Základní pravidla pro definici bezpečnostní politiky organizace v oblasti informačních technologií

Petr Lukašík

Univerzita Tomáše Bati ve Zlíně
Fakulta aplikované informatiky
plukasik@tajmac-zps.cz

ABSTRAKT

Informační a datová bezpečnost jsou termíny, které jsou prezentovány jako standard a souhrn nezbytných pravidel pro každou organizační strukturu, která aktivně využívá informační technologie k podpoře svých činností. Bohužel všechna opatření, která přinášejí zlepšení stavu bezpečnostních pravidel také zvyšují nárůst restrikcí a obecně snižují úroveň uživatelské přívětivosti systému. Uživatel má výrazně snížen manipulační prostor a pokud není s touto problematikou obeznámen, mnohdy tato opatření vyhodnotí jako omezení osobní svobody. Proto se často objevují snahy tyto restrikce obcházet. To může výrazně snížit účinnost bezpečnostních standardů. Vývoj informační bezpečnosti organizace představuje trvalý proces.

Moderní technologie kladou vysoké nároky na správce IT i manažery bezpečnosti. Ti musí předvídat potenciální rizika. Obecně největší hrozbu, kterou nelze z procesu vyloučit, představuje lidský faktor. Proto základním předpokladem pro správně fungující systém bezpečnosti organizace, je v prvé řadě velmi dobře obeznámený uživatel, který aktivně chápe nutnost budovaných restriktivních pravidel.

Information and data security are terms that are presented as a standard and a summary of the necessary rules for each organization structure that uses information technology to support their activities. Unfortunately, all measures that bring improvement of safety rules also increase the growth of restrictions and generally reduce the level of user-friendliness. Users have significantly reduced their handling area and if they aren't conversant with this issue, then they often evaluate these measures as restrictions on personal freedom. Therefore, there are often attempts to circumvent these restrictions. This can significantly reduce the effectiveness of safety standards. The development of information security on the organization is a permanent process.

Modern technologies make high demands to the IT administrators and security managers. They must think ahead to the potential risks. Generally the biggest threat that can not be excluded from the process is the human factor. For the proper functioning of the safety system of the organization is important especially very familiar user who understands that restrictive rules are needed.

KLÍČOVÁ SLOVA

Elektronický podpis, BYOD, Logistický řetězec, ISO 9000, ISO 27000,

1. ÚVOD

Praktické uplatnění informační a datové bezpečnost organizace vyplývá z definic systému ISO 9001, a ISO 27000, které se vzájemně doplňují. Jedná se o logické vyústění snahy o co nejvyšší jakost výrobku jako základního předpokladu naplnit požadavky a představy zákazníka. Ten očekává, že všem částem výrobního procesu, je kladena náležitá pozornost.

Nedílnou součástí výrobního procesu je informační systém. Cílem norem ISO 9000 a ISO27000 je minimalizace působení negativních vlivů. Informační a datová bezpečnost je popsána jako stav, kdy je docíleno definované úrovně dosažitelnosti, spolehlivosti a integrity informací. Systém zde ovšem není chápán jen jako soustava hardwarového a softwarového zázemí, ale jako komplexní systém, podporující rozhodování, vývoj výrobku, tržní vztahy, vazby na zákazníka a dodavatele.

Pokud firma vlastní certifikát jakosti ISO 9000 pak návaznost na ISO 27000 je otázkou rozšíření standardních postupů, které jsou požadovaných při certifikaci jakosti na certifikát bezpečnosti. Tato certifikace používá podobná pravidla. Původní koncept, kdy do informační bezpečnosti byly zahrnuty především informační technologie a důsledně se dbalo na zabezpečení těchto technologií před vnějšími a vnitřními nežádoucími vlivy je dnes postupně rozšiřován o komplexní pohled, kde zásadní roli hrají uživatelé a jednotlivé procesy. Toto pojetí v sobě zahrnuje obecné požadavky na jakost procesů a zároveň jejich robustnost.

Budování a údržba standardů ISO 9000 a ISO 27000 [1],[2] mnohdy naráží na neochotu podřídit se byrokratickým metodám a postupům, které z procesu certifikace vyplývají. To ve výsledku představuje snahu uživatele takto definovaná pravidla obcházet. Proto všechna opatření související s budováním informační bezpečnosti organizace musí být zakotvena v pracovní smlouvě každého zaměstnance. To vymezuje vymahatelnost práva a odpovědnost při vědomém porušování definovaných pravidel.

2. Bezpečnostní politika firmy

Optimální struktura bezpečnostní politiky organizace je budována s pomocí interních specialistů, zodpovědných za tuto oblast za účasti vrcholového vedení firmy. Pro zvýšení účinku bezpečnostních opatření je také nutný dohled nezávislých externích auditorů, kteří dohlížejí na dodržování pravidel. Výsledkem kvalitně fungujícího systému bezpečnosti, jsou především velmi dobře obeznámení uživatelé, kteří se aktivně podílejí na vytváření pravidel bezpečnostní politiky.

Mnohé organizace, díky mnohdy paranoidnímu přístupu šetřit náklady na provoz nevyužívají externích specialistů v domnění, že jsou schopny tuto oblast bez problémů zvládnout vlastními silami. To bohužel vede k jednostrannému náhledu na problematiku. Chybějící zpětná vazba nezávislého pohledu vyvolává mnohdy pocit sebeuspokojení nad dosaženým stavem. Výsledkem jsou málo účinná bezpečnostní opatření. Proto je role externích a nezávislých expertu velmi významná. Druhou velkou chybou je snaha vrcholových managementů přesunout nebo lépe řečeno delegovat zodpovědnost za informační bezpečnost jinam, obvykle na IT department. Výsledkem je opět nefunkční a neúčinný systém.

Úkolem vedení organizace je zajistit řadu pravidelných odborných školení pro všechny zaměstnance kteří se podílejí na provozu a rozvoji technologií podléhajících bezpečnostnímu auditu. Tato pravidelná školení mají zásadní vliv na utváření obecného povědomí uživatelů o rizicích a možných bezpečnostních incidentech. Výsledkem je zlepšení procesu obecné bezpečnosti. Uživatel obeznámený například se záludnostmi sociálního inženýrství se mnohem lépe orientuje v situaci, která může znamenat cílený útok, jehož úkolem je překonat bezpečnostní systém. V neposlední řadě dobře obeznámený uživatel se také lépe chová i mimo organizaci, například při svých soukromých aktivitách a mnohem lépe si chrání svoje soukromí. Obecně lze říct, že organizace, která kvalitně buduje a udržuje systém bezpečnosti, chrání nejen svoje aktiva, ale i aktiva vlastních zaměstnanců. To je obvykle chápáno jako dobrá služba, kterou svému zaměstnanci firma poskytuje.

Největší konkurenční výhodou jsou vysoce kvalifikovaní lidé v oblasti správy informačních technologií. Lidé, mající znalosti napříč celého spektra problematiky IT navíc loajální vůči zaměstnavateli jsou zárukou v zajištění informační bezpečnosti organizace.

3. Systémová pravidla bezpečnostní politiky organizace.

Jasně daná pravidla a požadavky provozu informačních systému, vymezují mantinely mezi nimiž se může konkrétní uživatel pohybovat. Restrikce vyplývající z povinností definovaných bezpečnostní politikou organizace musí být jasně zakotveny v pracovních smlouvách tak, aby se staly součástí právního řádu organizace. Organizační struktury jsou velmi odlišné. Proto obecně nelze vypracovat jednotná pravidla a uplatnit je pro jakýkoliv typ aktivit. Níže uvedené body by však měly být formálně popsány v každé pracovní smlouvě.

•  Emailové komunikace. Zde je třeba mít na paměti, že z hlediska ochrany práv a svobod občana je emailová komunikace považována za soukromou a proto nesmí podléhat jakékoliv kontrole ze strany zaměstnavatele. V případě, že zaměstnavatel vyžaduje kontrolu nad emailovou komunikací, musí být toto ustanovení zakotveno v pracovních smlouvách zaměstnanců.
•  Pravidla přístupu na internet. Zde jsou jasně daná pravidla, opět zakotvená v pracovní smlouvě, kde je popsáno, jaké chování v souvislosti s internetem je nepřípustné a je považováno za hrubé porušení pracovní kázně.
•  Vymezení pravidel při využití výpočetní techniky. Pokud je uživateli přidělena výpočetní technika, musí existovat opět jasná pravidla, která definují způsob a pravidla používání. Uživatel má tendenci chápat přidělenou techniku jako osobní vlastnictví. To mnohdy vede k zásadním bezpečnostním incidentům. Technické restrikce zamezující neoprávněným uživatelským zásahům se ukazují jako málo účinné. Proto i tato oblast musí být zachycena v pracovní smlouvě zaměstnance.
•  Podporované programové vybavení. Musí být dána jednoznačná pravidla pro podporovaný a jednotný software. To souvisí s definicí pracovních činností a jejich vybavení jednotným softwarem. To má zásadní vliv na zajištění zastupitelnosti uživatele a zároveň usnadnění správy obsahu počítačů a uživatelských účtů.
•  Evidence softwaru a hardwaru. Základní dokument, který je součástí pracovní smlouvy, je identifikační list počítače, kde je detailně popsáno instalované softwarové vybavení a hardwarové vybavení. Uživatel svým podpisem garantuje udržení výpočetní techniky trvale v takovém stavu, v jakém byla vydána k užívání. Tím se také zavazuje k dodržování licenční softwarové politiky organizace.
•  Definice pravidel pro využití vlastních zařízení (BYOD – Bring Your Own Device) jsou velmi obtížně definovatelná. Vlastní zařízení používaná k výkonu pracovních činností (dnes v drtivé většině chytrých telefonů) generují řadu nových mnohdy velmi protichůdných požadavků na zajištění bezpečnostní politiky. BYOD má své nesporné výhody, jakými jsou zvýšení produktivity a atraktivnosti pracovních pozic. Na druhou stranu však tato zařízení zvyšují možnost vzniku bezpečnostních incidentů [3].
•  Pro velmi citlivé údaje (personální data, know-how) musí být v interních předpisech organizace přesně definováno umístění datového a backup úložiště. Tím jsou dána jasná pravidla manipulace s takto citlivými údaji. Takto definovaná pravidla (schválená a podepsaná vrcholovým vedením) poskytují ochranu před požadavky uživatelů, i velmi vysoce zařazených v hierarchii organizace na kopie na jiná datová úložiště.
•  Definice pravidel a důkladné školení při používání certifikátu a elektronického podpisu zaměstnance, je nutnou podmínkou pro snížení bezpečnostního rizika. Běžnému uživateli obvykle chybí technické znalosti. Proto má tendenci podcenit význam a právní důsledky, které mohou vzniknout při zneužití této technologie.

4. Technická pravidla pro zvýšení bezpečnostní politiky organizace

Datová úložiště a serverové aplikace musí být založené na vysoce bezpečných a pokud možno heterogenních platformách. Takto definovaná infrastruktura sice klade mnohem vyšší nároky na znalosti systémových administrátorů, ale na druhou stranu výrazně snižuje možnost vzniku bezpečnostního incidentu.

Velmi důležité a často opomíjené pravidlo je záloha dat mimo serverový sál. Nejlépe v jiném objektu . Toto jednoduché opatření zamezí ztrátě dat při bezpečnostním incidentu velkého rozsahu, kterým může být například požár nebo povodeň.

5. Optimalizace procesů informační logistiky – předmět pro zvýšení informační bezpečnosti.

Důležitá oblast, která musí být také zahrnuta do bezpečnostní politiky organizace, je definice výrobního logistického řetězce. Tato oblast zdánlivě nesouvisí s datovou a informační bezpečností. Souvislost logistiky výrobní organizace a datové bezpečnosti je však z hlediska praxe klíčová.

Logistický řetězec představuje sadu norem, které popisují hmotné toky (materiály, polotovary, výrobky). Ty nutně musí korespondovat s toky informačními a následně s toky finančními [6]. Lidský faktor má zásadní vliv, a je zdrojem chyb, které mohou mít na chod organizace podobné účinky jako bezpečnostní incidenty. Proto musí být definice logistických vazeb, zahrnuta do bezpečnostních norem organizace. Výsledkem je nejen snížení rizika chyb, ale také optimalizace a výrazné zjednodušení výrobních procesů. Nutnost začlenění logistických vazeb a jejich detailní popis má pozitivní dopad. Mám – li cokoliv smysluplně popsat, jsem nucen o tom přemýšlet. To vede k definici transparentních a snadno zapamatovatelných vazeb [4],[5].

6. Závěr:

Bezpečnostní politika organizace definuje souhrn základních metodik, pravidel, zodpovědností a zásad jejichž primárním úkolem je ochrana před úmyslným útokem zevnitř nebo z vnějšku scílem poškodit organizaci a jejich zaměstnance. Další nedílnou částí je ochrana před neúmyslnou chybou. Platné a trvale udržované interní směrnice, které reflektují směr vývoje informačních technologií a předvídají trendy voblasti bezpečnostních incidentů pomáhají zaměstnanci snáze rozpoznat možná rizika.

Poskytuje také nástroj pro restriktivní opatření vpřípadě podezření nebo vzniku bezpečnostního incidentu. Zvyšuje jistotu kvalitní ochrany aktiv organizace proti poškození nebo zničení. Bezpečnostní politika organizace představuje jednu z konkurenčních výhod, která deklaruje kvalitu firmy.

Je však nutno mít na paměti, že správně definovaný systém jakosti a bezpečnosti organizace rozhodně není jen souhrn norem, definic, softwarových produktů a restrikcí. Rozhodující je systém, který mají účastníci procesu ve svých hlavách.

REFERENCE:

[1] ISO 9000 – Quality management system
[2] ISO 27000 – Information Security Management Systems (ISMS) standards
[3] Lee, Andrew Kim, Jin-Sik Yim 2012 Impact of Mobile Devices on Network and Data Center Inftastructure, Gartner Research G00231501, G.C.
[4] William J. Stevenson, Production/Operations management, Rochester Institute of Technology ISBN 0- 256-08029-1 ISBN 0-256-09875-1 (International ed.)
[5] Ch. Schulte, Logistika. Victoria Publishing, 1994 ISBN 80-85605-87-2
[6] Kolektiv autorů ZPS, a.s. Zlín, CIMAPPS manuál, 1997, ZPS, a.s.