BEZPEČNOSTNÍ POLITIKY V ORGANIZACÍCH. Security policy in organizations

Transkript

1 BEZPEČNOSTNÍ POLITIKY V ORGANIZACÍCH Security policy in organizations Ing. Bc. Marek Čandík, Ph.D. Abstrakt Organizace mají širokou škálu možností, jak přispět k vlastní bezpečnosti Tvorba bezpečnostních politik v organizaci hraje významnou roli v řešení jejich bezpečnosti. Článek uvádí některé pohledy k tvorbě bezpečnostních politik v organizacích a uvádí některé zásady jejich tvorby. Klíčová slova: bezpečnost, bezpečnostní politika, bezpečnostní zásady. Abstract Organizations have a wide range of options to contribute to their own security. Creating security policies in an organization plays an important role in addressing their security. The article gives some insights into the formation of security policies in organizations and sets out some principles of their creation. Keywords: Security, security policy, security principles Úvod Bezpečnostní politika je dokument, který popisuje postupy, jimiž se daná organizace řídí, při plánování ochrany svých aktiv. Jedná se o tzv. živý dokument, tedy bezpečnostní politika není nikdy finální, ale měla by se provádět pravidelná aktualizace. Ke změnám by však nemělo docházet příliš často, což klade důraz na obecný charakter obsahu. Bezpečnostní politika musí být 1

2 aktualizována, aby nedocházelo ke stárnutí informací. Doporučuje se provádět aktualizaci v pravidelných intervalech a pokaždé, když nastane významná změna v organizaci. Během aktualizace by měla být zvážena také možnost zlepšení bezpečnosti informací. Za tvorbu a aktualizaci by měl být zodpovědný pracovník, který byl stanoven vedením organizace. (Stavjaňová, 2012). Východiskem pro tvorbu bezpečnostní politiky je zejména: Bezpečnostní průzkum - Cílem bezpečnostního průzkumu je zjistit co nejvíce vlivů, které by organizaci mohly buď ohrožovat, nebo ji naopak poskytovat příznivé podmínky k jejím aktivitám. Identifikace rizik - Riziko je obecně budoucí, a proto nejistá událost, která může mít nepříznivý účinek na ziskové činnosti podniku, tedy na snížení zisku nebo zvýšení ztráty. Bezpečnostní politiky jsou nejvyšší úrovní formalizovaných bezpečnostních dokumentů. Tyto dokumenty na vysoké úrovni nabízejí obecné vyjádření o aktivitách organizace, a jakou úroveň ochrany by měly mít. Dobře napsané politiky by měly uvést, kdo je zodpovědný za bezpečnost, co je třeba chránit a jaká je přijatelná úroveň rizika. Jsou podobně jako strategický plán, protože načrtávají, co je třeba udělat - ale konkrétně neřídí, jak dosáhnout stanovených cílů. Bezpečnostní politiky mohou být psány s ohledem na poradenské, informační a regulační potřeby. Každý má jedinečnou roli nebo funkci. Dobrá politika dosahuje rovnováhy a je relevantní a srozumitelná. Je-li zásada příliš obecná, nikdo se nestará o to, co říká, protože se na společnost nevztahuje. Jeli politika příliš složitá, nikdo ji nebude číst - nebo pochopit, pokud ano. Klíčovým prvkem v bezpečnostní politice je to, že by měl uvést záměr vedení vůči bezpečnosti. Z hlediska účelu vedení bezpečnostní politiky se rozlišuje: Poradenská politika (advisory policy)- Úkolem je zajistit, aby všichni zaměstnanci poznali důsledky určitého chování a jednání, např. neoprávněné kopírování: zaměstnanci by nikdy neměli stahovat ani instalovat žádný komerční software, shareware nebo freeware na žádné 2

3 síťové jednotky nebo disky, pokud nemají písemné povolení od správce sítě. Uživatele musí být připraveni za své aktivity, včetně ztráty síťových oprávnění, písemného napomenutí, nebo i ukončení pracovního poměru, pokud jsou porušena pravidla pro odpovídající použití. Informační/informativní politika (informative policy) - Tento typ zásad není navržen s ohledem na prosazování zásad bezpečnosti, ale je určen pro vzdělávání. Jeho cílem je informovat a osvětlit zaměstnancům principy bezpečnosti, Regulační politika (regulátory policy) - Tyto zásady se používají k zajištění toho, aby organizace dodržovala místní zvyklosti, normy a zákony. Standardy/Normy Standardy (resp. normy) jsou mnohem specifičtější než zásady. Standardy jsou taktické dokumenty, protože stanovují konkrétní kroky nebo procesy potřebné pro splnění určitého požadavku. Jako příklad by standard mohl stanovit povinný požadavek, aby byla veškerá ová komunikace šifrována. Takže ačkoli to specifikuje určitý standard, nevysvětluje, jak to má být provedeno. To je ponecháno pro tzv. postupy. Základní úroveň (Baselines) - Základem je minimální úroveň zabezpečení, kterou musí systém, síť nebo zařízení dodržovat. Základní linie jsou obvykle mapovány podle průmyslových standardů. Jako příklad může organizace určit, že všechny počítačové systémy splňují minimální standard pro testování spolehlivosti počítačového systému. Pokyny (guideline) - Pokyny poukazují na vyjádření v zásadách nebo postupech, kterými lze určit konkrétní postup. Je to doporučení nebo návrh, jak by se měly věci dělat. Měl by být flexibilní, aby mohl být přizpůsoben pro individuální situace. Je zapotřebí dbát na to, aby se nezaměňovaly pokyny s osvědčenými postupy. Zatímco pokyny se používají k určení doporučeného postupu, osvědčené postupy se používají k posouzení odpovědnosti. Osvědčené postupy uvádějí, co by jiní příslušní odborníci v oblasti bezpečnosti prováděli ve stejné nebo podobné situaci. 3

4 Postupy - Postup (procedure) je nejspecifičtější z bezpečnostních dokumentů. Postup je podrobný, detailně zpracovaný (krok za krokem) dokument, který podrobně popisuje, co je potřeba udělat. Postupy jsou vázány na konkrétní technologie a zařízení (viz obrázek 3.4). Měli bychom očekávat, že v případě, že dojde ke změně technických prostředků a zařízení, změní se postupy (protože se zařízení změní). Je nešťastné, když se politiky a postupy vyvíjejí jako výsledek negativní události nebo auditu. Audit nebo zásady by neměly být procesem řízení, hodnocení ano. Cílem hodnocení je poskytnout vedení nástroje potřebné ke zkoumání všech aktuálně zjištěných obav. Z tohoto hlediska může management upřednostňovat úroveň expozice, která je přiměřená a vyhovující a zvolit vhodnou úroveň kontroly. Tato úroveň kontroly by pak měla být zahrnuta do politiky. Obr.1 Struktura politiky. 4

5 Implementace Nelze implementovat to, co vrcholový management nepodporuje. Je vhodné, aby se zaměstnanci do procesu implementace bezpečnostních politik zapojili, ale největší prvek úspěchu závisí na tom, jaké jsou komunikační a bezpečnostní toky seshora. Díky tomu, že vedoucí pracovníci vedou cestu, lze dále zajistit úspěch nastavením schématu klasifikace dat tak, aby si zaměstnanci uvědomili důležitost údajů, s nimiž pracují. Proto je zapotřebí do implementace zahrnout také školení zaměstnanců. Posledním krokem je nastavení bezpečnostních kontrol, protože bezpečnostní kontroly umožní sledovat úroveň souladu implementovaných postupů s definovanými politikami. Klasifikace dat Informace v organizacích, které jsou majetkového nebo důvěrného charakteru, musí být chráněny. Klasifikace dat je užitečným nástrojem pro zařazení informačních aktiv organizací. K nejběžnějším systémům klasifikace dat patří třídění dat na neveřejné a veřejné. Organizace ukládají a zpracovávají množství elektronických informací o svých zákaznících a zaměstnancích, proto je pro ně důležité, aby přijaly vhodná opatření k ochraně těchto informací. Systémy klasifikace neveřejných i soukromých datových klasifikací naplňují tento cíl tím, že zařazují informace do kategorií. Prvním krokem tohoto procesu je zhodnocení hodnoty informací. Když je tato hodnota známá, je mnohem jednodušší rozhodnout, jaké množství prostředků by mělo být použito k ochraně dat. Nemá smysl utrácet více finančních prostředků na ochranu něčeho s malou hodnotou. 5

6 Každá úroveň klasifikace, by měla mít specifické požadavky a postupy. Pokud organizace se rozhodne klasifikovat data, může jako kritéria hodnocení použít následující atributy: Hodnota (cena) dat věk (stáří) dat Zákony Předpisy týkající se zveřejnění dat Náklady spojené s ochranou Na základě uvedených atributů lze data rozdělit např. na šest úrovní klasifikace: Nezařazená data veřejná data neveřejná data Důvěrná data Citlivá data Tajemství (např. know-how) Každá úroveň představuje rostoucí úroveň citlivosti. Citlivost je požadovaný stupeň utajení, které by informace měly zachovat. Pokud má jednotlivec povolení přístupu k důvěrným informacím, znamenalo by to, že by mohl přistupovat k nezařazeným, veřejným, ale i neveřejným nebo důvěrným informacím, o kterých má potřebu vědět. Jeho potřeba vědět by se nevztahovala na data citlivé nebo tajné úrovně. 6

7 Klasifikace veřejných nebo komerčních dat je založena např. na 4-úrovňovém modelu: Veřejná data - tyto informace nemusí být zveřejněny, ale pokud ano, neměly by způsobit žádné škody. Citlivá data - Tyto informace vyžadují vyšší úroveň ochrany, aby nedošlo ke ztrátě důvěrnosti. Soukromá data - Tyto informace jsou určeny pouze pro společnost a jejich zpřístupnění by společnosti poškodilo. Důvěrná data - Toto je nejvyšší úroveň citlivosti a zveřejnění by mohlo společnosti způsobit mimořádné škody. Role a zodpovědnost Stejně jako je důležitá klasifikace dat, je důležité poskytnout jasné rozdělení rolí a odpovědnosti. Bude to obrovská pomoc při řešení všech bezpečnostních problémů. Pod tuto politiku by se měli spadat všichni, včetně zaměstnanců, konzultantů, externích subjektů atd. Mezi běžné role v oblasti organizační bezpečnosti patří vlastník, správce údajů, uživatel a auditor bezpečnosti: Vlastník/Majitel dat (data owner) - obvykle člen vrcholového managementu (vrcholový management je odpovědný za tento majetek, a pokud je ohrožen, je za to zodpovědný). Vlastník údajů může delegovat některé každodenní povinnosti, ale nemůže přenést úplnou odpovědnost veškerá odpovědnost padá nakonec na vrcholový management. Správce údajů (data custodian) - obvykle je to zaměstnanec IT oddělení. Správce údajů neurčuje, jaké kontroly jsou potřebné, ale provádí kontroly jménem vlastníka údajů. Další odpovědnosti zahrnují každodenní správu majetku. Řízení přístupu, přidávání a odstraňování oprávnění pro jednotlivé uživatele a zajištění toho, aby byly provedeny správné kontroly, jsou součástí denních úkolů správce dat. 7

8 Uživatel (user) - je to role konečného uživatele v organizaci. Uživatelé mají odpovědnost: Musí naplňovat požadavky stanovené v zásadách a postupech, musí také vykonávat náležitou péči (náležitá péče je péče, kterou by obyčejná rozumná osoba vykonávala za stejných nebo podobných okolností). Auditor bezpečnosti (security auditor) - Jedná se o osobu, která zkoumá bezpečnostní postupy a mechanismy organizace. Jak často se tento proces provádí, závisí na odvětví a souvisejících nařízeních. Bez ohledu na odvětví by měl vrcholový management dokumentovat a schvalovat proces auditu. Bezpečnostní kontroly Cílem bezpečnostních kontrol je prosadit bezpečnostní mechanismy, které organizace vyvinula. Bezpečnostní kontroly mohou být administrativní, technické nebo fyzické. S účinnými kontrolami se mohou rizika a zranitelnosti snížit na přijatelnou úroveň. K ochraně důvěrnosti, integrity a dostupnosti jsou zavedeny bezpečnostní kontroly: Administrativní kontroly se skládají z politik, postupů, pokynů a základních údajů, které organizace vyvíjí. Administrativní kontroly zahrnují také mechanismy zavedené k prosazování a kontrole činnosti a přístupu zaměstnanců, jako jsou: Prověrka žadatele (applicant screening) - Cenná kontrola, která by měla být použita během procesu náboru. Kontroly na pozadí, referenční kontroly, ověření vzdělávacích záznamů by měly být součástí procesu screeningu. Zaměstnanecké kontroly (employee controls) - Další užitečný mechanismus, který může do hloubky doplnit obranu do administrativní kontroly organizace. Některé běžné kontroly zaměstnanců obsahují podrobné popisy práce s definovanými úlohami a povinnostmi. Jedná se o postupy, které vyžadují rotaci povinností, přidání dvojí kontroly a povinné dovolené. 8

9 Ukončovací řízení (termination procedures) - forma administrativní kontroly, která by měla být zavedena k řešení ukončení zaměstnanců. Postupy ukončení by měly zahrnovat výstupní rozhovory, pozastavení přístupu k síti a kontrolní seznamy, které ověřují, že zaměstnanci vrátili veškeré vybavení, které měli v péči, jako jsou klíče, průkazy, mobilní telefony, pagery, Notebooky a software. Technické kontroly jsou logické mechanismy, které slouží k řízení přístupu, ověřování uživatelů, identifikace neobvyklé činnosti a omezení neoprávněného přístupu. Některá zařízení používaná jako technické ovládací prvky zahrnují brány firewall, systémy IDS a autentizační zařízení, jako je biometrie. Technické kontroly mohou být hardware nebo software. Fyzické kontroly jsou ovládací prvky, které jsou nejčastěji viditelné. Příklady fyzických kontrol zahrnují brány, stráže, ploty, zámky, kamerové systémy, turnikety. Protože tyto ovládací prvky lze vidět, je důležité si uvědomit, že se lidé mohou pokoušet najít způsoby, jak je obejít. Závěr Bezpečnostní politiky jsou dokumenty, které na vysoké úrovni nabízejí obecné vyjádření o aktivitách organizace a uvádí, co je třeba chránit a jaká je přijatelná úroveň rizika. Současně načrtávají, co je třeba udělat a jak dosáhnout stanovených cílů. Článek prezentuje některé principy a postupy tvorby bezpečnostních politik v organizacích. Literatura Risk assessment do s and don ts - T-SOFT. Analýza rizik - Security Resources and Services - Security Stavjaňová, M. Bezpečnostní politika a řízení rizik v organizaci. Zlín: UTB Zlín,