International magazine for security engineering

Security Revue

April 19th, 2006 at 12:50

Bezpečnostná it politika ako jeden zo základných dokumentov organizácie

in: Information Security

napísal Ing. Tomáš LOVEČEK, PhD.

Security policy contain sum of security requirements for solution of IT security on the level physical, administration, computer a communication security. Security policy has to be authorized like basic document – internal directive by leaderships of organization.

ÚVOD
Bezpečnostná politika obsahuje súhrn bezpečnostných požiadaviek pre riešenie informačnej bezpečnosti na úrovni fyzickej, personálnej, administratívnej, počítačovej a komunikačnej bezpečnosti. Bezpečnostná politika musí byť ako dokument schválený vedením spoločnosti ako záväzná vnútropodniková smernica.

Bezpečnostná politika je chápaná ako základný písomný dokument organizácie, obsahujúci predstavu vedenia o riešení bezpečnosti a základné požiadavky na jednotlivé bezpečnostné oblasti celého IS. Bezpečnostná politika ponúka odpovedať na niekoľko základných otázok:

  • Čo chceme chrániť,
  • Prečo to chceme chrániť,
  • Ako to chceme chrániť,
  • Čo budeme robiť, keď dôjde k zlyhaniu systému.

Bezpečnostná politika IT by mala byť vypracovaná vo forme bezpečnostného projektu na komplexnú ochranu Informačných systémov (ďalej len IS), v ktorom budú definované jednotlivé hrozby, ktoré sú relevantné pre aktíva IS a následne by mali byť popísané metódy na ich ochranu (protiopatrenia). Ide o metódy technickej, mechanickej, organizačnej a režimovej ochrany.

V závere bezpečnostného projektu by mali byť definované hrozby, ktoré boli pokryté, a ktoré neboli pokryté z určitých dôvodov. Pri tvorbe bezpečnostného projektu, najmä pri určovaní protiopatrení by mala byť zvažovaná aj nákladovosť na jednotlivé prvky ochrany. Bezpečnostný projekt na komplexnú ochranu IS obsahuje:

  • bezpečnostný zámer,
  • analýzu kvalitatívneho zabezpečenia:
    • analýza rizík,
    • hodnotenie rizík vo vzťahu k existujúcim opatreniam,
  • návrh nových alebo doplňujúcich protiopatrení,
  • plán implementácie nových alebo doplňujúcich ochranných opatrení,
  • bezpečnostné smernice,
  • havarijný plán a plán obnovy IS.

BEZPEČNOSTNÝ ZÁMER
Zámerom bezpečnostného projektu na komplexnú ochranu IS je vymedzenie rozsahu a spôsobu technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačné systémy z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Bezpečnostný projekt na komplexnú ochranu IS býva vypracovaný pre informačné systémy používané v čase objednania projektu. Vymedzenie rozsahu a spôsobu opatrení je adresné, preto pri organizačnej zmene alebo zmene charakteristiky informačných systémov je potrebné bezpečnostný projekt zosúladiť s novou aktuálnou skutočnosťou. Hlavným cieľom bezpečnostného projektu na komplexnú ochranu IS je zabezpečenie základných funkcii informačných systémov:

Integrita – reprezentuje neporušiteľnosť vloženej informácie zásahom technickej časti systému alebo ľudského činiteľa. Neporušiteľnosť možno vyjadriť ako náhodný proces udalostí, ktoré znamenajú neautorizovaný príjem, neautorizované vyslanie alebo neautorizovanú transformáciu informácií.

Dôvernosť – vlastnosť informácie, ktorá zaisťuje, že informácia nebude poskytnutá, nemôže byť odhalená alebo zneužitá neoprávneným subjektom. Pojem subjekt v tomto význame zahŕňa nielen osoby, ale aj technické prostriedky a programové vybavenie. Dôvernosť predstavuje hierarchicky usporiadaný mechanizmus, ktorý zaručí požadovaný stupeň oprávnenia na zápis a čítanie informácií v určenej časti zabezpečovacieho systému strojom alebo človekom. Stupeň (úroveň) dôvernosti možno vyjadriť ako náhodný proces úspešného alebo neúspešného pokusu o jej porušenie.

Dostupnosť – časová charakteristika, ktorá vyjadruje závislosti medzi požiadavkami riadeného systému a splnením týchto požiadaviek. Obvykle sa reprezentuje v mierke rozdelenia pravdepodobnosti oneskorenia medzi žiadosťou o službu a jej realizáciou.

Zodpovednosť (accountability) – vlastnosť, ktorá zaisťuje evidenciu udalostí.

Autenticita – identita subjektu alebo zdroja informácie, musí byť taká za ktorú sa vydáva.

Spoľahlivosť.

Rozsah technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačné systémy z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti by mal byť zadefinovaný v piatich základných oblastiach informačnej bezpečnosti, a to:

PHYSEC – fyzická bezpečnosť – zahŕňa pôsobenie hrozieb na hmotné aktíva potrebné pre prevádzkovanie IS. Fyzická bezpečnosť znamená ochranu informačného systému a jeho častí proti neoprávnenému vniknutiu osôb (prevenciu a detekciu neoprávneného vniknutia), spôsoby zničenia už nepotrebných informácií alebo už nepotrených médií s informáciami (archivačných médií, tlačových a iných výstupov informačného systému), ochranu proti požiaru, ochranu proti vode, plánovanie havárií a riešenie krízových situácií.

COMSEC – komunikačná bezpečnosť – zahŕňa pôsobenie hrozieb na nehmotné aktíva počas ich prenosu, ukladania a spracovávania. Komunikačná bezpečnosť sa zaoberá ochranou dát v súboroch a v databázach proti odpočúvaniu resp. modifikovaniu pri ich prenose, ochranou proti vírusom, trojským koňom, červom, ochranou pred neoprávneným prienikom zo siete Internet a ochranou dát proti ostanej nežiaducej infiltrácii.

COMPUSEC – počítačová bezpečnosť – zahŕňa pôsobenie hrozieb na hmotné aktíva (hardvér) potrebné pre spracovanie, ukladanie a prenos dát. počítačová bezpečnosť zahŕňa výber a spoľahlivosť technických prostriedkov IS, zabezpečenie ich okamžitého servisu, kontrolu prístupu k týmto prostriedkom.

LOGICSEC – logická bezpečnosť – zahŕňa pôsobenie hrozieb na nehmotné aktíva nevyhnutné pre fungovanie IS z hľadiska organizačného spracovania informácie. Logická bezpečnosť sa zaoberá vyladením operačného systému takým spôsobom, aby bol skutočným filtrom prístupu k informáciám uloženým v IS – t.j. aby bola zabezpečená kontrola prístupu, identifikácia a autentizácia užívateľov, rozdelenie právomocí užívateľom, sledovanie a záznam činnosti systému aj užívateľov. Patrí sem tiež výber a spoľahlivosť programového vybavenia, jeho licenčná čistota, kontrola prístupu k nemu a pod.

PERSEC – personálna bezpečnosť – zaoberá sa predovšetkým elimináciou hrozieb spôsobených ľudským faktorom. Ide v nej o ochranu pracovníkov ako súčasti informačného systému, ale tiež o ochranu IS pred dôsledkami udalostí spôsobených nekorektným jednaním pracovníkov.

ANALÝZA KVALITATÍVNEHO ZABEZPEČENIA
Analýza rizík je základným predpokladom na vytvorenie efektívneho systému ochrany informačných systémov. Cieľom analýzy rizík je identifikovať a ohodnotiť hrozby, ktorým je informačný systém vystavený, aby mohli byť vybrané nové alebo doplňujúce relevantné ochranné opatrenia. Pomocou analýzy rizík sú identifikované hrozby a ich riziká, ktoré je potrebné akceptovať alebo korigovať. V kontexte bezpečnosti IS analýza rizík zahrňuje:

  • analýzu aktív,
  • analýzu hrozieb,
  • analýzu zraniteľností.

Riziká sú odhadnuté z hľadiska možného dopadu, spôsobeného narušením dôvernosti, integrity, dostupnosti, zodpovednosti, autenticity a spoľahlivosti. Analýza rizík býva najčastejšie vykonávaná kvalitatívnou kombinovanou metódou podľa ISO/IEC TR 13335, ktorá v sebe zahŕňa všeobecnú analýzu rizík tzv. analýzu na hrubej úrovni. Táto metóda následne aplikuje podrobnú analýzu rizík pre informačné systémy, ktoré sú identifikované ako významné pre činnosť organizácie, alebo sú vystavené vysokým rizikám. Pre ostatné informačné systémy, ktoré nie sú významné pre organizáciu, alebo nie sú vystavené vysokým rizikám, aplikuje metódu základného prístupu. Cieľom tejto metódy základného prístupu je stanoviť minimálnu sadu ochranných opatrení. Táto voľba stratégie analýzy rizík je kombináciou najlepších charakteristík možností, ktoré ponúkajú jednotlivé stratégie.

Všeobecná analýza rizík pre všetky informačné systémy je vykonaná na základe týchto kritérií:

  • stupeň, v akom činnosť organizácie závisí na systému IT, to znamená či funkcie ktoré organizácia považuje pre svoje prežitie za kritické sú závislé na danom informačnom systéme,
  • úroveň investícii do daného informačného systému, a to z pohľadu vývoja, údržby alebo nahradenia systému.

Obrázok 1: Detailná analýza rizík

Detailná analýza rizík (obr. 1) zahŕňa hĺbkovú identifikáciu a ohodnotenie aktív, odhad hrozieb pre tieto aktíva a odhad zraniteľností. Výsledky týchto aktivít sú potom použité na odhad rizík a teda na identifikáciu zdôvodniteľných bezpečnostných ochranných opatrení.

NÁVRH NOVÝCH ALEBO DOPLŇUJÚCICH PROTIOPATRENÍ
Na základe bezpečnostného zámeru a analýzy kvalitatívneho zabezpečenia sú navrhované bezpečnostné opatrenia, ktoré sú v zhode s bezpečnostnými štandardami, vyhlásenými Výnosom Štatistického úradu Slovenskej republiky č. 372/1998-830, v znení Výnosu č. 1490/1999-833, a štandardami, ktoré obsahujú bezpečnostné normy ISO 177799/2000 a ISO/IEC TR 13335.

PLÁN IMPLEMENTÁCIE NOVÝCH ALEBO DOPLŇUJÚCICH OCHRANNÝCH OPATRENÍ
Plán implementácie nových alebo doplňujúcich ochranných opatrení definuje pravidlá a opatrenia, ktoré sa musia prijať aby mohli byť v praxi implementované navrhované ochranné opatrenia čo najúčinnejšie. Plán implementácie obsahuje najmä:

  • priority jednotlivých navrhovaných ochranných opatrení,
  • časový rozvrh implementácie vo vzťahu k prioritám,
  • potrebný finančný rozpočet,
  • zodpovednosť jednotlivých pracovníkov,
  • spôsob vytvorenia povedomia o bezpečnosti medzi užívateľmi a postupy pre bezpečnostné školenia,
    časový rozvrh pre postupy odsúhlasenia tam, kde je to potrebné.

BEZPEČNOSTNÉ SMERNICE
Bezpečnostné smernice určujú pravidlá používania technických prostriedkov, prístupové a správcovské práva, organizačnú štruktúru, rozdelenie zodpovedností a právomocí a celkový proces ochrany aktív IS. Bezpečnostné smernice obsahujú:

  • úvodné ustanovenia,
  • definíciu vlastnej bezpečnostnej politiky,
  • rozsah bezpečnostných smerníc,
  • popis informačného systému,
  • technicko-prevádzkové zabezpečenie,
  • politiku zálohovania a archivácie,
  • politiku tvorby a prideľovania hesiel,
  • politiku antivírovej ochrany a ochrany pred neoprávneným vstupom do IS,
  • politiku prístupu do/k IS na fyzickej úrovni,
  • metodiku likvidácie nepotrebných údajov,
  • metodiku hlásenia podozrivých udalostí,
  • prechodné a záverečné ustanovenia.

HAVARIJNÝ PLÁN A PLÁN OBNOVY IS
Havarijný plán definuje, čo robiť po odhalení útoku (bezpečnostného incidentu) a ako postupovať, aby sa udržala kontinuita činnosti organizácie. Havarijný plán obsahuje najmä:

  • miesta skladovania a počty náhradných dielov,
  • miesta skladovania a spôsob organizácie záloh dát,
  • obsah pohotovostného skladu technických a softvérových náhrad,
  • metodiku udržiavania aktuálnosti dát, softvéru a hardvéru,
  • metodiku aktualizácie a testovania hardvéru.

Súčasťou havarijného plánu je taktiež:

  • zadefinovanie spôsobu vyhlásenia a zrušenie havarijného stavu,
  • návody ako postupovať v poskytovaní služieb po zistení útoku (plán činnosti po útoku – Contingency Plan).

Vyhlásenie a zrušenie havarijného stavu – odpovedá na otázku čo je to havarijný stav, kto a za akých podmienok ho vyhlasuje a akým spôsobom. Taktiež definuje, kedy havarijný stav sa končí a kto ho má právo zrušiť.

VŠEOBECNE ZÁVÄZNÉ PRÁVNE PREDPISY PRE VYPRACOVANIE BEZPEČNOSTNÉHO KOMPLEXNÉHO PROJEKTU NA OCHRANU IS
Pokiaľ ide o bezpečnostnú politiku organizácie, tak žiaden zákon ani vyhláška SR nehovorí, aké všeobecne záväzné predpisy sa majú použiť pri jej tvorbe a taktiež nehovorí, že organizácia musí túto bezpečnostnú politiku vypracovať. Vo svete sú vydávané hlavne technické normy, ktoré sa zaoberajú bezpečnosťou IT a závisí na jednotlivých organizáciách, pre ktoré normy sa rozhodnú pri vytváraní bezpečnostnej politiky. Vo svete sú vydávané normy ISO (International Organisation for Standardisation), ktoré sú medzinárodné (napr. ISO/IEC 17799:2000 Code of Practice for Information Security Management). Na druhom mieste sú to normy vydávané renomovanými organizáciami: IEC (International Electrotechnical Commision), a ITU (Internatinal Telecomunical Union). Normy na národnej úrovni ANSI (Americké normy) a normy DIN (Nemecké normy) ČSN (České normy) a pod (napr. IT Baseline Protection Manual – Nemecké normy, BS 7799-2 Specification for Information Security Management Systems – Britské normy).

Potom sú to tzv. de facto štandardy (sú to štandardy RFC – Request for Comment). – ide o normy, ktoré neboli nikdy nikým schválené. Boli vytvorené nejakou skupinou odborníkov veľkej súkromnej firmy resp. organizácie (IETF – Internet engineering Task Force). Ide o väčšinu internetových protokolov.

Najznámejšie kritéria pre hodnotenie bezpečnosti boli vydané ako Orange Book, ktorú vydala, americká organizácia oficiálne sa označuje ako TCSEC (Trusted Computer System Evaluation Criteria). Kanaďania sa nechali tiež touto knihou inšpirovať a vydali CTCPEC (Canadian Trusted Computer Product Evaluation Criteria). Európania na základe týchto dvoch štandardov vytvorili tiež vlastné štandardy ITSEC (Information Technology Security Evaluation Criteria). Na základe týchto skutočností normalizačný úrad ISO vydalo medzinárodné normy CC (Common Criteria) norma (STN) ISO/IEC 15408.

BEZPEČNOSTNÝ PROJEKT NA OCHRANU INFORMAČNÝCH SYSTÉMOV V ZMYSLE ZÁKONA Č. 428/2005 Z.Z. O OCHRANE OSOBNÝCH ÚDAJOV V ZNENÍ NESKORŠÍCH PREDPISOV
V súčasnosti okrem zákona č.215/2004 Z.z. o ochrane utajovaných skutočností, jediná záväzná právna norma platná na území SR, ukladá prijať komerčnej organizácii určité opatrenia v oblasti ochrany IT (konktrétne oblasť ochrany osobných údajov). Ide o zákon č. 428/2005 Z.z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len zákon č. 428/2002 Z.z.). A to vo forme bezpečnostného projektu na ochranu informačných systémov. Tento bezpečnostný projekt by mal byť vo vzájomnej konzistencii s bezpečnostným projektom na komplexnú ochranu informačných systémov a to v zmysle používanej terminológie, vzájomných odkazov a používanej metodiky. Dôvod pre vypracovanie tohto bezpečnostného projektu ukladá zákon č. 428/2002 Z.z. kde definuje, že za bezpečnosť osobných údajov zodpovedá každá organizácia, tým že ich chráni pred náhodným ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel musia byť prijaté primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania, pričom musia byť brané do úvahy najmä použiteľné technické prostriedky, rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému, dôvernosť a dôležitosť spracúvaných osobných údajov.

Bezpečnostný projekt musí byť spracovaný v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

Bezpečnostný projekt musí obsahovať všetky náležitosti, ktoré mu ukladá zákon č. 428/2002 Z.z. v znení neskorších predpisov. A to v rozsahu:

  • Bezpečnostný zámer:
    • formulácia základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
    • špecifikácia technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia,
    • vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,
    • vymedzenie hraníc určujúcich množinu zvyškových rizík.
  • Analýzu bezpečnosti informačného systému:
    • kvalitatívna analýza rizík, v rámci ktorej budú identifikované hrozby pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť,
    • návrhy opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík.
  • Bezpečnostné smernice:
    • popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,
    • rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k informačnému systému,
    • rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov,
    • spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému,
    • postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.

PRÁVNY ZÁKLAD PRE VYPRACOVANIE BEZPEČNOSTNÉHO PROJEKTU
Podľa §16 zákona č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov, musí organizácia prijať opatrenia vo forme bezpečnostného projektu informačného systému a zabezpečiť jeho vypracovanie, ak sú v informačnom systéme spracúvané osobitné kategórie osobných údajov (napr. rodné číslo, zdravotné údaje, členstvo v odborových organizáciách) a informačný systém je prepojený na verejne prístupnú počítačovú sieť (Internet) alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť.

SANKCIE ZO STRANY ŠTÁTU
Úrad na ochranu osobných údajov SR môže uložiť pokutu od 50 000,- Sk do 10 000 000,- Sk organizácii, ktorá neprijala primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania vo forme bezpečnostného projektu alebo nepredložila úradu na jeho žiadosť bezpečnostný projekt, pričom bola povinná zabezpečiť jeho vypracovanie podľa § 15 ods. 2, 3.

Úrad môže uložiť pokutu od 50 000 Sk do 5 000 000 Sk organizácií, ktorá včas nepoučila svoje oprávnené osoby alebo nevedela úradu hodnoverne preukázať, že poučenie oprávnených osôb vykonala včas, alebo nepredložila na požiadanie úradu písomný záznam o poučení oprávnených osôb.

Úrad môže uložiť pokutu od 30 000 Sk do 3 000 000 Sk organizácii, ktorá písomne nepoverila zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov alebo nevie hodnoverne preukázať jej písomné poverenie, alebo nezabezpečila odborné vyškolenie zodpovednej osoby.

ZÁKONY A VŠEOBECNE ZÁVÄZNÉ PRÁVNE PREDPISY PRE VYPRACOVANIE BEZPEČNOSTNÉHO PROJEKTU V ZMYSLE ZÁKONA Č. 428/2002 Z.Z.

  • Zákon č.428/2002 Z.z. o ochrane osobných údajov
  • Zákon č. 90/2005 Z.z. Zákon ktorým sa mení a dopĺňa zákon č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov
  • Zákon 363/2005 Z.z. Úplné znenie zákona č. 428/2002 Z.z. o ochrane osobných údajov
  • Listina Základných ľudských práv a slobôd vydaná v Zbierke zákonov č.23/1991 Zb.
  • Ústava SR (Ústavný zákon), čl. 19 ods. 2 a 3
  • Dohovor RE č. 108 o ochrane jednotlivcov pri automatizovanom spracúvaní osobných údajov spolu s dodatkami, bol ratifikovaný SR 24. augusta 2000
  • Dodatkový protokol k Dohovoru 108
  • STN ISO/IEC 17799 Informačné technológie. Kódex praxe manažérstva informačnej bezpečnosti,
  • STN ISO/IEC TR 13335-1 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 1: Koncepcie a modely bezpečnosti IT,
  • STN ISO/IEC TR 13335-2 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 2: Riadenie a plánovanie bezpečnosti IT,
  • STN ISO/IEC TR 13335-3 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 3: Techniky pre manažment bezpečnosti IT,
  • STN ISO/IEC TR 13335-4 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 4: Výber bezpečnostných opatrení.
  • STN ISO/TR 13569 – Bankovníctvo a príbuzné finančné služby. Pokyny pre informačnú bezpečnosť.

LITERATÚRA
[1] Nagy, P.2004. Bezpečnosť informačných systémov http://fel.utc.sk/~nagy/ (2004-10-26)
[2] Doseděl, T.2004. Počítačová bezpečnost a ochrana dat, Brno: Computer Press,2004, ISBN 80-251-0106-1.
[3] Hanáček, P.,Staudek, J. 2000. Bezpečnost informačních systémů, Metodická příručka zabezpečování produktů a systémů budovaných na bázi informačních technologií, Úřad pro státní informační systém 2000
[4] STN ISO/IEC TR 13335-1 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 1: Koncepcie a modely bezpečnosti IT
[5] STN ISO/IEC TR 13335-3 Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 3: Techniky pre manažment bezpečnosti IT
[6] Zákon č. 363/2005 Z.z. Úplné znenie zákona č. 428/2002 Z.z. o ochrane osobných údajov


pošli na vybrali.sme.sk   share on facebook add to google bookmarks

 

RSS feed for comments on this post

Comment spam protected by SpamBam

  • SK :: TBM dictionary


    Terminológia bezpečnostného manažmentu

  • Guarantors


     
     

  • Partners


     
     

Rexter

Securitaci

XG - IT services