Celková bezpečnostná politika IT

Celková bezpečnostná politika IT
 
Celková bezpečnostná politika IT uvádza špecifikáciu cieľov zabezpečenia, definíciu citlivých dát a klasifikáciu týchto dát a definíciu ostatných citlivých aktív IT a definíciu zodpovednosti za ne. Definuje bezpečnostnú infraštruktúru organizácie a potrebnej sily mechanizmov pre implementáciu bezpečnostnej funkčnosti. Špecifikuje obmedzenia, ktoré musia bezpečnosti IT organizácie rešpektovať. Je vytváraná nezávisle na práve používaných informačných technológiách, a to v časovom horizonte obvykle päť až desať rokov. Celková bezpečnostná politika IT je verejný záväzný dokument prijatý vedením organizácie ako vnútroinštitucionálna norma. Jeho cieľom je ochrana majetku, povesti a činnosti organizácie. Musí byť úplný (otázky a konflikty možno vyriešiť odkazom na jeho paragrafy), stručný a zrozumiteľný. Musí jasne stanoviť hierarchické väzby zodpovednosti a právomoci, špecifikuje povinnosti a práva ako pre ľudí, tak aj pre dáta.
 
Obmedzenia, ktoré musia bezpečnosť IT organizácie rešpektovať, definuje manažment organizácie. Sú obvykle závislé na prostredie, v ktorom je organizácia činná a radí medzi ne predpisy, vyhlášky, štandardy, zákony a zákonné opatrenia – súhrnne povedané obmedzenia organizačné, finančné, personálne, časové, právne, technické, kultúrno-sociálne, obmedzenia dané životným prostredím atď. Tieto obmedzenia ovplyvňujú voľbu bezpečnostných opatrení. Rešpektované obmedzenia sa musia prehodnocovať periodicky, menia sa tak časom, ako aj zmenou sociálno-politických podmienok; sú odlišné v rôznych geografických podmienkach. Je veľmi vhodné, keď celková bezpečnostná politika IT stanoví potrebné ohodnotenie požadovanej úrovne bezpečnosti, napr. uvedením cieľovej úrovne zaručiteľnosti bezpečnosti IT podľa zvolených kritérií bezpečnosti.
 
Celková bezpečnostná politika IT neobsahuje mená konkrétnych ľudí, produktov, dielčích noriem apod. Musí ale vedľa jasne stanoveného účelu stanoviť v súlade s organizačným poriadkom organizácie jednoznačne úlohy, funkčné miesta, zodpovedné za uskutočňovanie  klasifikácie dát a prístupových ciest, uskutočňovanie auditu, určenie zodpovedností za citlivé dáta, za definíciu bezpečnostných cieľov, za výber použitých noriem, určenie, kto smie ku ktorým dátam pristupovať, kto autorizuje prístup, kto zodpovedná za aktuálnosť plánu činnosti organizácie po bezpečnostnom incidente, za havarijný plán. Príklad bezpečnostnej infraštruktúry IT organizácie uvádza obrázok:
 
7.1 BEZPEČNOSTNÝ VÝBOR IT ORGANIZÁCIE
-  rieši interdisciplinárnárne problémy bezpečnosti IT
-  dáva riadiacemu výboru organizácie zodpovednému za používanie IT strategické podnety pre riešenia z hľadiska bezpečnosti
-  formuluje bezpečnostnú politiku, získava schválenia od riadiaceho výboru organizácie zodpovedného za používanie IT
-  definuje bezpečnostný program a monitoruje jeho implementáciu
-  schvaľuje administratívne opatrenia a prijaté štandardy
-  má dozor nad implementáciu bezpečnostných programov podľa systémových bezpečnostných politík
-  hodnotí účinnosť bezpečnostných politík
-  presadzuje zvyšovanie bezpečnostného povedomia
-  odporúča potrebné zdroje ( ľudia, peniaze, znalosti ...).
 
7.2 BEZPEČNOSTNÝ MANAŽÉR IT ORGANIZÁCIE
-  jednoznačne stanovená úloha so zodpovednosťou za bezpečnosť IT organizácie
-  spolupracuje s bezpečnostným výborom IT organizácie a je ním metodicky riadený
-  zodpovedný za vykonávanie bezpečnostných funkcií podľa systémovej bezpečnostnej politiky
-  vyšetruje bezpečnostné incidenty a reaguje na ne
-  môže byť združenou úlohou s úlohou administratívnej správy systému
 
7.3 BEZPEČNOSTNÝ AUDITOR IT
-  kontrolný orgán.
Na obr. 1. 1 je naviac ukázaná aj väzba bezpečnostnej infraštruktúry na manažment organizácie a jej riadiaci výbor zodpovedný za aplikácie IT.
 
7.4 POPIS ORGANIZÁCIE, KONCEPT A POSLANIE
Stručne sa popisuje poslanie organizácie a funkcie IS v organizácii, uvádzajú sa výsledky analýzy závislosti organizácie na jej IS a analýza právnej stránky problematiky. Ďalej sa popíše skutočné, t. j. nastávajúce funkčné prostredie a predpokladané funkčné prostredie chránené vypracovávanou bezpečnostnou politikou. Uvedú sa doposiaľ stanovené zodpovednosti a právomoci, funkčná bezpečnostná štruktúra organizácie. Dôležité sú výsledky analýzy dát spracovávaných IT organizáciou, zvlášť potom  určenie citlivých informácií a miery ich ochrany – klasifikácie. Popisujú sa služby IT dostupné užívateľom a špecifikácie aplikačných rozhraní z hľadiska bezpečnosti, sila doposiaľ používaných bezpečnostných mechanizmov. Pre celkovú bezpečnostnú politiku sú dôležité závery analýzy personálnej otázky bezpečnosti, charakteristiky užívateľov, manažérov a správcov IS. Definuje sa funkčná dokumentácia a popisujú sa netechnické bezpečnostné opatrenia, administratívne, fyzické, personálne a iné aplikované opatrenia.
 
7.4.1 Rámcový plán a harmonogram vybudovania celkovej bezpečnostnej politiky (CBP)
 
-  Ciele CBP
Uvedú sa explicitne vymenované bezpečnostné ciele v pojmoch dôvernosti, integrity, pohotovosti, autenticity, zodpovednosti, spoľahlivosti aktív a informačných technológií organizácie.
-  Špecifikácie potrebnej štruktúry zodpovednosti a právomocí
Vypracovávanie bezpečnostnej infraštruktúry organizácie, včítane úloh, funkcií, zodpovedností a povinností pracovníkov (správcov / administrátorov).
-  Identifikácie (kritických) aktív, zvlášť citlivých dát
-  Identifikácia obecných hrozieb
-  Výsledky orientačnej analýzy rizík
-  Popis nastávajúceho stavu zabezpečenia
Formou orientačného popisu aplikovaných bezpečnostných opatrení.
-  Doporučenia, ako dosiahnuť bezpečnostné ciele
Formou orientačného popisu navrhovaných bezpečnostných opatrení.