Bankovní institut vysoká škola Praha Bezpečnostní rozhraní mezi informačními systémy Bakalářská práce Zbyněk Marx Červenec, 2009
Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Bezpečnostní rozhraní mezi informačními systémy Bakalářská práce Autor: Zbyněk Marx Informační technologie, Správce IS Vedoucí práce: Ing. Vladimír Beneš Praha Červenec, 2009
Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a s pouţitím uvedené literatury. V Praze dne 11. 7. 2009 Zbyněk Marx
Poděkování: Na tomto místě bych rád poděkoval panu Ing. Vladimíru Benešovi za hodnotné rady, zajímavé podněty a pomoc při psaní této bakalářské práce.
Anotace První část bakalářské práce uvádí čtenáře do oblasti ochrany informací v informačním systému, druhá pak podrobněji rozebírá problematiku analýzy rizik. Ve třetí, neobsáhlejší části, je probírána organizace bezpečnosti, klasifikace informací, stanovení vlastníků informací, bezpečnostní opatření a nejpouţívanější bezpečnostní rozhraní. Samotný závěr třetí kapitoly přináší pohled na problematiku bezpečnosti zaměstnanců a sociálního inţenýrství. Čtvrtá, poslední část, shrnuje výsledek bakalářské práce. Annotation First part baccalaureate work features reader to the save area information in information system, second then in more detail construes problems risk analysis. In third, inextensive parts, is mull over organization security factor, classification information, assesment owner information, security procuration and most widely used security interface. End third chaps bears view of problems safeness employees and social engineering. Fourth, last part, summarises result baccalaureate work.
Obsah ÚVOD... 7 1. BEZPEČNOSTNÍ SYSTÉM... 8 1.1. INFORMACE A BEZPEČNOST... 8 1.1.1. Rozdělení informací z pohledu společnosti... 9 1.1.2. Proč chránit informace... 9 1.1.3. Co znamená zabezpečení informací... 9 1.1.4. Informační systém... 10 1.1.5. Systémové řešení bezpečnosti... 10 2. VÝČET RIZIK... 14 2.1. STANOVENÍ HRANICE ANALÝZY RIZIK... 15 2.2. IDENTIFIKACE AKTIV... 15 2.3. OHODNOCENÍ AKTIV... 15 2.4. SESKUPENÍ AKTIV... 17 2.5. IDENTIFIKACE HROZEB... 17 2.6. ROZDĚLENÍ HROZEB... 18 2.7. ANALÝZA HROZEB... 18 2.8. STANOVENÍ MÍRY RIZIK... 19 2.9. ZPRÁVA O ANALÝZE RIZIK... 21 3. STANOVENÍ BEZPEČNOSTNÍ POLITIKY... 22 3.1. ORGANIZACE BEZPEČNOSTI... 23 3.1.1. Bezpečnostní funkce... 23 3.1.2. Bezpečnostní procesy... 23 3.1.3. Bezpečnostní pravidla při outsourcingu... 25 3.1.4. Výčet nedostatků v organizaci a řízení bezpečnosti... 26 3.2. KLASIFIKACE INFORMACÍ... 27 3.2.1. Model klasifikace informací... 27 3.2.2. Klasifikace informací z pohledu důvěrnosti... 28 3.2.3. Klasifikace informací z pohledu integrity... 29 3.2.4. Klasifikace informací z pohledu dostupnosti... 30 3.3. STANOVENÍ VLASTNÍKŮ INFORMACÍ... 31 3.4. BEZPEČNOSTNÍ OPATŘENÍ... 34 3.4.1. Řízení a zabezpečení informačního systému... 36 3.4.2. Řízení přístupu k informacím... 39 3.4.3. Vývoj částí informačního systému... 39 3.4.4. Fyzická bezpečnost... 40 3.4.5. Personální bezpečnost... 40 3.4.6. Kontinuita podnikání... 44 3.4.7. Soulad s právem a legislativou... 45 3.4.8. Monitorování a audit informačního systém... 46 3.5. VÝČET BEZPEČNOSTNÍCH ROZHRANNÍ... 48 3.5.1. Firewally... 48 3.5.2. Intrusion Detection System (IDS)... 52 3.5.3. Intrusion Prevention System (IPS)... 53 3.5.4. Kryptografické nástroje... 54 3.6. ZAMĚSTNANEC: BEZPEČNOSTNÍ ROZHRANNÍ ČI HROZBA?... 58 3.6.1. Sociální inženýrství... 65 4. ZÁVĚREČNÉ ZHODNOCENÍ... 69 POUŽITÁ LITERATURA... 70 SLOVNÍK ODBORNÝCH TERMÍNŮ... 71
Úvod Cílem práce je probrání nejpouţívanějších bezpečnostních rozhranní a vyzdvihnutí těch nejvíce efektivních a nejdůleţitějších. První kapitola, nazvaná Bezpečnostní systém, se hned v úvodu pouští do rozboru informací z pohledu firmy. Rozčleňuje informace do jednotlivých oblastí, zdůvodňuje ochranu informací a osvětluje základy zabezpečení informací. Ve své druhé polovině zasazuje informace do kontextu s informačním systémem a následně i se systémovým řešením bezpečnosti. Druhá kapitola, jak napovídá samotný její název Výčet rizik, se zaobírá celým průběhem analýzy rizik. Od stanovení hranice analýzy, přes analýzu hrozeb, aţ po závěrečnou zprávu. Obsáhlá třetí kapitola, nesoucí titulek Stanovení bezpečnostní politiky, se dále dělí do šesti podkapitol, kde jsou probírány v rámci Organizace bezpečnosti bezpečnostní funkce, procesy a pravidla, následuje Klasifikace informaci z pohledu důvěrnosti, integrity a dostupnosti, první trojici podkapitol uzavírá Stanovení vlastníků informací. Čtvrtá podkapitola, Bezpečnostní opatření, pak konkrétně probírá osm hledisek ochrany informací, pátá čítá seznam technických bezpečnostních rozhranní, poslední podkapitola probírá problematiku bezpečnosti zaměstnanců a sociálního inţenýrství. Závěrečná kapitola shrnuje zjištěné výsledky. 7
1. Bezpečnostní systém Aby mohla firma úspěšně prosperovat, musí efektivně vyuţívat znalosti, kterými konkurence nedisponuje. Veškeré znalosti uţívané při řízení společnosti lze nazvat informacemi neboli nehmotnými aktivy, která patří mezi nejdůleţitější konkurenční výhody na trhu. Proto se firmy snaţí pomocí analytického zpracování vyuţít informace co nejefektivněji. Informace uţívané společností patří mezi její nejcennější aktiva, poněvadţ informace jsou pro ni v drtivé většině případů nepostradatelné a mnohdy i ţivotně důleţité. Z podstaty důleţitosti informací pro společnost pramení potřeba jejich ochrany a zabezpečení. Zabezpečením informací společnost sniţuje moţnost znehodnocení nebo poškození významných aktiv společnosti. 1.1. Informace a bezpečnost Úspěšná realizace zabezpečení elektronických informací ve firmě je podmíněna tím, aby se řídící pracovníci a zaměstnanci seznámili alespoň se základy uvedené problematiky, uvědomili si nezbytnost řízení bezpečnosti v zájmu prosperity firmy a podporovali řešení bezpečnostní problematiky. Avšak ochrana elektronických informací a zabezpečení informačních systémů je v současnosti v mnoha obchodních firmách na nízké úrovni. Změny pohledu pracovníků často zůstávají pozadu za rychle se měnící technikou. Mnoho manaţerů a specialistů stále postrádá potřebné informace o procesu zabezpečení informací a řešení bezpečnostní problematiky ve firmě se vyhýbá, pověřují tím raději jiné pracovníky apod. Zavádění bezpečnosti ve firmě přináší finanční náklady, ale nikoliv okamţitý přímý zisk. Často je úspěšnost manaţerů společnosti hodnocena podle toho, zda dosáhnou dílčích stanovených cílů v krátkém čase s minimálními náklady. Tento přístup hodnocení pak mnohé vedoucí pracovníky vede k odkládání řešení bezpečnostní problematiky na pozdější dobu" a k dílčímu a nekoncepčnímu řešení bezprostředně po výskytu bezpečnostních incidentů. Avšak zajištění bezpečnosti elektronických informací je jednou z podmínek dosaţení ziskovosti a konkurenceschopnosti organizace, plnění zákonných povinností a vybudování dobrého jména společnosti. Zabezpečením elektronických informací společnost redukuje moţnost znehodnocení nebo poškození jedněch z nejdůleţitějších aktiv společnosti, na kterých je navíc závislá její činnost. 8
1.1.1. Rozdělení informací z pohledu společnosti Informace lze rozdělit podle několika hledisek. Z pohledu firmy na pět typů informací: a) interní informace společnosti (strategické plány) b) interní znalosti (know-how), které nejsou dostupné konkurenci c) informace o zaměstnancích společnosti d) informace o klientech a obchodních partnerech e) informace z volně přístupných zdrojů (internet, zpravodajství, knihy, katalogy) 1.1.2. Proč chránit informace Pro ochranu informací existují tři důvody: a) povinnost plynoucí z legislativy České republiky nebo směrnic doporučených od Evropské unie (ochrana osobních údajů) b) závazky k obchodním partnerům či zákazníkům (detaily smluv) c) vlastní strategie firmy (utajení interních informací) Začátku 21. století jednoznačně dominuje pořizování informací v elektronické podobě a vzhledem k trvalému rozvoji informačních technologií lze předpokládat vzrůstající mnoţství takto zpracovaných informací i jejich procentuální zastoupení v rámci objemu informací ve firmě. Nelze opomenout ale ani ostatní druhy forem podávání informací, jako jsou písemné dokumenty, telefonování, faxování či mluvená řeč. 1.1.3. Co znamená zabezpečení informací Lidé často povaţují bezpečnost informací za zamezení přístupu k informacím neoprávněným osobám. Jedná se však pouze o částečné zabezpečení informace. Celkové zabezpečení informací zahrnuje zajištění důvěryhodnosti, integrity a dostupnosti informace. a) důvěryhodnost zajišťuje prevenci proti neoprávněnému uţití informace b) integrita chrání proti neautorizované modifikaci informace c) dostupnost brání proti znemoţnění oprávněného pouţití informace 9
Uţivatele většinou zajímá pouze jistota dostupnosti informací, aby mohly nerušeně vykonávat svou práci. Otázka důvěryhodnost a integrity nastává aţ při vzniku bezpečnostního incidentu to je uţ ale bohuţel pozdě. 1.1.4. Informační systém Veškeré firemní informace se nacházejí v informačním systému (IS), coţ je funkční celek, který zabezpečuje systematické shromaţďování, zpracování, uchovávání a zpřístupňování informací, přičemţ integruje data, informační technologie (SW, HW), finance, prostupy (procesy, předpisy aj.) a lidi. Data prezentují všechny skutečnosti, pojmy nebo údaje, které vznikají, jsou uchovávány a zpracovávány v rámci činnosti firmy tak, aby bylo moţné jejich zpřístupňování, interpretace či zpracování lidmi nebo automatizovanými prostředky. Informační systém data finance IT uţivatelé Lidé správci HW SW postupy Obrázek č. 1: Schéma jednotlivých složek informačního systému Zdroj: [1] 1.1.5. Systémové řešení bezpečnosti Aby bylo zabezpečení informací účinné, musí být vybudováno jako systémové bezpečnostní řešení chránící celou firmu, které má předdefinované vlastnosti a parametry. 1.1.5.1. Vymezení oblastí bezpečnosti V podstatě, bezpečnostní systém musí kontrolovat, případně řídit, tři typy aktiv: a) informace 10
b) hmotný majetek c) lidi Z výchozích tří typů aktiv vyplynou tři oblasti bezpečnosti: a) informační bezpečnost b) fyzická (majetková) bezpečnost c) personální bezpečnost 1.1.5.2. Plánování zabezpečení Pro eliminaci slabých míst a vytvoření komplexního bezpečnostního řešení, musí být realizováno několik kroků. a) Vypracování bezpečnostní strategie firmy Realizací zabezpečení musí být pověřen konkrétní člověk či pracovní útvar, který vypracuje a předloţí vedení firmy ke schválení dokument o bezpečnostní strategii firmy, tzv. bezpečnostní záměr. Spis stručnou (o rozsahu 1 aţ 2 stran) a všem zainteresovaným osobám obecně srozumitelnou formou (bez technických výrazů) nastíní cílový stav firemní bezpečnosti a způsob jakým bude informační bezpečnost řešena. Zpravidla bývá cílem zamezení zneuţití, neoprávněné modifikace, poškození, nedostupnost nebo zničení informací. Mohou být i zmíněny okruhy informací, které budou zabezpečeny, při potřebě zabezpečit pouze vybranou oblast informací. b) Analýza rizik Na základě stanovených cílů z bezpečnostního záměru vystává potřeba zmapování stávajícího stavu bezpečnosti, tzv. analýza rizik z pohledu bezpečnosti. Analýzu rizik by měli vytvořit odborníci na danou problematiku, ideálně pak externí specializovaná firma ve spolupráci s interními odborníky a členy týmu řešících bezpečnost, u kterých se předpokládá, ţe budou v budoucnu analýzu rizik provádět. Výstupem analýzy rizik je zpráva o aktuálním stavu bezpečnosti ve firmě, kde popisuje nalezená bezpečnostní rizika a navrhuje opatření k odstranění či minimalizaci rizik na přijatelnou úroveň akceptovatelnou firmou. Pro větší srozumitelnost se doporučuje rozpracovat analýzu rizik do dvou částí. V první části, určené pro odborné pracovníky, detailně rozepsat existující rizika 11
a navrhovaná opatření. V druhé, určené zejména pro vedení firmy, popsat stávající stav a zdůvodnit nápravná opatření. c) Bezpečnostní politika informačního systému Na základě získaných informací z analýzy rizik se vyhotoví bezpečnostní politika informačního systému. Tento dokument definuje všechny aktivity spojené s informační bezpečností. Po schválení vedením firmy se stává dokument bezpečnostní politiky závazný jak pro všechny firemní zaměstnance tak i pro ostatní zainteresované osoby, které přijdou s informacemi do styku. d) Implementace bezpečnostní politiky do IS Základní bezpečnostní principy bezpečnostní politiky je třeba zapracovat v systémových bezpečnostních politikách a předpisech. e) Realizace bezpečnostní politiky Samotné provedení bezpečnostních opatření vyplývající bezpečnostní politiky lze provést téměř ihned (konfigurace serverů) nebo i v několika fázích (školení zaměstnanců, implementace nových systémů). f) Monitorování, audit, analýza nových potřeb Po zavedení bezpečnostní politiky je vhodné nastavit pravidelné kontroly a audit stavu zabezpečení a následně dle získaných poznatků provést nápravná opatření. Po vybudování tvoří firemní bezpečnostní systém tři vzájemně koordinované systémy: a) bezpečnostní systém informačního systému b) systém fyzické ochrany c) systém ochrany osob Přitom kaţdý z výše uvedených systémů je sloţen ze tří sloţek: a) řízení bezpečnosti obsahuje sloţku personální a procedurální. Personální sloţka stanovuje odpovědnost a pravomoci jednotlivých pracovních pozic v oblasti bezpečnosti. Procedurální sloţka stanovuje postupy pro pracovní pozice při správě a auditu zabezpečení aktiv firmy. b) bezpečnostní opatření realizují zabezpečení aktiv. c) bezpečnostní dokumentace správní dokumentace (slouţí k řízení bezpečnostního systému a jeho auditu) 12
provozní dokumentace (provoz a údrţba bezpečnostního systému) uživatelská dokumentace (vytvořeno několik typů dokumentů podle povinností pracovních pozic) plány řešení bezpečnostních incidentů popisují procesní řešení incidentu, odpovědnosti a pravomoci pracovních pozic, které se na řešení incidentu podílejí. havarijní plány řeší procesy a činnost jednotlivých pracovních pozic těsně po havárii s cílem minimalizace dopadů havárie a stanovuje procesy a činnosti pro uvedení prostředí firmy do původního stavu pře havárií. Bezpečnostní systém společnosti Bezpečnostní systém IS Systém fyzické ochrany Systém ochrany osob Řízení bezpečnosti Řízení bezpečnosti Řízení bezpečnosti Bezpečnostní opatření Bezpečnostní opatření Bezpečnostní opatření Bezpečnostní dokumentace Bezpečnostní dokumentace Bezpečnostní dokumentace Obrázek č. 2: Schéma bezpečnostního systému společnosti Zdroj: [1] 13
2. Výčet rizik Za klíčový krok při budování zabezpečeného informačního systému lze označit analýzu rizik, jejíţ cíl spočívá z rozboru aktuální bezpečnostní situace, ve které se informační systém nachází a následně na jejím základě návrhu dalšího postupu (opatření). Je důleţité, aby vedení společnosti zaměstnancům vysvětlilo podstatu a důleţitost vypracování bezpečnostní analýzy, jelikoţ kvalita analýzy nezanedbatelnou měrou závisí i na ochotě zaměstnanců spolupracovat a podílet se na jejím zhotovení. Aby byl průběh bezpečnostní analýzy co nejrychlejší, je třeba si stanovit priority z hlediska dopadu a pravděpodobnosti jejich výskytu a zaměřit se na klíčové rizikové oblasti. Součástí dobrého řízení společnosti je řízení rizik informačního systému. Jak uţ jsme zmínily výše, společnost můţe riziko akceptovat, sníţit, převést na jiný subjekt či se riziku zcela vyhnout. Všeobecná analýza rizik obsahuje hned několik na sebe navazujících kroků znázorněných v diagramu níţe. Stanovení hranice analýzy rizik Identifikace aktiv Ohodnocení aktiv Seskupení aktiv Identifikace hrozeb Analýza hrozeb, zranitelností a stanovení míry rizik Návrh bezpečnostních opatření Obrázek č. 3: Postup při realizaci analýzy rizik informačního systému Zdroj: [1] 14
2.1. Stanovení hranice analýzy rizik Celý proces analýzy rizik začíná vymezením aktiv, které budou zahrnuty do ochrany bezpečnostního systému a tedy i bezpečnostní analýzy. Hranice se stanovuje na základě předem stanovených cílů, které vytyčují, za jakým účelem bezpečnostní systém vzniká. Můţe jít pouze o část informačního systému (emailová pošta, elektronické bankovnictví, know-how firmy ) anebo celý informační systém. 2.2. Identifikace aktiv Po stanovení hranice analýzy rizik přichází na řadu vytvoření seznamu aktiv, který zahrnuje všechna aktiva, která budou podléhat ochraně bezpečnostního systému. Jedná se zpravidla níţe uvedené typy aktiv. Data/informace (databáze, dokumenty, e-maily) Hardware (servery, PC, notebooky, PDA, telefony, routery, switche, tiskárny, kabely, archivační media [CD, DVD, flash disky, pásky]) Software (operační systémy, aplikace, programy) Služby konektivita k internetu, dodávky elektřiny, pošta Prostory (budovy a místnosti) objekty v nichţ se informace, hardware a software nacházejí Za nejproblematičtější úlohu lze označit vyhledávání informačních aktiv. Jako drobné vodítko můţeme pouţít postup podle pracovní náplně jednotlivých útvarů, v ideálním případě zaměstnanců, kdy kaţdý útvar (zaměstnanec) sepíše seznam informací, se kterými přichází do styku. Pro lepší přehlednost se doporučuje slučovat informace do výstiţných celků, tzv. informačních jednotek, kdy například v informační jednotce o zaměstnancích najdeme pohromadě mzdové a osobní údaje, nebo ve strategické jednotce data o firemním rozpočtu a know-how. 2.3. Ohodnocení aktiv Kaţdé aktivum má pro organizaci svoji hodnotu, ze které vychází stanovení úrovně bezpečnosti vyţadované pro informační systém. Nejdůleţitější skupinou jsou datová aktiva (data, informace), která jsou hodnocena z hlediska dopadů na organizaci nebo její část v případě nedostupnosti a zničení dat, prozrazení dat, a chyby (modifikace) dat. Aby bylo 15
moţné chránit data a aplikační programové vybavení, je nutné chránit také fyzická aktiva. Jedná se v podstatě o všechny aktiva, která nelze označit za informace či software. Hodnota fyzických aktiv vychází z hodnot datových a aplikačních programových aktiv, které je podporují/obsahují, a především z nákladů na jejich nahrazení. Fyzická a datová aktiva jsou propojena pomocí aplikačních programových aktiv (software), která zahrnují programové vybavení mimo operačních systémů (ty jsou součástí fyzických aktiv). Jejich hodnota se určuje stejným způsobem jako u fyzických, a to podle nákladů na jejich obnovu. Posledním typem aktiv informačního systému jsou prostory, které nejsou hodnoceny. Hodnoty dopadů jsou odvozeny od hodnot ostatních aktiv, která jsou umístěna v hodnocených prostorách. K ohodnocení aktiv existuje mnoho metodologií. Mezi nejjednodušší a nejrychlejší patří postup, kdy stanovíme stupnici celočíselných hodnot (třeba podobné té ze školy) a k ní přiřadíme hodnotící kritéria, která budou pouţita k přiřazování ohodnocení určitého aktiva. Kvalitativní ohodnocení Stupeň Hodnotící kritéria 1 zanedbatelný dopad na firmu 2 nízký dopad na firmu 3 střední dopad na firmu 4 vážné problémy 5 kritické až existenční problémy Tabulka č. 1.: Kvalitativní ohodnocení Zdroj: Vlastní zdroj Samotné ohodnocení aktiv pak odvodíme z nákladů vzniklých v důsledku porušení důvěrnosti, integrity a dostupnosti. Typická otázka tak můţe například znít: Jaký dopad bude mít na firmu nedostupnost ERP systému? Odpověď: Od zanedbatelný dopad na firmu (1), aţ po kritické aţ existenční problémy (5). Celkovou váhu kritéria pak dostaneme vytvořením aritmetického průměru ze všech tří kritérií zaokrouhleného na celé číslo. 16
Typ aktiv Identifikovaná aktiva Ohodnocení aktiv Důvěrnost Integrita Dostupnost Celková hodnota aktiva (průměr) Informace Data zaměstnanců 4 3 1 3 Strategie firmy 5 4 1 3 Hardware Server 5 4 5 5 PC, notebooky 4 4 4 4 Software ERP 5 5 5 5 Docházkový systém 1 4 3 3 Tabulka č. 2: Ohodnocení aktiv Zdroj: Vlastní zdroj Ohodnocení aktiv by měla provádět osoba, která dobře zná účel pouţívání informací a má nad problematikou dostatečný nadhled (neulpívá na detailech). Úspěšné ohodnocení informační jednotky totiţ přímo závisí na kvalitě zhotovitele, jelikoţ i přes poţadovanou objektivitu, nakonec stejně půjde o lidské subjektivní hodnocení. Proto se pro vyšší korektnost hodnocení doporučuje zvolit více respondentů např. vedoucí daného útvaru, který s danými informace mi pracuje a uţivatel informační jednotky. 2.4. Seskupení aktiv Pro zjednodušení realizace analýzy rizik se obvykle provádí slučování aktiv do skupin aktiv. Do jedné skupiny zahrneme aktiva stejných vlastností a slouţící v rámci IS ke stejnému účelu. Například servery obsahující databáze uţívané aplikace ve společnosti a umístěné společně v jedné místnosti lze sloučit do jedné skupiny aktiv servery". Podobně pracovní počítačové stanice v rámci celé zkoumané části IS, na nichţ je nainstalováno stejné softwarové prostředí, můţeme sloučit do jedné skupiny aktiv pracovní stanice". Aktivům začleněným do společné skupiny aktiv pak lze přiřadit stejné hrozby a zranitelnosti. 2.5. Identifikace hrozeb Po ohodnocení informačních aktiv přichází na řadu zjišťování hrozeb, které mohou ohrozit námi identifikovaná aktiva. Pro určení hrozeb vycházíme zpravidla ze seznamu hrozeb vztahujících se k námi identifikovaným aktivům. Vyuţívají se téţ zkušenosti specialistů 17
provádějících analýzu rizik informačního systému, kteří na základě své praxe vytvoří vlastní seznam hrozeb. Mezi nejčastější hrozby patří: Pouţívání informačního systému neoprávněnou osobou Porucha hardwaru (PC, serveru, switche, chlazení, klimatizace) Výpadek sítě, a to jak elektrické, tak datové Porucha či chyba softwaru Chyba uţivatele Nedostatek pracovníků (nemoc) Přírodní katastrofy Krádeţ Poţár 2.6. Rozdělení hrozeb Hrozby lze dělit podle okolností na náhodné (poţár, chyba díky nepozornosti uţivatele) a úmyslné (krádeţ, záměrná modifikace dat). Všeobecně hrozby mohou ohrozit: Informace (modifikace/zničení informace) Hardware (kolaps serveru) Software (chyba v programu) Komunikační kanály (odposlouchávání telefonních hovorů, smazání e-mailů) Dokumentaci (ztráta dokumentace) Personál (vydírání, podplacení, nemoc, výpověď, vyzrazení tajných informací) 2.7. Analýza hrozeb Po sepsání seznamu hrozeb je třeba stanovit úrovně pravděpodobnosti hrozeb (pravděpodobnost uskutečnění hrozby), coţ můţeme opět sestavit pomocí stupnice o pěti hodnotách (velmi nízká, nízká, střední, vysoká, velmi vysoká). Při jejich určování 18
vycházíme z motivace k proniknutí k informacím, z důleţitosti, cennosti a utajení informací, pravděpodobnost výskytu hrozby aj. Spolu s tvorbou úrovní hrozeb zjišťujeme také úroveň zranitelnosti aktiv vzhledem k dané hrozbě, čímţ hledáme slabá bezpečnostní místa informačního systému. Stupnici hodnot můţeme definovat podobně jako u úrovně hrozeb. K určení úrovní hrozeb a zranitelnosti nejlépe dojdeme konzultací se správci informačního systému, vedoucími odděleních a vybranými zaměstnanci společnosti. 2.8. Stanovení míry rizik Pomocí ohodnocení aktiv, stanovení úrovní pravděpodobnosti hrozeb působících na jednotlivá aktiva a zranitelností aktiv, můţeme stanovit míru rizika hrozeb vůči danému aktivu. Míru rizika R lze vyjádřit číselně pomocí funkce, kde a představuje ohodnocení aktiva, p úroveň pravděpodobnosti hrozby a z stupeň zranitelnosti aktiva vůči dané hrozbě. Funkci lze jednoduše zobrazit prostřednictvím tabulkového procesoru do matice rizik. Pro větší přehlednost opět ohodnocená rizika rozčleníme do pěti barevně odlišených tříd rizik. 19
Data zaměstnanců Strategie firmy Server PC/Notebooky ERP Docházkový systém Matice výpočtu míry rizik Vrozec pro výpočet rizika: R=a p z Popis aktiva Popis hrozby Pravděpodobnost Hodnota aktiva (a ) hrozby (p) 3 3 5 4 5 3 Selhání hardwaru 3 Zranitelnost (z ) 1 1 4 4 4 4 Celkem (R) 9 9 60 48 60 36 Krádež 2 Zranitelnost (z ) 2 4 4 3 4 1 Celkem (R) 12 24 40 24 40 6 Chyba uživatele 1 Zranitelnost (z ) 1 1 2 2 2 1 Celkem (R) 3 3 10 8 10 3 Porucha/chyba sw 1 Zranitelnost (z ) 2 3 3 3 4 2 Celkem (R) 6 9 15 12 20 6 Nedostatek zaměstnanců 1 Zranitelnost (z ) 1 3 1 1 1 1 Celkem (R) 3 9 5 4 5 3 0-20 Zanedbatelné riziko 21-40 Nízké riziko 41-60 Střední riziko 61-80 Vysoké riziko 81-100 Kritické riziko Tabulka č. 3: Matice výpočtu míry rizik Zdroj: Vlastní zdroj Kromě námi uvedené demonstrativní zjednodušené metody analýzy rizik existují daleko propracovanější metodiky jako CRAMM, COBRA nebo FRAP. Ani o jedné však nelze říci, ţe přestavuje ideální metodiku. U kaţdé můţe dojít k nedocenění názorů a pohledů interních pracovníků společnosti. Proto by měly být brány při výběru dané metodiky ohledy na její srozumitelnost a to pro všechny zainteresované strany. Pokud se vedení zkoumané společnosti neztotoţní se závěry provedené analýzy a vytvořené závěry neakceptuje, skutečný přínos bude pro společnost minimální. I proto je důleţité zapojit do analýzy rizik informačního systému vedoucí, specialisty i ostatní zaměstnance společnosti, aby výsledek analýzy co nejvíce korespondoval s reálným stavem. Bez analýz rizik? Ne kaţdý zadavatel ale lpí na detailní (pomalé a pracné) analýze rizik a to z důvodu časové náročnosti, zapojení zaměstnanců či celkové pracnosti, a vrhne se přímo do aplikace bezpečnostních opatření. Jedná se o velice rychlou metodu, kdy se aplikují všeobecně uznávaná doporučení ze standardů a norem. V tomto případě však hrozí výskyt 20
nezmapovaných a tudíţ i neošetřených rizik. Taktéţ není definována míra jednotlivých rizik, z čehoţ nelze jasně určit poţadovanou míru jednotlivých bezpečnostních opatření. Hrozí tak, ţe zabezpečení bude buď nedostatečné, nebo naopak zbytečně na vysoké úrovni. 2.9. Zpráva o analýze rizik Finální krok při analýze rizik spočívá v sestavení zprávy, která sumarizuje všechna zjištění a doporučení z provedené analýzy. Pro větší srozumitelnost se doporučuje vytvořit dvě verze zpráv. První, stručnější a všeobecně srozumitelnou verzi pro vedení společnosti, která obsahuje hlavní závěry a navrţená opatření k minimalizaci bezpečnostních rizik. Druhou detailní verzi, podrobně popisující exitující existující rizika a navrhované postupy jejich odstranění pro firemní odborníky. Obě verze by měli obsahovat: předmět analýzy (celý informační systém, e-shop, koncové stanice) účel analýzy (identifikace rizik, návrh jejich eliminace) metodika a postup jakým byla analýza provedena, lidé kteří analýzu prováděli byla nalezena rizika s katastrofálními důsledky pro společnost? uvedení hlavních zjištění rizik (řízení bezpečnosti, monitorování, definování procesů) návrh opatření k odstranění rizik Podrobná verze by měla obsahovat i popis ostatních rizik a návrh na jejich odstranění. 21
3. Stanovení bezpečnostní politiky Základním dokumentem systému řízení informační bezpečnosti, který stanovuje cíle, strategii a zásady informační bezpečnosti je bezpečnostní politika. Dokument bezpečnostní politiky se stává po schválení nejvyšším managementem společnosti závazným pro všechny zaměstnance společnosti a všechny ostatní, kteří firemní informační systém pouţívají. Mezi hlavní cíle bezpečnostní politiky informačního systému patří: definovat hlavní cíle ochrany informací určit způsob řešení bezpečnosti informačního systému vymezit pravomoci a zodpovědnost v oblasti bezpečnosti informační systému. Bezpečnostní politika informačního systému by měla být zhotovena ve dvou verzích. Jedna rozpracovaná pouze do obecných principů, kde vše bude všeobecně srozumitelné. Daní za stručnost a srozumitelnost mohou být obecné formulace, pod kterými si mnoho čtenářů nemusí dokázat představit konkrétní obsah a nemusí popisované pravidlo pochopit. A právě moţnou nesrozumitelnost má eliminovat daleko podrobněji rozepsaná druhá verze bezpečnostní politiky. Dokument bezpečnostní politiky informačního systému na obecné úrovni by měl řešit: organizaci informační bezpečnosti klasifikaci a řízení informačních aktiv personální bezpečnost fyzickou bezpečnost a bezpečnost prostředí vývoj a správu informačního systému řízení přístupu uţivatelů do informačního systému soulad s firemní strategií shodu s právem a legislativou podmínky auditu. V bezpečnostní politice by neměla chybět ani pracovní pozice, ze které lze ve výjimečném stavu povolit činnost, která není v souladu se zásadami z bezpečnostní politiky. Bezpečnostní politika představuje pro kaţdou společnost specifický dokument, proto jej 22
nelze bez jakéhokoliv přizpůsobení aplikovat na jinou firmu. Tatáţ bezpečnostní opatření mohou být pro druhou firmu zbytečně přísné nebo naopak nedostatečné. 3.1. Organizace bezpečnosti Aby bylo moţné ve společnosti prosazovat a řídit bezpečnost informačního systému, je potřeba určit potřebné pracovní role, podle kterých má kaţdý vedoucí pracovník vymezenou oblast odpovědnosti, a taktéţ vytvořit procesy, prostřednictvím nichţ jsou realizovány zásady bezpečnosti. 3.1.1. Bezpečnostní funkce Aby bezpečnostní politika mohla efektivně fungovat, musí být veškeré aktivity v oblasti informačního systému řízeny centrálně a téţ za kaţdou aktivitu musí odpovídat konkrétní zaměstnanec. Proto se doporučuje vytvořit ve společnosti pozici Bezpečnostního ředitele informačního systému (v menší firmě můţe tuto úlohu zastávat někdo z vedoucích pozic). Pro moţnost vedoucím pracovníků firmy iniciovat poţadavky v oblasti bezpečnosti a vyjádřit se k návrhům bezpečnostního ředitele informačního systému, je vhodné zřídit Výbor bezpečnosti informačního systému. Výbor můţe slouţit i jako poradní orgán nejvyššího vedení společnosti při přijímání rozhodnutí v oblasti bezpečnosti informačního systému. Aby mohli vyjádřit své názory i ostatní zaměstnanci, doporučuje se ustanovit Fórum bezpečnosti, například formou emailové schránky či intranetové chatovací stránky. Bezpečnostní ředitel by měl zodpovídat za projednání relevantních připomínek předloţených fóru bezpečnosti a za vyrozumění autorů připomínek s přijatými stanovisky. 3.1.2. Bezpečnostní procesy Nezbytnou podmínku zajištění systémového a úplného řízení bezpečnosti představuje nejen ustanovení bezpečnostních rolí a orgánů, ale i realizace bezpečnostních aktivit pomocí přesně určených procesů. Kaţdý proces má definované vstupní podmínky, řídící část přenosu a moţné výstupy procesu. Příkladem procesu je například přidělení přístupových práv novému zaměstnanci nebo začlenění nového softwarového nástroje do informačního systému atp. Pro definování procesního řízení lze pouţít například metodologie CobiT nebo ITIL. Zatímco CobiT pokrývá všechny oblasti řízení IS, ITIL se zabývá řízením ICT infrastruktury a jejími sluţbami. Obě metodologie přitom mohou fungovat společně. CobiT se hodí především pro tvorbu strategie a dlouhodobých 23
firemních cílů. ITIL podává rady ohledně efektivního poskytování sluţeb a řízení provozu v oblasti sluţeb. CobiT (Control Objectives for Information and Related Technology) Jedná se mezinárodně uznávaný standard, jehoţ náplň spočívá v zajištění ţivotního cyklu informační a komunikačních technologií (ICT) v souladu s obchodními poţadavky. Metodika CobiT je procesně orientovaný nástroj umoţňující začlenit ICT do budování a strategie společnosti. Řízení CobiTu staví na třech základních částech: Informační kritéria stanovují poţadavky na ICT, z jejich plnění lze odvodit plnění daných cílů (např. zajištění dostupnosti). Zdroje prostředky které lze při řízení vyuţít (aplikace, lidé) Procesy činnosti prováděné při řízení (např. hodnocení aktiv, hledání rizik). Obchodní požadavky Procesy Informačního systému Zdroje Informačníhosystému Obrázek č. 4: Základní princip CobiTu Zdroj: [1] Kaţdý proces má svého vlastníka a obsahuje informace typu: Vstupy co vlastník procesu potřebuje od ostatních subjektů Výstupy co ostatní subjekty vyţadují od vlastníka procesu, co má být výsledkem procesu 24
Cíle a metriky stanovují, jak je hodnocena kvalita realizace sluţby Model zralosti ukazuje, jak můţe být proces zlepšen ITIL (Information Technology Infrastructure Library) Jde o mezinárodně uznávaný standard v oblasti řízení IT sluţeb, které IT infrastruktura poskytuje. ITIL pouţívá procesní řízení, definuje obsah procesů (jejich vstupů, výstupů, aktivity které jsou součástí procesů, metriky pro měření kvality procesů). Zároveň definuje role, jejich odpovědnosti a činnosti při realizaci jednotlivých procesů. Standard ITIL shrnuje nejlepší zkušenosti z praxe (best practice). Obsahuje celkem osm kniţních svazků, jeden z nich se věnuje přímo řízení bezpečnosti (security management), konkrétně procesům plánování a řízení bezpečnosti informací a IT sluţeb a řešení bezpečnostních incidentů. 3.1.3. Bezpečnostní pravidla při outsourcingu Podstata outsourcingu spočívá v převedení činnosti, která netvoří podstatu předmětu podnikání společnosti, na externího poskytovatele (např. externí úklidová sluţba, účetnictví, stravování). Outsourcing přináší výhody v podobě sníţení nákladů na zaměstnance, pořízení sw a hw či řízení provozu. Pokud však firma svěří zpracování některých informací třetím stranám, musí obstarat i jejich zabezpečení informací na poţadované úrovni. Proto je potřeba, aby na odpovídající úrovni byla realizována potřebná bezpečnostní opatření a procedury pro IS, v němţ externí společnost informace zpracovává. Bezpečnostní poţadavky při zpracování informací externí společností by měli být součástí smlouvy mezi společností a externím poskytovatelem sluţby. Smlouva by měla obsahovat: Uvedení obecných pravidel a zásad, které bude externí společnost uplatňovat s cílem zajištění bezpečnosti informací. Jakým způsobem budou plněny právní poţadavky na provoz IS (ochrana osobních údajů). Zajištění odpovědnosti za dodrţení bezpečnostních poţadavků i u subdodavatelů externí společnosti. Jaká opatření budou realizována k zajištění důvěrnosti a integrity informací. 25
Způsob zabezpečení citlivých informací vůči neautorizovanému přístupu, jak bude omezen přístup k citlivým informacím pro neoprávněné uţivatele (časové omezení, na jakých pracovních stanicích). Forma monitorování aktivit uţivatelů IS, vyhodnocování, zda nedošlo ke kompromitaci informací (jejich vyzrazení, modifikace). Způsob zajištění dostupnosti informací v případě havárie. Stanovení odpovědných osob za správu a instalaci hardwaru a softwaru. Procedura přidělování přístupových práv k informacím, způsob autorizace uţivatele při přístupu do systému. Proces hlášení a šetření bezpečnostních incidentů. Stanovení, za jakých podmínek je poskytovaná sluţba z bezpečnostního hlediska akceptovatelná. Vyhrazení si práva provedení auditu stavu zabezpečení informací v externí společnosti. V případě potřeby moţnost rozšíření smlouvy o její dodatek a bezpečnostní poţadavky na základě jeho schválení oběma stranami. Úroveň a kvalita poskytovaných sluţeb externím dodavatelem se stanovuje na základě písemné dohody obou zúčastněných stran. Jde o tzv. SLA (Service Level Agreement). 3.1.4. Výčet nedostatků v organizaci a řízení bezpečnosti Mezi nejčastější nedostatky v organizaci a řízení bezpečnosti patří: Informační bezpečnost není managementem podporována nebo je podporována pouze formálně (schvalování bezpečnostních předpisů bez podpory jejich praktické realizace a kontroly jejich dodrţování). Nekomplexní řízení. Neexistence některých bezpečnostních rolí nezbytných k vybudování zabezpečeného IS. Nejasné vymezení pravomocí a povinností pracovníků v oblasti bezpečnosti IS, překrývání pravomocí. 26
Absence klasifikace informací ve společnosti a stanovení pravidel jak s informacemi jednotlivých kategorií zacházet. Analýza rizik není prováděna periodicky. Bezpečnostní politika informačního systému a bezpečnostní předpisy nepokrývají komplexně bezpečnostní problematiku, není prováděna její aktualizace. Nedostatečně prováděný bezpečností audit IS. I kdyţ probíhá monitorování aktivit uţivatelů IS a vytvářejí se záznamy, nefunguje průběţné vyhodnocování získaných dat. Nevyřešení všech otázek outsourcingu. Nízké bezpečnostní podvědomí zaměstnanců. Nedostatečné prověření uchazečů na pozici vyţadující vyšší úroveň důvěryhodnosti. 3.2. Klasifikace informací Informace se vyskytují ve firmě v různých formách, například ve formě elektronické, písemné, mluvené, přičemţ kaţdá z forem má odlišnou důleţitost a význam. Abychom mohli informace přiměřeně chránit ve všech formách, ve kterých se ve firmě nachází, musí fungovat klasifikace informací. Pokud by totiţ fungovalo řešení ochrany informací zpracovaných a přenášených v elektronické formě bez vazby na ostatní formy, nešlo by o příliš efektivní řešení. Pokud ve firmě nefunguje klasifikace informací, dochází buď k nedostatečnému, nebo naopak nadměrnému zabezpečení informací. 3.2.1. Model klasifikace informací Firemní informace vyţadují ochranu ze tří hledisek: důvěrnosti, integrity a dostupnosti. Aby zabezpečení působilo komplexně, je potřeba zavedení jednotné klasifikace informací, které bude respektovat celá firma. Za primární klasifikaci lze povařovat hledisko důvěrnosti, protoţe obsah představuje nejdůleţitější obsah informace. Na druhou stranu hodnocení z hlediska dostupnosti a integrity vyjadřuje spíše technický význam. Aby se klasifikační model mohl efektivně 27
realizovat, není vhodné definovat jiné třídy, neţ zmiňovanou důvěrnost, integritu a dostupnost. Důvěrnost Integrita Dostupnost Stanovené třídy Stanovené třídy Stanovené třídy Bezpečnostní opatření pro třídy důvěrnosti Bezpečnostní opatření pro třídy integrity Bezpečnostní opatření pro třídy dostupnosti Obrázek č. 5: Model klasifikace informací Zdroj: [1] Pro jednotlivé střídy informací klasifikačního modelu by měl být především stanoven způsob uloţení informací v počítačích na pevných discích a na přenosových médiích, způsob elektronického přenosu, nakládání s vytištěnými informacemi či postup při likvidaci informací. Oblasti stanovení bezpečnostní ch opatření Tištěná forma uložení, kopírování, zasílání, likvidace... Elektronická forma uložení, zálohování, archivace, přenos sítí... Použití telefonu, SMS, faxu Ústní komunikace 3.2.2. Klasifikace informací z pohledu důvěrnosti Pro společnost se doporučuje zavést tři nebo čtyři třídy z hlediska důvěrnosti. Níţe je uvedena varianta tří tříd, pro kaţdou třídu její charakteristika a příklady informací, které mohou být dodané třídy začleněny. Třída veřejných informací Tato třída zastupuje obvykle 10 % informací společnosti a zahrnuje informace, které nevyţadují zvláštní ochranu. Informace jsou přístupné jak všem zaměstnancům, tak i mimo organizaci. 28
Příklad informací: reklamní informace, informace z webových stránek společnosti, výroční zprávy. Třída vnitropodnikových informací Jedná se o převaţující (80 %) část informací uţívaných ve společnosti. Vnitropodnikové informace obíhají po organizaci, přičemţ přístup k nim je poskytován zaměstnancům společnosti na základě jejich pracovních potřeb (need to know). Jsou poskytovány i pracovníkům externích organizací na základě ujednání o mlčenlivosti a dodrţování dalších ujednaných pravidel. Pokud do této třídy informací spadají i informace, které je potřeba chránit ze zákona (zákon o ochraně osobních údajů, o bankách), musí být zajištěna ze zákona vyplývající opatření, i pokud tato opatření nejsou součástí opatření stanovených pro třídu vnitropodnikových informací. Podobný postup se týká informací zatíţených smluvními vztahy s jinými subjekty. Vyzrazení informací spadajících do třídy vnitropodnikových informací můţe společnosti způsobit dílčí problémy, narušení provozu pracoviště, určitých projektů a úkolů. V některých organizacích mohou být tyto informace rozčleněny dokonce do dvou tříd. Příklad informací: informace o klientech a zaměstnancích, havarijní a provozní plány. Třída důvěrných informací Informace z této třídy reprezentují zhruba kolem 10 % firemních informací. Mají velmi důvěrný charakter a jejich vyzrazení můţe vést k váţnému poškození organizace, krajním případě aţ k jejímu zániku. Jedná se především o závaţné porušení zákona, ohroţení obchodních zájmů a osob nebo znevýhodnění vůči konkurenci. Přístup k důvěrným informacím je co nejvíce omezován. Jejich poskytování mimo společnost je obvykle zakázáno, výjimky uděluje pouze vedení firmy. Příklad informací: strategické a finanční plány, šifrovací klíče, hesla 3.2.3. Klasifikace informací z pohledu integrity Při členění informací z hlediska integrity se bere v úvahu zaručení celistvosti a neporušenosti obsahu informací. Níţe následuje příklad moţného členění informací do tří tříd z hlediska integrity. 29
Třída autentických informací Informace, u nichţ je poţadována nejen celistvost a neporušenost, ale i prokazatelné ověření jejich zdroje (princip neodmítnutelnosti). Příklad informací: příkaz klienta k provedení transakce, poţadavek na změnu konfigurace systému. Třída cenných informací Informace vyţadující oproti autentickým pouze zaručení celistvosti a neporušenosti obsahu. Jde o informace které buď, nesou hodnotu a jejich zfalšování by osoba získat neţádoucí prospěch, nebo jsou mimořádně důleţité pro rozhodovací proces. Na stejnou úroveň patří i systémové, aplikační či konfigurační soubory, jejichţ neoprávněnou změnou by mohlo dojít k chybnému rozhodnutí, k odepření sluţby, vyzrazení informací nebo k ohroţení zdraví lidí. Příklad informací: kurzovní lístek Třída ostatních informací Ostatní informace, které nespadají jak do informací autentických, tak cenných. 3.2.4. Klasifikace informací z pohledu dostupnosti Z hlediska dostupnosti mohou být informace členěny do několika tříd. Pro kaţdou třídu je vhodné stanovit dva časové limity pro obnovení přístupu k informacím. Částečná dostupnost časový interval, během něhoţ musí být zajištěn alespoň částečný přístup k informacím (např. s delší časovou odezvou) Úplná dostupnost přístup k informacím ve stejné kvalitě a rozsahu, jako před vznikem nedostupnosti) Postup technické realizace obnovení dostupnosti informací je obvykle součástí havarijních plánů. Dále jsou uvedeny příklady moţného členění informací na třídy z pohledu dostupnosti: Třída kritických informací Částečná dostupnost: 1hodina Úplná dostupnost: 3 hodiny 30
Příklad informací: informace týkající se internetového bankovnictví, internetového obchodu Třída prioritních informací Částečná dostupnost: 1den Úplná dostupnost: 1týden Příklad informací: informace o zaměstnancích, mzdách, klientech Třída potřebných informací Částečná dostupnost: 1 týden Úplná dostupnost: 1měsíc Příklad informací:evidence majetku, archív zpráv Zavedení klasifikace informací v organizaci je jednou ze základních podmínek pro budování bezpečného informačního systému. Úspěšné vedení klasifikace informací ve společnosti je podmíněno aktivním podílením útvary a vedení společnosti. Zavedení klasifikace informací má pro organizaci přínos především v oblastech: Zajištění přiměřené ochrany informací ve všech jejich formách výskytu v organizaci. Sníţení pravděpodobnosti úniku informací. Celkové finanční úspory vynakládané na zabezpečení informačního systému. Zvýšení bezpečnostního povědomí zaměstnanců organizace. Moţnost oprávněného postihnutí zaměstnanců, kteří se dopustí porušení bezpečnostních zásad. 3.3. Stanovení vlastníků informací Ke klasifikaci informací neodmyslitelně patří i identifikace vlastníků informací. Role vlastníka informací je jednou z klíčových bezpečnostních rolí informační bezpečnosti a i proto by vlastníky informací mělo schvalovat vedení společnosti. Typického vlastníka informací ve firmě obvykle představuje vedoucí pracovník organizační jednotky. Vlastnictví informací lze chápat jako hlavní právo stanovení zásad, jak smí být s danými informacemi zacházeno. Zásady jsou realizovány definováním cílů, strategií, politik následně jejich implementací a administrací. Mezi důleţitá pravidla vlastníků informací 31
patří, ţe útvar informačních technologií (IT administrátoři, vývojáři ajp.) vlastní pouze informace týkající se IT (IT hardware, software), ne jiţ např. obchodní informace, i kdyţ je ve svých systémech spravují. Právě vlastníci informací provádějí ohodnocení informací (viz kapitola Výčet rizik) a jejich začlenění do klasifikačního modelu. Vlastník by totiţ měl být schopen správně zodpovědět důsledky pro organizaci, pokud dojde k vyzrazení, modifikaci, nedostupnosti nebo zničení informací. Informace jsou následně na základě ohodnocení jejich vlastníkem začleněny do stanovených tříd klasifikačního modelu z hlediska důvěrnosti, integrity a dostupnosti. Stanovení vlastníka informací Ohodnocení informací Začlenění informací do klasifikačního modelu Stanovení bezpečnostních opatření pro dané informace Obrázek č. 6: Postup stanovení bezpečnostních opatření pro informace Zdroj: [1] Je důleţité, aby určený pracovník/útvar dohlíţel na průběţné začleňování nových informací do klasifikačního modelu, na plnění povinností vlastníků informací a lpěl na dodrţování stanovených bezpečnostních zásad daných tříd informací. Pracovník/útvar pověřený evidovat zpracovávané informace, by měl sledovat vznik nových informací, případně zánik informací, průběţně aktualizovat seznam vlastníků informací a dbát na pravidelné provádění ohodnocování informací. Mezi povinnosti vlastníka informací patří: Provést ocenění a začlenění jemu přidělených informací do klasifikačního modelu. 32
Stanovit výši škod pro organizaci při znehodnocení informací. Určit přiměřená opatření k zajištění ochrany informací při neautorizovaném přístupu, modifikaci, vyzrazení nebo zničení informací. Pravidelně (alespoň 1krát za rok) provádět přezkoumání hodnot informací a jejich začlenění do klasifikačního modelu organizace. Stanovit časový limit platnosti hodnocení informací (hodnota informací s postupem času klesá, u některých informací známe datum změny jejich hodnot). Vymezit, k jakému účelu mohou být informace uţity. Stanovit, v jaké formě se mohou informace zpracovávat, přenášet, uchovávat (elektronicky, papírově, fax). Určit a dohlíţet na realizaci přiměřených bezpečnostních opatření redukujících rizika důvěrnosti, dostupnosti a integrity. Schválit přístup a bezpečnostní opatření pro správce a uţivatele informací. Definovat přístupovou politiku pro záznam, čtení, změny, archivaci a rušení pro informace. Podílet se na specifikaci a poţadavků pro vývoj nebo nákup nových systémů, vývoj nového systému. Vyjadřovat se k uţivatelské dokumentaci aplikačních systémů. Sledovat a vyhodnocovat bezpečnostní poţadavky k zajištění patřičné ochrany informací. Zajistit zpracování a testování plánů kontinuity podnikání vztahujících se k daným informacím. Spolupracovat při řešení bezpečnostních incidentů. 33
Příklad pravidel pro nakládání s informacemi Níţe je uveden příklad stanovení pravidel bezpečného uţití informací ve firemním prostření: Stanovení pravidel užití informací z hlediska důvěrnosti Třídy informací Veřejné Vnitropodnikové Důvěrné dokumenty se neposílají jako emailové přílohy, ale ukládají se do směrnicemi určených dokumenty se neposílají jako emailové přílohy, ale ukládají se do směrnicemi určených složek, v e- Vnitropodniký e-mail nespecifikováno síťových adresářových mailu jsou zmiňovány složek, v e-mailu se pouze síťové odkazy zmiňují pouze síťové odkazy Externí email nespecifikováno dokumenty ve formě emailové přílohy jsou povinně šifrovány automatizovaným softwarem, výměna šifrovacích klíčů probíhá dle firemních směrnic. celý e-mail včetně příloh musí být zašifrovaný automatizovaným softwarem, výměna šifrovacích klíčů probíhá dle firemních směrnic, nebo jiným způsobem schváleným manažerem bezpečnosti Telefon nespecifikováno dbát aby průběh hovoru vyslechly neoprávněné osoby Zakázáno Tabulka č. 4: Stanovení pravidel užití informací z hlediska důvěrnosti Zdroj: Vlastní zdroj 3.4. Bezpečnostní opatření Jedním z nezbytných předpokladů úspěšnosti společnosti je řízení rizik, a tedy i rizik v oblasti bezpečnosti IS. Na základě provedené analýzy rizik IS jsou zmapovány existující hrozby a míry rizik. Společnost stojí před rozhodnutím, která bezpečnostní rizika jsou pro ni závaţná a jaká bude vůči nim aplikovat bezpečnostní opatření. Obecně společnost můţe existující riziko akceptovat (tj. společnost nepodnikne vůči tomuto riziku ţádné opatření, pokud je pro ni přijatelné, důleţitá je však skutečnost, ţe společnost ví o jeho existenci), sníţit riziko (zavedením bezpečnostních opatření), převést riziko na jiný subjekt (například formou pojištění), můţe se riziku vyhnout (nebude provozovat aktivitu, s níţ je riziko spojeno). 34
Některá bezpečnostní opatření mohou být realizována velmi rychle a s minimálními finančními náklady (například upravení nastavení bezpečnostních parametrů serveru), aplikování jiných bezpečnostních opatření je náročnější časově i finančně (například vybudování centrálního systému monitorování aktivit uţivatelů informačního systému) a bývají často realizována formou projektu. Důleţitou roli při rozhodování společnosti, zda bezpečnostní opatření ke sníţení existujícího rizika realizovat či nikoliv, hraje velikost míry rizika (závaţnost dané hrozby vůči aktivu) a finanční náklady spojené s aplikováním bezpečnostního opatření. Pokud míra rizika není vysoká, není potřebné provádět finančně nákladné bezpečnostní opatření. Opět se ukazuje důleţitost předchozího provedení ohodnocení aktiv IS, zejména informací, aby rozhodnutí, zda realizovat bezpečnostní opatření či nikoliv, bylo relevantní. Základní moţnosti působení bezpečnostních opatření: opatření redukující hrozbu (například vyškolení uţivatele softwarového nástroje sníţení hrozby chyby uţivatele) opatření redukující zranitelnost (například zajištění záloţního zdroje elektřiny pro server) opatření redukující účinek při uskutečnění hrozby (například šifrování informací při infiltraci neoprávněné osoby do informačního systému) opatření detekující uskutečnění hrozby (například generování souborů s aktivitami uţivatelů IS) obnova aktiv po uskutečnění hrozby (například zálohování informací). Vůči jedné hrozbě můţe být uplatněno několik bezpečnostních opatření (například vůči hrozbě infiltrace neoprávněné osoby do systému a zneuţití informací lze aplikovat opatření pouţití dostatečně dlouhých a kvalitních hesel pro přístup do IS a současně šifrování informací), jedno bezpečnostní opatření můţe působit současně vůči více hrozbám (například opatření zálohování informací redukuje účinky uskutečnění hrozby výpadku proudu a současně i výpadku klimatizace, v důsledku čehoţ dojde k výpadku serveru a ztrátě informací). Jak jiţ bylo uvedeno, součástí bezpečnostní politiky informačního systému je stanovení oblastí, v nichţ jsou bezpečnostní opatření realizovány, stanovení postupů a zásad při 35