Návrh systémového řízení informační bezpečnosti ve výrobně obchodní společnosti

Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta

Návrh systémového řízení informační bezpečnosti ve výrobně obchodní společnosti Diplomo vá práce

Vedoucí práce: Ing. Ludmila Kunderová

Bc. Anna Mikešová

Brno 2007

Prohlašuji, že jsem tuto diplomovou práci vypracovala samostatně s použitím literatury, kterou uvádím v seznamu a pod vedením své vedoucí diplomové práce.

V Brně dne 22. prosince 2006

…………………………………

Chtěla bych touto cestou poděkovat své vedoucí diplomové práce Ing. Ludmile Kunderové za její vedení, poskytnuté rady a připomínky.

4

Abstract Mikešová, A. System managing project of information security in a production-trade company. Diploma thesis. Brno 2007. This thesis deals with information security in companies. Particular steps of solution of this problem in the production-trade company are described here. Important part of this thesis is attended to current state analysis and improvement suggestion. Questionnaires for finding information security level in the company are elaborated. Security policy and system managing of information security in mentioned company is designed too.

Abstrakt Mikešová, A. Návrh systémového řízení informační bezpečnosti ve výrobně obchodní společnosti. Diplomová práce. Brno 2007. Tato práce se zabývá informační bezpečností ve společnostech. Jsou zde popsány jednotlivé kroky při řešení tohoto problému ve výrobně obchodní společnosti. Důležitá část je věnována analýze stávajícího stavu a návrhu zlepšení. Pro zjištění stupně informační bezpečnosti ve společnosti jsou vypracovány dotazníky. Rovněž je navržena Bezpečnostní politika a systémové řízení informační bezpečnosti ve zmíněné společnosti.

OBSAH

5

Obsah 1

ÚVOD A CÍL PRÁCE .................................................................................................8 1.1 1.2

ÚVOD ......................................................................................................................8 CÍL PRÁCE ...............................................................................................................9

2

METODIKA...............................................................................................................10

3

BEZPEČNOST INFORMACÍ..................................................................................11 3.1 CO JE TO BEZPEČNOST INFORMACÍ? ......................................................................11 3.2 MOTIVACE PRO ZABEZPEČOVÁNÍ INFORMACÍ PŘI POUŽITÍ IT ................................12 3.2.1. Způsoby narušení bezpečnosti informací.....................................................12 3.2.2. Informace jako konkurenční výhoda............................................................13 3.3 BEZPEČNOST INFORMACÍ JAKO STÁLÝ PROCES ......................................................13 3.4 STAV INFORMAČNÍ BEZPEČNOSTI V ČESKÉ REPUBLICE .........................................14

4

BEZPEČNOSTNÍ POLITIKA SPOLEČNOSTI....................................................21 4.1 ZÁKLADNÍ POJMY .................................................................................................21 4.1.1. Zranitelné místo ...........................................................................................21 4.1.2. Hrozba .........................................................................................................21 4.1.3. Útok..............................................................................................................22 4.1.4. Riziko ...........................................................................................................23 4.1.5. Škoda............................................................................................................23 4.2 CÍLE BEZPEČNOSTNÍ POLITIKY ..............................................................................23 4.2.1. Důvěrnost.....................................................................................................23 4.2.2. Integrita .......................................................................................................23 4.2.3. Autenticita....................................................................................................24 4.2.4. Nepopiratelnost............................................................................................24 4.2.5. Dostupnost ...................................................................................................24 4.3 PROCES ŘEŠENÍ INFORMAČNÍ BEZPEČNOSTI ..........................................................24 4.3.1. Základní schéma řešení bezpečnosti............................................................24 4.3.2. Studie bezpečnosti........................................................................................25 4.3.3. Bezpečnostní politika ...................................................................................26 4.3.4. Bezpečnostní projekt ....................................................................................26 4.3.5. Vztahy mezi studií bezpečnosti, bezpečnostní politikou a projektem...........26 4.4 PERSONÁLNÍ ZAJIŠTĚNÍ SYSTÉMU ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI ...................27 4.4.1. Výkonný ředitel společnosti (prezident společnosti) − CEO .......................28 4.4.2. Ředitel IT oddělení − CIO............................................................................28 4.4.3. Ředitel bezpečnosti − CISO .........................................................................29 4.5 CELKOVÁ A SYSTÉMOVÁ BEZPEČNOSTNÍ POLITIKA IT ..........................................29 4.5.1. Celková bezpečnostní politika IT.................................................................29 4.5.2. Systémová bezpečnostní politika..................................................................31 4.5.2.1. Fyzická systémová bezpečnostní politika ...........................................31 4.5.2.2. Personální systémová bezpečnostní politika ......................................32

OBSAH

4.5.2.3. 4.5.2.4.

6

Komunikační systémová bezpečnostní politika ..................................32 Provozní systémová bezpečnostní politika .........................................32

4.6 ANALÝZA RIZIK ....................................................................................................32 4.6.1. Identifikace aktiv..........................................................................................33 4.6.2. Identifikace hrozeb.......................................................................................34 4.6.3. Vlastní analýza rizik.....................................................................................34 4.7 NÁVRH VHODNÉ OCHRANY ...................................................................................35 4.8 HAVARIJNÍ PLÁNY.................................................................................................37 4.8.1. Vyhlášení a zrušení havarijního stavu .........................................................38 4.8.2. Personální zajištění......................................................................................38 4.8.3. Postup pro konkrétní havarijní stavy...........................................................38 4.8.4. Administrativní záležitosti............................................................................38 4.9 ULOŽENÍ BEZPEČNOSTNÍ POLITIKY........................................................................38 4.10 PERSONÁLNÍ A ADMINISTRATIVNÍ BEZPEČNOST ....................................................39 4.10.1. Životní cyklus zaměstnance..........................................................................39 4.10.2. Školení zaměstnanců ....................................................................................40 4.10.3. Směrnice a nařízení .....................................................................................41 4.10.3.1. Návrh směrnic ve společnosti..............................................................41 4.11 MONITORING A BEZPEČNOSTNÍ AUDIT ..................................................................41 5

ANALÝZA INFORMAČNÍ BEZPEČNOSTI VE SPOLEČNOSTI ....................43 5.1 PŘEDSTAVENÍ SPOLEČNOSTI .................................................................................43 5.2 ORGANIZAČNÍ SCHÉMA SPOLEČNOSTI ...................................................................44 5.3 POUŽITÉ TECHNOLOGIE VE SPOLEČNOSTI A JEJICH ZABEZPEČENÍ ..........................45 5.4 ORGANIZAČNÍ ZAJIŠTĚNÍ.......................................................................................47 5.5 IDENTIFIKACE AKTIV.............................................................................................48 5.6 ZPRACOVÁVANÁ DATA .........................................................................................49 5.7 ÚVODNÍ POHLED NA STAV INFORMAČNÍ BEZPEČNOSTI ..........................................50 5.8 DOTAZNÍKY PRO ZJIŠTĚNÍ STUPNĚ INFORMAČNÍ BEZPEČNOSTI ..............................51 5.8.1. Dotazníky pro vedení podniku .....................................................................51 5.8.1.1. Postoj společnosti k informační bezpečnosti ......................................51 5.8.1.2. Organizační struktura ..........................................................................53 5.8.1.3. Fyzická bezpečnost .............................................................................55 5.8.1.4. Technické zabezpečení .......................................................................57 5.8.1.5. Telekomunikační bezpečnost ..............................................................59 5.8.1.6. Plán zálohování a obnova dat .............................................................61 5.8.2. Dotazník pro zaměstnance společnosti ........................................................63 5.9 HODNOCENÍ MÍRY INFORMAČNÍ BEZPEČNOSTI VE SPOLEČNOSTI ...........................65 5.9.1. Postoj společnosti k informační bezpečnosti ...............................................65 5.9.2. Organizační struktura..................................................................................65 5.9.3. Fyzická bezpečnost ......................................................................................65 5.9.4. Technické zabezpečení .................................................................................65 5.9.5. Telekomunikační bezpečnost........................................................................66 5.9.6. Plán zálohování a obnova dat .....................................................................66

OBSAH

5.9.7. 6

7

Informační bezpečnost z pohledu zaměstnanců společnosti ........................66

NÁVRH BEZPEČNOSTNÍ POLITIKY VE SPOLEČNOSTI .............................67 6.1 URČENÍ .................................................................................................................67 6.2 POPIS PROVOZNÍHO PROSTŘEDÍ .............................................................................67 6.3 BEZPEČNOSTNÍ CÍLE A PRAVIDLA ..........................................................................68 6.3.1. Správa počítačů a sítě..................................................................................68 6.3.1.1. Dokumentace .......................................................................................68 6.3.1.2. Plánování systému ..............................................................................68 6.3.1.3. Ochrana počítačů, sítě a dat ...............................................................69 6.3.1.4. Výměna informací a programů ............................................................70 6.3.2. Řízení přístupu .............................................................................................71 6.3.2.1. Dokumentace přístupu k systému .......................................................71 6.3.2.2. Správa přístupu uživatelů ....................................................................71 6.3.2.3. Řízení přístupu k sítím .........................................................................73 6.3.3. Fyzická bezpečnost a bezpečnost prostředí .................................................73 6.3.3.1. Zabezpečení prostor ............................................................................73 6.3.3.2. Bezpečnost vybavení společnosti .......................................................73 6.3.4. Personální bezpečnost .................................................................................74

7

SHRNUTÍ A DISKUSE.............................................................................................75

8

ZÁVĚR .......................................................................................................................77

9

LITERATURA...........................................................................................................78

1

ÚVOD A CÍL PRÁCE

8

1 Úvod a cíl práce 1.1

Úvod

V posledních letech došlo k velkému rozmachu informačních technologií a tím zároveň i informačních systémů. Doby kartoték a papírových podnikových archivů jsou již nenávratně pryč. Již několik let jsou tyto kartotéky a archivy postupně digitalizovány. Na sítích Internetu najdeme obrovské databáze těchto informací. Není žádný problém vyhledat archivy tiskových periodik až několik let dozadu. Stále větší počet lidí dnes již "papírová vydání periodik" ani nečte. Veškeré informace týkající se politické, kulturní, společenské či sportovní oblasti, si totiž mohou pohodlně vyhledat a přečíst v pohodlí domova. I zastaralé podnikové informační systémy jsou nahrazovány zcela novými, založenými na síťové komunikaci a přenosu dat. Aniž bychom si to možná uvědomovali, ocitli jsme se najednou v době, kdy k převodu, zálohování, úschově či vyhledávání informací a dat již zcela bez výjimky slouží elektronické datové nosiče a výpočetní technika a samotný pojem ochrana dat získal zcela nové rozměry. Pojem bezpečnost je úzce spojen s pojmem ochrana či pojmem jistota a všechny tyto tři mají v podstatě za úkol snižovat ohrožení. Bezpečnostní politika provází člověka již od počátku jeho existence. Důvody a metody zabezpečení se ovšem v průběhu historie měnily. Avšak objektem zájmu zabezpečení či ochrany, byly vždy nejdůležitější tři skupiny [1]: 1. Zdraví a život, 2. Majetek, 3. Informace, data a znalosti. Subjektem zabezpečení či ochrany jsou všichni uživatelé informačních systémů, tedy lidé, v jejichž zájmu se zabezpečení a ochrana provádí - těmito subjekty mohou být zejména [1]: 1. Fyzické osoby, 2. Právnické osoby (podnikatelé, firmy apod.). Tyto výše uvedené pojmy spolu úzce souvisí. Například porušení bezpečnosti informace v podniku může vyústit ve ztrátu majetku podniku a to například i ve smyslu budoucích příjmů a nikoliv jen ztráty současného bohatství. Pod pojmem zabezpečení bychom si mohli představit souhrn technických a programových prostředků a dále organizačních opatření pro zajištění dat, informací či znalostí oproti jejich zničení, ztrátě, znehodnocení či zneužití. Je to však také zodpovědnost za ochranu informací během jejich vzniku, zpracování, ukládání, přenosů a likvidace prostřednictvím logických, technických, fyzických a organizačních opatření, která musí působit proti ztrátě důvěrnosti, integrity (neporušenosti) a dostupnosti těchto hodnot.

1.2

Cíl práce

9

Informační systémy mohou být za určitých okolností cílem různých nebezpečí. Mohou to být lidé (vlastní zaměstnanci), události způsobené přírodními jevy (oheň, voda, zásah blesku atd.), poruchy techniky (výpadky napájení, porucha zařízení). Další lidské hrozby představují agenti rozvědky, průmysloví agenti, teroristé, organizovaní nebo jednotliví zločinci, dobrodruzi, počítačoví nadšenci atp. Od útočníka musíme očekávat, že použije libovolný způsob průniku. Nemusí jít vždy o nejzřejmější metodu a také o útok na nejsilnější místo ochrany. Fyzická poškození způsobená přírodními katastrofami a závadami techniky obvykle zjistíme okamžitě. Informační systém přestane být jednoduše funkční a způsobené škody lze celkem přesně definovat. Horší situace však nastává při nelegálním úniku informací. Zde nelze téměř nic dokázat, pokud získané informace nejsou někde zjevně použity. Řešení bezpečnostní politiky u konkrétních subjektů vždy vyžaduje individuální posouzení podmínek, požadavků a zájmů těchto subjektů. V zásadě je třeba, aby si subjekt odpověděl na následující otázky [2]: 1. Co vyžaduje ochranu? 2. Proti jakým hrozbám je ochrana budovaná? 3. Jak budeme chránit to, co vyžaduje ochranu? Mezi vnější okolnosti, které nás nutí data, znalosti a informace chránit, patří zejména existence hrozeb a míra rizika s jakou se hrozby mohou uskutečnit. Mezi vnitřní okolnosti patří například ekonomické možnosti subjektu realizovat nutná protiopatření. Je jen otázkou času, kdy všechny subjekty pochopí, že informace tvoří nenahraditelné aktivum, které je zapotřebí náležitě chránit před hrozícím nebezpečím.

1.2

Cíl práce

Myslím si, že v současné době není ještě zdaleka ve všech společnostech dostatečně řešena problematika řízení informační bezpečnosti, i když dnes a denně roste aktuálnost této oblasti. Také to byl jeden z důvodů vypracování mé práce na toto téma. Mnohdy je informační bezpečnost více či méně zanedbávána a někdy je řešena až v důsledku zničení, ztráty, znehodnocení či zneužití informací. Lépe je takovým stavům předcházet a snažit se co nejvíce dostat do povědomí subjektů, že vypracovaná bezpečnostní politika je nositelem řady vnitřních i vnějších přínosů. Nejprve pro lepší seznámení a pochopení dané problematiky, realizuji obecnou charakteristiku řešeného problému. Kromě obecného popisu informační bezpečnosti a jejího řízení, pak budu aplikovat získané poznatky na konkrétní společnost. Na základě analýzy stávající situace informační bezpečnosti ve vybrané společnosti zabývající se výrobou a prodejem plastových oken, provedu návrh systému řízení informační bezpečnosti této společnosti. Při svém návrhu využiji všeobecně platné a používané normy a poznatků z odborné literatury. V závěru práce uvedu shrnutí a zhodnocení své práce, přínosy svého řešení a také možnou využitelnost a zevšeobecnění pro jiné společnosti.

2

METODIKA

10

2 Metodika Zpracování této diplomové práce jsem začala výběrem a následným studiem dostupné literatury týkající se problematiky informační bezpečnosti a systému řízení informační bezpečnosti. Seznam použitých publikací je uveden v závěru práce (viz. kapitola 9). Mimo jiné jsem se musela seznámit s normami upravujícími sledovanou oblast, které byly kromě ostatních pramenů vodítkem celé práce. Byla to především ČSN ISO/IEC 17799 s názvem Informační technologie – Soubor postupů pro management bezpečnosti informací a ČSN BS 7799-2 s názvem Systém managementu bezpečnosti informací – Specifikace s návodem pro použití. Rovněž jsem využila informací, které poskytuje celosvětová počítačová síť, Internet. Po sběru a prostudování vybraných zdrojů jsem přistoupila k vlastnímu zpracování diplomové práce. Rozvrhla jsem si osnovu, která se stala neochvějnou šablonou celé práce. Svou práci bych mohla rozdělit na tři základní části. První část se zabývá seznámením s problematikou informační bezpečnosti, definicí základních pojmů a obecnou charakteristikou bezpečnosti informací a jejího systému řízení. Druhá část je již obohacena o praktické poznatky. Je zaměřena na aplikaci získaných vědomostí v konkrétní společnosti. Třetí část je shrnutím a zhodnocením celé práce. Ráda bych ještě přiblížila postup praktické části diplomové práce. Nejprve jsem kontaktovala společnost, která mi posloužila jako model, na kterém jsem mohla uplatnit své znalosti. Formou pohovorů s vedením společnosti, pracovníkem externí firmy a se zaměstnanci jsem se seznámila se situací ve sledované společnosti. Získané informace mi posloužily k provedení analýzy současného stavu informační bezpečnosti ve společnosti. Pro hlubší analýzu jsem navrhla dotazníky pro zjištění míry informační bezpečnosti. Dotazníky byly určeny jak pro vedení společnosti, tak pro zaměstnance. Dotazníky jsem nechala vyplnit, vyhodnotila je a určila pravděpodobný stav informační bezpečnosti v jednotlivých oblastech. Stanovila jsem nedostatky informační bezpečnosti a možná opatření. V neposlední řadě následovalo navržení dokumentované bezpečnostní politiky společnosti ve formě pravidel a cílů. Tímto návrhem byl započat nikdy nekončící proces systémového řízení informační bezpečnosti ve společnosti.

3

BEZPEČNOST INFORMACÍ

11

3 Bezpečnost informací Nasazení informačních systémů a informačních technologií se v dnešní době stalo nutnou podmínkou úspěšnosti podniku ve všech oblastech hospodářské činnosti. Příčinou je, že se informační technologie staly jedním z rozhodujících faktorů rozvoje a konkurenceschopnosti podniku. Informační systémy dnes zajišťují chod jak výrobních podniků, tak i chod státní správy, zdravotnictví, finančnictví i terciální sféry. Bez informačních technologií je práce s informacemi v současnosti nejen neefektivní, ale již i nepředstavitelná. Informační technologie1 zpracovávají stále více informací, které mají velkou hodnotu. Pokud hovoříme v souvislosti s informačními technologiemi o zpracovávání informací, pak tím rozumíme použití těchto technologií k uchovávání, přenosu, vyhodnocování a prezentaci informací. Poněvadž se mnohdy jedná o informace s nezanedbatelnou hodnotou (např. daňová přiznání, bankovní účty, výsledky vývoje nebo výzkumu, zdravotní záznamy, elektronické platební nástroje, obchodní záměry), musí být chráněny tak: • • • • •

3.1

aby k nim měly přístup pouze oprávněné osoby, aby se zpracovávaly nefalšované informace, aby se dalo zjistit, kdo je vytvořil, změnil nebo odstranil, aby nebyly nekontrolovaným způsobem vyzrazeny, aby byly dostupné tehdy, když jsou potřebné.

Co je to bezpečnost informací?

Informace označujeme za aktiva, která mají pro organizaci určitou hodnotu. Tato hodnota nezáleží však na tom, v jaké formě se informace vyskytuje. Informace mohou existovat v různých podobách. Mohou být vytištěny nebo napsány na papíře, ukládány v elektronické podobě, posílány poštou nebo elektronickou cestou, zachyceny na film nebo zmíněny v průběhu konverzace. Ať už mají informace jakoukoliv formu, nebo ať jsou sdíleny nebo ukládány jakýmikoliv prostředky, vždy by se mělo dbát na jejich vhodnou ochranu. Bezpečnost informací bychom mohli tedy charakterizovat jako zachování: • • •

autenticity (zajištění pravosti neboli původnosti informací), integrity (zabezpečení správnosti a kompletnosti informací a metod zpracování), dostupnosti (zajištění toho, aby informace a s nimi i spojená aktiva byly přístupné autorizovaným uživatelům podle jejich potřeby), • prokazatelnosti a nepopiratelnosti odpovědnosti, • spolehlivosti a důvěrnosti (zajištění toho, aby informace byla dostupná pouze osobám oprávněným pro přístup). 1

dále bude pojem informační technologie zapisován zkratkou IT

3.2

Motivace pro zabezpečování informací při použití IT

12

K bezpečnosti informací lze dospět implementací soustavy opatření, které mohou být ve formě pravidel, procedur, naučených postupů, organizační struktury a programových funkcí. Tato opatření jsou v organizaci zavedena pro dosažení jejich specifických bezpečnostních cílů.

3.2

Motivace pro zabezpečování informací při použití IT

Charakteristickým rysem soudobých organizací je, že své poslání plní pomocí propojení informačních a komunikačních systémů budovaných na bázi IT. To jak uvnitř organizace2, tak i s ostatními organizacemi3. Tímto se činnosti organizace stávají silně závislé na informacích a službách IT. Důsledkem toho je však to, že ztráta důvěrnosti, integrity, dostupnosti, prokazatelnosti odpovědnosti, autenticity a spolehlivosti informací a služeb IT má na chod organizace nepříznivý dopad. Vhodným řešením tohoto problému je uplatnění zásad bezpečnosti IT a udržet tak výše zmíněné cíle zabezpečení (viz. kapitola 3.1) na přiměřené úrovni. 3.2.1. Způsoby narušení bezpečnosti informací Narušení bezpečnosti zpracovávání informací lze provést například [2]: • • • • • • • • • • • • • •

narušením soukromí či utajení informací, vydáváním se za jinou oprávněnou osobu a zneužíváním jejích privilegií, distancováním se od odpovědnosti nebo od závazků plynoucích z manipulace s informacemi, tvrzením, že se nějaká informace někam poslala a toto se nikdy nestalo, tvrzením, že se informace získala od nějakého podvodníka, neoprávněným zvýšením svých privilegií přístupu k informacím, modifikací privilegií ostatních osob, zatajením výskytu důvěrné informace v jiných informacích, zjišťováním, kdo a kdy si zpřístupňuje které informace, zařazením se jako skrytý mezičlánek v konverzaci jiných subjektů, pokažením funkcionality softwaru doplněním skrytých funkcí, narušením protokolu činností jiných subjektů zavedením nesprávných, nekorektních informací, podkopáním důvěryhodnosti protokolu způsobením zjevným, byť možná jen zdánlivými poruchami, bráněním jiným uživatelům legitimně komunikovat.

Organizace musí své informační systémy zabezpečovat a chránit stejně jako jiné investice do své činnosti. Hardwarové komponenty IT lze zničit nebo odcizit, a pak třeba prodat nebo používat pro vlastní potřebu. Odcizit lze i software, který je mnohdy nositelem ohromné a přitom špatně vyčíslitelné hodnoty. Konkurence tak může ušetřit náklady na 2 3

např. pojem intranet, vnitřní síť extra…/inter…, např. extranet/Internet

3.3

Bezpečnost informací jako stálý proces

13

vývoj nebo na pořízení softwaru. Neoprávněné užívání softwaru zaměstnanci pro osobní potřebu nebo pro jejich druhé zaměstnání je zdrojem jejich nelegálních zisků. Z trestní odpovědnosti za porušení licence pak mohou provozovateli kradeného softwaru vzniknout nemalé škody. Informační systém lze používat neautorizovaným způsobem a v důsledku toho způsobit např. zničení systému, porušení soukromí jiných osob4. Ovšem jsou i případy, kdy je informační systém užíván autorizovanými zaměstnanci k nepracovní činnosti, ať již osobní nebo výdělečné. 3.2.2. Informace jako konkurenční výhoda Informace jsou v podstatě zboží s vysokou tržní hodnotou. Data uložená v bázích dat lze získat neoprávněným okopírováním, lze ukrást i výstupy generované informačním systémem pro potřebu organizace. Data, která jsou pro organizaci citlivá, je potřeba chránit před konkurencí. V prostředí konkurenčního boje význam informací a práce s nimi stále vzrůstá. Jestliže se podniku podaří pracovat s informacemi efektivněji a účinněji než těm ostatním, získá tak významnou konkurenční výhodu. Zvládnutá informační bezpečnost se stává propagačním argumentem. Hledá-li podnik nového obchodního partnera, bezesporu již dnes zvolí takového, jehož úroveň bezpečnosti informací nebude ohrožovat data všech obchodních partnerů, tedy možná i jeho samotného. Požadovaný stupeň bezpečnosti představuje jistou míru záruky, že organizace bude plnit svou obchodní funkci (výroba, prodej, služby), dostojí svým závazkům a plnění obchodních funkcí nebude zbytečně ohrožováno. [3] Existují právní, morální a etická pravidla pro používání informací a též zákonné úpravy pro ochranu dat. Ty je zapotřebí dodržovat.

3.3

Bezpečnost informací jako stálý proces

Nutno podotknout, že bezpečnost IT nelze řešit izolovaně. Bezpečnostní politika v oblasti IT je nedílnou součástí všeobecné bezpečnostní politiky organizace. Ani všeobecnou bezpečnostní politiku organizace nelze řešit bez návaznosti na ostatní politiky vymezující chod a poslání organizace (finanční, obchodní, sociální atd.). Je důležité si uvědomit, že zkušenosti útočníků v čase rostou. Cíle jejich útoků se postupně upřesňují. Rovněž i IT se vyvíjejí a zdokonalují. Případně se mění i cíle profilu organizace. Proto se musí periodicky korigovat i cíle, strategie a politiky bezpečnosti. K tomu jsou vhodné periodické oponentury bezpečnostních politik, které mohou vyvolat požadavek opakovaného provedení analýzy rizik. Periodicky je zapotřebí provádět i bezpečnostní audit. Bezpečnost už jednou zavedená není proto řešením jednou provždy. Není to jako např. u nákupu softwaru, který pak pouze nainstalujeme. V případě bezpečnosti informací můžeme hovořit o neustálém procesu, který nikdy nekončí.

4

užitím cizího přístupového hesla, překonáním mechanismu řídicího přístup k IS atd.

3.4

3.4

Stav informační bezpečnosti v České republice

14

Stav informační bezpečnosti v České republice5

Pro posouzení současnosti v ČR jsem využila průzkumu PSIB6, na kterém se jako partneři průzkumu podílely společnosti Ernst & Young7, DSM – data security management8 a NBÚ9. Průzkum byl proveden prozatím čtyřikrát, a to v letech 1999, 2001, 2003 a 2005. Průzkum stavu informační bezpečnosti v ČR 2005 probíhal od března do května 2005. Byl zaměřen na vybraný reprezentativní vzorek středních a velkých společností v ČR. V průzkumu, který byl prováděn anonymně, odpovídaly společnosti na celkem 51 podrobných otázek z oblasti informační bezpečnosti rozdělených do 11-ti tématických skupin. Bylo osloveno přes 1050 společností a k závěrečnému zhodnocení byla použita asi třetina z oslovených respondentů. O vzorku lze říci, že tvořil reprezentativní sondu pro potřeby posouzení stavu informační bezpečnosti v českých firmách. Dále se zaměřím především na výsledky posledního průzkumu, ale využiji k případnému srovnání též poznatků z předchozích průzkumů. Respondenty byly společnosti s více než 100 zaměstnanci a nejvíce (60 %) byly zastoupeny společnosti do 500 zaměstnanců. Za téměř tři čtvrtiny organizací odpovídali pracovníci IS/IT (40 %). Pouze za 6 % respondentů odpovídali specialisté bezpečnosti. Podle oboru působnosti bylo nejvíce respondentů ze státní správy (18 %) a strojírenství (17 %). Podle vlastního hodnocení téměř 70 % společností považuje svou úroveň řešení bezpečnosti jako dobrou (viz. obr. 1). Jelikož se jedná o více než tři čtvrtiny organizací můžeme se domnívat, že situace této oblasti je vcelku optimistická. Nejvíce sebevědomí v tomto směru mají organizace v sektoru finance/bankovnictví, doprava a IT/telekomunikace. Pro prosazování informační bezpečnosti ČR má dle průzkumu největší vliv hrozba útoku, propojování informačních systémů směrem ven a rychlý vývoj v oblasti IT (viz. obr. 2). Oproti minulým rokům vzrůstá vliv požadavků na mobilní zpracování informací a také požadavků auditorů. Naopak nejnižší vliv zaznamenaly hrozby finančních sankcí a požadavky obchodních partnerů. Z průzkumu je patrné, že prozatím je nejoblíbenějším organizačním uspořádáním pověřit řešením informační bezpečnosti útvar IS/IT. Zřejmě protože se jedná o nejjednodušší způsob.

5

dále jen ČR Průzkum stavu informační bezpečnosti 7 Poradenská společnost s celosvětovou působností, řadí se k největším ve svém oboru. Také v ČR nabízí mimo tradiční auditorské a daňové služby rovněž tým zkušených odborníků, kteří poskytují služby jako je řízení technologických a informačních rizik, penetrační testování, ochrana osobních údajů atd. 8 Časopis DSM vydávaný společností TATE International, s. r. o., věnuje se problematice informační bezpečnosti v nejširším kontextu. 9 Národní bezpečnostní úřad, ústřední správní úřad pro oblast ochrany utajovaných skutečností 6

3.4


15

20%

1% 10%

nízká úroveň

69%

nedostatečná úroveň výborná úroveň dobrá úroveň

Obr. 1: Jak organizace hodnotí vlastní úroveň řešení bezpečnosti

55%

hrozba útoku

48%

propojování informačních systémů směrem ven

42%

rychlý vývoj v oblasti IT

31%

propojování informačních systémů uvnitř organizace

22%

výsledky provedeného auditu/doporučení auditorů

18%

požadavky na mobilní zpracování informací

16%

legislativní tlak v ČR

14%

tlak/požadavky ze strany investorů/akcionářů/vlastníků

10%

hrozba negativní medializace

9%

tlak/požadavky zákazníků

8%

e-business a/nebo e-commerce řešení informační bezpečnosti u srovnatelných organizací

7%

platná i připravovaná legislativa EU a Evropské měnové unie

7% 6%

hrozba finančních sankcí tlak/požadavky obchodních partnerů

3%

Obr. 2: Okolnosti ovlivňující prosazování informační bezpečnosti

3.4


16

Nejvyšší výskyt v kategorii bezpečnostních incidentů zaznamenala nevyžádaná elektronická pošta (SPAM). Jedná se o kategorii, která byla do průzkumu v roce 2005 zahrnuta jako novinka. Ukazuje se, že v ČR stejně tak jako ve zbytku světa čelíme tomuto problému. Je jen málo organizací, které se s tímto bezpečnostním incidentem nesetkaly. Pokles zaznamenaly přírodní katastrofy, jejichž výskyt byl ve výzkumu v roce 2003 ovlivněn především rozsáhlými záplavami. Závažnější dopady v případě bezpečnostních incidentů zaregistrovali respondenti též u výpadku proudu, poruchy hardwaru a při výskytu počítačového viru. Další bezpečnostní incidenty, které se od roku 2003 do roku 2005 nejvíce vyskytovaly jsou uvedeny na obrázku (viz. obr. 3). Z hlediska informační bezpečnosti pro většinu organizací představuje největší hrozbu Internet s elektronickou poštou a vlastní uživatelé. Silně je též vnímána neexistence bezpečnostních politik a standardů. Bezdrátové technologie jako možnost bezpečnostní hrozby byly do průzkumu 2005 zahrnuty poprvé a jsou vnímány jako vážná hrozba u 13 % organizací (viz. obr. 4). Z provedených průzkumů je též patrné, že nedostatek financí znamená hrozbu pro stále menší počet organizací. V průzkumu 2005 došlo k poklesu o celých 8 procentních bodů oproti předešlému, což je příjemné zjištění. V současné době má přístup k Internetu každý druhý zaměstnanec organizací účastnících se průzkumu [4]. Díky tomu získávají zaměstnanci lepší přístup k informacím a dochází ke zrychlení a zefektivnění komunikace. Tyto výhody však s sebou nesou daň v podobě bezpečnostních incidentů souvisejících s viry. Nejčastěji dochází k zavirování počítače či celé sítě virem získaným z přílohy v elektronické poště. nevyžádaná elektronická pošta (SPAM)

86%

výpadek proudu

85% 78%

porucha hardware

74%

počítačový virus 59%

chyba uživatele

49%

chyba programového vybavení

43%

selhání LAN

34%

selhání WAN

30%

chyba administrátora nebo obsluhy

22%

krádež zařízení nepovolený přístup k datům - zevnitř

9%

zneužití zařízení

6%

přírodní katastrofa

5%

nepovolený přístup k datům - zvenčí

3%

Obr. 3: Výskyt bezpečnostních incidentů od roku 2003 do roku 2005

3.4


17

Internet a/nebo elektronická pošta

58%

vlastní uživatelé

57%

vnější útočníci

30%

neexistující/nevyhovující bezp. politika a/nebo bezp. standardy

21% 19%

nedostatek financí nedostatek lidských zdrojů

16%

nedostatečná podpora ze strany nejvyššího vedení

14%

neadekvátní technická infrastruktura nebo zastaralé technologie

14%

bezdrátové technologie

13%

organizační změny/slučování organizací

7%

provozované aplikace

6%

dodavatelé produktů, služeb a řešení v oblasti IT

5%

outsourcing

3%

e-business a/nebo e-commerce

3%

přechod na euro

1%

Obr. 4: Největší hrozby z hlediska informační bezpečnosti Tak jako v předešlých průzkumech i v tom posledním pokračoval trend zvyšování kvality zabezpečení Internetu. U drtivé většiny organizací je dnes již naprostou samozřejmostí firewall, stejně tak jako kontrola přítomnosti virů, kterých se poslední dobou objevuje stále větší a větší množství. Také přibývá organizací se zabezpečenými webovými servery. V průzkumu 2005 jich bylo celých 40 %. Dále se zvyšuje využití penetračního testování (viz. obr. 5). Pomalu organizace upouštějí od sice bezpečného, ale velmi nepraktického fyzického oddělení Internetu od vnitřní sítě. V roce 2001 byl vyrovnaný poměr organizací, které řeší informační bezpečnost výhradně vlastními silami (viz. obr. 6), ve srovnání s organizacemi, které při řešení spolupracují s externími dodavateli [5]. V roce 2003 se však již počet organizací spolupracujících s externími dodavateli podstatně zvyšuje, zhruba o 20 procentních bodů a tento stav zatím přetrvává. Mezi největší překážky prosazování informační bezpečnosti od roku 1999 patří bez velkých změn obecně nízké bezpečnostní povědomí, finanční náročnost a nedostatečná podpora ze strany vedení organizace. Překážku prosazení informační bezpečnosti v ČR již jen v mizivé míře představuje nedostatek tuzemských expertů, technologická náročnost a nedostatek informací. V seznamu největších překážek se v prvních 3 průzkumech nevyskytovala položka jiného důvodu, proto v grafu není také v těchto letech hodnota pro tuto alternativu uvedena (viz. obr. 7).

3.4


18

93%

firewall

86%

monitorování/kontrola na přítomnost virů 55%

interní směrnice upravující používání Internetu

48%

monitorování činnosti zaměstnanců na Internetu 40%

zabezpečení web serveru 20%

fyzické oddělení Internetu od vnitřní sítě

18%

penetrační testování

14%

procedury a opatření kontrolující dodržování směrnice

10%

kontrola obsahu elektronické pošty zaměstnanců žádný

1%

Obr. 5: Způsoby zabezpečení Internetu

výhradně vlastními silami

39%

ve spolupráci s externími firmami

57%

výhradně dodavatelsky externí firmou

2%

neřeší vůbec

2%

Obr. 6: Jak organizace přistupují k řešení informační bezpečnosti

3.4


19

31% 33% 35% 32%

obecně nízké bezpečnostní vědomí

20% 14%

finanční náročnost

17% 17%

nedostatečná podpora ze strany vedení organizace

13%

nedostatečná a nevyvážená legislativa ČR

10% 11% 13% 12%

21% 14% 16%

14%

neexistence českého bezpečnostního standardu

11% 10% 8%

nezájem a nekompetentnost státních orgánů

4% 4% 5% 6%

nedostatek informací

6% 4% 4% 5%

technologická náročnost

1% 1% 1% 1%

nedostatek tuzemských expertů

1% 1% 0% 0%

1999 2001 2003

jiný důvod 3%

2005

Obr. 7: Největší překážky rychlejšího prosazování informační bezpečnosti v ČR

3.4


20

Celkově je Průzkum stavu informační bezpečnosti velmi zajímavý materiál, který stojí za to prostudovat. I když byl tento průzkum prováděn na větších organizacích, pro orientaci v oblasti informační bezpečnosti v ČR postačí. Díky tomuto průzkumu je zřejmé, že pro mnoho organizací v ČR není informační bezpečnost již zdaleka něčím neznámým. Ba pro mnohé se již stala samozřejmostí efektivního provozu organizace. Nelze přehlédnout hrozby, které organizace denně ohrožují a výskyt incidentů, jejichž dopad může narušit plynulý chod organizace, způsobit tak značné škody nebo být dokonce příčinou ukončení činnosti (především u menších společností). Organizace by měly průběžně analyzovat svá rizika a snažit se zavést dle svých možností bezpečnostní opatření. Jak jsem již ve své práci zmínila, informace jsou cenným aktivem organizace a některé organizace na tuto skutečnost zapomínají. Každá organizace by se měla o tuto problematiku zajímat a obeznámit s ní též své zaměstnance a nečekat až na samotný výskyt incidentu.

4

BEZPEČNOSTNÍ POLITIKA SPOLEČNOSTI

21

4 Bezpečnostní politika společnosti 4.1

Základní pojmy

V dalším výkladu budu využívat pojmů týkajících se bezpečnostní problematiky ve společnosti. Pro lepší orientaci uvedu definice některých důležitých pojmů již nyní na začátku kapitoly. 4.1.1. Zranitelné místo Představuje slabinu IS, kterou lze využít ke způsobení škody nebo ztráty útokem. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu nebo implementaci IS, důsledek vysoké hustoty uložených informací, složitosti softwaru, existence skrytých kanálů pro přenos informace jinou než zamýšlenou cestou apod. Podstata zranitelného místa může být: • • • • •

fyzická (např. umístění IS v místě, které je snadno dostupné sabotáži nebo vandalismu, ale také výpadek napětí), přírodní (objektivní faktory typu záplava, požár, zemětřesení, blesk), v hardwaru nebo v softwaru, fyzikální (vyzařování, útoky při komunikaci na výměnu zprávy, na spoje), v lidském faktoru.10

4.1.2. Hrozba Hrozba je jakákoliv okolnost či událost působící na zranitelné místo aktiva, která může způsobit potenciální škodu na aktivu. Hrozby lze dělit podle hledisek zejména na [6]: •

•

10

objektivní − přírodní, fyzické − jako např. požár, povodeň, výpadek napětí, poruchy apod., u kterých je prevence obtížná a u kterých je třeba řešit spíš minimalizaci dopadů vhodným plánem obnovy; v tomto případě je třeba vypracovat havarijní plán, − fyzikální − např. elektromagnetické vyzařování, − technické nebo logické − porucha paměti, softwarová propojení jinak bezpečných komponent, krádež, resp. zničení paměťového média nebo nedokonalé informace na něm, subjektivní − tj. hrozby plynoucí z lidského faktoru − neúmyslné − např. způsobení neškoleného uživatele, − úmyslné − které jsou představovány potenciální existencí vnějších útočníků (např. teroristé, konkurenti, kriminální živly, hackeři), ale i vnitřních útočníků.

největší zranitelnost ze všech možných variant

4.1

Základní pojmy

22

Charakteristikou hrozby je její zdroj vnitřní či vnější, motivace potenciálního útočníka ve formě finančního zisku nebo získání konkurenční převahy a v neposlední řadě též frekvence a kritičnost uplatnění hrozby. 4.1.3. Útok Útokem, který nazýváme rovněž bezpečnostní incident, rozumíme buďto úmyslné využitkování zranitelného místa, tj. využití zranitelného místa ke způsobení škod neboli ztrát na aktivech IS, nebo neúmyslné uskutečnění akce, jejímž výsledkem je škoda na aktivech. Rozpoznáváme [2]: •

útoky na hardware, které lze vést − přerušením − přírodní havárie, neúmyslné útoky způsobené kouřením, údery, úmyslné útoky krádeží, destrukcí, − odposlechem − krádež času procesoru, místa v paměti, − přidáním hodnoty − změnou režimu činnosti, • útoky na software, které lze vést − přerušením − mezi neúmyslné útoky může patřit vymazání softwaru způsobené špatným konfiguračním systémem nebo archivačním systémem, použití neotestovaných programů, chyby operátora; mezi úmyslné útoky patří např. úmyslné vymazání programu, − odposlechem − provedení neoprávněné kopie programu, pirátství, − změnou − např. využitím „zadních vrátek“ (neveřejných spouštěcích postupů z doby tvorby softwaru), − přidáním hodnoty − zabudováváním trojských koňů, viry, červi, logické bomby, • útoky na data − zatímco útok na hardware lze vyřešit bezpečnostními systémy, strážemi apod. a útok na software vedou obvykle profesionálně zdatní jedinci, tak útok na data je mnohem nebezpečnější, poněvadž data umí číst a interpretovat de facto kdokoli; pro hodnotu dat je charakteristická její dočasnost, tržní hodnota dat není jedinou cenou dat, do té se musí zahrnout cena jejich rekonstrukce, jejich opětovného vytvoření apod. Útoky na data lze opět vést − přerušením − mezi neúmyslné útoky lze zařazovat jejich neúmyslné vymazání, mezi úmyslné útoky pak úmyslné vymazání, sabotáž, − odposlechem − porušení důvěrnosti, krádež kopií, − změnou − porušení integrity, neautorizované modifikace dat, − přidáním hodnoty − opakovanými neautorizovanými dílčími odběry z peněžního konta (salámový útok), generování transakcí atd. Vhodnou formou ochrany před pasivními útoky odposlechem je prevence, poněvadž detekce odposlechu je velmi obtížná. Absolutní prevence útoků ovšem zajistitelná není.

4.2

Cíle bezpečnostní politiky

23

Typická ochrana, hlavně před aktivními útoky, je založena na detekci útoků a na následné obnově činnosti. Velmi důležité je vzít si poučení ze zjištěných skutečností a získané zkušenosti uplatnit při vylepšování ochran, ať již preventivních, nebo detekčních či aktivních, heuristických (založených na nějakých hypotézách). 4.1.4. Riziko Existence hrozby představuje riziko. Rizikem rozumíme pravděpodobnost využitkování zranitelného místa IS. Říkáme, že se hrozba uplatní s takovou a takovou pravděpodobností. Rizika lze charakterizovat vedle pravděpodobnosti výskytu bezpečnostního incidentu i potenciálně způsobenou škodou. 4.1.5. Škoda Jestliže jsou realizovány hrozby, pak v organizaci mohou vznikat následující druhy škod [2]: 1. přímé ztráty − škody nejen v materiální, ale i v duchovní podobě, jako vyzrazení obchodních záměrů, výsledku výzkumu, důsledky nelegálních finančních transakcí, zvýšené náklady na obnovení ztracených informací či obnovení výroby v důsledku nuceného přerušení výroby či expedice zboží aj. 2. nepřímé ztráty − ztráta dobrého jména podniku, protože nebyly dodrženy dohodnuté podmínky a tím finanční ztráty aj.

4.2

Cíle bezpečnostní politiky

V reálném prostředí se nevyhneme tlaku na zajištění potřebné úrovně důvěrnosti, autentizace, integrity dat a prevence před viry a jinými škodlivými programy, nepopiratelnosti odpovědnosti a potřebné velikosti výpočetního a paměťového výkonu. V distribuovaném prostředí, jakým je síť Internet, jsou uvedené cíle rozšířeny o požadavek bezpečnosti transakcí, např. mezi web-klienty a servery. Na webovských serverech se uchovávají jak veřejně dostupné soubory, tak soubory citlivé a důvěrné, a ty je třeba ochránit. Na webovském klientu je nezbytné přijmout opatření proti virové nákaze. Prohlížeč by neměl spouštět žádné nedůvěryhodné aplikace. 4.2.1. Důvěrnost Důvěrnost má zásadní význam z hlediska ochrany soukromých dat, a to jak z hlediska zachování soukromí, tak i z hlediska možnosti zneužití informačních služeb. Důvěrnost lze zabezpečit pomocí šifrování, skrýváním identit počítačů organizace za firewally nebo řízením přístupu k souborům, např. na WWW serverech. 4.2.2. Integrita Dalším přirozeným požadavkem je potřeba zajištění integrity. Integrita se musí postarat o to, aby aktiva dostupná autorizovaným uživatelům byla úplná a věrná, tj. odpovídající své specifikaci. Data nemohou být při přenosu neautorizovaně měněna. Data

4.3

Proces řešení informační bezpečnosti

24

též nelze modifikovat ani v místě jejich dlouhodobého uložení v nějaké paměti. Pro zajištění integrity dat lze použít např. mechanismů kryptografických kontrolních součtů, elektronického podpisu a certifikátů na bázi asymetrické kryptografie. Pro zajištění integrity softwaru je nezbytné používat také adekvátní aktuální antivirové nástroje. 4.2.3. Autenticita Zajištění autentičnosti je dalším požadavkem bezpečnosti IT. Komunikující strany by měly důvěřovat tomu, že komunikují s tím partnerem, se kterým komunikovat chtěly. K silné autentizaci je třeba obvykle použít mechanismů elektronického podpisu a certifikátů. Dostatečně důvěryhodné prokázání identity lze (podle výsledků analýzy rizik) také dosáhnout např. jednoduchým používáním hesel. 4.2.4. Nepopiratelnost Požaduje-li se zajištění nepopiratelnosti, pak žádná ze spolupracujících stran nesmí mít možnost svoji účast v transakci popřít, a to i po jejím ukončení. Aby bylo možné použít nějaký mechanismus pro implementaci funkce nepopiratelnosti, je třeba ho vybavit vlastností prokazatelnosti autorství. Takovým mechanismem může být např. certifikovaný elektronický podpis. 4.2.5. Dostupnost Nedílnou součástí bezpečnostní politiky on-line provozovaných IS musí být opatření zajišťující trvalou dostupnost jeho informatických služeb, tj. zamezující neoprávněnému vyčerpání zdrojů vnějším útočníkem nebo nedokonale vyškoleným vlastním zaměstnancem organizace. Tato opatření se provádí např. definicí mezí dostupného paměťového prostoru, omezením délek elektronicky vyměňovaných zpráv nebo dílu dostupného procesorového výkonu.

4.3


4.3.1. Základní schéma řešení bezpečnosti Řešení informační bezpečnosti je vlastně proces, který představuje splnění tří základních kroků (viz. obr. 8): 1. Studie bezpečnosti, 2. Bezpečnostní politika, 3. Bezpečnostní projekt.

4.3


Východiska pro řešení bezpečnostního projektu

25

Studie bezpečnosti

Stanovení východisek a postupu

Analýza rizik

Bezpečnostní politika

Strategická opatření na úrovni IS

Východiska pro řešení bezpečnosti

Bezpečnostní projekt

Bezpečnostní procedury a postupy

Obr. 8: Základní schéma řešení bezpečnosti 4.3.2. Studie bezpečnosti Cílem studie by mělo být zhodnocení a popis situace v organizaci z hlediska bezpečnosti, nalezení a pojmenování aktiv společnosti, zhodnocení jejich důležitosti a nalezení největší bezpečnostní chyby. Součástí je i návrh základních nápravných opatření. Velmi často patří do těchto opatření organizační změny a definování rolí a zodpovědností na jednotlivých pozicích v organizaci. Studie může zároveň posloužit jako podklad pro definování a vyhlášení bezpečnostní politiky organizace. Způsob provedení a získání podkladů ke studii je proveden tak, že organizace vytvoří neformální pracovní skupinu sestavenou se zodpovědných pracovníků jednotlivých oblastí jichž se bezpečnost dotýká a externího zpracovatele studie. Úkolem této skupiny je bořit komunikační bariéry při provádění samotné prohlídky organizace. Informace se získávají formou pohovorů s jednotlivými pracovníky a také vhodně sestavenými dotazníky. Stanovení rozsahu studie by mělo být úkolem vedení organizace. Není vhodné se při zpracování studie omezovat jen na některé oblasti, protože bezpečnost je komplexní záležitost. Zužovat zájem na některé vybrané oblasti znamená, že případné problémy nemohou být ani identifikovány. Komplexní znalost všech oblastí umožní efektivnější přístup při uplatňování bezpečnostní politiky.

4.3


26

4.3.3. Bezpečnostní politika Problematice bezpečnostní politiky, definováním základních pojmů a postupem její výstavby se budu ještě ve své práci podrobněji zabývat (viz. kapitola 4.5). 4.3.4. Bezpečnostní projekt Bezpečnostní projekt popisuje způsob realizace bezpečnostní politiky. Definuje bezpečnostní prvky a aplikaci opatření personální, administrativní, organizační, technické, počítačové a komunikační bezpečnosti. Přitom vychází z bezpečnostních standardů. Je vytvářen postupně pro zavádění jednotlivých bezpečnostních prvků podle stanovených priorit a ekonomických možností. 4.3.5. Vztahy mezi studií bezpečnosti, bezpečnostní politikou a projektem Některé základní vztahy mezi studií bezpečnosti, bezpečnostní politikou a projektem jsou patrné z předchozího obrázku (viz. obr. 8). Bezpečnostní politika poskytuje realizační výstupy, především pro strategickou úroveň řízení a dlouhodobý časový plán. Problematika bezpečnostní politiky bude ještě podrobněji probrána. Bezpečnostní projekty představují ucelenou sadu bezpečnostních opatření. Po realizaci bezpečnostních projektů se dosahuje základního stupně bezpečnosti se zbytkovým rizikem, které odpovídá analyzované a požadované situaci. Stěžejním bodem řešení bezpečnosti od studie až po projekt je analýza rizik neboli riziková analýza. V každém ze tří uvedených stupňů se analýza vyskytuje, ale pokaždé má jiné zaměření a jinou hloubku. Protože se jedná o velmi významnou část řešení, budu se analýzou rizik zabývat ve své práci podrobněji v některé z následujících kapitol (viz. kapitola 4.6). Při řešení bezpečnosti musí řešitel respektovat nejen reálné možnosti zadavatele, ale i jeho právo na vlastní volbu postupu. Také může nastat situace, kdy zadavatel z jakéhokoliv důvodu neposkytne dostatečné informace k řešení. Potom musí dojít ke zvolení takového postupu, který tuto podmínku akceptuje. V takovém případě zůstává řešení některých kroků na zadavateli, který je s podporou řešitele bezpečnosti dokončí a teprve zobecněné výsledky předá řešiteli, jenž s nimi již dále pracuje. Stejně tak je možné zvolit i obrácený postup, kdy řešitel bezpečnosti předá zadavateli jen některé bezpečnostní komponenty nebo jejich dokumentaci a zadavatel bezpečnost úspěšně dořeší a implementuje. Důležité je upozornit na to, že dořešením a implementací nemá zadavatel jednou provždy vystaráno. Bezpečnost informací, jak jsem již zmínila (viz. kapitola 3.3), je nekonečný proces, který potřebuje neustálou péči a pozornost. Nejlépe je ukázat toto tvrzení pomocí obrázku (viz. obr. 9).

4.4

Personální zajištění systému řízení informační bezpečnosti

27

Nepřetržité hodnocení provozu a analýza požadavků Nepřetržité školení

Analýza požadavků a definice systému

Řešení a návrh systému

Integrace

Implementace

Provoz (užívání)

Obr. 9: Proces řízení informační bezpečnosti Ve všech fázích tvorby systémů bezpečnosti probíhá proces nepřetržitého hodnocení všech aktivit organizace a z nich odvozených regulačních opatření a odvození důsledků. Jde tedy o stálé hodnocení, jehož kritéria jsou stanovena předem v bezpečnostní politice, nebo která řešitelský tým a bezpečnostní management dopracovávají průběžně. Potřeba nepřetržitého hodnocení provozu a analýza požadavků úzce souvisí s potřebou nepřetržitého školení. Obě části procesu řízení informační bezpečnosti jsou obsaženy v jednom bloku. Snaha o zvýšení bezpečnostního vědomí spočívá v soustavném tlaku na každého pracovníka. Bezpečnostní management a řešitelé bezpečnosti jsou však mnohem častěji postaveni před rozhodnutí, zda je v současné době systém bezpečný pro dané použití. Jestliže není, tak rozhodují, co je potřeba udělat a jak jej zabezpečit, aby znovu nabyl bezpečnostní úroveň. Na zodpovězení otázky bezpečnosti systému je třeba použití některé z používaných metodik pro hodnocení stavu informační bezpečnosti v podniku. V praxi jde o vytvoření procedury hodnocení, která obsahuje pokyny co a jak hodnotit, klasifikační podmínky atd. Jednorázové hodnocení probíhá podle metodiky hodnotitele. Kritéria hodnocení by měla být známa předem, avšak v případě hodnocení nezávislým auditorem není pravděpodobné, že hodnotitelovo know-how bude zpřístupněno uživateli.

4.4


Důležitou otázkou, kterou je zapotřebí zodpovědět již na začátku pokusu o zavedení systému řízení informační bezpečnosti do společnosti, je personální zajištění této oblasti. Kdo má mít oblast informační bezpečnosti na starosti, kdo za ni má být zodpovědný vedení společnosti, kdo má mít rozhodovací pravomoci a další otázky tohoto typu, musí být kladeny a zodpovězeny již na počátku.

4.4


28

Možná v této souvislosti mnoho lidí napadne, že oblast počítačové bezpečnosti by měli zajišťovat pracovníci oddělení IT, tedy správci či administrátoři. Bezpochyby se o zabezpečení počítačů nakonec budou starat tito pracovníci, budou dbát o správnou konfiguraci apod. Na počátku však hledáme člověka, který bude celé zavádění bezpečnosti řídit. V této chvíli je vhodné ujasnit některé pojmy dané problematiky.

CEO

CIO

Oddělení IT

CISO

Oddělení bezpečnosti IT

Obr. 10: Personální zajištění systému řízení bezpečnosti 4.4.1. Výkonný ředitel společnosti (prezident společnosti) − CEO Zkratka pro výkonného ředitele společnosti a někdy též jejího prezidenta je CEO11. Tento výkonný ředitel společnosti se zabývá především financemi, plánováním strategie společnosti a jejím vedením. CEO má nejvyšší kompetence ve společnosti. 4.4.2. Ředitel IT oddělení − CIO IT oddělení řídí jak jinak než ředitel IT oddělení neboli zkráceně CIO12. K jeho četným povinnostem se občas přiřazuje i oblast bezpečnosti. Praxe však ukazuje, že to není vždy nejlepší řešení. V malých firmách, kde většinou není ani CIO a o oblast IT se stará kompletně jeden nebo nanejvýš dva lidé, je však neefektivní kvůli bezpečnosti přijímat další osobu. Bezpečnost potom obvykle náleží do kompetence IT oddělení. V takovém případě je na místě zvážení možnosti outsourcingu13 celé bezpečnosti IT.

11

Chief Executive Officer Chief Information Officer 13 Outsourcing je pojem, který je složen ze slov out (vnější) a source (zdroj). Znamená uskutečňování činností pomocí vnějších zdrojů. V oblasti IT jej ocení společnosti, které zjistily, že vlastní vývoj a údržba jejich IS je pro ně z ekonomického hlediska nevýhodná. Využívají služeb počítačových firem - poskytovatelů outsourcingu, kterým předají odpovědnost za návrh, budování a správu svého IS. 12

4.5

Celková a systémová bezpečnostní politika IT

29

Ve větších firmách by ale za bezpečnost měl zodpovídat někdo jiný než IT oddělení. Jednak proto, že je s tím přece jen poměrně dost práce a také proto, že požadavky IT oddělení a oddělení bezpečnosti mohou být v řadě případech protichůdné. 4.4.3. Ředitel bezpečnosti − CISO Ředitel bezpečnosti − CISO14, je osoba přímo podřízená generálnímu řediteli společnosti. S ředitelem IT je služebně na stejné úrovni, ale měl by být vybaven potřebnými pravomocemi pro případ krizových situací. Protože jen u opravdu velkých firem obvykle existuje zvláštní oddělení bezpečnosti IT, většinou je tedy CISO nadřízen přímo oddělení IT (viz. obr. 10). Analýza současného stavu a návrh jeho zlepšení je hlavním posláním ředitele bezpečnosti. Za tímto účelem CISO vytváří bezpečnostní politiku společnosti a prostřednictvím svých pravomocí zajišťuje její zavedení do běžné vnitropodnikové praxe. Zajišťuje též průběžnou aktualizaci bezpečnostní politiky podle měnících se požadavků zaměstnanců a vedení firmy. V případě havarijní situace je zodpovědný za co nejrychlejší, nejefektivnější a nejméně finančně náročné vyřešení problému. Kvalifikace CISO by měla být podobná jako u CIO. Měl by být vybaven dostatečnými manažerskými schopnostmi15 a znalostmi z oblasti IT. Neměla by mu chybět znalost vnitropodnikových procesů a struktura společnosti obecně.

4.5


4.5.1. Celková bezpečnostní politika IT Celková bezpečnostní politika IT je veřejný závazný dokument přijatý vedením organizace jako vnitropodniková norma. Jeho cílem je ochrana majetku, pověsti a činnosti organizace. Musí být úplný16, stručný a srozumitelný. Musí jasně stanovit hierarchické vazby odpovědností a pravomocí, specifikuje povinnosti a práva jak pro lidi, tak i pro data. Celková bezpečnostní politika17 IT specifikuje cíle zabezpečení, udává citlivá data a zohledňuje jejich klasifikaci, uvádí ostatní citlivá aktiva IT a definuje odpovědnosti za ně. Definuje bezpečnostní infrastrukturu organizace a potřebné síly mechanismů pro implementaci bezpečnostní funkčnosti. Specifikuje omezení, která musí bezpečnost IT organizace respektovat. Je vytvářena nezávisle na právě používaných informačních technologiích, a to v časovém horizontu obvykle pěti až deseti let. Celková bezpečnostní politika IT neobsahuje jména konkrétních lidí, produktů, dílčích norem apod. Musí ovšem vedle jasně stanoveného účelu stanovit v souladu s organizačním řádem společnosti jednoznačně role, funkční místa, odpovědná za provedení klasifikace dat a přístupových cest, provádění auditu, určení odpovědností za citlivá data, za definici bezpečnostních cílů, za výběr použitých norem, určení, kdo smí ke 14

Chief Information Security Officer pro řízení týmu lidí, a to v sitaucích jak běžných, tak krizových 16 otázky a konflikty lze vyřešit odkazem na jeho paragrafy 17 v dalším textu může být užito zkratky CBP 15

4.5


30

kterým datům přistupovat, kdo autorizuje přístup, kdo odpovídá za aktuálnost plánu činnosti organizace po bezpečnostním incidentu, za havarijní plán. Celková bezpečnostní politika IT se vypracovává jako dokument, jehož generickou strukturu si můžeme vyjádřit následující osnovou [2]: •

• •

•

• • • • • • •

•

Popis organizace, jejího poslání a koncepcí IT organizace Jedná se o stručný popis poslání organizace a funkce IS v organizaci, uvádějí se výsledky analýzy závislosti organizace na jejím IS a analýza právní stránky problematiky. Dále se popisuje skutečné, tj. stávající provozní prostředí a předpokládané provozní prostředí chráněné vypracovávanou bezpečnostní politikou. Uvedou se dosud stanovené zodpovědnosti a pravomoci a také stávající bezpečnostní struktura organizace. Důležité jsou výsledky analýzy dat zpracovávaných IT organizace, zvláště pak určení citlivých informací a míry jejich ochrany – klasifikace. Popisují se služby IT dostupné uživatelům a specifikace aplikačních rozhraní z hlediska bezpečnosti, síla dosud používaných bezpečnostních mechanismů. Pro celkovou bezpečnostní politiku jsou důležité závěry analýzy personální otázky bezpečnosti, charakteristiky uživatelů, manažerů a správců IS. Definuje se provozní dokumentace a popisují se netechnická bezpečnostní opatření, administrativní, fyzická, personální a jiná aplikovaná opatření. Rámcový plán a harmonogram vybudování celkové bezpečnostní politiky Cíle CBP Zde se uvádí explicitně vyjmenované bezpečnostní cíle v pojmech důvěrnosti, integrity, pohotovosti, autenticity, odpovědnosti, spolehlivosti aktiv a IT organizace. Specifikace potřebné struktury zodpovědnosti a pravomocí Jedná se o vypracování bezpečnostní infrastruktury organizace včetně rolí, funkcí, odpovědností a povinností pracovníků (správců/administrátorů). Identifikace (kritických) aktiv, zvláště pak citlivých dat Identifikace obecných hrozeb Výsledky orientační analýzy rizik Popis stávajícího stavu zabezpečení Provádí se např. formou orientačního popisu aplikovaných bezpečnostních opatření. Doporučení, jak dosáhnout bezpečnostních cílů Formou orientačního popisu navrhovaných bezpečnostních opatření. Cíle a strategie havarijních plánů Omezení respektovaná bezpečnostní politikou Popisují se návaznosti na relevantní zákony (ČR, EU atd.), vyhlášky a předpisy, včetně analýzy práv a povinností v oblasti nakládání s informacemi, návaznosti na relevantní mezinárodní a národní normy bezpečnosti IS a doporučení. Časové plány implementace a pravidelných akcí, revizí/oprav

4.5


•

31

Návrh a koncepce programu školení a osvěty Cílem je založit program školení a osvěty v oblasti bezpečnosti IS specifický pro organizaci. Školení bývají typicky realizována alespoň počátečně z části i řešiteli bezpečnostní politiky. Program musí být konzistentní s celkovou i systémovou bezpečnostní politikou a musí napomoci jejich prosazování. Systém kursů musí pokrýt všechny úrovně pracovníků organizace od vrcholového managementu až po koncové uživatele.

4.5.2. Systémová bezpečnostní politika Systémová bezpečnostní politika IT definuje způsob implementace CBP IT v konkrétním informačně technologickém prostředí. Stanovuje soubor principů a pravidel pro ochranu IS. Často se o ní hovoří jako jen o bezpečnostní politice IS. Systémová bezpečnostní politika18 se zabývá volbou konkrétních bezpečnostních opatření. Implicitně se SBP zabývá bezpečností elektronické neboli počítačové části IS. Bezpečnost neelektronické části IS řeší SBP tam, kde by neelektronická část IS mohla výrazně ovlivnit bezpečnost elektronické části. Vše je řešeno v harmonické návaznosti na již existující a prosazovaná bezpečnostní opatření. Systémová bezpečností politika IT konkrétně sděluje, jak chránit, organizovat a distribuovat konkrétní aktiva, stanovuje konkrétní bezpečnostní cíle, vyjmenovává konkrétní hrozby zjištěné analýzou rizik, definuje konkrétní bezpečnostní opatření, která jsou již implementována nebo se musí implementovat. Systémová bezpečnostní politika IT musí být v souladu s CBP organizace. Musí též respektovat současný stav provozovaného systému i jeho plánovaná rozšíření. Doba, pro kterou se SBP obvykle vypracovává, je stejně jako u CBP pro časový horizont dvou až pěti let. Pokud je společnost nebo její IS rozsáhlý, je vhodné vypracovat samostatně bezpečnostní politiku pro oblast: • • • •

fyzické bezpečnosti, personální bezpečnosti, komunikační bezpečnosti a provozní bezpečnosti.

4.5.2.1.

Fyzická systémová bezpečnostní politika

Týká se ochrany fyzických aktiv společnosti, budov, počítačů a médií. Jejím cílem je předcházet neautorizovanému přístupu do vymezených prostor, poškození a zásahům do provozních budov a informací organizace. Prostředky IT, které zpracovávají kritické nebo citlivé informace společnosti, by měly být umístěny v zabezpečených zónách chráněných definovaným bezpečnostním perimetrem s odpovídajícími bezpečnostními bariérami a vstupními kontrolami. Míra zabezpečení by měla odpovídat zjištěným rizikům. Aby se snížilo riziko neoprávněného přístupu k papírovým dokumentům nebo médiím a riziko jejich poškození, doporučuje se zavedení zásady prázdného stolu a prázdné obrazovky monitoru v průběhu 18

v dalším textu může být užito zkratky SBP

4.6

Analýza rizik

32

pracovní doby i mimo ni. Myslí se tím např. uložení nepoužívaných médií a informací na uzamčeném místě nebo ochrana klíčem, heslem nebo jiným opatřením osobního počítače či tiskáren atd. 4.5.2.2.

Personální systémová bezpečnostní politika

Je součástí širší personální politiky. Jejím cílem je pokrytí hrozeb představovaných zaměstnanci, dodavateli, zákazníky, nezkušenými uživateli, hackery, profesionály a špióny. Představuje rovněž ochranu vlastních zaměstnanců organizace. 4.5.2.3.

Komunikační systémová bezpečnostní politika

Slouží k zabezpečení objektů zajišťujících komunikaci. Může se jednat např. o ochranu poštovních zásilek, faxu, telefonů, hlasové komunikace a přenosu dat. Má zajistit správný a bezpečný provoz prostředků pro zpracování informací. 4.5.2.4.

Provozní systémová bezpečnostní politika

Do této oblasti patří programy zvyšování kvalifikace, programy školení, které zvyšují vědomosti potenciálních obětí o možných útocích, postupy při uplatňování preventivních bezpečnostních opatření, postupy při detekci útoků (viz. Havarijní plán, kapitola 4.8), postupy při zajištění znovuzprovoznění IS (viz. Plán obnovy, Plán provozní kontinuity, kapitola 4.8) a ochranu těchto postupů a vývoj metod prevence a detekce.

4.6

Analýza rizik

Analýza rizik představuje nejdůležitější etapu stanovení bezpečnostní politiky. Analýza rizik předchází vlastnímu stanovení bezpečnostní politiky. Náplň analýzy rizik lze definovat jako proces porovnávání odhadovaných rizik proti přínosu nebo ceně možných bezpečnostních opatření, stanovení implementační strategie v rámci vypracovávání SBP tak, aby byla v souladu s CPB a s posláním společnosti. Jejím cílem je: • • • •

identifikovat, zvládnout, odstranit nebo minimalizovat události, které mají nežádoucí vliv na aktiva organizace, zjištění hrozby a rizika, kterým je IS vystaven, určit, jaké škody mohou útokem vzniknout, určit, která opatření rizika hrozeb odstraní nebo alespoň minimalizují, a stanovit náklady jednotlivých opatření.

Význam důkladného provedení analýzy rizik je zásadní. U zaměstnanců se poznáním výsledků analýzy zvýší pocit nutnosti bezpečnostního uvědomění a sounáležitosti k organizaci a k provozovanému IS. Explicitně se identifikují aktiva, zranitelná místa a nutná opatření. Provedením inventury a stanovením reálné hodnoty aktiv z hlediska možných škod porušením důvěrnosti, integrity, pohotovosti a nepopiratelnosti se upřesní požadavky na nutná bezpečnostní opatření. Získají se důvěryhodné podklady pro opodstatnění pořídit nová bezpečnostní opatření nákupem a případně se zjistí nutnost vývoje nových bezpečnostních opatření. Ověří se, zda výše nákladů na zabezpečení je úměrná.

4.6

Analýza rizik

33

Výsledkem analýzy rizik je tedy stanovení, kterým hrozbám je IS vystaven, jaká jsou rizika jednotlivých hrozeb, popř. jaké škody mohou vzniknout a která protiopatření hrozby odstraní (viz. obr. 11).

Analýza rizik

Ohodnocení aktiv

Ohodnocení hrozeb

Ohodnocení zranitelných míst

Rizika

Protiopatření

Obr. 11: Zjednodušený model tvorby Analýzy rizik Analýza rizik se tedy skládá z těchto podstatných kroků: • • •

identifikace aktiv, identifikace hrozeb, vlastní analýza rizik.

Nejprve musí být zjištěno, jaká aktiva se v systému vyskytují. V této fázi by měla být jednotlivá aktiva oceněna. Pak v závislosti na prostředí, ve kterém bude systém nasazen, se identifikují hrozby, které hrozí. Náplní vlastní analýzy rizik je přiřazení konkrétních hrozeb ke konkrétním aktivům. Po provedení tohoto kroku by mělo být jasné, kterým aktivům hrozí zanedbatelné hrozby, která je třeba chránit apod. 4.6.1. Identifikace aktiv Tento krok má za úkol zjistit, jaká aktiva se v informačním systému vyskytují a jakou mají pro společnost hodnotu. Určování hodnoty identifikovaných aktiv se provádí z hlediska dostupnosti, tj. náklady organizace, když se něco nerealizuje, z hlediska důvěrnosti, tj. náklady organizace, když se důvěrná citlivá informace neoprávněně zveřejní a z hlediska integrity, tj. náklady organizace, když dojde k porušení autenticity, přesnosti,

4.6

Analýza rizik

34

úplnosti dat nebo softwaru. Každé aktivum IS je vhodné posuzovat z hlediska škod na důvěrnosti, integritě a dostupnosti samostatně a nakonec jednotlivé typy škod kumulovat. Seznam aktiv je vhodné kompletovat v úzké spolupráci s oddělením IT. Jeho pracovníci velmi dobře vědí nebo mají možnost to snadno zjistit, jaká data ukládají uživatelé na disky. Vzhledem k tomu, že toto oddělení vyvíjí nebo alespoň spravuje informační systém společnosti, dokáže zaměstnanec IT oddělení jasně stanovit, jaká data jsou v systému uložena. Také dokáže jejich převedení do podoby srozumitelné běžnému člověku. Toto převádění do srozumitelné podoby je důležité zejména pro další krok, kde je potřeba velmi úzce spolupracovat s běžnými uživateli IS. Po vytvoření seznamu všech aktiv, která jsou v systému uložena, musíme totiž vyčíslit jejich hodnotu pro společnost. S tímto problémem již oddělení IT příliš nepomůže. Hodnotu dat musí stanovit ten, kdo je vlastníkem ohodnocovaných dat. Jinou hodnotu bude mít databáze zákazníků pro obchodní oddělení, jinou pro účtárnu, zcela mizivou pro oddělení IT apod. Vždy je zapotřebí brát v úvahu nejvyšší cenu. 4.6.2. Identifikace hrozeb Mnohem složitější je identifikovat hrozby, které aktivům v IS hrozí. Seznam hrozeb se navíc poměrně dynamicky vyvíjí, a proto je vysoká šance, že se na něco zapomene. K identifikaci hrozeb lze přistupovat několika způsoby. S největší pravděpodobností je vždy volen způsob intuitivního vyhledávání rizik. Jeho základem je důkladné přemýšlení nad všemi situacemi, které mohou v IS nastat. Pokud se při takovém přístupu na něco zapomene pak nezbývá, než seznam hrozeb aktualizovat. Dalším způsobem je inspirace jinými seznamy hrozeb. Pokud zvolíme seznam, který byl vytvořen pro podobné prostředí, může být úspěšnost poměrně vysoká. I zde sice hrozí jisté riziko omylu, není ale zdaleka tak vysoké. Nejhorší chybou je ovšem neindividualizování seznamu podle vlastního systému. Každý systém i každé prostředí je vždy, i když třeba jen lehce, odlišné. Jinou možností je využití podrobných dotazníků. Pro různé části prostředí jsou vytvořeny vysoce komplexní dotazníky. Při identifikaci rizik pak bezpečnostní expert prochází otázku za otázkou a zjišťuje, jak je na tom jeho systém v jeho prostředí. Výhodou tohoto přístupu je jeho vysoká kvalita. Při dobře navrženém dotazníku je jen stěží na něco zapomenuto. Nevýhodou je poměrně vysoká časová náročnost a hlavně nedostupnost dotazníků. 4.6.3. Vlastní analýza rizik V této části jsou již k dispozici dva seznamy – seznam aktiv, která se v systému vyskytují včetně jejich finančního odhodnocení, a také seznam hrozeb, které IS v daném prostředí hrozí. Úkolem analýzy rizik je nyní zjistit, jaká nebezpečí konkrétním aktivům uvnitř společnosti hrozí.

4.7

Návrh vhodné ochrany

35

Jednotlivá aktiva jsou nyní procházena a rozhoduje se, které hrozby se na konkrétní aktiva vztahují. Např. na databázi obchodních partnerů se nevztahuje příliš hrozba živelné katastrofy. Tato hrozba se naopak vztahuje např. na nosič dat, na kterém je databáze fyzicky uložena. Výsledkem by měl být pokud možno kompletní seznam aktiv společnosti, kterým jsou přiřazeny jednotlivé hrozby. Každé konkrétní dvojici aktivum-hrozba lze přiřadit pravděpodobnost, s jakou ke konkrétní hrozbě danému aktivu dojde. Je tedy možné se kvalifikovaně rozhodnout, proti jaké pravděpodobnosti hrozeb budeme konkrétní IS chránit. Ani analýza rizik však není záležitostí statickou. Prostředí, ve kterém se IS nachází, se průběžně mění. Mění se hrozby, mění se aktiva i jejich finanční hodnota. Mění se i pravděpodobnost výskytu hrozeb. Je tedy účelné provádět podobnou analýzu opakovaně s určitou periodou.

4.7


Díky důkladně provedené analýze rizik je zjištěno, jakou hodnotu mají aktiva ve zvažovaném IS. Byla též odhadnuta pravděpodobnost hrozeb a stanovení hranice pravděpodobnosti hrozeb, proti kterým je potřeba se bránit. Konkrétní hodnota této hranice závisí na finanční hodnotě chráněných aktiv. Dalším důležitým krokem je navržení ochrany. Ochrana by měla být navržena pro každou dvojici aktivum-hrozba. Často však dochází k tomu, že jeden použitý bezpečnostní prostředek zajistí ochranu více takových dvojic. Jako ideální způsob návrhu se jeví postup shora dolů, kdy se u každé dvojice navrhne odpovídající ochrana a vyčíslí se náklady na její zavedení a udržování. S vyčíslením nákladů musí vypomoci oddělení IT, které dokáže odhadnout jak personální, tak i materiální hodnoty. Poté je potřeba projít celý seznam a zjistit, které dvojice tato ochrana zabezpečuje. Postup se bude opakovat až do chvíle, kdy jsou všechny dvojice obsazeny svými ochranami. Nyní už zbývá jen prosadit jednotlivé ochrany a hlavně výdaje na ně u vedení firmy. V této oblasti mohou pomoci jednotlivá oddělení, která se přímo podílela na oceňování chráněných aktiv. Vždy je možné aplikovat jednoduché pravidlo, které praví, že ochrana má smysl pouze tehdy, kdy náklady na její zavedení nepřevýší cenu chráněných aktiv (viz. obr.12). Pokud se k budování systému informační bezpečnosti přistupuje systematicky a podle logicky navazujícího plánu, je společnost schopna dosáhnout určité rovnováhy mezi vynaloženými náklady na bezpečnost a potencionálními škodami, které vyplývají ze zjištěných rizik. Jak je vidět z níže uvedeného obrázku (viz. obr. 12), který charakterizuje vzájemnou souvislost mezi náklady na zabezpečení a potenciálními škodami, existuje určitý optimální bod rovnováhy mezi těmito veličinami. Pokud bude společnost zvyšovat náklady (a tedy i úroveň zabezpečení) nad tuto rozumnou mez, bude sice snižovat objem možných škod, ale stejné zlepšení bude stát společnost stále více. Je třeba se tedy smířit s faktem, že IS nikdy není možné stoprocentně zabezpečit. Už jen z toho důvodu, že náklady by šly teoreticky do nekonečna. V praxi se

4.7


36

tedy zabezpečuje zejména proti těm rizikům, která mohou způsobit největší škody a projevuje se snaha nastolit rozumnou rovnováhu mezi investicemi do bezpečnosti a možnými škodami. Zbytková rizika vyplývající z nezabezpečených prvků systému jsou pak eliminována jiným způsobem, např. pojištěním.

X

n

Bod optima

NÁKLADY NA BEZPEČNOST

ŠKODY

0

0 0

Stupeň bezpečnosti

100 %

Obr. 12: Vzájemná souvislost mezi náklady na zabezpečení IS a potenciálními škodami Ve společnosti, kde dosud žádný výraznější bezpečnostní incident nezaznamenali, není informační bezpečnost příliš aktuální a stupeň ochrany je daleko nižší, než je třeba. V grafu tuto situaci charakterizuje oblast nalevo od bodu optima (nízké náklady na bezpečnost, vysoké potenciální škody). V okamžiku, kdy se přihodí nějaký incident (např. dojde k velkému výpadku napájení z elektrické sítě) jsou velkoryse uvolněny prostředky a problém je nějakým způsobem vyřešen (např. nakoupí se UPS19). Takto izolovaná řešení incidentů jsou ale naopak náchylná k zavádění přehnaných opatření (v uvedeném příkladu se zálohuje napájení i těch zařízení, která nejsou třeba) bez návaznosti na systém jako celek. Takto budovaný systém bezpečnosti je zbytečně drahý, těžkopádný a naprosto neefektivní. V praxi je poměrně běžné, že firmy sice mají nějakým způsobem vyřešenu antivirovou ochranu na úrovni stanic i serverů, chrání přístup do své sítě pomocí firewallu atd. Jednotlivé bezpečnostní procesy ale probíhají chaoticky, nejsou dokumentovány, ani nejsou přesně stanoveny konkrétní role a odpovědnosti. Z toho vyplývá řada potencionálních rizik, která mohou způsobit škody daleko větší, než by stála jejich eliminace. Pouhé ujasnění hierarchie, stanovení potřebných postupů a odpovědností nás příliš mnoho nestojí, ale přitom nám může mnoho potenciálních nákladů ušetřit.

19

Uninterruptible Power Supply – záložní zdroj

4.8

4.8

Havarijní plány

37

Havarijní plány

Informační systémy v běžném provozu čelí nejrůznějším nebezpečím. Na většinu z nich by měl být připraven díky odhalení prostřednictvím analýzy rizik. Mělo by být navrženo odpovídající ochranné opatření. Může se ovšem stát cokoliv nepředvídatelného, může dojít k selhání bezpečnostních opatření apod. Takový stav je označován jako havárie nebo krizový stav systému. V tomto případě musí být co nejdříve obnovena činnost důležitých částí IS a co nejdříve obnovena poškozená data. Pro předejití podobným haváriím v budoucnu se zavádí příslušná protiopatření (viz. obr. 13).

Odstranění akutního nebezpeční

Obnovení systému

Obnovení dat

Zavedení protiopatření

Obr. 13: Nutné kroky v případě vzniku havarijní situace Havarijní plán určuje místa skladování a počty náhradních dílů, místa skladování a způsob organizace záloh dat, obsah pohotovostního skladu technických a softwarových náhrad, metodiku udržování aktuálnosti skladů dat, softwaru, hardwaru a metodiku aktualizace a testování hardwaru. Součástí havarijního plánu jsou návody, jak postupovat v poskytování služeb po zjištění útoku – Plán činnosti po útoku20, dohody o poskytování náhradních řešení informaticky orientovaných úkolů organizace, a dohody o uvedení dat IS do původního stavu po havárii (incidentu). Proto je jeho součástí i návod, jak postupovat při obnově činnosti IS po havárii – Plán obnovy21. Optimální havarijní plán se vylepšuje mnohdy i po dobu mnoha let, a protože IT i jejich okolí se vyvíjejí, jeho součástí bývá i specifikace způsobu testování a prověřování aktuálnosti havarijního plánu. Pro zvýšení důvěryhodnosti havarijního plánu může být publikace potvrzení o úspěšné oponentuře havarijního plánu. Jestliže jsou některé hrozby řešeny pojištěním, definice systému pojištění je součástí havarijního plánu. Havarijní plán by tedy měl mít několik základních částí. Především musí informovat, kdo je za krizové řízení zodpovědný a jaké má pravomoci. Pro jednotlivé druhy havárií by měl přesně stanovovat, jaké kroky je třeba učinit a v jakém pořadí. Důležité je, kdo a jakým způsobem rozhoduje, že nastal krizový stav a kdo a jak tento stav ukončuje.

20 21

Contingency Plan Disaster Recovery Plan

4.9

Uložení bezpečnostní politiky

38

4.8.1. Vyhlášení a zrušení havarijního stavu Jedná se o úvodní část. Odpovídá na otázky, co je to havarijní stav, kdo a za jakých podmínek ho vyhlašuje a jakým způsobem. Definuje též, kdy krizový stav pomine a kdo má právo ho rušit. Je důležité pamatovat také na situace, kdy zodpovědná osoba není na pracovišti přítomna. 4.8.2. Personální zajištění Stanovuje, kteří lidé mají právo řídit činnosti při havarijním stavu. Pro případ nedostupnosti odpovědné osoby, určuje havarijní plán zástupce. Při přijímání a propuštění zaměstnanců je nutno tuto část důkladně aktualizovat. Nejlepší je vyřešit propojení této části na procesy personálního oddělení. V případě příchodu či odchodu zaměstnance z firmy zašle personální oddělení příslušné informace na všechna potřebná místa. Tato část slouží také k určení, jakým způsobem bude o havarijním stavu informováno vedení společnosti a také ostatní zaměstnanci. Lze použít např. elektronickou poštu v případě funkčnosti v době havarijní situace, telefonické spojení nebo běžné papírové vyhlášky na důležitých místech společnosti. 4.8.3. Postup pro konkrétní havarijní stavy Součástí této části havarijního plánu by měl být konkrétní postup pro odstraňování následků jednotlivých typů havárií. Tato část musí jednotlivé odlišnosti respektovat a zajistit všem pracovníkům společnosti pevné vodítko, kterého se bude možné v případě potřeby držet. Ne vždy je však možné zajistit havarijní plán pro všechny typy havárií. V takovém případě dochází k rozhodnutí samotného zodpovědného pracovníka např. na základě osobních zkušeností atp. 4.8.4. Administrativní záležitosti Poslední část se týká havarijního plánu jako dokumentu. Musí stanovit, kdo bude s havarijním plánem seznámen v rámci školení. Určuje také místo uložení havarijního plánu. Opomenuta nesmí být ani pravidelná kontrola a aktualizace havarijního plánu, pravidelné ověřování funkčnosti apod. Součástí této potřeby by mělo být uvedení konkrétních činností, které je nutné provést včetně zodpovědných osob.

4.9

Uložení bezpečnostní politiky

Součástí bezpečnostní politiky firmy by měl být také havarijní plán, jehož alespoň jedna kopie musí být uložena odděleně v dostatečně bezpečném a snadno dostupném prostředí. Podobně jako bezpečnostní politika, musí být schválen tento dokument vedením společnosti jako závazná vnitropodniková směrnice. Celá bezpečnostní politika není dokumentem přísně tajným, ale přinejmenším důvěrným. I sebelépe vypracovaná bezpečnostní politika, pokud se dostane do rukou

4.10

Personální a administrativní bezpečnost

39

potenciálnímu útočníkovi, je pro něj velkou výhodou. Může se totiž dopodrobna seznámit se všemi opatřeními, které proti útokům ve společnosti připravili. Snadno tak zjistí, jaká nebezpečí jsou očekávána a jaká naopak nechána bez povšimnutí. V této souvislosti je nutné věnovat pozornost zajištění loajality zaměstnanců, kteří mají možnost se s bezpečnostní politikou seznámit.

4.10 Personální a administrativní bezpečnost Zaměstnanci na všech úrovních jsou nedílnou součástí IS společnosti. A právě nejvíce opomíjenou oblastí počítačové bezpečnosti je správné chování k zaměstnancům, sledování jejich životního cyklu apod. Oblast personální bezpečnost by měla být zvláštní kapitolou bezpečnostní politiky společnosti. Měla by se promítnout do všech procesů, směrnic a nařízení ve společnosti, které se týkají personalistiky. Mezi základní chyby související s lidským faktorem patří právě neexistence přesných opatření a postupů. I zde totiž platí, že pokud není žalobce, není ani soudce – pokud uživatel systému ví, že např. za prozrazení hesla mu nehrozí žádný postih, nenutí jej nic k tomu, aby si dával pozor a heslo nevyzradil. Takových případů by bylo možno najít mnoho, ale vždy mají jedno společné – dá se jim poměrně úspěšně předcházet. 4.10.1. Životní cyklus zaměstnance Za svou kariéru ve společnosti projde každý zaměstnanec několika fázemi, které souhrnně nazýváme životním cyklem zaměstnance (viz. obr. 14). Z hlediska bezpečnosti začíná přijetím do pracovního poměru, ať už částečného nebo hlavního, pokračuje běžným užíváním IS a končí ukončením pracovního poměru. Při běžném užívání IS se samozřejmě počítá i s různými chybami a přehmaty, se změnami oprávnění v důsledku kariérního růstu apod. V každé výše jmenované fázi personální oddělení spolupracuje s oddělením IT. Zaměstnanci je zřízen emailový účet, přiděleno heslo, pracovní místo atd. V souvislosti s kariérním růstem musí být oprávnění přidělována či odebírána do různých částí IS.

Přátelský Nástup do společnosti

Běžná kariéra

Odchod z firmy

Nepřátelský Ke konkurenci

Obr.14: Životní cyklus zaměstnance

4.10

Personální a administrativní bezpečnost

40

V případě rozvázání pracovního poměru pak dochází k poměrně nepříjemným záležitostem jak na straně firmy, tak na straně zaměstnance. Co se týče bezpečnostního hlediska, k rozvázání pracovního poměru může dojít z kterékoliv strany. Rozlišují se tři možnosti odchodu zaměstnance (viz. obr.14): •

•

•

přátelský odchod Jedná se o případ, kdy zaměstnanec rozvázal pracovní poměr bez jakýchkoliv problémů. Proto se neočekává, že by se nějak po svém odchodu pokoušel společnost poškodit. Vyloučen je i pokus o pomstu. nepřátelský odchod V této možnosti neopustil zaměstnanec společnost v dobrém. Musí se proto očekávat, že podle svých možností se může pokusit o pomstu. odchod ke konkurenci Zaměstnanec byl v tomto případě zlákán konkurencí. Je možné očekávat, že nebude mít zábrany použít informace, které při své práci ve společnosti získal, případně které má ještě možnost získat i po svém odchodu.

Po odchodu zaměstnance je potřeba, kromě fyzického odebrání počítače a jeho případné reinstalace pro nového zaměstnance, učinit změny i v IS. Musí být zrušena oprávnění v IS, emailová schránka, změněna případná sdílená hesla, ke kterým měl zaměstnanec přístup, vyřazena adresa počítače z firewallu apod. Stručně řečeno je nutné odebrat všechna oprávnění, která zaměstnanec za svou kariéru ve společnosti získal. 4.10.2. Školení zaměstnanců Cílem školení zaměstnanců je zajistit, aby si byli vědomi bezpečnostních hrozeb a problémů s nimi spojených a byli připraveni podílet se na dodržování politiky bezpečnosti informací během své činnosti ve společnosti. Školení v bezpečnostních postupech a ve správném používání prostředků pro zpracování informací, by mělo minimalizovat bezpečnostní rizika. Zaměstnanci by měli být zaškoleni již při svém nástupu do zaměstnání. Proto je vhodné zařadit co největší množství důležitých informací přímo do tohoto úvodního školení. Součástí by mělo být seznámení se všemi směrnicemi týkajícími se jejich odpovědnosti za bezpečné využívání IS. Zkušenosti také ukazují, že by zaměstnanci měli být obeznámeni se základy principů bezpečného chování. Někteří zaměstnanci dosud dobře nechápou, že např. heslo je tajná informace, která se nenechává zaznamenána na pracovním stole atp. Pokud společnost pořádá pro své zaměstnance počítačové kursy, je pak příhodné, věnovat alespoň část základním bezpečnostním opatřením. Všechny směrnice týkající se bezpečnosti by měly být stále přístupné všem zaměstnancům, kteří je při své práci mohou použít. Existuje-li speciální místo pro uložení směrnic a nařízení ve společnosti, měly by být na tomto místě uloženy též směrnice z oblasti bezpečnosti IT. Zaměstnanci by měli vědět, kde se toto místo nachází a též na koho se mají v případě nejasností obrátit. Oproti běžným zaměstnancům si proškolení pracovníků oddělení IT vyžaduje zvláštní pozornost. Jejich úkolem je konfigurace konkrétních bezpečnostních prostředků a

4.11

Monitoring a bezpečnostní audit

41

také školení a vysvětlování, které budou řádoví zaměstnanci vyžadovat. Pracovníci oddělení IT tedy musí být seznámeni s bezpečnostní politikou firmy i konkrétními prováděcími směrnicemi. Kromě znalosti je však v jejich případě nutné také porozumět důvodům, které ke vzniku směrnic vedly a jejich smyslu. Pokud se nepodaří ve společnosti pravidelně proškolovat běžné uživatele IS, tak alespoň pro pracovníky oddělení IT by se mělo zabezpečit. 4.10.3. Směrnice a nařízení Základním dokumentem bezpečnosti je bezpečnostní politika společnosti. Její součástí jsou jak informace o analýze rizik a zvolených bezpečnostních opatřeních, tak havarijní plány pro jednotlivé krizové situace a základní principy firemní personální politiky z bezpečnostního hlediska. Bezpečnostní politika ovšem nebývá pro většinu uživatelů srozumitelná ani použitelná. Slouží pouze jako základ (něco podobného jako právní řád), podle kterého jsou vytvářeny konkrétní prováděcí směrnice a nařízení. Jednotlivé směrnice by pak měly podávat konkrétní návod k řešení všech situací. Jejich platnost pro jednotlivá oddělení se může lišit a vždy by měly být vytvářeny s vedoucími pracovníky příslušných oddělení. Mnoho nařízení se většinou týká pracovníků oddělení IT. Musí určovat postupy při vytváření jednotlivých uživatelských účtů, jejich modifikaci i rušení. Nesmí se zapomenout na konfiguraci jednotlivých programů, zajištění fyzické bezpečnosti apod. Prováděcí směrnice pro řešení krizových situací mohou být též součástí směrnic určených pro oddělení IT. Zbývající směrnice jsou určeny běžným uživatelům. Tyto řeší především pravidla používání počítačové sítě ve společnosti a stanovuje omezení a sankce za porušení těchto pravidel. Oblast bezpečnosti IT by se měla promítnout do pracovního řádu i disciplinárního řádu příslušné společnosti. 4.10.3.1.

Návrh směrnic ve společnosti

Propojenost s řadou předpisů ve společnosti je důvodem, proč směrnice nemůže navrhovat externí firma. Do procesu návrhu musí být proto vždy zapojen člověk, který je dokonale seznámen s podnikovými předpisy. Musí dokázat rozhodnout, které předpisy je třeba zrušit, které změnit, které zcela přepracovat. Ideální řešení je vytvoření dvou řešitelských týmů. Jeden je tvořen interními zaměstnanci společnosti, pro kterou jsou předpisy a směrnice navrhovány. Druhý pak tvoří externí konzultanti, kteří jsou dokonale obeznámeni s problematikou počítačové bezpečnosti. Spojovacím článkem mezi oběma týmy může být např. bezpečnostní ředitel, který je současně seznámen jak s kulturou společnosti, tak i problematikou bezpečnosti.

4.11 Monitoring a bezpečnostní audit Monitoring provozu klíčových prvků IS a ochranných opatření je základním zdrojem informací pro kontrolu jejich funkčnosti a spolehlivosti. Po vybudování bezpečnostních mechanismů ve společnosti je třeba neustále prověřovat, zda odpovídají dané situaci, jsou dobře nastaveny, zda se podmínky nezměnily tak, že již nevyhovují atd.

4.11

Monitoring a bezpečnostní audit

42

Je nutno mít takové mechanismy, které jednak detekují případné bezpečnostní incidenty, jednak v sobě případně rovnou mohou obsahovat nápravné kontrolní mechanismy. Možno zmínit například dálkové nastavení firewallu při detekci pokusu o průnik apod. Takové mechanismy a prostředky se řadí do kategorie monitoring a audit. Vzhledem k tomu, že budování bezpečnosti je nikdy nekončící proces, jde vlastně stále o opakování kroků: • • •

maximální prevence bezpečnostních incidentů, detekce incidentů, zlepšení prevence, obnova stavu před incidentem (např. zálohování).

Z výše uvedeného vyplývá, že i detekce pokusů o incident, který nemá pro organizaci žádné závažné důsledky, je velmi cenným materiálem, který by organizace měla schraňovat, uchovávat a vyhodnocovat. Pro monitoring u malých společností postačí výchozí nastavení logování dle standardní instalace většiny produktů a jejich ruční namátková kontrola pracovníkem, pověřeným na půl úvazku základními bezpečnostními povinnostmi. U středních organizací, je již vzhledem ke komplikovanosti IS infrastruktury nedostatečné spolehnout se pouze na namátkové ruční kontroly log souborů a je třeba využít automatických nástrojů pro jejich filtrování a vyhodnocování nestandardních událostí např. pomocí skriptů nebo dodatečných produktů. Podrobnější bezpečnostní monitoring se vyplatí aktivovat pouze krátkodobě, při podezření na výskyt bezpečnostního incidentu. Mezi bezpečnostní zásady usnadňující detekci útoku patří bezesporu prokazatelná (individuální) odpovědnost za akce, prováděné jednotlivými uživateli IS – účtování jejich činnosti. Dochází k záznamu důležitých informací o činnostech a procesech, vykonaných uživatelem nebo jeho jménem. Díky tomu mohou být následky takových činností s dotyčným uživatelem později prokazatelně propojeny a ten může být učiněn odpovědným za svou činnost. Významné události musí být zaznamenávány tak, aby zaznamenávací mechanismy nemohly být zničeny a aby údaje sloužící k autentizaci a autorizaci uživatele byly bezpečně uchovány. Audit musí být nezávislý na prosazování provozní bezpečnosti a hlavně musí být zajištěno, že se audit skutečně provádí. Auditní záznamy je vhodné ukládat na médium, na které je možný zápis pouze jednou, protože pak není možné záznam vymazat nebo měnit přepsáním média. Ochrana bezpečnostního auditu je zaměřena především na dostupnost této služby. Informace určená pro bezpečnostního auditora ztrácí po určité době svoji hodnotu. Událostí relevantních pro bezpečnost může být mnoho, a proto je důležitá účinná analýza událostí. Obvykle se používá nějaký filtrovací mechanismus, který se řídí předem stanovenými kritérii. Kritéria typicky definují čas, typ události a entitu, která událost způsobila. U malých organizací není třeba vytvářet samostatná oddělení nebo pracovní funkce interního auditora. Je ale nutné funkci interního auditora připsat někomu alespoň jako přidruženou pracovní náplň. Jednou ročně je nezbytné projednání zjištěných výsledků plánovaných auditů i namátkových kontrol s majitelem nebo ředitelem organizace a následně se všemi zaměstnanci. V případě středně velké organizace se již doporučuje zvážit existenci samostatné funkce interního auditora, kterému připadne i funkce bezpečnostního auditora.

5

ANALÝZA INFORMAČNÍ BEZPEČNOSTI VE SPOLEČNOSTI

43

5 Analýza informační bezpečnosti ve společnosti 5.1

Představení společnosti

Pro konkrétní řešení informační bezpečnosti jsem měla k dispozici společnost, která se zabývá především výrobou, montáží a prodejem exkluzivních plastových oken a dveří vysoké kvality. Od svého založení se firma usilovně snaží o spokojenost svých zákazníků použitím nejnovějších technologií tak, aby byly vyrobeny produkty nejvyšší kvality. Široké spektrum výrobků společnosti sahá od žaluzií vertikálních či horizontálních při širokém výběru vzorů a barev a navíjecích markýz přes sítě proti hmyzu svinovací, pevné nebo pantové a roletové systémy nadokenní, předokenní až po vysoce jakostní plastová okna a dveře nejrůznějších vzorů, rozměrů podle požadavků zákazníka s dodávkou a montáží až do domu na náklady podniku. Společnost se stále snaží expandovat na nové trhy a zlepšovat a rozvíjet své výrobky a lidské zdroje tak, aby dále uspokojovala své zákazníky a prospívala jim. O tom svědčí i zavedení systému řízení kvality (jakosti) ve společnosti dle normy ISO 9001 a jeho certifikace. Jedná se o normu, kterou vydala Mezinárodní organizace pro normalizaci (ISO)22. Evropský výbor pro normalizaci (CEN)23 tuto normu schválil jako normu evropskou. ISO 9001 je u nás představována např. ČSN EN 9001:2001. Norma specifikuje požadavky na systém managementu jakosti pro jakoukoli organizaci, která potřebuje demonstrovat svoji schopnost stálého poskytování výrobku, který splňuje požadavky zákazníka a aplikovatelné požadavky předpisů, a jejímž cílem je zvyšovat spokojenost zákazníka. Také díky této normě jsou v podniku vypracovány tyto dokumenty: • • • •

dokumentovaná prohlášení o politice jakosti a o cílech jakosti, příručka jakosti, dokumentované postupy (pro řízení dokumentů, záznamů a neshod), dokumenty, které organizace potřebuje pro zajištění efektivního plánování, fungování a řízení svých procesů a • záznamy požadované normou. Společnost se zaměřuje na trh prostřednictvím marketingové filosofie. Plně si uvědomuje, že nestačí jen vyrábět technicky kvalitní výrobky. Jelikož nabídka převyšuje poptávku, jedná se o trh kupujícího. Společnost proto nejprve zkoumá požadavky zákazníka a teprve pak zvolí způsob výroby a prodeje umožňující maximální zisk. Proto společnost nabízí jen ty výrobky, které je schopna prodat. Tato společnost má asi 100 zaměstnanců a je rozdělena do tří organizačních úseků: ekonomického, obchodního a provozního. Ekonomický a obchodní úsek má cca 20 zaměstnanců, je umístěn v rámci jedné budovy a jedná se zde vlastně o centrálu celé společnosti. Provozní úsek se nachází ve stejném městě, ale v jiné budově, která je 22 23

International Organization for Standardization, se sídlem v Ženevě European Committee for Standardization

5.2

Organizační schéma společnosti

44

vzdálena asi půl kilometru. Ten zaměstnává zbytek zaměstnanců. Provozní úsek se dále dělí na jednotlivá oddělení (viz. obr. 15). Výrobní oddělení pracuje na 2 směny a montážní oddělení má k dispozici 4 montážní čety, které vykonávají výjezdy ke svým zákazníkům.

5.2

Organizační schéma společnosti

Organizační schéma společnosti, jak je patrné z následujícího obrázku, má hierarchické uspořádání (viz. obr. 15):

Valná hromada společnosti

Jednatel

Jednatel

Ředitel

Provozní úsek

Představitel vedení jakosti a environmentu

Obchodní úsek

Ekonomický úsek

Poptávky Montážní oddělení

Účtárna Cenové nabídky

Výrobní oddělení Zaměření zakázek Zásoby a materiál Smlouvy Reklamace Technické výkresy Oddělení bezpečnosti Plánování výroby Ekologie

Obr. 15: Organizační schéma společnosti

5.3

Použité technologie ve společnosti a jejich zabezpečení

45

Nejvyšším orgánem společnosti je valná hromada. Ta má za úkol schvalování stanov, jmenování, odvolání a odměňování jednatelů atd. Statutárním orgánem společnosti jsou dva jednatelé, které jmenuje valná hromada. Ti jsou oprávněni jednat jménem společnosti. Vedení společnosti má na starosti ředitel společnosti a představitel vedení jakosti a enviromentu. Představitelům vedení společnosti se zodpovídají vedoucí jednotlivých úseků společnosti. Tito vedoucí úseků mají pak pro plnění svých úkolů k dispozici své pracovníky.

5.3


Informační systém ve společnosti slouží k podpoře fungování společnosti, výměně informací a podpoře rozhodování. Dále také ke komunikaci – jak vnitrofiremní, tak i mimo společnost, tj. s dodavateli, potencionálními i aktuálními zákazníky apod. K vytváření, zpracování, přenosu a ukládání dat slouží ve společnosti informační a komunikační technologie, které zahrnují jak počítačovou síť podniku, tak i telefonní síť. Společnost má vlastní informační systém, který byl vyroben na zakázku od externí firmy. Tato firma ho také spravuje a rozšiřuje podle potřeby společnosti. Jak jsem již zmínila (viz. kapitola 5.1), provozní úsek se nachází v jiné budově než centrála. Tento úsek je s centrálou propojen pomocí VPN24. Pro budování VPN existuje několik důvodů, jejich společným jmenovatelem je požadavek virtualizace jisté části komunikace v dané organizaci. Řečeno jinými slovy, požadavek skrýt jistou část komunikace (možná i celou) před ostatním světem a přitom využít efektivity společné komunikační infrastruktury. VPN zajišťuje poskytovatel internetového připojení. Používané zařízení (např. směrová anténa) pracují podle standardu IEEE 802.11b a využívají frekvenci či pracovní pásmo 2,4 GHz. Veškerý provoz VPN je šifrován za pomoci šifrovacího protokolu WEP25. Ve své práci se budu dále zabývat podrobnějším popisem a informační bezpečností centrály, tj. ekonomického a obchodního úseku společnosti. Jádrem IS centrály jsou servery s různou hardwarovou konfigurací zajišťující různé služby. Jedná se o e-mail server a file server. Servery jsou umístěny v serverovně, kde jsou také připojeny na náhradní zdroj elektrické energie. Na file serveru je nainstalován serverový operační systém, poskytující základní síťové služby klientským počítačům Microsoft Windows 2003 Server. Síťový tisk umožňuje laserová tiskárna značky SHARP. Veškeré služby jsou rezidentně sledovány antivirovým systémem NOD 32. Na file serveru běží též několik aplikací jako IS pro řízení organizací od společnosti VEMA. Oblast lidských zdrojů je podporována aplikací Mzdy (PAM). Součástí IS VEMA je i segment ekonomiky a logistiky IS EKOS. Ekonomická část IS EKOS je zaměřena na oblasti účetnictví, fakturace, banky, pokladny a majetků. Část logistiky tvoří zejména oblasti nákupu, odbytu, skladů a sledování zakázek. Dále je na serveru software od společnosti Horst Klaes GmbH & Co, KLAES, který se využívá pro podporu výroby oken, dveří a zimních zahrad. Součástí softwaru je i kompletní servis a podpora. Tento program je licencovaný a ke své práci jej využívá především obchodní úsek. 24 25

Virtual Private Network, virtuální privátní síť Wired Equivalent Privacy, tzv. soukromí ekvivalentní drátovým sítím

5.3


46

Ve společnosti je asi 20 koncových počítačových stanic propojených do sítě vybudované na standardu Ethernet pomocí UTP26 kabelů. Rychlost linky je 100 Mbps. Počítačová síť má hvězdicovou topologii (strom). V této hvězdicové topologii jsou počítače propojeny pomocí kabelových segmentů k centrálnímu prvku sítě, k přepínači (switch). Tento síťový prvek od společnosti Cisco zabezpečuje propojení počítačových stanic se servery a síťovou tiskárnou. Propustnost linky od serverů je 1 Gbps. Připojení k Internetu je řešeno bezdrátově při rychlosti 512 kbps. K přístupu na Internet je využito tzv. poslední míle. Bezpečnost internetového připojení je chráněna linuxovým firewallem. Na routeru připojujícím lokální síť k síti poskytovatele připojení, tj. na routeru společnosti, je realizována funkce NAT27. Ve vnitřní síti jsou používány adresy určené pro uzavřené podnikové sítě. Providerem je pak přidělena jedna veřejná IP adresa. Schéma počítačové sítě je uvedeno na následujícím obrázku (viz. obr. 16).

NAT Internet Router (směrovač)

Firewall

Switch (přepínač)

…… LAN

Servery

……

Obr. 16: Schéma počítačové sítě v centrále podniku 26

Unshieldel Twisted Pair – kroucená dvoulinka Network Address Translation – neboli překlad IP adres, používá se k úspoře IP adres v současném Internetu. Počítač z lokální sítě odesílá paket na Internet se svou zdrojovou IP adresou a portem. Při průchodu NATem jsou však zdrojové IP adresy v paketech přepsány na veřejnou IP adresu NATu. Také je přepsáno číslo zdrojového portu na port, který NAT odesílajícímu počítači přidělil. NAT si uloží toto přidělení do své převodní tabulky.

27

5.4

Organizační zajištění

47

Na jednotlivých stanicích je nainstalován systém Microsoft Windows XP s nastavenou pravidelnou aktualizací. Na každé stanici je také nainstalován antivirový systém, rovněž s pravidelnou aktualizací. Dále je zde nainstalován kancelářský balík MS Office a dle potřeby také další programy. Každý zaměstnanec má přiděleno uživatelské jméno, pomocí kterého se přihlašuje na svůj účet. Společnost nemá vlastní oddělení IT ani svého správce sítě. Na servery jako správci mají přístup oba jednatelé a vedení společnosti. O spravování sítě a její bezpečnost se však stará pracovník externí firmy. Jeden z jednatelů provádí denně navečer zálohování serveru.

5.4

Organizační zajištění

Systém řízení informační bezpečnosti28 a s ním související bezpečnostní dokumentace musí být v souladu se zavedeným systémem řízení jakosti29 a jeho dokumentací ve společnosti. Jak jsem již zmínila (viz. kapitola 5.1), společnost má certifikovaný systém řízení jakosti. Díky tomu je všechna dokumentace vytvořena především pro potřeby tohoto zavedeného systému. V některých dokumentech jsou však zároveň zahrnuty informace týkající se také informační bezpečnosti. Ve společnosti jsou vypracovány především tyto dokumenty: •

Politika jakosti – celkové záměry a zaměření organizace ve vztahu k jakosti oficiálně vyjádřené vrcholovým vedením, • Příručka jakosti – základní dokument organizace, který souhrnně podává informaci o způsobu a procesech zajišťování systému managementu jakosti v organizaci, • Směrnice a řády: − řízení dokumentů, − řízení záznamů, − archivační a skartační řád, − organizační řád (pravomoci a odpovědnosti jednotlivých zaměstnanců), − organizace bezpečnosti a ochrany zdraví při práci, − nakupování, − návrh a vývoj, − realizace produktu, • Záznamy – v jednotlivých úsecích společnosti, jejich vedení, audit, důležité jsou záznamy o školení, o zaměstnancích a jejich přijetí, výstupu, pracovních předpokladech a záznamy o poučení zaměstnance.

28

upravuje norma ČSN ISO/IEC 17799:2005, Informační technologie – Soubor postupů pro management bezpečnosti informací (česká verze mezinárodní normy ISO/IEC 17799:2005) a také ČSN BS 7799-2, Systém managementu bezpečnosti informací – Specifikace s návodem k použití (česká technická norma, dle britské normy BS 7799-2:2002) 29 dle normy ČSN EN 9001:2001, Systém managementu jakosti - Jak vytvořit systém managementu jakosti Příručka pro zavádění ČSN EN ISO 9001:2001 v malých a středních organizacích

5.5

Identifikace aktiv

48

Pro zajištění informační bezpečnosti ve společnosti v personální oblasti je vytvořen zejména Záznam o poučení zaměstnance, který zaměstnanec podepisuje zároveň s pracovní smlouvou. Jedná se zde především o poučení o zákazu instalací programů, o zákazu prohlížení webových stránek odporujících dobrým mravům, o používání Internetu pro soukromé účely (jen mimo pracovní dobu) atp.

5.5

Identifikace aktiv

Prvním důležitým krokem při analýze rizik je identifikovat aktiva, která je zapotřebí chránit a která mohou být zdrojem ohrožení společnosti. Mezi taková aktiva se řadí jak lidi, fyzická či hmotná aktiva a prostředí, tak telekomunikační prostředky, hardware, software, data apod. Návrh možné identifikace a rozdělení aktiv v mnou sledované společnosti je uveden v následující tabulce (viz. tabulka 1). Tabulka 1: Identifikace aktiv budova Fyzická aktiva topení, větrání a klimatizace nábytek systémy zabezpečení požáru vybavení jednotlivých PC ( základní desky, monitory, procesory, paměťová média, grafické karty, ovladače, zvukové karty apod.) Hardware server periferní zařízení - tiskárna IS VEMA (zahrnuje aplikaci PAM a segment IS EKOS) antivirový program KLAES Software Microsoft Windows XP Microsoft Office Microsoft Windows 2003 Server přenosové linky směrová anténa access point nástroje šifrování dat (WEP) Sítě firewall router switch zaměstnanci důvěra zákazníka Jiná aktiva

vypracovaná politika společnosti data společnosti

5.6

Zpracovávaná data

5.6

49

Zpracovávaná data

Společnost používá ke své činnosti celou řadu dat. Tato data mají pro podnik různou hodnotu. Některá data jsou pro chod společnosti nezbytná, jiná mají menší význam. Proto je nutné taková data identifikovat a ohodnotit. Ohodnocení dat je důležité např. pro zlepšení obnovy dat po selhání IS. Identifikovaná kritická data jsou zohledněna při vypracování návrhu postupu při obnovování dat a při zálohování. Data, která společnost zpracovává, jsem ve spolupráci s vedením společnosti podle důležitosti rozdělila do 3 skupin (viz. tabulka 2): 1. data nejvyšší hodnoty – základní data pro organizaci, závisí na nich klíčové procesy, vyžadují bezprostřední obnovu, 2. potřebná data – data s dlouhodobým významem, nejsou vyžadována bezprostředně, nesmí být ztracena, 3. nepotřebná data – data malého významu, při ztrátě minimální dopad na podnikové procesy. Tabulka 2: Zpracovávaná data ve společnosti a jejich ohodnocení Typ dat osobní údaje zaměstnanců účetnictví zápisy z jednání valné hromady emailová komunikace zákaznické databáze reklamní data skladová data (stav materiálu, zásob atp.) data o vývoji a výrobě produktů (výkresy atd.) interní komunikace mezi uživateli obchodní data (objednávky atp.) politika řízení jakosti

Ohodnocení 1 2 3 1 1 2 1 1 1 1 2

Z tabulky je patrné, že nejdůležitější data, na kterých závisí klíčové procesy společnosti, jsou data týkající se zákazníků a obchodní data, která ve spojení s nimi vznikají. Pak jsou to data ohledně stavu skladových zásob a o vývoji a výrobě produktů. V neposlední řadě je bezprostředně vyžadována též emailová komunikace a interní komunikace mezi uživateli, především mezi provozním úsekem a centrálou. Do první skupiny jsou řazeny též osobní údaje. Ochrana osobních údajů společnosti je důležitá též pro možný střet společnosti s legislativou30.

30

Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů

5.7

Úvodní pohled na stav informační bezpečnosti

50

Jako data malého významu pro klíčové procesy lze označit např. zápisy z jednání valné hromady. Potřebnými daty byla shledána data týkající se účetnictví, reklamní data a politika řízení jakosti.

5.7

Úvodní pohled na stav informační bezpečnosti

Jak jsem již uvedla (viz. kapitola 5.3 a 5.4), společnost se již informační bezpečností zabývá. Využívá služeb pracovníka externí firmy, díky kterému má společnost již vyřešenu antivirovou ochranu na úrovni stanic i serverů, chrání přístup do své sítě pomocí firewallu atd. Ale jednotlivé bezpečnostní procesy probíhají prozatím spíše chaoticky, nejsou dokumentovány, ani nejsou přesně stanoveny konkrétní role a odpovědnosti. Hlavním nedostatkem je tedy neexistence dokumentované bezpečnostní politiky společnosti, a proto pokulhává též bezpečnostní povědomí zaměstnanců ve společnosti. Je tedy důležité tento dokument pro danou společnost navrhnout. Návrh bude proveden v některé z následujících kapitol (viz. kapitola 6). Vypracovaná bezpečnostní politika pak musí být předložena vedení společnosti ke schválení. Na základě schválené bezpečnostní politiky potom může následovat vypracování či rozšíření příslušných bezpečnostních směrnic ve společnosti. Dalším nedostatkem je neuspokojivý stav zálohování. Řešením by mohl být mimo jiné vypracovaný Plán zálohování a externí záložní disk na serveru, který by automaticky zálohování každý den prováděl. Nedostatkem ve společnosti je též to, že nemá vlastního správce sítě nebo pracovníka oddělení IT. Své problémy řeší za pomoci pracovníka externí firmy. Po analýze bezpečnostní situace a po konzultaci s pracovníkem externí firmy bych společnosti navrhovala zaměstnat svého vlastního správce sítě, který by prováděl upgrade a zabránil tak hrozícímu technologickému stárnutí a neudržování sítě, bezpečnostním hrozbám atd. Tento by pak mohl mít na starosti též informační bezpečnost ve společnosti. Důležité je též připomenout, že bezpečnost informací je neustálým procesem, který zavedením nekončí, ale je třeba ustavičně provádět pravidelné kontroly, sledovat a zavádět novinky v této oblasti, zvyšovat bezpečnostní povědomí zaměstnanců též v oblasti informační bezpečnosti (např. školením) atp. V této oblasti je zatím společnost značně pozadu. Jelikož je provoz VPN společnosti šifrován za pomoci protokolu WEP, který má větší bezpečnostní slabiny, navrhuji užívání bezpečnějšího protokolu WPA31. Též doporučuji zavedení systému pro detekci průniku. Pro zvýšení důvěryhodnosti společnosti u svých partnerů, zákazníků atd. bych doporučila využití elektronického podpisu. Elektronický podpis by společnost mohla využívat též k internetovému bankovnictví a pro styk s orgány státní správy. Elektronický podpis zajišťuje integritu zprávy (tj. neměnnost při transportu) a též její nepopiratelnost (tj. jistotu, že danou zprávu s daným obsahem opravdu odesílatel odeslal). Výhradní kontrolou nad prostředky k podpisování je zaručena nenapodobitelnost podpisu. 31

Wirelles Protected Access, tzv. Wi-Fi chráněný přístup

5.8

Dotazníky pro zjištění stupně informační bezpečnosti

5.8

51


Pro zjištění zájmu o informační bezpečnost ve společnosti, míry zabezpečení informací, zjištění bezpečnostního povědomí zaměstnanců atp., jsem vytvořila následující dotazníky. Dotazníky jsou rozděleny do dvou skupin: •

dotazníky pro vedení podniku (v některých dotaznících, především oblast technického zabezpečení, je třeba spolupráce externího zaměstnance pro správu sítě, bezpečnosti atp.) a • dotazník pro zaměstnance společnosti.

5.8.1.

Dotazníky pro vedení podniku

5.8.1.1.

Postoj společnosti k informační bezpečnosti

V dotazníku se vyskytují tyto možnosti odpovědí: 1 = ano, 2 = téměř ano, 3 = téměř ne, 4 = ne. Otázka: 1. 2. 3.

4. 5. 6. 7. 8. 9. 10.

Zapojuje se společnost aktivně do budování informační bezpečnosti? Vytváří vedení společnosti směrnice týkající se bezpečnosti informací? Nechává si vedení společnosti pravidelně předkládat zprávy o aktuálním stavu informační bezpečnosti ve společnosti včetně seznamu incidentů? Přezkoumává a schvaluje vedení společnosti seznam kritických míst informační bezpečnosti ve společnosti? Podporuje vedení společnosti aktivně program informační bezpečnosti? Má program informační bezpečnosti svůj vlastní rozpočet v celkovém rozpočtu společnosti? Má společnost k podpoře svých současných cílů dostatek zaměstnanců? Jsou zaměstnanci schopni při dodržování bezpečnostních postupů provádět své úkoly efektivně? Uvědomují si všichni zaměstnanci svou odpovědnost za ochranu informačních zdrojů? Jsou všichni zaměstnanci k plnění svých úkolů náležitě kvalifikováni a proškoleni?

Odpověď: 1

4

1

4

1

4

1

4

1

2

3

1

4 4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

5.8


11.

Jsou ve společnosti k dispozici kvalifikovaní pracovníci k implementaci programu pro zvýšení povědomí o informační bezpečnosti? Jsou všichni zaměstnanci seznámeni s obchodními cíli podniku? Má společnost pracovníka, který obstarává informační bezpečnost? Je pracovník starající se o informační bezpečnost ve společnosti dostatečně kvalifikovaný? Má pracovník spravující informační bezpečnost přehled o firmě, o hlavních procesech, informacích a jejich významu pro existenci a prosperitu společnosti?

12. 13. 14. 15.

52

1 1

2 2

3 3

1

4 4 4

1

2

3

4

1

2

3

4

Tabulka 3: Vyhodnocení otázek – Postoj společnosti k informační bezpečnosti Počet bodů

15 – 26

27 – 38

39 – 50

51 – 60

Pravděpodobný stav

Hodnocení

Patrná situace ve společnosti • Vedení společnosti plně podporuje tvorbu informační Společnost se zabývá bezpečnosti. informační bezpečností, • Ve společnosti je dostatek aktivně ji podporuje a Nadprůměrné kvalifikovaných pracovníků. sleduje. • Společnost má k dispozici kvalifikovaného pracovníka v oblasti informační bezpečnosti. Optimálního stavu • Vedení společnosti si je informační bezpečnosti není vědomo nutnosti ochrany ve společnosti dosud Dobré svých informací. docíleno. • Pracovníci jsou seznámeni s obchodními cíly podniku. Ve společnosti je • Vedení společnosti se informační bezpečnost Uspokojivé příliš nezabývá informační zavedena pouze okrajově. bezpečností. • Vedení společnosti se vůbec o tvorbu informační Společnost se nezajímá bezpečnosti nezajímá. o svou informační Neuspokojivé • Zaměstnanci nejsou bezpečnost. seznámeni s potřebou ochrany informací, ba ani neví, co to jsou informace.

5.8


5.8.1.2.

53

Organizační struktura

V dotazníku se vyskytují tyto možnosti odpovědí: 1 = ano, 2 = téměř ano, 3 = téměř ne, 4 = ne. Otázka: 1.

2. 3.

4. 5. 6. 7. 8. 9. 10.

11. 12. 13. 14. 15.

Podporuje vedení společnosti informační bezpečnost, stanovuje vhodné bezpečnostní programy a vypracovává bezpečnostní směrnice? Má program informační bezpečnosti svůj vlastní rozpočet v celkovém rozpočtu společnosti? Zajímá se vedení společnosti o stupeň informační bezpečnosti ve společnosti, nechává vypracovat každoroční zprávu o stavu této oblasti? Mají všichni zaměstnanci povědomí o nutnosti ochrany informačních zdrojů? Zaměstnává společnost dostatečné množství zaměstnanců potřebných ke splnění svých obchodních cílů? Znají vůbec všichni pracovníci obchodní cíle své společnosti? Mají zaměstnanci odpovídající kvalifikaci a jsou dostatečně proškoleni k plnění svých úkolů? Je náležitě ošetřen a sledován přístup k citlivým a tajným informacím společnosti? Jsou pracovníci proškolováni a je jejich školení odpovídající jejich povolání? Ověřuje se stávající způsobilost pracovníka zajišťujícího bezpečnost informací, popř. zajišťuje se pro něj specifické školení? Zajímá se vedení společnosti o změny a nové metody v oblasti zabezpečení informací, snaží se o jejich implementaci? Provádí se testování bezpečnostních opatření zavedených ve společnosti? Je zajištěn přístup k bezpečnostním směrnicím (dokumentaci), např. nástěnky, předpisy v IS atp.? Jsou zaznamenávány bezpečnostní incidenty, chyby a selhání? Jsou vykonávány neplánované nebo překvapivé audity informační bezpečnosti ve společnosti?

Odpověď:

1

4

1

4

1

4

1

2

3

4

1 1

2 2

3 3

4 4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

4

1 1

2

3

4 4

1

2

3

4

5.8


54

Tabulka 4: Vyhodnocení otázek – Organizační struktura Počet bodů

15 – 26

27 – 38

39 – 50

51 – 60


Hodnocení

Patrná situace ve společnosti • Ve společnosti jsou určeni příslušní pracovníci v oblasti Ve společnosti je zavedena informační bezpečnosti. většina potřebných aktivit • Společnost zajišťuje pro bezpečnost informací a Nadprůměrné odpovídající školení svých většina pracovníků je zaměstnanců. seznámena • Společnost provádí s bezpečnostními předpisy. pravidelný průzkum zavedených bezpečnostních opatření. Některé aktivity týkající se • Úkoly nutné pro informační bezpečnosti jsou bezpečnost informací jsou již již ve společnosti ve vývoji. implementovány a mnoho Dobré • Povědomí zaměstnanců pracovníků je již seznámeno o ochraně informací je teprve s bezpečnostními na počátku. opatřeními ve společnosti. • Jsou stanoveni pracovníci Některé aktivity pro vývoj a implementaci bezpečnosti informací jsou informační bezpečnosti ve ve vývoji a vedení Uspokojivé společnosti. společnosti souhlasí • Zaměstnanci jsou s ochranou informací. informováni o změnách, které budou ve společnosti uskutečněny. Bezpečnostní politika, • Vedení společnosti má směrnice a postupy projekt bezpečnosti informací. informační bezpečnosti • Ve společnosti je třeba chybí nebo nejsou doposud provést audit. ve společnosti Neuspokojivé implementovány. Vedení společnosti ani zaměstnanci nemají povědomí o nutnosti ochrany informací.

5.8


5.8.1.3.

55

Fyzická bezpečnost

V dotazníku se vyskytují tyto možnosti odpovědí: 1 = ano, 2 = ano s výjimkami, 3 = zatím ve vývoji, 4 = ne. Otázka: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18.

Je kontrolován přístup do budovy? Nachází se servery v klimatizovaném prostředí s protipožární ochranou? Je průběžně prováděna kontrola prostor, kde jsou servery umístěny? Jsou servery připojeny k UPS s ochranou proti napěťovým výkyvům? Je umožněn přístup k serverům pouze pro autorizované osoby? Je kontrolován přístup k počítačovým zařízením? Je dostatečně zavedena bezpečnost počítačových zařízení mimo pracovní dobu? Je adekvátně chráněn IS a další HW před krádeží? Jsou klíče a přístupové karty náležitě chráněny? Jsou náležitě chráněny prostory obsahující důležité informace společnosti? Jsou patřičně zabezpečeny tajné informace? Jsou monitorovány aktivity zaměstnanců provádějících úklid podnikových prostor? Jsou stanoveni pracovníci potřební pro řešení problémů pro případ nehody? Jsou všichni zaměstnanci informováni, co mají dělat v případě nehody? Je ve společnosti vyhotoven Plán obnovení či zotavení po katastrofě? Byl Plán obnovení testován během posledních 12-ti měsíců? Jsou postupy a formy zabezpečení informací po incidentech přezkoumány, aby se určila případná nutnost modifikace? Jsou systémy, aplikace a datové zálohy pravidelně zasílány na bezpečné místo mimo místo pořízení?

Odpověď: 1

2

3

4

1

2

3

4

1

2

3

4

1 1 1

2 2 2

3 3 3

4 4 4

1 1 1

2 2 2

3 3 3

4 4 4

1 1

2 2

3 3

4 4

1

2

3

4

1

2

3

4

1

2

3

4

1 1

2 2

3 3

4 4

1

2

3

4

1

2

3

4

5.8


56

Tabulka 5: Vyhodnocení otázek – Fyzická bezpečnost Počet bodů

18 – 31

32 – 45

46 – 58

59 – 72


Hodnocení

Patrná situace ve společnosti • Ve společnosti je Ve společnosti je zavedena zabezpečen přístup do většina potřebných aktivit důležitých prostor, je chráněn pro bezpečnost informací a Nadprůměrné automatizovaným většina pracovníků je mechanismem. seznámena • Společnost má určený tým s bezpečnostními předpisy. pracovníků pro případ nehody. Některé aktivity týkající se • Ve společnosti je obvykle informační bezpečnosti jsou chráněn přístup do důležitých již ve společnosti prostor. Dobré implementovány a mnoho • Zaměstnanci jsou pracovníků je již seznámeno seznámeni s postupy pro s bezpečnostními případ výskytu nehody. opatřeními ve společnosti. • Ve společnosti je přístup Některé aktivity do důležitých prostor řešen na bezpečnosti informací jsou základě přihlášení. Uspokojivé ve vývoji a vedení • Zaměstnanci kontaktují společnosti souhlasí společností pověřené s ochranou informací. pracovníky v případě výskytu problému. Bezpečnostní politika, • Ve společnosti je přístup směrnice a postupy do důležitých prostor informační bezpečnosti nedostatečně chráněn. chybí nebo nejsou doposud • V případě výskytu Neuspokojivé incidentu dochází pouze ve společnosti implementovány. Vedení k lokálnímu řešení. společnosti ani zaměstnanci nemají povědomí o nutnosti ochrany informací.

5.8


5.8.1.4.

57

Technické zabezpečení

V dotazníku se vyskytují tyto možnosti odpovědí: 1 = ano, 2 = ano s výjimkami, 3 = zatím ve vývoji, 4 = ne. Otázka: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20.

Je ve společnosti systémová administrativa prováděna kvalifikovaným personálem? Mají systémoví administrátoři adekvátní zkušenosti s implementací bezpečnostních standardů? Používají administrátoři vhodné nástroje pro výkon své práce? Je používání uživatelských hesel a nastavení přístupových práv v souladu s potřebami společnosti a společenskými směrnicemi? Jsou hesla a účty sdíleny? Jsou zaměstnanci poučeni o vytváření správných hesel (netriviální znakové řetězce) ? Mají ve společnosti uživatelé povinnost měnit hesla se zákazem jejich znovupoužití po dobu minimálně 1 roku? Jsou prováděny periodické kontroly uživatelských přístupů (změny v pravomoci a odpovědnosti uživatelů)? Jsou přístupné nezabezpečené uživatelské účty „Guest“? Je na všech počítačích instalován a aktualizován antivirový systém? Existuje ve společnosti pro uživatele zákaz instalace vlastního SW (neověřeného)? Sledujete ve vaší společnosti změny a současné trendy ve vývoji informační bezpečnosti? Je u každého externího přístupu instalován firewall? Jsou firewally testovány pro případ možného neoprávněného vnějšího průniku? Existují další produkty, které zvyšují stupeň bezpečnosti firewallu? Jsou dokumentovány veškeré služby, které prošli nebo se snaží o průchod firewallem? Je ve společnosti dostupné aktuální schéma sítě? Dochází k pravidelné kontrole síťově infrastruktury? Provádí se na síti ohodnocení zranitelnosti? Jsou hostitelské systémy a servery stejně jako aplikační servery zabezpečeny?

Odpověď: 1

2

3

4

1 1

2 2

3 3

4 4

1 1

2 2

3 3

4 4

1

2

3

4

1

2

3

4

1 1

2 2

3 3

4 4

1

2

3

4

1

2

3

4

1 1

2 2

3 3

4 4

1

2

3

4

1

2

3

4

1 1 1 1

2 2 2 2

3 3 3 3

4 4 4 4

1

2

3

4

5.8


58

Tabulka 6: Vyhodnocení otázek – Technické zabezpečení Počet bodů

20 – 34

35 – 49

50 – 64

65 – 80


Hodnocení

Patrná situace ve společnosti • Ve společnosti je již implementována síťová Ve společnosti je zavedena bezpečnostní politika a většina potřebných aktivit bezpečnostní postupy. pro bezpečnost informací a Nadprůměrné • Systémoví a síťoví většina pracovníků je administrátoři mají adekvátní seznámena zkušenosti pro výkon své s bezpečnostními předpisy. činnosti. • Firewall je implementován a monitorován. Některé aktivity týkající se • Ve společnosti je přijata informační bezpečnosti jsou síťová bezpečnostní politika. již ve společnosti • Síťově standardy implementovány a mnoho Dobré společnosti jsou ve vývoji. pracovníků je již seznámeno • Ve společnosti není dosud s bezpečnostními zaměstnán administrátor opatřeními ve společnosti. firewallu. • Ve společnosti jsou Některé aktivity pověřeni pracovníci pro bezpečnosti informací jsou výkon bezpečnostních Uspokojivé ve vývoji a vedení postupů. společnosti souhlasí • Dosud není ve společnosti s ochranou informací. implementován firewall. Bezpečnostní politika, • Vedení společnosti pouze směrnice a postupy vyslovilo potřebu bezpečnosti informační bezpečnosti síťové infrastruktury. chybí nebo nejsou doposud ve společnosti Neuspokojivé implementovány. Vedení společnosti ani zaměstnanci nemají povědomí o nutnosti ochrany informací.

5.8


5.8.1.5.

59

Telekomunikační bezpečnost

V dotazníku se vyskytují tyto možnosti odpovědí: 1 = ano, 2 = ano s výjimkami, 3 = zatím ve vývoji, 4 = ne. Otázka: 1. 2. 3. 4.

5. 6. 7. 8. 9.

10. 11. 12.

Má společnost vypracovánu politiku používání telekomunikačních zdrojů? Je tato telekomunikační politika pravidelně aktualizována? Jsou všichni zaměstnanci společnosti seznámeni s telekomunikační politikou? Snaží se zaměstnanci při použití mobilních nebo bezdrátových telefonů, při nezabezpečené verzi této technologie, o co nejkratší komunikaci? Jsou vůbec s touto problematikou seznámeni? Uvědomují si zaměstnanci autorizovaní pro přístup do Internetu důležitost podnikových dat? Jsou data společnosti uložená na přenosných počítačích zabezpečena proti neautorizovanému přístupu? Je po uživatelích všech společností, které poskytují komunikační systémy, požadována změna automatických a počátečních hesel? Jsou telefony umožňující monitorování pravidelně přezkoumávány pro odhalení možných zneužití? Mají zaměstnanci společnosti povědomí o přiměřené odpovědnosti za bezpečnost přístupových kódů proti neoprávněným přístupům a užitím? Uveřejnila společnost možné postihy zaměstnanců a externistů pro případ zneužití atp.? Je ve společnosti ošetřen případ zrušení pracovního poměru se zaměstnancem, automatické zablokování veškerých účtů a karet? Nachází se ve společnosti osoba pověřená telekomunikační bezpečností?

Odpověď: 1 1

2 2

3 3

4 4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

5.8


60

Tabulka 7: Vyhodnocení otázek – Telekomunikační bezpečnost Počet bodů

12 – 20

21 – 29

30 – 38

39 – 48


Hodnocení

Patrná situace ve společnosti • Ve společnosti jsou již implementovány Ve společnosti je zavedena telekomunikační bezpečnostní většina potřebných aktivit politika a postupy. pro bezpečnost informací a Nadprůměrné • Telekomunikační většina pracovníků je administrátor je dostatečně seznámena kvalifikován a pravidelně s bezpečnostními předpisy. proškolován v otázkách bezpečnosti. • Ve společnosti je Některé aktivity týkající se telekomunikační bezpečnostní informační bezpečnosti jsou politika pouze schválena. již ve společnosti • Ve společnosti je implementovány a mnoho Dobré zavedeno monitorování pracovníků je již seznámeno telekomunikačního provozu. s bezpečnostními • Telekomunikační opatřeními ve společnosti. standardy jsou prozatím ve vývoji. • Ve společnosti jsou Některé aktivity definovány pouze bezpečnosti informací jsou telekomunikační postupy. Uspokojivé ve vývoji a vedení • Telekomunikační společnosti souhlasí standardy společnosti jsou ve s ochranou informací. vývoji. Bezpečnostní politika, • Vedení společnosti si je směrnice a postupy pouze vědomo nutnosti informační bezpečnosti telekomunikační bezpečnostní chybí nebo nejsou doposud politiky. Neuspokojivé • Společnosti má v oblasti ve společnosti implementovány. Vedení telekomunikační bezpečnosti společnosti ani zaměstnanci prozatím značné slabiny. nemají povědomí o nutnosti ochrany informací.

5.8


5.8.1.6.

61

Plán zálohování a obnova dat

V dotazníku se vyskytují tyto možnosti odpovědí: 1 = ano, 2 = ano s výjimkami, 3 = zatím ve vývoji, 4 = ne. Otázka: 1.

2. 3. 4.

5. 6. 7. 8. 9. 10.

11. 12.

Má společnost vypracován Plán záloh, který identifikuje všechny kritické programy, dokumenty a zdroje vyžadující nezbytné vykonávání úloh během doby, kdy probíhá zotavení systému? Je stanovena kritická doba obnovy pro všechny aplikace a systémy? Zajímá se vedení společnosti průběžně o kritické aplikace, přezkoumává a schvaluje jejich seznam? Je seznam současných důležitých telefonních čísel na policii, hasiče, první pomoc, pracovníka pověřeného správou a bezpečností sítě atp. umístěn na dostupném místě po celou pracovní dobu mimo místo pořízení? Jsou záložní a obnovovací postupy otestovány minimálně jednou za poslední rok? Je záložní místo ve společnosti dostatečně vzdáleno od nebezpečí, které by ohrožovalo hlavní datové centrum? Provádí se ve vaší společnosti školení pro všechny zaměstnance, kteří provádí zálohu a obnovu dat? Byla ve vaší společnosti provedena Analýza systémů a aplikací, které ovlivňují důležité obchodní procesy? Je alespoň jedna kopie záložního plánování pravidelně aktualizována? Nachází se ve vaší společnosti informace o opatřeních, která je třeba vykonat v případě nehody a jsou tato umístěna v blízkosti hardwaru a softwaru, na viditelných místech? Podílí se řádoví zaměstnanci na zálohování? Nachází se záložní kopie mimo místo pořízení?

Odpověď:

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1

2

3

4

1 1 1

2 2 2

3 3 3

4 4 4

5.8


62

Tabulka 8: Vyhodnocení otázek – Plán zálohování a obnova dat Počet bodů

12 – 20

21 – 29

30 – 38

39 – 48


Hodnocení

Patrná situace ve společnosti • Ve společnosti je vyhotoven Plán záloh, Ve společnosti je zavedena nachází se na pracovištích a je většina potřebných aktivit průběžně testován. pro bezpečnost informací a Nadprůměrné • Pracovníci vykonávající většina pracovníků je zálohování jsou náležitě seznámena proškoleni. s bezpečnostními předpisy. • Dochází k pravidelné aktualizaci Plánu záloh. Některé aktivity týkající se • Ve společnosti je napsán informační bezpečnosti jsou Plán záloh. již ve společnosti • Zálohující pracovníci ví implementovány a mnoho Dobré o své roli v Plánu záloh. pracovníků je již seznámeno • Vedení společnosti s bezpečnostními podporuje zálohování a Plán opatřeními ve společnosti. záloh. • Ve společnosti je Plán Některé aktivity záloh již zformulován. bezpečnosti informací jsou • Seznam kritických ve vývoji a vedení Uspokojivé aplikací je zatím ve vývoji. společnosti souhlasí • Již jsou určeny kritické s ochranou informací. zdroje. • Zálohy jsou skladovány mimo místo pořízení. Bezpečnostní politika, • Ve společnosti se provádí směrnice a postupy zálohování, ale zatím není informační bezpečnosti vyhotoven Plán záloh. chybí nebo nejsou doposud • Vedení společnosti si je Neuspokojivé vědomo odpovědnosti za ve společnosti implementovány. Vedení zálohování. společnosti ani zaměstnanci nemají povědomí o nutnosti ochrany informací.

5.8


5.8.2.

63

Dotazník pro zaměstnance společnosti V dotazníku se vyskytují tyto možnosti odpovědí: 1 = ano, 2 = ano okrajově, 3 = téměř ne, 4 = ne.

Otázka: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

12. 13. 14. 15.

Jste seznámen/a s informační bezpečností ve vaší společnosti? Jste obeznámen/a s tím, co je a co není ve společnosti dovoleno? Znáte seznam postihů uplatnitelných v případě porušení pravidel společnosti? Jste informován/a o obchodních cílech a poslání společnosti, ve které jste zaměstnán/a? Byl/a jste poučen/a o vhodných pravidlech pro vytváření hesel? Dbáte o bezpečnost svého počítače v době nepřítomnosti? Využíváte Internetu nebo počítačové prostředky k soukromým účelům? Staráte se o ochranu a bezpečnost přístupových karet a klíčů? Používáte na svém počítači pouze licencované verze softwaru? Provádíte pravidelně zálohu svých dat? Máte dojem, že jste dostatečně proškolen/a v problematice informační bezpečnosti v rámci své profese, kterou ve společnosti vykonáváte? Víte, na koho se máte obrátit v případě krizového stavu? Ukládáte všechny důležité dokumenty na server, který se zálohuje? Uvědomujete si, že je důležitá ochrana informací společnosti před vnějším okolím? Pokud používáte nezabezpečenou komunikaci přes mobilní telefon, snažíte se o co nejkratší vyřízení hovoru?

Odpověď: 1 1

2 2

3 3

4 4

1

2

3

4

1 1 1

2 2 2

3 3 3

4 4 4

1 1 1 1

2 2 2 2

3 3 3 3

4 4 4 4

1 1

2 2

3 3

4 4

1

2

3

4

1

2

3

4

1

2

3

4

5.8


64

Tabulka 9: Vyhodnocení otázek – Dotazník pro zaměstnance společnosti Počet bodů

15 – 26

27 – 38

39 – 50

51 – 60

Pravděpodobný stav Hodnocení Patrná situace ve společnosti Ve společnosti je plně • Zaměstnanci jsou zavedena informační obeznámeni s informační bezpečnost a zároveň je bezpečností ve společnosti. implementován program • Zaměstnanci mají ponětí, rozšiřování informačního Nadprůměrné co si mohou a co nemohou ve povědomí. Zaměstnanci společnosti dovolit. jsou si plně vědomi potřeby • Zaměstnanci mají zájem chránit data společnosti. chránit informace společnosti v průběhu plnění svých úkolů. Informační bezpečnost ve • Zaměstnanci ví o potřebě společnosti je na dobré ochrany dat společnosti, úrovni. Povědomí avšak prozatím nedodržují zaměstnanců o informační Dobré všechny stanovené pokyny. bezpečnosti se ještě nenachází na optimální úrovni. Ve společnosti je „nějaká“ • Zaměstnanci společnosti bezpečnost informací pouze mají pouze okrajový přehled zavedena. Ne všichni Uspokojivé o tom, co znamená pojem pracovníci vůbec ví, že je informační bezpečnost a co je potřeba informace její náplní. společnosti chránit. Ve společnosti informační • Zaměstnanci společnosti bezpečnost prozatím vůbec Neuspokojivé absolutně nemají ponětí, že neexistuje. existuje nějaká informační bezpečnost.

5.9

Hodnocení míry informační bezpečnosti ve společnosti

5.9

65


Na základě zodpovězení navržených dotazníků pro zjištění míry informační bezpečnosti (viz. kapitola 5.8) vedením společnosti a zaměstnanci, jsem identifikovala pravděpodobný stav a patrnou situaci vždy v dané oblasti ve sledované společnosti. Dotazníky pro zaměstnance vyplnilo 5 zaměstnanců společnosti. V následujících podkapitolách jsou uvedeny též počty dosažených bodů a zjištěný stupeň dle jednotlivých dotazníků. 5.9.1.

Postoj společnosti k informační bezpečnosti

Optimálního stavu informační bezpečnosti není ve společnosti dosud docíleno. Vedení společnosti si je vědomo nutnosti ochrany svých informací. Pracovníci jsou seznámeni s obchodními cíly podniku. Stav postoje společnosti k informační bezpečnosti je, díky dosaženému počtu 34 bodů, zhodnocen jako dobrý. 5.9.2.

Organizační struktura

Některé aktivity týkající se informační bezpečnosti jsou již ve společnosti implementovány a mnoho pracovníků je již seznámeno s bezpečnostními opatřeními ve společnosti. Úkoly nutné pro bezpečnost informací jsou již ve vývoji. Povědomí zaměstnanců o ochraně informací je teprve na počátku. Stav organizační struktury ve společnosti je, se svými 36-ti body, zhodnocen jako dobrý. 5.9.3.

Fyzická bezpečnost

Některé aktivity bezpečnosti informací jsou ve vývoji a vedení společnosti souhlasí s ochranou informací. Ve společnosti je přístup do důležitých prostor řešen na základě přihlášení. Zaměstnanci kontaktují společností pověřené pracovníky v případě výskytu problému. Stav fyzické bezpečnosti ve společnosti je, s počtem 46-ti dosažených bodů, zhodnocen jako uspokojivý. 5.9.4.

Technické zabezpečení

Některé aktivity týkající se informační bezpečnosti jsou již ve společnosti implementovány a mnoho pracovníků je již seznámeno s bezpečnostními opatřeními ve společnosti. Ve společnosti je přijata síťová bezpečnostní politika. Síťově standardy společnosti jsou ve vývoji. Ve společnosti není dosud zaměstnán administrátor firewallu. Stav technického zabezpečení společnosti je, získáním 39-ti bodů, zhodnocen jako dobrý.

5.9


5.9.5.

66

Telekomunikační bezpečnost

Některé aktivity bezpečnosti informací v oblasti telekomunikací jsou ve společnosti ve vývoji a vedení společnosti souhlasí s ochranou informací. Ve společnosti jsou definovány pouze telekomunikační postupy. Telekomunikační standardy společnosti jsou ve vývoji. V dotazníku bylo dosaženo 36-ti bodů. Stav telekomunikační bezpečnosti ve společnosti je proto zhodnocen jako uspokojivý. 5.9.6.

Plán zálohování a obnova dat

Ve společnosti se provádí zálohování, ale zatím není vyhotoven Plán záloh. Vedení společnosti si je vědomo odpovědnosti za zálohování. Stav společnosti v oblasti zálohování a obnovy dat se, se svými 41 získanými body, jeví jako neuspokojivý. 5.9.7.

Informační bezpečnost z pohledu zaměstnanců společnosti

Povědomí zaměstnanců o informační bezpečnosti se ještě nenachází na optimální úrovni. Zaměstnanci ví o potřebě ochrany dat společnosti, avšak prozatím nedodržují všechny stanovené pokyny. Stav informační bezpečnost ve společnosti z pohledu zaměstnanců je, s průměrným počtem 28 bodů na 1 zaměstnance, zhodnocen jako dobrý. V další kapitole provedu návrh dokumentace bezpečnostní politiky pro sledovanou společnost. Návrh může být vodítkem také pro jiné společnosti.

6

NÁVRH BEZPEČNOSTNÍ POLITIKY VE SPOLEČNOSTI

67

6 Návrh bezpečnostní politiky ve společnosti 6.1

Určení

Tento dokument explicitně vyjadřuje, že bezpečnostní politika je závazná pro všechny uživatele informačních a komunikačních systémů společnosti.

6.2

Popis provozního prostředí

Celkový informační systém ve společnosti je určen pro podporu fungování, výměny informací a rozhodování ve společnosti. Dále též ke komunikaci jak uvnitř společnosti, tak i mimo firmu, tj. s dodavateli, potencionálními i aktuálními klienty atp. Jedná se o informace zpracovávané jak elektronicky, tak i v tištěné podobě. K vytváření, zpracovávání, přenosu a ukládání těchto dat slouží ve společnosti informační a komunikační technologie, které zahrnují počítačovou síť, servery, koncové uživatelské stanice, notebooky, telefonní síť, koncové telefonní přístroje a telefonní ústřednu. Na koncových stanicích je nainstalován operační systém Microsoft Windows XP. Na serveru je nainstalován operační systém též od firmy Microsoft, a to Microsoft Windows 2003 Server, který poskytuje poštovní, aplikační, databázové, dokumentové a další služby. Telefonní subsystém funguje na bázi digitální telefonní ústředny a taktéž digitálních koncových telefonních stanic. Jedná se o telekomunikační síť ISDN32. Veškerá interní komunikace probíhá buď přímo osobně, nebo telefonickou a emailovou formou. Společnost pro svůj běžný provoz využívá především několik důležitých systémů. Prvním je Microsoft Outlook pro organizování všech kontaktních informací na jednotlivé klienty, ať už aktivní, či potencionální nebo archivní a všech kontaktních jednání s nimi (včetně upřesnění jakou formou toto jednání proběhlo, kdo ho uskutečnil a záznam z tohoto jednání). Druhým velmi důležitým systémem je VEMA. Oblast lidských zdrojů je podporována aplikací Mzdy (PAM). Součástí IS VEMA je i segment ekonomiky a logistiky IS EKOS. Ekonomická část IS EKOS je zaměřena na oblasti účetnictví, fakturace, banky, pokladny a majetků. Část logistiky tvoří zejména oblasti nákupu, odbytu, skladů a sledování zakázek. Dále se používá software od společnosti Horst Klaes GmbH & Co, KLAES, pro podporu výroby oken, dveří a zimních zahrad. Všechny tyto systémy běží na serveru a klienti se k nim připojují pomocí spojení klient-server. Další částí jsou informace v tištěné podobě. Patří sem například smlouvy, faktury, nabídky, nákresy zakázek aj., které jsou uloženy v jednotlivých místnostech podle své příslušnosti. Všechny tyto systémy dohromady obsahují důležitá aktiva společnosti, tedy údaje o svých klientech, obchodních partnerech, účetní a finanční data. K těmto informacím má přístup vždy jen pověřená osoba podle předem stanovené role v organizaci (viz. Organizační řád společnosti33). 32 33

Integrated Services Digital Network, tedy digitální telekomunikační síť s integrovanými službami v něm je samozřejmě též uvedena osoba pověřená systémem řízení informační bezpečnosti ve společnosti

6.3

Bezpečnostní cíle a pravidla

68

Pracovní stanice zaměstnance je vybavena následujícími prvky: •

osobní počítač s operačním systémem Microsoft Windows XP, s kancelářským balíkem Microsoft Office (aplikace Word, Excel, PowerPoint a Outlook), klientem pro IS VEMA (ekonomický úsek) a pro KLAES (obchodní úsek) a antivirovým systémem NOD 32, • monitor, myš, klávesnice, koncový telefonní přístroj.

6.3


6.3.1. 6.3.1.1.

Správa počítačů a sítě Dokumentace

•

Cílem této části je zajistit, aby byly ve společnosti zdokumentovány všechny potřebné operace týkající se správy počítačů a sítě. • Zdokumentovány musí být operace správy počítačů a sítě. Jejich součástí je přesné uvedení inicializace, ukončení a předání prací, zálohy dat, testování a údržba počítačového vybavení. Dále je potřeba zajištění dokumentace nakládání s daty, všechny operace plánování požadavků na systém, včetně jejich časové souslednosti. • Je nezbytné zdokumentovat též všechny provozní chyby a nezvyklé průběhy zpracování. Nutné je též provést restrikce u programů pro jednotlivé uživatele. Také je třeba provést zdokumentování procedur pro případ obnovení systému, kdyby došlo k jeho selhání. Uvedené dokumentace slouží jako podklad pro formální změny v kontrole procesů. • V případě, že procedury probíhají nestandardním způsobem, je zapotřebí vykonat všechny nezbytné kroky podle předem stanovených pravidel. Musí být vypracován postup pro analýzy a identifikace bezpečnostních incidentů, plánování a implementace obnovy systému a jeho úpravy a nastavení vedoucí k prevenci těchto incidentů. Všechny tyto potřebné kroky spojené s nápravou systému musí být podrobně zdokumentovány. 6.3.1.2.

• •

Plánování systému

Cílem je minimalizace rizika selhání systému. Je třeba zajistit, aby systém nebyl ohrožen ve své činnosti díky nedostatečným systémovým kapacitám. Pro zajištění odpovídajícího výpočetního a paměťového výkonu by měly být monitorovány aktuální kapacitní požadavky systému a měly by být prováděny odhady budoucích požadavků. Tyto plány by měly brát v úvahu nové provozní a systémové požadavky a současné i odhadované trendy vývoje a zpracování informací v organizaci. • Měla by být určena kritéria pro přejímání nových systémů, jejich aktualizaci a zavádění nových verzí. Pro případ nákupu a implementace nového systému do stávajícího je třeba zajistit jejich vzájemnou kompatibilitu a úroveň zabezpečení. Požadavky a kritéria pro přejímání nových počítačových systémů musí být jednoznačně definovány, schváleny předem, zdokumentovány a testovány. Nový

6.3


69

prvek systému je nutné řádně otestovat, a to nejlépe mimo IS společnosti. Nezbytný je také plán pro případ poruchy tohoto prvku. • Současný systém musí být nastaven tak, aby byl schopen v případě potřeby zajistit běh celé společnosti i v nestandardních podmínkách, např. při výpadku proudu či jiné chyby. Požadavky musí být předem stanoveny, odsouhlaseny zodpovědnými pracovníky a vedením společnosti. • V případě změn musí být systém testován pro zajištění nepřerušeného chodu. Role a odpovědnosti v tomto případě musí být přesně definovány. Všechny osoby, kterých se změny týkají, musí být informovány s dostatečným předstihem a zároveň musí být sestaven plán obsahující postup rušení zavedených změn v systému. 6.3.1.3.

Ochrana počítačů, sítě a dat

•

Je třeba chránit integritu programů a dat ve společnosti. Pro prevenci a detekování škodlivých programů jsou vyžadována patřičná opatření. • Všechny počítače musí být pravidelně testovány na virovou nákazu. Uživatelé by měli být upozorňováni na nebezpečí neschválených a škodlivých programů a vedoucí zaměstnanci by měli aplikovat opatření pro předcházení takovýmto stavům. Vůbec je třeba zvýšit bezpečnostní povědomí zaměstnanců. Nezbytnou součástí je též použití kvalitního antivirového softwaru s nastavenou automatickou aktualizací virové báze a pravidelným a častým testováním počítačů na virovou nákazu, včetně tzv. permanentního antivirového štítu34. Veškerá příchozí a odchozí elektronická pošta musí být automaticky kontrolována a podepsána zprávou o své bezinfekčnosti. • Všechny důležité informace v systému musí být zálohovány a archivovány. Měly by být vytvořeny rutinní postupy realizující schválenou zálohovací strategii, vytvářející záložní kopie dat a ověřující jejich včasné obnovení, zaznamenávání událostí, chyb a tam, kde je to vhodné, také monitorování okolního prostředí. Všechny zálohy musí být vždy aktuální a připravené pro obnovu systému v případě výpadku či jiné chyby. Informace musí být zálohovány takovým způsobem, aby bylo možné zajistit jejich původní funkce a to hlavně v co nejkratším čase. Kopie musí být uchovávány na místě mimo společnost, ale zároveň musí být jednoduše dosažitelné pro případ potřeby těchto kopií pro obnovení systému. Veškeré zálohy musí mít adekvátní fyzickou ochranu, musí být testovány, zda jsou nepoškozené a čitelné. Archivace se musí provádět na nepřepsatelná datová média, která jsou pak uložena v místě mimo společnost. • Pokud jsou média dále provozně neupotřebitelná, měla by se řešit otázka s jejich naložením při vyřazení, měla by být bezpečně a spolehlivě zlikvidována. Vzniká zde totiž riziko jejich zneužití třetími stranami. Může se jednat i o tištěné výstupy. Jedná-li se o důvěrná data společnosti, je možné tento problém řešit např. skartací, smazáním před použitím jiným způsobem v rámci organizace, spálením těchto médií atp. Je důležité docílit toho, aby daná média zůstala nadále nečitelná. Pro

34

tato funkce testuje soubor na přítomnost virů při jeho otevírání

6.3


70

minimalizaci rizika této oblasti by měly být vytvořeny formální postupy bezpečné likvidace médií ve společnosti. • V případě výpadku či jiné chyby je nutné vše zdokumentovat a analyzovat pro snížení možnosti opakovaného výskytu a pro navržení a přijetí potřebných protiopatření. • Je důležité zabývat se síťovou bezpečností, kontrolovat ji a chránit tak veškeré informace procházející firemní počítačovou sítí. Přístup do celosvětové sítě Internet musí být chráněn pomocí firewallu s přednastavenými pravidly bezpečnosti. Tato pravidla musí být zdokumentována a schválena. Je nutné neustále aktualizovat systém zabezpečení pro detekci virů a podobných programů v síti. • Ve společnosti je třeba dbát o použití všech informačních a komunikačních technologií v souladu s podmínkami specifikovanými jejich výrobcem. Tyto podmínky jsou získávány při nákupu těchto prvků, jsou součástmi jejich provozní dokumentace od výrobce. Obsahem měření může být např. měření elektrického napětí, teploty, vlhkosti apod. Výsledky musí dosahovat hodnot stanovených výrobcem. 6.3.1.4.

•

Výměna informací a programů

Musí být stanoveny povinnosti pro zajištění bezpečnosti dat při jejich výměně s externími organizacemi. Všechny možnosti výměny dat užívané ve společnosti musí být zdokumentovány. Musí být stanoveny povinnosti a odpovědnosti za výměnu dat v elektronické i fyzické podobě. Vymezeny musí být též povinnosti a odpovědnosti za možnost ztráty či poškození dat. Tyto podmínky musí být přijaty všemi stranami. • Bezpečnost dat musí být zajištěna rovněž při jejich přepravě. Informace mohou být během přepravy zranitelné ze strany neoprávněného přístupu, zneužití nebo narušení např. při zasílání poštou či kurýrem. Ochranu lze zajistit schválením seznamu oprávněných kurýrů a stanovením postupu pro kontrolu jejich identifikace. Také je potřeba dostatečné zabezpečení před fyzickým poškozením (např. vhodným obalem atp.). • Bezpečnost elektronické pošty zajišťuje všechny pravidla technického i uživatelského rázu při používání emailové komunikace. Tato pravidla musí pokrýt důvěrnost i integritu emailových zpráv. Ve společnosti musí být stanovena bezpečnostní politika pro používání elektronické pošty v rámci organizace i mimo ni. • Musí být připravena a implementována bezpečnostní politika informací a odpovídající směrnice spojené s elektronickými kancelářskými systémy a jejich možnými riziky. Elektronické kancelářské systémy poskytují příležitosti pro rychlejší šíření a sdílení informací organizace za použití kombinace dokumentů, počítačů, přenosných počítačů mobilní komunikace, hlasové pošty, multimédií, poštovních služeb a faxů. Je zapotřebí zajistit, že veškeré povinnosti a odpovědnosti vlastníků, správců a uživatelů jsou dodržovány. Přístup k jednotlivým informacím musí být dělen podle předem stanovených rolí ve společnosti.

6.3


71

6.3.2. Řízení přístupu 6.3.2.1.

Dokumentace přístupu k systému

•

Přístup k informacím a procesům společnosti musí být řízen na základě provozních a bezpečnostních požadavků. • Cílem této části, je zajistit, že rozdělení rolí ve společnosti je stanoveno přesně podle reálných požadavků a je tak zajištěn přístup oprávněných osob k určeným informacím. Vlastníci informací musí poskytovat jasně definované a zdokumentované požadavky na bezpečnost přístupu k informacím. Musí být definována práva přístupu pro jednotlivé uživatele a skupiny pomocí jejich rolí v IS. Všechny důležité obchodní informace musí mít stanovenu kontrolu bezpečnosti přístupu. Musí být vytvořena politika pro možnosti šíření a práva nakládání s informacemi. Bezpečnost kontroly přístupu k informacím musí specifikovat autorizované použití dat v souladu s jejich důvěrností a ochranou. • Správa uživatelských hesel – cílem je zabezpečit, aby přijetí nových hesel bylo kontrolováno a že uživatelé jsou poučeni ke správnému používání a tvorbě hesel. Uživatelé musí podepsat závazek, že budou chránit svá hesla. Každý uživatel musí využívat pouze jedno dočasné heslo, které musí být při ztrátě či zapomenutí změněno. Sdělování hesel skrze další osoby nebo nezabezpečené elektronické zprávy je zakázáno. Hesla rovněž nesmí být v počítači nikdy uložena v nechráněné podobě. • Práva zacházení s informacemi – užívání mimořádných práv pro zacházení s informacemi se musí omezit na minimální počet důvěryhodných osob. Je vhodné důvěru posílit kontrolami. Práva jednotlivých uživatelů musí být stanovena individuálně na nezbytnou míru využití systému. Práva uživatelům musí být přidělena, až po jejich autorizaci. Zaznamenávány by měly být všechny privilegované aktivity uživatelů. 6.3.2.2.

•

Správa přístupu uživatelů

Účelem registrace uživatelů je zajistit, že proces pro ustanovení uživatelských práv je pro každého uživatele při přihlášení do systému zdokumentován. Registrace dále zajišťuje takový proces, který může uživatelům kdykoliv v případě potřeby jejich práva odebírat. Uživatelé musí mít od vlastníků informací určena autorizační práva pro přístup k jednotlivým používaným službám systému. Uživatelům musí být vystaven tištěný dokument s jejich přístupovými právy. Uživatelé stvrzují svým podpisem, že rozumí podmínkám přístupu do systému a akceptují je včetně možných sankcí. Přístup novým uživatelům do systému nebo uživatelům se změněnými přístupovými právy musí být odepřen až do doby, kdy budou hotové všechny autorizační procedury. Uživatelské účty musí být zrušeny ihned, jak při odchodu ze zaměstnání ve společnosti, tak i v případě změny pracovní pozice. Je třeba periodicky sledovat uživatelské účty, aby se zajistilo, zda nedochází k jejich zneužívání, popř. k velmi malému užívání. • Identifikace uživatelů – slouží k zaznamenávání jednotlivých akcí uživatelů a udržování archivu odpovědností. Všichni uživatelé musí mít svůj jednoznačný

6.3


•

•

•

•

•

•

•

72

identifikátor, který umožní sledování jednotlivých individuálních aktivit. Uživatelská ID musí být konstruována tak, aby nemohl být zjištěn uživatelův statut v systému. Přehled uživatelských práv – cílem je zabezpečit, že vlastníci informací nebo jejich zástupci na sebe berou zodpovědnost za důkladné a pravidelné přehledy přístupů jednotlivých uživatelů k obchodním informacím. Musí být stanoven formální proces přehledu uživatelských přístupů v pravidelných intervalech. Používání hesel – účelem je upozornit uživatele na bezpečnou správu hesel. Uživatelé musí být seznámeni s tím, že hesla jsou přidělována nebo vybírána tak, aby byla zajištěna odpovědnost a následná vymahatelnost. Uživatelé musí svá hesla chránit v důvěrnosti. Uživatelé musí být informováni o nevhodnosti uložení hesel v jakékoliv papírové podobě. Uživatelé musí svá hesla pravidelně měnit. Hesla musí obsahovat minimálně 6 znaků. Uživatelé by se měli vyvarovat používání hesel jako jsou například jména rodinných příslušníků, datum narození, rodné číslo atp. Správa používání hesel – musí ujistit, že heslo jako hlavní prostředek autentizace, poskytuje efektivní a interaktivní prostředek zajišťující kvalitu přístupu. Každý uživatel musí mít své vlastní unikátní ID a heslo. Systém správy hesel musí nutit uživatele k pravidelným změnám hesel. Systém správy hesel musí též zabezpečit kontrolu hesel na přítomnost písmen, číslic a speciálních znaků a měl by zabránit uživatelům ve vytváření triviálních hesel. Po třech neúspěšných pokusech o přihlášení musí být uživateli přístup do systému odmítnut do zásahu správce hesel a systému. Chyby v přihlašovacích aktivitách uživatelů musí být zaznamenány. Musí být určeny procesy nápravy pro případ zapomenutí hesla uživatele. Zaznamenávání událostí – úkolem je provádění a udržování zápisů o výjimkách a jiných významných událostech. Záznamy o jednotlivých výjimečných událostech musí být kontrolovány a ukládány. Při minimální zabezpečovací úrovni by měly obsahovat uživatelské ID, datum a čas přihlášení a odhlášení, identifikace terminálu neboli místa přihlášení atp. Vybavení uživatelů ponechávané bez dozoru – je zapotřebí uvědomit uživatele o potřebě vypínání počítačů nebo jiné vyřazující procedury uzamčení prací na terminálech a pracovních stanicích po skončení jejich práce nebo kdykoli dočasně opustí pracoviště. Uživatelé musí ukončovat aktivní relace, když dokončí práci. Uživatelé musí po skončení práce fyzicky uzamknout počítač nebo jiným sjednaným způsobem zajistit jeho bezpečnost (např. uzamčením místnosti). Ukončení spojení při nečinnosti – slouží k zabránění přístupu k citlivým datům a systému neautorizovanými osobami, které by mohly využít legitimně přihlášených stanic, ponechaných bez dozoru. Na pracovních stanicích musí být instalován prostředek, který po určitém čase nečinnosti systém odhlásí. Reaktivace systému musí vyžadovat opětovnou autentizaci uživatele za použití hesla. Omezení času spojení s IS – záměr spočívá v zamezení příležitosti neautorizovaného přístupu limitováním času přístupu k IS. Vymezení časového rozpětí prací v systému může být použito pro běžný provoz. Spojení by měla být omezena na běžné provozní hodiny nebo rozšířené na pracovní dny, počítající s prací přesčas.

6.3


6.3.2.3.

73

Řízení přístupu k sítím

•

Omezené služby – je důležité stanovit systém autorizace uživatelů, přistupujících k síti společnosti nebo síti Internet. Uživatelům je povolen přístup pouze ke službám, ke kterým mají autorizaci. • Zabezpečení sítí – úkolem je bezpečná síťová doména limitující příležitosti neautorizovaného přístupu. Pro bezpečné vazby mezi sítěmi je třeba nastavení firewallu. Všechny oblasti musí být pokryty bezpečnostními činnostmi a správou. • Ověřování uživatelů – cílem je zabezpečit přídavná opatření k zajištění identifikace uživatelů. Identifikace a autorizace připojujících se uživatelů musí být prokázané na úrovni počítače, sítě nebo přistupující aplikace. Veškeré pokusy o přístup musí být zaznamenávány a porovnány se seznamem autorizovaných přístupů.

6.3.3. Fyzická bezpečnost a bezpečnost prostředí 6.3.3.1.

Zabezpečení prostor

•

Fyzické – je třeba zajistit, aby přístup jednotlivých osob k citlivým datům byl identifikovatelný a aby byly zajištěny vhodné bezpečnostní prvky pro správu přístupu do vyhrazených prostor. Jednotlivé vstupy do vyhrazených prostor by měly být vybaveny zařízením umožňujícím monitoring vstupů a výstupů z těchto prostor. • Nakládání s majetkem společnosti – zabezpečit, že s majetkem společnosti budou nakládat pouze oprávněné osoby společnosti. • Zabezpečení proti nenadálým událostem – umístění prvků informačních a komunikačních technologií musí být řešeno tak, aby nebyly ohroženy např. živelnými pohromami. • Bezpečnost informačních a komunikačních technologií – podporuje omezení neautorizovaných přístupů, zničení a nepřijatelné zásahy do vybavení informačních a komunikačních technologií. 6.3.3.2.

•

Bezpečnost vybavení společnosti

Ochrana a umístění vybavení – zařízení musí být fyzicky chráněna proti bezpečnostním hrozbám a působení vnějších vlivů. Ochrana je nezbytná jak pro snížení rizika neautorizovaného přístupu k datům, tak k zajištění ochrany proti ztrátě nebo poškození. • Bezpečné nakládání s počítačovým vybavením – pozornost musí být věnována nejen umístění zařízení, ale i jejich vyřazení a likvidaci. Musí být zabráněno vyzrazení obchodních informací společnosti prostřednictvím vyřazeného a prodaného vybavení. • Bezpečnost vybavení mimo provozovny – je zapotřebí věnovat se též problematice informací zpracovávaných mimo sídlo společnosti, které mohou být rovněž ohroženy. • Bezpečnost kabelových rozvodů – síťové a telekomunikační kabelové rozvody, které jsou určeny pro přenos dat a podporu informačních služeb musí být chráněn před poškozením a odposlechem.

6.3


•

74

Zásobování energií – zabezpečit, aby základní IT vybavení bylo chráněno před zničením odchylkami v napájení. Dále je třeba ošetřit, aby výpadky proudu neohrozily běh nutných obchodních operací.

6.3.4. Personální bezpečnost •

Bezpečnost v popisu práce – odpovědnost za bezpečnost musí být zohledněna v rámci přijímacího řízení, zahrnuta v pracovních smlouvách a jejich dodržování musí být sledováno během celé doby trvání zaměstnání. Všichni zaměstnanci a pracovníci třetích stran, využívající prostředky společnosti pro zpracování informací, musí podepsat smlouvu o zachování důvěrnosti. • Školení uživatelů – cílem je zajistit, aby si uživatelé byli vědomi bezpečnostních hrozeb a problémů s nimi spjatých a byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce. Školení v bezpečnostních postupech a ve správném používání prostředků pro zpracování informací vede k minimalizaci bezpečnostních rizik. • Reakce na bezpečnostní incidenty a selhání – všichni zaměstnanci a smluvní strany by měli znát postupy hlášení různých typů incidentů (např. narušení bezpečnosti, možné hrozby, slabiny nebo chybné fungování), které mohou mít dopad na bezpečnost aktiv organizace. Zjištěné bezpečnostní incidenty nebo podezření je třeba ihned hlásit na předem určené místo. Společnost musí vytvořit formalizovaná pravidla pro disciplinární řízení se zaměstnanci, kteří způsobili narušení bezpečnosti. Pro správnou identifikaci incidentu je nezbytné co nejdříve po výskytu události zajistit důkazy.

7

SHRNUTÍ A DISKUSE

75

7 Shrnutí a diskuse Jedním z důvodů tvorby mé práce bylo bližší seznámení s problematikou bezpečnosti informací ve společnosti a upozornění na nezbytnost ochrany dat v každé společnosti, protože data tvoří cenné aktivum, které je zapotřebí chránit atd. Informační bezpečnost, dle průzkumu PSIB, není pro mnoho organizací v ČR již zdaleka něčím neznámým (viz. kapitola 3.4). Pokud společnosti začínají uvažovat o řízení bezpečnosti IT bývá to z různých důvodů. Může to být uvědomění si ceny informací uložených a zpracovávaných informačním systémem společnosti, kritičnosti informací pro činnost společnosti nebo rizik a reálných problémů, které těmto informacím hrozí. Také to mohou být legislativní požadavky vycházející z platných právních norem a předpisů. Nebo se může jednat o rozhodnutí vedení, akcionářů či vlastníků nebo někomu „osvícenému“ ze společnosti to připadne jako vhodná věc, která by zvýšila produktivitu a snížila rizika ztrát. Ať už je důvod jakýkoliv, vždy je důležitý jeden moment, a to takový, že řízení bezpečnosti IT musí mít bezesporu podporu vedení společnosti. Vedení společnosti musí učinit rozhodnutí, že chce řešit řízení bezpečnosti IT, musí si uvědomit, že řízení bezpečnosti IT bude stát jisté úsilí a peníze a že přinese – vedle svých výhod – i určité nevýhody, např. omezení komunikačního provozu, snížení průchodnosti systému, zvýšené požadavky na personál. Dalším cílem této práce bylo zjistit stávající situaci týkající se informační bezpečnosti ve vybrané společnosti a navrhnout systém řízení informační bezpečnosti této společnosti. Nejprve jsem provedla analýzu současného stavu prostřednictvím konzultací a pohovorů ve společnosti a z těchto zjištěných informací jsem stanovila úvodní pohled na informační bezpečnost ve společnosti (viz. kapitola 5.7). Pak jsem provedla návrh dotazníků pro zjištění stupně informační bezpečnosti. Tyto dotazníky byly pak předloženy společnosti. Vyplnilo je vedení společnosti ve spolupráci s externím pracovníkem a 5 zaměstnanců společnosti. Po vyhodnocení jsem stanovila pravděpodobný stav společnosti v oblasti bezpečnosti informací a stupeň bezpečnosti v jednotlivých oblastech (viz. kapitola 5.9). Společnost se již bezpečností svých informací zabývá, užívá služeb externího specialisty a také má již některá opatření ve formě bezpečnostních předpisů, která jsem uvedla výše (viz. kapitola 5.3 a 5.4). Společnost má již vyřešenu antivirovou ochranu na úrovni stanic i serverů, chrání přístup do své sítě pomocí firewallu atd., ale jednotlivé bezpečnostní procesy probíhají prozatím spíše chaoticky, nejsou dokumentovány, ani nejsou přesně stanoveny konkrétní role a odpovědnosti. Pouhé ujasnění hierarchie, stanovení potřebných postupů a odpovědností příliš mnoho nestojí, ale přitom může mnoho potenciálních nákladů ušetřit. V této souvislosti je nutné zmínit, že je třeba ve společnosti pověřit osoby, které budou mít informační bezpečnost na starosti. Mohl by to být např. správce sítě nebo pracovník oddělení IT, kterého prozatím společnost nemá, ale bylo by vhodné jej ve společnosti zaměstnat. Hlavním nedostatkem společnosti shledávám neexistenci dokumentované bezpečnostní politiky a také nedokonalé zálohování. Z toho vyplývá i nedostatečné povědomí zaměstnanců o bezpečnosti informací ve společnosti. Co se týče neuspokojivého stavu zálohování, navrhuji vypracovat Plán zálohování a zabudovat externí záložní disk na

7

SHRNUTÍ A DISKUSE

76

serveru, který bude automaticky zálohování provádět každý den. Pro řešení jednoho z hlavních nedostatků, jsem provedla návrh Bezpečnostní politiky ve společnosti ve formě bezpečnostních cílů a pravidel různých oblastí (viz. kapitola 6). Tato politika musí být schválena vedením společnosti a dále zpracována do podoby interních směrnic upravujících celý tento problém. Tyto musí být závazné a jejich nedodržení postižitelné. Do procesu návrhu směrnic musí být vždy zapojen člověk, který je dokonale seznámen s předpisy ve společnosti, nemůže je navrhovat pouze sama externí firma. Největším rizikem pro společnost jsou bezesporu lidé. Z tohoto důvodu je naprosto nezbytné, aby byla vytvořena pravidla, která budou všichni zaměstnanci dodržovat. U zaměstnanců se znalostí těchto pravidel zvýší pocit nutnosti bezpečnostního uvědomění a sounáležitosti ke společnosti a k provozovanému IS. Také by bylo vhodné umožnit zapojení zaměstnanců do modifikace těchto pravidel. Je nutné pamatovat na vhodnou míru a zabránit tak zavádění bezpečnostních pravidel do extrémů, aby nebyla narušena efektivita práce. Bezpečnostní politika je základním a obecným dokumentem, který popisuje pro všechny potenciální uživatele informačního systému rámcově jejich funkci a definuje pravidla pro jejich užívání. Lze konstatovat, že zhodnocení stávající situace, provedením analýzy rizik a tvorbou bezpečnostní politiky byl započat proces systematického řešení informační bezpečnosti v dané společnosti. Není snad již nutné připomínat, že zavedením proces nekončí, ale je zapotřebí neustále provádět kontroly, sledovat a zavádět novinky v této oblasti. Ve společnosti by mělo též probíhat pravidelné školení v dané problematice. Pro zvýšení důvěryhodnosti společnosti u svých partnerů, zákazníků, pro internetové bankovnictví a pro styk s orgány státní správy doporučuji využití elektronického podpisu. V neposlední řadě pro provoz VPN společnosti navrhuji užívání bezpečnějšího protokolu WPA. Společnost by také mohla uvažovat o zavedení systému pro detekci průniku.

8

ZÁVĚR

77

8 Závěr Informatická podpora vnitřních a vnějších procesů je v současnosti již nezbytným předpokladem, aby společnost měla šanci existovat v dnešní digitální ekonomice. Komplexní propojování se zákazníky, dodavateli, organizacemi státní správy atp. je imperativem globalizujícího se světa podnikání. Zajištění spolehlivosti, integrity, důvěrnosti, tedy zajištění informační bezpečnosti se proto stává rozhodujícím faktorem při použití informačních a komunikačních technologií. Hodnotu správné informace poskytnuté a dostupné ve správný čas a oprávněnému subjektu je dnes možné kvantifikovat (např. finančně). Obtížněji se však hodnotí dopady kvalitativní. Stále rostoucí počítačová kriminalita, externí a interní útoky na informační zdroje společnosti, potřeba ochrany autorských a průmyslových práv, to jsou cesty, kde může docházet ke kvalitativním ztrátám jako je dobrá pověst, ztráta důvěry partnerů a zákazníků, ohrožení existence neinformovaností apod. Každá společnost by proto měla vnímat informační bezpečnost jako nutný předpoklad svého úspěšného rozvoje. Informační bezpečnost ale nelze získat jen pouhou instalací bezpečnostního produktu. Dosažení a především udržení informační bezpečnosti, jak jsem již několikrát uvedla, je nepřetržitý a nikdy nekončící proces, kde produkty a lidé jsou jeho komponentami a nositeli. Pouze v takovém případě je možné dosáhnout požadované a potřebné důvěryhodnosti. Avšak je jisté že existují společnosti, které se informační bezpečností prozatím nezajímají vůbec nebo jen okrajově, a teprve když útočník využije zranitelných míst, po vzniku bezpečnostního incidentu, reagují a snaží se o nápravu. Lépe je však takovýmto stavům předcházet. Nelze přehlédnout hrozby, které společnosti denně ohrožují a výskyt incidentů, jejichž dopad může narušit plynulý chod společnosti, způsobit tak značné škody nebo být dokonce příčinou ukončení činnosti (především u malých společností). Proto by se i tyto společnosti měly informační bezpečností co nejdříve začít zabývat. Myslím si, že se mi podařilo splnit cíl práce stanovený na jejím počátku. Přínosem mé práce je jak seznámení s problematikou bezpečnosti informací ve společnosti a jejího systémového řízení, zvýšení povědomí v této oblasti, tak implementace v konkrétní společnosti. Každá společnost se liší a má odlišné procesy, ale jsem přesvědčena, že by tato práce mohla být použita jako inspirace a model pro obdobné společnosti s přibližně stejnou velikostí a zaměřením.

9

LITERATURA

78

9 Literatura [1] HVOZDECKÝ L. Ochrana dat a informací. Dokument ve formátu HTML. Elektronická adresa http://www.konjunktura.cz/index.php3?w=art&id=1220&rub424&s=3f99faa4 0b9418450edfa4d2f97a26ad. 3. září 2006. [2] HANÁČEK, P., STAUDEK, J. Bezpečnost informačních systémů. Praha: ÚSIS, 2000. 127 s. ISBN 80-238-5400-3. [3] RODRYČOVÁ, D., STAŠA, P. Bezpečnost informací jako podmínka prosperity firmy. 1. vyd. Praha: 2000. 143 s. ISBN 80-7169-144-5. [4] ERNST & YOUNG, DSM – DATA SECURITY MANAGEMENT, NBÚ, PSIB ČR 05: Průzkum stavu informační bezpečnosti v ČR 2005. Praha: NBÚ, 2005. 32 s. ISBN 8086813-07-X. [5] ERNST & YOUNG, DSM – DATA SECURITY MANAGEMENT, NBÚ, PSIB ČR 03: Průzkum stavu informační bezpečnosti v ČR 2003. Praha: NBÚ, 2003. 28 s. ISBN 80902858-8-0. [6] POŽÁR, J. Informační bezpečnost. 1. vyd. Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2005. 309 s. ISBN 80-86898-38-5. [7] ČSN BS 7799-2. Systém managementu bezpečnosti informací – Specifikace s návodem pro použití. Praha: Český normalizační institut, 2004. [8] ČSN ISO/IEC 17799. Informační technologie – Soubor postupů pro management bezpečnosti informací. Praha: Český normalizační institut, 2005. [9] DOSEDĚL, T. Počítačová bezpečnost a ochrana dat. 1. vyd. Brno: Computer Press, 2004. 190 s. ISBN 80-251-0106-1. [10] DOSTÁLEK, L. A KOL. Velký průvodce protokoly TCP/IP. Bezpečnost. 2. vyd. Praha: Computer Press, 2003. 571 s. ISBN 80-7226-849-X. [11] DRYŠL, K. Řízení bezpečnosti IT v malých až středních podnicích. (Diplomová práce). Brno: MZLU, 2006. [12] DYMÁČEK, J. Bezpečnost firewallů – zabezpečení firemních sítí. Dokument ve formátu HTML. Elektronická adresa http://www.lupa.cz/clanky/bezpecnostfirewallu-zabezpeceni-firemnich-siti. 20. září 2006. [13] KUNDEROVÁ, L. Studijní materiály do předmětu Bezpečnost IS/IT. Dokument ve formátu HTML. Elektronická adresa https://akela.mendelu.cz/~lidak/bis/index.htm. 4. října 2006. [14] LASEK, P. Detekce a ochrana před hackerskými útoky - úvod. Dokument ve formátu HTML. Elektronická adresa http://www.svetsiti.cz/view.asp?rubrika=Technologie&cl anekID=232. 17. září 2006.

9

LITERATURA

79

[15] MINISTERSTVO INFORMATIKY ČR. Bezpečnost informačních systémů. Dokument ve formátu PDF. Elektronická adresa http://www.micr.cz/scripts/detail.php?id=479. 8. října 2006. [16] MIKULECKÝ, J. ISMS pro malé a střední organizace. Dokument ve formátu PDF. Elektronická adresa http://www.rac.cz/rac/homepage.nsf/CZ/ISMS. 18. října 2006. [17] NÁDENÍČEK, P. Finance a bezpečnost, aneb peníze až na prvním místě. Dokument ve formátu HTML. Elektronická adresa http://www.finance.cz/zpravy/finance/66819finance-a-bezpecnost-aneb-penize-az-na-prvnim-miste. 26. října 2006. [18] NÁDENÍČEK, P. Ohlédnutí za bezpečností v roce 2004. Dokument ve formátu HTML. Elektronická adresa http://www.svetsiti.cz/view.asp?rubrika=Aktuality&clanekID= 500. 14. října 2006. [19] RELSIE JOURNAL. Bezpečnost IS – co to znamená? (1. díl). Dokument ve formátu HTML. Elektronická adresa http://www.isvs.cz/bezpecnost/bezpecnost-is-co-toznamena-1-dil-html. 20. října 2006. [20] RELSIE JOURNAL. Bezpečnostní politika (2. díl). Dokument ve formátu HTML. Elektronická adresa http://www.isvs.cz/bezpecnost/bezpecnostni-politika-2-dil-.html. 20. října 2006. [21] RELSIE JOURNAL. Bezpečnost informačních systémů – rizika (3. díl). Dokument ve formátu HTML. Elektronická adresa http://www.isvs.cz/bezpecnost/bezpecnostinformacnich-systemu-rizika-3-dil-.html. 20. října 2006. [22] PUŽMANOVÁ, R. Moderní komunikační sítě od A do Z. 1. vyd. Praha: Computer Press, 1998. 446 s. ISBN 80-7226-098-7. [23] PELTIER, T. R. Information Security Risk Analysis. 1. vyd. Boca Raton: Auerbach, 2003. 281 s. ISBN 0-8493-0880-1. [24] PETERKA, J. Jak fungují firewally? Dokument ve formátu HTML. Elektronická adresa http://www.earchiv.cz/b03/b0800001.php3. 20. října 2006. [25] SECUNET. Váš partner v řešení informační bezpečnosti. Dokument ve formátu HTML nebo PDF. Elektronická adresa www.secunet.cz/company/pdf/Profil%20Secunet.pdf 21. října 2006. [26] VYSKOČ, J. Informační bezpečnost u malých a středních firem. Dokument ve formátu HTML. Elektronická adresa http://www.dsm.tate.cz/index.php?typ=DAA&showid=3 &fla=1. 20. října 2006.

Návrh systémového řízení informační bezpečnosti ve výrobně obchodní společnosti

Recommend Documents