Projekt "Upgrade IS KCP" v režimu "VYHRAZENÉ"
Vyplatí se investovat úsilí, čas a peníze do zabezpečení ochrany utajovaných skutečností? Má nějaký význam podstupovat náročný proces prověřování osob, objektů a systémů Národním bezpečnostním úřadem?
Organizacím státní správy a v budoucnu možná také společnostem s majetkovou účastí státu na tyto otázky odpoví zákonné normy a vyhlášky.
Pro řešitelské organizace může kladná odpověď na dané otázky znamenat příležitost prověřit svou schopnost pracovat v podmínkách zvýšené ochrany informací a podílet se na projektech ve státní správě, které takový způsob práce vyžadují. Mezi ně patří projekt rozvoje informačního systému Komise pro cenné papíry (KCP).
Pro návrh řešení bylo zapotřebí, aby se řešitelé seznámili s prostředím zákazníka a tedy i s informacemi klasifikovanými dle nařízení vlády č.246/1998 Sb., ve znění pozdějších předpisů jako utajované skutečnosti stupně utajení Vyhrazené.
Návrh a realizace projektu probíhal v režimu ochrany utajovaných skutečností ve stupni utajení Vyhrazené, dle zásad stanovených zákonem č.148/1998Sb., ve znění pozdějších předpisů.
Projekt zahrnoval řešení tří oblastí:
- Upgrade současné infrastruktury lokálních počítačových sítí (LAN)
- Zabezpečení připojení sítě KCP
- Přechod na vyšší verzi OS
Konkrétní informace o technickém řešení jednotlivých oblastí jsou utajované skutečnosti a není možné je zveřejnit. Nebudeme se tedy zabývat detailním technickým řešením, ale zejména zkušenostmi z práce v režimu ochrany utajovaných skutečností.
Upgrade současné infrastruktury lokálních počítačových sítí (LAN)
Při upgrade sítě LAN byly využity moderní technologie, umožňující vysokorychlostní přenos dat. Nový návrh respektoval veškerá doporučení pro provozování moderních informačních systémů.
Řešení upgrade sítě LAN znamenalo:
- zvýšení propustnosti,
- zvýšení dostupnosti systémů,
- zvýšení bezpečnosti sítě a síťových prvků.
Zabezpečení připojení sítě KCP
Požadavky KCP byly následující:
- bezpečný přístup kweb serverům,
- přístup do vnitřní sítě prostřednictvím VPN,
- oddělení Informačního kiosku a učebny pro "Makléřské zkoušky".
Navržené firewallové řešení splňuje všechny funkční a bezpečnostní požadavky, při umožnění maximální možnosti kontroly pro správce IS. Je připraveno na rozšíření IS KCP o další bezpečnostní prvky ochrany vnějšího perimetru.
Přechod na vyšší verzi OS
Instalované verze OS již nevyhovovaly potřebám KCP, především z důvodů plánovaného rozvoje IS. Bylo rozhodnuto realizovat upgrade na nové verze OS a implementovat nové vlastnosti OS. Ty umožňují nejen komfortnější práci, ale také další možnosti zabezpečení a tím zvýšení celkové bezpečnosti IS.
Součástí řešení byly následující oblasti:
- služby sítě,
- adresářové služby,
- elektronická pošta,
- databázové, webové a proxy servery,
- antivirová ochrana,
- dohled sítí, serverů a aplikací,
- zálohování a ochrana dat.
Způsob realizace upgrade IS KCP
Režim ochrany utajovaných skutečností
Zpracování projektové dokumentace i samotná realizace projektu probíhala v režimu ochrany utajovaných skutečností. Z jakého důvodu a co takový režim znamená?
Režimová opatření zajišťují, že se s utajovanými skutečnostmi neseznámí neoprávněné osoby, tzn. osoby, které nemají bezpečnostní prověrku příslušného stupně utajení a nejsou pro práci na projektu určeni.
Režimová opatření je třeba dodržovat u projektů, ve kterých se řešitelé musí seznamovat se skutečnostmi, které jsou dle zákona 148/1998 Sb., ve znění pozdějších předpisů klasifikované jako utajované. Pro jednotlivé subjekty státní správy jsou utajované skutečnosti uvedeny v nařízení vlády č.248/1998 Sb.
Prvním krokem projektu bylo stanovení projektového týmu tak, aby obsahoval všechny odbornosti, které byly zapotřebí pro návrh i realizaci. Všichni členové projektového týmu měli ukončenou bezpečnostní prověrku a byli pro práci na projektu určeni statutárním zástupcem společnosti, odpovědným za ochranu utajovaných skutečností. O zahájení projektu, resp. vzniku určení bylo nutné informovat Národní bezpečnostní úřad, přesně podle pravidel stanovených zákonem.
Vedoucí projektu před zahájením prací nejprve informoval všechny členy svého týmu, které konkrétní skutečnosti v projektu podléhají režimu utajení a jaká opatření jsou povinni dodržovat.
Utajované skutečnosti bylo zapotřebí zpracovávat a ukládat v certifikované zabezpečené oblasti. Zabezpečená oblast je prostor v objektu zpracovatele, upravený, resp. vybavený pro ochranu utajovaných skutečností, jak požaduje zákon a vyhláška č.339/1999 Sb., o objektové bezpečnosti. Přístup do prostor zabezpečené oblasti není možný bez bezpečnostního správce, který kontroluje oprávněnost osob s utajovanými skutečnostmi se seznamovat.
Součástí zabezpečené oblasti je certifikovaný informační systém režimového pracoviště s nastavenými bezpečnostními mechanizmy.
V dalším kroku projektu bezpečnostní správce seznámil projektový tým se způsobem práce v režimovém pracovišti a se zásadami, které je třeba dodržovat. Protože projektová dokumentace obsahovala utajované skutečnosti, nebylo možné ji zpracovávat na jiném než certifikovaném režimovém pracovišti. Znamenalo to zvýšené nároky na práci projektového manažera, plánování termínů a koordinaci práce jednotlivých projektantů.
Veškeré dokumenty byly k zákazníkovi doručeny způsobem, který odpovídá zákonným požadavkům.
Návrh a implementace
Roku 2001 byl pro KCP zpracován systémový projekt "Studie řešitelnosti a návrh dalšího rozvoje IS KCP".
Součástí tohoto projektu byla podrobná analýza stávajícího stavu informačního systému a analýza současných a předpokládaných budoucích nároků na funkčnost IS KCP.
Projekt byl rozdělen do tří částí a pro každou z nich byl zpracován systémový, technický a implementační projekt. Na jejich základě pak proběhla v roce 2002 realizace, podle projektové metodiky ANECT.
Migrace serverů byla provedena přes "prodloužený víkend". Součástí upgradu bylo i zakoupení několika serverů pro pokrytí nových funkčností informačního systému. Nové servery byly začleněny do IS a převzaly na sebe hlavní tíhu operací nového IS. Všechny stávající servery byly přeinstalovány a znovu použity pro zajištění jednotlivých služeb IS. Plán migrace byl zpracován tak, aby jednotlivé služby/servery byly migrovány postupně a nedošlo k narušení provozuschopnosti IS KCP. Zvolený způsob migrace proběhl bez dopadu na běžné uživatele (zachování účtů, služeb, dostupnosti Internetu, souborů, databází...).
Zhodnocení projektu
Projekt realizovaný v určitém stupni utajení vyžaduje od celého týmu, který se na realizaci podílí, zvýšené úsilí. Je náročný nejen pro projektanty a pro vedoucího projektu, ale klade zvláštní nároky i na logistiku a obchodníky.
Podle statistiky vykázaných odpracovaných hodin i podle délky trvání prací na jednotlivých etapách lze konstatovat, že náročnost projektu realizovaného v režimu utajení je přibližně dvojnásobná proti obdobnému neutajovanému projektu.
Projekt byl prvním, který společnost ANECT realizovala v režimu ochrany utajovaných skutečností. Přestože jsme se s řadou situací potýkali poprvé, nedošlo při něm k žádnému bezpečnostnímu incidentu. Získané zkušenosti vedly k úpravě interních předpisů tak, aby všechny činnosti mohly napříště probíhat s maximální efektivitou.
