╚ßst 18 - CW 28/97

BezpeΦnostnφ politika

Motto: Nejv∞tÜφ hrozbou bezpeΦnosti IT v organizaci jsou jejφ vlastnφ zam∞stnanci.

V²znamnß spoleΦnost ka₧doroΦn∞ zve°ej≥ovala k urΦitΘmu datu svΘ hospodß°skΘ v²sledky a po n∞kolik let vykazovala stabilnφ r∙st. Jeden rok vÜak doÜlo k obratu ve v²voji -- a zajφmavΘ bylo, ₧e n∞kolik dnφ p°ed oficißlnφm oznßmenφm v²sledk∙ bylo prodßno velkΘ mno₧stvφ akciφ spoleΦnosti.

NßslednΘ vyÜet°ovßnφ ukßzalo, ₧e zprßva o v²sledku byla vytvß°ena na poΦφtaΦi p°ipojenΘm do sφt∞ a v²chozφ p°φstupovß prßva umo₧≥ovala kterΘmukoliv zam∞stnanci spoleΦnosti seznßmit se s v²sledky ji₧ p∞t dnφ p°ed jejich zve°ejn∞nφm. Tuto mo₧nost zjevn∞ n∞kdo ze zam∞stnanc∙ zneu₧il a informace prodal.

Co je to vlastn∞ bezpeΦnostnφ politika?

Je to soubor zßsad a pravidel urΦujφcφch zßkladnφ aspekty bezpeΦnosti, vyjßd°en² pφsemnou formou a zam∞°en² na konkrΘtnφ Φinnost organizace. P°edm∞tem tohoto pokraΦovßnφ je uvedenφ zßkladnφho pojetφ bezpeΦnostnφ politiky; nezab²vßme se zde dalÜφmi mo₧n²mi aplikacemi zmφn∞nΘho termφnu. Smyslem bezpeΦnostnφ politiky je poskytnout u₧ivatel∙m a pracovnφk∙m odpov∞dn²m za implementaci bezpeΦnosti zßkladnφ rßmec °eÜenφ bezpeΦnosti. S rostoucφ zßvislostφ ka₧dodennφch Φinnostφ organizace na informaΦnφch technologiφch roste i jejφ zßvislost na zachovßnφ d∙v∞rnosti, integrity a dostupnosti informacφ, s kter²mi pracuje. Dosa₧enφ ·ΦinnΘ bezpeΦnosti je ·kolem -- nebo spφÜe v²zvou -- pro vedenφ na vÜech ·rovnφch. BezpeΦnost v∞tÜinou n∞co stojφ; m∙₧e znep°φjemnit d°φve snadnΘ pou₧φvßnφ systΘm∙ (nap°. zavedenφm °φzenφ p°φstupu); m∙₧e brßnit efektivnφmu vyu₧itφ systΘm∙ (nap°. omezenφm vzßjemnΘho propojenφ systΘm∙). NejbezpeΦn∞jÜφ je systΘm, kter² nenφ pou₧φvßn -- jeho funkΦnost je vÜak nulovß a je proto pot°eba najφt urΦitou rovnovßhu.

P°φliÜ mnoho lidφ takΘ pova₧uje bezpeΦnost za pouze technick² nebo technologick² problΘm. P°itom prßv∞ lidsk² faktor hraje velice d∙le₧itou roli. P°ipojφ-li nap°. organizace svou internφ sφ¥ p°es firewall na sφ¥ ve°ejnou, pak jedin² nedisciplinovan² u₧ivatel, kter² propojφ PC z internφ sφt∞ modemem nap°. na Internet, m∙₧e ·Φinnost firewallu znaΦn∞ omezit.

V ╚R je v souΦasnΘ dob∞ b∞₧nΘ, ₧e urΦitß organizace a jejφ vedenφ vφ nebo jen tuÜφ, ₧e pracujφ s citliv²mi informacemi, ale nezam²Ülφ se komplexn∞ nad vÜemi aspekty jejich ochrany. P°ijφmß dφlΦφ opat°enφ, kterß °eÜφ bezpeΦnost jen ΦßsteΦn∞. Nap°. banka °eÜφ ochranu osobnφch dat svΘho klienta Üifrovßnφm (zajistφ d∙v∞rnost jeho dat), ale dostateΦn∞ nezabezpeΦφ ochranu Üifrovacφch klφΦ∙ (p°φstup k citliv²m informacφm). Proto je d∙le₧itΘ p°ijetφ komplexnφch zßsad, mezi kterΘ pat°φ prßv∞ zajiÜt∞nφ d∙v∞rnosti dat, p°φstup k citliv²m informacφm, ale i zßsada odd∞lenφ povinnostφ, princip dvojitΘ kontroly, prov∞°ovßnφ a v²b∞r zam∞stnanc∙, zßsady spoluprßce s t°etφmi stranami (nap°. firma implementujφcφ Üifrovßnφ) apod.

BezpeΦnostnφ politika typicky obsahuje obecnΘ prohlßÜenφ o sv²ch cφlech, ·Φelu, povinnostech a odpov∞dnostech; obvykle definuje obecnΘ prost°edky pro dosa₧enφ t∞chto cφl∙ (nap°. internφ p°edpisy nebo standardy organizace). V hierarchii internφch p°edpis∙ organizace je na nejvyÜÜφ ·rovni a jejφ dodr₧ovßnφ je povinnΘ. Pou₧itΘ formulace musφ b²t dostateΦn∞ obecnΘ; p°edstavuje dlouhodob∞ platn² dokument, kter² by nem∞l podlΘhat Φast²m zm∞nßm. V tom se podstatn∞ liÜφ od standard∙ nebo p°edpis∙, konkrΘtn∞ upravujφcφch urΦitΘ Φinnosti. BezpeΦnostnφ politika m∙₧e nap°. obecn∞ stanovit povinnost zachovßnφ d∙v∞rnosti a integrity dat p°enßÜen²ch poΦφtaΦov²mi sφt∞mi. P°φsluÜn² internφ standard konkrΘtn∞ urΦφ, ₧e zachovßnφ d∙v∞rnosti a integrity dat bude realizovßno Üifrovßnφm p°enßÜen²ch dat urΦit²m algoritmem podle nßrodnφ nebo mezinßrodnφ normy. Pokud tento algoritmus p°estane vyhovovat a bude nahrazen jin²m, zm∞nφ se pouze internφ standard.

Je bezpeΦnostnφ politika pro organizaci skuteΦn∞ nezbytnß?

Dojde-li nap°. v organizaci k ·niku informacφ nebo zneu₧itφ dat, nßsleduje obvykle rozhodnutφ vedenφ, ₧e p°φstup k informacφm a dat∙m musφ b²t omezen, °φzen a kontrolovßn. Ale jak a k²m bude omezen, jak a k²m bude °φzen, jak a k²m bude kontrolovßn? A kter²ch informacφ se omezenφ bude t²kat? Prßv∞ bezpeΦnostnφ politika stanovφ povinnost provΘst anal²zu rizik, kterß vymezφ citlivΘ informace; stanovφ obecnß pravidla °φdφcφ p°φstup k t∞mto informacφm, zp∙sob kontroly p°φstupu a p°φpadn² postih apod. Zam∞stnanci nemajφ tendenci si sami p°id∞lßvat prßci a Φast²m vysv∞tlenφm p°i °eÜenφ n∞jakΘho bezpeΦnostnφho problΘmu b²vß argument "kdyby mi to vedoucφ na°φdil, tak bych to ud∞lal". BezpeΦnostnφ politika je jednou z mo₧nostφ, jak z nejvyÜÜφ ·rovn∞ demonstrovat v²znam a d∙le₧itost informaΦnφ bezpeΦnosti pro organizaci a ulo₧it ka₧dΘmu zam∞stnanci povinnost informace chrßnit. ╪φdicφ pracovnφci na st°ednφ ·rovni potom nesmφ bezpeΦnost ignorovat. V organizacφch, kde se pravideln∞ plßnuje a sestavuje rozpoΦet na dalÜφ obdobφ, to donutφ jednotlivΘ vedoucφ zaΦlenit do rozpoΦtu sv²ch ·tvar∙ i v²daje na informaΦnφ bezpeΦnost a naopak, pracovnφk∙m zab²vajφcφm se bezpeΦnostφ to zaruΦφ p°id∞lenφ nezbytn²ch zdroj∙.

Jestli₧e organizace nenφ schopna p°esn∞ urΦit a vyhlßsit, co je nap°. p°i pou₧φvßnφ poΦφtaΦ∙ zakßzßno, nebo co je povoleno, t∞₧ko bude schopna postihovat p°φpady, kdy dojde k n∞jakΘmu zneu₧itφ prßce s poΦφtaΦem. BezpeΦnostnφ politika je pro vedenφ pom∞rn∞ levn²m a ·Φinn²m nßstrojem, jak definovat, co je pro organizaci p°ijatelnΘ a co nep°ijatelnΘ, a vyjßd°it tak sv∙j zßjem na dodr₧ovßnφ urΦit²ch pravidel a norem uvnit° organizace.

╚asto se stßvß, ₧e n∞kterΘ organizaΦnφ jednotky podporujφ snahy o dosa₧enφ informaΦnφ bezpeΦnosti, jinΘ se jim brßnφ, proto₧e je omezujφ p°i jejich Φinnosti. Jestli₧e ob∞ jednotky sdφlejφ stejnΘ zdroje (nap°. internφ LAN, souborov² server apod.), m∙₧e b²t snaha na jednΘ stran∞ znehodnocovßna neΦinnostφ na stran∞ druhΘ. BezpeΦnostnφ politika m∙₧e v tomto p°φpad∞ urΦit minimßlnφ ·rove≥ ochrany, kterou pak musφ vÜichni dodr₧ovat.

BezpeΦnostnφ politika a vztah k jin²m organizacφm

Existence bezpeΦnostnφ politiky hraje d∙le₧itou roli takΘ ve vztahu k jin²m organizacφm. Je jasn²m signßlem, ₧e informaΦnφ bezpeΦnost v organizaci nenφ podce≥ovßna, ₧e je jφ v∞novßna odpovφdajφcφ pozornost. P°i vzßjemnΘ v²m∞n∞ informacφ majφ z·Φastn∞nΘ strany zßruku, ₧e p°edßvanΘ informace budou dostateΦn∞ chrßn∞ny. Rozhodne-li se nap°. finanΦnφ instituce z kapacitnφch d∙vod∙ zajiÜ¥ovat n∞kterΘ svΘ Φinnosti prost°ednictvφm externφ firmy, pak by existence bezpeΦnostnφ politiky m∞la b²t jednφm z faktor∙ v²b∞ru konkrΘtnφ firmy.

V USA mohou b²t vedoucφ pracovnφci organizacφ trestn∞ posti₧eni za nedostateΦnΘ °eÜenφ informaΦnφ bezpeΦnosti (nap°. v porovnßnφ s ·rovnφ bezpeΦnosti dosa₧enΘ v jin²ch organizacφch zab²vajφcφch se stejnou Φinnostφ); vlßdnφ organizace musφ mφt povinn∞ vypracovßnu bezpeΦnostnφ politiku.

Aktivnφ role zam∞stnanc∙

Velice d∙le₧itΘ je vysv∞tlit smysl a ·Φel bezpeΦnostnφ politiky zam∞stnanc∙m. Je to dlouhodob² ·kol, proto₧e zm∞nit zp∙sob uva₧ovßnφ a za₧itΘ zvyky nenφ snadnΘ. D∙le₧itou roli p°itom hrajφ pravidelnß bezpeΦnostnφ Ükolenφ vÜech zam∞stnanc∙, neustßlΘ zvyÜovßnφ pov∞domφ zam∞stnanc∙ o informaΦnφ bezpeΦnosti. BezpeΦnost musφ b²t zaΦlen∞na do programu Ükolenφ a vzd∞lßvßnφ pro vÜechny ·rovn∞ zam∞stnanc∙. BezpeΦnost musφ mφt na z°eteli ve v∞tÜφ Φi menÜφ mφ°e p°i svΘ prßci vÜichni, jinak je napl≥ovßnφ bezpeΦnostnφ politiky obtφ₧nΘ a pomalΘ. KlφΦovou roli hraje vedenφ organizace: pokud nepova₧uje informace za jeden z kritick²ch faktor∙ pro Φinnost organizace, nebude v∞novat pozornost ani zajiÜt∞nφ jejich bezpeΦnosti. V²chozφm bodem m∙₧e b²t provedenφ anal²zy rizik; jejφ v²sledky mohou b²t u₧iteΦn²m zßkladem pro definovßnφ bezpeΦnostnφ politiky. BezpeΦnostnφ politika m∙₧e mφt r∙znΘ formy, r∙zn² rozsah a r∙znΘ zam∞°enφ podle typu Φinnosti organizace; typicky vÜak °eÜφ fyzickΘ, personßlnφ, administrativnφ a technickΘ aspekty bezpeΦnosti. Politika m∙₧e b²t definovßna na vφce ·rovnφch, p°iΦem₧ na ni₧Üφch ·rovnφch se zam∞°uje na jednotlivΘ aspekty bezpeΦnosti a °eÜφ je konkrΘtn∞ji.

Je vhodnou platformou pro °eÜenφ souladu Φinnosti organizace a jejφch vnit°nφch p°edpis∙ s platnou legislativou. Nap°. neoprßvn∞n²m pou₧φvßnφm softwaru dochßzφ k poruÜovßnφ zßkona Φ. 35/1965 Sb. o dφlech literßrnφch, v∞deck²ch a um∞leck²ch; jsou-li v databßzφch organizace ulo₧ena osobnφ data zam∞stnanc∙, vztahuje se na n∞ zßkon Φ. 256/1992 Sb. o ochran∞ osobnφch ·daj∙ v informaΦnφch systΘmech.

Ka₧d² zam∞stnanec organizace by m∞l b²t p°i nßstupu do zam∞stnßnφ s bezpeΦnostnφ politikou seznßmen a podepsat prohlßÜenφ, kde se zavß₧e ji dodr₧ovat.

Jak zajistit kontrolu

Dodr₧ovßnφ politiky musφ b²t kontrolovßno nezßvisl²m ·tvarem, typicky vnit°nφm auditem. Samotn² fakt, ₧e jejφ dodr₧ovßnφ je sledovßno, v∞tÜinou dßle p°ispφvß k jejφmu napl≥ovßnφ. Dßle by m∞la b²t v pravideln²ch intervalech vyhodnocovßna a revidovßna.

Je u₧iteΦnΘ urΦit²m zp∙sobem takΘ formalizovat hlßÜenφ a °eÜenφ p°φpad∙ poruÜenφ bezpeΦnosti, tzv. hlßÜenφ incident∙. Vyhodnocenφm incident∙ lze identifikovat oblasti s nedostateΦn∞ zajiÜt∞nou bezpeΦnostφ a p°ijmout p°φsluÜnß opat°enφ a p°φpadn∞ aktualizovat bezpeΦnostnφ politiku.

BezpeΦnost vÜak nenφ samo·Φelnß a je t°eba v₧dy hledat vhodn² kompromis, nap°. mezi bezpeΦnostφ a jejφ cenou, mezi bezpeΦnostφ a snadnostφ pou₧φvßnφ apod.

Jednou z prvnφch otßzek externφho auditora p°i zahßjenφ auditu v organizaci je obvykle dotaz na existenci bezpeΦnostnφ politiky. V zemφch s vysp∞lou ·rovnφ informaΦnφch technologiφ existuje bezpeΦnostnφ politika i na nßrodnφ ·rovni. Bohu₧el naÜe souΦasnß vlßda ·lohu informaΦnφch technologiφ znaΦn∞ podce≥uje a vyhlßÜenφ nßrodnφ bezpeΦnostnφ politiky v oblasti IT se asi hned tak nedoΦkßme.