Bezpečnostná politika - Riadenie a koordinácia

Ostatné » Informatika

Autor: verca123
Typ práce: Referát
Dátum: 31.05.2014
Jazyk: Slovenčina
Rozsah: 1 897 slov
Počet zobrazení: 2 541
Tlačení: 248
Uložení: 252
Bezpečnostná politika - Riadenie a koordinácia
Celá bezpečnostná politika, teda najdôležitejší systematicko-preventívny nástroj predchádzania krízam a hlavný plán pre ich riešenie, nemôže byť zostavená a nemôže ani fungovať bez aktívnej súhry ľudských faktorov, ktoré sa prejavujú spôsobom tvorby, riadenia a koordinácie aktivít za účelom vzniku reálnej politiky organizačnej bezpečnosti.
 
Riadenie alebo dnes častejšie manažment je druh ľudskej činnosti, ktorý vyvoláva a zaisťuje fungovanie istých systémov. Je to uvedomelý spôsob aplikácie teoretických a praktických znalostí človeka (riadiaceho pracovníka) zameraný na:
-  identifikáciu a rozpoznanie problémov a cieľov v sledovanom systéme
-  spôsoby zvládania problémov
-  stanovenie postupov k dosiahnutiu zadaných cieľov
-  implementáciu postupov spojenú s kontrolnými mechanizmami zameranými tak, aby žiadané ciele boli dosiahnuté optimálne.
 
Jeho prvou úlohou je:
  správne diagnostikovať, alebo špecifikovať každý problém,
  racionálne rozhodnúť,
  rozhodnutie akceptovať
  a realizovať v daných konkrétnych podmienkach.
 
Z pohľadu kybernetiky je to proces, ktorého cieľom je udržať správanie sa systému v určitých medziach, v ktorých sa realizujú žiadané ciele a potláčajú nežiaduce prejavy.

Samotné riadenie sa prejavuje na všetkých úrovniach vedenia v rámci bezpečnostného manažmentu firmy. Podľa bezpečnostných koncepcií, vzhľadom na objem hrozieb a disponujúc so silami a prostriedkami, riadenie aktivuje väzby celého priebehu tvorby kvalitného bezpečnostného systému a jeho ďalšieho riadenia.
 
V zmysle zvládania problémov v čase rozdeľujeme riadenie podľa časového úseku, na ktorý sa vzťahuje, na:
operatívne (t. j. riadenie, ktoré rieši problémy tak, ako prídu),
taktické (t. j. riadenie, ktoré predvída niektoré problémy a snaží sa ich usmerniť, alebo im vopred zabrániť – zväčša časový úsek mesiace až rok)
strategické (t. j. riadenie, ktoré usmerňuje rozvoj tak, aby sme dosiahli žiadané ciele v úseku niekoľkých rokov).
 
Riadenie je nepretržitý proces riešenia problémov, teda rozhodovanie. Rozhodovací proces je logicky náväzná, účelná postupnosť krokov subjektu rozhodovania od zistenia problémov rozhodovania až po formuláciu rozhodnutí. Skladá sa z nasledujúcich krokov:
Zhromaždenie a spracovávanie informácií, pričom spracovanie musí byť adekvátne problému, ktorý sledujeme, rozpoznanie variant riešenia, hľadanie optimálneho riešenia problému, vlastné rozhodnutie.

2. BEZPEČNOSTNÁ POLITIKA

 

Motto: najväčšou hrozbou bezpečnosti v organizácii sú jej vlastní zamestnanci.

  „Významná spoločnosť každoročne zverejňovala k určitému dátumu svoje hospodárske výsledky a po niekoľkých rokoch vykazovala stabilný rast. Jeden rok však došlo k obratu vo vývoji a zaujímavé bolo, že niekoľko dní pred oficiálnym oznámením výsledkov bola predaná väčšinová časť akcií spoločnosti. Následné vyšetrovanie ukázalo, že správa o výsledku bola vytváraná v počítači pripojenom do siete a východzie prístupové práva umožňovali ktorémukoľvek zamestnancovi spoločnosti zoznámiť sa s výsledkami už 5 dní pred ich zverejnením. Túto možnosť zjavne niekto zo zamestnancov využil a informácie predal.“
 
2.1 VÝZNAM POJMU BEZPEČNOSTNÁ POLITIKA
Je to súbor zásad a pravidiel určujúcich základné aspekty bezpečnosti, vyjadrené písomnou formou a zamerané na konkrétnu činnosť organizácie. Predmetom tohto pokračovania je uvedenie základného poňatia bezpečnostnej politiky; nezaoberáme sa tu ďalšími možnými aplikáciami zmieneného termínu. Zmyslom bezpečnostnej politiky je poskytnúť užívateľom a pracovníkom zodpovedným za implementáciu bezpečnosti základný rámec riešenia bezpečnosti. S rastúcou závislosťou každodenných činností organizácie na informačných technológiách rastie aj jej závislosť na zachovanie dôvernosti, integrity a dostupnosti informácií, s ktorým pracuje. Dosiahnutie účinnej bezpečnosti je úlohou – alebo skôr výzvou – pre vedenie na všetkých úrovniach. Bezpečnosť väčšinou niečo stojí; môže znepríjemniť predtým jednoduché používanie systémov (napr. zavedením riadenia prístupu); môže brániť efektívnemu využívaniu systémov (napr. obmedzením vzájomného prepojenia systémov). Najbezpečnejší je systém, ktorý sa nepoužíva – jeho funkčnosť je však nulová, a preto je treba nájsť určitú rovnováhu.
 
  Príliš mnoho ľudí tiež považuje bezpečnosť za výhradne technický alebo technologický problém. Pritom práve ľudský faktor hrá veľmi dôležitú úlohu. Ak pripojí napr. organizácia svoju internú sieť cez firewall na sieť verejnú, potom jediný nedisciplinovaný užívateľ, ktorý prepojí PC z internej siete modemom napr. na Internet, môže účinnosť firewallu značne obmedziť.
 
Bezpečnostná politika  predstavuje vo všeobecnosti súhrn činností a opatrení, ktorými subjekt bezpečnosti zabezpečuje svoju ochranu pred pôsobením bezpečnostných rizík a ohrození, ktoré môžu  negatívne ovplyvniť realizáciu jeho životných a dôležitých záujmov .
 
Vyjadruje prístup politickej reprezentácie, orgánov verejnej správy i právnických a fyzických osôb stanoveného priestoru a v danom čase na zaistenie svojej bezpečnosti, svojich oprávnených záujmov .
 
Zahŕňa tiež  identifikáciu a vyhodnocovanie bezpečnostných výziev a bezpečnostných rizík, tendencií ich vývoja, včasné rozpoznanie a ovládanie bezpečnostných ohrození a krízových situácií.
 
Zabezpečuje vytvorenie pružného, flexibilného bezpečnostného systému, zaisťujúceho prirodzené životné potreby, záujmy a hodnoty občanov, národov a národností na území štátneho celku. [ 2 ]
 
Bezpečnostná politika, ako jeden z hlavných „produktov“ bezpečnostného manažmentu, vychádza z analýzy rizík a usmerňuje akúkoľvek činnosť síl a prostriedkov pri odstraňovaní, lebo prevencii pôsobenia nežiadúcich rizík voči chráneným subjektom. Postupnosť tvorby bezpečnostného systému prevencie a ochrany, je zaznamenaná vásledovne:
 
V SR je v súčasne dobe bežné, že určitá organizácia a jej vedenie vie, alebo iba tuší, že pracujú s citlivými informáciami, ale nezamýšľajú sa komplexne nad všetkými aspektmi ich ochrany. Prijíma dielčie opatrenia, ktoré riešia bezpečnosť iba čiastočne. Napr. banka rieši ochranu osobných údajov svojho klienta šifrovaním (zaistí dôvernosť jeho dát), ale dostatočne nezabezpečí ochranu šifrovacích kľúčov (prístup k citlivým informáciám). Preto je dôležité prijatie komplexných zásad, medzi ktoré patrí práve zaistenie dôvernosti údajov, prístup k citlivým informáciám, ale aj zásada oddelenia povinností, princíp dvojitej kontroly, preverovanie a výber zamestnancov, zásady spolupráce s tretími stranami (napr. firma implementujúca šifrovanie) apod.
 
Bezpečnostná politika typicky obsahuje obecné prehlásenie o svojich cieľoch, účele, povinnostiach a zodpovednostiach; obvykle definuje obecné prostriedky pre dosiahnutie týchto cieľov (napr. interné predpisy alebo štandardy organizácie). V hierarchii interných predpisov organizácie je na najvyššej úrovni a jej dodržovanie je povinné. Použité formulácie musia byť dostatočne obecné; predstavujú dlhodobo platný dokument, ktorý by nemal podliehať častým zmenám. V tom sa podstatne líši od štandardov alebo predpisov, konkrétne upravujúcich určité činnosti. Bezpečnostná politika môže napr. obecne stanoviť povinnosť zachovania dôvernosti a integrity dát prenášaných počítačovými sieťami. Príslušný interný štandard konkrétne určí, že zachovanie dôvernosti a integrity dát bude realizované šifrovaním prenášaných dát určitým algoritmom podľa národnej alebo medzinárodnej normy. Pokiaľ tento algoritmus prestane vyhovovať a bude nahradený iným zemí sa iba interný štandard.
 
2.2 POTREBA BEZPEČNOSTNEJ POLITIKY V RÁMCI FIRMY
Keď napr. dôjde v organizácii k úniku informácií alebo zneužitiu dát, nasleduje obyčajne rozhodnutie vedenia, že prístup k informáciám a dátam musí byť obmedzený, riadený a kontrolovaný. Ale ako a kým bude obmedzený, ako akým bude riadený, ako a kým bude kontrolovaný? A ktorých informácií sa obmedzenie bude týkať? Práve bezpečnostná politika stanoví povinnosť previesť analýzu rizík, ktorá vymedzí citlivé informácie; stanoví obecné pravidlá riadiace prístup k týmto informáciám, spôsob kontroly prístupu a prípadný postih apod. Zamestnanci nemajú tendenciu si sami prirábať prácu a častým vysvetlením pre riešenie nejakého bezpečnostného problému býva argument „keby mi to vedúci nariadil, tak by som to urobil“. Bezpečnostná politika je jednou z možností, ako z najvyššej úrovne demonštrovať význam a dôležitosť informačnej bezpečnosti pre organizáciu a uložiť každému zamestnancovi povinnosť informácie chrániť. Riadiaci pracovníci na strednej úrovni potom nesmú bezpečnosť ignorovať. V organizáciách, kde sa pravidelne plánuje a zostavuje rozpočet na ďalšie obdobie, to donúti jednotlivých vedúcich začleniť do rozpočtu svojich útvarov aj výdaje na informačnú bezpečnosť a naopak, pracovníkom zaoberajúcim sa bezpečnosťou to zaručí pridelenie nevyhnutných zdrojov.
 
Ak organizácia nie je schopná presne určiť a vyhlásiť, čo je napr. pri používaní počítačov zakázané, alebo čo je povolené, ťažko bude schopná postihovať prípady, keď dôjde k nejakému zneužitiu práce s počítačom. Bezpečnostná politika je pre vedenie pomerne lacným a účinným nástrojom, ako definovať, čo je pre organizáciu prijateľné a čo je neprijateľné a vyjadriť tak svoj záujem na dodržovanie určitých pravidiel a noriem vnútri organizácie.
 
Často sa stáva, že niektoré organizačné jednotky podporujú snahu o dosiahnutie informačnej bezpečnosti, iné sa jej bránia, lebo ich to obmedzuje pri ich činnosti. Ak obidve jednotky zdieľajú rovnaké zdroje (napr. internú sieť LAN, súborový databázový server apod.), môže byť snaha na jednej stane znehodnocovaná nečinnosťou na strane druhej. Bezpečnostná politika môže v tomto prípade určiť minimálnu úroveň ochrany, ktorú potom musia všetci dodržovať.
 
2.3 BEZPEČNOSTNÁ POLITIKA A VZŤAH K INÝM ORGANIZÁCIÁM
Existencia bezpečnostnej politiky hrá dôležitú úlohu tiež vo vzťahu k iným organizáciám. Je jasným signálom, že informačná bezpečnosť v organizácii nie je podceňovaná, že je jej venovaná zodpovedajúca pozornosť. Pri vzájomnej výmene informácií majú zúčastnené strany záruku, že predávané informácie budú dostatočne chránené. Ak sa rozhodne napr. finančná inštitúcia z kapacitných dôvodov zaisťovať niektoré svoje činnosti prostredníctvom externej firmy, potom by existencia bezpečnostnej politiky mala byť jedným z faktorov výberu konkrétnej firmy.
 
V USA môžu byť vedúci pracovníci organizácií trestne postihnutí za nedostatočné riešenie informačnej bezpečnosti (napr. v porovnaní s úrovňou bezpečnosti dosiahnutej v iných organizáciách zaoberajúcich sa rovnakou činnosťou);  vládne organizácie musia mať povinne vypracovanú bezpečnostnú politiku.
 
2.4 AKTÍVNE ÚLOHY ZAMESTNANCOV
Veľmi dôležité je vysvetliť zmysel a účel bezpečnostnej politiky zamestnancom. Je to dlhodobá úloha, lebo zmeniť spôsob uvažovania a zažité zvyky nie je ľahké. Dôležitú úlohu pritom hrajú pravidelné bezpečnostné školenia všetkých zamestnancov a neustále zvyšovanie povedomia zamestnancov o informačnej bezpečnosti. Bezpečnosť musí byť začlenená do programu školenia a vzdelávania pre všetky úrovne zamestnancov. Bezpečnosť musia mať na zreteli vo väčšej či menšej miere pri svojej práci všetci, inak je naplňovanie bezpečnostnej politiky ťažké a pomalé. Kľúčovou úlohou hrá vedenie organizácie: pokiaľ nepovažuje informácie za jeden z kritických faktorov pre činnosť organizácie, nebude venovať pozornosť ani zaisteniu ich bezpečnosti. Východiskovým bodom môže byť vykonanie analýzy rizík; jej výsledky môžu byť užitočným základom pre definovanie bezpečnostnej politiky. Bezpečnostná politika môže mať rôzne formy, rôzny rozsah a rôzne zameranie podľa typu činnosti organizácie; typicky však rieši fyzické, personálne, administratívne a technické aspekty bezpečnosti. Politika môže byť definovaná na viacerých úrovniach, pričom na nižších úrovniach sa zameriava na jednotlivé aspekty bezpečnosti a rieši ich konkrétnejšie.
 
Je vhodnou platformou pre riešenie súladu činnosti organizácie a jej vnútorných predpisov s platnou legislatívnou. Napr. neoprávneným používaním softvéru dochádza k porušovania zákona č. 35/1965 Zb. o dielach literárnych, vedeckých a umeleckých; ak sú v databázach organizácie uložené osobné dáta zamestnancov, vzťahuje sa na ne zákon č. 52/1998 Zb. o ochrane osobných údajov v znení neskorších predpisov.
 
Každý zamestnanec organizácie by mal byť pri nástupe do zamestnania s bezpečnostnou politikou oboznámený a podpísať prehlásenie, kde sa zaväzuje ju dodržiavať.
 
2.5 ZAISTENIE KONTROLY
Dodržiavanie politiky musí byť kontrolované nezávislým útvarom, typicky vnútorným auditom. Samotný fakt, že jej dodržiavanie je sledované, väčšinou ďalej prispieva k jej naplňovaniu. Ďalej by mala byť v pravidelných intervaloch vyhodnocovaná a revidovaná.
 
Je užitočné určitým spôsobom tiež formalizovať hlásenie a riešenie prípadov porušovania bezpečnosti, tzv. hlásenie incidentov. Vyhodnotením incidentov možno identifikovať oblasti s nedostatočne zaistenou bezpečnosťou a prijať príslušné opatrenia a prípadne aktualizovať bezpečnostnú politiku. Bezpečnosť však nie je samoúčelná a je potrebné vždy hľadať vhodný kompromis, napr. medzi bezpečnosťou a jej cenou, medzi bezpečnosťou a ľahkosťou používania apod.
 
Jednou z prvých otázok externého audítora pri zahájení auditu v organizácií je obvykle poznámka na existenciu bezpečnostnej politiky. V krajinách s vyspelou úrovňou informačných technológií existuje bezpečnostná politika i na národnej úrovni. Bohužiaľ naša súčasná vláda úlohu informačných technológií značne podceňuje a vyhlásenia národnej bezpečnostnej politiky v oblasti informačných technológií (ďalej už len IT) sa asi hneď tak nedočkáme.

2.6 BEZPEČNOSTNÁ POLITIKA V MANAŽMENTE
Bezpečnostná politika je základným a východiskovým dokumentom na projektovanie každého bezpečnostného systému. Ako som už definoval, predstavuje deklaráciu zodpovednosti subjektu bezpečnosti (organizácie, firmy a pod.) za bezpečnosť osôb, ochranu majetku a informácií. Bezpečnostná politika definuje chránené záujmy subjektu a stanovuje systémové zásady, ako tieto záujmy chrániť. Bezpečnostná politika sa vypracúva spravidla po predchádzajúcej analýze bezpečnostných rizík a vychádza predovšetkým z týchto faktorov:
 
-  z platných právnych noriem a ich priamej aplikácie či aplikácie  sprostredkovanej prostredníctvom podnikových alebo iných normatívnych aktov,
-  zo špecifík bezpečnostných požiadaviek na zaistenie bezpečnostných záujmov daného subjektu,
-  z predstáv subjektu o požadovanom spôsobe ochrany, napr. vlastnou ochranou, dodávateľsky najatou SBS a pod.,
-  z ekonomických možností  a z ochoty financovať náklady na zaistenie bezpečnosti.
 
Bezpečnostná politika smerujúca  na zaistenie ochrany osôb a majetku sa stala neoddeliteľnou súčasťou interných predpisov bánk, priemyslových podnikov, obchodných organizácií, dopravných spoločností, telekomunikačných a bezpečnostných organizácií a spoločností. Svoje opodstatnenie má aj všade tam, kde je chráneným záujmom nehmotný majetok, predovšetkým informácie, ale aj firemné know-how, dobré meno firmy a pod.
 
Spravidla charakterizuje:
-  spôsob a postupy riešenia ochrany bezpečnosti subjektu,
-  časové podmienky riešenia,
-  finančné podmienky riešenia,
-  zásady  krízového a havarijného plánovania a riešenia bezpečnostných incidentov,
-  spôsoby zabezpečenia ochrany bezpečnosti subjektu,
-  metódy a spôsoby organizácie, riadenia a koordinácie  ochrany bezpečnosti subjektu.
Schválená bezpečnostná politika je základom na projektovanie bezpečnostného systému.
Oboduj prácu: 10 9 8 7 6 5 4 3 2 1


Odporúčame

Ostatné » Informatika

:: KATEGÓRIE - Referáty, ťaháky, maturita:

0.019