COMPUTERWORLD
Specializovaný týdeník o výpočetní technice

Seriál
o bezpečnosti
a informačním soukromí

Část 18 - CW 28/97

Bezpečnostní politika

Vladimír Pračke

Motto: Největší hrozbou bezpečnosti IT v organizaci jsou její vlastní zaměstnanci.

Významná společnost každoročně zveřejňovala k určitému datu své hospodářské výsledky a po několik let vykazovala stabilní růst. Jeden rok však došlo k obratu ve vývoji -- a zajímavé bylo, že několik dní před oficiálním oznámením výsledků bylo prodáno velké množství akcií společnosti.

Následné vyšetřování ukázalo, že zpráva o výsledku byla vytvářena na počítači připojeném do sítě a výchozí přístupová práva umožňovala kterémukoliv zaměstnanci společnosti seznámit se s výsledky již pět dní před jejich zveřejněním. Tuto možnost zjevně někdo ze zaměstnanců zneužil a informace prodal.

Co je to vlastně bezpečnostní politika?

Je to soubor zásad a pravidel určujících základní aspekty bezpečnosti, vyjádřený písemnou formou a zaměřený na konkrétní činnost organizace. Předmětem tohoto pokračování je uvedení základního pojetí bezpečnostní politiky; nezabýváme se zde dalšími možnými aplikacemi zmíněného termínu. Smyslem bezpečnostní politiky je poskytnout uživatelům a pracovníkům odpovědným za implementaci bezpečnosti základní rámec řešení bezpečnosti. S rostoucí závislostí každodenních činností organizace na informačních technologiích roste i její závislost na zachování důvěrnosti, integrity a dostupnosti informací, s kterými pracuje. Dosažení účinné bezpečnosti je úkolem -- nebo spíše výzvou -- pro vedení na všech úrovních. Bezpečnost většinou něco stojí; může znepříjemnit dříve snadné používání systémů (např. zavedením řízení přístupu); může bránit efektivnímu využití systémů (např. omezením vzájemného propojení systémů). Nejbezpečnější je systém, který není používán -- jeho funkčnost je však nulová a je proto potřeba najít určitou rovnováhu.

Příliš mnoho lidí také považuje bezpečnost za pouze technický nebo technologický problém. Přitom právě lidský faktor hraje velice důležitou roli. Připojí-li např. organizace svou interní síť přes firewall na síť veřejnou, pak jediný nedisciplinovaný uživatel, který propojí PC z interní sítě modemem např. na Internet, může účinnost firewallu značně omezit.

V ČR je v současné době běžné, že určitá organizace a její vedení ví nebo jen tuší, že pracují s citlivými informacemi, ale nezamýšlí se komplexně nad všemi aspekty jejich ochrany. Přijímá dílčí opatření, která řeší bezpečnost jen částečně. Např. banka řeší ochranu osobních dat svého klienta šifrováním (zajistí důvěrnost jeho dat), ale dostatečně nezabezpečí ochranu šifrovacích klíčů (přístup k citlivým informacím). Proto je důležité přijetí komplexních zásad, mezi které patří právě zajištění důvěrnosti dat, přístup k citlivým informacím, ale i zásada oddělení povinností, princip dvojité kontroly, prověřování a výběr zaměstnanců, zásady spolupráce s třetími stranami (např. firma implementující šifrování) apod.

Bezpečnostní politika typicky obsahuje obecné prohlášení o svých cílech, účelu, povinnostech a odpovědnostech; obvykle definuje obecné prostředky pro dosažení těchto cílů (např. interní předpisy nebo standardy organizace). V hierarchii interních předpisů organizace je na nejvyšší úrovni a její dodržování je povinné. Použité formulace musí být dostatečně obecné; představuje dlouhodobě platný dokument, který by neměl podléhat častým změnám. V tom se podstatně liší od standardů nebo předpisů, konkrétně upravujících určité činnosti. Bezpečnostní politika může např. obecně stanovit povinnost zachování důvěrnosti a integrity dat přenášených počítačovými sítěmi. Příslušný interní standard konkrétně určí, že zachování důvěrnosti a integrity dat bude realizováno šifrováním přenášených dat určitým algoritmem podle národní nebo mezinárodní normy. Pokud tento algoritmus přestane vyhovovat a bude nahrazen jiným, změní se pouze interní standard.

Je bezpečnostní politika pro organizaci skutečně nezbytná?

Dojde-li např. v organizaci k úniku informací nebo zneužití dat, následuje obvykle rozhodnutí vedení, že přístup k informacím a datům musí být omezen, řízen a kontrolován. Ale jak a kým bude omezen, jak a kým bude řízen, jak a kým bude kontrolován? A kterých informací se omezení bude týkat? Právě bezpečnostní politika stanoví povinnost provést analýzu rizik, která vymezí citlivé informace; stanoví obecná pravidla řídící přístup k těmto informacím, způsob kontroly přístupu a případný postih apod. Zaměstnanci nemají tendenci si sami přidělávat práci a častým vysvětlením při řešení nějakého bezpečnostního problému bývá argument "kdyby mi to vedoucí nařídil, tak bych to udělal". Bezpečnostní politika je jednou z možností, jak z nejvyšší úrovně demonstrovat význam a důležitost informační bezpečnosti pro organizaci a uložit každému zaměstnanci povinnost informace chránit. Řídicí pracovníci na střední úrovni potom nesmí bezpečnost ignorovat. V organizacích, kde se pravidelně plánuje a sestavuje rozpočet na další období, to donutí jednotlivé vedoucí začlenit do rozpočtu svých útvarů i výdaje na informační bezpečnost a naopak, pracovníkům zabývajícím se bezpečností to zaručí přidělení nezbytných zdrojů.

Jestliže organizace není schopna přesně určit a vyhlásit, co je např. při používání počítačů zakázáno, nebo co je povoleno, těžko bude schopna postihovat případy, kdy dojde k nějakému zneužití práce s počítačem. Bezpečnostní politika je pro vedení poměrně levným a účinným nástrojem, jak definovat, co je pro organizaci přijatelné a co nepřijatelné, a vyjádřit tak svůj zájem na dodržování určitých pravidel a norem uvnitř organizace.

Často se stává, že některé organizační jednotky podporují snahy o dosažení informační bezpečnosti, jiné se jim brání, protože je omezují při jejich činnosti. Jestliže obě jednotky sdílejí stejné zdroje (např. interní LAN, souborový server apod.), může být snaha na jedné straně znehodnocována nečinností na straně druhé. Bezpečnostní politika může v tomto případě určit minimální úroveň ochrany, kterou pak musí všichni dodržovat.

Bezpečnostní politika a vztah k jiným organizacím

Existence bezpečnostní politiky hraje důležitou roli také ve vztahu k jiným organizacím. Je jasným signálem, že informační bezpečnost v organizaci není podceňována, že je jí věnována odpovídající pozornost. Při vzájemné výměně informací mají zúčastněné strany záruku, že předávané informace budou dostatečně chráněny. Rozhodne-li se např. finanční instituce z kapacitních důvodů zajišťovat některé své činnosti prostřednictvím externí firmy, pak by existence bezpečnostní politiky měla být jedním z faktorů výběru konkrétní firmy.

V USA mohou být vedoucí pracovníci organizací trestně postiženi za nedostatečné řešení informační bezpečnosti (např. v porovnání s úrovní bezpečnosti dosažené v jiných organizacích zabývajících se stejnou činností); vládní organizace musí mít povinně vypracovánu bezpečnostní politiku.

Aktivní role zaměstnanců

Velice důležité je vysvětlit smysl a účel bezpečnostní politiky zaměstnancům. Je to dlouhodobý úkol, protože změnit způsob uvažování a zažité zvyky není snadné. Důležitou roli přitom hrají pravidelná bezpečnostní školení všech zaměstnanců, neustálé zvyšování povědomí zaměstnanců o informační bezpečnosti. Bezpečnost musí být začleněna do programu školení a vzdělávání pro všechny úrovně zaměstnanců. Bezpečnost musí mít na zřeteli ve větší či menší míře při své práci všichni, jinak je naplňování bezpečnostní politiky obtížné a pomalé. Klíčovou roli hraje vedení organizace: pokud nepovažuje informace za jeden z kritických faktorů pro činnost organizace, nebude věnovat pozornost ani zajištění jejich bezpečnosti. Výchozím bodem může být provedení analýzy rizik; její výsledky mohou být užitečným základem pro definování bezpečnostní politiky. Bezpečnostní politika může mít různé formy, různý rozsah a různé zaměření podle typu činnosti organizace; typicky však řeší fyzické, personální, administrativní a technické aspekty bezpečnosti. Politika může být definována na více úrovních, přičemž na nižších úrovních se zaměřuje na jednotlivé aspekty bezpečnosti a řeší je konkrétněji.

Je vhodnou platformou pro řešení souladu činnosti organizace a jejích vnitřních předpisů s platnou legislativou. Např. neoprávněným používáním softwaru dochází k porušování zákona č. 35/1965 Sb. o dílech literárních, vědeckých a uměleckých; jsou-li v databázích organizace uložena osobní data zaměstnanců, vztahuje se na ně zákon č. 256/1992 Sb. o ochraně osobních údajů v informačních systémech.

Každý zaměstnanec organizace by měl být při nástupu do zaměstnání s bezpečnostní politikou seznámen a podepsat prohlášení, kde se zaváže ji dodržovat.

Jak zajistit kontrolu

Dodržování politiky musí být kontrolováno nezávislým útvarem, typicky vnitřním auditem. Samotný fakt, že její dodržování je sledováno, většinou dále přispívá k jejímu naplňování. Dále by měla být v pravidelných intervalech vyhodnocována a revidována.

Je užitečné určitým způsobem také formalizovat hlášení a řešení případů porušení bezpečnosti, tzv. hlášení incidentů. Vyhodnocením incidentů lze identifikovat oblasti s nedostatečně zajištěnou bezpečností a přijmout příslušná opatření a případně aktualizovat bezpečnostní politiku.

Bezpečnost však není samoúčelná a je třeba vždy hledat vhodný kompromis, např. mezi bezpečností a její cenou, mezi bezpečností a snadností používání apod.

Jednou z prvních otázek externího auditora při zahájení auditu v organizaci je obvykle dotaz na existenci bezpečnostní politiky. V zemích s vyspělou úrovní informačních technologií existuje bezpečnostní politika i na národní úrovni. Bohužel naše současná vláda úlohu informačních technologií značně podceňuje a vyhlášení národní bezpečnostní politiky v oblasti IT se asi hned tak nedočkáme.


Seriál je rovněž dostupný na www.idg.cz/computerworld/bvsk/


| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage |