MASARYKOVA UNIVERZITA

Podobné dokumenty
BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Bezpečnostní politika společnosti synlab czech s.r.o.

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Politika bezpečnosti informací

Fyzická bezpečnost z hlediska ochrany utajovaných informací

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Bezepečnost IS v organizaci

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

Zákon o kybernetické bezpečnosti

Hodnocení rizik v resortu Ministerstva obrany

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

srpen 2008 Ing. Jan Káda

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Crime Prevention security management in planning, implementing and using schools and educational institutions

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění pozdějších předpisů

Politika bezpečnosti informací

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Organizační opatření, řízení přístupu k informacím

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Technická a organizační opatření pro ochranu údajů

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

Bezpečnostní politika informací v ČSSZ

Úvod - Podniková informační bezpečnost PS1-1

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

j) úschovným objektem trezor nebo jiná uzamykatelná schránka stanovená v příloze č. 1 této vyhlášky,

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Téma: Normy a legislativa z oblasti fyzické bezpečnosti - zákon č. 412/2005 Sb. Ing. Kamil Halouzka, Ph.D.

Řízení informační bezpečnosti a veřejná správa

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

V Brně dne 10. a

Co je riziko? Řízení rizik v MHMP

Krizové plánování v Moravskoslezském kraji ve vztahu k právnickým a podnikajícím fyzickým osobám zpracovatelům plánů krizové připravenosti

Obranné zpravodajství Vlivové zpravodajství

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

Dokumentace o začlenění do kategorie činností se zvýšeným požárním nebezpečím a s vysokým požárním nebezpečím obsahuje:

Státní požární dozor - 31 zákona č. 133/1985 Sb., zákona o požární ochraně

Bezpečnost na internetu. přednáška

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Základy řízení bezpečnosti

Bezpečností politiky a pravidla

ENVIRONMENTÁLNÍ BEZPEČNOST

Prezentace je duševním majetkem ABŠ a není dovoleno ji bez povolení ABŠ dále kopírovat a šířit.

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Zákon o kybernetické bezpečnosti

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

ČESKÁ TECHNICKÁ NORMA

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Politika ochrany osobních údajů

PŘÍKAZ REKTORA Č. 111 BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE. Verze 2.0

SMĚRNICE DĚKANA Č. 4/2013

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

PŘEHLED NAPLŇOVÁNÍ STANDARDŮ KVALITY SOCIÁLNĚ-PRÁVNÍ OCHRANY ÚŘADU Lanškroun

Bezpečnostní politika společnosti synlab czech s.r.o.

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Zásady ochrany údajů v evropském regionu

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Vzdělávání pro bezpečnostní systém státu

Implementace systému ISMS

Směrnice pro nakládání s osobními údaji. Městský úřad Vamberk

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

Základní škola, Ostrava-Poruba, Ukrajinská 1533, příspěvková organizace

256/2006 Sb. VYHLÁŠKA. ze dne 22. května o podrobnostech systému prevence závažných havárií. Úvodní ustanovení

EnCor Wealth Management s.r.o.

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

S 2-017, verze 1 Strana 1/7

Bezpečnostní standard k ochraně jednoho z měkkých cílů

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Bezpečnostní aspekty informačních a komunikačních systémů KS2

ORGANIZAČNÍ ŘÁD ŠKOLY

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

ORGANIZAČNÍ SMĚRNICE. Analýza rizik. Příloha č 4 Směrnice k analýze rizik. Název:

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Směrnice o provozování kamerového systému

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od:

SLUŽEBNÍ PŘEDPIS Směrnice č. 33 Interní protikorupční program

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

PROVOZNÍ ŘÁD CENTRA INFORMAČNÍCH TECHNOLOGIÍ. O b s a h : ODDĚLENÍ TECHNICKÉ INFRASTRUKTURY A ODDĚLENÍ INFORMAČNÍCH SYSTÉMŮ

Příklad I.vrstvy integrované dokumentace

Ochrana osobních údajů Implementace GDPR

Úvod. Projektový záměr

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Statut interního auditu. Město Vodňany

Řízení projektů. Centrální podpora projektového řízení projektů realizovaných MVČR (CEPR) Praha,

Transkript:

MASARYKOVA UNIVERZITA FILOZOFICKÁ FAKULTA Ústav české literatury a knihovnictví Kabinet informačních studií a knihovnictví Ochrana informací coby součást bezpečnostní politiky organizace Diplomová práce Autor práce: Bc. Anna Pauličková Vedoucí práce: Ing. Miroslava Komínková, Ph.D. Brno 2008

Bibliografický záznam PAULIČKOVÁ, Anna. Ochrana informací coby součást bezpečnostní politiky organizace. Brno: Masarykova univerzita, Filozofická fakulta, Ústav české literatury a knihovnictví, 2008. 79 s. Vedoucí diplomové práce Ing. Miroslava Komínková, Ph.D. Anotace V diplomové práci Ochrana informací coby součást bezpečnostní politiky organizace je představena problematika ochrany informací v organizaci v širších souvislostech a nastíněny návrhy na zlepšení informační bezpečnosti při činnostech spojených se zpracováním a uchováváním informací v organizaci. V práci jsou přiblíženy hrozby a zranitelnosti informací a popsány hlavní prvky ochrany informací v organizaci. Praktická část uvádí konkrétní příklad zabezpečení ochrany informací v rámci bezpečnostní politiky konkrétní organizace. Annotation The diploma work Protection of Information as a Part of Security of an Organization Politics presents the problematic of protection of information in an organization in a wider context and it also lays out suggestions how to improve information security at activities dealing with processing and preserving information within an organization. The work puts forward threats and vulnerability of information and in main points describes how to protect information within an organization. The practical part brings forward a specific example of securing information within safety politics of a particular organization.

Klíčová slova Informace, ochrana informací, bezpečnostní politika organizace, bezpečnostní rizika Keywords Information, Protection of Information, Security of Organization Politics, Safety Risks

Prohlášení Prohlašuji, že jsem magisterskou diplomovou práci vypracovala samostatně s využitím uvedených pramenů a literatury. Brně dne 1. května 2008 Anna Pauličková

Poděkování Na tomto místě bych ráda poděkovala své vedoucí práce, Ing. Miroslavě Komínkové, za poskytnuté odborné rady, cenné připomínky a pomoc při zpracování této práce. Dále bych ráda poděkovala svým blízkým za podporu při tvorbě této práce.

OBSAH ÚVOD... 8 I. TEORETICKÁ ČÁST... 10 1 BEZPEČNOST INFORMACÍ... 11 2 NORMY, ZÁKONY, VYHLÁŠKY A JINÁ DOPORUČENÍ... 14 3 PROCES ŘEŠENÍ BEZPEČNOSTI INFORMACÍ... 17 3.1 CÍLE A STRATEGIE ŘEŠENÍ BEZPEČNOSTI INFORMACÍ... 17 3.2 ANALÝZA RIZIK... 18 3.3 BEZPEČNOSTNÍ POLITIKA... 19 3.3.1 Vytvoření bezpečnostní politiky... 21 3.3.2 Rozsah a forma formulace bezpečnostní politiky... 21 3.3.3 Přijetí bezpečnostní politiky... 22 3.4 BEZPEČNOSTNÍ PROJEKT, STANDARD, STRATEGIE... 22 3.5 IMPLEMENTACE BEZPEČNOSTI... 23 3.6 HODNOCENÍ, MONITORING A AUDIT... 24 3.7 PONAUČENÍ Z BEZPEČNOSTNÍCH INCIDENTŮ... 25 4 PRVKY BEZPEČNOSTI... 26 4.1 ORGANIZACE BEZPEČNOSTI... 26 4.2 KLASIFIKACE A ŘÍZENÍ AKTIV... 27 4.3 PERSONÁLNÍ BEZPEČNOST... 27 4.4 FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ... 28 4.5 ŘÍZENÍ KOMUNIKACÍ A ŘÍZENÍ PROVOZU... 31 4.6 ŘÍZENÍ PŘÍSTUPU... 32 4.7 VÝVOJ A ÚDRŽBA SYSTÉMŮ... 33 4.8 ŘÍZENÍ KONTINUITY ČINNOSTÍ ORGANIZACE... 33 4.9 SOULAD S POŽADAVKY NA BEZPEČNOST... 34 4.10 REŽIMOVÁ BEZPEČNOST... 34 4.11 OBRANNÉ KONKURENČNÍ ZPRAVODAJSTVÍ... 35 II. PRAKTICKÁ ČÁST... 38 5 IDENTIFIKACE ORGANIZACE... 40 6 SPECIFIKACE AKTIV ORGANIZACE... 43 6.1 UTAJOVANÉ INFORMACE... 43 6.1.1 Místa výskytu utajovaných informací... 44 6.1.2 Režim pohybu utajovaných informací... 45 6

6.1.3 Důsledky vyzrazení utajovaných informací... 47 6.1.4 Stanovení jednotlivých hrozeb a zranitelnosti utajovaných informací a jejich vyhodnocení... 47 6.1.5 Pokyny pro ochranu utajovaných informací v případě vzniku mimořádné situace56 6.2 KOMERČNÍ INFORMACE... 65 6.3 OSTATNÍ INFORMACE... 68 7 ANALÝZA SOUČASNÉ ÚROVNĚ OCHRANY INFORMACÍ COBY SOUČÁSTI BEZPEČNOSTNÍ POLITIKY ORGANIZACE... 69 7.1 SWOT ANALÝZA... 69 7.2 ANALÝZA SOUČASNÉHO STAVU BEZPEČNOSTI INFORMACÍ... 69 ZÁVĚR... 72 SEZNAM OBRÁZKŮ A TABULEK... 74 POUŽITÉ ZDROJE... 75 7

ÚVOD Informační a komunikační technologie jsou v dnešní době již užívány ve všech oblastech života. Prudkým rozvojem informačních technologií v posledních několika letech je zvýšeno také riziko bezpečnosti informačních a komunikačních systémů. Z hlediska ochrany informací je však jejich bezpečný provoz nesmírně důležitý. Současné organizace jsou většinou zcela závislé na informačních a komunikačních technologiích, mají internetově propojené své informační systémy, používají intranetové systémy ve všech těchto systémech mají uloženy takřka veškeré informace. Jakékoliv ohrožení těchto systémů má pro organizaci nepříznivé dopady. Stále častěji se v této souvislosti objevuje pojem informační bezpečnost. Tento pojem chápeme jako zodpovědnost za ochranu informací během jejich vzniku, zpracování, ukládání, přenosů a likvidace prostřednictvím logických, technických, fyzických a organizačních opatření, která musí působit proti ztrátě důvěrnosti, integrity a dostupnosti těchto informací. Bezpečnost je dynamický, stále se měnící proces. O každý systém zabezpečení je třeba se stále odborně starat a reagovat na nové informace a hrozby. Oblast ochrany dat a informací je velmi široká a díky tomu také problematická. Ohrožení informací může nastat při neoprávněném přístupu do systému, neoprávněnou nebo neodbornou manipulací s informací, ztrátou funkčnosti nebo zabezpečenosti informačního systému, fyzickým napadnutím ale i dalšími způsoby. Také každý uživatel či vlastník informačních a komunikačních systémů by si měl být vědom rizik, která hrozí při každé manipulaci s nimi a měl by vyvinout maximální snahu o zabezpečení informací v těchto systémech uložených. K omezení potencionálních rizik je nutné provádět v organizaci průběžně analýzy a vyhodnocení rizik ohrožení informací v systémech, s cílem jejich eliminace. Obecně je v této diplomové práci řešena problematika bezpečnosti informací v organizaci. Cílem této práce je představit problematiku ochrany informací v organizaci v širších souvislostech a následně nastínit návrhy na zlepšení informační bezpečnosti při činnostech spojených se zpracováním a uchováváním informací v organizaci. V práci jsou přiblíženy hrozby a zranitelnost informací a popsány hlavní prvky ochrany informací v organizaci. Je popsána problematika bezpečnosti informací 8

v souvislosti s bezpečnostní politikou jako základním dokumentem každé organizace v oblasti bezpečnosti. V praktické části je uveden konkrétní příklad zabezpečení ochrany informací v rámci bezpečnostní politiky konkrétní organizace. 9

I. TEORETICKÁ ČÁST 10

1 BEZPEČNOST INFORMACÍ Informace jsou aktiva, která mají pro organizaci nějakou hodnotu např. aktiva informační (databáze, datové soubory), aktiva programová (systémové programové vybavení), aktiva fyzická (počítačové vybavení), služby (komunikační služby). Informace v organizaci se vyskytují v různých podobách elektronická podoba, tištěná podoba, psaná podoba, vyřčená podoba, nahraná podoba. Veškeré tyto informace v organizaci je nutné vhodným způsobem chránit. Ochranu informací tedy musíme zajišťovat také u informací, které jsou zpracovávány klasickým způsobem, nikoliv jen pomocí výpočetní techniky. Informační bezpečnost (také bezpečnost informací) se zabývá tedy zásadami bezpečné práce s informacemi všeho druhu a ve všech podobách. Obrázek 1: Vztah úrovní bezpečnosti ve firmě1 Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišťuje tak kontinuitu činností organizace, minimalizuje obchodní ztráty a maximalizuje návratnost investic a podnikatelských příležitostí.2 Bezpečnost informací je spolu s např. bezpečností objektu, bezpečností majetku, bezpečností IS a ICT apod. součástí celkové bezpečnosti organizace nebo firmy. Informační bezpečnost v sobě zahrnuje mimo zásad bezpečnosti IS a ICT také zásady veškerého zpracovávání informací, jako např. archivování nedigitálních dat, skartace písemností, způsoby ukládání informací, apod. 1 POŽÁR, J. Informační bezpečnost, s. 39. 2 ČSN ISO/IEC 17799, s. 10. 11

Informační bezpečnost je ochrana informací před jejich neoprávněnou modifikací, zničením nebo neoprávněným přístupem, a to buď náhodnými vlivy nebo úmyslně. V podmínkách organizací se jedná obecně o tyto hrozby: ztráta informace, vyzrazení informace, neoprávněná modifikace informace, neoprávněné zpracování informace, hrozba vlivu času. Bezpečnost informací v organizaci je charakterizována jako zachování 3 : 1/ důvěrnosti utajení informací nebo zdrojů. Je třeba zajistit, aby informace byla dostupná jen osobám, které jsou k přístupu k informaci oprávněné. Důvěrnost je zajišťována především mechanismy kontroly přístupu. 2/ integrity důvěryhodnost, správnost a kompletnost informací, dat a zdrojů. Integrita tedy zahrnuje nejen integritu informačního obsahu dat, ale také integritu zdroje těchto dat. 3/ dostupnosti zajištění přístupu k informacím autorizovaným uživatelům dle jejich potřeby. Bezpečnost, která může být dosažena různými technickými opatřeními, není většinou dostačující, a proto by měla být doplněna odpovídajícím řízením a postupy 4. 3 ČSN ISO/IEC 17799, s. 10. 4 tamtéž 12

Propojení veřejných a soukromých sítí a sdílení informačních zdrojů stále více zvyšuje obtížnost dosažení bezpečnosti informací. Bezpečnosti informací lze dosáhnout implementací soustavy opatření, které mohou existovat ve formě pravidel, postupů, procedur, organizační struktury a programových funkcí. Informace je třeba klasifikovat dle jejich potřebnosti, důležitosti a stupně ochrany. Různé informace mají různé stupně citlivosti, proto by měl v organizaci existovat systém bezpečnostní klasifikace informací, který by určoval přiměřený stupeň ochrany a dával by informace o nutnosti zvláštního zacházení s konkrétní informací 5. Informace, které jsou zpracovávány, lze rozdělit následovně: informace, které mají charakter utajovaných informací dle zákona o ochraně utajovaných informací; komerční informace; ostatní informace (např. které jsou chráněny jinými zákony - zákon o ochraně osobních údajů, atd.). 5 ČSN ISO/IEC 17799, s. 20. 13

2 NORMY, ZÁKONY, VYHLÁŠKY A JINÁ DOPORUČENÍ Při zpracování návrhu bezpečnostní politiky je nutno mít na zřeteli vždy nejen požadavky vyplývající z analýzy rizik, ale také požadavky a povinnosti vyplývající z legislativních úprav ve státě. V této kapitole uvádím stručný přehled základních zákonů, norem a systémů jakosti, které se vztahují k bezpečnostní politice organizace. Vzhledem k tomu, že oblast bezpečnosti informací je velice široká a úzce souvisí s další ostrahou objektu a jinou problematikou, jsou uvedeny pouze vybrané základní legislativní a jiné předpisy. Normy Norma ISO/IEC 17799 V mezinárodní normě ISO/IEC 17799 je uvedena specifikace požadavků na systém řízení v oblasti bezpečnosti informací. Jde o klíčovou normu pro zavádění a certifikaci systémů řízení organizace. Norma BS 7799-2 V normě BS 7799-2 (Systém managementu bezpečnosti informací Specifikace s návodem pro použití) jsou uvedeny podrobnější specifikace a instrukce k užití nejen výše uvedené normy ISO/IEC 17799. Norma ČSN ISO/IEC 27001 Stanoví požadavky na systém managementu bezpečnosti informací tak, aby byla organizace schopna vyhodnocovat svá rizika a uplatňovat náležité kontrolní a řídící mechanismy k zachování důvěrnosti, integrity a dostupnosti informací. Norma ČSN ISO/IEC 15408 Informační technologie Bezpečnostní techniky kritéria pro hodnocení bezpečnosti IT Norma ČSN ISO/IEC TR 13335 1-4 Informační technologie směrnice pro řízení bezpečnosti IT 14

Norma ČSN EN 5 130 (norma, týkající se poplachových systémů) Norma ČSN EN 5O 131 (norma, týkající se elektrické zabezpečovací signalizace) Norma ČSN EN 50 132 (norma, týkající se CCTV - sledovací systémy pro použití v bezpečnostních aplikacích) Norma ČSN EN 50 133 (norma, týkající se systémů kontroly vstupu) Norma ČSN EN 50 134 (norma, týkající se systémů přivolání pomoci) Norma ČSN EN 50 135 (norma, týkající se systémů tísňových) Norma ČSN EN 50 136 (norma, týkající se poplachových přenosových systémů) Norma ČSN EN 50 137 (norma, týkající se systémů kombinovaných nebo integrovaných) Zákony Zákon č. 499/2004 Sb. o archivnictví a spisové službě a o změně některých zákonů v platném znění Zákon č. 240/2000 Sb. o krizovém řízení a o změně některých zákonů (krizový zákon) v platném znění Zákon č. 106/1999 Sb. o svobodném přístupu k informacím v platném znění 15

Zákon č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti v platném znění Zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů v platném znění Ostatní právní předpisy (v rámci EU) 6 Směrnice rady č. 1991/250/EHS o právní ochraně počítačových programů Směrnice EU 1995/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů Směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) Směrnice rady č. 2001/264/EC, kterou se přijímají bezpečnostní předpisy Rady Nařízení Evropského parlamentu a Rady 2001/45/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů 6 EUR-Lex. Přístup k právu Evropské unie [online]. 16

3 PROCES ŘEŠENÍ BEZPEČNOSTI INFORMACÍ Proces řešení bezpečnosti se skládá většinou ze 6 základních kroků 7 : 1/ cíle a strategie řešení bezpečnosti informací; 2/ analýza rizik; 3/ bezpečnostní politika organizace; 4/ bezpečnostní projekt, standard, strategie; 5/ implementace bezpečnosti; 6/ hodnocení, monitoring a audit. Blíže viz následující kapitoly. 3.1 Cíle a strategie řešení bezpečnosti informací Cílem je eliminovat ztráty, které mohou být způsobeny zneužitím, poškozením, zničením nebo nedostupností informací, vytvořením uceleného nákladově optimalizovaného a efektivně fungujícího řízení bezpečnosti informací. 8 Obvykle mívá organizace stanoveny také další cíle, např. 9 : zhodnocení současné úrovně bezpečnosti informací v organizaci; definice principů řízení a požadované úrovně v oblasti bezpečnosti informací; návrh postupu k dosažení požadované úrovně bezpečnosti; příprava prostředí pro udržování a zvyšování úrovně bezpečnosti. 7 POŽÁR, J. Informační bezpečnost, s. 84. 8 tamtéž 9 tamtéž 17

Dokument, který zahrnuje definici cílů, požadavků a mezí analyzovaného systému se nazývá bezpečnostní studií (studií bezpečnosti). Tento dokument obsahuje popis současného stavu informační bezpečnosti v organizaci a udává hlavní směry dalšího postupu. 10 3.2 Analýza rizik Pro správné vyhodnocení rizik spojených s ochranou informací je nutné pojmenování hrozeb, kterým jsou informace vystaveny a jejich bližší specifikace. Cílem analýzy rizik je tedy rizika identifikovat a kvantifikovat tak, aby bylo možné rozhodnout o jejich přijatelnosti pro organizaci. 11 V současné době se užívají 4 přístupy k provedení analýzy rizik: 1/ základní analýza rizik opatření jsou vytvořena na základě analogie podobných systémů a z všeobecných standardů; 2/ neformální analýza rizik (též kvalitativní analýza) analýza je provedena na základě znalostí odborníků na bezpečnost bez použití standardních metod; 3/ detailní analýza rizik (též kvantitativní analýza) analýza je provedena za použití standardních strukturovaných metod ve všech fázích analýzy, jde o nejpřesnější metodu, která je však časově a finančně nejnáročnější; 4/ kombinovaná analýza rizik analýza, v níž je dle uvážení v jednotlivých oblastech použita analýza základní, neformální nebo detailní; jde o nejčastěji používanou metodu. Každý z těchto přístupů je vhodný pro jiný typ organizace nebo za jiných stávajících okolností. Rozhodnutí, kterou analýzu provést, činí vedení organizace. 10 POŽÁR, J. Informační bezpečnost, s. 85. 11 tamtéž, s. 86. 18

Dalším pohledem na typy analýz rizik je členění dle toho, kdo provádí analýzu: 1/ dodavatelský přístup dodavatel provádí analýzu rizik; 2/ partnerský přístup analýzu provádí zaměstnanci organizace pod vedením konzultační společnosti; 3/ vlastní přístup analýzu provádí zaměstnanci organizace. Výsledkem analýzy rizik je popis odhadovaných rizik a zároveň definování bezpečnostních požadavků, které napomohou snížení rizik na přijatelnou míru. Výsledky analýzy jsou velmi citlivým dokumentem, protože obsahují podrobné informace o rizicích v organizaci, z tohoto důvodu je v organizaci určen tento dokument pouze úzkému okruhu lidí v managementu. 12 3.3 Bezpečnostní politika Základním dokumentem systému řízení informační bezpečnosti v organizaci, který stanovuje cíle, strategie a zásady informační bezpečnosti, je bezpečnostní politika organizace. Hlavní zásadou je chránit interní sítě a veškerá data nejen zvenku, ale i zevnitř. Bezpečnostní politikou je třeba chápat nejen základní dokument řídící dokumentace v oblasti bezpečnosti v organizaci, ale také veškerou navazující bezpečnostní dokumentaci. Obsahuje souhrn bezpečnostních požadavků pro řešení informační bezpečnosti na úrovni fyzické, personální, administrativní, počítačové a komunikační bezpečnosti a bezpečnosti vývojového prostředí. 13 Bezpečnostní politika je užitečná tehdy, když jejím přínosem je snížení rizik, ovšem v rovnováze k nákladům na návrh, implementaci a správu bezpečnostní politiky. 12 POŽÁR, J. Informační bezpečnost, s. 88. 13 BENDA, R. Základy tvorby bezpečnostního projektu, s. 3. 19

Dokument bezpečnostní politiky organizace by měl obsahovat 14 : definici bezpečnosti informací, její cíle, rozsah a její důležitost; prohlášení managementu organizace o záměru podporovat cíle a principy bezpečnosti informací; stručný výklad bezpečnostních zásad, principů a norem a požadavky zvláštní důležitosti pro organizaci, např. - dodržování legislativních a smluvních požadavků; - požadavky na vzdělávání v oblasti bezpečnosti; - zásady prevence a detekce virů i ostatního škodlivého programového vybavení; - zásady plánování kontinuity činností organizace; - důsledky porušení bezpečnostních zásad; stanovení obecných a specifických odpovědností pro oblast managementu bezpečnosti informací včetně hlášení bezpečnostních incidentů; odkazy na dokumentaci, která může bezpečnostní politiku podporovat, např. na detailnější bezpečnostní politiky a postupy zaměřené na specifické informační systémy nebo bezpečnostní pravidla, která by měli uživatelé dodržovat. Systémová bezpečnostní politika organizace Součástí bezpečnostní politiky v některých organizacích bývá systémová bezpečností politika. Jejím cílem je zajistit aktiva, která jsou součástí jednotlivých informačních systémů organizace. Systémová bezpečnostní politika definuje, jakou architekturu používá který informační systém, jaké technologie by měly být využívány 14 ČSN ISO 17799, s. 13-14. 20

při provozu informačního systému, apod. Tento dokument nemusí být zpracován, když je bezpečnost u informačních systémů organizace řešena jednotně. Systémová bezpečnostní politika většinou obsahuje tyto bezpečnostní prvky 15 : 1/ požadavky na bezpečnost počítačů; 2/ správa dat; 3/ provoz; 4/ řízení přístupu; 5/ bezpečnostní politika počítačové sítě; 6/ bezpečnost datových přenosů; 7/ osobní odpovědnost správců dat; 8/ právní a etické otázky; 9/ vzory dokumentů. 3.3.1 Vytvoření bezpečnostní politiky Bezpečnostní politika vychází ze studie bezpečnosti a udává, co má být chráněno a rámcově stanovuje, jakým způsobem toho má být dosaženo. Definuje zodpovědnosti a pravomoci, role a prostředky pro dosažení těchto cílů. 16 3.3.2 Rozsah a forma formulace bezpečnostní politiky Závisí nikoliv na velikosti nebo charakteru organizace, ale spíše na formě řízení organizace. 17 15 POŽÁR, J. Informační bezpečnost, s. 101. 16 POŽÁR, J. Informační bezpečnost, s. 89. 17 tamtéž 21

1/ Stručná bezpečnostní politika obsahuje pouze základní zásady, označovaná jako high-level-policy. 2/ Detailní politika detailní dokument, obsahující také jednotlivá bezpečnostní opatření platná pro celou organizaci a společná všem informačním systémům organizace. Vzniklý dokument bezpečnostní politiky je všeobecným plánem, který stanovuje, co, kde a proč se bude v organizaci chránit. Jde většinou o dlouhodobý dokument, proto bývají formulace zde uvedené značně obecné. Představuje tedy obecný návrh realizace všech standardů, směrnic, procedur a opatření, které vedou ke splnění předem definovaných bezpečnostních cílů. 18 3.3.3 Přijetí bezpečnostní politiky Bezpečnostní politika je závazný předpis, který platí pro všechny zaměstnance organizace, musí mít písemnou formu, být známa všem zaměstnanců organizace (seznámení zaměstnanců průkazným způsobem) a musí být schválena vrcholným managementem organizace. 19 3.4 Bezpečnostní projekt, standard, strategie Bezpečnostní strategie definuje základní principy bezpečnostní politiky a je nezávislá na používaném technickém vybavení a personálním obsazení vedoucích funkcí v organizaci. Nejdůležitějšími prvky bezpečnostní strategie je stanovení rozsahu chráněných informací, důvod jejich ochrany a jasné určení zodpovědnosti. Slouží jako základ pro definování dalších bezpečnostních standardů, proto musí být značně obecná. Musejí s ní být seznámeni všichni zaměstnanci organizace. Jde o rozpracování principů, 18 POŽÁR, J. Informační bezpečnost, s. 91. 19 tamtéž, s. 89. 22

metod a opatření bezpečnostní politiky do detailní podoby. Řešení každé části bezpečnostního systému je samostatným procesem se svými vstupy a výstupy. 20 Bezpečnostní projekt představuje naplnění závěrů bezpečnostní politiky organizace, kdy výsledkem jsou konkrétní opatření organizačně-administrativní a technická. Bezpečnostní standard výsledkem bezpečnostního projektu jsou vedle technických opatření také organizační opatření ve formě závazných interních dokumentů organizace. Bezpečnostní standardy vycházejí z bezpečnostní politiky a musejí s ní být ve shodě. 21 V bezpečnostních standardech jsou podrobně definovány postupy pro jednotlivé oblasti bezpečnosti. 3.5 Implementace bezpečnosti Jde o uvedení bezpečnostní politiky a standardů do praxe. Především je třeba rozhodnout se pro vhodnou strategii řízení rizik. Strategie řízení rizik: 1/ přijetí rizika nepřijetím žádných opatření akceptuje organizace bezpečnostní důsledky pro ohrožená aktiva; 2/ zmírnění rizika snížení hrozby pro aktivum; 3/ přenesení rizika přenesení části rizik na třetí stranu (např. pojišťovna, třetí strana). Velmi důležité je dbát v případě změn majících vliv na informační bezpečnost organizace na aktualizaci bezpečnostních standardů. 20 POŽÁR, J. Informační bezpečnost, s. 93. 21 tamtéž, s. 92. 23

3.6 Hodnocení, monitoring a audit Jedním z doporučovaných opatření pro zlepšení bezpečnosti informací je realizace nezávislých přezkoumání bezpečnosti informací. Vedení organizace by mělo iniciovat nezávislá přezkoumání bezpečnosti informací. Nezávislá přezkoumání jsou důležitá pro zajištění toho, že přístup organizace k řízení bezpečnosti informací je vyhovující, přiměřený a dostatečně účinný. Součástí přezkoumání by mělo být zhodnocení možností pro zlepšení a změny v přístupu k bezpečnosti, včetně přezkoumání bezpečnostní politiky a cílů opatření. Tato přezkoumání se provádějí nezávislou autoritou a poskytnou nezaujaté hodnocení stavu bezpečnosti informací. Pokud by se použila metodika hodnocení z tohoto materiálu pro každé další přezkoumání bezpečnosti, vznikla by tak řada údajů, které by měly doložit, že se vývoj v oblasti ochrany informací u organizace zlepšuje. Hodnocení, audit a monitoring stavu bezpečnosti v organizaci je nedílnou součástí procesu řízení bezpečnosti. Východiskem jsou vždy bezpečnostní cíle stanovené v bezpečnostní studii. Hodnocení a monitoring jsou kontinuální procesy. Audit je jednorázové hodnocení, které většinou provádí nezávislá specializovaná firma. Tato provádí analýzu požadavků, rizik a hodnocení současného stavu zabezpečení. Výstupní dokument pak obsahuje rozhodnutí, zdali vyhovuje, vyhovuje s výhradami anebo nevyhovuje a dále také popis problémových oblastí včetně opatření pro odstranění bezpečnostních rizik. Audit může být také interní, v tomto případě však ho musí provést subjekt, který je zcela nezávislý na bezpečnostním oddělení. Neprovádění hodnocení, auditu nebo nedostatečná úroveň monitoringu může mít za následek neodhalení bezpečnostních incidentů a škody potom mohou být vyšší než při včas odhalených incidentech. 22 22 POŽÁR, J. Informační bezpečnost, s. 98-99. 24

3.7 Ponaučení z bezpečnostních incidentů Důležitým prvkem pro řízení bezpečnosti je i ponaučení z bezpečnostních incidentů. Bezpečnostní incident by měl být detekován, aby cenné informace o stavu bezpečnosti informací, které incident s sebou přináší, neprošly bez povšimnutí. Detekce, zvládnutí a následné vyhodnocení bezpečnostního incidentu je základním předpokladem pro řízení bezpečnosti. Bezpečnostní incident jako jediný poskytne informaci o skutečném stavu bezpečnosti informací, protože je odrazem chování skutečné reálné situace a nikoli jen výsledkem modelování (jako např. při bezpečnostní analýze). U bezpečnostního incidentu je potřeba minimalizovat jeho škodlivé dopady, k čemuž jsou potřebné bezpečnostní struktury (stanovené v bezpečnostní politice) a bezpečnostní postupy. Velmi důležitou fází je vyhodnocení příčin vzniku bezpečnostního incidentu a vyvození příslušného ponaučení z bezpečnostního incidentu, které je obvykle představováno preventivními opatřeními, jež mají zabránit opakování tohoto bezpečnostního incidentu. Právě ponaučení z bezpečnostních incidentů definováním preventivních opatření představuje hlavní bezpečnostní přínos, který lze z bezpečnostního incidentu vytěžit. Pokud bezpečnostní incident proběhne nepovšimnut, jediné, co z něj organizace získá, je incidentem způsobená škoda. 25

4 PRVKY BEZPEČNOSTI Dle normy ISO/IEC 17799 se v bezpečnostní politice definují cíle organizace při zajištění bezpečnosti informací v těchto základních oblastech: 1/ organizace bezpečnosti; 2/ klasifikace a řízení aktiv; 3/ personální bezpečnost; 4/ fyzická bezpečnost a bezpečnost prostředí; 5/ řízení komunikací a řízení provozu; 6/ řízení přístupu; 7/ vývoj a údržba systémů; 8/ řízení kontinuity činností organizace; 9/ soulad s požadavky. 4.1 Organizace bezpečnosti Další oblastí bezpečnosti informací, která výrazně ovlivňuje plnění pokynů k ochraně informací, je stanovení organizačních struktur, které bezpečnost v organizaci řídí a prosazují. Odpovědnost za bezpečnost informací v organizaci má nejen vrcholné vedení organizace, ale také každý jednotlivý zaměstnanec. Bezpečnosti informací je možné v organizaci dosáhnout jedině za spoluúčasti všech zaměstnanců organizace (mnohdy také spoluprací s dalšími specialisty). V některých organizacích funguje samostatný bezpečnostní útvar, v jehož čele je pro řešení komplexní bezpečnosti informací většinou bezpečnostní manažer (vedoucí zaměstnanec zodpovědný nejen za definování bezpečnostních pravidel v organizaci, ale také za dodržování těchto pravidel). Samostatné bezpečnostní útvary většinou fungují u větších organizací, s větším množstvím zaměstnanců anebo ve společnostech, kde je kvůli charakteru podnikání riziko úniku citlivých informací velké. V organizacích, kde 26

samostatné bezpečnostní útvary nejsou zavedeny, jsou stanoveny role a odpovědnosti pracovníků organizace. 4.2 Klasifikace a řízení aktiv Informace v organizaci mohou mít různé stupně citlivosti, mohou vyžadovat různou úroveň bezpečnosti nebo zvláštní způsoby zacházení. V organizaci by proto měl existovat systém bezpečnostní klasifikace, který určuje adekvátní stupeň ochrany a který dává uživatelům informace o nutnosti zvláštního zacházení s konkrétní informací. Klasifikace umožňuje určit způsob zacházení s určitou informací a způsob její ochrany. Klasifikace informací dle jejich potřebnosti, důležitosti a stupně ochrany by měla vycházet z potřeb a požadavků organizace. 23 4.3 Personální bezpečnost Cílem je snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. Zaměstnanci organizace patří mezi nejrizikovější část podnikového bezpečnostního systému. Již při přijímání nových zaměstnanců je třeba odpovědnost za bezpečnost zohlednit a také provést přezkoumání spolehlivosti potencionálního zaměstnance. Odpovědnost zaměstnanců za bezpečnost by následně měla být zahrnuta v pracovních smlouvách, dodržování by mělo být sledováno během celé doby trvání pracovního poměru, ale také po skončení pracovního poměru (stanovit odpovědnost za porušení, odebrání přístupových práv). V některých organizacích jsou pro zaměstnance připraveny smlouvy o mlčenlivosti, neprozrazení nebo o ochraně důvěrných informací. 24 V případě zaměstnanců, kteří budou mít přístup k utajovaným informacím, musí být spolehlivost zaměstnance přezkoumána odpovídající prověrkou spolehlivosti. 23 ČSN ISO/IEC 17799, s. 19-20. 24 tamtéž, s. 21. 27

Povědomí, vzdělávání a školení v oblasti bezpečnosti informací Předpokladem prosazení jakýchkoli bezpečnostních požadavků u organizace je seznámení zaměstnanců s těmito požadavky a trvalé (periodické) upevňování těchto znalostí. Všichni zaměstnanci organizace by měli s ohledem na svoji pracovní náplň projít odpovídajícím a pravidelně se opakujícím školením v oblasti bezpečnosti informací, bezpečnostní politiky informací a bezpečnostních směrnic organizace. Součástí pravidelných školení by mělo být zvyšování povědomí o bezpečnostních požadavcích, právní odpovědnosti a organizačních opatřeních. Zaměstnanci by také měli absolvovat školení zaměřené na správné použití prostředků pro zpracování informací, např. přihlašovací postup do systému, na způsob použití instalovaných programových produktů a na znalost jejich povinností vzhledem k bezpečnosti informací. 4.4 Fyzická bezpečnost a bezpečnost prostředí Jedná se o nejčastější a také nejstarší formu zajišťování ochrany. Cílem je předcházení neautorizovanému přístupu k informacím, předcházení poškození a zásahům do informací organizací. Fyzická bezpečnost zahrnuje ochranu objektů, jejích vnitřních prostor včetně řízení a organizace přístupů do nich, umístění technologických, zabezpečovacích a monitorovacích zařízení a jejich okolí. Fyzická ochrana se zajišťuje především prostřednictvím fyzických bariér, a to kolem prostředků zpracovávajících informace, ale také kolem veškerých prostor organizace, protože informace v organizaci vznikají či se zpracovávají kdekoliv. Při fyzické ochraně prostor se používají bezpečnostní perimetry. Bezpečnostní perimetr je cokoliv, co vytváří fyzickou bariéru např. zdi, recepce, mříže. Použití bariér v organizaci závisí na výsledku hodnocení rizik. 25 25 ČSN ISO/IEC 17799, s. 23. 28

Při fyzické ochraně se užívá především fyzického střežení objektů a prostor a dále technických prostředků. Mezi nejvýznamnější metody fyzické ochrany organizací patří metoda kontroly vstupu osob do objektu, využívání služby pracovníků fyzické ochrany a metoda fyzických zábran a bariér zabezpečení oken, dveří, zařízení a celé budovy organizace. Při zpracování projektu fyzické bezpečnosti by měly být pokryty zejména následující oblasti 26 : evidovaný vstup návštěvníků do prostor organizace; jasná identifikace zaměstnanců společně s uvedením oprávnění přístupu do prostor; stanovení přístupových práv k prostředkům zpracovávajícím informace (výpočetní technika); stanovení přístupových práv k citlivým informacím; stanovení přístupových práv do zabezpečených oblastí. Následující formy zajištění fyzické bezpečnosti jsou v České republice nejčastější. Činnost pracovníků fyzické ochrany Fyzickou ochranu v organizaci často zabezpečuje ostraha objektu. Ta má za úkol sledovat oprávněnost pohybu či činnosti v organizaci, dodržování stanoveného vnitřního režimu návštěvníků, zajišťuje dohled nad ochranou objektu prostřednictvím elektronických systémů apod. 26 ČSN ISO/IEC 17799, s. 25. 29

Kontroly vstupu osob Je nutné zvolit vhodný systém kontrol vstupu do prostor organizace. Od každého návštěvníka i zaměstnance by měla být požadována identifikace nebo oprávnění ke vstupu, návštěvníci v organizaci by měli být pod dohledem (evidence času jejich příchodu a odchodu). Ve většině organizací toto zabezpečuje recepce, vrátnice nebo jiná služba (např. ostraha objektu). Zabezpečení kanceláří, místností a zařízení Dveře a okna do kanceláří a místností by měly být zabezpečeny kontrolními mechanismy (zámky, závorami, alarmy). Vnější dveře, dosažitelná okna a opuštěné prostory v organizaci by měly být chráněny vhodným detekčním systémem. Aby bylo zamezeno přístupu neoprávněných osob do budovy, měly by být prostory pro styk s veřejností odděleny od prostor, ve kterých v organizaci dochází k nakládání s informacemi. Veškerá zařízení by měla být fyzicky chráněna proti bezpečnostním hrozbám (krádež, voda, oheň, chemické látky) a působení vnějších vlivů (elektromagnetické pole, vibrace). 27 Ke zpracování citlivých a utajovaných informací je nutné vyčlenit v organizaci zabezpečené oblasti, do kterých je evidován přístup oprávněných zaměstnanců. V bezpečnostní politice organizace je třeba uvést, že elektronická zařízení informačního systému, který zpracovává utajované informace, budou splňovat požadavky bezpečnostních standardů Národního bezpečnostního úřadu v oblasti TEMPEST. TEMPEST Pojem TEMPEST 28 je odborným termínem, vztahujícím se ke zjišťování a zkoumání parazitního elektromagnetického vyzařování, což jsou neúmyslně vyzářené 27 ČSN ISO/IEC 17799, s. 25. 28 Metodický pokyn NBÚ Minimální obsah bezpečnostní dokumentace pro malé informační systémy [online] 30

signály, které, pokud jsou zachyceny a analyzovány, mohou odhalit (prozradit) obsah zpracovávané informace (např. zobrazované na monitoru nebo tištěné na tiskárně). TEMPEST je zkratka technologie Transient ElectroMagnetic Pulse Electronic Surveillace Technology. U informačních systémů, které zpracovávají utajované informace v organizaci (především vyššího stupně utajení), je nutné u jejich návrhu, instalace i provozu dodržovat určitá pravidla, která snižují riziko úniku utajované informace formou parazitního elektromagnetického vyzařování. Elektronická zařízení jsou citlivá na vnější rušení a především také sama vyzařují elektromagnetickou energii (rušení). Pokud elektronická zařízení (vždy jsou součástí informačního systému) zpracovávají informace, může jimi vyzařovaná energie v sobě nést zpracovávanou informaci. U informačních systémů, které zpracovávají utajované informace, je z tohoto důvodu třeba dodržovat pravidla, která snižují riziko úniku utajované informace formou elektromagnetického vyzařování. Celý informační systém, který zpracovává utajované informace, se hodnotí z hlediska TEMPEST tzv. třídou a prostoru, kde je informační systém umístěn, je přiřazena tzv. zóna. Vhodně zvolené umístění informačního systému může znamenat lepší zónu daného prostoru a snižuje tak požadavky na třídu použitých prostředků a tím i finanční náklady. Ochrana se realizuje stíněním zařízení, celé budovy nebo vybraných prostor mědí, vodivým lakem, či jinými podobnými dobře vodivými materiály. V bezpečnostních standardech Národního bezpečnostního úřadu jsou uvedeny požadované vzdálenosti komponent informačního systému od metalických vedení (telefonních linek, vytápění, klimatizace apod.). Ekonomicky nejpřijatelnější variantu představuje odstínění místnosti, kde se s takovými utajovanými informacemi pracuje. Nejlepší řešení nabízejí počítače a další prvky výpočetní a komunikační techniky, které jsou tzv. tempestovány. 4.5 Řízení komunikací a řízení provozu Cílem je zajištění bezpečného provozu prostředků pro zpracování informací, oddělení vývojových, testovacích a provozních zařízení, dokumentace provozních postupů. V organizaci by měly být stanoveny odpovědnosti a postupy pro řízení a 31

správu prostředků zpracovávajících informace, toto představuje vytvoření vhodných provozních instrukcí a postupů při incidentech. Ochranná opatření a postupy mají být v organizaci stanoveny nejen pro zpracovávání informací pomocí výpočetní techniky, ale i pro výměnu hlasových, faxových a video informací. 29 Jedná se především o opatření, která se vztahují k ochraně proti škodlivým programům, zajišťující zálohování informací, správu sítě, pravidla pro zacházení s médii v organizaci, pravidla pro likvidaci médií, bezpečnost médií při přepravě, bezpečnost elektronicky posílaných zpráv, pravidla pro bezpečné užívání faxových a telefonních přístrojů, apod. 4.6 Řízení přístupu Cílem je zajištění přístupu zaměstnanců k informacím organizace, tyto přístupy by však měly být řízeny na základě provozních a bezpečnostních požadavků. Přitom je třeba vzít ohled na existující technické a technologické prostředky pro šíření a autorizaci informací. Pro každého zaměstnance by měla být jasně stanovena přístupová pravidla a oprávnění k zařízením, zpracovávajícím informace. Především bývá sledován přístup zaměstnanců do informačních systémů organizace, přístup k interním a externím síťovým službám apod. Je třeba předcházet neoprávněným přístupům. Neoprávněnému přístupu k informačním systémům lze zabránit mnoha prostředky např. přidělováním hesel oprávněným uživatelům, používání technologií umožňujících identifikaci uživatele (např. čipové karty), řízením přístupových oprávnění uživatelů (např. pouze možnost čtení), oddělení citlivých systémů, pravidelné přezkoumávání přístupových práv uživatelů, apod. 30 Uživatelé musí být seznámeni se svými odpovědnostmi za dodržování účinných kontrol přístupu (především užití hesel a zabezpečení zařízení). 29 ČSN ISO/IEC 17799, s. 28-39. 30 ČSN ISO/IEC 17799, s. 52. 32

4.7 Vývoj a údržba systémů Je třeba v organizaci stanovit bezpečnostní pravidla pro informační systémy, pro jejich údržbu a další rozvoj. Požadavky na zabezpečení proti případným incidentům musí být stanoveny, odsouhlaseny a zadokumentovány již před vývojem informačního systému. Bezpečnostní požadavky a opatření by měly odrážet hodnotu informačních aktiv pro organizaci a možnou škodu, která by mohla být výsledkem nedostatečné bezpečnosti nebo jejího selhání. Nejdůležitější pro analýzu bezpečnostních požadavků a specifikaci opatření směřujících k jejich naplnění je hodnocení rizik. Cílem je stanovit taková bezpečnostní opatření, včetně požadavků na náhradní provoz, která napomohou předcházet ztrátě, modifikaci nebo zneužití uživatelských dat v systémech např. validace vstupních a výstupních dat, autentizace elektronických zpráv, různá kryptografická opatření, apod. 4.8 Řízení kontinuity činností organizace Měl by být zaveden proces řízení kontinuity činností organizace včetně přijetí preventivních a zotavovacích opatření. Cílem je zabránit přerušení provozních činností, ochránit kritické procesy organizace před následky závažných chyb, minimalizace následků nežádoucí události a zotavení se ze ztráty informačních aktiv na přijatelnou úroveň. Nežádoucí událostí může být například přírodní pohroma, nehoda, porucha zařízení nebo úmyslné poškození informačního systému. Tento proces by měl identifikovat kritické činnosti organizace a začlenit požadavky řízení bezpečnosti informací s ohledem na požadavky provozní, personální, materiální, dopravní a požadavků na zařízení. V procesu plánování kontinuity činnosti organizace by měly být vytvořeny nouzové postupy, postupy obnovy činností, havarijní plány. Řízení kontinuity činností organizace by mělo zajistit rychlé obnovení nezbytných činností v organizaci. 31 31 ČSN ISO/IEC 17799, s. 59. 33

4.9 Soulad s požadavky na bezpečnost Vedoucí zaměstnanci managementu anebo bezpečnostního útvaru v organizaci by měli pravidelně provádět přezkoumání souladu všech oblastí v rozsahu jejich odpovědnosti s bezpečnostní politikou, ostatními požadavky na bezpečnost a také s příslušnými standardy a normami. Je třeba v organizaci zajistit dodržování právních norem, soulad s legislativními předpisy, dodržování smluvních a bezpečnostních požadavků. Nejčastějšími legislativními požadavky v ČR je ochrana autorských práv a osobních dat. Základní legislativní předpisy a jiná doporučení týkající se oblasti bezpečnosti informací jsou uvedeny v kapitole 2 této práce. V případě zjištění nesouladu by odpovědní zaměstnanci za bezpečnost měli: určit příčiny nesouladu; vyhodnotit potřebu přijetí opatření k nápravě; určit a implementovat nápravná opatření; přezkoumat přijatá nápravná opatření; zdokumentovat závěry z přezkoumání a přijatá nápravná opatření. 4.10 Režimová bezpečnost V souladu se zákony a potřebami organizace řeší, jakým způsobem budou lidé postupovat při ochraně podniku. Režimem rozumíme administrativní, organizační a věcné uspořádání vztahů mezi lidmi, jejich činnostmi a vlastními procesy v oblasti výkonu i řízení za účelem sladění všech prvků a s cílem dosáhnout harmonického stavu v dané organizaci. V rámci režimové ochrany jsou v organizaci také klasifikovány informace z hlediska jejich citlivosti nebo důvěrnosti. 32 Režimová bezpečnost tedy 32 BENDA, R. Zásady tvorby bezpečnostního projektu, s. 4. 34

souvisí se všemi druhy ochranných opatření nebo završuje všechny ostatní druhy ochrany. Režimová opatření upravují: činnost lidí uvnitř organizace, pohyb a chování osob přicházejících zvenčí, výstupu informací, dat a dokumentů z podniku. Režimová opatření organizace jsou zapracována v organizačních dokumentech organizace např. organizační řád, pracovní řád, spisový řád. 4.11 Obranné konkurenční zpravodajství V souvislosti s ochranou informací, dat a poznatků v organizaci nelze opomenout problematiku obranného konkurenčního zpravodajství (také defenzivní nebo pasivní konkurenční zpravodajství). Podstatou konkurenčního zpravodajství jsou postupy, kterými je možné odhalit strategii konkurenčních firem a využít je ve prospěch vlastní firmy. Informace získané v procesu konkurenčního zpravodajství napomáhají managementu firmy přijmout opatření s cílem předběhnout konkurenci a také k ochraně vlastních záměrů. 33 Konkurenční zpravodajství lze rozčlenit do tří složek, dle cílů, kterých lze jeho pomocí dosáhnout: 1/ útočné konkurenční zpravodajství (získávání informací o konkurenci); 2/ obranné konkurenční zpravodajství (ochrana vlastních informací o podniku); 33 BÖHM-KLEIN, K. Competitive Intelligence (konkurenčné spravodajstvo), s. 13. 35

3/ lobbystické zpravodajství (systém opatření na ovlivňování vlastních kroků organizace, ale i kroků konkurence). Pro potřeby této diplomové práce je nejvýznamnější složkou obranné konkurenční zpravodajství. Obranné konkurenční zpravodajství se zabývá analýzou informací, vytvořených v organizaci, jejich zveřejňováním a především jejich ochranou a slouží k minimalizaci možnosti jejich zveřejnění a zabránění konkurence využít tyto informace způsobem, který by mohl organizaci poškodit. Značná část organizací v České republice vykonává činnost, kterou lze chápat jako obranné konkurenční zpravodajství, aniž by si bylo vědomo toho, že jde o konkurenční zpravodajství. 34 V podstatě si pouze organizace stanoví, které informace jsou pro ni nejdůležitější a ty nejrůznějšími formami brání před konkurencí. Obranné konkurenční zpravodajství se odehrává v následujících rovinách 35 : obrana a ochrana informací, dat, počítačových a komunikačních systémů; ochrana proti vlivovému zpravodajství konkurence. V obranném konkurenčním zpravodajství je třeba v organizaci zajistit pokrytí následujících oblastí bezpečnosti informací: personální bezpečnost (ochrana před zásahy zaměstnanců;, bezpečnost komunikačních systémů (ochrana dat v komunikačních a počítačových systémech); režimová bezpečnost (bezpečnostní pravidla pro práci s daty a informacemi); 34 tamtéž, s. 14. 35 BRABEC, F. Ochrana bezpečnosti podniku, s. 2. 36

bezpečnost technických prostředků (kontrola přístupu k technickým prostředkům); bezpečnost programových prostředků (kontrola přístupu k programovým prostředkům); bezpečnost dat (ochrana dat v souborech); fyzická bezpečnost (ochrana proti neoprávněnému přístupu); aktivní ochrana proti úniku informací (ochrana proti špionáži); aktivní ochrana proti dezinformacím a vlivovému zpravodajství konkurence (ochrana proti působení vlivového zpravodajství konkurenčních firem). Zcizení informací v rámci konkurenčního zpravodajství může pro firmu znamenat nenapravitelné škody, proto je třeba zaměstnancům v této oblasti umožňovat další vzdělávání k získání potřebných znalostí. 37

II. PRAKTICKÁ ČÁST 38

V následujících kapitolách se věnuji analýze informací a bezpečnosti informací ve vybrané instituci. Záměrem nebyla detailní analýza bezpečnostní politiky organizace, což by z hlediska rozsahu nebylo možné, ale zmapování současného stavu v oblasti zabezpečení informací v organizaci. Na základě studia dostupných pramenů jsem se poté pokusila najít rezervy a možnosti, jak zlepšit současný stav v oblasti ochrany informací. 39

5 IDENTIFIKACE ORGANIZACE Vzhledem k tomu, že otázka bezpečnosti ve firmách a organizacích je velmi citlivým tématem a veškeré dokumenty vydané v oblasti bezpečnosti obsahují podrobné informace o rizicích v organizaci, není vhodné organizaci, jejíž bezpečností politikou se v praktické části této práce zabývám, konkrétně jmenovat. Do svých interních dokumentací, organizačních opatření, metodických pokynů a projektových podkladů mi umožnila nahlédnout státní instituce, která je článkem soustavy úřadů státu určených k zastupování státu při ochraně veřejného zájmu ve věcech svěřených zákonem do jeho působnosti. Popisovaná organizace se v souladu se svou zákonem stanovenou působností podílí na prevenci kriminality, poskytování pomoci obětem trestných činů a působí v trestním řízení. Tato organizace má 74 zaměstnanců, ve svém organizačním členění má ustanoven odbor bezpečnosti (2 zaměstnanci), v jehož čele stojí bezpečnostní ředitel. Ochrana informací v organizaci velmi úzce souvisí s fyzickou ochranou budovy, stejně jako s personální a administrativní ochranou. Zabezpečení budovy Ostraha objektu je zabezpečována: režimovými opatřeními včetně způsobu přijímání návštěv; mechanickými zábrannými prostředky; zabezpečovací technikou; fyzickými osobami (ostraha). Pro zaměstnance je povolen vstup do budovy hlavním vchodem v době od 6.00 hodin do 18.00 hodin. Vstup do hlavní budovy je kontrolován prostřednictvím příslušníků ostrahy. Každý zaměstnanec, pokud není ostraze osobně znám, se musí při vchodu prokázat průkazem zaměstnance. 40

Zvnějšku je budova střežena videokamerami. Videokamery jsou také ve vestibulu budovy, na podatelně a na chodbách v budově. Záběry jsou nahrávány a přenášeny do služebny ostrahy. Příslušníci ostrahy zajišťují pravidelné obchůzky budovy, jeden příslušník je vždy přítomen i v noci. V budově je umístěna zabezpečovací technika, kterou se rozumí elektronická zabezpečovací signalizace, elektrická požární signalizace a průmyslová televize. Systém zabezpečovací techniky tvoří soubor snímačů a vyhodnocovacího zařízení, který na předem stanovené místo signalizuje situaci nebezpečnou z hlediska ochrany objektu a majetku (vloupání, požár apod.). Součástí je tísňový systém, který je nainstalován v prostorách chodeb budovy, zabezpečených oblastech a dalších rizikových místnostech. Při vstupních dveřích do budovy je umístěn bezpečnostní rám. Vestibul budovy je oddělen od zbytku budovy mříží. Veřejnost nemá do budovy volný přístup, tento má pouze na podatelnu a k pracovníkům ostrahy. Ti zajistí telefonické spojení s požadovaným pracovníkem úřadu. Vstup do budovy ostraha nedovolí osobám podnapilým a osobám, které by z jiných zjevných důvodů mohly ohrozit zdraví a život zaměstnanců nebo jiných osob, způsobit škodu na majetku nebo jinak narušovat pořádek v budově. Po vstupu návštěvníka do budovy jej ostraha požádá o předložení průkazu totožnosti a provede kontrolu vstupním rámem. Zaměstnanec, kterému přísluší s návštěvou jednat, se po ohlášení návštěvy dostaví pro návštěvu na stanoviště ostrahy. Seznam vydaných opatření v organizaci k minimalizaci hrozeb a zranitelnosti informací Dokument bezpečnostní politiky informací v organizaci nebyl vydán. Bezpečnostní pravidla organizace jsou uvedeny v těchto několika jednotlivých dokumentech: 1/ Kancelářský řád 2/ Skartační řád 3/ Provozní řád počítačových sítí 4/ Ukládací řád agend vedených na počítači 41

5/ Pracovní řád 6/ Zásady bezpečnosti a ostrahy, návštěvní řád 7/ Projekt fyzické bezpečnosti 8/ Havarijní plán 9/ Interní směrnice o používání notebooku 42

6 SPECIFIKACE AKTIV ORGANIZACE Informace, které jsou v organizaci zpracovávány, jsou rozděleny následovně: informace, které mají charakter utajovaných informací dle zákona o ochraně utajovaných informací; komerční informace informace technologického charakteru, obchodního charakteru (v podmínkách státní instituce slovo komerční představuje informace, které se týkají hlavní činnosti organizace); ostatní informace (informace, které jsou chráněny jinými zákony - např. zákon o ochraně osobních údajů, kancelářské informace, personální informace, finanční informace organizace). Základem pro správné vyhodnocení rizik je pojmenování hrozeb, kterým jsou veškeré tyto informace u státní instituce vystaveny a jejich bližší specifikace. V následujících podkapitolách se uvedeným typům informací a jejich hrozbám podrobněji věnuji. 6.1 Utajované informace U vybrané organizace se mohou vyskytovat některé utajované informace ve smyslu zákona č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti. Základním dokumentem vztahujícím se k ochraně utajovaných informací je Projekt fyzické bezpečnosti, jehož nedílnou součástí je Vyhodnocení rizik, které specifikuje aktiva, stanovuje a vyhodnocuje jednotlivé hrozby a zranitelnost utajovaných informací, a stanovuje celkovou míru rizika. Za aktiva lze považovat: informace, které jsou utajované; nosiče, které obsahují utajované informace; nositele utajovaných informací poučené osoby organizace. 43

U organizace dochází k manipulaci s utajovanými informacemi a jejich ukládání v listinné i digitalizované podobě. Utajované informace se vyskytují převážně jako spisy nebo součásti spisů. Specifikace utajovaných informací může být velmi zajímavá pro různé zájmové skupiny představované organizovaným zločinem, mezinárodním terorismem, případě i cizí mocí. Utajované informace se klasifikují ve 4 stupních utajení: nejnižší stupeň utajení má označení Vyhrazené; o stupeň výše jsou informace Důvěrné; o stupeň výše jsou informace Tajné; nejvyšší stupeň utajení informací mají informace Přísně tajné. Zajímavost utajovaných informací je dána především jejich obsahem a bude souviset s případy, kterých bude utajovaná informace součástí. Využití utajovaných informací vyskytujících se u organizace lze předpokládat především k ovlivnění výsledku vyšetřování případu, jehož součástí utajované informace budou. 6.1.1 Místa výskytu utajovaných informací Ukládání Utajované informace se ukládají výhradně do úschovných objektů (dvou trezorů), které jsou umístěny v zabezpečené oblasti. Do úschovných objektů lze ukládat utajované informace stupňů utajení Vyhrazené a Důvěrné. Podrobný popis zabezpečených oblastí organizace, včetně technického zabezpečení, je uveden v části Projektu fyzické bezpečnosti Určení objektu a zabezpečené oblasti včetně jejich hranic a určení kategorie a třídy zabezpečené oblasti. 44

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář