International magazine for security engineering

Security Revue

June 16th, 2006 at 14:00

Manažérsky prístup v riešení informačnej bezpečnosti firmy

in: Information Security

napísal Ing. František KALUŽA

Autor poukazuje na celosvetovo zavádzaný systém manažérstva informačnej bezpečnosti (SMIB) ako vysoko efektívny spôsob riadenia informačnej bezpečnosti vo firmách. Zároveň opisuje základné vzťahy a pojmy informačnej bezpečnosti potrebné k vybudovaniu a certifikácii SMIB. Autor chce zabrániť nesprávnemu chápaniu informačnej bezpečnosti ako celku, poukazuje na to, že nesprávne chápanie vedie často k neefektívnemu prevádzkovaniu bezpečnostných ochranných mechanizmov firmy. Článok je však zameraný skôr na kvalitatívno-manažérske ako technicko-technologické riešenie informačnej bezpečnosti.

1. ÚVOD - PREČO MANAŽÉRSKY PRÍSTUP?
Využívanie informačných a komunikačných systémov a technológií (IKSaT) už dávno nie je módnou, alebo prestížnou záležitosťou, ale pre väčšinu firiem prostriedok prežitia. Technologické, systémové a k nim pridružené personálne, fyzické a administratívne nedokonalosti spracovania informácií však využíva množstvo hrozieb. Tieto sa v závislosti od hodnoty informačných aktív, závislosti firmy na ich využívaní s pravdepodobnosti vzniku hrozby v kombinácii s jej následnou ničivosťou transformujú na väčšie, či menšie riziká. Z rizík vznikajú množstvá menších, či väčších bezpečnostných incidentov, ktoré každý deň útočia na bezpečnosť informácií firmy. Obrazne to znamená, že firma denne dostáva množstvá menších, či väčších zväčša neviditeľných „úderov” páchajúcich veľké škody. Preto vznikla oblasť, ktorej sa hovorí informačná bezpečnosť. Od začiatku však bola väčšinou ľudí čiastkovo zle chápaná ako technický, či technologický problém. Niežeby to nebol problém, veď bezpečnosť informačných systémov a informačných technológií (IS a IT) sa ako čiastková oblasť v súčasnosti najrýchlejšie vyvíja, ale informačná bezpečnosť je o komplexnej ochrane informácií, kde patrí aj fyzická a objektová bezpečnosť, personálna bezpečnosť a administratívna bezpečnosť. Z dôvodu mylného chápania informačnej bezpečnosti preto u mnohých firiem neexistuje procesno-analytický manažérsky systém, ktorý by všetky tieto incidenty efektívne sledoval, sumarizoval, vyhodnocoval, a tým riadil a kontroloval bezpečnosť firemných informácií. Výsledkom je, že manažment firiem nevie dostatočne presne aká je účinnosť jednotlivých opatrení, a tým sú často implementované nedostatočne efektívne ochranné opatrenia, často neexistujú presné zodpovednosti a právomoci, kontrola a postihovanie.

2. ČO JE TO SMIB?
SMIB - Systém manažmentu (riadenia) informačnej bezpečnosti je podľa BS 7799 (ďalej len BS) časť celkového systému riadenia, založená na prístupe k riziku podniku, ktorej úlohou je zaviesť, implementovať, prevádzkovať, monitorovať, revidovať, udržiavať a zlepšovať informačnú bezpečnosť.

Problém budovania a certifikovania systému riadenia informačnej bezpečnosti v poslednom období dosiahol medzinárodné dimenzie, čo dokazuje aj fakt, že britský štandard bol s malými úpravami prevzatý do sústavy štandardov ISO/IEC.

Vo svete je budovanie a certifikácia SMIB podľa ISO/IEC 17799 bežným pojmom, zatiaľ čo na Slovensku sa tento proces ešte len rozbieha. Niektoré firmy majú vcelku dobre zvládnutú infraštruktúru informačnej bezpečnosti, avšak založenú zväčša na subjektivite prístupov, úloh a zodpovedností. Firmám na Slovensku taktiež často chýba dostatočná motivácia, ktorá by posunula realizáciu informačnej bezpečnosti o krok vpred smerom k hierarchickému manažérskemu prístupu. Preto niet divu, že Slovenský pohľad je v tejto oblasti minimálne 4 - 6 rokov pozadu oproti krajinám EÚ, čo je vo svete informačnej bezpečnosti doslova priepastná zaostalosť.

3. VÝCHODISKÁ MANAŽMENTU PRI ROZHODOVANÍ O ZAVEDENÍ SMIB
Manažmentu firmy ide predovšetkým o dlhodobú prosperitu a stabilitu organizácie. Je len na nás, ako ich presvedčíme, že SMIB je pozitívnym prvkom vízie firmy. Iste niet divu, že narazíme na všadeprítomný finančný problém. Potrebujeme preto argumenty so širšou súvislosťou viacerých pozitív premietnutých do ekonomických dopadov na fungovanie organizácie.

Negatívne východiská manažmentu:

  • Manažment chce vidieť výsledky, nie priebeh procesu.
  • Manažment bude vždy skeptický k veciam bez hmatateľného (exaktne merateľného) výsledku, ktoré navyše zaťažujú rozpočet firmy. Taktiež neexistencia voľne dostupnej štatistiky vývoja aktuálnych rizík vnútorného a externého komunikačného prostredia na Slovensku vždy podnecuje ku skeptickému postoju k otázkam riešenia informačnej bezpečnosti.
  • Manažment reálne poskytuje len nutne potrebné realizačné sily a prostriedky a žiada maximalizáciu výkonov a pozitívnych výsledkov.

Pozitívne východiská manažmentu:

  • Kvalitatívne sa zvyšujú požiadavky na zahraničné zakázky. V súčasnosti už často žiada zadávateľ o certifikáciu SMIB. V krajinách EÚ a vo svete je situácia v oblasti SMIB ďaleko popredu a rýchlo napreduje.
  • Existenčná závislosť firmy na budovaní a certifikácii SMIB je tým vyššia, čím zložitejšie a obsiahlejšie je spracovanie dôležitých firemných informácií.
  • Predpokladaný vývoj u nasledovných položiek bude stúpajúci v čase (z dlhodobého hľadiska niekde aj exponenciálne):
    • Komplexný nárast slabín zvyšovaním:
      • závislosti firmy na spracovaní a prenose informácií,
      • podielu strojovo (PC, servery, výp. strediská) spracovaných a prenášaných (LAN, WAN) informácií,
      • zložitosti systémov,
      • objemu komunikácie, zväčšovania priepustnosti komunikačných kanálov,
      • nárokov na vzdelanie obsluhy a obslužný čas,
    • Komplexný nárast hrozieb zvyšovaním:
      • kombinácií sofistikovaných útokov a hrozieb, z toho enormný nárast motivácie u úmyselných hrozieb,
      • potenciálnej ničivosti útokov,
  • Zákonné legislatívne požiadavky spracovania informácií (spomenuté sú len niektoré základné):
    • Utajované skutočnosti (US) >> čiastkový projekt (certifikácie priemyselnej bezpečnosti) vyplýva zo zákona o ochrane US a jeho vykonávacích predpisov,
    • Osobné údaje (OÚ) >> čiastkový projekt (tvorby bezpečnostnej dokumentácie) vyplýva zo zákona o ochrane OÚ,
    • Archív a registratúra >> vytvorenie adekvátneho systému bezpečnosti vyplýva zo zákona [6],
  • Ďalšie výhody budovania a certifikácie SMIB:
    • Externé konkurenčné výhody:
      • Certifikáciou SMIB zvyšujeme imidž a osobnú prestíž na trhu, u zákazníkov, dodávateľov, odberateľov a širokej verejnosti, čo prospieva dlhodobej stabilite a prosperite firmy,
      • SMIB poskytuje zrýchľovanie rastu konkurenčnej schopnosti organizácie,
      • SMIB napomáha odstráneniu prístupových bariér ku svetovým aj domácim trhom,
    • Interné organizačné výhody:
      • zvýšenie produktivity činnosti pozitívnou efektivitou motivácie, vzdelanosti, monitoringu, kontroly a sankcií,
      • zníženie počtu a účinnosti rizík a z nich vyplývajúcich incidentov, čím sa redukujú náklady na chyby,
      • optimalizácia a zefektívnenie plánovania investícií do IS aIT,
      • objektívnejšie vyhodnocovanie a ochrana firemného know-how,
  • Certifikácia bude onedlho figurovať v trhových požiadavkách predstavujúcich rozvinutosť efektívnej funkčnosti konkurencieschopnosti firmy podobne ako certifikácia kvality podľa ISO 9001, či 14001.
  • Poučenie sa z vlastných chýb: Jedným z posledných najkritickejších spôsobov presvedčenia je poukazovanie na vlastné veľké bezpečnostné incidenty. Často bývajú jediným spôsobom „prebudenia” sa manažmentu, vzhľadom k tomu, že každým jedným incidentom môže ísť o existenciu firmy.

4. ZÁKLADNÉ VZŤAHY SMIB
4.1 ZÁKLADNÉ PREMISY
4.1.1 ČO SPRACÚVAME A CHRÁNIME?
Chránime informačné aktíva v informačných systémoch. Každá organizácia, ktorá chce podstatne zvýšiť svoju informačnú bezpečnosť, si musí utvoriť adekvátny názor na svoje informačné aktíva, zhodnotiť ich význam a zaujať postoj k ich ochrane.

Informačným systémom sú chápané akékoľvek hmotné a nehmotné objekty, ktoré sú cielene vyberané alebo vytvorené a vzájomne cielene poprepájané za účelom zberu, výmeny, spracovania, uchovania, generovania a distribúcie informácií a údajov vo vopred definovanej štruktúre a čase, a to za účelom výkonu rozhodnutí, podpory rozhodovania a informovanosti.

Informačné aktíva sú pritom všetky spracovávané informácie, prostriedky a osoby spracovania, príp. všetko ostatné, čo plní istú funkciu v procese spracovania informácií. Pri projektovom riešení informačnej bezpečnosti sa vždy jedná o skupinu aktív v rámci jedného komplexného systému. Príklady informačných aktív spoločnosti:

  • Spracovávané informácie
    • Samotné spracované informácie a ich ekonomická, právna hodnota:
      • výskumné a vývojové práce, projektová dokumentácia, analýzy, …
      • osobné údaje podľa zákona [1],
      • utajované skutočnosti podľa zákona [2] a jeho vykonávacích predpisov.

Spracovanie informácií: je každá manipulácia s informáciami od jej vzniku až po jej likvidáciu ako je zber, tvorba, spracovanie, kopírovanie,

rozmnožovanie, prenos a likvidácia.

  • Know-how:
    • Existujúci know-how spracovania informácií:
      • pracovné postupy, technológie spracovania, špecifické metódy spracovania,
      • centrálne databázy pomocných údajov, systémová dokumentácia,
      • používateľské manuály, zácvikové materiály,
      • prevádzkové, alebo podporné procedúry, plány kontinuity anáhradné postupy,
    • Potenciálny know-how personálu:
      • personál spracovania informácií,
      • obslužný personál,
      • riadiaci personál.
    • Komplexný know-how firmy použitý pri spracovaní informácií:
      • výsledky výskumu a vývoja,
      • informácie o obchodných partneroch,
      • odmeňovanie zamestnancov,
      • image, povesť,
      • ekonomické a obchodné tajomstvo: ekonomické a obchodné správy a zhodnotenia,
  • Fyzické aktíva:
    • HW (servery, PC, periférne zariadenia - tlač., skenery, kopírky, zálohovacie jednotky…)
    • Nosiče informácií (pevné disky, kompaktné disky, pásky, flash pamäte a pam. karty, pap. dokumenty, …),
    • Komunikačné a prenosové linky a zariadenia (tel. a tel. linky, faxy, odkazovače, TCP/IP sieťové linky, smerovače, prepínače, FW, antény, komunikátory, modemy, …)
    • Podporné zariadenia: (napájacie zdroje, klimatizačné jednotky)
  • Software:
    • SW (systémový, aplikačný, vývojové nástroje a pomocné utility, zdrojové knižnice programov, databázové systémy, …),
    • Prevádzkové vplyvy komunikačných systémov na sledovaný systém a závislosť systému na nich (internet, intranet, e-mail, tel. a faxové spojenie, rozhlas, televízia, …)

4.1.2 PRED ČÍM CHRÁNIME?
Všeobecne sa dá povedať, že chránime informačné aktíva spoločnosti pred hrozbami, ktoré sa využitím slabiny informačného systému transformujú na riziká. Aktivované riziko potom spôsobuje stratu dôvernosti, dostupnosti prípadne integrity informácie, ako základných bezpečnostných atribútov informácie. Tieto bezpečnostné atribúty sú pritom často kľúčové pre udržanie konkurenčných výhod, cash-flow, ziskovosti, imidžu firmy a legislatívnych požiadaviek.

Hrozba je podľa BS potenciálna príčina nežiadúceho incidentu, ktorý môže mať za následok poškodenie systému alebo organizácie. Predstavuje schopnosť okolitého prostredia negatívne ovplyvniť, alebo napadnúť systém a tým ohroziť dôvernosť, dostupnosť, autenticitu, alebo integritu osobných údajov.

Pr.: Hrozby, hlavne sieťového (interného, externého) charakteru majú v súčasnosti stále rýchlejší a silnejší negatívny dopad. Stáva sa, že jedna aktivovaná hrozba dokáže v priebehu pár hodín zničiť celú komunikačnú infraštruktúru firmy.

Dôvernosť je podľa BS vlastnosť, že informácia nie je dostupná alebo prístupná neautorizovaným jednotlivcom, entitám, alebo procesom.

Dostupnosť je podľa BS zaistenie toho, že autorizovaní používatelia majú prístup k informáciám a s nimi spojeným aktívam vtedy, keď je to potrebné.

Integrita je podľa BS zabezpečenie presnosti a komplexnosti informácií a metód spracovania.

Slabiny (zraniteľnosť) pritom predstavujú vnútornú vlastnosť systému, ktorá je vlastne nedokonalosťou samotného systému a jeho zabezpečenia. Podľa BS zraniteľnosti zahrňujú slabé miesta aktíva, alebo skupiny aktív, ktoré môžu byť využité hrozbou.

4.2 KOMPLEXNÉ PREMISY SMIB

  • Informačná bezpečnosť je nikdy nekončiaci kontinuálny proces plánovania, zavádzania, implementácie, monitoringu a kontroly bezpečnosti jednotlivých informačných systémov, pričom v ktoromkoľvek bode sa pri nesúlade možno vrátiť späť a požadované procesy opakovať.
  • SMIB je definovaný nasledujúcim základným PDCA (Plan-Do-Check-Act) modelom plánovania, vykonávania, kontrolovania a pôsobenia na komplexnú informačnú bezpečnosť firmy uvedeným v BS.

  • Bezpečnosť systému spracovania informácií je taká silná, aká je silná bezpečnosť najslabšieho článku tohto systému. Táto téza platí na všetky fyzické, objektové prvky, HW, SW, komunikačné linky, ale aj personál systému.
  • Existuje štatistický pomer informačnej bezpečnosti 80/20, ktorý vyjadruje percentuálny podiel vnútorných/vonkajších bezpečnostných incidentov. Z tohto dôvodu je nutné prehodnotiť prístup jednotlivcov k informáciám na základe predpokladu “musí nutne poznať (spravovať)”, prispôsobiť všetky opatrenia (fyzické, technické, systémové, …) manipulácie jednotlivcov s informáciami len na nevyhnutné chránené a kontrolované úkony.
  • Výsledky informačnej bezpečnosti sú len sťažka merateľné. Preto existujú kvalitatívne spôsoby vyhodnocovania informačnej bezpečnosti - analýzy rizík.
  • Informačná bezpečnosť sa týka všetkých sfér organizácie a jej zamestnancov, nie je to proces jednej osoby alebo sekcie. Nepotrestané nerešpektovanie bezpečnostných opatrení vedie k postupnej rezignácii a demoralizácii ostatných zamestnancov.
  • Nárast zložitosti systémov a závislosti firmy na IKSaT podnecuje nárast slabín systémov a hrozieb pre ne.
  • Pri riešení informačnej bezpečnosti firmy je zväčša potrebná servisná, príp. outsourcingová podpora externých špecializovaných organizácií, najmä tam, kde by bolo nasadenie vlastných zamestnancov z určitého dôvodu neefektívne. Vzťahy medzi každou externou firmou však musia byť príslušne ošetrené a kontrolované ich dodržiavanie.
  • Celý proces zavádzania informačnej bezpečnosti speje k certifikácii (vrcholový moment) SMIB podľa ISO/IEC27001 (nová verzia BS 7799-2).

5. AKO ZAVIESŤ SMIB (ISMS)?
Britský štandard je základným normatívnym dokumentom SMIB. Vzhľadom na rozsah IS a IT bezpečnosti v SMIB je táto oblasť samostatne zahrnutá v norme ISO/IEC TR 13335. Ak má byť SMIB efektívny a certifikovaný musí byť v súlade s týmito normami.

V súčasnosti prebieha normatívna úprava a transformácia SMIB. Britský štandard bude v jej priebehu zmenený na normu ISO/IEC 2700:0-5, čím sa rozšíria a upresnia jednotlivé oblasti štandardu. Nedôjde však k zásadným obsahovým zmenám štandardu.

5.1 VÝCHODISKO AKTIVÁCIE PROCESU RIADENIA IB - VYHLÁSENIE MANAŽMENTU
Aktivácia procesu nastáva tzv. „mentálnym krokom”, ktorý predstavuje uvedomenie si potreby SMIB manažmentom firmy. Manažment zväčša vyjadrí mieru ochoty zaoberať sa informačnou bezpečnosťou, orientáciu na dôležité informácie, alebo systémy, stanoví základné premisy a požiadavky a vyčlení nevyhnutné sily a prostriedky. Dané vyhlásenie je vhodné sústrediť vo všeobecne platnom štatúte informačnej bezpečnosti, alebo ako súčasť bezpečnostnej politiky informačnej bezpečnosti.

5.2 PERSONÁLNE ZABEZPEČENIE SMIB
V druhom rade je nutné vytvoriť odborné poradné fórum manažmentu v globálnych otázkach informačnej bezpečnosti firmy. Personálne zloženie fóra musí vždy zodpovedať riešeným problémom s účasťou príslušných prizvaných interných, príp. externých expertov - špecialistov na danú problematiku. V základnom zložení však musia byť:

  • bezpečnostný manažér celej organizácie,
  • špecialista na SMIB (pokiaľ existuje),
  • manažéri každého druhu bezpečnosti (IS aIT, fyzickej a objektovej, personálnej, administratívnej),
  • zástupca legislatívno-právnej oblasti a oblasti riadenia kvality,
  • podľa potreby externí konzultanti outsourcingových a servisných firiem.

Základom činnosti fóra je dostatok primeraných právomocí na realizáciu vytýčených úloh a aktívnu podporu rozhodovacieho procesu manažmentu firmy.

Fórum rieši úlohy v oblasti :

  • organizácie bezpečnosti, klasifikácie a riadenia aktív,
  • tvorby a realizácie bezpečnostných projektov,
  • monitoringu a kontroly bezpečnosti,
  • manažmentu kontinuity činnosti firmy,
  • oblasti súladu splatnou internou a externou legislatívou.

Kvalitná štruktúra špecializovaného obslužného a poradného personálu je závislá na efektívnom vyťažení špecialistov jednotlivých oblastí, ktoré zhodnotí bezpečnostný manažér celej organizácie a navrhne ho manažmentu. Musí pritom dodržať súlad medzi možnosťami organizácie a zároveň obslužnými, časovými a odbornými požiadavkami jednotlivých systémov.

5.3 GLOBÁLNA POLITIKA INFORMAČNEJ BEZPEČNOSTI
Základným východiskom vybudovania kvalitného SMIB vo firme je kvalitne spracovaná politika informačnej bezpečnosti vychádzajúca z predstáv manažmentu v oblasti informačnej bezpečnosti v kombinácii s výsledkami predbežnej analýzy rizík. Politika musí reflektovať požiadavky obchodnej politiky firmy, IT politiky firmy a zároveň je pod celkom globálnej bezpečnostnej politiky firmy. V politike musia byť stanovené:

  • východiská a ciele procesu budovania SMIB, a prostriedky na ich zvládnutie vyplývajúce z vyhlásení manažmentu,
  • základné požiadavky a štandardy bezpečnostnej politiky informačnej bezpečnosti,
  • definovanie všeobecných a špecifických povinností, zodpovedností a právomocí z hľadiska riadenia informačnej bezpečnosti, vrátane ohlasovania bezpečnostných incidentov.

Súbežne s tvorbou bezpečnostnej politiky prebieha tvorba predbežnej hrubej analýzy rizík, ktorej výsledky sa v bezpečnostnej politike prejavia:

  • stanovením základných informačných aktív spoločnosti a dôležitých IS rozhodujúcich pre konkurencieschopnosť a strategické smerovanie firmy,
  • špecifikáciou procesu informačnej bezpečnosti pre jednotlivé IS a ich aktíva,
  • stanovením predbežnej potreby zdrojov (sily, prostriedky, čas) a smerovania pri riešení dôležitých úloh vo vybraných kritických systémoch a oblastiach spracovania informácií.

V menších firmách a firmách s nižšou zložitosťou, príp. hĺbkou spracovania informácií sú samozrejme vyberané vždy adekvátne zdroje a prostriedky. Často sa stáva, že pre niektoré oblasti nie je efektívne vyčleniť interné sily, príp. prostriedky. Riešenie prostredníctvom externých zdrojov však musí podliehať sprísnenej kontrole a zmluvnej viazanosti a komplexné podmienky musia byť zakotvené už v bezpečnostnej politike.

5.4 BEZPEČNOSTNÉ PROJEKTY VYBRANÝCH CELKOV (SYSTÉMOV) SPRACOVANIA INFORMÁCIÍ - MANAŽMENT RIZÍK
Pre vybrané systémy (oblasti) špecifikované v bezpečnostnej politike sú vykonávané bezpečnostné projekty.

Postup pri bezpečnostných projektoch je pre niektoré druhy systémov stanovený zákonne (fyzická a objektová bezpečnosť US, bezpečnosť technických prostriedkov spracujúcich US, systémy spracovania OÚ), pri iných sa postupuje podľa ISO/IEC 13335-3. I tak sú postupy pri zákonne predpísaných projektoch výrazne podobné postupom uvedeným v spomenutej norme. V základných 3 bodoch je však postup vždy rovnaký:

  • Bezpečnostný zámer: kde je vyhodnotený vých.stav systému a stanovené požadované smerovanie bezpečnosti systému.
  • Analýza rizík systému: je podľa [5] proces identifikácie bezpečnostných rizík, stanovujúci ich závažnosť a identifikujúci oblasti, ktoré vyžadujú ochranné opatrenia. Existuje rôzny prístup k tvorbe analýz rizík. Existujú dokonca špecializované SW produkty na ich tvorbu. Východiskom sú však vždy základné vzťahy a postup uvedený na vedľajšom obrázku.
  • Bezpečnostná politika systému: globálne pravidlá bezpečnosti systému, stanovujúce základné východiská bezpečnosti, základné požiadavky na bezpečnú prácu so systémom a ciele bezpečnosti.
  • Plán bezpečnosti a smernice bezpečnosti systému: Opisujú špecifiká bezpečnej prevádzky systému, práva, povinnosti, zodpovednosti, distribúciu a prístup k informáciám. V závislosti od zložitosti a rozsiahlosti systému môžu byť poňaté ako samostatný dokument, alebo spolu s bezpečnostnou politikou systému.

5.5 IMPLEMENTÁCIA BEZPEČNOSTI
5.5.1 BEZPEČNOSTNÝ MONITORING A KONTROLA, CENTRALIZOVANÁ SPRÁVA
Jednotlivé systémy bezpečnosti musia mať svojich správcov. Každý správca musí na základe auditných systémových záznamov vykonávať zhodnotenie prevádzky bezpečnosti a incidentov. Dôležitým prínosom bezpečnostného monitoringu je centralizácia správy jednotlivých informačných zdrojov, čím dochádza k zvýšeniu prehľadnosti a sledovateľnosti spracovania informácií. Zjednoduší sa tým aj auditovanie systémových záznamov, ich prehľadnosť a archivácia.

V organizácii musia fungovať kontrolné mechanizmy na báze pozitívnej motivácie kontroly, dostatočných kontrolných oprávnení, štrukturalizácii systémovo-technickej a personálno-administratívnej kontroly. Všetky tieto mechanizmy musia byť presne a jasne zakotvené v dokumentácii každého systému spracovania informácií. Dôležitá je preto aj manažérsky orientovaná hierarchická personálna kontrola na jednotlivých úrovniach spracovania informácii vo firme s objektívnym vyhodnocovaním výsledkov, ktoré sú vždy predkladané a revidované na vyššom stupni riadenia.

5.5.2 VZDELÁVANIE A ZVYŠOVANIE BEZPEČNOSTNÉHO POVEDOMIA
Vzhľadom k tomu, že zamestnanci vnútri organizácie sú všeobecne považovaní za jeden z najslabších článkov, je táto oblasť veľmi často zanedbávaná a vyžaduje si špeciálny prístup. Vzdelávanie by preto malo prebehnúť na 3 úrovniach:

  • Manažérsko-organizačné vzdelávanie: zamerané na vzdelávanie v oblasti riadenia informačnej bezpečnosti tímov, riadenia rizík a manažérskych prístupov informačnej bezpečnosti. Školenie by malo byť vykonávané vrcholovými autoritami v oblasti informačnej bezpečnosti, aby kvalita informačnej bezpečnosti firmy bola efektívne hierarchicky rozširovaná až k najnižším článkom organizácie.
  • Personálno-bezpečnostné vzdelávanie: Účelom je dosiahnuť požadovanú úroveň bezpečnostného povedomia všetkých zamestnancov. Vychádza z bezpečnostnej politiky informačnej bezpečnosti. Môže byť vykonávané internými, príp. externými špecialistami na informačnú bezpečnosť. Každý jeden zamestnanec by mal byť od začiatku až po koniec pracovného vzťahu vedený k dostatočnej bezpečnostnej gramotnosti, mal by byť pozitívne motivovaný a vedený k bezpečnostnej zodpovednosti za svoju činnosť. Ďalej by mal byť presvedčený o tom, že bezpečnostné opatrenia sú pre chod systémov nutné a on ich musí akceptovať a vedieť bezpečne obsluhovať.
  • Technicko-odborné vzdelávanie: s rozdelením na zväčša externé administrátorské vzdelávanie, a interno-externé užívateľské vzdelávanie. Cieľom je osvojiť bezpečnostné návyky a postupy pri obsluhe jednotlivých systémov spracovania informácií.

5.5.3 PLÁNOVANIE KONTINUITY ČINNOSTI A PLÁNOVANIE OBNOVY PO HAVÁRII
Plánovanie kontinuity činnosti (Busines Continuity Planning) je podľa [8] proces, ktorého úlohou je navrhnúť a implementovať opatrenia a postupy, ktoré umožnia organizácii reagovať na negatívnu udalosť tak, aby kritické činnosti spoločnosti boli zachované s plánovanou úrovňou prerušenia. Súčasťou je plánovanie preventívnych (ak je možné) a reaktívnych opatrení na katastrofu tak, aby sa minimalizovali straty na úroveň, ktorú si spoločnosť môže dovoliť.

Plánovanie obnovy po havárii (Disaster Recovery Plannning) je podľa [8] proces, ktorý adresuje technologické aspekty plánovania kontinuity činností. Jedná sa väčšinou o plánovanie obnovy informačnej infraštruktúry (dátové toky a centrá).

Pre vybrané systémy a oblasti kritické pre existenciu firmy, príp. nutné pre zabezpečenie strategického smerovania je preto vhodné vytvárať havarijné plány a plány kontinuity podnikania. Potreba ich tvorby je často výsledkom rizikového manažmentu systémov. Tieto plány vytvárajú špecialisti v danej oblasti, pričom súčasne pravidelne kontrolujú a revidujú ich účinnosť.

5.5.4 AUDIT
Pre vyhodnotenie efektivity funkčnosti SMIB ako celku, ale aj jednotlivých samostatných systémov je nutné vykonávať pravidelné čiastkové a komplexné audity. Zdroje môžu byť interné, zložené zo zástupcov kvality a poradných špecialistov, ale aj externé. Výsledky z auditov musia byť posúdené manažmentom, čím sa vytvoria východiská pre revíziu funkčnosti jednotlivých bezpečnostných opatrení stanovených manažmentom rizík. Ak je vykázaný bezpečnostný nesúlad, musí byť proces preverený a zopakovaný od bodu, kde došlo k nesúladu, ako je to na nasledujúcej schéme.

6. AKO CERTIFIKOVAŤ SMIB?
Po komplexnom pozitívnom zhodnotení z interných auditov bezpečnosti všetkých systémov stanovených v komplexnej bezpečnostnej politike informačnej bezpečnosti je SMIB pripravený na certifikáciu.

Proces certifikácie má vo všeobecnosti 4 fázy [7]:

  • Príprava auditu: preverenie certifikačnou autoritou do akej miery je vykonanie certifikačného auditu možné na základe dotazníka,
  • Previerka dokumentácie SMIB: preverenie certifikačnou autoritou či a do akej miery je dokumentácia zhodná s normou,
  • Certifikačný audit:
    • plánovanie auditu,
    • vykonanie auditu,
    • dokumentovanie výsledkov auditu,
    • následný audit (ak sú nezhody).
  • Udelenie certifikátu a následná periodická kontrola prevádzkovania SMIB: Keďže certifikát má obmedzenú platnosť, je pochopiteľné, že certifikáciou sa celý proces nekončí, ale presúva do ďalšej fázy, ktorou je monitorovanie,kontrola a recertifikácia. Táto je vykonávaná vo fázach kontrolného a opakovacieho, príp. rozširovacieho auditu (audit nemusí byť vykonaný na všetky firemné oblasti, príp. systémy).

V prípade zistenia nezhody je v ktorejkoľvek fáze auditu žiadateľ upozornený na odstránenie nedostatkov do určitého termínu a pokračovanie auditu a konečné udelenie certifikátu je možné len pri odstránení všetkých nedostatkov.

ZÁVER
Aj keď si to možno neuvedomujeme, každá naša pracovná aktivita je spojená so spracovaním firemných informácií. Každá jedna informácia, menej či viac dôležitá je súčasťou jedného informačného celku, ktorý je neustále napádaný rôznymi hrozbami a tým je v konečnom dôsledku spôsobovaná reťazová reakcia oslabovania konkurencieschopnosti firmy. Nebolo by to však také zlé, keby sme si uvedomili, že tieto hrozby sú aktivované hlavne z dôvodu našej nevedomosti. A práve touto nevedomosťou sú vo firme neriadené systémy, štruktúry bez hodnotenia rizika, nedostatočne definované zodpovednosti a kontrolné opatrenia, ktoré sú bez účinnej aplikácie sankcií úplne neefektívne. A práve odstraňovanie uvedených nedostatkov a zvyšovanie efektivity bezpečnosti systémov ponúka proces budovania a certifikácie SMIB.

Proces budovania a certifikácie SMIB je v skutočnosti omnoho zložitejší a náročnejší a to v závislosti od zložitosti a náročnosti systémov spracovania informácií a firemnej závislosti na nich. Preto pre tých, ktorí sa bližšie zaujímajú o túto problematiku poslúžia na orientáciu nasledovné

LITERATÚRA

[1] Zákon NR SR č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov
[2] Zákon NR SR č. 215/2004 Z.z. o ochrane utajovaných skutočností + vykonávajúce predpisy
[3] BS 7799:2002: Britský štandard: Systémy riadenia informačnej bezpečnosti - Špecifikácia s radami na použitie
[4] BS ISO/IEC 17799: 2000: Britský štandard: Informačné technológie - Kódex praxe riadenia informačnej bezpečnosti
[5] ISO/IEC TR 13335 (1-4): Informačné technológie - Smernice pre riadenie bezpečnosti informačných technológií:
Časť 1: Poňatie a modely bezpečnosti IT
Časť 2: Riadenie a plánovanie bezpečnosti IT
Časť 3: Techniky pre riadenie bezpečnosti IT
Časť 4: Výber ochranných opatrení
[6] Zákon NR SR č. 395/2002 Z.z. o archívoch a registratúrach
[7] Zborník príspevkov z konferencie poriadanej SASIB: Informačná bezpečnosť ´06, príspevok: Certifikácia podľa štandardu ISO/IEC 27001 nemeckou certifikačnou spoločnosťou RWTŰV, Ing. Vratislav Palička
[8] Business Continuity Planning: Príručka manažéra, DSM - Tate International, s.r.o, 2004

Internetové zdroje: www.bsi-global.com/index.xalter , http://www.aexis.de/ , http://www.xisec.com/ , http://www.dsm.tate.cz/ , http://www.rac.cz/ , http://www.cpacsweb.com/, http://www.isaca.org/

Použité skratky:
BS - Britský štandard (British Standard)
EÚ - Európska únia (European Union)
FB a OB - Fyzická bezpečnosť a objektová bezpečnosť
FW - Firewall
IB - Informačná bezpečnosť (IS - Information security)
IKSaT - Informačné a komunikačné systémy a technológie (Information and Comunication Systems and Technology)
IS - Informačné systémy (Information Systems)
IT - Informačné technológie (Information Technology)
LAN - Local Area Network (Lokálna počítačová sieť)
OÚ - Osobné údaje (Personal Data)
SMIB, SRIB - Systém manažmentu (riadenia) informačnej bezpečnosti (ISMS - Information Security Management System)
TCP/IP - Transmision Control Protocol / Internet Protocol (sieťový prenosový protokol)
US - Utajované skutočnosti (Classified information)
WAN - Wide Areal Network (Rozľahlá počítačová sieť)

 

RSS feed for comments on this post

Comment spam protected by SpamBam

  • SK :: TBM dictionary


    Terminológia bezpečnostného manažmentu

  • Guarantors


     
     

  • Partners


     
     

Rexter

Securitaci

Sopciak.com - IT services