osobám, které jsou k přístupu k informaci oprávněné. Důvěrnost je zajišťována především mechanismy kontroly přístupu. 2/ integrity – důvěryhodnost, správnost a kompletnost informací, dat a zdrojů. Integrita tedy zahrnuje nejen integritu informačního obsahu dat, ale také integritu zdroje těchto dat. 3/ dostupnosti – zajištění přístupu k informacím autorizovaným uživatelům dle jejich potřeby.

Bezpečnost, která může být dosažena různými technickými opatřeními, není většinou dostačující, a proto by měla být doplněna odpovídajícím řízením a postupy4.

3

ČSN ISO/IEC 17799, s. 10.

4

tamtéž

12

Propojení veřejných a soukromých sítí a sdílení informačních zdrojů stále více zvyšuje obtížnost dosažení bezpečnosti informací. Bezpečnosti informací lze dosáhnout implementací soustavy opatření, které mohou existovat ve formě pravidel, postupů, procedur, organizační struktury a programových funkcí. Informace je třeba klasifikovat dle jejich potřebnosti, důležitosti a stupně ochrany. Různé informace mají různé stupně citlivosti, proto by měl v organizaci existovat systém bezpečnostní klasifikace informací, který by určoval přiměřený stupeň ochrany a dával by informace o nutnosti zvláštního zacházení s konkrétní informací5. Informace, které jsou zpracovávány, lze rozdělit následovně:
informace, které mají charakter utajovaných informací dle zákona o ochraně utajovaných informací;
komerční informace;
ostatní informace (např. které jsou chráněny jinými zákony - zákon o ochraně osobních údajů, atd.).

5

ČSN ISO/IEC 17799, s. 20.

13

2

NORMY, ZÁKONY, VYHLÁŠKY A JINÁ DOPORUČENÍ Při zpracování návrhu bezpečnostní politiky je nutno mít na zřeteli vždy nejen

požadavky vyplývající z analýzy rizik, ale také požadavky a povinnosti vyplývající z legislativních úprav ve státě. V této kapitole uvádím stručný přehled základních zákonů, norem a systémů jakosti, které se vztahují k bezpečnostní politice organizace. Vzhledem k tomu, že oblast bezpečnosti informací je velice široká a úzce souvisí s další ostrahou objektu a jinou problematikou, jsou uvedeny pouze vybrané základní legislativní a jiné předpisy.

Normy Norma ISO/IEC 17799 V mezinárodní normě ISO/IEC 17799 je uvedena specifikace požadavků na systém řízení v oblasti bezpečnosti informací. Jde o klíčovou normu pro zavádění a certifikaci systémů řízení organizace. Norma BS 7799-2 V normě BS 7799-2 (Systém managementu bezpečnosti informací – Specifikace s návodem pro použití) jsou uvedeny podrobnější specifikace a instrukce k užití nejen výše uvedené normy ISO/IEC 17799. Norma ČSN ISO/IEC 27001 Stanoví požadavky na systém managementu bezpečnosti informací tak, aby byla organizace schopna vyhodnocovat svá rizika a uplatňovat náležité kontrolní a řídící mechanismy k zachování důvěrnosti, integrity a dostupnosti informací. Norma ČSN ISO/IEC 15408 Informační technologie – Bezpečnostní techniky – kritéria pro hodnocení bezpečnosti IT Norma ČSN ISO/IEC TR 13335 1-4 Informační technologie – směrnice pro řízení bezpečnosti IT

14

Norma ČSN EN 5 130 (norma, týkající se poplachových systémů) Norma ČSN EN 5O 131 (norma, týkající se elektrické zabezpečovací signalizace) Norma ČSN EN 50 132 (norma, týkající se CCTV - sledovací systémy pro použití v bezpečnostních aplikacích) Norma ČSN EN 50 133 (norma, týkající se systémů kontroly vstupu) Norma ČSN EN 50 134 (norma, týkající se systémů přivolání pomoci) Norma ČSN EN 50 135 (norma, týkající se systémů tísňových) Norma ČSN EN 50 136 (norma, týkající se poplachových přenosových systémů) Norma ČSN EN 50 137 (norma, týkající se systémů kombinovaných nebo integrovaných)

Zákony
Zákon č. 499/2004 Sb. o archivnictví a spisové službě a o změně některých zákonů v platném znění
Zákon č. 240/2000 Sb. o krizovém řízení a o změně některých zákonů (krizový zákon) v platném znění
Zákon č. 106/1999 Sb. o svobodném přístupu k informacím v platném znění

15


Zákon č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti v platném znění
Zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů v platném znění

Ostatní právní předpisy (v rámci EU)6
Směrnice rady č. 1991/250/EHS o právní ochraně počítačových programů
Směrnice EU 1995/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
Směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v

odvětví

elektronických

komunikací

(Směrnice

o

soukromí

a

elektronických komunikacích)
Směrnice rady č. 2001/264/EC, kterou se přijímají bezpečnostní předpisy Rady
Nařízení Evropského parlamentu a Rady 2001/45/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů

6

EUR-Lex. Přístup k právu Evropské unie [online].

16

3

PROCES ŘEŠENÍ BEZPEČNOSTI INFORMACÍ Proces řešení bezpečnosti se skládá většinou ze 6 základních kroků7: 1/ cíle a strategie řešení bezpečnosti informací; 2/ analýza rizik; 3/ bezpečnostní politika organizace; 4/ bezpečnostní projekt, standard, strategie; 5/ implementace bezpečnosti; 6/ hodnocení, monitoring a audit. Blíže viz následující kapitoly.

3.1 Cíle a strategie řešení bezpečnosti informací Cílem je eliminovat ztráty, které mohou být způsobeny zneužitím, poškozením, zničením

nebo

nedostupností

informací,

vytvořením

uceleného

nákladově

8

optimalizovaného a efektivně fungujícího řízení bezpečnosti informací. Obvykle mívá organizace stanoveny také další cíle, např.9:


zhodnocení současné úrovně bezpečnosti informací v organizaci;
definice principů řízení a požadované úrovně v oblasti bezpečnosti informací;
návrh postupu k dosažení požadované úrovně bezpečnosti;
příprava prostředí pro udržování a zvyšování úrovně bezpečnosti.

7

POŽÁR, J. Informační bezpečnost, s. 84.

8

tamtéž

9

tamtéž

17

Dokument, který zahrnuje definici cílů, požadavků a mezí analyzovaného systému se nazývá bezpečnostní studií (studií bezpečnosti). Tento dokument obsahuje popis současného stavu informační bezpečnosti v organizaci a udává hlavní směry dalšího postupu.10

3.2 Analýza rizik Pro správné vyhodnocení rizik spojených s ochranou informací je nutné pojmenování hrozeb, kterým jsou informace vystaveny a jejich bližší specifikace. Cílem analýzy rizik je tedy rizika identifikovat a kvantifikovat tak, aby bylo možné rozhodnout o jejich přijatelnosti pro organizaci.11 V současné době se užívají 4 přístupy k provedení analýzy rizik: 1/ základní analýza rizik – opatření jsou vytvořena na základě analogie podobných systémů a z všeobecných standardů; 2/ neformální analýza rizik (též kvalitativní analýza) – analýza je provedena na základě znalostí odborníků na bezpečnost bez použití standardních metod; 3/ detailní analýza rizik (též kvantitativní analýza) – analýza je provedena za použití standardních strukturovaných metod ve všech fázích analýzy, jde o nejpřesnější metodu, která je však časově a finančně nejnáročnější; 4/ kombinovaná analýza rizik – analýza, v níž je dle uvážení v jednotlivých oblastech použita analýza základní, neformální nebo detailní; jde o nejčastěji používanou metodu.

Každý z těchto přístupů je vhodný pro jiný typ organizace nebo za jiných stávajících okolností. Rozhodnutí, kterou analýzu provést, činí vedení organizace.

10

POŽÁR, J. Informační bezpečnost, s. 85.

11

tamtéž, s. 86.

18

Dalším pohledem na typy analýz rizik je členění dle toho, kdo provádí analýzu: 1/ dodavatelský přístup – dodavatel provádí analýzu rizik; 2/ partnerský přístup – analýzu provádí zaměstnanci organizace pod vedením konzultační společnosti; 3/ vlastní přístup – analýzu provádí zaměstnanci organizace.

Výsledkem analýzy rizik je popis odhadovaných rizik a zároveň definování bezpečnostních požadavků, které napomohou snížení rizik na přijatelnou míru. Výsledky analýzy jsou velmi citlivým dokumentem, protože obsahují podrobné informace o rizicích v organizaci, z tohoto důvodu je v organizaci určen tento dokument pouze úzkému okruhu lidí v managementu.12

3.3 Bezpečnostní politika Základním dokumentem systému řízení informační bezpečnosti v organizaci, který stanovuje cíle, strategie a zásady informační bezpečnosti, je bezpečnostní politika organizace. Hlavní zásadou je chránit interní sítě a veškerá data nejen zvenku, ale i zevnitř. Bezpečnostní politikou je třeba chápat nejen základní dokument řídící dokumentace v oblasti bezpečnosti v organizaci, ale také veškerou navazující bezpečnostní dokumentaci. Obsahuje souhrn bezpečnostních požadavků pro řešení informační bezpečnosti na úrovni fyzické, personální, administrativní, počítačové a komunikační bezpečnosti a bezpečnosti vývojového prostředí.13 Bezpečnostní politika je užitečná tehdy, když jejím přínosem je snížení rizik, ovšem v rovnováze k nákladům na návrh, implementaci a správu bezpečnostní politiky.

12

POŽÁR, J. Informační bezpečnost, s. 88.

13

BENDA, R. Základy tvorby bezpečnostního projektu, s. 3.

19

Dokument bezpečnostní politiky organizace by měl obsahovat14:
definici bezpečnosti informací, její cíle, rozsah a její důležitost;
prohlášení managementu organizace o záměru podporovat cíle a principy bezpečnosti informací;
stručný výklad bezpečnostních zásad, principů a norem a požadavky zvláštní důležitosti pro organizaci, např. - dodržování legislativních a smluvních požadavků; - požadavky na vzdělávání v oblasti bezpečnosti; - zásady prevence a detekce virů i ostatního škodlivého programového vybavení; - zásady plánování kontinuity činností organizace; - důsledky porušení bezpečnostních zásad;
stanovení obecných a specifických odpovědností pro oblast managementu bezpečnosti informací včetně hlášení bezpečnostních incidentů;
odkazy na dokumentaci, která může bezpečnostní politiku podporovat, např. na detailnější bezpečnostní politiky a postupy zaměřené na specifické informační systémy nebo bezpečnostní pravidla, která by měli uživatelé dodržovat.

Systémová bezpečnostní politika organizace Součástí bezpečnostní politiky v některých organizacích bývá systémová bezpečností politika. Jejím cílem je zajistit aktiva, která jsou součástí jednotlivých informačních systémů organizace. Systémová bezpečnostní politika definuje, jakou architekturu používá který informační systém, jaké technologie by měly být využívány

14

ČSN ISO 17799, s. 13-14.

20

při provozu informačního systému, apod. Tento dokument nemusí být zpracován, když je bezpečnost u informačních systémů organizace řešena jednotně. Systémová bezpečnostní politika většinou obsahuje tyto bezpečnostní prvky15: 1/ požadavky na bezpečnost počítačů; 2/ správa dat; 3/ provoz; 4/ řízení přístupu; 5/ bezpečnostní politika počítačové sítě; 6/ bezpečnost datových přenosů; 7/ osobní odpovědnost správců dat; 8/ právní a etické otázky; 9/ vzory dokumentů.

3.3.1

Vytvoření bezpečnostní politiky

Bezpečnostní politika vychází ze studie bezpečnosti a udává, co má být chráněno a rámcově stanovuje, jakým způsobem toho má být dosaženo. Definuje zodpovědnosti a pravomoci, role a prostředky pro dosažení těchto cílů.16

3.3.2

Rozsah a forma formulace bezpečnostní politiky

Závisí nikoliv na velikosti nebo charakteru organizace, ale spíše na formě řízení organizace.17

15

POŽÁR, J. Informační bezpečnost, s. 101.

16

POŽÁR, J. Informační bezpečnost, s. 89.

17

tamtéž

21

1/ Stručná bezpečnostní politika – obsahuje pouze základní zásady, označovaná jako „high-level-policy“. 2/ Detailní politika – detailní dokument, obsahující také jednotlivá bezpečnostní opatření platná pro celou organizaci a společná všem informačním systémům organizace.

Vzniklý dokument bezpečnostní politiky je všeobecným plánem, který stanovuje, co, kde a proč se bude v organizaci chránit. Jde většinou o dlouhodobý dokument, proto bývají formulace zde uvedené značně obecné. Představuje tedy obecný návrh realizace všech standardů, směrnic, procedur a opatření, které vedou ke splnění předem definovaných bezpečnostních cílů.18

3.3.3

Přijetí bezpečnostní politiky

Bezpečnostní politika je závazný předpis, který platí pro všechny zaměstnance organizace, musí mít písemnou formu, být známa všem zaměstnanců organizace (seznámení zaměstnanců průkazným způsobem) a musí být schválena vrcholným managementem organizace.19

3.4 Bezpečnostní projekt, standard, strategie Bezpečnostní strategie – definuje základní principy bezpečnostní politiky a je nezávislá na používaném technickém vybavení a personálním obsazení vedoucích funkcí v organizaci. Nejdůležitějšími prvky bezpečnostní strategie je stanovení rozsahu chráněných informací, důvod jejich ochrany a jasné určení zodpovědnosti. Slouží jako základ pro definování dalších bezpečnostních standardů, proto musí být značně obecná. Musejí s ní být seznámeni všichni zaměstnanci organizace. Jde o rozpracování principů,

18

POŽÁR, J. Informační bezpečnost, s. 91.

19

tamtéž, s. 89.

22

metod a opatření bezpečnostní politiky do detailní podoby. Řešení každé části bezpečnostního systému je samostatným procesem se svými vstupy a výstupy.20 Bezpečnostní projekt představuje naplnění závěrů bezpečnostní politiky organizace, kdy výsledkem jsou konkrétní opatření – organizačně-administrativní a technická. Bezpečnostní standard – výsledkem bezpečnostního projektu jsou vedle technických opatření také organizační opatření ve formě závazných interních dokumentů organizace. Bezpečnostní standardy vycházejí z bezpečnostní politiky a musejí s ní být ve shodě.21 V bezpečnostních standardech jsou podrobně definovány postupy pro jednotlivé oblasti bezpečnosti.

3.5 Implementace bezpečnosti Jde o uvedení bezpečnostní politiky a standardů do praxe. Především je třeba rozhodnout se pro vhodnou strategii řízení rizik. Strategie řízení rizik: 1/ přijetí rizika – nepřijetím žádných opatření akceptuje organizace bezpečnostní důsledky pro ohrožená aktiva; 2/ zmírnění rizika – snížení hrozby pro aktivum; 3/ přenesení rizika – přenesení části rizik na třetí stranu (např. pojišťovna, třetí strana).

Velmi důležité je dbát v případě změn majících vliv na informační bezpečnost organizace na aktualizaci bezpečnostních standardů.

20

POŽÁR, J. Informační bezpečnost, s. 93.

21

tamtéž, s. 92.

23

3.6 Hodnocení, monitoring a audit Jedním z doporučovaných opatření pro zlepšení bezpečnosti informací je realizace nezávislých přezkoumání bezpečnosti informací. Vedení organizace by mělo iniciovat nezávislá přezkoumání bezpečnosti informací. Nezávislá přezkoumání jsou důležitá pro zajištění toho, že přístup organizace k řízení bezpečnosti informací je vyhovující, přiměřený a dostatečně účinný. Součástí přezkoumání by mělo být zhodnocení možností pro zlepšení a změny v přístupu k bezpečnosti, včetně přezkoumání bezpečnostní politiky a cílů opatření. Tato přezkoumání se provádějí nezávislou autoritou a poskytnou nezaujaté hodnocení stavu bezpečnosti informací. Pokud by se použila metodika hodnocení z tohoto materiálu pro každé další přezkoumání bezpečnosti, vznikla by tak řada údajů, které by měly doložit, že se vývoj v oblasti ochrany informací u organizace zlepšuje. Hodnocení, audit a monitoring stavu bezpečnosti v organizaci je nedílnou součástí procesu řízení bezpečnosti. Východiskem jsou vždy bezpečnostní cíle stanovené v bezpečnostní studii. Hodnocení a monitoring jsou kontinuální procesy. Audit je jednorázové hodnocení, které většinou provádí nezávislá specializovaná firma. Tato provádí analýzu požadavků, rizik a hodnocení současného stavu zabezpečení. Výstupní dokument pak obsahuje rozhodnutí, zdali vyhovuje, vyhovuje s výhradami anebo nevyhovuje a dále také popis problémových oblastí včetně opatření pro odstranění bezpečnostních rizik. Audit může být také interní, v tomto případě však ho musí provést subjekt, který je zcela nezávislý na bezpečnostním oddělení. Neprovádění hodnocení, auditu nebo nedostatečná úroveň monitoringu může mít za následek neodhalení bezpečnostních incidentů a škody potom mohou být vyšší než při včas odhalených incidentech.22

22

POŽÁR, J. Informační bezpečnost, s. 98-99.

24

3.7 Ponaučení z bezpečnostních incidentů Důležitým prvkem pro řízení bezpečnosti je i ponaučení z bezpečnostních incidentů. Bezpečnostní incident by měl být detekován, aby cenné informace o stavu bezpečnosti informací, které incident s sebou přináší, neprošly bez povšimnutí. Detekce, zvládnutí a následné vyhodnocení bezpečnostního incidentu je základním předpokladem pro řízení bezpečnosti. Bezpečnostní incident jako jediný poskytne informaci o skutečném stavu bezpečnosti informací, protože je odrazem chování skutečné reálné situace a nikoli jen výsledkem modelování (jako např. při bezpečnostní analýze). U bezpečnostního incidentu je potřeba minimalizovat jeho škodlivé dopady, k čemuž jsou potřebné bezpečnostní struktury (stanovené v bezpečnostní politice) a bezpečnostní postupy. Velmi důležitou fází je vyhodnocení příčin vzniku bezpečnostního incidentu a vyvození příslušného ponaučení z bezpečnostního incidentu, které je obvykle představováno preventivními opatřeními, jež mají zabránit opakování tohoto bezpečnostního incidentu. Právě ponaučení z bezpečnostních incidentů definováním preventivních z

opatření

bezpečnostního

představuje

incidentu

vytěžit.

hlavní Pokud

bezpečnostní bezpečnostní

přínos, incident

který

proběhne

nepovšimnut, jediné, co z něj organizace získá, je incidentem způsobená škoda.

25

lze

4

PRVKY BEZPEČNOSTI Dle normy ISO/IEC 17799 se v bezpečnostní politice definují cíle organizace při

zajištění bezpečnosti informací v těchto základních oblastech: 1/ organizace bezpečnosti; 2/ klasifikace a řízení aktiv; 3/ personální bezpečnost; 4/ fyzická bezpečnost a bezpečnost prostředí; 5/ řízení komunikací a řízení provozu; 6/ řízení přístupu; 7/ vývoj a údržba systémů; 8/ řízení kontinuity činností organizace; 9/ soulad s požadavky.

4.1 Organizace bezpečnosti Další oblastí bezpečnosti informací, která výrazně ovlivňuje plnění pokynů k ochraně informací, je stanovení organizačních struktur, které bezpečnost v organizaci řídí a prosazují. Odpovědnost za bezpečnost informací v organizaci má nejen vrcholné vedení organizace, ale také každý jednotlivý zaměstnanec. Bezpečnosti informací je možné v organizaci dosáhnout jedině za spoluúčasti všech zaměstnanců organizace (mnohdy také spoluprací s dalšími specialisty). V některých organizacích funguje samostatný bezpečnostní útvar, v jehož čele je pro řešení komplexní bezpečnosti informací většinou bezpečnostní manažer (vedoucí zaměstnanec zodpovědný nejen za definování bezpečnostních pravidel v organizaci, ale také za dodržování těchto pravidel). Samostatné bezpečnostní útvary většinou fungují u větších organizací, s větším množstvím zaměstnanců anebo ve společnostech, kde je kvůli charakteru podnikání riziko úniku citlivých informací velké. V organizacích, kde

26

samostatné bezpečnostní útvary nejsou zavedeny, jsou stanoveny role a odpovědnosti pracovníků organizace.

4.2 Klasifikace a řízení aktiv Informace v organizaci mohou mít různé stupně citlivosti, mohou vyžadovat různou úroveň bezpečnosti nebo zvláštní způsoby zacházení. V organizaci by proto měl existovat systém bezpečnostní klasifikace, který určuje adekvátní stupeň ochrany a který dává uživatelům informace o nutnosti zvláštního zacházení s konkrétní informací. Klasifikace umožňuje určit způsob zacházení s určitou informací a způsob její ochrany. Klasifikace informací dle jejich potřebnosti, důležitosti a stupně ochrany by měla vycházet z potřeb a požadavků organizace.23

4.3 Personální bezpečnost Cílem je snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. Zaměstnanci organizace patří mezi nejrizikovější část podnikového bezpečnostního systému. Již při přijímání nových zaměstnanců je třeba odpovědnost za bezpečnost zohlednit a také provést přezkoumání spolehlivosti potencionálního zaměstnance. Odpovědnost zaměstnanců za bezpečnost by následně měla být zahrnuta v pracovních smlouvách, dodržování by mělo být sledováno během celé doby trvání pracovního poměru, ale také po skončení pracovního poměru (stanovit odpovědnost za

porušení,

odebrání

přístupových

práv).

V

některých

organizacích

jsou

pro zaměstnance připraveny smlouvy o mlčenlivosti, neprozrazení nebo o ochraně důvěrných informací.24 V případě zaměstnanců, kteří budou mít přístup k utajovaným informacím, musí být spolehlivost zaměstnance přezkoumána odpovídající prověrkou spolehlivosti.

23

ČSN ISO/IEC 17799, s. 19-20.

24

tamtéž, s. 21.

27

Povědomí, vzdělávání a školení v oblasti bezpečnosti informací Předpokladem prosazení jakýchkoli bezpečnostních požadavků u organizace je seznámení zaměstnanců s těmito požadavky a trvalé (periodické) upevňování těchto znalostí. Všichni zaměstnanci organizace by měli s ohledem na svoji pracovní náplň projít odpovídajícím a pravidelně se opakujícím školením v oblasti bezpečnosti informací, bezpečnostní politiky informací a bezpečnostních směrnic organizace. Součástí pravidelných školení by mělo být zvyšování povědomí o bezpečnostních požadavcích, právní odpovědnosti a organizačních opatřeních. Zaměstnanci by také měli absolvovat školení zaměřené na správné použití prostředků pro zpracování informací, např. přihlašovací postup do systému, na způsob použití instalovaných programových produktů a na znalost jejich povinností vzhledem k bezpečnosti informací.

4.4 Fyzická bezpečnost a bezpečnost prostředí Jedná se o nejčastější a také nejstarší formu zajišťování ochrany. Cílem je předcházení neautorizovanému přístupu k informacím, předcházení poškození a zásahům do informací organizací. Fyzická bezpečnost zahrnuje ochranu objektů, jejích vnitřních prostor včetně řízení a organizace přístupů do nich, umístění technologických, zabezpečovacích a monitorovacích zařízení a jejich okolí. Fyzická ochrana se zajišťuje především prostřednictvím fyzických bariér, a to kolem prostředků zpracovávajících informace, ale také kolem veškerých prostor organizace, protože informace v organizaci vznikají či se zpracovávají kdekoliv. Při fyzické ochraně prostor se používají bezpečnostní perimetry. Bezpečnostní perimetr je cokoliv, co vytváří fyzickou bariéru – např. zdi, recepce, mříže. Použití bariér v organizaci závisí na výsledku hodnocení rizik.25

25

ČSN ISO/IEC 17799, s. 23.

28

Při fyzické ochraně se užívá především fyzického střežení objektů a prostor a dále technických prostředků. Mezi nejvýznamnější metody fyzické ochrany organizací patří metoda kontroly vstupu osob do objektu, využívání služby pracovníků fyzické ochrany a metoda fyzických zábran a bariér – zabezpečení oken, dveří, zařízení a celé budovy organizace. Při zpracování projektu fyzické bezpečnosti by měly být pokryty zejména následující oblasti26:
evidovaný vstup návštěvníků do prostor organizace;
jasná identifikace zaměstnanců společně s uvedením oprávnění přístupu do prostor;
stanovení přístupových práv k prostředkům zpracovávajícím informace (výpočetní technika);
stanovení přístupových práv k citlivým informacím;
stanovení přístupových práv do zabezpečených oblastí.

Následující formy zajištění fyzické bezpečnosti jsou v České republice nejčastější.

Činnost pracovníků fyzické ochrany Fyzickou ochranu v organizaci často zabezpečuje ostraha objektu. Ta má za úkol sledovat oprávněnost pohybu či činnosti v organizaci, dodržování stanoveného vnitřního režimu návštěvníků, zajišťuje dohled nad ochranou objektu prostřednictvím elektronických systémů apod.

26

ČSN ISO/IEC 17799, s. 25.

29

Kontroly vstupu osob Je nutné zvolit vhodný systém kontrol vstupu do prostor organizace. Od každého návštěvníka i zaměstnance by měla být požadována identifikace nebo oprávnění ke vstupu, návštěvníci v organizaci by měli být pod dohledem (evidence času jejich příchodu a odchodu). Ve většině organizací toto zabezpečuje recepce, vrátnice nebo jiná služba (např. ostraha objektu).

Zabezpečení kanceláří, místností a zařízení Dveře a okna do kanceláří a místností by měly být zabezpečeny kontrolními mechanismy (zámky, závorami, alarmy). Vnější dveře, dosažitelná okna a opuštěné prostory v organizaci by měly být chráněny vhodným detekčním systémem. Aby bylo zamezeno přístupu neoprávněných osob do budovy, měly by být prostory pro styk s veřejností odděleny od prostor, ve kterých v organizaci dochází k nakládání s informacemi. Veškerá zařízení by měla být fyzicky chráněna proti bezpečnostním hrozbám (krádež, voda, oheň, chemické látky) a působení vnějších vlivů (elektromagnetické pole, vibrace).27 Ke zpracování citlivých a utajovaných informací je nutné vyčlenit v organizaci zabezpečené oblasti, do kterých je evidován přístup oprávněných zaměstnanců. V bezpečnostní politice organizace je třeba uvést, že elektronická zařízení informačního systému, který zpracovává utajované informace, budou splňovat požadavky bezpečnostních standardů Národního bezpečnostního úřadu v oblasti TEMPEST. TEMPEST Pojem TEMPEST28 je odborným termínem, vztahujícím se ke zjišťování a zkoumání parazitního elektromagnetického vyzařování, což jsou neúmyslně vyzářené

27

ČSN ISO/IEC 17799, s. 25.

28

Metodický pokyn NBÚ – Minimální obsah bezpečnostní dokumentace pro malé informační systémy [online]

30

signály, které, pokud jsou zachyceny a analyzovány, mohou odhalit (prozradit) obsah zpracovávané informace (např. zobrazované na monitoru nebo tištěné na tiskárně). TEMPEST je zkratka technologie Transient ElectroMagnetic Pulse Electronic Surveillace Technology. U informačních systémů, které zpracovávají utajované informace v organizaci (především vyššího stupně utajení), je nutné u jejich návrhu, instalace i provozu dodržovat určitá pravidla, která snižují riziko úniku utajované informace formou parazitního elektromagnetického vyzařování. Elektronická zařízení jsou citlivá na vnější rušení a především také sama vyzařují elektromagnetickou energii (rušení). Pokud elektronická zařízení (vždy jsou součástí informačního systému) zpracovávají informace, může jimi vyzařovaná energie v sobě nést zpracovávanou informaci. U informačních systémů, které zpracovávají utajované informace, je z tohoto důvodu třeba dodržovat pravidla, která snižují riziko úniku utajované informace formou elektromagnetického vyzařování. Celý informační systém, který zpracovává utajované informace, se hodnotí z hlediska TEMPEST tzv. třídou a prostoru, kde je informační systém umístěn, je přiřazena tzv. zóna. Vhodně zvolené umístění informačního systému může znamenat lepší zónu daného prostoru a snižuje tak požadavky na třídu použitých prostředků a tím i finanční náklady. Ochrana se realizuje stíněním zařízení, celé budovy nebo vybraných prostor mědí, vodivým lakem, či jinými podobnými dobře vodivými materiály. V bezpečnostních standardech Národního bezpečnostního úřadu jsou uvedeny požadované vzdálenosti komponent informačního systému od metalických vedení (telefonních linek, vytápění, klimatizace apod.). Ekonomicky nejpřijatelnější variantu představuje odstínění místnosti, kde se s takovými utajovanými informacemi pracuje. Nejlepší řešení nabízejí počítače a další prvky výpočetní a komunikační techniky, které jsou tzv. tempestovány.

4.5 Řízení komunikací a řízení provozu Cílem je zajištění bezpečného provozu prostředků pro zpracování informací, oddělení vývojových, testovacích a provozních zařízení, dokumentace provozních postupů. V organizaci by měly být stanoveny odpovědnosti a postupy pro řízení a

31

správu prostředků zpracovávajících informace, toto představuje vytvoření vhodných provozních instrukcí a postupů při incidentech. Ochranná opatření a postupy mají být v organizaci stanoveny nejen pro zpracovávání informací pomocí výpočetní techniky, ale i pro výměnu hlasových, faxových a video informací.29 Jedná se především o opatření, která se vztahují k ochraně proti škodlivým programům, zajišťující zálohování informací, správu sítě, pravidla pro zacházení s médii v organizaci, pravidla pro likvidaci médií, bezpečnost médií při přepravě, bezpečnost elektronicky posílaných zpráv, pravidla pro bezpečné užívání faxových a telefonních přístrojů, apod.

4.6 Řízení přístupu Cílem je zajištění přístupu zaměstnanců k informacím organizace, tyto přístupy by však měly být řízeny na základě provozních a bezpečnostních požadavků. Přitom je třeba vzít ohled na existující technické a technologické prostředky pro šíření a autorizaci informací. Pro každého zaměstnance by měla být jasně stanovena přístupová pravidla a oprávnění k zařízením, zpracovávajícím informace. Především bývá sledován přístup zaměstnanců do informačních systémů organizace, přístup k interním a externím síťovým službám apod. Je třeba předcházet neoprávněným přístupům. Neoprávněnému přístupu k informačním systémům lze zabránit mnoha prostředky – např. přidělováním hesel oprávněným uživatelům, používání technologií umožňujících identifikaci uživatele (např. čipové karty), řízením přístupových oprávnění uživatelů (např. pouze možnost čtení), oddělení citlivých systémů, pravidelné přezkoumávání přístupových práv uživatelů, apod.30 Uživatelé musí být seznámeni se svými odpovědnostmi za dodržování účinných kontrol přístupu (především užití hesel a zabezpečení zařízení).

29

ČSN ISO/IEC 17799, s. 28-39.

30

ČSN ISO/IEC 17799, s. 52.

32

4.7 Vývoj a údržba systémů Je třeba v organizaci stanovit bezpečnostní pravidla pro informační systémy, pro jejich údržbu a další rozvoj. Požadavky na zabezpečení proti případným incidentům musí být stanoveny, odsouhlaseny a zadokumentovány již před vývojem informačního systému. Bezpečnostní požadavky a opatření by měly odrážet hodnotu informačních aktiv pro organizaci a možnou škodu, která by mohla být výsledkem nedostatečné bezpečnosti nebo jejího selhání. Nejdůležitější pro analýzu bezpečnostních požadavků a specifikaci opatření směřujících k jejich naplnění je hodnocení rizik. Cílem je stanovit taková bezpečnostní opatření, včetně požadavků na náhradní provoz, která napomohou předcházet ztrátě, modifikaci nebo zneužití uživatelských dat v systémech – např. validace vstupních a výstupních dat, autentizace elektronických zpráv, různá kryptografická opatření, apod.

4.8 Řízení kontinuity činností organizace Měl by být zaveden proces řízení kontinuity činností organizace včetně přijetí preventivních a zotavovacích opatření. Cílem je zabránit přerušení provozních činností, ochránit kritické procesy organizace před následky závažných chyb, minimalizace následků nežádoucí události a zotavení se ze ztráty informačních aktiv na přijatelnou úroveň. Nežádoucí událostí může být například přírodní pohroma, nehoda, porucha zařízení nebo úmyslné poškození informačního systému. Tento proces by měl identifikovat kritické činnosti organizace a začlenit požadavky řízení bezpečnosti informací s ohledem na požadavky provozní, personální, materiální, dopravní a požadavků na zařízení. V procesu plánování kontinuity činnosti organizace by měly být vytvořeny nouzové postupy, postupy obnovy činností, havarijní plány. Řízení kontinuity činností organizace by mělo zajistit rychlé obnovení nezbytných činností v organizaci.31

31

ČSN ISO/IEC 17799, s. 59.

33

4.9 Soulad s požadavky na bezpečnost Vedoucí zaměstnanci managementu anebo bezpečnostního útvaru v organizaci by měli pravidelně provádět přezkoumání souladu všech oblastí v rozsahu jejich odpovědnosti s bezpečnostní politikou, ostatními požadavky na bezpečnost a také s příslušnými standardy a normami. Je třeba v organizaci zajistit dodržování právních norem, soulad s legislativními předpisy, dodržování smluvních a bezpečnostních požadavků. Nejčastějšími legislativními požadavky v ČR je ochrana autorských práv a osobních dat. Základní legislativní předpisy a jiná doporučení týkající se oblasti bezpečnosti informací jsou uvedeny v kapitole 2 této práce. V případě zjištění nesouladu by odpovědní zaměstnanci za bezpečnost měli:
určit příčiny nesouladu;
vyhodnotit potřebu přijetí opatření k nápravě;
určit a implementovat nápravná opatření;
přezkoumat přijatá nápravná opatření;
zdokumentovat závěry z přezkoumání a přijatá nápravná opatření.

4.10 Režimová bezpečnost V souladu se zákony a potřebami organizace řeší, jakým způsobem budou lidé postupovat při ochraně podniku. Režimem rozumíme administrativní, organizační a věcné uspořádání vztahů mezi lidmi, jejich činnostmi a vlastními procesy v oblasti výkonu i řízení za účelem sladění všech prvků a s cílem dosáhnout harmonického stavu v dané organizaci. V rámci režimové ochrany jsou v organizaci také klasifikovány informace z hlediska jejich citlivosti nebo důvěrnosti.32 Režimová bezpečnost tedy

32

BENDA, R. Zásady tvorby bezpečnostního projektu, s. 4.

34

souvisí se všemi druhy ochranných opatření nebo završuje všechny ostatní druhy ochrany. Režimová opatření upravují:
činnost lidí uvnitř organizace,
pohyb a chování osob přicházejících zvenčí,
výstupu informací, dat a dokumentů z podniku.

Režimová opatření organizace jsou zapracována v organizačních dokumentech organizace – např. organizační řád, pracovní řád, spisový řád.

4.11 Obranné konkurenční zpravodajství V souvislosti s ochranou informací, dat a poznatků v organizaci nelze opomenout problematiku obranného konkurenčního zpravodajství (také defenzivní nebo pasivní konkurenční zpravodajství). Podstatou konkurenčního zpravodajství jsou postupy, kterými je možné odhalit strategii konkurenčních firem a využít je ve prospěch vlastní firmy. Informace získané v procesu konkurenčního zpravodajství napomáhají managementu firmy přijmout opatření s cílem předběhnout konkurenci a také k ochraně vlastních záměrů.33 Konkurenční zpravodajství lze rozčlenit do tří složek, dle cílů, kterých lze jeho pomocí dosáhnout: 1/ útočné konkurenční zpravodajství (získávání informací o konkurenci); 2/ obranné konkurenční zpravodajství (ochrana vlastních informací o podniku);

33

BÖHM-KLEIN, K. Competitive Intelligence (konkurenčné spravodajstvo), s. 13.

35

3/ lobbystické zpravodajství (systém opatření na ovlivňování vlastních kroků organizace, ale i kroků konkurence).

Pro potřeby této diplomové práce je nejvýznamnější složkou obranné konkurenční zpravodajství. Obranné konkurenční zpravodajství se zabývá analýzou informací, vytvořených v organizaci, jejich zveřejňováním a především jejich ochranou a slouží k minimalizaci možnosti jejich zveřejnění a zabránění konkurence využít tyto informace způsobem, který by mohl organizaci poškodit. Značná část organizací v České republice vykonává činnost, kterou lze chápat jako obranné konkurenční zpravodajství, aniž by si bylo vědomo toho, že jde o konkurenční zpravodajství.34 V podstatě si pouze organizace stanoví, které informace jsou pro ni nejdůležitější a ty nejrůznějšími formami „brání“ před konkurencí. Obranné konkurenční zpravodajství se odehrává v následujících rovinách35:
obrana a ochrana informací, dat, počítačových a komunikačních systémů;
ochrana proti vlivovému zpravodajství konkurence. V obranném konkurenčním zpravodajství je třeba v organizaci zajistit pokrytí následujících oblastí bezpečnosti informací:
personální bezpečnost (ochrana před zásahy zaměstnanců;,
bezpečnost komunikačních systémů (ochrana dat v komunikačních a počítačových systémech);
režimová bezpečnost (bezpečnostní pravidla pro práci s daty a informacemi);

34

tamtéž, s. 14.

35

BRABEC, F. Ochrana bezpečnosti podniku, s. 2.

36


bezpečnost technických prostředků (kontrola přístupu k technickým prostředkům);
bezpečnost programových prostředků (kontrola přístupu k programovým prostředkům);
bezpečnost dat (ochrana dat v souborech);
fyzická bezpečnost (ochrana proti neoprávněnému přístupu);
aktivní ochrana proti úniku informací (ochrana proti špionáži);
aktivní ochrana proti dezinformacím a vlivovému zpravodajství konkurence (ochrana proti působení vlivového zpravodajství konkurenčních firem).

Zcizení informací v rámci konkurenčního zpravodajství může pro firmu znamenat nenapravitelné škody, proto je třeba zaměstnancům v této oblasti umožňovat další vzdělávání k získání potřebných znalostí.

37

II.

PRAKTICKÁ ČÁST

38

V následujících kapitolách se věnuji analýze informací a bezpečnosti informací ve vybrané instituci. Záměrem nebyla detailní analýza bezpečnostní politiky organizace, což by z hlediska rozsahu nebylo možné, ale zmapování současného stavu v oblasti zabezpečení informací v organizaci. Na základě studia dostupných pramenů jsem se poté pokusila najít rezervy a možnosti, jak zlepšit současný stav v oblasti ochrany informací.

39

5

IDENTIFIKACE ORGANIZACE Vzhledem k tomu, že otázka bezpečnosti ve firmách a organizacích je velmi

citlivým tématem a veškeré dokumenty vydané v oblasti bezpečnosti obsahují podrobné informace o rizicích v organizaci, není vhodné organizaci, jejíž bezpečností politikou se v praktické části této práce zabývám, konkrétně jmenovat. Do svých interních dokumentací, organizačních opatření, metodických pokynů a projektových podkladů mi umožnila nahlédnout státní instituce, která je článkem soustavy úřadů státu určených k zastupování státu při ochraně veřejného zájmu ve věcech svěřených zákonem do jeho působnosti. Popisovaná organizace se v souladu se svou zákonem stanovenou působností podílí na prevenci kriminality, poskytování pomoci obětem trestných činů a působí v trestním řízení. Tato organizace má 74 zaměstnanců, ve svém organizačním členění má ustanoven odbor bezpečnosti (2 zaměstnanci), v jehož čele stojí bezpečnostní ředitel. Ochrana informací v organizaci velmi úzce souvisí s fyzickou ochranou budovy, stejně jako s personální a administrativní ochranou.

Zabezpečení budovy Ostraha objektu je zabezpečována:
režimovými opatřeními včetně způsobu přijímání návštěv;
mechanickými zábrannými prostředky;
zabezpečovací technikou;
fyzickými osobami (ostraha).

Pro zaměstnance je povolen vstup do budovy hlavním vchodem v době od 6.00 hodin do 18.00 hodin. Vstup do hlavní budovy je kontrolován prostřednictvím příslušníků ostrahy. Každý zaměstnanec, pokud není ostraze osobně znám, se musí při vchodu prokázat průkazem zaměstnance.

40

Zvnějšku je budova střežena videokamerami. Videokamery jsou také ve vestibulu budovy, na podatelně a na chodbách v budově. Záběry jsou nahrávány a přenášeny do služebny ostrahy. Příslušníci ostrahy zajišťují pravidelné obchůzky budovy, jeden příslušník je vždy přítomen i v noci. V budově je umístěna zabezpečovací technika, kterou se rozumí elektronická zabezpečovací signalizace, elektrická požární signalizace a průmyslová televize. Systém zabezpečovací techniky tvoří soubor snímačů a vyhodnocovacího zařízení, který na předem stanovené místo signalizuje situaci nebezpečnou z hlediska ochrany objektu a majetku (vloupání, požár apod.). Součástí je tísňový systém, který je nainstalován v prostorách chodeb budovy, zabezpečených oblastech a dalších rizikových místnostech. Při vstupních dveřích do budovy je umístěn bezpečnostní rám. Vestibul budovy je oddělen od zbytku budovy mříží. Veřejnost nemá do budovy volný přístup, tento má pouze na podatelnu a k pracovníkům ostrahy. Ti zajistí telefonické spojení s požadovaným pracovníkem úřadu. Vstup do budovy ostraha nedovolí osobám podnapilým a osobám, které by z jiných zjevných důvodů mohly ohrozit zdraví a život zaměstnanců nebo jiných osob, způsobit škodu na majetku nebo jinak narušovat pořádek v budově. Po vstupu návštěvníka do budovy jej ostraha požádá o předložení průkazu totožnosti a provede kontrolu vstupním rámem. Zaměstnanec, kterému přísluší s návštěvou jednat, se po ohlášení návštěvy dostaví pro návštěvu na stanoviště ostrahy.

Seznam vydaných opatření v organizaci k minimalizaci hrozeb a zranitelnosti informací Dokument bezpečnostní politiky informací v organizaci nebyl vydán. Bezpečnostní pravidla organizace jsou uvedeny v těchto několika jednotlivých dokumentech: 1/ Kancelářský řád 2/ Skartační řád 3/ Provozní řád počítačových sítí 4/ Ukládací řád agend vedených na počítači

41

5/ Pracovní řád 6/ Zásady bezpečnosti a ostrahy, návštěvní řád 7/ Projekt fyzické bezpečnosti 8/ Havarijní plán 9/ Interní směrnice o používání notebooku

42

6

SPECIFIKACE AKTIV ORGANIZACE Informace, které jsou v organizaci zpracovávány, jsou rozděleny následovně:
informace, které mají charakter utajovaných informací dle zákona o ochraně utajovaných informací;
komerční informace – informace technologického charakteru, obchodního charakteru (v podmínkách státní instituce slovo komerční představuje informace, které se týkají hlavní činnosti organizace);
ostatní informace (informace, které jsou chráněny jinými zákony - např. zákon o ochraně osobních údajů, kancelářské informace, personální informace, finanční informace organizace). Základem pro správné vyhodnocení rizik je pojmenování hrozeb, kterým jsou

veškeré tyto informace u státní instituce vystaveny a jejich bližší specifikace. V následujících podkapitolách se uvedeným typům informací a jejich hrozbám podrobněji věnuji.

6.1 Utajované informace U vybrané organizace se mohou vyskytovat některé utajované informace ve smyslu zákona č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti. Základním dokumentem vztahujícím se k ochraně utajovaných informací je Projekt fyzické bezpečnosti, jehož nedílnou součástí je Vyhodnocení rizik, které specifikuje aktiva, stanovuje a vyhodnocuje jednotlivé hrozby a zranitelnost utajovaných informací, a stanovuje celkovou míru rizika. Za aktiva lze považovat:
informace, které jsou utajované;
nosiče, které obsahují utajované informace;
nositele utajovaných informací – poučené osoby organizace.

43

U organizace dochází k manipulaci s utajovanými informacemi a jejich ukládání v listinné i digitalizované podobě. Utajované informace se vyskytují převážně jako spisy nebo součásti spisů. Specifikace utajovaných informací může být velmi zajímavá pro různé zájmové skupiny představované organizovaným zločinem, mezinárodním terorismem, případě i cizí mocí. Utajované informace se klasifikují ve 4 stupních utajení:
nejnižší stupeň utajení má označení Vyhrazené;
o stupeň výše jsou informace Důvěrné;
o stupeň výše jsou informace Tajné;
nejvyšší stupeň utajení informací mají informace Přísně tajné.

Zajímavost utajovaných informací je dána především jejich obsahem a bude souviset s případy, kterých bude utajovaná informace součástí. Využití utajovaných informací vyskytujících se u organizace lze předpokládat především k ovlivnění výsledku vyšetřování případu, jehož součástí utajované informace budou.

6.1.1

Místa výskytu utajovaných informací

Ukládání Utajované informace se ukládají výhradně do úschovných objektů (dvou trezorů), které jsou umístěny v zabezpečené oblasti. Do úschovných objektů lze ukládat utajované informace stupňů utajení Vyhrazené a Důvěrné. Podrobný popis zabezpečených oblastí organizace, včetně technického zabezpečení, je uveden v části Projektu fyzické bezpečnosti – Určení objektu a zabezpečené oblasti včetně jejich hranic a určení kategorie a třídy zabezpečené oblasti.

44

Manipulace S utajovanými informacemi lze manipulovat pouze v zabezpečené oblasti. Manipulaci v objektu povoluje písemně zodpovědná osoba. S utajovanými informacemi mohou manipulovat pouze poučené osoby, které splňují podmínky přístupu k utajovaným informacím příslušného stupně utajení stanovené zákonem č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších novelizací. Každá utajovaná informace v organizaci je vždy viditelně označena příslušným stupněm utajení a je evidována v manipulační knize zaměstnance, u kterého se nachází, či který s ní pracuje. Jakékoliv předání či jiná manipulace s utajovanou informací se musí vyznačit v manipulační knize. Utajované informace v organizaci je povoleno zpracovávat pouze na počítačích k tomu určených. Tyto nejsou fyzicky připojeny do žádné interní ani externí sítě. Utajované informace v těchto počítačích nejsou ukládány na pevný disk, jsou ukládány pouze na výměnné datové nosiče - ZIP média, diskety, CD nebo DVD média. K ukládání těchto výměnných datových nosičů slouží trezor v zabezpečené oblasti.

Možnosti výskytu u jiných subjektů Utajované informace jsou státní instituci poskytovány zejména Policií ČR, následně jsou dále zpracovávány, případně poskytovány dalšímu oprávněnému subjektu. Zpravidla se jedná o dva a více výtisků, kdy jeden zůstává ve státní instituci a další jsou předávány na instituce dle rozdělovníku. Výskyt dalších kopií utajované informace je zpravidla malý. U státní instituce se nepředpokládá výskyt utajované informace, kde zpracovatelem je soukromá společnost či fyzická osoba, lze předpokládat zasílání výtisků utajovaných informací od různých dalších státních institucí.

6.1.2

Režim pohybu utajovaných informací

V objektu lze manipulovat s utajovanými informacemi pouze stupně utajení „Vyhrazené“, pokud jsou splněny požadavky § 24 odst. 5 písm. b) zákona č. 412/2005

45

Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších novelizací. Do objektu organizace je povolen vstup všem oprávněným osobám na základě aktuální evidence u ostrahy. V objektu organizace se nachází zabezpečené oblasti, do kterých mohou samostatně vstupovat pouze pověřené osoby, kterým byly protokolárně přiděleny klíče od zámku vstupních dveří situovaných do zabezpečené oblasti, kód elektronického zabezpečovacího systému a které jsou držiteli platného osvědčení fyzické osoby pro daný stupeň utajení. Pro manipulaci s utajovanými skutečnostmi v objektu platí následující opatření:
vstupní dveře do místnosti, kde se bude s utajovanými informacemi manipulovat, musí být uzavřeny a uzamčeny. Klíč od těchto dveří musí být ponechán v zámku z vnitřní strany místnosti, aby se zamezilo náhodnému vstupu neoprávněné osoby, případně jiné osoby, která zde může vstupovat, ale není poučena;
poučená osoba, která manipuluje s utajovanými informacemi v objektu, odpovídá za jejich ostrahu, tzn. ručí za skutečnost, že v průběhu manipulace nedojde k vyzrazení informací (odposlechem, odezíráním apod.) nebo k jejich poškození či zničení;
manipulovat s utajovanými informacemi mimo zabezpečenou oblast je povoleno pouze na nezbytně nutnou dobu potřebnou pro zpracovávání, vytváření apod. Po této době je poučená osoba povinna neprodleně uložit utajované informace zpět do úschovného objektu v zabezpečené oblasti, případně provést jejich přepravu nebo přenášení mimo objekt;
poučená osoba je povinna utajované informace uložit do úschovného objektu v zabezpečené oblasti i v případě, že míní manipulaci přerušit. Utajované informace nesmí být ponechány v objektu bez dozoru poučené osoby;
před opuštěním místnosti objektu je poučená osoba povinna provést kontrolu, zda byly všechny utajované informace uloženy do úschovného

46

objektu v zabezpečené oblasti. Podkladové materiály, které sloužily pro jejich zpracovávání, musí být skartovány na skartovacím stroji, určeném pro ničení utajovaných informací;
poučená osoba, která manipuluje s utajovanými informacemi v objektu, je povinna přivolat pomoc v případě podezření ohrožení bezpečnosti utajovaných informací a uvědomit bezpečnostního ředitele organizace;
je zakázáno manipulovat s utajovanými informacemi v objektu v době prováděných úklidových prací.

6.1.3

Důsledky vyzrazení utajovaných informací

Důsledky vyzrazení utajovaných informací jsou závislé na druhu a obsahu vyzrazené utajované informace. Vyzrazení utajovaných informací může ovlivnit průběh vyšetřování, případně soudního procesu, jehož se bude utajovaná informace týkat, může ohrozit zúčastněné osoby. Ekonomické dopady vyzrazení utajovaných informací budou spočívat v nákladech na zajištění následných opatření k eliminaci následků vyzrazení utajovaných informací. Výše těchto nákladů je závislá na mnoha faktorech a je předem neodhadnutelná.

6.1.4

Stanovení jednotlivých hrozeb a zranitelnosti utajovaných informací a jejich vyhodnocení

Základem pro správné vyhodnocení rizik je pojmenování hrozeb, kterým jsou utajované informace u organizace vystaveny a jejich bližší specifikace. V podmínkách státní organizace se jedná zejména o níže popsané hrozby. 1/ Neoprávněné nakládání s utajovanými informacemi poučenými osobami. 2/ Manipulace s utajovanými informace neoprávněnými osobami. 3/ Poškození (zničení) informace živelní pohromou. 4/ Poškození (zničení) informace průmyslovou nebo technologickou havárií. 5/ Poškození (zničení) informace při ohrožení bezpečnosti státu.

47

6/ Ztráta informace následkem teroristického útoku. 7/ Vyzrazení informace pasivním odposlechem nebo nasazením operativní techniky. 8/ Vyzrazení nebo ztráta informace z informačního systému.

Vyzrazení UI poučenými osobami Hrozba vyzrazení utajované informace poučenými osobami představuje úmyslné, případně neúmyslné, porušení povinností poučených osob, které vyplývají ze zákona č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti, a vyhlášky č. 529/2005 Sb. o administrativní bezpečnosti a o registrech utajovaných informací. Za vyzrazení utajovaných informací se považuje jejich poskytnutí neoprávněné osobě nebo umožnění přístupu neoprávněné osoby k utajovaným informacím. Za neoprávněnou osobu je považována fyzická nebo právnická osoba, která nesplňuje podmínky přístupu k utajované informaci stanovené výše uvedeným zákonem. Vyzrazení utajované informace může mít formu úmyslnou nebo neúmyslnou. Mezi úmyslné formy např. patří:
předání neoprávněné osobě;
pořízení nové, neevidované kopie a následné předání neoprávněné osobě;
ústní sdělení neoprávněné osobě;
předání neoprávněné osobě za peněžní nebo materiální úplatu.

Neúmyslnou formu vyzrazení utajované informace poučenými osobami může představovat:
opomenutí uložení do úschovného objektu v zabezpečené oblasti po ukončení manipulace;

48


porušení režimových opatření, např. nezabezpečení utajované informace všemi technickými prostředky určenými k jejich ochraně;
porušení režimových opatření při manipulaci s informacemi v zabezpečené oblasti nebo při jejich přenášení nebo přepravě mimo zabezpečenou oblast;
nedbalostí při prováděné skartaci utajované informace nebo podkladových materiálů, které sloužily ke zpracování informace;
jiné nepředvídatelné okolnosti.

Výše popisované naplnění rizik je částečně minimalizováno určitou praxí poučených osob při manipulací s utajovanými informacemi. Naplnění rizika úmyslného vyzrazení poučenými osobami nelze vyloučit. Zejména za finanční odměnu, případně jiné materiální plnění, je naplnění rizika reálné. Rovněž nelze vyloučit vyzrazení poučenými osobami, kterým je vyhrožováno použitím násilí nebo pohrůžkou použití násilí vůči jejich rodinným příslušníkům. Míra rizika úmyslného vyzrazení poučenými osobami je stanovena jako střední. Neúmyslná forma vyzrazení poučenými osobami je v podmínkách organizace pravděpodobnější. Toto riziko se dá zčásti eliminovat pečlivým výběrem poučených osob, jejich periodickým proškolováním a důslednou kontrolou dodržování režimu stanoveného pro manipulaci s utajovanými informacemi. Míra naplnění tohoto rizika je na střední úrovni.

Manipulace s utajovanými informacemi neoprávněnými osobami Neoprávněné osoby mohou získat přístup k utajované informaci např. následkem:
překonání technických prostředků, vloupání a odcizení;
přepadení poučené osoby, která informace přenáší, přepravuje nebo s nimi jinak manipuluje;
zcizení volně ponechaných utajovaných informací v zabezpečené oblasti bez dozoru;

49


ztráty informace.

Riziko vloupání do zabezpečené oblasti nelze nikdy zcela vyloučit. Příčinou vloupání nemusí být jen snaha získat utajované informace, ale i možnost krádeže movitých věcí. Zabezpečené oblasti jsou vybaveny elektrickým zabezpečovacím systémem, určeným k signalizaci pokusu o neoprávněný vstup do zabezpečené oblasti. Poplachový signál elektrického zabezpečovacího systému zabezpečené oblasti je vyhodnocen na pultu centralizované ochrany. Riziko loupežného přepadení poučené osoby v zabezpečené oblasti je rovněž na malé úrovni, kde tato úroveň je dána zejména samotným režimem vstupu osob do budovy. Riziko náhodného zcizení nebo ztráty utajované informace je málo pravděpodobné vzhledem ke skutečnosti nepravidelné manipulace s nimi. Vyloučit ho však zcela nelze. Míra naplnění rizika je na střední úrovni.

Poškození (zničení) utajované informace živelní pohromou Utajované informace mohou být poškozeny, případně zničeny, níže uvedenými formami živelních pohrom:
požárem, který může vzniknout následkem úderu blesku, selháním lidského činitele při práci s otevřeným ohněm, při kouření apod.;
větrnou bouří, případně tornádem, doprovázeným přívalovými dešti s následným poškozením budovy;
zaplavením zabezpečené oblasti přívalovými dešti, povodněmi nebo následkem poruch na rozvodech vody v budově;
zemětřesením, případně sesuvem půdy.

Z výše uvedených forem živelních pohrom je patrné, že lze zřejmě předejít pouze vzniku požáru, např. důslednou kontrolou dodržování požárních předpisů, prováděním periodických revizí hromosvodů, přenosných hasicích prostředků a požárních

50

vodovodů, školením zaměstnanců z protipožárních opatření a důslednou kontrolou dodržování požárních předpisů. Míra naplnění rizika poškození, případně zničení informace, požárem je na střední úrovni. Riziko poškození nebo zničení informace větrnou bouří, tornádem, přívalovými dešti, zemětřesením, případně sesuvem půdy je málo pravděpodobné, ale vyloučit ho nemůžeme. Riziko vzniku povodně či rozsáhlých záplav se v lokalitě budovy organizace rovněž neočekává. Míra rizika je stanovena jako střední.

Poškození (zničení) utajované informace průmyslovou nebo technologickou havárií K poškození nebo zničení utajované informace průmyslovou a technologickou havárií může dojít následkem:
úniku škodlivých látek z průmyslových komplexů v lokalitě města;
úniku škodlivých nebezpečných látek při jejich přepravě;
požáru, který vznikl následkem zkratu elektrické instalace nebo elektrického spotřebiče;
technologickou havárií v budově.

V lokalitě budovy státní organizace se nevyskytuje žádný průmyslový provoz, který by mohl v případě havárie ohrozit nebo omezit ochranu utajovaných informací u organizace. Případná nehoda dopravního prostředku, přepravujícího nebezpečné látky a její následný únik, by mohl určitým způsobem ohrozit bezpečnost utajovaných informací, např. evakuaci zaměstnanců, přerušení dodávky elektrické energie nad rámec kapacity záložního zdroje elektrického zabezpečovacího systému chránící zabezpečenou oblast. Vzniku požáru následkem zkratu lze předcházet periodickými revizemi elektrických spotřebičů a zařízení. Míra naplnění rizika je na střední úrovni.

51

Poškození (zničení) utajované informace při ohrožení bezpečnosti státu Ke ztrátě, případně ke zničení utajované informace v době ohrožení bezpečnosti státu může dojít v důsledku:
válečného nebezpečí;
útoku cizí moci;
snahy o destrukci demokratického zřízení vnitřními silami;
masových nepokojů. Pravděpodobnost naplnění rizika vnitřních nepokojů je v současné době málo pravděpodobná, proto je míra stanovena jako malá. Rovněž vznik válečného nebezpečí se v současné době nepředpokládá. Vznik nebo pravděpodobnost útoku cizí moci se nepředpokládá, současná politická situace je s okolními státy stabilizovaná. Možnost uskutečnění rizika je na malé úrovni. Vznik masových nepokojů v lokalitě města nebo v těsném okolí budovy sídla organizace se rovněž nepředpokládá. Míra rizika je stanovena jako malá.

Ztráta utajované informace následkem teroristického útoku Tato hrozba vyplývá z organizovaného zločinu a nejrůznějších forem terorismu. Zejména se může jednat o:
telefonickou pohrůžku uložení výbušniny;
uložení nástražně výbušného systému;
nález podezřelého předmětu;
nález nástražného výbušného systému;
obdržení výbušného systému poštovní zásilkou;
obdržení nebezpečné bakteriální (biologické) látky poštovní zásilkou;
přímý ozbrojený útok teroristy nebo skupiny teroristů.

52

V podmínkách organizace se nejpravděpodobnější jeví forma telefonické pohrůžky výbušninou, případně uložení podezřelého předmětu v budově, nebo jejím bezprostředním okolí. Nelze úplně vyloučit ani ostatní výše uvedené formy rizik. Pohyb osob po budově a vstup do ní bude také omezen pomocí režimových opatření, dále bude pohyb osob v budově částečně monitorován systémem CCTV. Míra rizika je stanovena jako střední.

Vyzrazení utajované informace pasivním odposlechem nebo nasazením operativní techniky K vyzrazení pasivním odposlechem a nasazením operativní techniky může dojít:
náhodným nebo cíleným odposlechem poučených osob, např. z vedlejší místnosti;
nasazením odposlechové techniky do zabezpečené oblasti;
použitím odposlechové techniky, která nemusí být instalovaná v zájmovém prostoru. Riziko pasivního odposlechu je sníženo režimovými opatřeními, zejména pak nepravidelnou

manipulací s utajovanými informacemi, instalací žaluzií na oknech

objektu. V případě odůvodněného podezření na instalaci operativní techniky je nutné provést obranou prohlídku proti odposlechu. Míra naplnění rizika je na střední úrovni.

Vyzrazení nebo ztráta utajované informace z informačního systému Hrozba úniku utajované informace z informačního systému spočívá v manipulaci s informačním systémem neoprávněnou osobou. Riziko vyzrazení z informačního systému se dá eliminovat pravidelným dodržováním opatření fyzické bezpečnosti, jež jsou specifikována v Projektu bezpečnosti informačního systému. Míra naplnění rizika je stanovena jako střední.

53

Vyzrazení nebo ztráta utajované informace z kopírovacího zařízení a psacího stroje s pamětí Hrozba úniku utajované informace z kopírovacího zařízení a psacího stroje s pamětí, které nejsou součástí informačního nebo komunikačního systému, spočívá v manipulaci s těmito zařízeními neoprávněnou osobou. Hrozba je představována:
zcizením,

poškozením,

zničením

nosičů

dat

nebo

neoprávněným

nakládáním s nimi;
vyzrazením utajovaných informací z informačního systému za použití technických prostředků;
prostřednictvím parazitního vyzařování;
porušením ustanovení Bezpečnostní dokumentace informačního systému, která musí být zpracována jako samostatný dokument dle vyhlášky o bezpečnosti informačních systémů a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínících komor.36 Riziko vyzrazení utajovaných informací z těchto zařízení se dá eliminovat pravidelným dodržováním opatření fyzické bezpečnosti, jež jsou specifikována v Bezpečnostní provozní směrnici. Míra naplnění rizika je stanovena jako střední.37

36

Vyhláška č. 523/2005 Sb. o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínících komor. 37

Projekt fyzické bezpečnosti, provozní řád objektu.

54

Hrozba

Míra rizika

Vyzrazení poučenými osobami

střední

Manipulace neoprávněnými osobami

střední

Poškození (zničení) živelní pohromou

střední

Poškození (zničení) průmyslovou nebo technologickou havárií

střední malá

Poškození (zničení) při ohrožení bezpečnosti státu Ztráta následkem teroristického útoku

střední

Vyzrazení pasivním odposlechem nebo nasazením operativní techniky

střední

Vyzrazení nebo ztráta utajované informace z informačního systému

střední

Vyzrazení nebo ztráta informace z kopírovacího zařízení a psacího stroje s pamětí

střední

Celková míra rizika

střední Tabulka 1: Stanovení míry rizik

K eliminaci rizik jsou navrhována jednotlivá bezpečnostní opatření fyzické bezpečnosti v souladu s výše citovanou vyhláškou a opatření administrativní bezpečnosti. Celkovou míru rizika neoprávněného nakládání s utajovanými informace lze v současné době stanovit předběžně jako střední. Ověření, zda jednotlivá použitá opatření fyzické bezpečnosti a vyhodnocení rizik odpovídají projektu fyzické bezpečnosti a právním předpisům v oblasti ochrany utajovaných informací, provádí bezpečnostní ředitel průběžně, nejméně však 1 x za 12 měsíců.

55

6.1.5

Pokyny pro ochranu utajovaných informací v případě vzniku mimořádné situace

Vyzrazení poučenými osobami Vzniklo-li podezření, nebo došlo-li k vyzrazení utajované informace (dále jen UI) poučenou osobou, musí být neprodleně informován bezpečnostní ředitel nebo vedoucí organizace. Bezpečnostní ředitel nebo vedoucí organizace zajišťují a provádějí níže specifikovaná opatření:
vyhlašují stav ohrožení UI;
pozastavují jakoukoliv další manipulaci s UI;
prověřují úplnost všech UI;
ověřují věrohodnost informací o vyzrazení UI;
stanovují účinná bezpečnostní opatření, která zamezují dalšímu vyzrazení UI;
zajišťují důkazy o vyzrazení UI;
minimalizují dopad vyzrazení UI;
informují osoby, případně subjekty, které mohou být vyzrazením UI dotčeny;
stanovují vnitřní bezpečnostní opatření, má-li vyzrazení UI vliv na činnost organizace;
informují orgány činné v trestním řízení, je-li podezření, že došlo ke spáchání trestného činu.

56

Manipulace s UI neoprávněnými osobami Vloupání Dojde-li k vyzrazení UI následkem vloupání do některé ze zabezpečených oblastí, je osoba, která tuto skutečnost zjistí, povinna společně s ostrahou budovy nebo jinými oprávněnými osobami zajistit místo činu do příjezdu Policie ČR. Následně informují bezpečnostního ředitele nebo vedoucího organizace. Bezpečnostní ředitel, případně vedoucí organizace jsou povinni:
vyhlásit stav ohrožení UI;
zajistit místo vloupání z hlediska kriminalistických stop a potřeb Policie ČR;
přivolat Policii ČR, pokud tak již nebylo učiněno;
zamezit přístupu ostatních osob do místa vloupání;
do příchodu Policie ČR stanovit bezpečnostní opatření s cílem zamezit dalším škodám (např. zajistit okolí místa vloupání střežením);
prověřit úplnost UI;
přijmout opatření k eliminaci škod, které mohou vzniknout následkem vyzrazení UI;
informovat osoby, případně subjekty, které mohou být vyzrazením UI dotčeny;
zajistit uvedení technických prostředků do bezvadného stavu, byly-li vloupáním poškozeny, případně UI uložit do náhradního místa úschovy. Loupežné přepadení Pravděpodobnost loupežného přepadení je vyšší při přenášení nebo přepravě UI, než při manipulaci s nimi v objektu či zabezpečených oblastech. Poučené osoby, které UI přenášejí nebo s nimi manipulují, jsou povinny:
v rámci svých možností zamezit vydání UI neoprávněným osobám; 57


přivolat v dané chvíli nejvhodnějším a nejrychlejším způsobem pomoc, např. voláním, telefonicky, aktivací tísňového tlačítka;
usilovat, aby způsobené škody byly minimální;
přivolat Policii ČR;
uvědomit bezpečnostního ředitele;
zapamatovat si maximum údajů o pachateli, případně v co možná nejkratší době písemně zaznamenat jeho popis;
zajistit místo činu, opustit přepadený prostor, vhodným způsobem zabránit dalšímu pohybu osob v místě přepadení a vyčkat příjezdu Policie ČR. Bezpečnostní ředitel, případně vedoucí organizace, jsou povinni:
provést předběžné šetření loupežného přepadení;
oznámit loupežné přepadení Policii ČR, pokud tak dosud nebylo učiněno;
realizovat obdobná opatření jež jsou specifikována výše a zajistit svědky události;
upozornit osoby, případně subjekty, které by mohly být mimořádnou situací a vyzrazením UI dotčeny.

Poškození (zničení) UI živelní pohromou Požár Osoba, která zjistí požár, je povinna vyhlásit poplach voláním „HOŘÍ“ a vyrozumět ostrahu objektu. Všemi vhodnými a dostupnými prostředky požární ochrany se snaží požár lokalizovat. Je-li zřejmé, že to sama nebo s pomocí dalších osob nezvládne, neprodleně přivolává Hasičský záchranný sbor, v případě ohrožení zdraví opustí ohrožený prostor. Bezpečnostní ředitel, případně vedoucí organizace jsou povinni:
vyhlásit stav ohrožení UI;

58


vydat rozhodnutí o ukončení manipulace s UI;
zhodnotit nebezpečí poškození nebo zničení UI;
pokud nejsou UI bezprostředně ohroženy, uložit je do úschovného objektu, opustit zabezpečenou oblast a řádně je uzamknout;
evakuovat osoby z budovy;
rozhodnout o evakuaci UI do náhradního místa úschovy;
stanovit taková bezpečnostní opatření, aby v souvislosti s požárem nedošlo k vyzrazení UI;
postupovat dle požární poplachové směrnice;
v případě, že v průběhu mimořádné situace došlo k vyzrazení UI, postupuje dle pokynů uvedených v předchozích kapitolách. Povodeň a technologická havárie Poškození UI následkem povodně je málo pravděpodobné. Budova se nachází mimo záplavové území. Poškození, respektive zničení UI, může nastat v důsledku přívalových dešťů s následným poškozením budovy, případně technologickou havárií v budově. Jedná se o poškození vodou z vadných těles ústředního topení nebo vodovodních, případně kanalizačních řadů. Hrozí-li vznik mimořádné situace poškození nebo zničení UI vodou nebo přívalovými dešti, jsou bezpečnostní ředitel nebo vedoucí organizace povinni:
pro zamezení vzniku větších škod nechat neprodleně uzavřít hlavní uzávěr vody;
vyhlásit stav ohrožení UI;
vydat pokyn k ukončení manipulace s UI;
zhodnotit míru nebezpečí poškození, případně zničení UI;
rozhodnout o případné evakuaci UI do náhradního místa úschovy;

59


stanovit bezpečnostní opatření k ochraně UI s cílem zamezit jejich vyzrazení;
obnovit funkčnost technických prostředků v zabezpečené oblasti, pokud byly mimořádnou situací omezeny nebo poškozeny;
realizovat kontrolu úplnosti UI a vyhodnotit, zda v průběhu mimořádné situace nedošlo k jejich vyzrazení.

Jiná ohrožení živelními pohromami Utajované informace mohou být poškozeny nebo zničeny i následkem požáru po úderu blesku, vichřicí, zemětřesením, případně pádem letadla s následným zřícením budovy nebo její části. Povinnosti poučených osob, bezpečnostního ředitele, případně vedoucího organizace, které se vztahují k ochraně UI, jsou shodné s předchozí kapitolou. Specifikem je možné narušení statiky budovy, kdy je nutné zajistit ostrahu vně budovy, pokud nebyly UI evakuovány.

Poškození (zničení) UI průmyslovou nebo technologickou havárií Technologickou havárií v průmyslovém subjektu na území města, ale zejména nehodou silničního, případně železničního dopravního prostředku, které nebezpečné látky přepravuje, může dojít k mimořádné situaci, jejímž důsledkem může být přerušení dodávky elektrické energie a evakuace osob. Tato skutečnost by negativně ovlivnila úroveň ochrany UI. Jestliže dojde k této mimořádné situaci jsou poučené osoby povinny:
ukončit manipulaci s UI;
uložit UI do úschovného objektu v zabezpečenou oblast;
uzamknout zabezpečenou oblast, při odchodu aktivovat elektrický zabezpečovací systém zabezpečené oblasti.

60

Bezpečnostní ředitel nebo vedoucí organizace jsou povinni:
vyhlásit stav ohrožení UI;
rozhodnout o případné evakuaci UI do náhradního místa úschovy;
stanovit bezpečnostní opatření k ochraně UI s cílem zamezit jejich vyzrazení. Rozsah mimořádné situace je nutno odpovědně vyhodnotit a rozhodnout o případné evakuaci UI do náhradního úložiště.

Poškození (zničení) UI při ohrožení bezpečnosti státu Při vzniku ohrožení bezpečnosti státu rozhodne bezpečnostní ředitel o realizaci opatření vedoucího ke zvýšené ochraně UI, zejména:
vyhlásí stav ohrožení UI;
určí nadstandardní opatření k ochraně UI, zejména posílení výkonu ostrahy;
přijímá dílčí organizační, režimová a administrativní opatření směřující k ochraně UI;
připraví a vydá rozhodnutí o evakuaci, případně skartaci UI;
zajistí prostředky a stanoví podmínky k evakuaci UI.

Ztráta UI následkem teroristického útoku Uložení výbušniny (nález podezřelého předmětu) Při nálezu podezřelého předmětu v budově nebo v jejím okolí, případně při doručení podezřelé zásilky, je osoba, která podezřelý předmět nalezla, povinna:
nemanipulovat s předmětem, vyrozumět Policii ČR a ostrahu;
ve spolupráci s ostrahou zajistit místo nálezu podezřelého předmětu proti vstupu ostatních osob;
uvědomit bezpečnostního ředitele. 61

Povinnosti bezpečnostního ředitele a vedoucího organizace jsou totožné jako v případě teroristického útoku telefonickou pohrůžkou uložení výbušniny. Telefonická pohrůžka uložením výbušniny Při telefonické pohrůžce teroristického útoku uloženou výbušninou, je příjemce telefonátu povinen:
hovořit s telefonujícím co nejdéle a v průběhu hovoru vyrozumět Policii ČR, umožňují-li to okolnosti;
pokládat telefonujícímu dotazy, např. kde je výbušnina uložena, kdy dojde k explozi, jak výbušnina vypadá, co je třeba provést, aby nálož nevybuchla, důvod uložení výbušniny apod.;
odpovědi telefonujícího písemně zaznamenávat;
všímat si barvy hlasu telefonujícího, přízvuku, vady řeči, výslovnosti apod.;
informovat ihned po ukončení telefonního hovoru bezpečnostního ředitele;
postupovat dle pokynů bezpečnostního ředitele, dále ihned přivolat Policii ČR. Bezpečnostní ředitel, případně vedoucí organizace jsou povinni:
vyhlásit stav ohrožení UI;
vydat poučeným osobám pokyn k ukončení manipulace s UI a jejich uložení do úschovného objektu v ZO;
oznámit telefonickou pohrůžku Policii ČR, pokud tak již nebylo učiněno;
prověřit, zda jsou UI uloženy v úschovném objektu v ZO a zajištěny všemi technickými prostředky;
koordinovat evakuaci osob, požaduje-li ji Policie ČR;
ověřit po návratu do zabezpečené oblasti, zda v průběhu mimořádné situace nedošlo k vyzrazení UI;

62


uvědomit subjekty, které by mohly být poškozeny vyzrazením UI, jestliže k ní došlo v průběhu teroristického útoku;
zjistit rozsah poškození zabezpečené oblasti a technických prostředků, došlo-li v budově, „objektu“ nebo v zabezpečené oblasti k výbuchu a realizovat vhodná bezpečnostní opatření k ochraně UI. Útok ozbrojeného pachatele nebo skupiny Při ozbrojeném útoku (přepadení) teroristou nebo skupinou teroristů je nutné dodržovat následující zásady:
vyhlásit stav ohrožení UI;
informovat subjekty, které mohou být ztrátou UI poškozeny;
postupovat podle pokynů teroristy(ů);
zdržet se neuváženého jednání, neklást teroristům fyzický odpor;
chránit UI a pod pohrůžkou vydat jen nezbytně nutné s ohledem na vlastní bezpečnost;
získat maximální množství poznatků potřebných k pozdější identifikaci pachatele (popis, hlas, chování, výzbroj);
oznámit přepadení v co možná nejkratší době Policii ČR (telefonicky) a ostrahu, lze-li tak učinit bez povšimnutí pachatele;
zachovat mlčenlivost v souvislosti s přepadením;
zpřístupnit Policii ČR prostory dle jejich požadavků a řídit se jejich pokyny;
zaznamenat písemně popis pachatele.

V případě jiných forem teroristického útoku je nutné pečlivě vyhodnotit jejich dopad na ochranu UI a přijmout opatření (nebo jejich kombinaci) specifikovaná v předchozích kapitolách.

63

Vyzrazení UI pasivním odposlechem nebo nasazením operativní techniky Poučené osoby při podezření, že došlo k vyzrazení UI odposlechem, jsou povinny:
ukončit manipulaci s UI;
informovat bezpečnostního ředitele a vedoucího organizace.

Bezpečnostní ředitel a vedoucí organizace jsou povinni:
ověřit, zda skutečně došlo k vyzrazení UI;
zamezit dalšímu odposlechu přijetím účinných bezpečnostních opatření;
zajistit provedení obranné prohlídky, je-li podezření z nasazení operativní techniky;
oznámit mimořádnou situaci orgánům činným v trestním řízení, jestliže obranná prohlídka prokázala nasazení operativní techniky;
zpracovat zprávu o mimořádné situaci a navrhnout nové bezpečnostní opatření (např. preventivní obranné prohlídky, případně instalace zařízení proti odposlechu).

Vyzrazení nebo ztráta UI z informačního systému V případě, že dojde ke ztrátě dat z informačního systému je bezpečnostní ředitel povinen:
vyhlásit stav ohrožení UI;
zamezit dalšímu úniku UI z informačního systému.38

38

Projekt fyzické bezpečnosti, provozní řád objektu.

64

6.2 Komerční informace Komerční informace jsou informace, které se týkají hlavní činnosti podniku, mají tržní hodnotu a na jejich ochraně má podnik zájem. Potřeba ochrany komerčních informací je dána tím, že v případě, že by konkurence získala přístup k těmto informacím, získala by tak výhodu, která by v konečném důsledku pro daný podnik znamenala ztrátu. Komerční informace jsou například informace, které souvisí s výrobou, technologiemi, řízením, financováním a rozvojem.39 V podmínkách naší státní organizace nelze mluvit o informacích svou podstatou komerčních. Nejdůležitějšími (a tedy jakoby „komerčními“) informacemi zde jsou informace, týkající se trestních řízení, údajů z vyšetřovacích spisů, trestních oznámení, identifikačních údajů osob, firem, bankovní informace, apod. U vybrané organizace také nelze, stejně jako nelze hovořit o typicky „komerčních informacích“, hovořit o konkurenčních firmách a ekonomické ztrátě, která by mohla vzniknout potencionální ztrátou informací. Organizace je státní a tudíž musí sloužit všem občanům tohoto státu, přičemž žádný zisk nevykazuje. Ohrožena je však potencionálními narušiteli, kteří by získané informace mohli zneužít pro svou vlastní potřebu, a také sdělovacími prostředky. Největší rizika pro komerční informace podniku obecně představují stávající zaměstnanci podniku, bývalí zaměstnanci, konkurenti a komerčně zpravodajské služby (ve vybrané organizaci riziko související s komerčně zpravodajskými služby lze vyloučit). K minimalizaci hrozeb a zranitelnosti veškerých těchto informací byla vydána v organizaci opatření v rámci vydaného Pracovního řádu organizace, Provozního řádu počítačových sítí, Zásad bezpečnosti, ostrahy v budově a návštěvní řád a Kancelářského řádu.

39

HOFREITER, L. Bezpečnost podniku: komplexný pohľad, s. 4-5.

65

V Pracovním řádu organizace je uvedena povinnost zaměstnanců organizace zachovávat mlčenlivost o věcech, které se dozvěděli v souvislosti s výkonem svého zaměstnání, a to i po skončení pracovního poměru, pokud nebyli pro určitý případ této povinnosti v souladu s právními předpisy zproštěni, a dbát na ochranu státního tajemství, jestliže se skutečnostmi, které jsou jeho součástí, přišli při své práci do styku. V Provozním řádu počítačových sítí je bezpečnost a ochrana údajů řešena následovně40: 1/ Bezpečnost informací a ochrana údajů před neoprávněným přístupem je z organizačního hlediska zajištěna příslušným nastavením přístupových práv uživatele. 2/ Bezpečnost informací a ochrana údajů před neoprávněným přístupem je z technického hlediska zajištěna odpovídajícími technickými zařízeními. 3/ Uživatel je povinen provést všechna nezbytná opatření k zamezení neoprávněného přístupu k počítačové síti; zejména je povinen při nepřítomnosti na pracovišti odhlásit koncové zařízení od řídicích prvků. 4/ Uživatel nesmí narušit, podnikat pokusy o narušení nebo úmyslně umožnit narušení bezpečnosti počítačových sítí nebo externích počítačových sítí. 5/ Jakékoliv zjištěné narušení bezpečnosti nebo pokus o narušení bezpečnosti musí být bezodkladně hlášen správci sítě. 6/ Správce sítě je povinen po dobu 1 roku uchovávat soubory, které jsou řídicími prvky vytvářeny za účelem protokolování funkcí počítačových sítí a provedených zásahů. 7/ Za zálohování údajů umístěných na koncových zařízeních odpovídá uživatel. 8/ Za zálohování údajů umístěných na řídicích prvcích odpovídá správce sítě.

40

Provozní řád počítačových sítí.

66

9/ V počítačové síti je zakázáno zpracovávat utajované skutečnosti. Výjimky povoluje bezpečnostní ředitel oddělení bezpečnosti a krizového řízení ministerstva spravedlnosti.

V Zásadách bezpečnosti, ostrahy v budově a návštěvním řádu jsou stanoveny konkrétní povinnosti a úkoly zaměstnanců a úkoly justiční stráže při zajišťování bezpečnosti a ostrahy a při přijímání návštěv v objektu. V Kancelářském řádu organizace jsou uvedeny následující povinnosti zaměstnanců při ochraně dat41: 1/ Při zpracovávání informací pomocí výpočetní techniky musí být zabezpečena ochrana všech dat uložených v paměti počítače (ochrana heslem, stanovením rozsahu přístupových oprávnění v souladu s pracovní náplní zaměstnance, apod.). Náleží-li uživateli oprávnění vkládat či měnit uložená data v systému, musí být zabezpečena identifikace jednotlivého uživatele při jeho přístupu k datům. 2/ Rozsah přístupu k datům a informacím a oprávnění k jejich využívání (včetně vkládání, změny a případného vymazání) musí odpovídat obsahu povinností, které má zaměstnanec podle jím vykonávané funkce nebo práce plnit. 3/ Za určení rozsahu přístupových práv každému zaměstnanci jako uživateli počítačového informačního systému odpovídá vedoucí organizace. Za nastavení rozsahu těchto přístupových práv v informačním systému (aplikaci) odpovídá správce aplikace. 4/ Nestanoví-li zvláštní předpis jinak, musí být ochrana dat v rozsahu stanoveném tímto ustanovením zajištěna i tehdy, má-li uživatel přístup i k jiným datům než jen datům evidovaným a zpracovávaným ve vlastní databázi organizace.

41

§ 7 Pokynu obecné povahy č. 6/96.

67

5/ Pro archivaci a zálohování dat vedených pomocí výpočetní techniky platí zvláštní předpis. Data, která se nearchivují, musí být trvale a bezpečně zálohována do doby, než dojde podle příslušného předpisu k jejich oprávněné likvidaci.

6.3 Ostatní informace Ve vnitřním prostředí organizace nalezneme mimo výše uvedených také informace, které se zabývají problematikou obchodní, ekonomickou, personální, manažerskou a další.42 Veškeré tyto informace jsou neveřejné a má k nim přístup jen management společnosti. Přístup k osobním údajům v tištěné formě je v organizaci upraven režimovými opatřeními (místnosti, kde jsou ukládány jsou neustále uzamčeny, přístup do této místnosti mají pouze vybraní zaměstnanci). Data o zaměstnancích, která jsou chráněna zákonem na ochranu osobních údajů, jsou ovšem využívána také v informačním systému pro mzdové a osobní záležitosti. Do tohoto systému mají přístup všichni zaměstnanci, což není v souladu se zákonem a ochranu osobních údajů. Také v rámci zálohování dat v organizaci jsou společně se všemi ostatními daty zálohována i tato data, tudíž dochází k situaci, kdy po rozvázání pracovního poměru zaměstnance s organizací nejsou data o tomto zaměstnanci zničena, tak jak to zákon na ochranu osobních údajů ukládá. V Provozním řádu počítačových sítí je stanoveno, že každý uživatel odpovídá při práci s údaji za dodržování předpisů o ochraně osobních údajů v informačních systémech. Dále je zde stanoveno, že uživatel nesmí sdělit uživatelské heslo třetí osobě a nesmí používat či poskytnout jiným osobám jakékoliv získané klíče, dekodéry či jiné technické prostředky sloužící k zajištění bezpečnosti dat a informací.

42

BRÁZDILOVÁ, M. Firemní informace. Studijní materiál k předmětu informační zdroje a jejich využívání, s. 6-8.

68

7

ANALÝZA SOUČASNÉ ÚROVNĚ OCHRANY INFORMACÍ COBY SOUČÁSTI BEZPEČNOSTNÍ POLITIKY ORGANIZACE

7.1 SWOT analýza Silné stránky

Slabé stránky

1/ Výhodná geografická poloha budovy (mimo záplavové oblasti, žádný průmyslový provoz okolo, přitom v centru města). Budova sama o sobě nabízí pro provoz vhodný vnější rámec.

1/ Nedostatečná úroveň vzdělávání zaměstnanců v oblasti bezpečnosti informací.

2/ V nedávné době byla provedena různá organizační a technická zlepšení v oblasti zabezpečení informací (nákup průchozího rámu, nákup trezorů na ukládání utajovaných informací, apod.).

2/ Zaostávání v oblasti technického zajišťování bezpečnosti informací. 3/ Nedostatek finančních zdrojů na nezbytné investice (rozpočtové prostředky jsou závislé na ministerstvu spravedlnosti). 4/ Vybavování výpočetní technikou zcela nedostatečné. K obměně hardware i software dochází postupně, vždy jednou za rok, než však dojde k obměně všech počítačů, jsou opět ty stroje, které byly vyměněny jako první, buďto zastaralé anebo nefunkční.

Příležitosti

Hrozby

1/ Zlepšení úrovně bezpečnosti informací prostřednictvím cíleného vzdělávání zaměstnanců.

1/ Žádným interním dokumentem nejsou ustanoveny zodpovědné osoby za jednotlivé procesy zálohování dat v organizaci. Neexistuje evidence zálohování – riziko ztráty dat.

2/ Zavedení fungujícího systému pravidelného zálohování dat včetně určení odpovědnosti za zálohování dat. 3/ Vybavování výpočetní technikou by bylo třeba poněkud sjednotit. Zde je organizace závislá na přidělených finančních prostředcích. Vhodné co nejrychlejší, plošné a kompatibilní vybavení informačními technologiemi. Velmi podstatné je úplné propojení a řádné zabezpečení sítí. V současné době dochází k pouhému „záplatování“.

2/ Nenastavení přístupu do systému zpracovávajícího osobní údaje, ukládání údajů o zaměstnancích nad stanovenou dobu zákonem – riziko úniku informací o zaměstnancích. 3/ V organizaci není žádným předpisem stanovena povinnost zajišťovat periodicitu změn hesel do systémů, nejsou stanovena ani pravidla pro tvorbu hesel (počet znaků, apod.). 4/ Podceňování významu bezpečnosti a nedostatečná podpora vedení organizace v této oblasti.

Tabulka 2: SWOT analýza

7.2 Analýza současného stavu bezpečnosti informací Hlavním problémem zajištění plnění pokynů osobami, které zpracovávají informace je to, že bezpečnostní pravidla nejsou shrnuta do jednoho dokumentu. Jednotlivé bezpečnostní požadavky jsou rozptýleně uvedeny v několika jednotlivých dokumentech.

69

Je potřeba si uvědomit, že zaměstnanci přistupují k bezpečnosti jako k „povinnosti navíc“, která je sice důležitá, ale nijak jim neusnadní jejich práci. Aby zaměstnanci dodržovali požadavky bezpečnosti, musí tyto požadavky především znát. Zde chybí v organizaci jednotící dokument, v němž by byly soustředěny všechny bezpečnostní požadavky uplatňované u organizace a obeznámenost s tímto jednotícím dokumentem zabezpečí znalost všech podstatných bezpečnostních požadavků uplatňovaných v organizaci.

Školení a vzdělávání Protože školení z problematiky bezpečnosti informací není v žádné zákonné normě požadováno, v drtivé většině organizací není prováděno. Přitom školení je jedním z nejefektivnějších nástrojů, jak ovlivnit bezpečnostní vědomí zaměstnanců. U popisované organizace se provádí pouze školení, která jsou explicitně nařízena právní normou. To je školení k požární bezpečnosti a školení k bezpečnosti práce.

Riziko zneužití dat Základní principy bezpečnosti jsou dodržovány v organizaci nedostatečně (např. vůbec není stanovena periodicita měnění hesel ani stanovena pravidla pro tvorbu hesel do informačních systémů – většina zaměstnanců používá „primitivní“ hesla, jako je křestní jméno apod. V Provozním řádu počítačových sítí je pouze doporučení pro správce sítě, který může stanovit uživatelům povinnost pravidelné obměny uživatelských hesel). Současná motivace zaměstnanců v oblasti dodržování pokynů a principů zabezpečení informací je malá. Finanční ohodnocení služebně vysoce postavených zaměstnanců je naprosto dostatečné a přiměřené. Nedostatečné je však finanční ohodnocení běžných správních zaměstnanců, což občas vede k motivačním problémům a přináší to jistá rizika (hrozba úplatkářství, vynášení informací, sdělování informací sdělovacím prostředkům). Systém fungování finančního ohodnocení v organizaci nezahrnuje možnosti výraznějšího zvýšení platu, což by potencionální výše uvedená rizika mohlo snížit, na stranu druhou je tu však jakási „jistota státního zaměstnavatele“.

70

Odpovědnosti a postupy Odpovědnosti a postupy jsou primárně zaměřeny na reakci na bezpečnostní incident. Většina bezpečnostních opatření v organizaci je realizována na základě zkušeností zaměstnanců a obvyklých pracovních zvyklostí, aniž by tato opatření byla zadokumentována. Takováto opatření nejsou nijak vymahatelná a jejich provedení, včetně kvality a úplnosti realizace, závisí zcela na libovůli zaměstnance. Proto takováto opatření nemohou být hodnocena jako zcela realizovaná. V dokumentaci by mělo být vymezeno, která opatření jsou vyžadována, jak se tato opatření mají provádět, kdo je za ně odpovědný, kdo je kontroluje a měl by se o provedení takového opatření pořídit záznam.

Problematika řízení kontinuity činnosti organizace Částečně je tato problematika řešena v kancelářském řádu organizace, ale zdaleka nepokrývá celou problematiku. Pro návod na řešení problematiky řízení kontinuity činnosti organizace není norma ČSN, ale dobře jde aplikovat anglická norma PAS 56 – Guide Business Continuity Management, která vyšla v českém překladu.

Shoda s bezpečnostními politikami a normami Velmi důležitá je problematika souladu se standardy v oblasti zpracování informací. U sledované organizace se pouze vydává seznam platných dokumentů k určitému datu, ale tento seznam není závazným dokumentem a nejsou definována opatření, která na základě tohoto dokumentu mají být provedena.

71

ZÁVĚR Tato diplomová práce se snaží přiblížit problematiku bezpečnosti informací v organizaci. Teoretická část práce je věnována problematice bezpečnosti informací v souvislosti s bezpečnostní politikou. Jsou zde uvedeny jednotlivé fáze tvorby bezpečnostní politiky a popsány hlavní prvky ochrany informací v organizaci. V praktické části práce je uveden konkrétní příklad zabezpečení ochrany informací v rámci bezpečnostní politiky organizace – státní instituce. Prezentované závěry mohou být využity pro vytváření strategií k předcházení bezpečnostních incidentů v organizacích. Z práce vyplývá, že bezpečnost informací je do jisté míry provázána s mnoha procesy v organizaci, úzce je spjata s personální, fyzickou a režimovou bezpečností. K efektivnímu a účelnému řízení bezpečnosti informací v organizaci je nutno v prvé řadě vycházet ze stanovení aktiv a hrozeb, na základě nichž je třeba vytvořit bezpečnostní opatření tak, aby jejich úroveň byla odpovídající. Při tvorbě této práce jsem použila techniku obsahové analýzy řady úředních dokumentů a odborných publikací. Cílem této diplomové práce bylo představit problematiku ochrany informací v organizaci a nastínit návrhy na zlepšení informační bezpečnosti při činnostech spojených se zpracováním a uchováváním informací. Provedením analýzy a vyhodnocením stávajícího stavu bezpečnostních opatření v oblasti bezpečnosti informací se podařilo najít jisté nedostatky, které by v případě jejich odstranění mohly zvýšit a zároveň i zkvalitnit bezpečnost informací u vybrané státní organizace. Rezervy lze nalézt především v nedostatečném školení zaměstnanců v oblasti bezpečnosti informací, v nezpracovaném dokumentu bezpečnostní politiky, nedostatečně propracované problematice řízení kontinuity organizace. Veškeré tyto nedostatky souvisí také s nedodržováním některých základních principů bezpečnosti (zálohování dat nepravidelné, nedůslednost ve správě hesel, apod.). Většina těchto nedostatků je důsledkem absence podrobně zpracované bezpečnostní politiky. Odstranění většiny nedostatků nebude vyžadovat přímé investice (výjimkou budou odborná školení zaměstnanců, pokud budou prováděna externí firmou), ale spíše změny v procesech a chování zaměstnanců. Je třeba také konstatovat, že proces odstraňování nedostatků může být spojen s jistými riziky, jako je např. odmítnutí 72

zaměstnanců organizace, technické obtíže spojené s konfigurací stávajících technologií nebo nedostatečná podpora ze strany vedení organizace. V neposlední řadě je totiž třeba si uvědomit, že bezpečnost informací musí mít řádně definována pravidla a náplň všech svých fází a je plně pod kontrolou vedení organizace. Největším problémem současných organizací bývá především podcenění rizik, souvisejících s ochranou informací. Nejvíce ohroženou oblastí úniku a ztrát informací jsou v organizacích užívané informační a komunikační technologie a také lidské zdroje – lidé, zaměstnanci organizace. Využití jakýchkoliv bezpečnostních opatření a produktů je velmi důležité, ale nestačí. Každý zaměstnanec má být seznámen s pravidly informační bezpečnosti v organizaci, je třeba zvyšovat u zaměstnanců povědomí o otázkách souvisejících s informační bezpečností. Základ bezpečného fungování informačních a komunikačních systémů představuje především správné nastavení pravidel bezpečnosti informací, včetně zajištění dodržování a fungování všech těchto pravidel.

73

SEZNAM OBRÁZKŮ A TABULEK OBRÁZEK 1: VZTAH ÚROVNÍ BEZPEČNOSTI VE FIRMĚ ................................................................ 11

TABULKA 1: STANOVENÍ MÍRY RIZIK .......................................................................................... 55 TABULKA 2: SWOT ANALÝZA .................................................................................................... 69

74

POUŽITÉ ZDROJE [1]

BARTES, František. Konkurenční strategie firmy. 1. vyd. Praha: Management Press, 1997. 124 s. ISBN 8085943417.

[2]

BENDA, Radek. Zásady tvorby bezpečnostního projektu. In Internet a bezpečnost organizací : VIII ročník mezinárodní konference, sborník anotací, Zlín, 14. března 2006 [CD-ROM]. Zlín : Univerzita Tomáše Bati ve Zlíně, 2006. s. 48. ISBN 8073183935.

[3]

BÖHM-KLEIN, Karol. Competitive Intelligence (konkurenčné spravodajstvo). Bratislava, 2004. 58 s. Diplomová práce na Filozofické fakultě Univerzity Komenského na Katedre knižničnej a informačnej vedy. Vedoucí diplomové práce Soňa Makulová.

[4]

BRABEC, František et al. Bezpečnost pro firmu, úřad, občana. 1. vyd. Praha: Public History, 2001. 400 s. ISBN 8086445046.

[5]

BRABEC, František. Ochrana bezpečnosti podniku. 1. vyd. Praha: Eurounion, 1996. 203 s. ISBN 8085858290.

[6]

BRABEC, František. Obranné zpravodajství jako subsystém komerčního zpravodajství. [online]. 2000 [cit. 10.3.2008]. Dostupné na .

[7]

BRÁZDILOVÁ, Miroslava. Firemní informace. Studijní materiál k předmětu informační zdroje a jejich využívání [online]. 2006 [cit. 15.3.2008]. Dostupné na: .

[8]

BUZAN, Barry; WAEVER, Ole; WILDE, de Jaap. Bezpečnost: nový rámec pro analýzu. 1. vyd. Brno: Centrum strategických studií, 2005. 267 s. ISBN 8090333362.

[9]

CEJPEK, Jiří. Informace, komunikace a myšlení: úvod do informační vědy. 2. přeprac. vyd. Praha: Karolinum, 2005. 233 s. ISBN 802461037X.

75

[10] Competitive intelligence. KTD: česká terminologická databáze knihovnictví a informační vědy (TDKIV) [online]. [cit. 10.4.2008]. Praha: Národní knihovna České republiky, 2003. Dostupné na: . [11] ČSN ISO/IEC 17799. Informační technologie Soubor postupů pro management bezpečnosti informací. Český normalizační institut, 2005. 76 s. [12] DIAČIKOVÁ, Anna. Informace pro podnikovou sféru a Competitive Intelligence. In Inforum 2001, 7. konference o profesionálních informačních zdrojích [online]. 2001 [cit. 5.3.2008]. Dostupné na . [13] DOBDA, Luboš. Ochrana dat v informačních systémech. 1. vyd. Praha: Grada Publishing, 1998. 286 s. ISBN 8071694797. [14] DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. 1. vyd. Praha: Computer Press, 2004. 190 s. ISBN 8072264192. [15] ENDORF, Carl; SCHULTZ, Eugene; MELLANDER, Jim. Detekce a prevence počítačového útoku. 1. vyd. Praha: Grada, 2005. 355 s. ISBN 8024710358. [16] EUR-Lex. Přístup k právu Evropské unie [online]. [cit. 8.2.2008]. Dostupné na: . [17] FRYŠAR, Miroslav et al. Bezpečnost pro manažery, podnikatele a politiky. 1. vyd. Praha: Public History, 2006. 176 s. ISBN 8086445224. [18] HIRŠ, Michal. Měnící se role informací v „nové ekonomice“ – externí zdroje informací. In Inforum 2001, 7. konference o profesionálních informačních zdrojích [online]. 2001 [cit. 15.2.2008]. Dostupné na: . [19] HOFREITER, Ladislav. Bezpečnost podniku: komplexný pohľad. In Internet a bezpečnost organizací : VIII ročník mezinárodní konference, sborník anotací, Zlín, 14. března 2006 [CD-ROM]. Zlín : Univerzita Tomáše Bati ve Zlíně, 2006. s. 38. ISBN 80-7318-393-5. ISBN 8073183935. [20] HUMLOVÁ, Adéla; SEIGE, Viktor. Vize informační bezpečnosti 2002/2003. Praha: TATE International, 2006. 210 s. ISBN 8090285864.

76

[21] JAŠEK, Roman. Informační a datová bezpečnost. 1. vyd. Zlín: Univerzita Tomáše Bati ve Zlíně, 2006. 140 s. ISBN 80-7318-456-7. [22] KOTLER, Philip; KELLER, Kevin Lane. Marketing management. 1. vyd. Praha: Grada Publishing, 2007. 788 s. ISBN 9788024713595. [23] LÁTAL, Ivo. Ochrana informací, dat a počítačových systémů. 1. vyd. Praha: Eurounion, 1996. 238 s. ISBN 8085858320. [24] LÁTAL, Ivo; ŠTANTEJSKÝ, Michal. Bezpečnostní zásady ochrany podniků. 1. vyd. Praha: Prospektrum, 2001. 120 s. ISBN 8071750913. [25] MATĚJKA, Michal. Počítačová kriminalita. 1. vyd. Praha: Computer Press, 2002. 106 s. ISBN 8072264192. [26] Metodický pokyn NBÚ – Minimální obsah bezpečnostní dokumentace pro malé informační systémy. [online]. [cit. 10.4.2008]. Dostupné na: . [27] MUSIL, Rudolf. Ochrana utajovaných skutečností. 1. vyd. Praha: Eurounion, 2001. 379 s. ISBN 8085858932. [28] Pokyn obecné povahy NSZ č. 6/96, kterým se vydává kancelářský řád. [počítačový program na disku]. Poslední aktualizace 30.3.2008. [cit. 3.4.2008]. Dostupné z: ASPI. [29] POŽÁR, Jiří. Informační bezpečnost. Plzeň: Aleš Čeněk, 2005. 303 s. ISBN 8086898385. [30] Projekt fyzické bezpečnosti, provozní řád objektu. Interní materiál organizace. [31] Provozní řád počítačových sítí. Interní materiál organizace. [32] RAŠEK, Antonín. Bezpečnostní prognózy a realita [online]. [cit. 10.2.2008]. Dostupné na: . [33] RAUCH, Jan. Metody zpracování informací 1: informační zdroje a služby. 1. vyd. Praha: Vysoká škola ekonomická v Praze, 1994. 55 s. ISBN 8070793538. [34] RAUCH, Jan. Metody zpracování informací 2: ukládání a vyhledávání. 1. vyd. Praha: Vysoká škola ekonomická v Praze, 1996. 88 s. ISBN 807079870X.

77

[35] RODRYČOVÁ, Danuše; STAŠA, Pavel. Bezpečnost informací jako podmínka prosperity firmy. 1. vyd. Praha: Grada Publishing, 2000. 143 s. ISBN 8071691445. [36] SKLENÁK, Vilém et al. Data, informace, znalosti a Internet. 1. vyd. Praha: C.H.Beck, 2001. 507 s. ISBN 8071794090. [37] SMEJKAL, Vladimír; RAIS, Karel. Řízení rizik ve firmách a jiných organizacích. 2. akt. a rozš. vyd. Praha: Grada Publishing, 2006. 296 s. ISBN 8024716674. [38] SMETÁČEK, Vladimír. Informace o informacích. 1. vyd. Praha: Grada Publishing, 1993. 147 s. ISBN 8085623226. [39] SOUČEK, Vladimír et al. Vnitřní bezpečnost a veřejný pořádek: krizové řízení [online]. [cit. 20.2.2008]. Dostupné na . [40] Strategie bezpečnosti informací [online]. [cit. 20.4.2008]. Dostupné na . [41] UHLÁŘ, Jan. Technická ochrana objektů. Díl I, Mechanické zábranné prostředky. 1. vyd. Praha: Policejní akademie České republiky, 1995. 96 s. [42] Vyhláška č. 523/2005 Sb. o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínících komor. [počítačový program na disku]. Poslední aktualizace 30.3.2008. [cit. 5.4.2008]. Dostupné z: ASPI. [43] VYKYPĚL, Oldřich; KEŘKOVSKÝ, Miloslav. Strategické řízení: teorie pro praxi. 2. vyd. Praha: C.H.Beck, 2006. 206 s. ISBN 8071794538. [44] ZELENKA, Josef; ČECH, Pavel; NAIMAN, Karel. Ochrana dat: informační bezpečnost – výkladový slovník. 1. vyd. Hradec Králové: Gaudeamus, 2002. 164 s. 807041197X. [45] ZEMAN, Petr. Česká bezpečnostní terminologie: výklad základních pojmů. 1. vyd. Brno: Masarykova univerzita, MPÚ. 186 s. ISBN 8021030372.

78

[46] Zpracování bezpečnostní politiky [online]. [cit. 10.4.2008]. Dostupné na . [47] ZUZÁK, Roman. Krizové řízení podniku (dokud ještě není v krizi). 1. vyd. Praha: Professional Publishing, 2004. 179 s. ISBN 8086419746.

79