UNICORN COLLEGE Katedra informačních technologií
BAKALÁŘSKÁ PRÁCE
Zabezpečení účetních dat ve firmě WaveNet.cz, s.r.o.
Autor BP: Tomáš Kasper Vedoucí BP: Ing. David Procházka, Ph.D.
2014 Praha
ZADÁNÍ
ZADÁNÍ
ČESTNÉ PROHLÁŠENÍ Prohlašuji, že jsem svou bakalářskou práci na téma Zabezpečení účetních dat ve firmě WaveNet.cz, s.r.o. vypracoval samostatně pod vedením vedoucího bakalářské práce a s použitím výhradně odborné literatury a dalších informačních zdrojů, které jsou v práci citovány a jsou také uvedeny v seznamu literatury a použitých zdrojů. Jako autor této bakalářské práce dále prohlašuji, že v souvislosti s jejím vytvořením jsem neporušil autorská práva třetích osob a jsem si plně vědom následků porušení ustanovení § 11 a následujících autorského zákona č. 121/2000 Sb.
V Praze dne ………..
.......................................................
PODĚKOVÁNÍ Děkuji vedoucímu bakalářské práce Ing. Davidu Procházkovi, Ph.D. za účinnou metodickou, pedagogickou a odbornou pomoc a další cenné rady při zpracování mé bakalářské práce. Děkuji také Petru Forejtkovi a kolektivu pracovníků společnosti WaveNet.cz, s.r.o. za to, že mi svým kladným přístupem umožnili tuto práci realizovat.
Zabezpečení účetních dat ve firmě WaveNet.cz, s.r.o. Accounting Data Security in WaveNet.cz, s.r.o. company
6
ABSTRAKT Cílem práce je navrhnout ucelený soubor opatření vedoucích ke zvýšení úrovně bezpečnosti a ochrany dat v obchodní společnosti, jež poskytuje účetní služby sobě a dalším subjektům. V teoretické části se zabývám kromě základní terminologie i podstatou účetních dat a výběrem nejvhodnější metodiky pro řízení bezpečnosti informací ve firmě malé velikosti, tedy s výrazně omezenou kapacitou finančních i lidských zdrojů. V praktické části zkoumám zvolenou firmu a hodnotím stávající úroveň informační bezpečnosti prostřednictvím auditu. Na základě zjištěných nedostatků dále stanovuji konkrétní opatření rozdělené do čtyř hlavních částí. Těmi jsou řízení rizik, řízení bezpečnosti procesů a technologií, řízení lidí a řízení bezpečnostních incidentů. Výsledkem je návrh ekonomicky i procesně opodstatněného zabezpečení účetních dat v reálném prostředí vybrané firmy, tak jak je popsán v bakalářské práci. Klíčová slova: Bezpečnost informací, bezpečnostní incidenty, bezpečnost účetních dat, analýza rizik
7
ABSTRACT The goal if this thesis is to propose a comprehensive set of measures to increase the level of security and data protection in a company that provides accounting services for themselves and others. In the theoretical part I deal with the basic terminology, substance of accounting data and selection of the most appropriate methodology for information security management in small size enterprise with significantly limited capacity of financial and human resources. The practical part explores the selected company and evaluates the current level of information security through audit. Based on revealed shortcomings I suggest further measures divided into four main parts. These include risk management, security management of processes and technology, human resources management and management of security incidents. The result is a design of procedurally and economically well-founded security of accounting data in a real environment of selected company, as described in the thesis. Keywords: Information security, security incidents, accounting data security, risk assessment
8
OBSAH 1. ÚVOD........................................................................................................................................................................ 10 2. TEORETICKÁ ČÁST............................................................................................................................................. 11 2.1 Základní pojmy bezpečnosti a ochrany dat..................................................................................... 11 2.1.1 Informace a data............................................................................................................................... 11 2.1.2 Informační bezpečnost.................................................................................................................. 11 2.1.3 Aktiva.................................................................................................................................................... 11 2.1.4 Hrozba.................................................................................................................................................. 12 2.1.5 Zranitelnost........................................................................................................................................ 12 2.1.6 Bezpečnostní incident.................................................................................................................... 13 2.1.7 Autentizace a autorizace............................................................................................................... 13 2.1.8 Princip důvěrnosti, dostupnosti a integrity...........................................................................13 2.1.9 Bezpečnost dat v cloudu............................................................................................................... 14 2.2 Bezpečnost v oblasti vedení účetnictví............................................................................................. 16 2.2.1 Finanční účetnictví.......................................................................................................................... 16 2.2.2 Zákon o účetnictví a podstata účetních dat...........................................................................17 2.2.3 Zákon o ochraně osobních údajů............................................................................................... 17 2.2.4 Bezpečnost účetních dat............................................................................................................... 18 2.2.5 Budoucnost vedení účetnictví..................................................................................................... 19 2.3 Řízení bezpečnosti informací................................................................................................................ 20 2.3.1 ITIL........................................................................................................................................................ 21 2.3.2 COBIT.................................................................................................................................................... 21 2.3.3 ISO/IEC 27000.................................................................................................................................. 22 2.3.4 Metodika vyvážené informační bezpečnosti.........................................................................22 2.3.5 Výběr metodiky řízení bezpečnosti.......................................................................................... 24 3. PRAKTICKÁ ČÁST................................................................................................................................................ 25 3.1 Společnost WaveNet.cz, s.r.o.................................................................................................................. 25 3.1.1 Podnikové role.................................................................................................................................. 25 3.1.2 ICT infrastruktura............................................................................................................................ 25 3.1.3 Proces vedení účetnictví............................................................................................................... 27 3.1.4 Hranice řešené problematiky...................................................................................................... 27 3.2 Audit současného stavu........................................................................................................................... 28 3.2.1 Úroveň závislosti podniku na IT................................................................................................. 28 3.2.2 Úroveň řízení rizik........................................................................................................................... 29 3.2.3 Úroveň řízení bezpečnosti procesů a technologií...............................................................29 3.2.4 Úroveň řízení lidských zdrojů..................................................................................................... 31 3.2.5 Úroveň řízení bezpečnostních incidentů................................................................................ 32 3.2.6 Interpretace zjištěných výsledků............................................................................................... 34 3.3 Řízení rizik.................................................................................................................................................... 35 3.3.1 Hodnocení aktiv................................................................................................................................ 35 3.3.2 Hodnocení hrozeb............................................................................................................................ 36 3.3.3 Hodnocení zranitelností................................................................................................................ 37 3.3.4 Hodnocení rizik................................................................................................................................ 41 3.4 Řízení bezpečnosti procesů a technologií........................................................................................42 3.4.1 Bezpečnostní perimetr.................................................................................................................. 42 3.4.2 Zabezpečení archivačních skříní................................................................................................ 42 3.4.3 Firemní trezor................................................................................................................................... 43 3.4.4 Fyzické zabezpečení serveru....................................................................................................... 43 3.4.5 Záložní napájení............................................................................................................................... 43 9
3.4.6 Zálohování.......................................................................................................................................... 44 3.4.7 Údržba aktiv....................................................................................................................................... 46 3.4.8 Likvidace aktiv.................................................................................................................................. 46 3.4.9 Monitoring systémových a síťových zdrojů...........................................................................48 3.4.10 Bezpečnost a kontrola přístupového bodu WiFi...............................................................49 3.4.11 Bezpečnost a kontrola serveru................................................................................................ 49 3.4.12 Bezpečnost a kontrola pracovní stanice...............................................................................51 3.4.13 Bezpečnost a kontrola mobilních telefonů a tabletů.......................................................51 3.4.14 Bezpečnost systému pro vedení účetnictví a účetních dat...........................................53 3.4.15 Elektronická komunikace........................................................................................................... 54 3.4.16 Systém souhrnných hlášení....................................................................................................... 55 3.4.17 Bezpečnost datových nosičů..................................................................................................... 56 3.4.18 Bezpečnostní kalendář................................................................................................................ 57 3.4.19 Schvalování aplikací..................................................................................................................... 57 3.4.20 Tvorba silného hesla.................................................................................................................... 57 3.4.21 Identifikace a autentizace uživatelů....................................................................................... 57 3.4.22 Správa uživatelských účtů a hesel........................................................................................... 58 3.4.23 Segregace sítě.................................................................................................................................. 58 3.4.24 Zásada čistého stolu a prázdné obrazovky..........................................................................59 3.4.25 Kryptografická ochrana.............................................................................................................. 59 3.5 Řízení lidských zdrojů.............................................................................................................................. 61 3.5.1 Definice rolí bezpečnostní politiky........................................................................................... 61 3.5.2 Pracovní smlouvy............................................................................................................................. 63 3.5.3 Zahájení pracovního poměru...................................................................................................... 63 3.5.4 Ukončení pracovního poměru.................................................................................................... 64 3.5.5 Postihy za porušování bezpečnostní politiky.......................................................................64 3.5.6 Školení v oblasti bezpečnosti informací................................................................................. 65 3.6 Řízení bezpečnostních incidentů......................................................................................................... 66 3.6.1 Příprava a plánování....................................................................................................................... 66 3.6.2 Detekce a analýza............................................................................................................................. 66 3.6.3 Obnova po bezpečnostním incidentu....................................................................................... 67 3.6.4 Obnova serveru................................................................................................................................. 68 3.6.5 Obnova pracovní stanice............................................................................................................... 69 3.6.6 Obnova mobilních zařízení.......................................................................................................... 69 3.6.7 Obnova tiskárny, přístupového bodu WiFi a přepínače....................................................69 3.6.8 Odhad časové náročnosti obnovy a výměny zařízení........................................................70 3.6.9 Zajištění procesu vedení účetnictví.......................................................................................... 70 3.6.10 Dlouhodobá rekonstrukce kancelářských prostor...........................................................71 3.7 Bezpečnostní dokumentace................................................................................................................... 72 3.8 Ekonomická náročnost navrhovaného řešení................................................................................74 3.9 Zhodnocení a výhled do budoucna..................................................................................................... 75 4. ZÁVĚR....................................................................................................................................................................... 76 5. CONCLUSION......................................................................................................................................................... 78 6. SEZNAM POUŽITÝCH ZKRATEK.................................................................................................................... 80 7. SEZNAM ZDROJŮ................................................................................................................................................. 82 7.1 Knižní zdroje................................................................................................................................................ 82 7.2 Internetové zdroje..................................................................................................................................... 83 7.3 Software......................................................................................................................................................... 85 8. SEZNAM ILUSTRACÍ........................................................................................................................................... 87 9. SEZNAM TABULEK.............................................................................................................................................. 88 10. SEZNAM PŘÍLOH............................................................................................................................................... 89
10
1.
ÚVOD
Pro malé podniky je typické, že kvůli procesní a personální náročnosti bezpečnost dat příliš neřeší a spíše marně doufají, že se jich tato problematika netýká. To lze do určité míry pochopit. Je to však důvod, proč na jakékoli systematické řízení bezpečnosti úplně kapitulovat? Osobně si to nemyslím a proto cílem mé práce je navrhnout efektivní způsob zajištění bezpečnosti účetních dat v reálném prostředí vybrané firmy, od jejíhož vedení tento požadavek původně vzešel. Získáním podpory managementu je tak splněna základní podmínka úspěšného dosažení vytyčeného cíle. Pro lepší srozumitelnost bude práce rozdělena do několika částí tak, jak lze vidět na obrázku 1.
Ilustrace 1: Struktura práce
Zdroj: Vlastní zpracování
Nejprve budou vymezeny důležité pojmy vyskytující se v oboru informační bezpečnosti, následně zmapovány a zváženy způsoby, jakými se tato problematika obvykle řeší. Dále bude popsána vybraná firma a proveden audit, na jehož základě budou navržena opatření vedoucí ke zvýšení celkové úrovně bezpečnosti dat. Motivací ke zpracování tématu je pro mne zájem, který ve mně vzbudil právě bezpečnostní aspekt informačních systémů a ICT infrastruktury probíraný v rámci několika předmětů vyučovaných na Unicorn College. Pro dosažení vytyčeného cíle plánuji plně využít znalostí a dovedností získaných jak praxí v oblasti správy sítí a operačních systémů, tak studiem na škole.
11
2.
TEORETICKÁ ČÁST
2.1 Základní pojmy bezpečnosti a ochrany dat 2.1.1 Informace a data Informací rozumíme objekt nehmotné povahy, sdělení zprávy, jež u příjemce informace snižuje neurčitost. Údaje, ze kterých lze vynaložením určitého úsilí získat informaci, nazýváme data. Z uvedených faktů tedy lze odvodit, že informace jsou podmnožinou dat. Na rozdíl od informací jsou data velmi obecná a sama o sobě tak u příjemce neurčitost snižovat nemusí. Důležitou vlastností dat je jejich přirozená vhodnost pro další zpracování, ukládání či přenos.1
2.1.2 Informační bezpečnost Informační bezpečností se nazývá ucelený soubor činností, jejichž prostřednictvím se lze systematicky chránit proti rizikům, jež jsou spojeny se zpracováním dat. Mezi zmíněné činnosti se řadí mimo jiné řízení rizik, řízení procesů, řízení technologií a také řízení lidí. Vyjdeme-li z dříve uvedené definice informací a dat, lze na problematiku pohlížet i tak, že důsledným zajišťováním bezpečnosti dat zároveň zajišťujeme i bezpečnost informací.
2.1.3 Aktiva Cokoli, co má pro firmu dostatečnou hodnotu na to, aby hledala způsob, jakým to ochránit, lze nazvat aktivem, přesněji také informačním aktivem. Typicky se jedná o počítačové soubory, síťové služby, hardware, software, procesy, produkty, ICT infrastrukturu, osoby, budovy, pozemky atd. Poškození či ztráta aktiva se zpravidla negativně projeví v jednom či více aspektech organizace, od poklesu produktivity přes finanční ztráty až po ukončení provozu. Práce se zabývá také účetnictvím, se kterým pojem aktiva velmi úzce souvisí. Účetní aktiva představují cokoli, co účetní jednotka vlastní a v budoucnu jí to přinese ekonomický prospěch, což mohou být třeba peníze, majetek, zásoby atd. Informační aktivum a účetní aktivum jsou tedy rozdílné pojmy, ale mohou představovat totéž. Jako příklad lze uvést funkční pevný disk v počítači, který byl vyřazen z evidence majetku a nemá tedy z pohledu účetnictví žádnou cenu, již není účetním aktivem. Tento disk však obsahuje citlivá data, jejichž zneužití by společnosti mohlo výrazně uškodit. Z pohledu bezpečnosti informací tak stále má vysokou cenu, a dokud nedojde k jeho bezpečné likvidaci, bude i nadále považován za 1
ŠENOVSKÝ, P.: Bezpečnostní informatika 1 [online]. 5. vyd. Ostrava, 2010. [cit. 2013-12-08], str. 7, 12
12
informační aktivum. Pro potřeby této práce se pojmem aktiva rozumí informační aktiva, pokud není uvedeno jinak. Hodnocení aktiv lze provádět pomocí dvou metod, buď kvantitativně a nebo kvalitativně. U kvantitativní metody je aktivu přidělena hodnota vyjádřená v peněžních jednotkách na základě ceny aktiva tak, jak ji vnímá sama organizace. Nemusí se tedy jednat pouze o hodnotu plynoucí výhradně z účetnictví. Při kvalitativním hodnocení jsou aktivu místo peněžních hodnot přidělovány body na základě stupnice a subjektivní hodnocení zpravidla provádí sám vlastník aktiva.
2.1.4 Hrozba Hrozbou se nazývá jakákoli potenciální příčina negativního působení na organizaci nebo na některé z jejích aktiv. Hrozby se liší svou velikostí i velikostí napáchaných škod a v úplném počátku je lze rozdělit na úmyslné a neúmyslné. Pro úmyslné hrozby je definujícím faktorem motiv, ať už se jedná o úmysl škodit pro zábavu či kvůli finančnímu zisku. Pro neúmyslné hrozby však toto neplatí. Jejich existence není podložena motivem, ale spíše nevědomostí a nezodpovědným přístupem lidí, vyšší mocí přírodních živlů či nedokonalostí hardwaru a softwaru. Jak již bylo naznačeno, příkladem úmyslné hrozby může být obyčejný zloděj, stejně tak jako špatně anglicky hovořící pán z jihovýchodní Afriky, jenž se snaží pomocí dojemného e-mailu a vidiny tučné provize vylákat z lidí jejich těžce vydělané peníze. Úmyslné hrozby je možné ještě dále rozdělit na vnitřní a vnější, přičemž zlodějem z vnějšku bude osoba cizí, zlodějem z vnitřku třeba nespokojený zaměstnanec. Příkladem neúmyslné hrozby může být silná bouřka, která poškodí vedení vysokého napětí a zapříčiní tak dlouhotrvající výpadek elektrické energie.2
2.1.5 Zranitelnost Zranitelnost je definována jako slabé místo, pro které není zavedeno adekvátní bezpečnostní opatření, případně jakékoli opatření úplně chybí. Zranitelnost se neváže pouze k bezpečnosti v oblasti IT, ale ke všem složkám organizace. Pokud je zranitelnost zneužita hrozbou, může dojít k poškození nebo ztrátě jednoho či více aktiv.3
2 3
STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 2011, str. 238 STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 2011, str. 238-239
13
2.1.6 Bezpečnostní incident Bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných indikovaných bezpečnostních událostí, jimiž může být s vysokou pravděpodobností narušena podpora hlavních nebo podpůrných procesů organizace nebo díky nimž může dojít k narušení bezpečnosti informačního systému. S bezpečnostní událostí přichází obvykle do prvního kontaktu běžný uživatel. Na jeho schopnosti rozpoznat, zda se skutečně jedná o bezpečnostní incident, závisí rychlost reakce a včasné řešení zjištěné události. 4
2.1.7 Autentizace a autorizace Autentizací se nazývá proces ověření či testování platnosti údajné identity. Nejtypičtějším způsobem autentizace je zadání kombinace uživatelského jména a hesla. V tomto případě hovoříme také o autentizaci znalostí. Dalším typem je autentizace vlastnictvím, kterým může být například elektronická karta zaměstnance. Zbývá ještě autentizace vlastností, neboli biometrickým faktorem. Obvykle se jedná o otisk prstu, hlasový projev, oční retinu, tvar obličeje a další.5 V praxi se často používají také kombinace zmíněných typů. Pokud se v rámci systému uživatelé prokazují právě znalostí či vlastnictvím, je nesmírně důležité zajistit tyto prostředky proti krádeži a předcházet tak zneužití identity. Autorizace je proces, kdy se ověřuje, zda-li má autentizovaná identita oprávnění k vykonání požadované akce. Příkladem může být účetní aplikace, do které je nutné se přihlásit pomocí jména a hesla. Po úspěšném přihlášení účetní zvolí k práci agendu, která však nespadá do jeho působnosti a systém mu zobrazí chybovou hlášku, že pro manipulaci s vybranou agendou nemá oprávnění. Prošel tedy procesem autentizace, nikoli však už procesem autorizace.
2.1.8 Princip důvěrnosti, dostupnosti a integrity Aby bylo možné efektivně plánovat řízení rizik vázajících se k bezpečnosti dat, je důležité určit, z jakého hlediska chceme data chránit. Za tímto účelem byla definována tzv. CIA triáda sestávající z počátečních písmen anglických slov pro důvěrnost (confidentiality), integritu (integrity) a dostupnost (availability). Jedná se v podstatě o nejzákladnější soubor klíčových principů protínající celou řešenou problematiku informační bezpečnosti. Důvěrnost chápeme jako stav, ve kterém chráněné informace zůstávají utajeny. Příkladem může být databáze platebních údajů našich zákazníků, kterou se snažíme vhodným 4 5
DOUCEK, P.: Bezpečnostní incidenty IS/ICT a jejich řešení [online]. Praha, 2005. [cit. 2013-12-08], str. 79 STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 2011, str. 6, 7
14
zabezpečením chránit před útočníky. Pokud zavedená bezpečnostní opatření selžou a útočník získá seznam kreditních karet klientů, dojde tak k porušení principu důvěrnosti. V takovém případě hovoříme o prozrazení utajovaných informací. K porušení principu dostupnosti může dojít například v situaci, kdy útočník zahltí databázi platebních údajů velkým množstvím nesmyslných požadavků a omezí tak schopnost uživatelů čerpat z ní požadované informace. Obdobně, pokud se útočník po úspěšném průlomu do databáze rozhodne škodit, může například odstranit vazby mezi klienty a jejich platebními kartami, čímž zcela jistě dojde přinejmenším k porušení principu integrity. Již delší dobu se mezi odborníky vede diskuze o tom, zda-li by nebylo vhodné CIA triádu dále oficiálně rozvinout, například tak, jak navrhl bezpečnostní specialista Donn B. Parker. Ten zavedením tzv. Parkerianovy hexády rozšířil koncept původní triády o další tři položky, a to konkrétně o vlastnictví (possession), autenticitu (authenticity) a užitečnost (utility). Vlastnictvím je myšlen stav, kdy nějaké aktivum skutečně vlastníme a máme nad ním kontrolu. Autenticita spočívá v ověření, zda proklamované autorství požadavku odpovídá realitě. Příkladem zde může být plná moc podepsaná notářsky či úředně ověřeným podpisem. Užitečností je pak myšlen stav, kdy jsou data v takové formě, která neznesnadňuje jejich interpretaci, např. údaje, které byly dříve reprezentovány grafem jsou nyní dostupné pouze jako čísla v tabulce, což ztěžuje schopnost člověka jim porozumět. 6
2.1.9 Bezpečnost dat v cloudu V posledních letech je velmi skloňován termín „Cloud computing“. Jedná se o spojování velkého množství počítačů v reálném čase pomocí internetu, za účelem poskytování služeb od infrastruktury (IaaS)7, přes prostředí (PaaS) až po samotné konkrétní aplikace (SaaS). Zákazník pak platí pouze za pronájem jedné či více zmíněných služeb, ke kterým přistupuje prostřednictvím internetu a veškerou zodpovědnost za provoz, údržbu a vývoj nese poskytovatel služby. Velkou výhodou cloudu je možnost flexibilně alokovat kapacitu zdrojů podle aktuální potřeby firmy, která nakonec zaplatí pouze za to, co fakticky využije. Cloud může být privátní, vytvořený společností pouze pro interní účely organizace nebo veřejný, tedy dostupný každému, kdo za službu zaplatí. Využívá se i kombinovaná forma, například privátní cloud dočasně posílený o kapacity toho veřejného. Typickými příklady cloudových služeb jsou Google Apps, Amazon Elastic Cloud, velkou oblibu si v posledních letech získal například také Dropbox.
6 7
HANÁČEK, P., STAUDEK, J.: Bezpečnost informačních systémů. Praha: ÚSIS, 2000, str 17. Běžně používané zkratky pro „Infrastructure as a Service“, „Platform as a Service“, „Software as a Service“.
15
Atraktivita cloudu pro organizace všech velikostí tkví zejména v šetření nákladů spojených s provozováním vlastních IT oddělení a síťové infrastruktury, vývojem vlastních informačních systémů a zálohováním dat. Takové řešení s sebou však přináší i rizika, jež musí firma pečlivě zvážit. Pro některé může být zásadním problémem nedostupnost cloudu z důvodu výpadku internetu nebo výpadku služby přímo na straně jejího provozovatele. Pro jiné bude důležitou roli hrát otázka legislativy spojená s právní ochranou dat nahraných do cloudu. Jsou uložena v Rusku, v Německu nebo ve Spojených státech? Jaké zákony je tedy v konečném důsledku vlastně chrání? S tím pochopitelně úzce souvisí problematika zachování důvěrnosti dat, protože některé země jsou podstatně zvědavější než jiné. Při současném stavu absence mezinárodní legislativy vztahující se k datům uložených v cloudu, je tedy zajištění jejich bezpečnosti diskutabilní a do budoucna bude jistě představovat výzvu.
16
2.2 Bezpečnost v oblasti vedení účetnictví Již bylo popsáno, co jsou obecně data a jaké principy je z hlediska bezpečnosti při manipulaci s nimi nutné dodržet. Pro lepší pochopení pojmu účetní data je však potřeba se blíže podívat na obor finančního účetnictví jako takový.
2.2.1 Finanční účetnictví Účetnictví je výkazem o vnějších finančních vazbách podniku. Má poskytovat přesný a spolehlivý přehled o aktivech a pasivech, nákladech a výnosech a hospodářském výsledku za uplynulá účetní období. Základní a nejdůležitější legislativní norma upravující zásady vedení účetnictví je zákon č. 563/1991 Sb., o účetnictví. Ten byl od doby svého vzniku již několikrát novelizován,
zejména
v
důsledku
nástupu
masivního
využívání
informačních
a
komunikačních technologií ve firmách i domácnostech v České republice. Historicky má za sebou obor finančního účetnictví poměrně dlouhý vývoj, přičemž každá z několika etap přinesla revoluční změny, jež měly přímý dopad na rychlost, spolehlivost a nákladnost procesu vedení účetnictví 8. Konkrétně se jedná o přepisovací formy v 16. až 19. století, propisovací formy od poloviny století 19. do 20. let 20. století. Tehdy se začaly také používat stroje na děrné štítky, které se leckde udržely až do let 80. Tou dobou se však již rozvíjela skutečná automatizace prostřednictvím výpočetní techniky a došlo k nastartování éry účetnictví vedeného na počítači. Tato etapa se vyznačuje nejen rychlým vývojem v oblasti malých i větších samostatných účetních aplikací 9, ale také účetních modulů integrovaných ve velkých podnikových informačních systémech 10. S tím, jak se v průběhu času měnil charakter procesu vedení účetnictví, přicházely i nové výzvy pro samotné účetní, kterým již nestačí umět pouze skvěle počítat a precizně zapisovat čísla do účetních knih. Tyto záležitosti si však dnes již účetní aplikace interně řeší samy. Úkolem účetních je tedy zajistit správné nastavení parametrů jednotlivých agend, příprava vstupů z účetních dokladů pro zpracování účetním programem a v neposlední řadě schopnost využít údaje poskytované účetnictvím, ať už se jedná o informace pro vnitřní potřebu firmy či například pro komunikaci se státní správou.
8 MEJZLÍK, L.: Účetní informační systémy. Nakladatelství Oeconomica, 2006, str. 16. 9 U nás např. známé aplikace StormWare Pohoda či Money od společnosti Cígler Software. 10 Typickým příkladem je produkt SAP od stejnojmenné německé firmy.
17
2.2.2 Zákon o účetnictví a podstata účetních dat Nyní je potřeba zjistit, co vlastně jsou podle zákona data. Zákon hovoří o účetních záznamech neboli datech, která jsou záznamem veškerých skutečností týkajících se vedení účetnictví. Můžeme
tedy mít bezvadně fungující
informační
systém
pro vedení
účetnictví
implementovaný pomocí papíru a propisky nebo vést účetnictví jen na počítači, ale podstata účetních dat v podobě záznamů zůstane zachována. Záznamy však nejsou to jediné, co fakticky účetní data v praxi tvoří. Účetní agenda vedená v rámci účetní aplikace na počítači obsahuje ještě řadu dalších údajů, které nejsou ve smyslu zákona účetními záznamy, nicméně pro celkový kontext v dané agendě jsou velmi důležitá. Jedná se například, ale nikoli výhradně, o osobní údaje zaměstnanců. Z čeho se skládají účetní data shrnuje obrázek 2.
Ilustrace 2: Podstata účetních dat
Zdroj: Vlastní zpracování
2.2.3 Zákon o ochraně osobních údajů Součástí ústavního pořádku České republiky je Listina základních práv a svobod. Na základě článku 10 odst. 3 Listiny základních práv a svobod má každý právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. Ochrana osobních údajů plynoucí z Listiny základních práv je legislativně zajištěna prostřednictvím zákona č. 101/2000 Sb., o ochraně osobních údajů, jenž dále vymezuje také působnost Úřadu pro ochranu osobních údajů. Úkolem tohoto úřadu je mimo jiné dohlížet na ochranu osobních údajů a soukromí. Pokud má podezření na porušení zákona, zahájí s podezřelým subjektem správní řízení. Aktuálním případem je v tomto ohledu kauza uniklých osobních dat zájemců o penzijní produkty v internetové aplikaci MojeBanka spadající pod KB Penzijní společnost, za což jí byla uložena pokuta ve výši 1,8 milionu korun. 11 I řádově nižší pokuta by pro menší společnost mohla být likvidační. Je tedy jasně vidět, že zajištění ochrany osobních údajů je důležité bez ohledu na velikost firmy.
11 ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Tisková zpráva. In: Uoou.cz [online]. ©2000-2013. [cit. 25.12.2013].
18
Za osobní údaj je pro účely zákona považován jakýkoliv údaj, týkající se určeného nebo určitelného subjektu údajů tj. takového, jehož identitu lze přímo nebo nepřímo zjistit na základě jednoho nebo více osobních údajů, aniž by to vyžadovalo nepřiměřené úsilí. Osobní údaje zpracovává jejich správce, který pro daný účel může zmocnit i někoho dalšího, tedy například i poskytovatele účetních služeb nebo zpracovatele mezd. Zákon řeší ještě jeden důležitý termín a tím je citlivý údaj. Je to údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoliv biometrický nebo genetický údaj subjektu. V oblasti informační bezpečnosti se také poměrně často používá termín citlivý údaj, který může, ale nemusí být totéž, co citlivý údaj podle zákona. Například tajný recept na Becherovku jistě obsahuje pro vlastníka extrémně citlivé údaje, ty jsou však z pohledu zákona o ochraně osobních údajů naprosto nezajímavé. Pro účely personální práce je možné zpracovávat osobní údaje zaměstnance bez jeho souhlasu, pokud se jedná o zpracování stanovené zvláštním zákonem, např. pro účely mzdové agendy, nebo je-li to nutné pro jednání o smluvním vztahu či plnění již uzavřené smlouvy. Jinými slovy lze říci, že ke zpracování většiny osobních údajů pro potřeby zaměstnavatele není souhlasu zaměstnance třeba, nicméně i údaje získané bez souhlasu se musí pečlivě hlídat. 12
2.2.4 Bezpečnost účetních dat Je potřeba si uvědomit, že běžný počítač pro práci účetních je připojen k internetu nebo přinejmenším aspoň do místní sítě, lze do něj vložit CD či DVD, flash paměť nebo externí pevný disk. Kromě operačního systému obsahuje také řadu dalších programů, které jsou spuštěné zároveň s účetní aplikací, ať už se jedná o internetový prohlížeč, kancelářský software či konferenční aplikace. Účetní prostřednictvím počítače komunikují s klienty, informačním systémem banky, se státní správou a zpravidla k tomu využívají elektronický podpis i jiné certifikáty, přihlašují se datové schránky. Na základě těchto faktů lze prohlásit, že účetní je v dnešní době především uživatel celé řady informačních a komunikačních technologií. V rámci bezpečnostní politiky se na něj proto bude vztahovat přinejmenším taková množina opatření, která se týká běžných uživatelů v návaznosti na dané technologie. Již z předchozího krátkého výčtu týkajícího se počítače a práce účetních můžeme soudit, že na účetní data působí značné množství hrozeb spojených právě s procesy a ICT. Zákon o účetnictví říká, že účetní jednotka je povinna zajistit ochranu účetních záznamů, 12 ČSFR. Zákon č. 563/1991 Sb., o účetnictví. In: Center.cz [online]. ©1998-2013. [cit. 17.12.2013].
19
použitých technických prostředků, nosičů informací a programového vybavení před jejich zneužitím, poškozením, zničením, neoprávněnou změnou, ztrátou nebo odcizením. Pokud tedy hrozba na účetní data úspěšně zapůsobí a účetní jednotka o ně nenávratně přijde, bude na ni z hlediska zákona pohlíženo tak, jako kdyby je vůbec nevedla. Z uvedených informací týkajících účetnictví a ochrany osobních údajů tedy vyplývá, že bezpečnost účetních dat je velmi zásadní a je potřeba ji řešit mimo jiné i proto, aby se podnik nedostal do rozporu se zákonem.
2.2.5 Budoucnost vedení účetnictví Při současném trendu přesouvání nejrůznějších typů aplikací do cloudu nezůstává účetnictví pozadu. Již nyní je malým firmám k dispozici služba iDoklad, která nabízí snadnou výměnu elektronických dokladů a umožňuje export dat z cloudu přímo do účetní aplikace na počítači. Pokud do budoucna poskytovatelé cloudových služeb dokáží zaručit vlastní důvěryhodnost, tedy že například ze dne na den neukončí svůj provoz, umístění účetních dat na území České republiky, přijatelnou úroveň jejich dostupnosti a bezpečnosti, pak lze očekávat přinejmenším částečný přesun i z robustnějších kancelářských řešení právě do cloudu.
20
2.3 Řízení bezpečnosti informací Je nutné vymýšlet a zavádět mnohdy velmi složité systémy řízení bezpečnosti? Nestačilo by používat selský rozum doplněný o nějaký jednoduchý soubor opatření, které by měl člověk dodržovat? Společnost Microsoft vydává bezpečnostní příručku pro malé organizace. Ta je koncipována velmi jednoduše a povrchně, nicméně i tak obsahuje řadu velmi dobrých tipů jako “pravidelně zálohujte“, „používejte silná hesla“, „používejte firewall a antivirový program“, „instalujte bezpečnostní záplaty“, „navštěvujte pouze důvěryhodné stránky“, „neotvírejte podezřelé přílohy v e-mailu“ atd.13 Myslím si, že kdyby uživatelé nějaký podobně zjednodušený soubor opatření opravdu důsledně dodržovali, nebylo by systémů na řízení bezpečnosti možná vůbec třeba, aspoň tedy v malých firmách. Přírodním silám poručit nelze, hardware a software je ze své podstaty nedokonalý a o spolehlivosti lidského faktoru už nelze hovořit vůbec. To dokazuje i nedávná studie společnosti Symantec týkající se právě bezpečnosti informací, ze které mimo jiné vyplývá, že zaměstnanci vynáší interní firemní data opravdu ve velkém. Dotazování se účastnilo přibližně sedm tisíc zaměstnanců na plný úvazek v průměrném věku 35 let. Více než polovina respondentů přiznala, že si firemní dokumenty přeposílá do svých soukromých e-mailových schránek, 41% tvrdí, že to dělají aspoň jednou za týden. Stejné procento lidí pak firemní data stahuje do svých mobilů a tabletů, což ještě zhoršuje bezpečnostní situaci, protože tato zařízení často nejsou nijak chráněna. Velkým problémem jsou v tomto ohledu také cloudové aplikace. 37% zaměstnanců sdílí firemní data přes Dropbox a Google Docs, aniž by k tomu měli svolení zaměstnavatele. Situace by nebyla tak špatná, kdyby uživatelé po sobě soubory z těchto úložišť alespoň odstraňovali, to se však prakticky neděje. Zmíněné aplikace jsou jen tak bezpečné, jako je síla a utajení přihlašovacích údajů k nim. Jejich zneužití tak v tomto případě umožní kompletně obejít jakákoli bezpečnostní opatření, jež zaměstnavatel na ochranu svých dat podnikl. Navíc je potřeba myslet na to, že třeba právě Dropbox dokáže obnovit i smazané soubory. Zaměstnanci si často vůbec neuvědomují, že by touto činností mohli poškodit sebe i své zaměstnavatele. Většina jich dokonce ani nevěří, že to co dělají, je špatné a že se jedná o trestný čin nebo že vlastníkem dat není ten, kdo je vytvořil. Třetina říká, že jejich konání je naprosto v pořádku, pokud z toho nemají vlastní prospěch a celá polovina se hájí tím, že svou organizaci nijak nepoškozují. Někteří pak obviňují své zaměstnavatele z nedůslednosti při vynucování bezpečnostních politik a tím i nedostatečné ochrany svých dat. Uvedená zjištění 13 MICROSOFT CORPORATION. Security Guide for Small Business [online]. 2005. [cit. 17.12.2013].
21
pak lze shrnout tak, že zaměstnanci nechápou nebo neuznávají vlastní roli, kterou v rámci zajišťování bezpečnosti firemních dat plní. 14 Je tedy zřejmé, že řádná dávka osvěty a dalších opatření v oblasti bezpečnosti informací je prakticky nezbytností. Způsobů, jak systematicky přistoupit k informační bezpečnosti podniku, je v dnešní době více, než tomu bylo například počátkem 80. let minulého století. Zejména v posledních dvaceti letech zaznamenala tato oblast rapidní rozvoj, který vyústil v několik různých de facto a de iure standardů.
2.3.1 ITIL ITIL neboli IT Infrastructure Library je mezinárodně uznávaným standardem v oblasti řízení IT. Vznik samotného standardu v roce 1989 byl zásadním mezníkem v IT průmyslu, protože historicky poprvé došlo k souvislému vydání osvědčených postupů vytvořených na základě zkušeností velkého množství bezpečnostních expertů. První verze byla obsažena v dnes již neuvěřitelných 37 knihách, ale postupem času došlo k výrazné redukci na 7 v ITILv2 a pouhých 5 v ITILv3, jež byla vydána v roce 2007. Tato verze poskytuje obchodní a strategický rámec pro IT rozhodování a poprvé popisuje neustálé zlepšování služeb jako komplexní činnost, která přináší hodnotu zákazníkům. Spíše než na definování nějakého širokého kontrolního rámce je ITIL založen na vymezení doporučených procesních postupů pro správu a podporu IT služeb. ITIL řeší oblasti jako je podnikatelský pohled, správa aplikací a IT, dodávka a podpora IT služeb, správa IT infrastruktury řízení IT projektů. Jednotlivé oblasti jsou pokryty stejnojmennými publikacemi pro každou z nich.
2.3.2 COBIT Cobit je známým standardem pro řízení informačních technologií vytvoření asociací ISACA a jedná se o soubor praktik, které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik. První verze byla vydána v roce 1996 a od té doby došlo k rozšíření o auditní postupy, implementační nástroje, detailní cíle a manažerské postupy. Roku 2007 byla publikována verze 4.1 a v roce 2012 současná verze 5. Cobit je postaven na základě zavedených rámců jako CMM Software Engineering Institute, ISO 9000, ITIL a ISO/IEC 27002. I když je zaměřen na IT procesy, Cobit nezahrnuje procesní kroky a úkoly, jde spíše o kontrolní a řídící rámec než rámec procesní. Cobit se zaměřuje na to, co organizace musí udělat, ne už jak je to potřeba udělat a cílovými skupinami jsou vrcholový obchodní management, vrcholoví IT management a auditoři. 14 SYMANTEC CORPORATION. What's Yours Is Mine. In: Symantec-corporation.com [online]. @2013. [cit. 18.12.2013].
22
2.3.3 ISO/IEC 27000 ISO/IEC 27000 je součástí rodiny standardů systému řízení bezpečnosti informací (ISMS). Tato skupina standardů je vydávána od roku 2005, kdy se objevil první a nejvýznamnější z nich, ISO/IEC 27001, jenž uvádí požadavky na samotný ISMS, a podle kterého se zároveň i fakticky certifikuje. Doplňujícími normami v pořadí jsou:
•
ISO/IEC 27002 – Bezpečnostní doporučení pro výkonné pracovníky
•
ISO/IEC 27003 – Návod pro zavádění systému řízení bezpečnosti informací
•
ISO/IEC 27004 – Měření a vyhodnocování efektivity řízení bezpečnosti
•
ISO/IEC 27005 – Techniky vytváření systému řízení bezpečnosti informací
•
ISO/IEC 27006 – Proces certifikace a registrace
ISMS využívá tzv. PDCA 15 cyklus neboli soustavu čtyř fází, které se neustále periodicky opakují a v jejichž rámci organizace provádí celou řadu činností. Mezi ně patří návrh bezpečnostní politiky, definice rozsahu ISMS, analýza rizik, rozhodnutí o řízení rizik, výběr protiopatření, implementace a bezpečnostního programu. V souvislosti se zmíněnými činnostmi dále vzniká značné množství výstupů, od politiky ISMS, přes dokumentaci rozsahu, analýzu rizik, plán zvládání rizik, prohlášení o aplikovatelnosti, dokumentace implementovaných opatření a další.
2.3.4 Metodika vyvážené informační bezpečnosti Metodika vyvážené informační bezpečnosti existuje od roku 2010, kdy byla definována Ing. Davidem Králem v jeho dizertační práci zaměřené na informační bezpečnost podniku. Cílem metodiky je poskytnout malým a středně velkým podnikům konkrétní rámec pro zavedení ekonomicky i procesně přijatelného řízení bezpečnosti informací. Jakým způsobem je metodika navržena, zachycuje schéma na obrázku 3. Audit (pre-audit) se provádí dotazníkovým šetřením stávající úrovně řízení bezpečnosti v klíčových oblastech definovaných metodikou. V případě zjištění nedostatků jsou pak v příslušné oblasti navrhována dílčí opatření vedoucí ke zlepšení celkové situace nebo kompletní změna přístupu. Cílem první klíčové oblasti je provedení analýzy rizik prostřednictvím identifikace aktiv, hrozeb a zranitelností. Na základě vypočítaných rizik jsou následně ve třech zbývajících oblastech podniknuty takové kroky, které povedou ke snížení rizik a zlepšení úrovně řízení těchto oblastí. 15 Cyklus PDCA z anglických slov „Plan, Do, Check, Act“ znamená v češtině „Plánuj, dělej, kontroluj, jednej“.
23
Řízení bezpečnosti procesů a technologií se zabývá všemi aktivy organizace, které je potřeba nějakým způsobem zabezpečit, případně zabezpečit lépe, než tomu bylo doposud. Obecně lze říci, že zde jsou navrhována taková opatření, která efektivně zabraňují ztrátě dostupnosti, důvěrnosti nebo integrity důležitých informačních aktiv. Řízení lidských zdrojů se zabývá definicí rolí bezpečnostní politky, jejich činnostmi, odpovědnostmi a přístupu k aktivům. Značné množství útoků a ztrát citlivých aktiv pramení od současných nebo bývalých zaměstnanců, a proto je nutné aplikovat opatření týkající se počátku, průběhu i skončení pracovního poměru. Řízení bezpečnostních incidentů má v systému řízení informační bezpečnosti roli záchranné brzdy. V ostatních oblastech informační bezpečnosti je cílem minimalizovat riziko a zabránit ztrátě dostupnosti, důvěrnosti nebo integrity citlivých aktiv. Bezpečnostní incident je událost, která k těmto ztrátám může vést. Naprosto bezpečný systém neexistuje a úplná eliminace výskytu těchto zhmotnělých hrozeb je prakticky nemožná. Primárním cílem této oblasti je tedy snížit dopady bezpečnostních incidentů na běh organizace na minimum. 16 Ilustrace 3: Metodika vyvážené informační bezpečnosti
Zdroj: Metodika vyvážené informační bezpečnosti
16 KRÁL, D.: Informační bezpečnost podniku [online]. Brno, 2010. [cit. 2013-12-08]. Ph.D. Vysoké účení technické v Brně.
24
2.3.5 Výběr metodiky řízení bezpečnosti Dostupné informace o jednotlivých standardech a metodikách lze shrnout tak, jak je zachyceno v tabulce 1. Vzhledem k faktu, že ITIL nelze použít jako samostatné řešení pro řízení bezpečnosti, jinými slovy by bylo nutné zavést jej jako celek, tuto variantu zamítám. Obdobně je na tom i Cobit. Zde je navíc problém, že kvůli svému zaměření na kontrolní rámec, neposkytuje konkrétní procesní kroky a úkoly, které je potřeba k zajištění bezpečnosti pokrýt, proto ani tuto variantu nevolím. Jako solidní volba se jeví zavedení ISMS podle ISO 27001, nicméně vybraná firma o certifikaci nestojí a tím pádem by pro ni byl tento standard příliš svazující a personálně velmi těžko zvládnutelný. Metodika vyvážené informační bezpečnosti proti tomu nabízí způsob řízení bezpečnosti podobný ISMS, avšak se zaměřením spíše na menší firmy. Proto právě jejím prostřednictvím navrhnu zabezpečení účetních dat ve společnosti WaveNet.cz, s.r.o. Tabulka 1: Přehled a srovnání dostupných řešení Parametr
ITIL v3
COBIT 5
ISO 27000
MVIB
Vznik
2007
2011
2005
2010
Primárně určeno
IT service management
IT Governance
ISMS
ISMS
Certifikace
Ano, ISO 20000
Ne
Ano, ISO 27001
Ne
Velikost organizace
Velká, střední
Velká, střední
Velká
Střední, malá
Dokumentace zdarma
Ne
Částečně
Ne
Ano
Vnímání informační bezpečnosti
Součást řízení IT služeb
Součást regulatorních požadavků ITG
Součást regulatorních požadavků v oblastech ochrany
Volitelná součást řízení pro oblast bezpečnosti
Měření závislosti organizace na IT
Ne
Ne
Ne
Ano
Samostatné řešení pro řízení bezpečnosti
Ne
Ne
Ano
Ano
Zdroj: Vlastní zpracování na základě zdroje17
17 KRÁL, D.: Informační bezpečnost podniku [online]. Brno, 2010. [cit. 2013-12-08]. Ph.D. Vysoké učení technické v Brně.
25
3.
PRAKTICKÁ ČÁST
3.1 Společnost WaveNet.cz, s.r.o. Obchodní společnost WaveNet.cz, s.r.o. vznikla v roce 2005 transformací původního sdružení fyzických osob působící pod názvem WaveNet a fakticky již od roku 2001 poskytuje v Karlovarském regionu zákazníkům připojení k internetu, k čemuž později přibyla i činnost v oblasti vedení účetnictví a to jak vlastního, tak i dalších subjektů. Sídlo firmy se nachází v objektu typu rodinný dům na adrese Jáchymovská 135/22a v Karlových Varech ve čtvrti Bohatice. Ve firmě figurují dva podílníci a jejím statutárním orgánem je jednatel. Společnost má poměrně stabilní zaměstnaneckou základnu v počtu devíti pracovníků na plný úvazek, čas od času však najímá také brigádníky. Obrat společnosti nepřesahuje 10 milionů korun. Standardní pracovní dobou je pondělí až pátek od 8 do 16 hodin.
3.1.1 Podnikové role Vzhledem k nízkému počtu zaměstnanců a omezenému portfoliu služeb, jež firma nabízí, je poměrně jednoduché identifikovat následující podnikové role. Vedoucím provozu je jeden z podílníků, který je až na výjimky vždy přítomen a aktivně provádí řízení lidí a procesů společnosti. Jednatel zaujímá spíše kontrolní roli. Technici se přímo neúčastní procesu poskytování účetních služeb, jejich pracovní náplní je servis a instalace zařízení u zákazníků, jimž společnost poskytuje připojení k internetu. S nimi také podepisují smlouvy a inkasují zálohy, které následně předávají účetním. Prostory společnosti tak využívají spíše jako zázemí, nicméně i tak je potřeba s nimi v rámci bezpečnostní politiky počítat. Účetní jsou zodpovědní za výměnu účetních dat a dokumentů s klienty, vedení a zálohování účetních agend, komunikaci se zákazníky, komunikaci s bankami, komunikaci se státní správou, přijímání plateb v hotovosti, archivaci, skartaci, správu smluv a účetních či daňových dokladů.
3.1.2 ICT infrastruktura Bez dostatečného pochopení ICT prostředí firmy nelze vůbec rozumně uvažovat o jakýchkoli bezpečnostních opatřeních. Je tedy potřeba nějakým způsobem zachytit, s jakými technologiemi se v rámci podniku pracuje a případně jak jsou mezi sebou propojeny. Na obrázku 4 je zobrazeno propojení jednotlivých prvků. Zařízení připojená k přístupovému bodu WiFi se připojují bezdrátově prostřednictvím standardu 802.11g, všechny ostatní vyznačené prvky jsou propojeny kabelem UTP 18 na stálo. To znamená, že až na výjimečné 18 Nestíněná kroucená dvojlinka, běžně používaný typ kabeláže pro síťové rozvody v interiéru.
26
situace, např. výměna hardwaru, se od zbytku sítě na rozdíl od mobilních zařízení nikdy neodpojují. Do kancelářských prostor vedou skrz rozvody strukturované kabeláže celkem dva UTP kabely. První je zapojen do přepínače a slouží k připojení místní sítě do internetu prostřednictvím brány poskytovatele, druhý kabel je zapojen do serveru a slouží k jeho připojení do internetu přímo. Rozvody místní sítě jsou realizovány pomocí UTP kategorie 5e a přepínač podporuje rychlost až 1 Gbit/s. Tiskárna a přístupový bod WiFi podporují rychlost pouze 100 Mbit/s, bezdrátová část sítě pouze 54 Mbit/s. Tabulka 2 obsahuje seznam a stručný popis identifikovaných prvků.
Ilustrace 4: ICT infrastruktura
Zdroj: Vlastní zpracování
27
Tabulka 2: Popis prvků v ICT infrastruktuře Prvek
Popis
Server
Počítač s OS Linux poskytující běžné služby typu web, pošta, sdílení souborů, vlastní přípojka do internetu.
Pracovní stanice
Počítač s OS Windows 7 pro běh účetní aplikace, slouží k práci účetního.
Síťová tiskárna
Tiskárna s vlastní IP adresou, po instalaci ovladačů ji lze využít k síťovému tisku. Funguje zároveň jako kopírka a skener.
Přístupový bod WiFi
Bezdrátové zařízení propojující mobilní zařízení s místní sítí.
Notebook
Přenosné počítače s OS Ubuntu 13.1 pro pracovní i osobní potřebu zaměstnanců.
Tablet
Tablet s OS Android 4.3 pro pracovní i osobní potřebu zaměstnance.
Mobilní telefon
Chytrý telefon s OS Android v různých verzích pro pracovní i osobní potřebu zaměstnance.
Přepínač
Všechny aktivní prvky v síti jsou propojeny jediným přepínačem, do něj vede internetová přípojka.
UPS
Záložní zdroj napájení slouží jako podpůrné zařízení kvůli častým výpadkům proudu, zálohuje všechny prvky kromě mobilních zařízení. Zdroj: Vlastní zpracování
3.1.3 Proces vedení účetnictví Účetní zpracovává účetní agendy v účetní aplikaci na pracovní stanici. S klienty komunikuje buď elektronicky nebo osobně při jejich návštěvě v kanceláři společnosti. Tento proces spočívá ve výměně podkladových materiálů mezi účetním a klienty. Typicky se jedná o příjmové a výdajové pokladní doklady, faktury a dobropisy, skladovou evidenci, účetní knihy, mzdovou
evidenci,
nejrůznější
daňová
přiznání
a
vyúčtování.
Výměna
probíhá
prostřednictvím obyčejného papíru, zejména v případě účetních nebo daňových dokladů, elektronicky pomocí e-mailu nebo na datových nosičích. Těmi může být CD, DVD, flash pamět nebo externí pevný disk.
3.1.4 Hranice řešené problematiky Řešená problematika zahrnuje kancelářské prostory společnosti ve zmíněném objektu na adrese uvedené v popisu, všechny zaměstnance a třetí osoby které se uvnitř mohou pohybovat. Fyzickou hranici tedy tvoří vnitřní a vnější zdi, dva vchody a jedno okno. Z hlediska ICT pak hranici tvoří internetová přípojka pro místní síť, dále internetová přípojka serveru a telefonní kabel pevné linky. Jakékoli technologie nacházející se na vzdáleném konci těchto kabelů již nespadají do mé kompetence.
28
3.2 Audit současného stavu Cílem vstupního auditu je zjistit, jaká je stávající úroveň řízení oblastí vytyčených metodikou. Lze dopředu předpokládat, že výsledek nebude příliš slavný, což je dáno tím, že firma doposud nijak systematicky bezpečnost neřídila. Pro získání lepšího přehledu o aktuální situaci je však tento krok velmi důležitý. Firmě navíc po implementaci navržených opatření a provedení srovnávacího auditu dobře poslouží jako ukazatel úspěšnosti zavedeného systému pro řízení bezpečnosti.
3.2.1 Úroveň závislosti podniku na IT Prvním krokem je stanovit, jak vysoká je závislost podniku na informačních technologiích, díky čemuž bude možné přesněji vyhodnotit další oblasti, kterými se audit následně zabývá. U některých položek je hodnocení poměrně přímočaré, například rozpočet nebo počet zaměstnanců. U některých položek je potřeba zvažovat, jaké hodnocení by bylo vhodné jim přidělit, aby co nejlépe odpovídalo realitě. Pokud vypadne internet, sice nebude možné některými kanály komunikovat s klienty a informačními systémy v internetu, nicméně účetní stále může pokračovat v práci na jiných agendách, které zrovna nevyžadují připojení. Na druhou stranu pokud se poškodí zdroj napájení v pracovní stanici, účetní bude muset čekat, dokud někdo problém neodstraní.
Tabulka 3: Úroveň závislosti podniku na IT 1 – nízká, 2 – střední, 3 – vysoká, 4 – velmi vysoká Kritérium
Hodnocení
Roční rozpočet (1<1 mil., 2<10 mil., 3<100 mil., 4>100 mil.)
2
Počet zaměstnanců (1<10, 2<50, 3<250, 4>250)
1
Míra závislosti na informačních a komunikačních technologiích při poskytování výrobků či služeb zákazníkům
4
Hodnota duševního vlastnictví organizace uložená v elektronické podobě
2
Vliv výpadku informačního systému na chod organizace
4
Vliv výpadku internetu na chod organizace
2
Citlivost zákazníků či partnerů na bezpečnost a soukromí
4
Potencionální dopad vážného bezpečnostního incidentu na pověst organizace
3
Množství operací závislých na dodavatelích
1
Množství citlivých dat a majetku, které by se mohly stát cílem kybernetického či fyzického útoku
3
Zdroj: Metodika vyvážené informační bezpečnosti
29
3.2.2 Úroveň řízení rizik Hodnocení stávající úrovně řízení rizik bude velmi přímočaré. Společnost se jím doposud nezabývala a není tedy definována bezpečnostní politika, není provedena analýza rizik, hrozeb, ani zranitelností. Nejsou určena aktiva ani ohodnocena aktiva. Z uvedených faktů je více než zřejmé, že o jakékoli funkční bezpečnostní strategii nemůže být řeč. Tabulka 4: Úroveň realizace řízení rizik 1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Má organizace dokument typu Bezpečnostní politika?
3
Provedla organizace v posledních 2 letech analýzu rizik, aby určila klíčová aktiva, která je potřeba chránit?
1
Používá organizace pro analýzu rizik speciální software?
1
Má organizace určen vztah klíčových aktiv k procesům, které na nich závisí?
1
Identifikovala organizace bezpečnostní hrozby, které jsou spojené s klíčovými aktivy?
1
Provedla organizace analýzu zranitelnosti, tj. určení slabých míst, která by mohla být využita identifikovanými hrozbami?
1
Má organizace oceněnu ztrátu každého z klíčových aktiv?
1
Má organizace zdokumentovánu bezpečnostní strategii, která by určovala postupy, jak udržovat rizika na přijatelné úrovni?
1
Má organizace zdokumentovánu bezpečnostní strategii, která by obsahovala plány, jak v budoucnu snižovat rizika spojená s klíčovými aktivy?
1
Je tato strategie alespoň 1× ročně aktualizována?
1
Zdroj: Metodika vyvážené informační bezpečnosti
3.2.3 Úroveň řízení bezpečnosti procesů a technologií Prostory společnosti se nacházejí na úrovni přízemí a lze do nich vstoupit dvěma vchody, vnějším z ulice a vnitřním z chodby přímo v objektu. Vnější je chráněn dřevěnými uzamykatelnými dveřmi a kovovou uzamykatelnou mříží. Vnitřní vchod chrání jedny dveře. Všechny zámky u výše zmíněných dveří jsou vybaveny základní cylindrickou vložkou. Co se dalších stavebních výplní týče, v prostorách se nachází pouze jediné dřevěné nechráněné okno. Veškeré vybavení je umístěné v prostorách společnosti, které kromě zaměstnanců navštěvují také klienti a další osoby, například poslíčci. Pro potřeby auditu lze v pracovní době všechny tyto osoby považovat za oprávněné, nicméně mimo vyznačenou pracovní dobu jsou
30
oprávněnými osobami pouze zaměstnanci. Společnost nepoužívá žádná identifikační zařízení na čipové karty či biometrické údaje, kamerový systém ani čidla. Objekt není pod dohledem bezpečnostní agentury. Budova jako taková nemá žádné speciální protipovodňové ani protipožární vlastnosti. Pro případ přerušení dodávky elektrické energie je z důvodu udržení provozu k dispozici benzinový generátor schopný pokrýt i dlouhodobější potřeby nepřetržitého napájení. Nevýhodou však je, že se nejedná o automatické zařízení a musí tak být někým ze zaměstnanců obsloužen. Všechny aktivní prvky jsou napájeny přes UPS. Výjimku tvoří například notebooky nebo tablety, které jsou v době nabíjení zapojeny do označených zásuvek sekundárního elektrického obvodu, jenž není externě zálohován. Pracovní stanice jsou chráněny antivirovým programem. Na serveru se žádný antivirový software nenachází, ochrana tabletů, notebooků a mobilních telefonů není nijak standardizována a jejich osud je ponechán plně na zaměstnancích. Šifrování dat není prováděno nad rámec služeb, u kterých jej lze automaticky předpokládat, tedy například při využívání protokolu HTTPS. Tabulka 5: Úroveň realizace bezpečnosti procesů a technologií 1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Jsou prostory, které obsahují zařízení pro zpracování informací, chráněny bezpečnostními perimetry či bariérami?
3
Je do prostorů organizace, které obsahují citlivé informace nebo zařízení, povolen vstup pouze oprávněným osobám?
4
Je organizace zajištěna proti vnějším a přírodním hrozbám?
4
Jsou zařízení, která zpracovávají informace, chráněna před selháním napájení a před dalšími formami přerušení způsobenými poruchami podpůrných zařízení?
3
Existuje v organizaci postup bezpečné likvidace a odstraňování majetku po autorizaci oprávněné osoby tak, aby neunikly citlivé informace?
2
Jsou veškeré stanice v organizaci dostatečně chráněny proti škodlivým programům a kódům?
3
Existuje v organizaci postup pravidelného a bezpečného zálohování dat?
1
Jsou důvěrná, osobní či citlivá data šifrována a související šifrovací klíče náležitě chráněny?
2
Jsou veškeré výměny programového vybavení a informací v rámci organizace nebo v rámci výměny s externími partnery vhodným způsobem chráněny?
1
Obsahují smlouvy s partnery organizace dodávajícími výrobky a služby opatřeny výčtem bezpečnostních opatření a sankcemi, pokud tato opatření partneři nedodržují?
1
31
1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Jsou po dostatečně dlouhou dobu zaznamenávány aktivity všech uživatelů v informačním systému organizace, výjimky a události související s bezpečností informací?
2
Jsou zjištěné údaje analyzovány a přijímány příslušná opatření na odstranění vzniklých chyb?
1
Je v organizaci dodržována politika čistého stolu a obrazovky?
1
Existuje postup pro registraci uživatele do informačního systému organizace a přidělení práv pro přístup do oblastí IS dle klasifikace uživatele?
1
Mají všichni uživatelé informačního systému jedinečný identifikátor (ID) tak, aby bylo možné dosledovat odpovědnost za jejich činnosti?
2
Jsou uživatelé donuceni systémem tvořit pouze tzv. silná hesla?
1
Jsou aplikovány zvláštní postupy autentizace při vzdáleném přístupu do informačního systému organizace?
1
Jsou bezpečně chráněny porty pro vzdálenou diagnostiku a konfiguraci?
3
Jsou stanice po určené době nečinnosti odhlášeny od systému?
1
Existují v organizaci zásady a postupy bezpečné práce na mobilních výpočetních prostředcích a zařízeních?
1
Zdroj: Metodika vyvážené informační bezpečnosti
3.2.4 Úroveň řízení lidských zdrojů Z důvodu neexistence bezpečnostní politiky nemá firma osobu pověřenou soustavným řízením bezpečnosti a tudíž nedochází k hlášení o jejím dodržování a účinnosti. Ze stejného důvodu pak nejsou v rámci bezpečnostní politiky definovány role a odpovědnosti zaměstnanců a nemohou tak být navázány na pracovní smlouvy. Každá pracovní smlouva však obsahuje doložku o zachování mlčenlivosti týkající se citlivých informací ve smyslu know-how či obchodního styku a dále také doložku konkurenční. Při ukončení pracovního poměru nejsou stanoveny žádné odpovědnosti nad rámec ustanovení zákoníku práce a souvisejících pracovněprávních předpisů. Po odchodu zaměstnance se kromě vrácení zapůjčených věcí nic zásadního neděje. Při přijímání nových pracovníků není věnována zvláštní pozornost jejich schopnostem práce s rizikovými informacemi. Klíčové jsou zde zejména reference předchozích zaměstnavatelů a celková profesní způsobilost požadovaná na danou pozici. Firma nepořádá ani se neúčastní žádných školení tykajících se bezpečnosti informací a nemá stanovený proces disciplinárního řízení v případě porušení bezpečnostní politky a způsobení bezpečnostního incidentu.
32
Tabulka 6: Úroveň realizace lidských zdrojů 1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Je v organizaci definována osoba nebo útvar, jehož primárním úkolem je řízení bezpečnosti informací?
1
Podává tento útvar pravidelná hlášení vedení organizace o dodržování a účinnosti stanovené bezpečnostní politiky?
1
Má každý zaměstnanec jasně definovánu svou roli a odpovědnost v rámci bezpečnostní politiky organizace?
2
Je tato odpovědnost písemně definována v pracovních smlouvách všech zaměstnanců?
2
Je přezkoumávána předchozí činnost žadatelů o zaměstnání v organizaci také ve smyslu jejich schopností kvalitně pracovat s rizikovými informacemi, které budou mít na starosti?
1
Jsou pravidelně organizována školení pro zaměstnance i uživatele třetích stran týkající se politiky bezpečnosti informací?
1
Funguje v organizaci disciplinární proces pro zaměstnance, kteří porušili bezpečnostní politiku a způsobili bezpečnostní incident?
1
Jsou v organizaci jasně definovány odpovědnosti při ukončení pracovního poměru nebo při změně zaměstnání?
2
Je ve smluvním vztahu jasně definováno, že zaměstnanec je povinen před ukončením zaměstnání vrátit všechna aktiva, která měl k dispozici a odpovídal za ně?
2
Jsou automaticky všem odcházejícím pracovníkům odejmuta všechna přístupová práva v organizaci?
1
Zdroj: Metodika vyvážené informační bezpečnosti
3.2.5 Úroveň řízení bezpečnostních incidentů Aktuálně neexistuje žádná kategorizace bezpečnostních incidentů ani postup jejich dokumentace. Není vytvořen krizový bezpečnostní tým, jehož úkolem by bylo řešení incidentů, jejich analýza a návrh budoucích opatření. Nejsou stanoveny ani minimalistické scénáře obnovy zařízení či systémů po proběhlém incidentu. Bezpečnostní incidenty by zaměstnanci dokázali rozpoznat pouze v těch případech, kdy se jedná například o vloupání s použitím síly, tedy rozbití okna, vylomení dveří nebo v případě zásahu živelnou pohromou či za jinak očividných okolností. Bez důsledných školení týkajících se přímo bezpečnostních incidentů v oblasti kyberprostoru je pro ně velmi obtížné se v dané problematice orientovat.
33
Tabulka 7: Úroveň realizace bezpečnostních incidentů 1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Existuje ve firmě dokument, který definuje a klasifikuje potencionální bezpečnostní události a bezpečnostní incidenty, ke kterým může při chodu organizace dojít?
1
Jsou všichni zaměstnanci povinni hlásit jakékoliv pozorované zranitelné místo v informačním systému organizace, které by mohlo znamenat vznik bezpečnostního incidentu?
2
Probíhají v organizaci pravidelná školení pro všechny zaměstnance a účastníky třetích stran, na kterých je všem zúčastněným zvyšována úroveň bezpečnostního povědomí?
1
Jsou všichni zaměstnanci poučeni, jak po detekování bezpečnostní události hlásit její vznik pověřené osobě či útvaru v organizaci?
1
Jsou v organizaci jasně definovány odpovědnosti a postupy pro rychlé řešení vzniklých bezpečnostních incidentů?
1
Existují v organizaci mechanismy pro kvantifikaci druhů a rozsahu vzniklých bezpečnostních incidentů?
1
Existují v organizaci mechanismy pro kvantifikaci vzniklých nákladů souvisejících s odstraňováním bezpečnostních incidentů?
1
Jsou důsledně shromažďovány a uchovávány důkazy o jednotlivých proběhlých bezpečnostních incidentech, které by mohly být využity orgány činnými v případném trestním řízení?
1
Existují v organizaci rizikové scénáře pro případ vzniku neočekávaného nebo nezvládnutelného bezpečnostního incidentu?
1
Jsou pravidelně bezpečnostní incidenty vyhodnocovány a přijímány závěry směrem k analýze rizik, příp. k systému řízení bezpečnostních incidentů?
1
Zdroj: Metodika vyvážené informační bezpečnosti
34
3.2.6 Interpretace zjištěných výsledků Úroveň závislosti na IT činní v součtu 26 bodů, což metodika hodnotí jako stupeň 3 – Vysoká závislost. Na základě toho jsou pro každou oblast vybrány příslušné bodové intervaly. Dále je potřeba sečíst bodové hodnocení jednotlivých oblastí řízení zjištěné vstupním auditem a zaznamenat do tabulky. Následně zbývá ještě stanovit, do jakého intervalu bodový součet každé oblasti řízení spadá a přiřadit tomu odpovídající slovní interpretaci. Sumarizace a interpretace je uvedena v tabulce 8. Z uvedených výsledků vyplývá, že je nutné podniknout zásadní kroky ve všech řešených oblastech. Tabulka 8: Sumarizace a interpretace řízení jednotlivých oblastí Stupeň závislosti na IT: 3 – Vysoká závislost Oblast
Body
Interval
Interpretace
Řízení rizik
12
10-25
Nedostatečná ochrana
Řízení procesů a technologií
38
10-46
Nedostatečná ochrana
Řízení lidských zdrojů
14
10-23
Nedostatečná ochrana
Řízení bezpečnostních incidentů
11
10-23
Nedostatečná ochrana
Zdroj: Vlastní zpracování
35
3.3 Řízení rizik Hlavní náplní této disciplíny je identifikace aktiv, vytipování hrozeb, nalezení zranitelností a odhad s tím spojených rizik. V tomto případě však není cílem provádět rozsáhlou a vyčerpávající analýzu rizik, nýbrž pouze tzv. hrubou analýzu, která pomůže lépe určit cíle bezpečnostní politiky.
3.3.1 Hodnocení aktiv Prvním krokem k úspěšnému zvládnutí managementu rizik je správná identifikace a ohodnocení klíčových aktiv společnosti. Aktiva budou pro lepší přehlednost a celkovou realizovatelnost analýzy seskupeny následujícím způsobem:
•
Hardware – server, pracovní stanice, notebooky, tablety, mobilní telefony, UPS.
•
Software – účetní aplikace, aplikace serveru, operační systémy, podpůrné aplikace.
•
Sítě – místní síť a připojení k internetu.
•
Data – účetní a jiná citlivá data.
•
Dokumenty – doklady a smlouvy v papírové formě.
Tyto skupiny jsou následně ohodnoceny z hlediska dopadu a vlivu na firmu, případně další zainteresované strany, při porušení důvěrnosti, dostupnosti nebo integrity. V tabulce 9 je příklad kvalitativního hodnocení aktiv, další lze nalézt v příloze 2 na stránce 92. Tabulka 9: Kvalitativní ocenění aktiv z hlediska dostupnosti Stupně dopadu: 1 – nízký, 2 – střední, 3 – vysoký, 4 – velmi vysoký Hardware
Software
Síť
Data
Dokumenty
Dopad na finance
3
3
3
4
2
Dopad na procesy
4
4
2
4
3
Ztráta důvěry klientů
1
2
2
2
2
Ztráta image
1
2
2
2
2
Porušení legislativy
1
1
1
3
2
Počet bodů
10
12
10
15
11
Dílčí hodnota (0,1)
0,50
0,60
0,50
0,75
0,55
Zdroj: Vlastní zpracování na základě Metodiky vyvážené informační bezpečnosti
36
3.3.2 Hodnocení hrozeb V další sérii kroků je potřeba na základě dostupných informací nebo rozumné úvahy určit a ohodnotit hrozby, jež na aktiva společnosti mohou negativně zapůsobit. V souladu s metodikou jsou hrozby rozděleny do tří základních kategorií na úmyslné, neúmyslné a přírodní. Úroveň působení může být nízká, střední, vysoká nebo velmi vysoká. U každého aktiva záleží na jeho atraktivitě a dalších faktorech. Lze předpokládat, že hrozba zemětřesení bude velmi nízká, oproti tomu zkušenosti s výpadky elektřiny v dané lokalitě má firma velmi bohaté. Pokud se náhodný zloděj vloupá do prostor společnosti, tak si pravděpodobně bude chtít odnést především počítač nebo dva bez ohledu na to, k čemu se používají. V tabulce 10 jsou zachyceny úrovně hrozeb působící na aktiva společnosti. Tabulka 10: Úroveň hrozeb působících na klíčová aktiva Hardware
Software
Síť
Data
Dokumenty
Velmi vysoká
-
-
-
Vysoká
-
-
Vysoká
-
-
Nízká
-
Velmi vysoká
-
-
Střední
Vysoká
Chyba uživatele
Nízká
Vysoká
Vysoká
Vysoká
-
Chyba správce
Střední
Střední
Střední
Střední
-
Selhání hw či sw
Střední
Střední
-
Velmi vysoká
-
-
Vysoká
-
-
Nízká
Nízká
Nízká
-
-
Požár
Střední
-
Střední
-
Střední
Blesk
Střední
-
Střední
-
-
Záplava
Nízká
-
Nízká
-
Nízká
Zemětřesení
Nízká
-
Nízká
-
Nízká
Krádež Falšování identity Odposlech Neoprávněný přístup
Selhání sítě Selhání napájení
Výpadek elektřiny
Velmi vysoká Velmi vysoká Velmi vysoká
Velmi vysoká Velmi vysoká Velmi vysoká Velmi vysoká Zdroj: Vlastní zpracování
37
-
3.3.3 Hodnocení zranitelností Cílem tohoto kroku je nalézt existující zranitelnosti a stručně je zdokumentovat v tabulce v příloze 1 na stránce 91 a to včetně hrozby, která by mohla danou zranitelnost využít k útoku na některé z aktiv.
3.3.3.1 Fyzické zranitelnosti Prvním zásadním problémem je nízká odolnost stávajících zámkových vložek vchodových dveří vůči známým technikám lockpickingu a tudíž i vysoká zranitelnost. Souvisejícím problémem pak je i ztížená detekce případného bezpečnostního incidentu, jelikož při vloupání do prostor společnosti dveřmi vůbec nemusí dojít k poškození zámku. Druhý problém tvoří okno, které jde snadno rozbít a žádná jiná překážka případnému lupiči ve vstupu do objektu nebrání. Případné rozbití skla pak navíc není nijak detekováno. Problém dále tvoří také dřevěné skříně sloužící k dočasnému ukládání i archivaci účetních dokladů, smluv, mzdové agendy a dalších papírových dokumentů. Konkrétně se jedná o fakt, že nejsou samy o sobě uzamykatelné. Poslední záležitost se týká prostoru, kde je umístěn server a který není nijak viditelně označen proti neoprávněnému vstupu, což může být problém vzhledem k tomu, že se v prostorách často pohybují třetí osoby.
3.3.3.2 Zranitelnosti serveru Vzhledem k neexistenci dokumentace a nastavení služeb poskytovaných serverem nezbývá nic jiného, než provést vlastnoruční analýzu. O serveru je tedy zatím známo pouze to, že na něm běží operační systém Linux, web, elektronická pošta a sdílení souborů v místní síti. Po získání přihlašovacích údajů je možné se libovolně přihlašovat do systému a odhlašovat se z něj. Po přihlášení nás bude zajímat, co je systém vlastně zač, tedy verze jádra a pro pozdější účely dokumentace také verze linuxové distribuce. Z hlediska identifikace zranitelných míst jsou tyto informace důležité zejména proto, že například chyby v jádru či jeho modulech mohou útočníkovi za určitých okolností umožnit získat oprávnění uživatele root 19 a tím pádem i kompletní kontrolu nad systémem. Na obrázku 5 je příklad zjišťování důležitých informací o systému pomocí standardních unixových příkazů. Již z výpisu procesů si lze udělat rozumnou představu o tom, jaké služby server fakticky poskytuje. Dále je nutné dohledat veškeré konfigurační soubory k daným službám, zaevidovat jejich umístění tak, jako v tabulce 11, a zkontrolovat stávající nastavení v nich uložená. V případě, že umístění konfiguračních souborů není na první pohled zřejmé, 19 Typicky nejvyšší oprávnění v prostředí unixových operačních systémů.
38
vyplatí se nahlédnout do manuálových stránek k příslušným běžícím programům. Kontrola nastavení je důležitá proto, že nám pomůže odhalit z hlediska zabezpečení nevhodné konfigurace, a identifikovat tak nové zranitelnosti. Evidence programového vybavení nemusí být vyčerpávající, stačí mít základní přehled o tom, jaké aplikace jsou využívány, k čemu, v jaké verzi a kde lze nalézt jejich konfigurační soubory.
Zdroj: Vlastní zpracování
Nyní již máme přehled o tom, jaké služby server poskytuje, ale zatím není zřejmé, jakým způsobem jsou nad rámec vlastní konfigurace zabezpečeny proti útoku z internetu či z místní sítě. Nejdříve je tedy potřeba zjistit stávající síťové nastavení serveru a podívat se, zda-li a jak jsou nakonfigurována pravidla firewallu. Z analýzy programového vybavení mimo jiné vyplývá, že server pro svou ochranu nevyužívá žádný IDS 20. V serveru jsou fyzicky přítomny dvě síťové karty označené jako eth0 a eth1, což je snadno možné ověřit i vizuální kontrolou zadní části skříně. Dále lze říci, že podle nastavení IP adres patří eth0 do místní sítě a eth1 do internetu. Z dalšího průzkumu systému vyplynulo, že například nejsou nastavena žádná pravidla firewallu, což potenciálně umožňuje útočníkům přes síť využít zranitelností služeb, ke kterým by s řádně nastaveným firewallem neměli přístup. Další nalezené zranitelnosti souvisí s uživatelskými účty, které jsou v systému aktivní, ale již dávno měly být odstraněny, případně v řízení přístupu jednotlivých aktuálních účtů do systému vůbec. Účty vyhrazené pro sdílení souborů se mohou zároveň přihlašovat do 20 Intrusion Detection/Prevention System monitoruje chování v síťovém provozu a odhaluje podezřelé aktivity.
39
systému, ačkoli by měly být používány výhradně pro své účely, tj. přihlašování ke službě Samba. Sdílení stejných přihlašovacích údajů mezi více uživateli je taktéž nepřípustné, protože kvůli tomu není možné vyvodit zodpovědnost za provedené akce. Uživateli root je umožněno se přihlašovat do systému přes SSH přímo, přičemž použité heslo není bezpečné. Zmíněné i další nalezené zranitelnosti jsou uvedeny příloze 1 na stránce 91. Tabulka 11: Programové vybavení serveru Program
Verze
Funkce
Nastavení
Jádro
2.6.20
Běh systému
/usr/src/linux-2.6.20/.config
Gentoo Base
1.12.10
Linuxová distribuce zajišťující správu balíčků a nastavení
/etc/conf.d/
Apache
2.2.8
Webový server hostující firemní www stránky
/etc/apache2/httpd.conf /etc/passw.http (hesla)
PHP
5.2.5
Skriptovací knihovna pro Apache
/etc/php/apache2-php5/php.ini
MySQL
5.0.54
Databázový server pro firemní web
/etc/mysql/my.cnf
Postfix
2.4.6
Poštovní server
/etc/postfix/
Syslog-ng
2.0.6
Služba zajišťující zaznamenávání systémových a aplikačních informací.
/etc/syslog-ng/syslog-ng.conf
Samba
3.0.28
Služba pro sdílení souborů mezi OS Linux a Windows
/etc/samba/smb.conf /etc/samba/smbusers
Bind
9.4.1
DNS server
/etc/bind/named.conf
PureFTPD
1.0.21
FTP server umožňující nahrávat nebo stahovat soubory ze serveru
/etc/conf.d/pure-ftpd; /etc/pureftpd.passwd (hesla)
Teapop
0.3.8
Aplikace pro stahování pošty ze serveru /etc/conf.d/teapop; prostřednictvím protokolu POP3 /etc/teapop.passwd (hesla)
OpenSSH
4.7p1
Služba zajišťující přístup k příkazové řádce systému přes zabezpečený kanál
/etc/ssh/sshd_config /etc/ssh/ (klíče)
Cyrus SASL
2.1.22
Aplikace pro autentizaci uživatelů při odesílání pošty
/etc/postfix/
IPTables
1.3.8
Aplikace pro nastavování pravidel firewallu
/var/lib/iptables/rules-save
OpenVPN
2.0.7
Aplikace pro vytvoření bezpečné virtuální privátní sítě
/etc/openvpn/
Zdroj: Vlastní zpracování
3.3.3.3 Zranitelnosti pracovní stanice Pracovní stanice umožňuje přístup do sytému BIOS bez hesla. Tím pádem lze i libovolně zavádět operační systémy přímo z vložených nosičů jako jsou CD, DVD, USB pamětí a pevných disků, jejichž prostřednictvím může být počítač kompromitován. Neexistence pravidelně kontrolovaného hesla systému BIOS tak může potenciálně ztížit detekci bezpečnostního 40
incidentu. Pracovní stanice dále po spuštění umožňuje přihlášení pomocí profilového obrázku, což může útočníkovi usnadnit průnik do počítače. Není oddělen systém od dat, všechny soubory potřebné pro běh operačního systému a aplikací jsou na jediném diskovém oddílu, což může být komplikace z hlediska zálohování systému. Je otevřen port pro přístup přes vzdálenou plochu a to i přes to, že není využíván. Není zaveden žádný postup pro filtrování a kontrolu zaznamenávaných informací. Zakoupený antivirový program sice používá rezidentní štít, ale samotné skenování systému a souborů je prováděno pouze jednou za týden. To v případě nově se šířícího škodlivého kódu, který ještě nemohl být rezidentním štítem zachycen, může podstatně zvýšit dobu mezi infiltrací a detekcí. Manuální instalace aktualizací v tomto případě není příliš vhodná, protože uživatel zpravidla není schopen fundovaně posoudit, zda-li daná aktualizace má smysl nebo ne. Obdobný problém přináší i nastavení oprávnění uživatelských účtů na úroveň správce, což může výrazně přispět ke kompromitaci systému. Jsou skrývány soubory a přípony, což může potenciálně zmást uživatele, případně skrýt před jeho zrakem podezřelé soubory, kterých by si jinak všiml.
3.3.3.4 Zranitelnosti mobilních zařízení Notebooky mají nainstalované nejnovější verze Ubuntu Linuxu, v případě mobilních telefonů a tabletů se jedná o Android verze 4 a vyšší. Hlavní zranitelností v tomto případě ani tak není samotný operační systém či jeho aplikace, ačkoli u Androidu je problematika aplikací podstatně závažnější, ale spíš prostředí, kde jsou používány. Jedná se zejména o prostředí mimo firmu, ať už se jedná o pochybně zabezpečené domácí sítě nebo sítě veřejně přístupné. Při připojování přes tyto rizikové sítě však není využívána virtuální privátní síť (VPN), která by kryptografickými prostředky garantovala bezpečnost na úrovni 2. nebo 3. vrstvy referenčního modelu ISO/OSI. Notebooky nevyužívají firewall, což může vystavit útoku potenciálně zranitelné aplikace, které by mohly být preventivně chráněny. Obzvláště rizikové jsou pak v tomto směru právě veřejné sítě. Pro mobilní zařízení nejsou vytvořeny zásady bezpečného používání týkající se například uzamykání zařízení po určitém čase, používání antiviru ani šifrování zařízení pro případ krádeže nebo jeho ztráty.
3.3.3.5 Zranitelnosti síťových zdrojů Neexistuje ucelený přehled o využívání infrastruktury a systémových zdrojů, který by mohl být zajištěn například monitoringem. Přístupový bod WiFi je bez opodstatnění nastaven v režimu bridge, tím pádem spojuje poměrně bezpečnou drátovou síť se značně rizikovou bezdrátovou sítí na úrovni linkové vrstvy a propouští tedy veškerou komunikaci.
41
3.3.3.6 Určení míry zranitelnosti Vzhledem k faktu, že dosud nebyl vypracován žádný přehled zranitelností, není proti nim ještě zavedeno žádné protiopatření, které by snižovalo pravděpodobnost, že daná zranitelnost bude využita hrozbou. Hodnoty zranitelností se tedy pohybují nad horní hranicí, která je metodikou stanovena na interval 75-100%. Některé zranitelnosti jsou závažnější než jiné, a proto se přiřazené hodnoty míry zranitelnosti napříč seznamem liší. Míra zranitelnosti je uvedena ve vlastním sloupci v příloze 1 na stránce 91.
3.3.4 Hodnocení rizik Níže uvedený vzorec zachycuje, jakým způsobem se výpočet provádí. Použitými proměnnými jsou úroveň hrozby z intervalu (0,1), míra zranitelnosti z intervalu (0,1) a hodnota aktiva z intervalu (0,100) .
Riziko = Hrozba × Zranitelnost × Aktivum
V tabulce 12 je pak kvantifikace rizik a jejich interpretace podle výsledku. Fakticky provedené hodnocení rizik je k dispozici v příloze 1 na stránce 91. Tabulka 12: Míra rizika Riziko
Nízké
Střední
Vysoké
Velmi vysoké
Kvantifikace
0,1 – 1,5
1,5 – 12,5
12,5 – 42
42 – 100
Interpretace
Riziko je možné přijmout
Je nutné posoudit ekonomičnost možného opatření
Je nutné aplikovat Je nutné okamžitě vhodné opatření na aplikovat vhodné snížení rizika opatření na snížení rizika
Zdroj: Metodika vyvážené informační bezpečnosti
Na základě nedostatků zjištěných vstupním auditem a provedenou analýzou rizik budou dále navrhována opatření týkající se zbývajících klíčových oblastí, tedy řízení bezpečnosti procesů a technologií, lidských zdrojů a bezpečnostních incidentů. Konkrétně se pak tato opatření budou týkat fyzického zabezpečení aktiv, bezpečnosti komunikace a bezpečnosti přístupu k aktivům. Dále vztahu zaměstnavatele a zaměstnance a zvyšování bezpečnostního povědomí pracovníků. Budou navržena opatření týkající se reakce na proběhlé bezpečnostní incidenty a následnou obnovu systémů a činností.
42
3.4 Řízení bezpečnosti procesů a technologií 3.4.1 Bezpečnostní perimetr K zabezpečení fyzického perimetru přispěje úprava dvou zámků a to konkrétně u vnitřních vchodových dveří a venkovních vchodových dveří. Úprava spočívá ve výměně základních cylindrických vložek za vložky bezpečnostní. Pozitivním důsledkem změny bude také zajištění právní ochrany profilu klíče a nebude tedy již možné libovolně vytvářet neautorizované kopie. V návaznosti je však potřeba myslet na vznik potenciální zranitelnosti při nesprávné ochraně bezpečnostní a identifikační karty. Ty budou uloženy v trezoru společnosti a přístup k nim bude mít pouze vedoucí pracovník. Další úpravou je pak zabezpečení okna instalací kovové mříže na vnější stranu zdi budovy. Dále bude nainstalován elektronický zabezpečovací systém (EZS) zahrnující obvodovou ochranu, prostorovou ochranu, ochranu majetku, ústřednu, komunikační modul a ovládací klávesnici. Klávesnice systému bude nainstalována v interiéru poblíž vstupních dveří a bude sloužit k deaktivaci alarmu při vstupu prvního a odchodu posledního zaměstnance. Obvodová ochrana bude zahrnovat senzory otevření dveří. Prostorová ochrana bude sestávat z detektorů pohybu a akustického detektoru rozbití skla a vnitřní sirény. Pro ochranu majetku bude nainstalován kouřový detektor a detektor záplavy. Komunikaci s uživateli zajistí GSM komunikátor umístěný v ústředně, protože pevná linka může být případným útočníkem snadněji narušena. Připojení do mobilní sítě bude zajištěno přes tarifní firemní SIM kartu, aby se předešlo riziku vyčerpání kreditu v případě předplacených karet. Zvoleným řešením pro realizaci EZS je bezdrátový systém Alexor od společnosti DSC, který podle normy ČSN EN 50131-1 ed. 2 odpovídá použití v nízkém až středním rizikovém prostředí. 21 Vzhledem k tomu, že se jedná o bezdrátové zařízení, je potřeba mít na paměti, že kromě ústředny jsou všechny komponenty napájeny bateriemi, které je potřeba v určitých intervalech měnit a tudíž je systém náročnější na údržbu.
3.4.2 Zabezpečení archivačních skříní Nabízí se dva způsoby řešení, přičemž prvním a výrazně nákladnějším je pořízení nových kovových uzamykatelných archivačních skříní. Druhým řešením je pořízení několika větších visacích zámků na klíč nebo číselnou kombinaci a jejich instalace na madla skříní tak, že nebude možné se bez znalosti hesla či použití klíče k dokumentům dostat, aniž by došlo k poničení samotných skříní. 21 KELCOM INTERNATIONAL. DSC Alexor. In: Kelcom.cz [online]. ©1999-2013. [cit. 27.12.2013].
43
3.4.3 Firemní trezor Bude nainstalován firemní trezor určený jako bezpečné úložiště důležitých aktiv, z nichž některá však teprve vzniknou. Konkrétně se bude jednat o originální nosiče softwaru, nepoužívané fyzické kopie klíčů, exportovatelné zálohy certifikátů, zálohy klíčů k zašifrovaným složkám datového úložiště a záchranná média k zašifrovaným pevným diskům.
3.4.4 Fyzické zabezpečení serveru Další opatření se týká fyzického zabezpečení serveru, který je v současné době vystaven zvýšenému riziku útoku v případě, že dojde k vloupání do prostor společnosti. Vhodným opatřením je přesun serveru do velikostně odpovídající uzamykatelné skříně upevněné ke zdi. Spolu se serverem bude do skříně umístěn i záložní zdroj napájení. KVM přepínač bude úplně odstraněn, protože se v současné době k ničemu nevyužívá a představuje tak pouze neopodstatněné riziko selhání hardwaru. Do skříně bude po drobné úpravě kabeláže umístěn také síťový přepínač.
3.4.5 Záložní napájení K dispozici jsou celkem tři kusy UPS. První napájí server včetně monitoru, druhá napájí pracovní stanici včetně monitoru a třetí napájí přepínač, přístupový bod WiFi a síťovou tiskárnu. Články uvnitř UPS mají pouze omezenou životnost, je tedy potřeba jednotlivé záložní zdroje označit a pečlivě sledovat jejich stav. V artefaktu “Údržba aktiv“ bude založena karta „Baterie a články”, kde budou evidovány údaje jako v tabulce 13. Pokud dojde k detekci nějakého nestandardního chování UPS nebo baterie, musí toto být zaznamenáno do kolonky „Poznámky“ pro pozdější diagnostiku a případný servis. Pokud například UPS zapípá a přepne se na by-pass aniž by došlo k výpadku elektřiny či stejné reakci ostatních jednotek, ukazuje to na možné selhání článku nebo řídící elektroniky UPS. Stejný způsob evidence se pochopitelně bude vztahovat i na další nově přidávané UPS, počítače nebo baterie v jiných klíčových zařízeních. Kvůli okamžité možnosti servisu bude na skladě vyhrazena jedna souprava článků pro okamžitou výměnu v případě nečekaného selhání UPS, alespoň tři náhradní kusy CR2032 baterie a osm nových AA baterií. Na obalu by vždy měl být zapsán měsíc a den, kdy byly zakoupeny, kvůli přehledu o životnosti. Výrobce u jednotlivých komponent elektronického zabezpečovacího systému uvádí velmi dlouhou výdrž, nicméně je bezpečnější počítat se spodní hranicí těchto odhadů.
44
Tabulka 13: Údržba článků a baterií #
Typ
Popis
Měněno
Expirace
Poznámky
U1
RBC2
UPS server + monitor
10/2013
10/2016
U2
RBC2
UPS pracovní stanice + monitor
05/2013
05/2016
U3
RBC2
UPS přístupový bod WiFi, přepínač, síťová tiskárna
12/2012
12/2015
U4
RBC4
UPS centrálního datového úložiště 03/2014
03/2017
Bude pořízeno
U5
RBC4
UPS vzdáleného datového úložiště 03/2014
03/2017
Bude pořízeno
C1
1x CR2032, 3V CMOS baterie serveru
05/2008
05/2012
Vyměnit!
C2
1x CR2032, 3V CMOS baterie pracovní stanice
08/2011
08/2015
D1
1x CR123A, 3V Detektor pohybu
03/2014
03/2020
Bude pořízen
D2
1x CR123A, 3V Detektor pohybu
03/2014
03/2020
Bude pořízen
D3
2x CR123A, 3V Detektor rozbití skla
03/2014
03/2019
Bude pořízen
D4
1x CR2, 3V
Dveřní senzor
03/2014
03/2019
Bude pořízen
D5
1x CR2, 3V
Dveřní senzor
03/2014
03/2019
Bude pořízen
D6
4x AA, 1,5V
Vnitřní siréna
03/2014
03/2015
Bude pořízena
D7
2x CR123A, 3V Detektor kouře
03/2014
03/2018
Bude pořízen
D8
1x CR2, 3V
Detektor záplavy
03/2014
03/2018
Bude pořízen
D9
4x AA, 1,5V
Klávesnice EZS
03/2014
03/2015
Bude pořízena
Zdroj: Vlastní zpracování
3.4.6 Zálohování Za účelem zavedení spolehlivého systému zálohování bude pořízeno síťové datové úložiště (NAS), které bude fyzicky umístěno ve skříni spolu se serverem. V tomto úložišti pak budou dva pevné mechanické SATA disky v módu RAID-1 (zrcadlení). Do tohoto budou ukládány zálohy všech příslušných aktiv, jež je potřeba zabezpečit. Jedná se o:
•
Zálohování operačního systému serveru.
•
Zálohování dat na serveru (webová aplikace společnosti).
•
Zálohování operačního systému pracovní stanice.
•
Zálohování dat na pracovní stanici (účetní data).
•
Zálohování operačního systému a osobních dat na mobilních zařízeních.
•
Zálohování nastavení přístupového bodu WiFi.
•
Zálohování nastavení síťové tiskárny.
•
Zálohování nastavení síťového přepínače (bude pořízen nový).
45
•
Zálohování nastavení centrálního datového úložiště (bude pořízeno).
•
Zálohování dokumentace bezpečnostní politiky (bude vytvořena).
•
Zálohování důležitých dokumentů skenováním na centrální datové úložiště.
Zde však čelím výzvě, jak rozumně zajistit decentralizaci zálohy pro případ spuštění scénáře kontinuity činnosti organizace. Pokud by došlo v prostorách společnosti k vážnému požáru, tak sebeúžasnější záloha na inkriminovaném místě nemusí být vůbec nic platná. Je proto nutné vymyslet, jakým způsobem se bude provádět zálohování mimo prostory společnosti. Za tímto účelem bude nasazeno ještě jedno datové úložiště na utajeném místě mimo prostory společnosti. Pomocí technologie virtuální privátní sítě (VPN) pak toto vzdálené úložiště bude propojeno s centrálním datovým úložištěm. Vše, co se zálohuje v místní síti tedy bude zálohováno i decentralizovaně. Tento systém zálohování bude automatizovaný, až na samotné zálohy operačních systémů a dat mobilních zařízení, ty budou uživatelé provádět manuálně. Návrh systému zálohování je zachycen na obrázku 6. Ilustrace 6: Systém zálohování
Zdroj: Vlastní zpracování
46
3.4.7 Údržba aktiv Údržba aktiv řeší zejména fyzické odstranění nečistot a kontrolu vnitřních komponent skříní, což se týká serveru a pracovní stanice. Hromadění prachu může zapříčinit selhání některé z komponent a způsobit tak bezpečnostní incident. Každých šest měsíců je tedy potřeba příslušnou skříň otevřít a zkontrolovat funkčnost aktivních větráků. Poté stroj vypnout, odpojit od elektřiny, pečlivě vyčistit pomocí stlačeného vzduchu či antistatického štětce, uvést zpět do provozu a zaznamenat informace tak, jak je uvedeno v tabulce 14. Jakékoli nesrovnalosti nebo postřehy pak budou zapsány do kolonky poznámka. Aby se oba přístroje musely vypnout pouze jednou, je vhodné provádět údržbu počítače zároveň s údržbou UPS. Odpovědnost za fyzickou údržbu má technik, u serveru však pouze v součinnosti se správcem. Ten zajistí přístup do serverové skříně a provede kontrolované vypnutí serveru. Při údržbě počítačů a UPS je nutno dbát kromě bezpečnostní politiky také na dodržování bezpečnosti práce v souvislosti s vyhláškou č. 50/1978 22 Českého úřadu bezpečnosti práce a to zejména § 4, § 5 a § 6.23 Tabulka 14: Fyzická údržba Stroj
Poslední údržba
Příští údržba
Poznámky
Server
05/2008
01/2014
Vyčistit!
Pracovní stanice
08/2011
01/2014
Vyčistit!
UPS U1
-
01/2014
Vyčistit!
UPS U2
-
01/2014
Vyčistit!
UPS U3
-
01/2014
Vyčistit!
UPS U4
03/2014
09/2014 Zdroj: Vlastní zpracování
3.4.8 Likvidace aktiv Likvidace se týká zejména dat uložených na nosičích. Z některých typů médií lze různými technikami, zpravidla za pomoci běžně dostupných aplikací, data získat i po jejich vymazání. Pro potřeby bezpečnostní politiky se budou rozlišovat následující situace: 1. Citlivá data je potřeba odstranit a nosič ponechat k internímu použití (mazání). 2. Citlivá data je potřeba odstranit a nosič použít v nezabezpečeném prostředí (čištění). 3. Citlivá data je potřeba odstranit a nosič zničit (likvidace). 22 ČSSR. Vyhláška č. 50 Českého úřadu bezpečnosti práce. In: Gov.cz [online]. ©2013. [cit. 19.12.2013]. 23 Jedná se o kvalifikaci pracovníků pro manipulaci s elektronickými zařízeními.
47
V prvním případě budou data jednoduše vymazána. Ve zbylých dvou případech se bude vycházet ze standardu DoD 5220.22-M, který specifikuje, jakým způsobem provádět likvidaci dat a nosičů. Čištění dat na mechanickém disku by se mělo například provádět tak, že se nejdříve celý obsah disku přepíše jedním znakem (1. průchod), pak jeho komplementem (2. průchod) a nakonec náhodným znakem (3. průchod). Metody vztahující se k jednotlivým nosičům jsou uvedeny v tabulce 15. Nezabezpečeným prostředím je myšleno prostředí mimo firmu, např. pokud se jedná o předávání účetních dat klientovi na flash paměti, na které byla doposud účetní data vztahující se k jinému subjektu. Schválenými aplikacemi pro potřeby čištění a likvidaci dat jsou Diskwipe 24 a DBAN25. Je potřeba mít na paměti, že bezpečné čištění dat na SSD disku nelze běžnými technikami stoprocentně zaručit. 26 SSD disk je tedy potřeba zašifrovat a klíč zničit (zapomenout). Nepotřebné papírové dokumenty s citlivými informacemi se budou standardně likvidovat skartací, stejně tak i účetní a mzdové dokumenty po zákonné archivační lhůtě. Data na mobilních zařízeních se systémem Android lze znehodnotit zašifrováním zařízení a následným resetem do továrního nastavení. Tabulka 15: Čistění a likvidace aktiv Nosič
Čištění
Likvidace
Optická média (čtení i zápis) 1 průchod, samé nuly
Fyzická likvidace (rozdrtit)
Optická média (čtení)
-
Fyzická likvidace (rozdrtit)
Pevné disky
3 průchody (jedničky, nuly, náhodný znak) Čištění + fyzická likvidace
Flash disky
3 průchody (jedničky, nuly, náhodný znak) Fyzická likvidace (rozdrtit)
SSD
Disk zašifrovat (AES 256-bit), klíč zničit
Fyzická likvidace (rozdrtit)
Paměti RAM
Odpojit elektřinu, odpojit z počítače
-
Papírové dokumenty
-
Skartovat
Mobilní zařízení (Android)
Zašifrovat zařízení + tovární nastavení
Čištění postačuje
Zdroj: Vlastní zpracování
24 WIPE SOFT. Disk Wipe 1.7 [software] [přístup 22. prosince 2013]. 25 DARIK HORN. Darik's Boot and Nuke 2.2.8 [software] [přístup 22. prosince 2013]. 26 UNIVERSITY OF CALIFORNIA. Reliably Erasing Data From Flash-Based SSDs. In: Ucsd.edu [online]. @2013. [cit. 22.12.2013].
48
3.4.9 Monitoring systémových a síťových zdrojů Bude zaveden aktivní monitoring zdrojů společnosti prostřednictvím nástroje Nagios27. Jedná se o open source aplikaci v této oblasti již dlouhá léta hojně využívanou, dříve pod názvem NetSaint. Nagios bude nasazen na serveru, výstupy monitoringu bude možné sledovat v reálném čase přes webové rozhraní v rámci intranetu. Monitorovány budou vlastní zdroje serveru, síťové služby, aktivita prvků v síti a jejich dostupnost. Mezi vlastní zdroje serveru patří zaplnění pevných disků, využití paměti, využití procesoru, výpis z teplotních čidel na základní desce a počet přihlášených uživatelů. Překročení správně nastavené hranice u každého z těchto zdrojů indikuje potenciální bezpečnostní incident. Monitoringem síťových služeb se rozumí dostupnost webového serveru, poštovního serveru (SMTP), serveru pro stahování pošty (POP3), databáze, webového serveru síťové tiskárny, webového serveru přístupového bodu WiFi a dostupnost sdílených adresářů síťového úložiště (bude pořízeno). V rámci monitoringu prvků pak bude sledována dostupnost jednotlivých aktivních prvků v síti. Prvky lze z hlediska aktivity rozdělit na dvě skupiny. V první skupině jsou prvky, které mají být aktivní neustále, tedy síťová tiskárna a přístupový bod WiFi. Jejich nedostupnost signalizuje výpadek, a tedy nutnost ručního zásahu, kterým může být například restart. Ve druhé skupině jsou prvky, které by měly být aktivní v pracovní době, tedy pracovní stanice, notebooky, tablety a mobilní telefony připojené přes WiFi. Interval pracovní doby bude nastaven od pondělí do pátku, od 8 do 17 hodin, tedy s hodinovou rezervou po standardní pracovní době, kdy je velmi pravděpodobné, že ještě bude přítomen někdo ze zaměstnanců. V případě, že Nagios zjistí na základě sledování vytyčených zdrojů a prvků nějakou nesrovnalost, přijde na řadu notifikace zodpovědné role. Pokud nedojde k nápravě problému ve stanoveném termínu, bude systém notifikovat konkrétní osoby, typicky vedoucího, případně i další zaměstnance. Notifikace se budou provádět přes internet pomocí SMS a doplňkově e-mailem. Je však potřeba brát v potaz situaci, kdy dojde k výpadku připojení k internetu na straně ISP či jinému selhání sítě, a Nagios nebude moci notifikace doručit. Alternativně lze problém vyřešit instalací záložní linky přes GSM bránu připojenou k serveru, nicméně na základě zkušeností s kvalitou připojení k internetu od současného poskytovatele to prozatím nebude třeba. 27 NAGIOS ENTERPRISES. Nagios 4.0 [software]. [přístup 26.12.2013].
49
3.4.10 Bezpečnost a kontrola přístupového bodu WiFi Přístupový bod WiFi je vynikajícím terčem pro útok a to ze dvou důvodů. Za prvé je možné se skrz něj prolomit do místní sítě, kde pak lze odposlouchávat síťový provoz nebo spouštět útoky vůči dalším aktivům, například prostřednictvím falšování identity 28, a to aniž by útočník musel fyzicky vstoupit do chráněných prostor společnosti. Problém je tedy v tom, že elektromagnetické záření nerozumí hranicím objektu, leda by byl vyprojektován jako obří Faradayova klec. Druhým důvodem je samotná pověst přístupových bodů WiFi, z nichž mnohé stále ještě používají zabezpečení WPAv1 či dokonce WEP, případně je již nastaveno WPAv2, ale bylo použito jednoduché slovníkové heslo. Jak je na tom právě naše WiFi zařízení pak bude pro odhodlaného útočníka pochopitelně lákavé zjišťovat. Navrhovaná opatření jsou:
•
Zabezpečení WPAv2 s algoritmem AES a silným heslem.
•
Snížení vyzářeného výkonu na nutné minimum.
•
Korektní nastavení času na zařízení.
•
Vzdálené logování událostí z přístupového bodu na server.
•
Izolace bezdrátově připojených zařízení.29
Vhodné nastavení zabezpečení podstatně znesnadní průlom do sítě. Snížení vyzářeného výkonu bude nutit útočníka přijít co nejblíže k objektu, kde si ho spíše někdo všimne, než když bude sedět opodál v autě a tvářit se nenápadně. Je potřeba dbát na to, aby manipulací s hodnotou vyzářeného výkonu nedošlo k narušení práce z autorizovaných zařízení. Správným nastavením času a vzdáleným logováním událostí bude docíleno aspoň základní úrovně kontroly nad tím, co se s přístupovým bodem děje. Takto získané údaje mohou pomoci při zpětné analýze v případě bezpečnostního incidentu. Vzájemnou izolací zařízení připojených bezdrátově lze zabránit potenciálnímu šíření některých typů škodlivého kódu, například červů. Odpovědnost za nastavení přístupového bodu WiFi má správce.
3.4.11 Bezpečnost a kontrola serveru Bezpečnost serveru se skládá ze dvou dimenzí, lokální a síťové. Pokud se útočník prolomí do systému, ať už z vnitřní sítě nebo z internetu, pravděpodobně skončí s uživatelským účtem s omezeným oprávněním a teprve bude muset prolomit ochranu lokální, aby získal oprávnění uživatele root (escalation of privilege), a tím kompletní kontrolu nad systémem. Unixové operační systémy jsou v zásadě, díky svému vnitřnímu fungování, velmi bezpečné. Největší 28 Útok známý pod anglickým termínem „Man In The Middle”. 29 Známé pod anglickým názvem „Wireless Client Isolation”.
50
hrozbou tak jsou zpravidla zásahy či naopak nečinnost správce, případně nezkušeného uživatele s přístupem k administrátorskému účtu. Pro zvýšení úrovně zabezpečení serveru budou podniknuty následující opatření:
•
Odstranění nepotřebných a nepoužívaných systémových účtů. 30
•
Vynucení tvorby silného hesla pro přihlášení do systému.
•
Nastavení expirace systémových hesel po třech měsících.
•
Automatické odhlášení uživatele po třech minutách nečinnosti.
•
Autorizace skupin účtů, které se smí vzdáleně přihlašovat, v nastavení OpenSSH.
•
Omezení možnosti přihlašování uživatele root přes SSH.
•
Zavedení seznamu softwarových komponent a pravidelná kontrola jejich zranitelností.
•
Aktualizace softwarových komponent jako je kernel, binutils, glibc a další.
•
Odstranění nepotřebných aplikací.
•
Dokumentace nastavení služeb vedoucí ke snížení rizika chyby při manipulaci s nimi.
•
Kontrola škodlivých kódů prostřednictvím antiviru a antirootkitu.
•
Korektní nastavení firewallu prostřednictvím IPTables.
•
Instalace IDS/IPS, který bude detekovat události v síťovém provozu a reagovat na ně.
•
Agregace informací zaznamenaných v logovacích souborech.
•
Pravidelné zasílání agregovaných logů zodpovědným rolím (správci a vedoucímu).
•
Omezení spamu pomocí kontroly IP adres v internetových černých listinách.
Schváleným IDS/IPS je aplikace Snort31. Omezení spamu bude provádět v MTA Postfix na základě kontroly černých listin. Schváleným antivirovým programem je ClamAV32, antirootkitem pak Rootkit Hunter33. Odpovědnost za bezpečnost a kontrolu serveru má správce.
30 31 32 33
NORTHCUTT, S. et al.: Inside Network Perimeter. Sams, 2005, kap. 9 „The Need for Host Hardening” SOURCEFIRE INC. Snort 2.9.5.6 [software]. [přístup 19.12.2013]. SOURCEFIRE VRT. Clam AntiVirus 0.98 [software]. [přístup 2.12.2013]. MICHAEL BOELEN. Rootkit Hunter 1.4.0 [software]. [přístup 19.12.2013].
51
3.4.12 Bezpečnost a kontrola pracovní stanice Prvním krokem pro zabezpečení pracovní stanice s Windows 7 je vytvoření silného hesla pro základní administrátorský účet. Účty vedoucího a správce smí mít oprávnění typu administrátor, ostatní existující účty musí mít oprávnění typu uživatel. Je zároveň potřeba zajistit správné fungování doposud používaných aplikací s účty přednastavenými na tuto úroveň oprávnění. Dalším krokem je nastavení úvodní obrazovky tak, aby po nastartování systému uživatel musel zadávat kromě hesla i uživatelské jméno, nikoli aby pro zadání hesla stačilo pouze kliknout na profilový obrázek. Dále bude nastaveno automatického stahování a instalace důležitých aktualizací, které se mimo jiné týkají i bezpečnostních záplat. Aktualizace se budou instalovat před nebo na začátku pracovní doby. Prostřednictvím aplikace Eventlogto-syslog34 bude zajištěno odesílání zaznamenávaných informací ze služby Protokol událostí systému Windows na server. Systém by měl být nastaven tak, aby sám od sebe neskrýval systémové soubory, soubory označené jako skryté a také přípony známých typů. Systém i data jsou uložena v jediném existujícím diskovém oddílu, proto bude pevný disk dodatečně rozdělen na oddíl C (systémový) a D (datový). Pracovní stanice bude automaticky vypnuta jednu hodinu po skončení pracovní doby, aby se mohlo provést denní zálohování dat a antivirová kontrola.
3.4.13 Bezpečnost a kontrola mobilních telefonů a tabletů Při návrhu operačního systému Android autoři mysleli také na jeho bezpečnost, což je možné vidět na obrázku 7. Jeho nejpalčivějším problémem i přes to zůstává právě proces instalace aplikací.
Společnosti
Google
se
dlouhodobě
nedaří
zajistit
bezpečnost
softwaru
distribuovaného přes jeho platformu Google Play. Uživateli se tak může velmi snadno stát nejen to, že si stáhne aplikaci obsahující škodlivý kód, ale při instalaci jí navíc udělí veškerá oprávnění, o které si takováto darebná aplikace řekne. Uživatel pak nemusí vůbec zjistit, co se uvnitř jeho zařízení vlastně děje, dokud nedojde k detekci bezpečnostního incidentu. Pokud k ní vůbec dojde. Daleko větší riziko pak v tomto směru mohou přinést instalační balíčky aplikací z jiných zdrojů než Google Play.35
34 SHERWIN FARIA. Eventlog-to-syslog 4.5.1 [software]. [přístup 27.12.2013]. 35 TREND MICRO INC. Android Malware Spreads via Third-Party App Stores. In: Trendmicro.com [online]. @2013. [cit 23.12.2013].
52
Dalším problémem mobilních zařízení obecně, je přirozená náchylnost ke ztrátě či krádeži a jakmile je jednou zařízení mimo dosah autorizovaného vlastníka, nelze garantovat důvěrnost dat na něm uložených. Z toho důvodu bude bezpečnostní politikou stanoveno, že tablety a mobilní telefony musí být šifrovány. Šifrování v Androidu je vázáno na PIN či heslo, je permanentní a lze ho zrušit pouze resetováním do továrního nastavení, čímž zároveň dojde k likvidaci dat uložených na zařízení. Tím je zajištěno, že v případě ztráty telefonu či tabletu se k soukromým nebo firemním informacím nedostane nikdo nepovolaný. Schváleným antivirovým programem pro systém Android je Avira Free Android Security36. Aby bylo minimalizováno riziko napadení telefonu či tabletu, budou stanovena následující opatření:
•
Uzamykání telefonu a tabletu pomocí PIN kódu nebo hesla.
•
Povinnost mít telefon či tablet zašifrovaný.
•
Automatické zamknutí telefonu či tabletu po jedné minutě.
•
Nespouštět WiFi tethering s originálním heslem (1234567890).
•
Nezviditelňovat zařízení přes Bluetooth na delší než nezbytně nutnou dobu.
•
Zakázat technologii Near Field Communication (NFC), pokud jej zařízení podporuje.
•
Zákaz připojování telefonů a tabletů přes USB do cizích zařízení.
36 AVIRA OPERATIONS GMBH. Avira Free Android Security 3.0 [software] [přístup 23. prosince 2013].
53
•
Zákaz instalace aplikací z jiných zdrojů než Google Play.
•
Zákaz úpravy systému za účelem získaní oprávnění uživatele root. 37
•
Při instalaci aplikace hlídat zejména požadavky na plný přístup k internetu, přístup k online účtům a zasílání SMS.
•
V případě pochybností o aplikaci se poradit se správcem.
•
Povinnost mít spuštěný a aktualizovaný antivirový program.
3.4.14 Bezpečnost systému pro vedení účetnictví a účetních dat K vedení účetnictví na pracovní stanici slouží firmě ekonomický systém Money S3 Premium. Ten se skládá ze dvou hlavních komponent, a to ze samotné spustitelné aplikace a účetních datových souborů obsahujících veškeré agendy. Obě části jsou nainstalovány do jediné složky na pevném disku v oddílu C. Tento oddíl však obsahuje i systém Windows, který je také potřeba pravidelně zálohovat, ale ideálně bez zbytečného přidaného objemu datových souborů, jež se budou zálohovat samostatně. Jejich obnovení zároveň se systémem by navíc nebylo užitečné, protože záloha systému se nebude provádět tak často a data účetních agend by tedy již byla zastaralá. Aplikace spolu s daty proto bude přesunuta na datový oddíl D a úpravou systémových registrů, případně vytvořením vhodných symbolických odkazů bude zajištěno správné fungování aplikace i po tomto zásahu. V přímé souvislosti s vedením účetních agend se budou tvořit celkem tři typy záloh. Jsou to automatické denní zálohy dat, automatické měsíční zálohy dat a manuální zálohy tvořené v rámci téhož dne. Dalším krokem je naprogramování několika jednoduchých dávkových souborů (skriptů) v PowerShellu, který je standardní součástí Windows 7. Skripty zajistí operace odpovídající navrženým typům záloh:
•
Denní záloha účetních dat na centrální datové úložiště.
•
Obnova nejnovější zálohy dat z datových úložišť.
•
Obnova požadované denní zálohy dat z datových úložišť.
•
Měsíční záloha účetních dat na centrální datové úložiště.
•
Obnova požadované měsíční zálohy dat z datových úložišť.
•
Manuální záloha účetních na centrální datové úložiště.
•
Obnova požadované manuální zálohy z datových úložišť.
37 Technika známá pod anglickým termínem „rooting“, cílem je získat nejvyšší stupeň oprávnění.
54
Skripty provádějící automatickou zálohu pak budou spouštěny jednou denně či jednou měsíčně prostřednictvím plánovače úloh systému Windows. Skripty pro obnovu budou spouštěny vždy ručně, stejně tak i skript provádějící manuální zálohu. K dispozici budou na datových úložištích také jednotlivé starší použité verze samotné aplikace. V rámci údržby aktiv je nutné evidovat, jakou verzi účetní aplikace firma v tom kterém období používala a při každé aktualizaci tuto informaci doplnit. Dále je potřeba z hlediska bezpečnosti vyřešit problém s oprávněním uživatele uvnitř aplikace. Za tímto účelem bude zřízen administrátorský účet s neomezeným oprávněním, k němuž bude mít přístup pouze vedoucí pracovník. Účetní pak bude mít veškeré pravomoci kromě možnosti upravovat záznamy o provedených akcích, aby bylo možné v případě potřeby dohledat konkrétní zodpovědnost.
3.4.15 Elektronická komunikace Zejména komunikace prostřednictvím e-mailu s sebou přináší řadu úskalí. Prvním z nich je velké množství spamu, od poměrně neškodných reklam, až po zákeřně konstruované pasti na nepoučené uživatele. Zpravidla je potřeba dát si pozor na otevírání nevyžádaných příloh a to i od kontaktů, které uživatel považuje za důvěryhodné (hrozí falšování identity). Dále je u přílohy nutné posoudit, zda-li se pouze netváří jako něco, co ve skutečnosti není. Může se například jednat o soubor roztomile_kotatko.jpg.exe, u kterého nepozorný uživatel místo zobrazení zábavné fotografie odsouhlasí spuštění škodlivého kódu. Zejména v systému Windows je tedy potřeba přílohu nejprve stáhnout na disk, zkontrolovat antivirovým programem a ověřit právě příponu souboru. Dále je potřeba si v tomto směru dát velký pozor na phishingové útoky 38 zaštiťující se jménem a logem známých českých bank. 39 Takové útoky přitom mohou zaskočit i zkušenější uživatele. Obecně lze říci, že žádná instituce, soukromá ani státní, by neměla sama od sebe náhodně kontaktovat uživatele s tím, že by měl někomu sdělit přístupové údaje nebo nainstalovat jakoukoli aplikaci. Co se softwarového vybavení a jiných důležitých informací týče, jsou uživatelé zpravidla upozorňováni přímo v rámci informačních systémů daných institucí. V případě, že je zaměstnanci vytvořen nový účet, je k němu zároveň vygenerováno dočasné heslo, které mu může být předáno firemní poštou, ale zároveň platí povinnost toto heslo nejpozději tentýž den změnit. Platí zákaz sdílení citlivých dat jinými kanály, než pomocí 38 Podvodná technika používaná k získávání citlivých údajů v elektronické komunikaci. 39 ČESKÁ SPOŘITELNA. Aktuality: Phishing [online]. ©2013. [cit. 25.12.2013].
55
nosičů k tomu určených (flash paměti, optická média, externí pevný disk). Dalším schváleným kanálem pro výměnu dokladů je bezplatná cloudová služba iDoklad, kterou provozuje známá česká firma Cígler Software. Zásady elektronické komunikace lze shrnout do následujících bodů:
•
Zákaz sdílení citlivých dat jinými kanály, než pomocí nosičů k tomu vyhrazených.
•
Dočasně vytvořené heslo smí být cílovému uživateli předáno po firemním e-mailu.
•
Dočasně vytvořené heslo musí být ještě v daný den změněno.
•
Zákaz využívání soukromých e-mailových schránek pro pracovní účely.
•
Zákaz stahování příloh a spouštění odkazů z e-mailů v soukromých schránkách.
•
Zákaz instalace softwaru na základě instrukcí v předem nevyžádané poště.
•
V případě pochybností o legitimitě elektronické komunikace kontaktovat správce.
3.4.16 Systém souhrnných hlášení Server bude sloužit jako centrální sběrné místo pro informace zaznamenávané napříč systémy společnosti a to prostřednictvím Syslogu40. Nástrojem pro agregaci a periodické zasílání souhrnných hlášení je Logwatch41. Hlášení se bude sestavovat a zasílat každý den po půlnoci, kdy dojde k vyhodnocení událostí za předešlý den. Hlášení bude dostávat vedoucí a správce. Systém bude nastaven tak, aby zachytával zejména nestandardní události, které by mohly indikovat bezpečnostní incident. Na obrázku 8 je tento systém zachycen.
40 Standard pro záznam programových zpráv a zároveň i stejnojmenná aplikace, která tyto zprávy zpracovává. 41 KIRK BAUER. Logwatch 7.4.0 [software]. [přístup 27.12.2013].
56
Ilustrace 8: Systém souhrnných hlášení
Zdroj: Vlastní zpracování
3.4.17 Bezpečnost datových nosičů Klíčovým opatřením je zajistit vhodný postup týkající se nakládání s nosiči citlivých dat. Nosičem citlivých dat se rozumí nosič pro výměnu účetních dat s klienty nebo jiných citlivých aktiv, například databázový soubor správce účtů (bude zaveden). Pro ukládání těchto nosičů je vyhrazeno bezpečné úložiště. V případě účetního jsou to uzamykatelné zásuvky v jeho stole, v případě vedoucího je to trezor instalovaný v prostorách společnosti. U nosičů citlivých dat v prostorách společnosti jsou přípustné pouze dva stavy:
•
S nosičem se aktivně pracuje, je pod kontrolou vlastníka.
•
S nosičem se nepracuje, je uložen v bezpečném úložišti.
Pravidla vynášení citlivých dat mimo firmu se budou řídit definicemi rolí bezpečnostní politiky v rámci řízení lidských zdrojů. Jakékoli jiné nakládání s nosiči citlivých dat bude považováno za porušení bezpečnostní politiky a pracovních povinností. Každý nosič musí být pro účely evidence a likvidace označen.
57
3.4.18 Bezpečnostní kalendář V rámci nově pořízeného centrálního datového úložiště (NAS) bude zavedena a nastavena služba WebDAV s rozšířením CalDAV, jejímž prostřednictvím lze přes protokol HTTPS bezpečně sdílet kalendář mezi všemi uživateli v aplikacích Thunderbird 42 a Sunbird43, případně i dalších, které podporují komunikaci přes zmíněné protokoly. V kalendáři budou zaneseny všechny důležité termíny týkající se řízení bezpečnosti ve firmě. Odpovědnost za správu bezpečnostního kalendáře bude mít vedoucí.
3.4.19 Schvalování aplikací Žádné aplikace, protokoly ani webové stránky prozatím nejsou zakázány. Před každou nově instalovanou aplikací je nutno provést konzultaci se správcem systému kvůli jejímu schválení. Schvalovací proces slouží k tomu, aby správce mohl jednak posoudit potřebnost a vhodnost požadované aplikace a dále zanést informace o aplikaci do seznamu sledovaného softwaru za účelem podchycení potenciálních zranitelností, zajištění aktualizací a dokumentaci nastavení.
3.4.20 Tvorba silného hesla Všichni pracovníci musí být poučeni o tom, že mají používat bezpečná hesla, ale zároveň je povinností organizace zajistit, aby věděli, jakým způsobem to správně dělat. V rámci pravidelných bezpečnostních školení by pak tyto vědomosti měly být pravidelně osvěžovány. Vhodný postup pro vytvoření silného hesla spočívá ve využití jednoduché, snadno zapamatovatelné věty jako mnemotechnické pomůcky, z níž heslo tvoří počáteční písmeno každého slova.44 Z věty „Moje dcera Růžena sní čtyři velké tvarohové koláče“ tak podle zvoleného klíče vznikne „MdRs4vtk“. To je vynikající příklad opravdu silného hesla odolného jak proti uhodnutí, tak i vůči kombinovaným slovníkovým útokům, protože se nejedná o smysluplné slovo v žádném rozumném jazyce této planety. Důležitým pravidlem je také nepoužívat stejné heslo pro přihlašování do více různých systémů.
3.4.21 Identifikace a autentizace uživatelů Pro každou konkrétní osobu bude zaveden jedinečný identifikátor, který bude použit pro jednoznačnou autentizaci do všech jí příslušejících systémů společnosti. Identifikátor bude mít tvar jmeno.prijmeni (kde je náhodně vybrané dvouciferné číslo) a pro autentizaci se bude používat v kombinaci se silným heslem. 42 MOZILLA FOUNDATION. Mozilla Thunderbird 24.2.0 [software] [přístup 25. prosince 2013]. 43 MOZILLA FOUNDATION. Mozilla Sunbird 1.0 beta 1 [software] [přístup 25. prosince 2013]. 44 STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 2011, s. 337.
58
3.4.22 Správa uživatelských účtů a hesel Bude zavedena centralizovaná evidence uživatelských účtů prostřednictvím open source aplikace KeePass45, jež bude nadále označována pouze jako správce účtů. Ve správci účtů budou evidovány jednotlivé kategorie aktiv vyžadující autentizaci a k nim se vázající uživatelské účty. U každého účtu lze využít generátor hesel o síle dle nastavených parametrů, nastavit expiraci hesla a přidat vlastní poznámky, ve kterých bude specifikováno s jakými prostředky je daný účet autorizován nakládat. Na obrázku 9 je k nahlédnutí praktický příklad. Správce účtů bude sdílen mezi vedoucím a správcem, přičemž samotný databázový soubor bude bezpečně uložen na datovém úložišti. Aplikace má přímo zabudovanou podporu pro synchronizaci databáze46, čímž se předejde problémům s inkonzistencí záznamů.
Zdroj: Vlastní zpracování
3.4.23 Segregace sítě Bezpečnost pracovní stanice bude zvýšena oddělením provozu od rizikovějších mobilních zařízení v místní síti. Za tímto účelem bude instalován přepínač s podporou protokolu IEEE 802.11Q (VLAN), který zajistí rozdělení místní sítě na dva logické okruhy VLAN-1 a VLAN-2, jak je zachyceno v tabulce 16. Základní myšlenkou tohoto opatření je zařídit, aby na sebe zmíněná zařízení „neviděla“ a to i přes to, že jsou de facto připojená prostřednictvím jediného sdíleného média, tedy kabeláže. Mobilním zařízením však bude umožněn přístup k 45 DOMINIK REICHL. KeePass 2.24 [software] [přístup 23. prosince 2013]. 46 DOMINIK REICHL. Synchronization. In: Keepass.info [online]. ©2003-2013. [cit. 23.12.2013].
59
centrálnímu datovému úložišti, protože tam bude k dispozici dokumentace bezpečnostní politiky a některé další soubory potřebné pro práci či organizaci práce, například bezpečnostní kalendář. Tabulka 16: Rozdělení provozu místní sítě na dva okruhy Zařízení
Fyzické připojení
VLAN-1
VLAN-2
Pracovní stanice
kabel
✓
Centrální datové úložiště
kabel
✓
Server
kabel
✓
Mobilní telefon
bezdrát
✓
Tablet
bezdrát
✓
Notebook
bezdrát
✓
Přístupový bod WiFi
kabel
✓
Internet
kabel
✓
✓
Síťová tiskárna
kabel
✓
✓
✓
Zdroj: Vlastní zpracování
3.4.24 Zásada čistého stolu a prázdné obrazovky Některé povinnosti zde uvedené již byly definovány v jiných částech, nicméně zásada čistého stolu znamená především určitou filozofii chování, kterou zaměstnanci musí dodržovat. Základní body jsou následující:
•
Dokumenty po tisku na síťové tiskárně musí být okamžitě odebrány jejich vlastníkem.
•
Tiskárna musí být po pracovní době vypnutá.
•
Nosiče citlivých dat musí být uloženy v bezpečném úložišti, pokud se s nimi nepracuje.
•
Pracovní stanice a notebooky musí být po třech minutách nečinnosti uzamčeny.
•
Mobilní telefony a tablety musí být po třech minutách nečinnosti uzamčeny.
•
Uživatel lokálně přihlášený k serveru musí být po třech minutách nečinnosti odhlášen.
•
Platí přísný zákaz uchovávání hesel přilepených na monitoru, pod klávesnicí atd.
3.4.25 Kryptografická ochrana V případě, že dojde ke krádeži počítače, může útočník snadno získat přístup k datům na pevném disku, aniž by znal faktické přihlašovací údaje do systému. Jednoduše si připojí pevný disk do svého počítače a v získání citlivých dat společnosti ho již nic nezastaví. Takovému scénáři se dá však snadno zabránit a to pomocí kryptografie. Zašifrováním pevného disku sice 60
nezabráníme samotné krádeži počítače nebo datového úložiště, nicméně efektivně zabráníme útočníkovi se k datům na disku posléze dostat. Tedy za předpokladu, že zároveň s počítačem nezíská i dešifrovací klíč. Stejný princip se pak váže k notebookům a ostatním mobilním zařízením. K zajištění navrhovaného kryptografického zabezpečení pracovní stanice a notebooku bude použita aplikace TrueCrypt 47, jejímž prostřednictvím bude zašifrován celý disk, tedy systém včetně dat. Stejným způsobem bude zabezpečen server. Je však potřeba počítat s tím, že kdyby došlo k výpadku serveru, například vlivem delšího nezjištěného výpadku elektřiny, nebude možné bez zadání hesla nabootovat operační systém a server tak může být zbytečně dlouhou dobu nedostupný. Složky obsahující citlivá data na centrálním i vzdáleném datovém úložišti budou zašifrovány pomocí AES, záloha těchto hesel bude v podobě souboru uložena na flash paměti a přesunuta do trezoru. Bezpečnost samotného správce hesel je zajištěna na úrovni databázového souboru taktéž pomocí šifrování AES pro případ, že by se dostal mimo chráněné úložiště a do nepovolaných rukou. K zajištění virtuální privátní sítě VPN-1 mezi centrálním datovým úložištěm a vzdáleným datovým úložištěm bude použita aplikace OpenVPN 48, kterou obě datová úložiště podporují. K zajištění virtuální privátní sítě VPN-2 mezi notebooky, tablety, mobilními telefony a serverem bude taktéž použita aplikace OpenVPN, protože kvůli prolomení šifrovacího protokolu MS-CHAPv2 již nelze bezpečně použít PPTP.49 V případě využití L2TP je na druhou stranu zase vyšší riziko, že protokol veřejnou sítí, z důvodu omezení na straně jejího provozovatele, vůbec neprojde. Posledním důležitým zajištěním kryptografických prostředků je nastavení certifikátů, tedy zaručeného elektronického podpisu a bankovního certifikátu na pracovní stanici tak, aby nebyly z počítače dále exportovatelné. Exportovatelné certifikáty u sebe bude mít pouze vedoucí, záloha bude uložena na datovém nosiči v trezoru. Systém bude nastaven tak, aby při přístupu k privátnímu klíči certifikátu, vyžadoval heslo.
47 TRUECRYPT FOUNDATION. TrueCrypt 7.1a [software]. [přístup 27.12.2013]. 48 OPENVPN TECHNOLOGIES INC. OpenVPN 2.3.2 [software]. [přístup 27.12.2013]. 49 MICROSOFT CORPORATION. Microsoft Security Advisory (2743314). In: Microsoft.com [online]. ©2013. [cit. 28.12.2013].
61
3.5 Řízení lidských zdrojů 3.5.1 Definice rolí bezpečnostní politiky Role bezpečnostní politiky budou pro přehlednost kopírovat standardní firemní role, přičemž bude zřízena nová role „správce“ ve smyslu správce IT. Dále bude zavedena role „zaměstnanec“, která bude sloužit ke specifikaci povinností vztahující na všechny zaměstnance bez ohledu na jejich další role. Seznam rolí a jejich činností v rámci bezpečnostní politiky je uveden v tabulce 17. Tabulka 17: Seznam rolí a jejich činností Role
Činnosti
Zaměstnanec - Zajišťuje bezpečnost notebooku v souladu s bezpečnostní politikou - Zajišťuje bezpečnost tabletu v souladu s bezpečnostní politikou - Zajišťuje bezpečnost mobilního telefonu v souladu s bezpečnostní politikou - Zajišťuje bezpečnost jemu svěřeného klíče od vstupních dveří - Provádí kódovaní a odkódovaní elektronického bezpečnostního systému - Provádí politiku čistého stolu a prázdné obrazovky - Provádí hlášení detekovaných bezpečnostních událostí, incidentů a zranitelností Vedoucí
- Kontroluje plnění bezpečnostních odpovědností podřízených rolí - Kontroluje tvoření decentralizovaných záloh - Kontroluje centralizovaně zaznamenávané informace - Provádí správu uživatelských účtů pomocí správce hesel - Provádí správu bezpečnostního kalendáře - Provádí ukládání a výběr aktiv z trezoru - Přiděluje a odebírá zaměstnancům klíče od vstupních dveří - Přiděluje a odebírá zaměstnancům mobilní zařízení - Organizuje pravidelná školení v oblasti bezpečnosti informací - Tvoří krizový bezpečnostní tým v součinnosti se správcem - Provádí dokumentaci bezpečnostních incidentů v součinnosti se správcem
Účetní
- Provádí zálohu účetních dat - Provádí správu účetní aplikace - Provádí výměnu účetních dat s klienty prostřednictvím nosičů - Provádí čištění a likvidaci vlastněných aktiv - Zajišťuje bezpečnost jemu svěřeného klíče k archivačním skříním - Zajišťuje odpovídající verze účetní aplikace na pracovní stanici a záložním notebooku
Správce
- Provádí správu operačního systému pracovní stanice - Provádí správu operačního systému serveru - Provádí správu síťových rozvodů - Provádí správu přístupového bodu WiFi - Provádí správu síťové tiskárny - Provádí asistenci při fyzické údržbu serveru - Provádí asistenci při fyzické údržbě serverové UPS - Provádí zálohu operačního systému pracovní stanice - Provádí zálohu operačního systému serveru - Provádí kontrolu zranitelností softwarového vybavení používaného společností - Provádí školení v oblasti bezpečnosti informací - Provádí dokumentaci bezpečnostních incidentů v součinnosti s vedoucím
62
Role
Činnosti
Správce
- Tvoří krizový bezpečnostní tým v součinnosti s vedoucím - Provádí obnovu a výměnu zařízení v případě bezpečnostního incidentu
Technik
- Provádí fyzickou údržbu serveru v součinnosti se správcem - Provádí fyzickou údržbu pracovní stanice - Provádí fyzickou údržbu UPS mimo serveru - Provádí fyzickou údržbu UPS serveru v součinnosti se správcem - Provádí údržbu článků a baterií - Provádí fyzickou údržbu záložního napájení
Brigádník
- Zajišťuje bezpečnost mobilního telefonu v souladu s bezpečnostní politikou Zdroj: Vlastní zpracování
Zastupitelnost rolí z hlediska bezpečnostní politiky je problematická, nicméně pro zajištění určité flexibility v případě personálních problému by měl vedoucí mít možnost převést na konkrétního zaměstnance soubor pravomocí, jež přísluší roli jiné, nebo pouze jednotlivé konkrétní pravomoci. Je pak jeho zodpovědností zajistit, aby na straně pověřeného zaměstnance byly plněny povinnosti plynoucí ze stanovené bezpečnostní politiky. Pro zajištění návratu do původního stavu musí učinit taková opatření, aby zaměstnanec nemohl nově nabytých pravomocí v budoucnu zneužít. Například pokud bude muset vedoucí nenadále sdělit technikovi přihlašovací údaje k serveru, po vypršení udělené pravomoci musí tyto být změněny. Může se jednat i o triviálnější záležitost, třeba zapůjčení klíče k serverové skříni pro účely fyzické údržby. Oprávnění pro přístup k aktivům společnosti je navrženo v tabulce 18. Tabulka 18: Autorizace pro přístupu k aktivům a určení vlastníka aktiva Položka
Vlastník
Vedoucí Správce
Účetní
Technik Brigádník
Správce hesel
Vedoucí
✓
Účetní data
Účetní
✓
✓
Dokumenty
Účetní
✓
✓
Místní síť
Správce
✓
✓
✓
✓
✓
Připojení k internetu
Správce
✓
✓
✓
✓
✓
Monitoring
Správce
✓
✓
Centrální datové úložiště
Správce
✓
✓
✓
✓
Vzdálené datové úložiště
Správce
✓
✓
✓
Pracovní stanice
Správce
✓
✓
✓
Klíč k archivačním skříním
Zaměstnanec
✓
✓
Klíč k zásuvkám účetního
Zaměstnanec
✓
✓
Nosiče účetních dat pro klienty Účetní
✓
✓
63
Položka
Vlastník
Vedoucí Správce
Účetní
Technik Brigádník
Firemní trezor
Vedoucí
✓
Notebook
Zaměstnanec
✓
✓
✓
✓
Tablet
Zaměstnanec
✓
✓
✓
✓
Mobilní telefon
Zaměstnanec
✓
✓
✓
✓
Klíč od vstupních dveří
Zaměstnanec
✓
✓
✓
✓
E-mailová schránka
Správce
✓
✓
✓
✓
Bezpečnostní kalendář
Vedoucí
✓
✓
✓
✓
Bezpečnostní dokumentace
Vedoucí
✓
✓
✓
✓
Server
Správce
✓
✓
Klíč k serverové skříni
Zaměstnanec
✓
✓
Bezpečnostní karta (c. vložky) Vedoucí
✓
Identifikační karta (c. vložky)
Vedoucí
✓
Datové schránky společnosti
Vedoucí
✓
Datové schránky klientů
Účetní
Klíče k šifrovaným složkám
Vedoucí
✓
✓
Klientské certifikáty VPN-1
Zaměstnanec
✓
✓
✓
Klientské certifikáty VPN-2
Zaměstnanec
✓
✓
✓
Exportovatelné certifikáty
Vedoucí
✓
Privátní klíč certifikátů
Vedoucí
✓
✓
✓ ✓
✓
✓
Zdroj: Vlastní zpracování
3.5.2 Pracovní smlouvy Stávající pracovní smlouvy budou upraveny tak, aby reflektovaly zaváděná opatření bezpečnostní politiky. Měl by do nich být zanesen odstavec jenž stanoví, že zaměstnanec je povinen se řídit bezpečnostní politikou firmy, a to takovou, která odpovídá jeho roli plynoucí z pracovní smlouvy. Bylo by vhodné, aby činnosti definované v rámci bezpečnostní politiky nebyly uvedeny přímo ve smlouvě, ale bylo tam na jejich zdroj pouze odkázáno. Důvodem je, aby se pracovní smlouva nemusela měnit pokaždé, kdy vyvstane i sebemenší potřeba změny v bezpečnostní politice.
3.5.3 Zahájení pracovního poměru Při pohovoru s přijímaným zaměstnancem má vedoucí pracovník povinnost vyptat se na jeho působení v oblasti bezpečnosti informací v minulých zaměstnáních a případná tvrzení si následně ověřit u bývalých zaměstnavatelů. Klíčovým obdobím pro posouzení schopností nového zaměstnance je zkušební lhůta. To se týká i správného dodržování firemní
64
bezpečnostní politiky. Aby však tuto politiku mohl zaměstnanec kompetentně plnit, musí co nejdříve projít vstupním školením, obdobně jako školením o bezpečnosti práce. Za organizaci školení z bezpečnosti informací pro zaměstnance je zodpovědný vedoucí, fakticky ho provádí správce. Vedoucí pracovník musí dále zvážit, k jakým aktivům a kdy nově přijatý zaměstnanec získá přístup. Lze očekávat, že ve zkušební lhůtě bude tato množina omezená.
3.5.4 Ukončení pracovního poměru Po odchodu zaměstnance, případně ještě před ním, odebere vedoucí odcházejícímu zaměstnanci aktiva společnosti, jež mu byla pro výkon jeho činnosti svěřena. Poté dá pokyn správci, aby provedl deaktivaci všech účtů v systémech, pro které měl odcházející zaměstnanec autorizaci. To provede na základě údajů evidovaných v databázi správce účtů. Po deaktivaci a odstranění zmíněných účtů provede aktualizaci databáze tak, aby reflektovala stav účtů v systémech po tomto zásahu.
3.5.5 Postihy za porušování bezpečnostní politiky Zaměstnavatel nemá právo zaměstnance pokutovat, nicméně má právo nepřiznat pohyblivou složku mzdy nebo její část v případě, že výkon zaměstnance neodpovídá předem stanoveným pravidlům. Touto cestou by mělo probíhat i postihování zaměstnanců za nedodržování bezpečnostní politiky. Posouzení závažnosti závisí na vedoucím pracovníkovi, nicméně základní obrys systému je navržen v tabulce 19. Složkou se rozumí procentuální snížení pohyblivé složky mzdy za daný měsíc. Upozornění je pouze slovní, napomenutí již písemné. Zejména u vysoce závažných pochybení je při třetím napomenutí na zvážení zaměstnavatele, jakým způsobem se k notorické nedůslednosti zaměstnance postaví. Prohřešky zaměstnanců eviduje vedoucí pracovník v rámci vlastní manažerské agendy. Tabulka 19: Postihování zaměstnanců Nízká závažnost
Střední závažnost
Vysoká závažnost
1. porušení
Upozornění
Napomenutí
Napomenutí, 10% složky
2. porušení
Napomenutí
Napomenutí, 10% složky
Napomenutí, 30% složky
3. porušení
Napomenutí, 10% složky
Napomenutí, 30% složky
Hrozí výpověď
4. porušení
Napomenutí, 30% složky
Hrozí výpověď
Hrozí výpověď
5. porušení
Hrozí výpověď
Hrozí výpověď
Hrozí výpověď
Zdroj: Vlastní zpracování
65
3.5.6 Školení v oblasti bezpečnosti informací Je důležité nejprve zaměstnance s nově zaváděnou bezpečnostní politikou důkladně seznámit, aby se předešlo zbytečným nedorozuměním. Výhodou je, že všichni zaměstnanci svou práci dobře znají, pouze si zatím dostatečně neuvědomují všechny bezpečnostní aspekty s ní spojené. Toho lze docílit vhodně zpracovanou sérií školení. Filozofie jejich zpracování však musí odpovídat cílové audienci, vhodným řešením rozhodně není jednorázové zahlcení osazenstva velkým množstvím pojmů z teorie informace nebo informační bezpečnosti. Školení bude zaměřeno zejména na:
•
Klasifikaci aktiv a hrozeb, které na ně působí.
•
Role definované v rámci bezpečnostní politiky.
•
Činnosti jednotlivých rolí vztahující se k práci s konkrétními aktivy.
•
Artefakty, které firma k zajištění bezpečnosti používá.
•
Nástroje, které musí zaměstnanci při plnění bezpečnostní politiky využívat.
•
Seznámení s dokumentací k bezpečnostní politice.
•
Vysvětlení procesu schvalování aplikací.
•
Vysvětlení zásad elektronické komunikace.
•
Vysvětlení principu tvorby silných hesel a jeho pravidelné osvěžování.
•
Detekce bezpečnostních incidentů a jejich hlášení.
•
Postupy pro obnovu po bezpečnostním incidentu.
66
3.6 Řízení bezpečnostních incidentů 3.6.1 Příprava a plánování Za účelem řešení bezpečnostních incidentů bude sestaven krizový bezpečnostní tým sestávající ze dvou lidí, a to konkrétně zaměstnanců společnosti zastávajících role vedoucího a správce. Důvodem je, aby se navzájem doplňovali na jedné straně znalostmi z oblasti řízení firmy a zaměstnanců, na straně druhé znalostí informačních technologií a bezpečnosti. Při aktivaci bude mít tým na starosti nejdříve zvládnutí samotného bezpečnostního incidentu, následně jeho dokumentaci a v poslední řadě vyhodnocení směrem k analýze rizik a návrhem opatření, která by do budoucna měla zamezit jeho opakování. Pravidelným školením bude docíleno přijatelného bezpečnostního povědomí všech zaměstnanců, protože právě na nich závisí kvalitní odhadnutí toho, jestli způsobená bezpečnostní událost je již incidentem nebo nikoli. Pokud by nebyli schopni aspoň v rozumné míře toto rozeznat, zahlcovali by tým planými poplachy a potenciálně tak zabránili včasné detekci reálného incidentu.
3.6.2 Detekce a analýza Pokud zaměstnanec při vstupu do kancelářských prostor zjistí, že došlo k poškození zámků, kování, dveří, mříží nebo okna za účelem vstupu do objektu, jedná se prakticky s jistotou o vloupání a je potřeba ihned kontaktovat policii, protože pachatel může být stále na místě. Poté, co je vstup do kanceláře bezpečný, je potřeba zjistit a zdokumentovat, jaké škody byly napáchány. Vloupání by zároveň měl zachytit elektronický zabezpečovací systém, který by měl sloužit jako první varování. Může se jednat o planý poplach, případně chybnou manipulaci jiného zaměstnance. Vždy je však potřeba být ve střehu, pokud dojde ke spuštění alarmu. Co se týče bezpečnostních incidentů souvisejících s kyberprostorem, jejich identifikace zpravidla není triviální. V tomto směru pomůže evidovat symptomy získané na základě zkušeností s detekovanými incidenty. Příkladem je tabulka 20, kde jsou uvedeny váhy udávající určitou pravděpodobnost toho, jakou kategorii incidentů daný symptom indikuje. Nastat mohou dvě situace. Bezpečnostní událost detekuje automatizovaný nástroj a upozorní příslušnou zodpovědnou roli, která určí, zda-li se bezpečnostní incident jedná nebo ne. V druhém případě událost odhalí přímo uživatel, který na základě znalostí poskytnutých
67
školením či praxí rozpozná, jedná-li se o bezpečnostní incident, a je jeho povinností následně upozornit zodpovědnou roli, což obratem povede k aktivaci bezpečnostního týmu. Tabulka 20: Bezpečnostní incidenty v kyberprostoru Váha: 1 – nízká, 2 – střední, 3 – vysoká, 4 – velmi vysoká Symptomy
Kategorie incidentů Výpadek služby
Škodlivý kód
Neoprávněný přístup
Chybné zacházení
Alarm detekčního nástroje (antivirus)
2
4
3
1
Podezřelé záznamy v logu
1
2
4
3
Neúspěšné pokusy o přihlášení
1
2
4
3
Neobjasněný uživatelský účet
1
2
4
3
Neobjasněný nový soubor či podezřelý název souboru
1
4
3
2
Neobjasněné změny ve velikosti systémových souborů
1
4
3
2
Neobjasněné změny nebo smazání dat
1
2
4
3
Pád nebo zamrznutí systému
4
1
3
2
Neúspěšné pokusy o přihlášení několika autorizovaných uživatelů
4
1
3
2
Slabý výkon systému
4
3
1
2
Neobvyklý čas využívání firemních zdrojů
1
3
4
2
Zdroj: Metodika vyvážené informační bezpečnosti
Po detekci a zvládnutí bezpečnostního incidentu musí proběhnout jeho dokumentace. Budou zaznamenány informace ve smyslu stručného popisu toho, co se vlastně stalo, kategorie incidentu, kdo incident fakticky řeší, popis kroků provedených při zvládání incidentu a důkazy nashromážděné během zvládání incidentu.
3.6.3 Obnova po bezpečnostním incidentu Obnova operačních systémů ze zálohy se týká bezpečnostních incidentů, které zapříčiní nedůvěryhodnost nebo poškodí integritu systému. Je vždy na posouzení odborníka, zda-li je nutné u konkrétního zařízení postupovat podle instrukcí pro obnovu nebo instrukcí pro výměnu. Například mění-li se hardware serveru za jiný, kde rozdíl činí pouze velikost paměti RAM nebo typ síťové karty, pak jistě není nutné znovu instalovat nový operační systém, stačí pouze obnovit systém ze zálohy a případně vyměnit příslušné moduly linuxového jádra. Bezpečnostní incidenty vedoucí k nutnosti obnovy jsou tyto:
68
•
Poškození systému z neznámých příčin.
•
Poškození systému chybným zacházením správce nebo uživatele.
•
Poškození systému důsledkem úspěšného útoku.
•
Infiltrace systému důsledkem úspěšného útoku.
•
Výměna hardwaru za identický kus.
Výměna se týká bezpečnostních incidentů, které mají přímý vliv na hardware a pouze zprostředkovaně na programové vybavení a data. Při výměně hardwaru je tedy potřeba stále dodržovat správný postup likvidace aktiv, pokud tak již dostatečně neučinil sám bezpečnostní incident. Výměna hardwaru se týká následujících situací:
•
Zničení hardwaru z neznámých příčin.
•
Poškození hardwaru opotřebením.
•
Poškození hardwaru chybným zacházením správce nebo uživatele.
•
Poškození hardwaru vlivem přírodních sil.
•
Krádež hardwaru.
•
Výměna hardwaru za hardware s odlišnými parametry.
3.6.4 Obnova serveru Obnova operačního systému serveru bude prováděna prostřednictvím poslední zálohy dostupné z centrálního datového úložiště. K obnově bude použit bootovací nosič s aplikací Clonezilla50. V případě selhání hardwaru nebo jeho poškození vlivem závažnějšího bezpečnostního incidentu (např. požár) může dojít k situaci, kdy bude muset být stroj kompletně vyměněn za jiný s odlišnými parametry a obnova systému z posledního záložního souboru tím pádem bude nevyhovující. Postup tedy bude následující: 1. Výběr nového stroje tak, aby se vešel do skříně a výkonově nebyl horší než původní. 2. Umístění stroje do skříně, připojení na UPS. 3. Instalace vlastního operačního systému dle bezpečnostní dokumentace. 4. Nastavení prostředí a firewallu dle bezpečnostní dokumentace. 5. Připojení kabelu k místní síti. 6. Instalace aplikací a jejich nastavení dle bezpečnostní dokumentace. 7. Obnova dat z centrálního datového úložiště dle bezpečnostní dokumentace. 50 NCHC FREE SOFTWARE LABS. Clonezilla 2.2.0-31 [software]. [přístup 29.12.2013].
69
8. Nastavení systému BIOS dle bezpečnostní dokumentace. 9. Připojení kabelu k internetu. 10. Normální provoz.
3.6.5 Obnova pracovní stanice Obnova operačního systému pracovní stanice bude v prvním kroku prováděna pomocí poslední známé funkční konfigurace. Pokud toto řešení selže, dalším krokem v pořadí je návrat k nejbližšímu použitelnému bodu obnovení systému Windows. V případě, že ani toto řešení nepomůže, následuje obnovení systému pomocí bitové kopie přístupné z diskového oddílu vyhrazeného pro zálohy. V případě poškození souborových systémů napříč pevným diskem nebo výměny pevného disku lze zálohu operačního systému i dat získat z centrálního datového úložiště. Stejně jako u serveru, bude-li třeba stroj kompletně vyměnit za jiný s odlišnými parametry, bude postup následující: 1. Výběr nového stroje s Windows 7 tak, aby nebyl výkonově horší než původní. 2. Zprovoznění předinstalovaného operačního systému nebo jeho nová instalace. 3. Nastavení prostředí dle bezpečnostní dokumentace. 4. Připojení kabelu k místní síti. 5. Instalace aplikací a jejich nastavení dle bezpečnostní dokumentace. 6. Obnova dat z centrálního datového úložiště dle bezpečnostní dokumentace. 7. Nastavení systému BIOS dle bezpečnostní dokumentace. 8. Normální provoz.
3.6.6 Obnova mobilních zařízení Obnova notebooků bude prováděna pomocí aplikace Clonezilla. V případě výměny notebooku za jiný s odlišnými parametry si uživatel nainstaluje nový operační systém a data obnoví ze souboru s poslední vytvořenou zálohou uloženou na centrálním datovém úložišti. Obnova mobilních tabletů a telefonů bude prováděna pomocí továrního nastavení a následné synchronizace kontaktních informací přes uživatelský účet Google.
3.6.7 Obnova tiskárny, přístupového bodu WiFi a přepínače V případě obnovy síťové tiskárny z továrního nastavení je potřeba vycházet z parametrů zanesených v bezpečnostní dokumentaci, stejně tak i u kompletní výměny zařízení. V případě obnovy z továrního nastavení u přístupového bodu WiFi stačí nahrát datový soubor zálohovaný na centrálním datovém úložišti, protože zařízení podporuje export a import 70
konfiguračních souborů. V případě výměny kus za kus je potřeba zkontrolovat, zda verze firmwaru starého zařízení odpovídá verzi firmwaru v nově pořízeném kusu. Pokud ano, lze použít stejný postup jako v případě obnovy z továrního nastavení. V opačném případě je nutné zařízení znovu ručně nastavit dle bezpečnostní dokumentace. U přepínače, který bude pořízen, lze použít stejný postup jako v případě obnovy a výměny přístupového bodu WiFi.
3.6.8 Odhad časové náročnosti obnovy a výměny zařízení V případě obnovy lze očekávat, že se na ní začne pracovat co nejdříve. Při výměně některého ze zařízení už je situace složitější, protože komponenty nebo celé stroje se budou muset objednat a dopravit, je tedy nutné tuto dobu připočítat k údaji v tabulce 21. Tabulka 21: Časová náročnost obnovy a výměny zařízení Zařízení
Obnova
Výměna
Server
1 hodina
5 hodin
Pracovní stanice
30 minut
2 hodiny
Notebook
1 hodina
2 hodiny
Tablet
30 minut
1 hodina
Mobilní telefon
30 minut
1 hodina
Přístupový bod WiFi
5 minut
15 minut
Síťová tiskárna
5 minut
30 minut
Přepínač
2 minuty
20 minut
Centrální datové úložiště
1 hodina
3 hodiny
Vzdálené datové úložiště
1 hodina
3 hodiny
Zdroj: Vlastní zpracování
3.6.9 Zajištění procesu vedení účetnictví Všichni zaměstnanci mají své domácnosti připojeny k internetu. V případě vážného bezpečnostního incidentu tak lze v rozumné míře zajistit alespoň základní fungování procesů společnosti prostřednictvím práce z domova. Účetní, jako jediný nemá, k dispozici firemní notebook. Bude mu tedy jeden vyhrazen a to s operačním systémem Windows 7. Na něm bude nainstalovaná a udržovaná účetní aplikace ve stejné verzi, jako na pracovní stanici. Toto musí být striktně dodržováno, aby při případném obnovování účetních dat ze zálohy nedošlo ke zbytečným chybám kvůli nekompatibilitě verzí. Z důvodů licencování není možné mít obě dvě aplikace aktivovány zároveň, nicméně v případě potřeby zvládne aktivaci přes technickou podporu sám účetní. Tento notebook bude prostřednictvím virtuální privátní sítě VPN-1 propojen se vzdáleným datovým úložištěm, odkud bude možné v případě potřeby velmi 71
rychle obnovit data z nejdéle jeden pracovní den staré zálohy a pokračovat v práci. Odpovědnost za udržování odpovídajících verzí účetní aplikace na pracovní stanici a notebooku má účetní.
3.6.10 Dlouhodobá rekonstrukce kancelářských prostor V případě vážného bezpečnostního incidentu, jehož následkem bude dlouhodobější rekonstrukce poničených kancelářských prostor, je potřeba zajistit kontinuitu činností organizace. Za tímto účelem musí být podniknuty následující kroky:
•
Zajistit přesměrování pevné linky na servisní mobilní telefon.
•
Provoz webových stránek u komerčního dodavatele služeb s podporou PHP a MySQL.
•
Provoz domény u komerčního dodavatele služeb.
•
Zajištění funkčnosti firemních e-mailů využitím placených služeb Google Apps.
•
Umožnit dočasné sdílení firemních dat v rámci Google Drive (součástí Google Apps).
•
Umožnit tisk většího množství dokumentů zakoupením černobílé laserové tiskárny.
Po dokončení rekonstrukce uvést aktiva do původního stavu podle bezpečnostní dokumentace. V případě stěhování do nových prostor provést revizi zavedené bezpečnostní politiky z důvodů změn prostředí.
72
3.7 Bezpečnostní dokumentace Po důkladném zvážení situace jsem definoval soubor artefaktů, jež bude společnost pro řízení bezpečnosti potřebovat. Tyto artefakty budou sloužit nejen jako dokumentace bezpečnostní politiky, ale zároveň také jako pracovní dokumenty pro zachycování důležitých údajů stanovených v jednotlivých oblastech řízení. Popis artefaktů včetně způsobu jejich provedení je uveden v tabulce 22. Tabulka 22: Artefakty řízení bezpečnosti Artefakt
Provedení
Popis
Bezpečnostní politika
Dokument
Dokument obecného charakteru definující úmysly, cíle a zvolené prostředky k zajištění informační bezpečnosti firmy. Návrh je k dispozici v příloze 4 na stránce 94.
Analýza rizik
Tabulky
Obsahuje hodnocení identifikovaných aktiv, hrozeb, zranitelností, protiopatření, výpočet rizik a jejich interpretace. Analýza rizik je sestavená z příloh 1, 2 a 3 na stránce 91, 92 a 93.
Evidence aktiv
Tabulky
Obsahuje evidenci veškerého softwarového a hardwarového vybavení společnosti včetně nosičů dat a podpůrných zařízení, a to za účelem likvidace, výměny a fyzické údržby zařízení, nastavení aplikací a sledování jejich zranitelností a aktualizací.
Bezpečnostní zásady
Dokument
Stručně definovaná pravidla pro zajištění fyzické bezpečnosti, bezpečnosti komunikací a bezpečnosti přístupu k aktivům.
Role a činnosti
Tabulky
Dokumentuje identifikované role, soubor jejich činností a obecný přístup těchto rolí k aktivům firmy.
Správa účtů
Databáze
Správa účtů, hesel a jejich expirace pomocí zvolené aplikace, která eviduje zajištění bezpečného přístupu k aktivům a to již pro konkrétní osoby.
Kontinuita činností
Dokument
Obsahuje postupy obnovy nebo výměny zařízení v případě bezpečnostního incidentu a kroky, které je nutné podniknout v případě rozsáhlé živelné pohromy.
Bezpečnostní incidenty
Tabulky
Obsahuje soupis detekovaných bezpečnostních incidentů, informací o nich, způsoby jejich řešení a opatření, která byla nebo budou podniknuta za účelem snížení rizika.
73
Artefakt
Provedení
Popis
Bezpečnostní kalendář
Soubor iCalendar
Obsahuje všechny podstatné termíny jako vyhlášení či revize bezpečnostní politky, porady a školení z informační bezpečnosti, plánovanou údržbu aktiv atd. Kalendář bude sdílen mezi všemi zaměstnanci společnosti.
Souhrnné systémové hlášení
E-mail
Periodicky opakující se textové hlášení formou e-mailové zprávy shrnující všechny důležité události, jež se odehrály napříč systémy společnosti.
Hlášení monitoringu
SMS, E-mail
Krátké textové upozornění zasílané monitorovacím systémem v případě, že nastane některá z předem definovaných událostí.
Hlášení EZS
SMS
Krátké textové upozornění zasílané ústřednou na základě aktivace, deaktivace nebo detekce elektronického zabezpečovacího systému.
Zdroj: Vlastní zpracování
74
3.8 Ekonomická náročnost navrhovaného řešení V tabulce 23 jsou uvedeny orientační tržní ceny z posledního čtvrtletí roku 2013, vázající se k navrhovaným opatřením. Celková vyčíslená částka činí 82 tisíc korun. V případě záložního notebooku se s nákupem počítače zároveň platí i za operační systém. Kromě toho však cena za software činí 0 korun a to zejména díky využití open source či jinak volně dostupných aplikací. Vypočítaná částka je přijatelná, ale její jednorázové vynaložení není pro firmu v tuto chvíli reálné. Opatření vázaná na pořizování jednotlivých položek tak budou zaváděna postupně a s ohledem na priority plynoucí z analýzy rizik. Jelikož se mnou vynaložené úsilí týká akademických účelů, není cena mé práce zahrnuta do nákladů. V obdobném případě jiné firmy, která si nedokáže pomoci sama, je však nutné počítat s využitím služeb placeného konzultanta. Jeho čas strávený analýzou a návrhem řešení se bude pohybovat řádově v desítkách hodin. Tabulka 23: Odhad nákladů s cenami v Kč bez DPH v období Q4/2013 Položka
Ks
Cena
Bezpečnostní cylindrická vložka
2
1 300
Bezpečnostní kování
2
2 400
Montáž bezpečnostních vložek a kování
1
1 000
Výroba dodatečných klíčů
10
500
Okenní mříž
1
1 200
Serverová skříň (rack 32U)
1
6 300
Elektronický zabezpečovací systém
1
15 000
Náhradní články k UPS
2
2 400
Náhradní baterie CMOS
5
150
Náhradní baterie AA
8
340
Centrální datové úložiště
1
6 000
Vzdálené datové úložiště
1
6 000
Pevný disk 2 TB
4
10 800
Přepínač s podporou 802.1Q
1
2 500
Záložní notebook s Windows 7 pro účetnictví
1
12 000
Trezor
1
4 800
UPS pro datová úložiště
2
9 000
Celkem
81 690 Kč Zdroj: Vlastní zpracování
75
3.9 Zhodnocení a výhled do budoucna Navrhovaná opatření budou postupně zaváděna v průběhu roku 2014. Pokud jejich realizace proběhne v plánovaném rozsahu, o což se jistě budou všechny zúčastněné strany snažit, lze již nyní velmi dobře stanovit, jaký dopad na úroveň řízení bezpečnosti budou tato opatření mít. Srovnání je provedeno v tabulce 24. Vypracovaný srovnávací audit je k dispozici v příloze 5 na straně 97. Tabulka 24: Srovnání stavu před a po zavedení navrhovaných opatření Oblast řízení
Před zavedením
Po zavedení
Body
Interpretace
Body
Interpretace
Rizika
12
Nedostatečná ochrana
34
Přiměřená ochrana
Bezpečnost procesů a technologií
38
Nedostatečná ochrana
72
Přiměřená ochrana
Lidské zdroje
14
Nedostatečná ochrana
36
Přiměřená ochrana
Bezpečnostní incidenty
11
Nedostatečná ochrana
33
Přiměřená ochrana
Zdroj: Vlastní zpracování
Za stávajících okolností navržené řešení bohatě uspokojí potřeby firmy v oblasti řízení bezpečnosti informací přinejmenším na několik dalších let, samozřejmě za předpokladu pravidelných revizí. Při neočekávaném růstu společnosti, počtu zaměstnanců, procesů a s tím souvisejícího objemu informačních aktiv, by však nutně musela být provedena zásadní úprava stanovené bezpečnostní politiky. V takovém případě navrhuji posun k profesionálně laděným bezpečnostním nástrojům ISMS, jako je například Verinice51. Zde už je však potřeba počítat také s vyhrazením nebo přijetím pracovníka, jehož úkolem bude převážně nebo výhradně právě řízení bezpečnosti. Firma také nejspíše bude do budoucna muset přehodnotit své stanovisko týkající se bezpečnostních kamer, ke kterým má dlouhodobě odmítavý postoj, což je hlavním důvodem jejich absence v navržených opatřeních.
51 SERNET SERVICE NETWORK GMBH. Verinice 1.6.3 [software]. [přístup 30.12.2013].
76
4.
ZÁVĚR
V práci jsem se zabýval návrhem uceleného souboru konkrétních opatření vedoucím ke zvýšení úrovně bezpečnosti informací ve vybrané firmě. S rostoucí mírou závislosti firem na informačních a komunikačních technologiích rostou i rizika spojená s nenávratným poškozením, ztrátou a krádeží citlivých dat. Následkem pak mohou být například vysoké pokuty, ztráta image a důvěry klientů. Mnou zvolená firma není v tomto směru žádnou výjimkou, nicméně její vedení se rozhodlo začít neutěšenou situaci řešit. Jako malá obchodní společnost však čelí v oblasti bezpečnosti a ochrany dat velké výzvě. Univerzální způsob zajištění vysoké úrovně informační bezpečnosti totiž neexistuje. V současné době je k dispozici několik světově uznávaných standardů, jejichž společným jmenovatelem je zaměření na střední a velké podniky. K tomu se pochopitelně váže značná finanční a procesní náročnost, která je jen těžko slučitelná s možnostmi podniků malých. Tento problém si již dříve uvědomil Ing. David Král, Ph.D. a díky jeho úsilí vznikla Metodika vyvážené informační bezpečnosti. Jejím cílem je poskytnout právě malým a středním podnikům pracovní rámec, jehož prostřednictvím mohou zvýšit úroveň své informační bezpečnosti. Jako nejvhodnější jsem ji pro svou práci vyhodnotil a využil i já. Dle metodiky jsem provedl audit stávající úrovně bezpečnosti informací a na základě výsledků navrhl opatření ve čtyřech hlavních oblastech. V oblasti řízení rizik jsem provedl identifikaci klíčových aktiv, hrozeb, zranitelností a hrubou analýzu rizik. V rámci řízení bezpečnosti procesů a technologií jsem navrhl zřízení bezpečnostního perimetru prostřednictvím
elektronického
zabezpečovacího
systému,
automatizovaný
systém
centralizovaného a decentralizovaného zálohování, monitoring systémových zdrojů a sítě, správu účtů, automatizovaný systém souhrnných hlášení, zásady nastavování a používání informačních aktiv, jejich údržby a likvidace. V oblasti řízení zdrojů byly definovány role včetně příslušných činností a odpovědností, a navržen způsob zvyšování a osvěžování bezpečnostního povědomí pracovníků. V rámci řízení bezpečnostních incidentů byl definován tým odpovědný za zvládání krizových situací, jejich vyřešení a dokumentaci podle stanovených pravidel. Dále jsem definoval klíčové artefakty, které společnosti poslouží jako dokumentace a pracovní rámec pro řízení bezpečnosti. Nakonec jsem provedl odhad nákladů vycházejících z 77
navrhovaných opatření, ty v konečném součtu činí 82 tisíc korun českých. To je pro firmu finančně přijatelné řešení. Cílem práce bylo navrhnout ekonomicky a procesně opodstatněný způsob zabezpečení účetních dat ve firmě WaveNet.cz, s.r.o., čehož jsem prostřednictvím výše uvedených opatření dosáhl. Jsem přesvědčen, že navržené řešení se povede úspěšně zavést a spolu s firmou tak bude růst i její schopnost vyrovnat se s neustále rafinovanějšími nástrahami číhajícími v oblasti informační bezpečnosti. Za hlavní přínos této práce pak považuji její praktickou rovinu, kde jsem předvedl, že i pro malý podnik s omezenými zdroji lze navrhnout efektivní řízení bezpečnosti informací.
78
5.
CONCLUSION
In this thesis I presented comprehensive set of specific measures leading to an increase in the level of information security in the selected company. The risks associated with irreversible damage, loss or theft of sensitive data is increasing with the growing reliance of companies on information and communication technologies. Such incidents may result in high fines, loss of image and clients trust. The company I have selected is no exception, but its management has decided to deal with the dismal situation. As a small company however it faces a challenge in security and protection of data. Universal way to ensure a high level of information security doesn't exist. Currently there are several world-wide standards. Their common denominator however is the focus on medium and large businesses. This of course presents considerable financial and procedural complexity that is difficult to reconcile with the possibilities of small businesses. Ing. David Král, Ph.D. has realized this problem before and thanks to his efforts Methodology of balanced information security was established. Its goal is to provide small and medium enterprises with a framework for increasing their level of information security. I evaluated this work to be the best for the selected company and used it in this thesis. According to the methodology I have audited the existing level of information security and based on the results I proposed measures in four main areas. In the area of risk management, I carried out identification of key assets, threats, vulnerabilities and gross risk analysis. In the area of security processes and technologies I suggested setting up a security perimeter through an electronic security system, automated system of centralized and decentralized backup, monitoring of system and network resources, account management, automated summary reports, settings and usage of information assets, their maintenance and disposal. In the area of human resource management I defined key roles, including relevant activities and responsibilities, and a method for increasing security awareness of employees. In the area of security incidents I defined the team responsible for crisis management, security incident resolution and documentation according to established rules. Next I defined the key artifacts that will serve as documentation and operational framework for security management in the company. Finally I estimated the costs arising
79
from the proposed measures, the final sum being 82 thousand Czech crowns. This is financially acceptable solution for the company. The goal was to design a procedurally and economically justified method of accounting data security in WaveNet.cz company, which I achieved through measures stated in the thesis. I am convinced that the proposed solution will be successfully implemented and the company will increase its ability to cope with the ever more subtle pitfalls lurking in the area of information security. I consider the main contribution of this work to be the practical level. In the practical part I showed that even for a small company with limited resources an effective information security management can be designed.
80
6.
SEZNAM POUŽITÝCH ZKRATEK
Zkratka
Význam
ISMS
Information Security Management System; Systém řízení bezpečnosti informací
RAID
Redundant Array of Independent Disks; Vícenásobné pole nezávislých disků
SATA
Serial Advanced Technology Attachment; Sběrnice pro připojování paměťových zařízení
UTP
Unshielded Twisted Pair; Nestíněná kroucená dvojlinka
AES
Advanced Encryption Standard; Symetrická bloková šifra známá též pod názvem Rijndael
WPA
WiFi Protected Access; Obchodní označení zabezpečení bezdrátových sítí
KVM
Keyboard – Video – Mouse; Klávesnice – monitor – myš, typicky přepínače KVM
ICT
Information and Communication Technologies; Informační a komunikační technologie
WiFi
Wireless Fidelity; Název pro rodinu standardů IEEE 802.11
PIN
Personal Identification Number; Osobní identifikační číslo
SMS
Short Message Service; Služba krátkých textových zpráv
ITSM
Information Technology Service Management; Řízení IT služeb v ITIL
ITIL
Information Technology Infrastructure Library; Metodika pro řízení IT služeb
VLAN
Virtual Local Area Network; Virtuální místní síť, jinak také IEEE 802.1Q
SSD
Solid State Drive; Technologie pevného disku bez pohyblivých mechanických částí
IEEE
Institute of Electrical and Electronics Engineers; Vývojář průmyslových standardů
COBIT
Control Objectives for Information and Related Technologies; Rámec pro IT Governance
ISO
International Organization for Standardization; Mezinárodní organizace pro normalizaci
IEC
International Electrotechnical Commission; Mezinárodní elektrotechnická komise
WEP
Wired Equivalent Privacy; Zastaralé zabezpečení bezdrátových sítí
OSI
Open System Interconnection; Snaha o standardizaci komunikace v počítačových sítích
MTA
Mail Transfer Agent; Aplikace přenášející elektronickou poštu mezi počítači
SMTP
Simple Mail Transfer Protocol; Protokol pro přenos zpráv elektronické pošty
POP3
Post Office Protocol 3; Protokol pro stahování zpráv elektronické pošty
WebDAV
Web-based Distributed Authoring and Versioning; Vzdálená správa souborů na serveru
CalDAV
Rozšíření protokolu WebDAV, umožňuje přístup ke vzdálenému kalendáři
PDCA
Plan Do Check Act; Plánuj, dělej, kontrolu, jednej
IaaS
Infrastructure as a Service; Infrastruktura jako služba
PaaS
Platform as a Service; Prostředí jako služba
SaaS
Software as a Service; Software jako služba
IDS
Intrusion Detection System; Systém odhalení průniku
CMOS
Complementary Metal-Oxide Semiconductor; Technologie výroby integrovaných obvodů
UPS
Uninterruptible Power Supply; Nepřerušitelný zdroj energie
EZS
Elektronický zabezpečovací systém
PPTP
Point-to-Point Tunneling Protocol; Protokol pro vytváření VPN
81
Zkratka
Význam
L2TP
Layer 2 Tunneling Protocol; Podpůrný protokol pro vytváření VPN
IDS
Intrusion detection system; Systém pro odhalení průniku
IPS
Intrusion prevention system; Systém pro prevenci průniku
NFC
Near Field Communication; Standard pro bezdrátovou komunikaci mezi zařízeními
PHP
PHP: Hypertext Preprocessor; Rekurzivní zkratka pro známý skriptovací jazyk
HTTPS
Hypertext Transfer Protocol Secure; Protokol pro výměnu hypertextových odkazů Zdroj: Vlastní zpracování
82
7.
SEZNAM ZDROJŮ
7.1 Knižní zdroje DOUCEK, Petr: Bezpečnostní incidenty IS/ICT a jejich řešení [online]. Praha, 2005. 85 s. [cit. 2013-12-08]. Dostupné z URL: <www.cssi.cz/cssi/system/files/all/doucek.pdf>. HANÁČEK, Petr, STAUDEK, Jan: Bezpečnost informačních systémů. Praha: Úřad pro státní informační systém, 2000. 127 s. ISBN 80-238-5400-3. KRÁL, David: Informační bezpečnost podniku [online]. Brno, 2010. [cit. 2013-12-08]. Dizertační práce (Ph.D.). Vysoké účení technické v Brně. Dostupné z URL: . MEJZLÍK, Ladislav: Účetní informační systémy. Praha: Nakladatelství Oeconomica, 2006. 169 s. ISBN 80-245-1136-3. NORTHCUTT S., WINTERS S., ZELTSER L.: Inside Network Perimeter. Indianapolis: Sams, 2005. 734 s. ISBN 0-672-32737-6. STEWART J., TITTEL E., CHAPPLE M.: Certified Information System Security Professional Study Guide. 5th edition. Indianapolis: Wiley & Sons, 2011. 864 s. ISBN 978-0-470-94498-1. ŠENOVSKÝ, Pavel: Bezpečnostní informatika 1 [online]. 5 vyd. VŠB - Technická univerzita Ostrava: Ostrava, 2010. 113 s. [cit. 2013-12-08]. Dostupné z URL: .
83
7.2 Internetové zdroje ČESKÁ SPOŘITELNA. Aktuality: Phishing. In: Csas.cz [online]. ©2013. [cit. 25.12.2013]. Dostupné z URL: . ČESKÁ SPRÁVA SOCIÁLNÍHO ZABEZPEČENÍ. Bezpečnostní politika informací v ČSSZ. In: Cssz.cz [online]. @2006. [cit. 19.12.2013]. Dostupné z URL: . ČSFR. Zákon č. 563/1991 Sb., o účetnictví. In: Center.cz [online]. ©1998-2013 [cit. 17.12.2013]. Dostupné z URL: . ČSSR. Vyhláška č. 50 Českého úřadu bezpečnosti práce. In: Gov.cz [online]. ©2013. [cit. 19.12.2013]. Dostupné z URL: . DOMINIK REICHL. Synchronization. In: Keepass.info [online]. ©2003-2013. [cit. 23.12.2013]. Dostupné z URL: . KELCOM INTERNATIONAL. DSC Alexor. In: Kelcom.cz [online]. ©1999-2013. [cit. 27.12.2013]. Dostupné z URL: . MICROSOFT CORPORATION. Security Guide for Small Business [online]. ©2005. [cit. 25.12.2013]. Dostupné z URL: MICROSOFT CORPORATION. Microsoft Security Advisory (2743314). In: Microsoft.com [online]. ©2013. [cit. 28.12.2013]. Dostupné z URL: . SYMANTEC CORPORATION. What's Yours Is Mine. In: Symantec-corporation.com [online]. @2013. [cit. 18.12.2013]. Dostupné z URL: . TREND MICRO INC. Android Malware Spreads via Third-Party App Stores. In: Trendmicro.com [online]. @2013. [cit 23.12.2013]. Dostupné z URL: . UNIVERSITY OF CALIFORNIA. Reliably Erasing Data From Flash-Based SSDs. In: Ucsd.edu [online]. @2013. [cit. 22.12.2013]. Dostupné z URL: .
84
ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Tisková zpráva. In: Uoou.cz [online]. ©2000-2013. [cit. 25.12.2013]. Dostupné z URL: .
85
7.3 Software AVIRA OPERATIONS GMBH. Avira Free Android Security 3.0 [software] [přístup 23.12.2013]. Platforma: Android. Licence: Proprietární. Dostupné z URL: . DARIK HORN. Darik's Boot and Nuke 2.2.8 [software]. [přístup 22.12.2013]. Platforma: Multiplatformní. Licence: GNU GPL. Dostupné z URL: . DOMINIK REICHL. KeePass 2.24 [software]. [přístup 23.12.2013]. Platforma: Multiplatformní. Licence: GPLv2+. Dostupné z URL: . KIRK BAUER. Logwatch 7.4.0 [software]. [přístup 27.12.2013]. Platforma: Linux. Licence: MIT. Dostupné z URL: . MICHAEL BOELEN. Rootkit Hunter 1.4.0 [software]. [přístup 19.12.2013]. Platforma: Linux. Licence: GPL. Dostupné z URL: . MOZILLA FOUNDATION. Mozilla Thunderbird 24.2.0 [software]. [přístup 25.12.2013]. Platforma: Multiplatformní. Licence: MPL. Dostupné z URL: . MOZILLA FOUNDATION. Mozilla Sunbird 1.0 beta 1 [software]. [přístup 25.12.2013]. Platforma: Multiplatformní. Licence: MPL/GPL/LGPL. Dostupné z URL: . NAGIOS ENTERPRISES. Nagios 4.0 [software]. [přístup 26.12.2013]. Platforma: Multiplatformní. Licence: GPLv2. Dostupné z URL: . NCHC FREE SOFTWARE LABS. Clonezilla 2.2.0-31 [software]. [přístup 29.12.2013]. Platforma: Linux. Licence: GPL. Dostupné z URL: . OPENVPN TECHNOLOGIES INC. OpenVPN 2.3.2 [software]. [přístup 27.12.2013]. Platforma: Multiplatformní. Licence: GPL. Dostupné z URL: . SHERWIN FARIA. Eventlog-to-syslog 4.5.1 [software]. [přístup 27.12.2013]. Platforma: Windows. Licence: GPLv3. Dostupné z URL: . SOURCEFIRE INC. Snort 2.9.5.6 [software]. [přístup 19.12.2013]. Platforma: Multiplatformní. Licence: GPLv2+ a komerční. Dostupné z URL: . 86
SOURCEFIRE VRT. Clam AntiVirus 0.98 [software]. [přístup 2.12.2013]. Platforma: Multiplatformní. Licence: GPL. Dostupné z URL: . THE ERASER PROJECT. Eraser 6.0.10 [software]. [přístup 22.12.2013]. Platforma: Windows. Licence: GPL. Dostupné z URL: . TRUECRYPT FOUNDATION. TrueCrypt 7.1a [software]. [přístup 27.12.2013]. Platforma: Multiplatformní. Licence: TrueCrypt Licence 3. Dostupné z URL: . SERNET SERVICE NETWORK GMBH. Verinice 1.6.3 [software]. [přístup 30.12.2013]. Platforma: Multiplatformní. Licence: GPLv3. Dostupné z URL: . WIPE SOFT. Disk Wipe 1.7 [software]. [přístup 22.12.2013]. Platforma: Windows. Licence: EULA. Dostupné z URL: .
87
8.
SEZNAM ILUSTRACÍ
Ilustrace 1: Struktura práce................................................................................................................................. 10 Ilustrace 2: Podstata účetních dat..................................................................................................................... 17 Ilustrace 3: Metodika vyvážené informační bezpečnosti.........................................................................23 Ilustrace 4: ICT infrastruktura............................................................................................................................ 26 Ilustrace 5: Zjišťování informací o systému................................................................................................... 38 Ilustrace 6: Systém zálohování............................................................................................................................ 45 Ilustrace 7: Bezpečnostní vrstvy operačního systému Android............................................................52 Ilustrace 8: Systém souhrnných hlášení.......................................................................................................... 56 Ilustrace 9: Správa uživatelských účtů a hesel.............................................................................................. 58
88
9.
SEZNAM TABULEK
Tabulka 1: Přehled a srovnání dostupných řešení...................................................................................... 24 Tabulka 2: Popis prvků v ICT infrastruktuře................................................................................................. 27 Tabulka 3: Úroveň závislosti podniku na IT................................................................................................... 28 Tabulka 4: Úroveň realizace řízení rizik.......................................................................................................... 29 Tabulka 5: Úroveň realizace bezpečnosti procesů a technologií...........................................................30 Tabulka 6: Úroveň realizace lidských zdrojů................................................................................................. 32 Tabulka 7: Úroveň realizace bezpečnostních incidentů............................................................................33 Tabulka 8: Sumarizace a interpretace řízení jednotlivých oblastí........................................................34 Tabulka 9: Kvalitativní ocenění aktiv z hlediska dostupnosti.................................................................35 Tabulka 10: Úroveň hrozeb působících na klíčová aktiva........................................................................36 Tabulka 11: Programové vybavení serveru.................................................................................................... 39 Tabulka 12: Míra rizika.......................................................................................................................................... 41 Tabulka 13: Údržba článků a baterií................................................................................................................. 44 Tabulka 14: Fyzická údržba.................................................................................................................................. 46 Tabulka 15: Čistění a likvidace aktiv................................................................................................................. 47 Tabulka 16: Rozdělení provozu místní sítě na dva okruhy......................................................................59 Tabulka 17: Seznam rolí a jejich činností........................................................................................................ 61 Tabulka 18: Autorizace pro přístupu k aktivům a určení vlastníka aktiva........................................62 Tabulka 19: Postihování zaměstnanců............................................................................................................. 64 Tabulka 20: Bezpečnostní incidenty v kyberprostoru...............................................................................67 Tabulka 21: Časová náročnost obnovy a výměny zařízení.......................................................................70 Tabulka 22: Artefakty řízení bezpečnosti....................................................................................................... 72 Tabulka 23: Odhad nákladů s cenami v Kč bez DPH v období Q4/2013............................................74 Tabulka 24: Srovnání stavu před a po zavedení navrhovaných opatření...........................................75 Tabulka 25: Úroveň navrhovaného řízení rizik............................................................................................ 96 Tabulka 26: Úroveň navrhovaného řízení bezpečnosti procesů a technologií.................................96 Tabulka 27: Úroveň navrhovaného řízení lidských zdrojů......................................................................97 Tabulka 28: Úroveň navrhovaného řízení bezpečnostních incidentů.................................................98 Tabulka 29: Výsledky srovnávacího auditu.................................................................................................... 98
89
10. SEZNAM PŘÍLOH Příloha 1: Zranitelnosti a hodnocení rizik...................................................................................................... 91 Příloha 2: Kvalitativní hodnocení aktiv............................................................................................................ 92 Příloha 3: Úroveň hrozeb v číslech ................................................................................................................... 93 Příloha 4: Návrh dokumentu bezpečnostní politiky ................................................................................. 94 Příloha 5: Srovnávací audit .................................................................................................................................. 97
90
Příloha 1: Zranitelnosti a hodnocení rizik MZ = míra zranitelnosti v intervalu (0,1); ÚH = úroveň hrozby v intervalu (0,1); HA = hodnota ak tiva v intervalu (0,100); Riziko v intervalu (0,100) MZ ÚH HA Riziko Zranitelnost Umožňuje Opatření 0,75 45 25 Slabé zabezpečení vchodových dveří Krádež hardwaru Není aplikováno 0,75 Krádež dokumentů 0,60 70 32 Slabé zabezpečení vchodových dveří Není aplikováno 0,75 0,75 45 30 Slabé zabezpečení okna Krádež hardwaru Není aplikováno 0,90 Krádež dokumentů 0,60 70 38 Slabé zabezpečení okna Není aplikováno 0,90 0,75 45 25 Snadno kopírovatelné klíče Krádež hardwaru Není aplikováno 0,75 Krádež dokumentů 0,60 70 32 Snadno kopírovatelné klíče Není aplikováno 0,75 0,85 70 48 Neuzamykatelné archivační skříně Neoprávněný přístup Není aplikováno 0,80 0,75 45 27 Volně přístupný server Krádež Není aplikováno 0,80 0,70 47 25 Na serveru lze volně bootovat z DVD/USB Neoprávněný přístup Není aplikováno 0,75 0,70 47 26 Sever nevyžaduje heslo do BIOSu Neoprávněný přístup Není aplikováno 0,80 Nepoužívaný KVM přepínač připojený k serveru Selhání hw či sw 0,50 45 17 Není aplikováno 0,75 0,70 47 25 Na pracovní stanici lze volně bootovat z DVD/USB Neoprávněný přístup Není aplikováno 0,75 0,70 47 25 Pracovní stanice nevyžaduje heslo do BIOSu Neoprávněný přístup Není aplikováno 0,75 0,75 68 46 Zabezpečení WiFi pomocí WPAv1 Odposlech Není aplikováno 0,90 0,65 68 33 Zabezpečení WiFi pomocí WPAv1 Falšování identity Není aplikováno 0,75 0,70 47 25 Pracovní stanice nevynucuje tvorbu silného hesla uživatele Neoprávněný přístup Není aplikováno 0,75 0,95 0,70 47 31 Absence pravidel firewallu na serveru Neoprávněný přístup Není aplikováno 0,40 47 14 Absence dokumentace nastavení firewallu Chyba správce Není aplikováno 0,75 0,70 47 25 Pracovní stanice a mobilní zařízení na stejné síti Neoprávněný přístup Není aplikováno 0,75 0,40 47 17 Aplikace serveru a jejich nastavení nezdokumentováno Chyba správce Není aplikováno 0,90 0,75 80 60 Neexistence uceleného systému zálohování dat Selhání hw či sw Není aplikováno 1,00 0,50 47 23 Neexistence uceleného systému zálohování OS Selhání hw či sw Není aplikováno 1,00 Neexistence pravidelných decentralizovaných záloh Není aplikováno 0,90 0,75 80 54 Selhání hw či sw 0,75 0,70 47 25 Neexistence monitoringu centrálních zdrojů Neoprávněný přístup Není aplikováno 0,75 45 30 Neexistence monitoringu centrálních zdrojů Výpadek elektřiny Není aplikováno 0,90 0,70 47 25 Neexistence monitoringu síťového provozu Neoprávněný přístup Není aplikováno 0,75 0,50 68 29 Neexistence monitoringu síťového provozu Selhání sítě Není aplikováno 0,85 0,70 47 25 Systém serveru nevyžaduje tvorbu silného hesla Neoprávněný přístup Není aplikováno 0,75 0,85 70 60 Na stolech leží hromady volně přístupných dokumentů Neoprávněný přístup Není aplikováno 1,00 0,50 45 23 Znečištění elektroniky UPS Selhání hw či sw Není aplikováno 1,00 0,50 45 23 Znečištění skříně serveru Selhání hw či sw Není aplikováno 1,00 1,00 0,50 45 23 Znečištění skříně pracovní stanice Selhání hw či sw Není aplikováno Selhání hw či sw 0,50 47 18 Zastaralá verze jádra operačního systému serveru Není aplikováno 0,75 0,65 68 44 Absence pravidel bezpečnosti elektronické komunikace Falšování identity Není aplikováno 1,00 0,95 80 76 Absence praivdel bezpečného používání nosičů dat Neoprávněný přístup Není aplikováno 1,00 Absence pravidel bezpečného čištění a likvidace nosičů dat 0,95 80 57 Neoprávněný přístup Není aplikováno 0,75 0,70 47 33 Uživatelé neproškoleni v základech bezpečnosti informací Chyba uživatele Není aplikováno 1,00 0,70 47 28 Absence pravidel pro nastavení mobilů a tabletů Chyba uživatele Není aplikováno 0,85 0,70 47 29 Absence systému pro správu účtů a autorizací Chyba správce Není aplikováno 0,90 0,70 47 26 Server umožňuje přihlášení uživatele root přes SSH Neoprávněný přístup Není aplikováno 0,80 0,70 47 25 Absence antiviru na serveru Neoprávněný přístup Není aplikováno 0,75 0,70 47 25 Absence antirootkitu na serveru Neoprávněný přístup Není aplikováno 0,75 0,70 47 26 Nepoužívané systémové účty na serveru Neoprávněný přístup Není aplikováno 0,80 0,70 47 25 Účty vyhrazené pro sambu se smí přihlašovat do systému Neoprávněný přístup Není aplikováno 0,75 0,70 47 31 Uživatelské účty na pracovní stanici mají admin oprávnění Chyba uživatele Není aplikováno 0,95 0,70 80 50 Uživatelské účty účetní aplikace mají neomezená oprávnění Chyba uživatele Není aplikováno 0,90 0,95 80 68 Uživatelské účty účetní aplikace mají neomezená oprávnění Neoprávněný přístup Není aplikováno 0,90 0,70 47 33 Absence pravidel pro tvorbu silného hesla Chyba uživatele Není aplikováno 1,00 0,70 47 31 Neexistence procesu schvalování nových aplikací Chyba uživatele Není aplikováno 0,95 0,40 47 14 Neexistence procesu schvalování nových aplikací Chyba správce Není aplikováno 0,75
Zdroj: Vlastní zpracování
91
Interpretace vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko velmi vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko velmi vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko velmi vysoké riziko vysoké riziko velmi vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko velmi vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko velmi vysoké riziko velmi vysoké riziko velmi vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko vysoké riziko velmi vysoké riziko velmi vysoké riziko vysoké riziko vysoké riziko vysoké riziko
Příloha 2: Kvalitativní hodnocení aktiv Stupně dopadu: 1 – nízký, 2 – střední, 3 – vysoký, 4 – velmi vysoký Dopad na FIN (finance), PRO (procesy), DKL (důvěru klientů), IMG (ztráta image), LEG (porušení zákona); W (dílčí hodnota) FIN PRO DKL ZIM LEG W HODNOTA Hardware - dostupnost 3 4 1 1 1 0,5 - důvěrnost 1 1 2 3 1 0,4 45 - integrita 1 4 1 2 1 0,45 Software - dostupnost 3 4 2 2 1 0,6 - důvěrnost 1 1 2 2 1 0,35 46,7 - integrita 1 4 1 2 1 0,45 Síť - dostupnost 3 4 2 2 1 0,6 - důvěrnost 3 1 4 4 3 0,75 68,3 - integrita 4 4 3 2 1 0,7 Data - dostupnost 4 4 2 2 2 0,7 - důvěrnost 4 1 4 4 4 0,85 80 - integrita 4 4 3 2 4 0,85 Dokumenty - dostupnost 2 3 2 2 2 0,55 - důvěrnost 4 1 4 4 4 0,85 70 - integrita 2 3 3 2 4 0,7 Zdroj: Vlastní zpracování
92
Příloha 3: Úroveň hrozeb v číslech
Úroveň: 0-25% nízk á, 25-50% střední, 50-75% Hrozba Hardware Software Krádež 0,75 Falšování identity Odposlech 0,1 Neautorizovaný přístup 0,5 0,7 Chyba uživatele 0,2 0,7 Chyba správce 0,4 0,4 Selhání hw či sw 0,5 0,5 Selhání sítě Selhání napájení 0,2 0,2 Požár 0,4 Blesk 0,5 Záplava 0,2 Zemětřesení 0,1 Výpadek elektřiny 0,75 -
vysok á, 75-100% velmi vysok á Síť Data Dokumenty 0,6 0,65 0,75 0,85 0,95 0,85 0,9 0,7 0,4 0,4 0,75 0,5 0,2 0,75 0,4 0,2 0,2 0,1 0,1 -
Zdroj: Vlastní zpracování
93
Příloha 4: Návrh dokumentu bezpečnostní politiky
Bezpečnostní politika WaveNet.cz, s.r.o. Článek 1 – Základní ustanovení 1) Vedení společnosti WaveNet.cz, s.r.o. vyhlašuje zásady bezpečnosti informací. Tato směrnice jednatele je závazná pro všechny zaměstnance společnosti. 2) K zajištění bezpečnosti informací a podpory bezpečnosti informací se touto politikou: a) charakterizuje bezpečnost informací, b) stanovují bezpečnostní cíle, c) stanovuje rozsah a důležitost bezpečnosti informací, d) uvádí stručný výklad základních bezpečnostních zásad. 3) Bezpečnost informací je charakterizována jako zachování dostupnosti, důvěrnosti a integrity informací. a) Dostupnost je zajištění toho, že informace a s nimi spojená aktiva jsou uživatelům dostupná v době, kdy je potřebují. b) Důvěrnost je zajištění toho, že informace je přístupná jen těm uživatelům, kteří jsou oprávnění mít k ní přístup. c) Integrita je zajištění přesnosti a úplnosti informací a metod jejich zpracování. 4) Bezpečnostním cílem společnosti WaveNet.cz, s.r.o. je zajištění dostupnosti, důvěrnosti a integrity informačních aktiv, tzn. jejich zajištění proti ztrátě, náhodnému či neoprávněnému zničení a neoprávněnému přístupu, změnám nebo šíření. 5) Bezpečnost informací se vztahuje na všechny zaměstnance a prostory společnosti. 6) Tato politika jednou ročně podléhá revizi. 7) Za revizi dokumentu bezpečnostní politiky odpovídá jednatel společnosti. 8) Záměrem společnosti WaveNet.cz, s.r.o. je udržovat vyváženou ochranu informačních aktiv v souladu se zákony a jinými právními předpisy České republiky. Článek 2 – Aktiva společnosti 1) Pro potřeby bezpečnosti informací byly na základě analýzy rizik ve společnosti WaveNet.cz, s.r.o. určeny kategorie aktiv, kterými jsou hardware a software, síť, data a dokumenty v papírové formě. 94
a) Hardware je veškeré počítačové vybavení a podpůrné systémy. b) Software je veškeré programové vybavení a operační systémy. c) Síť je veškeré vybavení, jehož prostřednictvím hardware a software komunikuje. d) Data jsou veškeré údaje potřebné pro chod a obchodní činnost společnosti. e) Dokumenty jsou veškeré listiny potřebné pro chod a obchodní činnosti společnosti. Článek 3 – Fyzická bezpečnost 1) Účelem řízení fyzické bezpečnosti je předcházet neoprávněnému přístupu k informacím a jejich narušení či poškození. 2) Bezpečnostním cílem je zajištění fyzické ochrany informací a prostředí, ve kterém se nacházejí, proti krádeži, poškození či zničení, a to: a) zavedením bezpečnostního perimetru chránícího prostory společnosti, b) bezpečným umístěním zařízení a podpůrných systémů, c) pravidelnou fyzickou údržbou systémů a podpůrných zařízení, d) centralizovaným i decentralizovaným systémem zálohování dat, e) zavedením bezpečného úložiště aktiv, f) zajištěním požární bezpečnosti v souladu se zákony České republiky. Článek 4 – Bezpečnost komunikace 1) Účelem řízení bezpečnosti komunikací je zajistit bezpečný provoz prostředků pro zpracování informací, minimalizovat riziko selhání systému, chránit integritu a dostupnost programů, dat a informačních systémů, chránit důvěrnost informací a zajistit ochranu počítačové sítě. 2) Bezpečnostním cílem je zajištění ochrany informací prostřednictvím: a) ochrany proti škodlivým kódům, b) ochrany počítačové sítě a síťových zdrojů, c) zajištění dostupnosti informací a služeb, d) monitorováním provozu a zdrojů, zaznamenávání a hlášení událostí, e) zajištění důvěrnosti informací pomocí kryptografické ochrany, f) dodržování bezpečnosti při zacházení s nosiči dat, g) dodržování zásad v elektronické komunikaci. Článek 5 – Bezpečnost přístupu 1) Účelem řízení přístupu k informacím a systémům společnosti je zajistit, aby k nim měli přístup pouze oprávnění uživatelé. Pro přístup k těmto prostředkům jsou stanovena 95
pravidla, která určují postupy pro autorizaci, zřizování, změny a odebírání přístupových práv. 2) Bezpečnostním cílem je zajištění řízení přístupu, a to realizací opatření v oblasti správy přístupu uživatelů, která jsou zajištěna systémem pro přidělování, změny a odebírání přístupu k informačním aktivům a dodržováním zásad čistého stolu a prázdné obrazovky. Článek 6 – Lidské zdroje 1) Účelem řízení lidských zdrojů je snížení rizika lidské chyby, krádeže, podvodu či zneužití zdrojů společnosti. 2) Bezpečnostním cílem je zajištění vhodných postupů při přijímacím řízení a zajištění povědomí zaměstnanců o bezpečnosti informací na počátku i během zaměstnání. 3) Zaměstnanci se zavazují k zachování mlčenlivosti podpisem pracovní smlouvy. 4) Zaměstnanci jsou povinni zachovávat mlčenlivost při plnění úkolů společnosti a v přímé souvislosti s nimi, tato povinnost trvá i po skončení pracovního vztahu. 5) Seznámení zaměstnanců s bezpečnostní politikou je součástí vstupního školení a dalších školení v průběhu zaměstnání. 6) Zaměstnanci jsou povinni dodržovat postupy hlášení bezpečnostních incidentů. 7) Nedodržení bezpečnostních zásad může být kvalifikováno jako porušení povinností zaměstnance s příslušnými důsledky, jež plynou z pracovněprávní legislativy. Článek 7 – Bezpečnostní incidenty 1) Účelem řízení bezpečnostních incidentů je zajistit připravenost k řešení krizových situací a zachovat funkčnost základních procesů společnosti. 2) Bezpečnostním cílem je zajištění přípravy, proškolení a připravenosti zaměstnanců k výkonu činností spojených s řešením krizových situací. Článek 8 – Závěrečná ustanovení 1) Tato politika nabývá účinnosti dnem 1. dubna 201452
Petr Forejtek Jednatel
52 ČSSZ. Bezpečnostní politika informací v ČSSZ. In: Cssz.cz [online]. @2006. [cit. 19.12.2013].
96
Příloha 5: Srovnávací audit Tabulka 25: Úroveň navrhovaného řízení rizik 1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Má organizace dokument typu Bezpečnostní politika?
4
Provedla organizace v posledních 2 letech analýzu rizik, aby určila klíčová aktiva, která je potřeba chránit?
4
Používá organizace pro analýzu rizik speciální software?
3
Má organizace určen vztah klíčových aktiv k procesům, které na nich závisí?
4
Identifikovala organizace bezpečnostní hrozby, které jsou spojené s klíčovými aktivy?
4
Provedla organizace analýzu zranitelnosti, tj. určení slabých míst, která by mohla být využita identifikovanými hrozbami?
4
Má organizace oceněnu ztrátu každého z klíčových aktiv?
3
Má organizace zdokumentovánu bezpečnostní strategii, která by určovala postupy, jak udržovat rizika na přijatelné úrovni?
2
Má organizace zdokumentovánu bezpečnostní strategii, která by obsahovala plány, jak v budoucnu snižovat rizika spojená s klíčovými aktivy?
3
Je tato strategie alespoň 1× ročně aktualizována?
3
Zdroj: Metodika vyvážené informační bezpečnosti
Tabulka 26: Úroveň navrhovaného řízení bezpečnosti procesů a technologií 1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Jsou prostory, které obsahují zařízení pro zpracování informací, chráněny bezpečnostními perimetry či bariérami?
4
Je do prostorů organizace, které obsahují citlivé informace nebo zařízení, povolen vstup pouze oprávněným osobám?
3
Je organizace zajištěna proti vnějším a přírodním hrozbám?
4
Jsou zařízení, která zpracovávají informace, chráněna před selháním napájení a před dalšími formami přerušení způsobenými poruchami podpůrných zařízení?
4
Existuje v organizaci postup bezpečné likvidace a odstraňování majetku po autorizaci oprávněné osoby tak, aby neunikly citlivé informace?
3
Jsou veškeré stanice v organizaci dostatečně chráněny proti škodlivým programům a kódům?
4
Existuje v organizaci postup pravidelného a bezpečného zálohování dat?
4
Jsou důvěrná, osobní či citlivá data šifrována a související šifrovací klíče náležitě chráněny?
4
Jsou veškeré výměny programového vybavení a informací v rámci organizace nebo v rámci výměny s externími partnery vhodným způsobem chráněny?
3
97
1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Obsahují smlouvy s partnery organizace dodávajícími výrobky a služby opatřeny výčtem bezpečnostních opatření a sankcemi, pokud tato opatření partneři nedodržují?
1
Jsou po dostatečně dlouhou dobu zaznamenávány aktivity všech uživatelů v informačním systému organizace, výjimky a události související s bezpečností informací?
4
Jsou zjištěné údaje analyzovány a přijímány příslušná opatření na odstranění vzniklých chyb?
4
Je v organizaci dodržována politika čistého stolu a obrazovky?
4
Existuje postup pro registraci uživatele do informačního systému organizace a přidělení práv pro přístup do oblastí IS dle klasifikace uživatele?
3
Mají všichni uživatelé informačního systému jedinečný identifikátor (ID) tak, aby bylo možné dosledovat odpovědnost za jejich činnosti?
4
Jsou uživatelé donuceni systémem tvořit pouze tzv. silná hesla?
4
Jsou aplikovány zvláštní postupy autentizace při vzdáleném přístupu do informačního systému organizace?
3
Jsou bezpečně chráněny porty pro vzdálenou diagnostiku a konfiguraci?
4
Jsou stanice po určené době nečinnosti odhlášeny od systému?
4
Existují v organizaci zásady a postupy bezpečné práce na mobilních výpočetních prostředcích a zařízeních?
4
Zdroj: Metodika vyvážené informační bezpečnosti
Tabulka 27: Úroveň navrhovaného řízení lidských zdrojů 1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Je v organizaci definována osoba nebo útvar, jehož primárním úkolem je řízení bezpečnosti informací?
3
Podává tento útvar pravidelná hlášení vedení organizace o dodržování a účinnosti stanovené bezpečnostní politiky?
3
Má každý zaměstnanec jasně definovánu svou roli a odpovědnost v rámci bezpečnostní politiky organizace?
4
Je tato odpovědnost písemně definována v pracovních smlouvách všech zaměstnanců?
4
Je přezkoumávána předchozí činnost žadatelů o zaměstnání v organizaci také ve smyslu jejich schopností kvalitně pracovat s rizikovými informacemi, které budou mít na starosti?
4
Jsou pravidelně organizována školení pro zaměstnance i uživatele třetích stran týkající se politiky bezpečnosti informací?
3
Funguje v organizaci disciplinární proces pro zaměstnance, kteří porušili bezpečnostní politiku a způsobili bezpečnostní incident?
3
Jsou v organizaci jasně definovány odpovědnosti při ukončení pracovního poměru nebo při změně zaměstnání?
4
98
1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Je ve smluvním vztahu jasně definováno, že zaměstnanec je povinen před ukončením zaměstnání vrátit všechna aktiva, která měl k dispozici a odpovídal za ně?
4
Jsou automaticky všem odcházejícím pracovníkům odejmuta všechna přístupová práva v organizaci?
4
Zdroj: Metodika vyvážené informační bezpečnosti
Tabulka 28: Úroveň navrhovaného řízení bezpečnostních incidentů 1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno Kritérium
Hodnocení
Existuje ve firmě dokument, který definuje a klasifikuje potencionální bezpečnostní události a bezpečnostní incidenty, ke kterým může při chodu organizace dojít?
3
Jsou všichni zaměstnanci povinni hlásit jakékoliv pozorované zranitelné místo v informačním systému organizace, které by mohlo znamenat vznik bezpečnostního incidentu?
3
Probíhají v organizaci pravidelná školení pro všechny zaměstnance a účastníky třetích stran, na kterých je všem zúčastněným zvyšována úroveň bezpečnostního povědomí?
4
Jsou všichni zaměstnanci poučeni, jak po detekování bezpečnostní události hlásit její vznik pověřené osobě či útvaru v organizaci?
4
Jsou v organizaci jasně definovány odpovědnosti a postupy pro rychlé řešení vzniklých bezpečnostních incidentů?
4
Existují v organizaci mechanismy pro kvantifikaci druhů a rozsahu vzniklých bezpečnostních incidentů?
2
Existují v organizaci mechanismy pro kvantifikaci vzniklých nákladů souvisejících s odstraňováním bezpečnostních incidentů?
2
Jsou důsledně shromažďovány a uchovávány důkazy o jednotlivých proběhlých bezpečnostních incidentech, které by mohly být využity orgány činnými v případném trestním řízení?
3
Existují v organizaci rizikové scénáře pro případ vzniku neočekávaného nebo nezvládnutelného bezpečnostního incidentu?
4
Jsou pravidelně bezpečnostní incidenty vyhodnocovány a přijímány závěry směrem k analýze rizik, příp. k systému řízení bezpečnostních incidentů?
4
Zdroj: Metodika vyvážené informační bezpečnosti
Tabulka 29: Výsledky srovnávacího auditu Oblast
Body
Interval
Interpretace
Řízení rizik
34
34-40
Přiměřená ochrana
Řízení procesů a technologií
72
63-80
Přiměřená ochrana
Řízení lidských zdrojů
36
32-40
Přiměřená ochrana
Řízení bezpečnostních incidentů
33
32-40
Přiměřená ochrana
Zdroj: Vlastní zpracování
99