Bezpečnostná politika - Riadenie a koordinácia Celá bezpečnostná politika, teda najdôležitejší
systematicko-preventívny nástroj predchádzania krízam a hlavný plán pre ich riešenie, nemôže byť zostavená a nemôže ani fungovať bez
aktívnej súhry ľudských faktorov, ktoré sa prejavujú spôsobom tvorby, riadenia a koordinácie aktivít za účelom vzniku reálnej politiky
organizačnej bezpečnosti.
Riadenie alebo dnes častejšie manažment je druh ľudskej činnosti, ktorý vyvoláva
a zaisťuje fungovanie istých systémov. Je to uvedomelý spôsob aplikácie teoretických a praktických znalostí človeka (riadiaceho
pracovníka) zameraný na: - identifikáciu a rozpoznanie problémov a cieľov v sledovanom systéme - spôsoby zvládania
problémov - stanovenie postupov k dosiahnutiu zadaných cieľov - implementáciu postupov spojenú s kontrolnými mechanizmami
zameranými tak, aby žiadané ciele boli dosiahnuté optimálne.
Jeho prvou úlohou je: správne
diagnostikovať, alebo špecifikovať každý problém, racionálne rozhodnúť, rozhodnutie akceptovať a realizovať
v daných konkrétnych podmienkach.
Z pohľadu kybernetiky je to proces, ktorého cieľom je udržať správanie sa systému
v určitých medziach, v ktorých sa realizujú žiadané ciele a potláčajú nežiaduce prejavy.
Samotné riadenie sa prejavuje na
všetkých úrovniach vedenia v rámci bezpečnostného manažmentu firmy. Podľa bezpečnostných koncepcií, vzhľadom na objem hrozieb
a disponujúc so silami a prostriedkami, riadenie aktivuje väzby celého priebehu tvorby kvalitného bezpečnostného systému a jeho ďalšieho
riadenia.
V zmysle zvládania problémov v čase rozdeľujeme riadenie podľa časového úseku, na ktorý sa vzťahuje, na: operatívne (t. j. riadenie, ktoré rieši problémy tak, ako prídu), taktické (t. j. riadenie, ktoré predvída niektoré
problémy a snaží sa ich usmerniť, alebo im vopred zabrániť – zväčša časový úsek mesiace až rok) strategické (t. j.
riadenie, ktoré usmerňuje rozvoj tak, aby sme dosiahli žiadané ciele v úseku niekoľkých rokov).
Riadenie je nepretržitý proces
riešenia problémov, teda rozhodovanie. Rozhodovací proces je logicky náväzná, účelná postupnosť krokov subjektu rozhodovania od zistenia
problémov rozhodovania až po formuláciu rozhodnutí. Skladá sa z nasledujúcich krokov: Zhromaždenie a spracovávanie informácií,
pričom spracovanie musí byť adekvátne problému, ktorý sledujeme, rozpoznanie variant riešenia, hľadanie optimálneho riešenia problému,
vlastné rozhodnutie. 2. BEZPEČNOSTNÁ POLITIKA
Motto: najväčšou hrozbou bezpečnosti
v organizácii sú jej vlastní zamestnanci.
„Významná
spoločnosť každoročne zverejňovala k určitému dátumu svoje hospodárske výsledky a po niekoľkých rokoch vykazovala stabilný rast. Jeden
rok však došlo k obratu vo vývoji a zaujímavé bolo, že niekoľko dní pred oficiálnym oznámením výsledkov bola predaná väčšinová
časť akcií spoločnosti. Následné vyšetrovanie ukázalo, že správa o výsledku bola vytváraná v počítači pripojenom do siete
a východzie prístupové práva umožňovali ktorémukoľvek zamestnancovi spoločnosti zoznámiť sa s výsledkami už 5 dní pred ich
zverejnením. Túto možnosť zjavne niekto zo zamestnancov využil a informácie predal.“
2.1 VÝZNAM POJMU BEZPEČNOSTNÁ
POLITIKA Je to súbor zásad a pravidiel určujúcich základné aspekty bezpečnosti, vyjadrené písomnou formou a zamerané na
konkrétnu činnosť organizácie. Predmetom tohto pokračovania je uvedenie základného poňatia bezpečnostnej politiky; nezaoberáme sa tu
ďalšími možnými aplikáciami zmieneného termínu. Zmyslom bezpečnostnej politiky je poskytnúť užívateľom a pracovníkom zodpovedným za
implementáciu bezpečnosti základný rámec riešenia bezpečnosti. S rastúcou závislosťou každodenných činností organizácie na
informačných technológiách rastie aj jej závislosť na zachovanie dôvernosti, integrity a dostupnosti informácií, s ktorým pracuje.
Dosiahnutie účinnej bezpečnosti je úlohou – alebo skôr výzvou – pre vedenie na všetkých úrovniach. Bezpečnosť väčšinou niečo
stojí; môže znepríjemniť predtým jednoduché používanie systémov (napr. zavedením riadenia prístupu); môže brániť efektívnemu
využívaniu systémov (napr. obmedzením vzájomného prepojenia systémov). Najbezpečnejší je systém, ktorý sa nepoužíva – jeho funkčnosť
je však nulová, a preto je treba nájsť určitú rovnováhu.
Príliš mnoho ľudí tiež považuje bezpečnosť za výhradne
technický alebo technologický problém. Pritom práve ľudský faktor hrá veľmi dôležitú úlohu. Ak pripojí napr. organizácia svoju internú
sieť cez firewall na sieť verejnú, potom jediný nedisciplinovaný užívateľ, ktorý prepojí PC z internej siete modemom napr. na Internet,
môže účinnosť firewallu značne obmedziť.
Bezpečnostná politika predstavuje vo všeobecnosti súhrn
činností a opatrení, ktorými subjekt bezpečnosti zabezpečuje svoju ochranu pred pôsobením bezpečnostných rizík a ohrození, ktoré
môžu negatívne ovplyvniť realizáciu jeho životných a dôležitých záujmov .
Vyjadrujeprístup politickej
reprezentácie, orgánov verejnej správy i právnických a fyzických osôb stanoveného priestoru a v danom čase na zaistenie svojej
bezpečnosti, svojich oprávnených záujmov .
Zahŕňa tiež identifikáciu a vyhodnocovanie bezpečnostných výziev
a bezpečnostných rizík, tendencií ich vývoja, včasné rozpoznanie a ovládanie bezpečnostných ohrození a krízových situácií.
Zabezpečuje vytvorenie pružného, flexibilného bezpečnostného systému, zaisťujúceho prirodzené životné potreby, záujmy a hodnoty
občanov, národov a národností na území štátneho celku. [ 2 ]
Bezpečnostná politika, ako jeden z hlavných „produktov“
bezpečnostného manažmentu, vychádza z analýzy rizík a usmerňuje akúkoľvek činnosť síl a prostriedkov pri odstraňovaní, lebo prevencii
pôsobenia nežiadúcich rizík voči chráneným subjektom. Postupnosť tvorby bezpečnostného systému prevencie a ochrany, je zaznamenaná
vásledovne:
V SR je v súčasne dobe bežné, že určitá organizácia a jej vedenie vie, alebo iba tuší, že pracujú s
citlivými informáciami, ale nezamýšľajú sa komplexne nad všetkými aspektmi ich ochrany. Prijíma dielčie opatrenia, ktoré riešia
bezpečnosť iba čiastočne. Napr. banka rieši ochranu osobných údajov svojho klienta šifrovaním (zaistí dôvernosť jeho dát), ale
dostatočne nezabezpečí ochranu šifrovacích kľúčov (prístup k citlivým informáciám). Preto je dôležité prijatie komplexných zásad,
medzi ktoré patrí práve zaistenie dôvernosti údajov, prístup k citlivým informáciám, ale aj zásada oddelenia povinností, princíp dvojitej
kontroly, preverovanie a výber zamestnancov, zásady spolupráce s tretími stranami (napr. firma implementujúca šifrovanie) apod.
Bezpečnostná politika typicky obsahuje obecné prehlásenie o svojich cieľoch, účele, povinnostiach a zodpovednostiach; obvykle definuje
obecné prostriedky pre dosiahnutie týchto cieľov (napr. interné predpisy alebo štandardy organizácie). V hierarchii interných predpisov
organizácie je na najvyššej úrovni a jej dodržovanie je povinné. Použité formulácie musia byť dostatočne obecné; predstavujú dlhodobo
platný dokument, ktorý by nemal podliehať častým zmenám. V tom sa podstatne líši od štandardov alebo predpisov, konkrétne upravujúcich
určité činnosti. Bezpečnostná politika môže napr. obecne stanoviť povinnosť zachovania dôvernosti a integrity dát prenášaných
počítačovými sieťami. Príslušný interný štandard konkrétne určí, že zachovanie dôvernosti a integrity dát bude realizované
šifrovaním prenášaných dát určitým algoritmom podľa národnej alebo medzinárodnej normy. Pokiaľ tento algoritmus prestane vyhovovať
a bude nahradený iným zemí sa iba interný štandard.
2.2 POTREBA BEZPEČNOSTNEJ POLITIKY V RÁMCI FIRMY
Keď napr. dôjde v organizácii k úniku informácií alebo zneužitiu dát, nasleduje obyčajne rozhodnutie vedenia, že prístup k informáciám
a dátam musí byť obmedzený, riadený a kontrolovaný. Ale ako a kým bude obmedzený, ako akým bude riadený, ako a kým bude kontrolovaný?
A ktorých informácií sa obmedzenie bude týkať? Práve bezpečnostná politika stanoví povinnosť previesť analýzu rizík, ktorá vymedzí
citlivé informácie; stanoví obecné pravidlá riadiace prístup k týmto informáciám, spôsob kontroly prístupu a prípadný postih apod.
Zamestnanci nemajú tendenciu si sami prirábať prácu a častým vysvetlením pre riešenie nejakého bezpečnostného problému býva argument
„keby mi to vedúci nariadil, tak by som to urobil“. Bezpečnostná politika je jednou z možností, ako z najvyššej úrovne demonštrovať
význam a dôležitosť informačnej bezpečnosti pre organizáciu a uložiť každému zamestnancovi povinnosť informácie chrániť. Riadiaci
pracovníci na strednej úrovni potom nesmú bezpečnosť ignorovať. V organizáciách, kde sa pravidelne plánuje a zostavuje rozpočet na
ďalšie obdobie, to donúti jednotlivých vedúcich začleniť do rozpočtu svojich útvarov aj výdaje na informačnú bezpečnosť a naopak,
pracovníkom zaoberajúcim sa bezpečnosťou to zaručí pridelenie nevyhnutných zdrojov.
Ak organizácia nie je schopná presne
určiť a vyhlásiť, čo je napr. pri používaní počítačov zakázané, alebo čo je povolené, ťažko bude schopná postihovať prípady, keď
dôjde k nejakému zneužitiu práce s počítačom. Bezpečnostná politika je pre vedenie pomerne lacným a účinným nástrojom, ako
definovať, čo je pre organizáciu prijateľné a čo je neprijateľné a vyjadriť tak svoj záujem na dodržovanie určitých pravidiel a noriem
vnútri organizácie.
Často sa stáva, že niektoré organizačné jednotky podporujú snahu o dosiahnutie informačnej
bezpečnosti, iné sa jej bránia, lebo ich to obmedzuje pri ich činnosti. Ak obidve jednotky zdieľajú rovnaké zdroje (napr. internú sieť LAN,
súborový databázový server apod.), môže byť snaha na jednej stane znehodnocovaná nečinnosťou na strane druhej. Bezpečnostná politika
môže v tomto prípade určiť minimálnu úroveň ochrany, ktorú potom musia všetci dodržovať.
2.3 BEZPEČNOSTNÁ
POLITIKA A VZŤAH K INÝM ORGANIZÁCIÁM Existencia bezpečnostnej politiky hrá dôležitú úlohu tiež vo vzťahu k iným
organizáciám. Je jasným signálom, že informačná bezpečnosť v organizácii nie je podceňovaná, že je jej venovaná zodpovedajúca
pozornosť. Pri vzájomnej výmene informácií majú zúčastnené strany záruku, že predávané informácie budú dostatočne chránené. Ak sa
rozhodne napr. finančná inštitúcia z kapacitných dôvodov zaisťovať niektoré svoje činnosti prostredníctvom externej firmy, potom by
existencia bezpečnostnej politiky mala byť jedným z faktorov výberu konkrétnej firmy.
V USA môžu byť vedúci pracovníci
organizácií trestne postihnutí za nedostatočné riešenie informačnej bezpečnosti (napr. v porovnaní s úrovňou bezpečnosti dosiahnutej
v iných organizáciách zaoberajúcich sa rovnakou činnosťou); vládne organizácie musia mať povinne vypracovanú bezpečnostnú politiku.
2.4 AKTÍVNE ÚLOHY ZAMESTNANCOV Veľmi dôležité je vysvetliť zmysel a účel bezpečnostnej politiky
zamestnancom. Je to dlhodobá úloha, lebo zmeniť spôsob uvažovania a zažité zvyky nie je ľahké. Dôležitú úlohu pritom hrajú pravidelné
bezpečnostné školenia všetkých zamestnancov a neustále zvyšovanie povedomia zamestnancov o informačnej bezpečnosti. Bezpečnosť musí byť
začlenená do programu školenia a vzdelávania pre všetky úrovne zamestnancov. Bezpečnosť musia mať na zreteli vo väčšej či menšej miere
pri svojej práci všetci, inak je naplňovanie bezpečnostnej politiky ťažké a pomalé. Kľúčovou úlohou hrá vedenie organizácie:
pokiaľ nepovažuje informácie za jeden z kritických faktorov pre činnosť organizácie, nebude venovať pozornosť ani zaisteniu ich
bezpečnosti. Východiskovým bodom môže byť vykonanie analýzy rizík; jej výsledky môžu byť užitočným základom pre definovanie
bezpečnostnej politiky. Bezpečnostná politika môže mať rôzne formy, rôzny rozsah a rôzne zameranie podľa typu činnosti organizácie;
typicky však rieši fyzické, personálne, administratívne a technické aspekty bezpečnosti. Politika môže byť definovaná na
viacerých úrovniach, pričom na nižších úrovniach sa zameriava na jednotlivé aspekty bezpečnosti a rieši ich konkrétnejšie.
Je vhodnou platformou pre riešenie súladu činnosti organizácie a jej vnútorných predpisov s platnou legislatívnou. Napr. neoprávneným
používaním softvéru dochádza k porušovania zákona č. 35/1965 Zb. o dielach literárnych, vedeckých a umeleckých; ak sú v databázach
organizácie uložené osobné dáta zamestnancov, vzťahuje sa na ne zákon č. 52/1998 Zb. o ochrane osobných údajov v znení neskorších
predpisov.
Každý zamestnanec organizácie by mal byť pri nástupe do zamestnania s bezpečnostnou politikou oboznámený
a podpísať prehlásenie, kde sa zaväzuje ju dodržiavať.
2.5 ZAISTENIE KONTROLY Dodržiavanie politiky
musí byť kontrolované nezávislým útvarom, typicky vnútorným auditom. Samotný fakt, že jej dodržiavanie je sledované, väčšinou ďalej
prispieva k jej naplňovaniu. Ďalej by mala byť v pravidelných intervaloch vyhodnocovaná a revidovaná.
Je užitočné určitým
spôsobom tiež formalizovať hlásenie a riešenie prípadov porušovania bezpečnosti, tzv. hlásenie incidentov. Vyhodnotením incidentov možno
identifikovať oblasti s nedostatočne zaistenou bezpečnosťou a prijať príslušné opatrenia a prípadne aktualizovať bezpečnostnú politiku.
Bezpečnosť však nie je samoúčelná a je potrebné vždy hľadať vhodný kompromis, napr. medzi bezpečnosťou a jej cenou, medzi
bezpečnosťou a ľahkosťou používania apod.
Jednou z prvých otázok externého audítora pri zahájení auditu v organizácií
je obvykle poznámka na existenciu bezpečnostnej politiky. V krajinách s vyspelou úrovňou informačných technológií existuje bezpečnostná
politika i na národnej úrovni. Bohužiaľ naša súčasná vláda úlohu informačných technológií značne podceňuje a vyhlásenia národnej
bezpečnostnej politiky v oblasti informačných technológií (ďalej už len IT) sa asi hneď tak nedočkáme.
2.6
BEZPEČNOSTNÁ POLITIKA V MANAŽMENTE Bezpečnostná politika je základným a východiskovým dokumentom na projektovanie každého
bezpečnostného systému. Ako som už definoval, predstavuje deklaráciu zodpovednosti subjektu bezpečnosti (organizácie, firmy a pod.) za
bezpečnosť osôb, ochranu majetku a informácií. Bezpečnostná politika definuje chránené záujmy subjektu a stanovuje systémové zásady,
ako tieto záujmy chrániť. Bezpečnostná politika sa vypracúva spravidla po predchádzajúcej analýze bezpečnostných rizík a vychádza
predovšetkým z týchto faktorov:
- z platných právnych noriem a ich priamej aplikácie či aplikácie sprostredkovanej
prostredníctvom podnikových alebo iných normatívnych aktov, - zo špecifík bezpečnostných požiadaviek na zaistenie bezpečnostných
záujmov daného subjektu, - z predstáv subjektu o požadovanom spôsobe ochrany, napr. vlastnou ochranou, dodávateľsky najatou SBS
a pod., - z ekonomických možností a z ochoty financovať náklady na zaistenie bezpečnosti.
Bezpečnostná politika
smerujúca na zaistenie ochrany osôb a majetku sa stala neoddeliteľnou súčasťou interných predpisov bánk, priemyslových podnikov,
obchodných organizácií, dopravných spoločností, telekomunikačných a bezpečnostných organizácií a spoločností. Svoje opodstatnenie má
aj všade tam, kde je chráneným záujmom nehmotný majetok, predovšetkým informácie, ale aj firemné know-how, dobré meno firmy a pod.
Spravidla charakterizuje: - spôsob a postupy riešenia ochrany bezpečnosti subjektu, - časové podmienky
riešenia, - finančné podmienky riešenia, - zásady krízového a havarijného plánovania a riešenia bezpečnostných
incidentov, - spôsoby zabezpečenia ochrany bezpečnosti subjektu, - metódy a spôsoby organizácie, riadenia a koordinácie
ochrany bezpečnosti subjektu. Schválená bezpečnostná politika je základom na projektovanie bezpečnostného systému.