CSSKEN
Název:

Bezpečnost informačních systémů - pohled shora

Autor:
Zbyněk Doupovec
Publikováno:
IT NET 05/2002

O co vlastně jde?

S bezpečností je to podobné jako se zdravím - začínáme se jí většinou zabývat až v okamžiku, když se něco stane a tedy, když už bývá pozdě. Obvykle si myslíme, že nás se to přece netýká. O bezpečnost ať se starají např. banky, policie apod. Proč se tím zabývat v naší firmě? Nám přece nic nehrozí. Kdo by si u nás co vzal? Bohužel tomu tak není.

Cože to ta bezpečnost vlastně je? Bezpečnost můžeme chápat jako stav, kdy je zajištěn bezproblémový chod firmy. A to už je přece cíl každého z nás! Je zřejmé, že takové pojetí je velmi obecné a v praxi se dělí na celou řadu oblastí (např. na všem dobře známou Požární bezpečnost). V tomto článku se budeme dále zabývat pouze bezpečností informačních systémů (IS). I zde se nejedná jen o samotnou výpočetní techniku, ale o systém, který se dotýká celého chodu firmy od zamykání vchodu až po používání čipových karet.

Mějme na zřeteli, že IS jsou neustále vystavovány nejrůznějším hrozbám počínaje počítačovými viry, přes počítačové podvody, útoky crackerů, až po sabotáže, požáry a povodně. Je tedy nutné, aby byla vytvořena pokud možno jednotná kritéria, podle nichž lze posuzovat bezpečnost IS. Na jejich vytvoření pracovalo a pracuje velké množství firem a institucí po celém světě. Jen tak je možné IS hodnotit, porovnávat, případně certifikovat. V našich zeměpisných šířkách se nejčastěji používají ITSEC, ITSEM, ISO 17799 (BS 7799), ISO 15408 (Common Criteria). Nesmíme samozřejmě opomenout ani naše zákony (zák. 148/1998 Sb.) a vyhlášky NBÚ (vyhl. 56/1999), které ovšem z těchto mezinárodních norem vycházejí. Obecně existují dva přístupy k normám a certifikaci. První bychom mohli nazvat formální a druhý například věcný. V prvním případě je hlavní snahou dosažení certifikace při co nejmenší námaze a minimálních změnách. Ve druhém případě je hlavní motivací udělat maximum pro bezpečnost. Tři základní pilíře, na kterých je bezpečnost IS postavena jsou:

  1. důvěrnost - ochrana informací před neautorizovaným přístupem
  2. integrita - ochrana informací před neautorizovanou modifikací
  3. dostupnost - ochrana před odmítnutím informace při autorizovaném přístupu

Jak se to dělá?

Jak tedy takové zabezpečení IS vypadá v praxi? Nejdůležitějším pravidlem, které musíme mít neustále na zřeteli, je fakt, že bezpečnost je dynamický proces. Bezpečnost musí respektovat růst či změny vašeho IS, celé vaší firmy, případně podnikatelských aktivit. Z této zásady vychází obecné schéma řešení bezpečnostní problematiky - systém řízení informační bezpečnosti. Cílem tohoto systému je nejen dosáhnout požadované bezpečnosti, ale také reagovat na měnící se situaci.

Popišme si nyní podrobněji celý proces. Na začátek úvod do terminologie. Každá firma má svá aktiva, což je všechno, co má pro danou firmu hodnotu a co je tedy třeba chránit (např. hardware, software, data apod.). Každé aktivum s sebou nese určité zranitelné místo - slabinu, která může být zneužita. Na aktiva působí hrozby - reálná nebezpečí vyplývající z existence zranitelných míst. Je tedy potřeba provést analýzu rizik - proces, kdy zjišťujeme, které ze všech možných hrozeb mohou být uskutečněny a s jakou pravděpodobností. Na základě této analýzy navrhujeme vhodná protiopatření. Výsledkem je bezpečnostní politika - soubor předpisů, pravidel a postupů určujících, jakým způsobem jsou minimalizována zjištěná rizika. Nyní se můžeme pustit do popisu jednotlivých etap. Tento popis se možná bude zdát příliš stručný a obecný. Je to dáno tím, že neexistuje jednotné řešení. Bezpečnost je velmi závislá na konkrétních podmínkách a není možné vytvořit nějaké univerzální řešení, které by se pouze jednoduše nainstalovalo z CDROMu. Jde totiž nejen o technickou část problému, ale hlavně o organizační záležitosti. A tu již do hry vstupuje člověk jako tvor omylný. Je známým faktem, že za většinou bezpečnostních problémů stojí lidská chyba.

 

Na počátku všeho je rozhodnutí vedení firmy se bezpečností IS vážně zabývat a stanovení bezpečnostních požadavků. K tomu mohou vést firmu tyto hlavní důvody:

  1. vědomí existence reálných rizik ve firmě
  2. požadavky zákonů a obchodních partnerů
  3. konkrétní principy, cíle a požadavky, které si firma stanovila pro svou činnost

Nejprve vymezíme rozsah, ve kterém budeme systém řízení bezpečnosti aplikovat. Může jít o celou firmu, ale také jen o její část, o její IS nebo jen jeho část, jeho určitou službu apod. Záleží na tom, co je v dané situaci praktické, reálné a "rozumné". Na základě vymezení rozsahu stanovíme aktiva, která jsou pro nás relevantní. Následně identifikujeme zranitelná místa těchto aktiv, pravděpodobnost výskytu hrozeb působících na aktiva a jejich závažnost. Dále provedeme ohodnocení dopadu hrozeb na aktiva. Pro stanovení pravděpodobnosti a závažnosti hrozeb samozřejmě neexistují exaktní hodnoty. Při jejich stanovení se nejvíce vychází ze zkušeností odborných konzultantů. Při návrhu protiopatření musíme vycházet z ceny aktiv, protože je zřejmé, že není účelem investovat do protiopatření více, než je odhadnutá cena aktiv, případně více, než je odhad škod způsobený danou hrozbou. Určení ceny aktiv je také náročný proces. Některé ceny lze vyčíslit velmi snadno, např. pořizovací cenou, jiné se musí odhadovat za použití zkušeností odborných konzultantů a analytických nástrojů. Typickým představitelem této skupiny aktiv jsou např. data.

Pro stanovení optimální míry bezpečnosti je zpravidla rozhodující výše možných škod, která závisí jak na ceně aktiv, tak i na riziku hrozby. Vztah mezi výškou škody, náklady na protiopatření a výslednou bezpečností lze znázornit takto:

 

Navrhovaná opatření by se měla pohybovat v oblasti kolem bodu optimálního stavu. Jestliže máme navržena protiopatření, můžeme vypracovat bezpečnostní politiku, která by měla obsahovat informace o východisku pro zpracování analýzy rizik, definici bezpečnosti informací a její rozsah, cíle firmy v oblasti bezpečnosti IS, shrnutí bezpečnostních zásad, principů a norem, odkazy na podrobné bezpečnostní dokumenty, stanovení odpovědností pro oblast bezpečností a v neposlední řadě také podporu vedení systému řízení bezpečnosti.

 

Další etapou je implementace řízení rizik. Tato část je nejnáročnější. Zde se nastavují firemní procesy podle bezpečnostní politiky tak, aby se minimalizovalo riziko, ale přitom tak, aby byl zachován "duch" firmy. Nezbytnou součástí této etapy musí být i testování protiopatření a zaškolení uživatelů. Následující etapou je monitorování a kontrola účinnosti a dodržování implementovaných bezpečnostních opatření a reagování na případné nedostatky, což již spadá do následující etapy. Tím jsme opět na začátku cyklu, kruh se uzavírá a nám nezbývá než konstatovat, že Sysifos může být rád, že má jen svůj kámen, protože řešit bezpečnostní problematiku je práce ještě "nekonečnější". Přitom zavedení bezpečnostní politiky nepřináší firmě žádný přímý a rychlý zisk, ale naopak přináší investice na její vybudování a provoz. Její úloha je však nedocenitelná v případě mimořádných událostí, zvyšuje prestiž a důvěryhodnost firmy a chrání její stabilitu.

A na závěr

Je smutnou pravdou, že většinou neznáme skutečnou cenu svých dat, dokud o ně nepřijdeme.

Copyright (c) 2007 ANECT a.s. , Praha: +420 271 100 100, Brno: +420 547 100 100, Bratislava: +421 (2) 4821 3111, Přihlášení | Publikační systém Amadeo  Vytiskni stránku