Celková bezpečnostná politika IT
Celková bezpečnostná politika IT
Celková bezpečnostná politika IT uvádza
špecifikáciu cieľov zabezpečenia, definíciu citlivých dát a klasifikáciu týchto dát a definíciu ostatných citlivých aktív IT
a definíciu zodpovednosti za ne. Definuje bezpečnostnú infraštruktúru organizácie a potrebnej sily mechanizmov pre implementáciu
bezpečnostnej funkčnosti. Špecifikuje obmedzenia, ktoré musia bezpečnosti IT organizácie rešpektovať. Je vytváraná nezávisle na práve
používaných informačných technológiách, a to v časovom horizonte obvykle päť až desať rokov. Celková bezpečnostná politika IT je
verejný záväzný dokument prijatý vedením organizácie ako vnútroinštitucionálna norma. Jeho cieľom je ochrana majetku, povesti a činnosti
organizácie. Musí byť úplný (otázky a konflikty možno vyriešiť odkazom na jeho paragrafy), stručný a zrozumiteľný. Musí jasne
stanoviť hierarchické väzby zodpovednosti a právomoci, špecifikuje povinnosti a práva ako pre ľudí, tak aj pre dáta.
Obmedzenia, ktoré musia bezpečnosť IT organizácie rešpektovať, definuje manažment organizácie. Sú obvykle závislé na prostredie, v ktorom
je organizácia činná a radí medzi ne predpisy, vyhlášky, štandardy, zákony a zákonné opatrenia – súhrnne povedané obmedzenia
organizačné, finančné, personálne, časové, právne, technické, kultúrno-sociálne, obmedzenia dané životným prostredím atď. Tieto
obmedzenia ovplyvňujú voľbu bezpečnostných opatrení. Rešpektované obmedzenia sa musia prehodnocovať periodicky, menia sa tak časom, ako aj
zmenou sociálno-politických podmienok; sú odlišné v rôznych geografických podmienkach. Je veľmi vhodné, keď celková bezpečnostná
politika IT stanoví potrebné ohodnotenie požadovanej úrovne bezpečnosti, napr. uvedením cieľovej úrovne zaručiteľnosti bezpečnosti
IT podľa zvolených kritérií bezpečnosti.
Celková bezpečnostná politika IT neobsahuje mená konkrétnych ľudí, produktov,
dielčích noriem apod. Musí ale vedľa jasne stanoveného účelu stanoviť v súlade s organizačným poriadkom organizácie jednoznačne úlohy,
funkčné miesta, zodpovedné za uskutočňovanie klasifikácie dát a prístupových ciest, uskutočňovanie auditu, určenie zodpovedností za
citlivé dáta, za definíciu bezpečnostných cieľov, za výber použitých noriem, určenie, kto smie ku ktorým dátam pristupovať, kto
autorizuje prístup, kto zodpovedná za aktuálnosť plánu činnosti organizácie po bezpečnostnom incidente, za havarijný plán. Príklad
bezpečnostnej infraštruktúry IT organizácie uvádza obrázok:
7.1 BEZPEČNOSTNÝ VÝBOR IT ORGANIZÁCIE
-
rieši interdisciplinárnárne problémy bezpečnosti IT
- dáva riadiacemu výboru organizácie zodpovednému za používanie IT strategické
podnety pre riešenia z hľadiska bezpečnosti
- formuluje bezpečnostnú politiku, získava schválenia od riadiaceho výboru organizácie
zodpovedného za používanie IT
- definuje bezpečnostný program a monitoruje jeho implementáciu
- schvaľuje administratívne
opatrenia a prijaté štandardy
- má dozor nad implementáciu bezpečnostných programov podľa systémových bezpečnostných politík
- hodnotí účinnosť bezpečnostných politík
- presadzuje zvyšovanie bezpečnostného povedomia
- odporúča potrebné
zdroje ( ľudia, peniaze, znalosti ...).
7.2 BEZPEČNOSTNÝ MANAŽÉR IT ORGANIZÁCIE
- jednoznačne
stanovená úloha so zodpovednosťou za bezpečnosť IT organizácie
- spolupracuje s bezpečnostným výborom IT organizácie a je ním
metodicky riadený
- zodpovedný za vykonávanie bezpečnostných funkcií podľa systémovej bezpečnostnej politiky
- vyšetruje
bezpečnostné incidenty a reaguje na ne
- môže byť združenou úlohou s úlohou administratívnej správy systému
7.3 BEZPEČNOSTNÝ AUDITOR IT
- kontrolný orgán.
Na obr. 1. 1 je naviac ukázaná aj väzba bezpečnostnej
infraštruktúry na manažment organizácie a jej riadiaci výbor zodpovedný za aplikácie IT.
7.4 POPIS
ORGANIZÁCIE, KONCEPT A POSLANIE
Stručne sa popisuje poslanie organizácie a funkcie IS v organizácii, uvádzajú sa výsledky
analýzy závislosti organizácie na jej IS a analýza právnej stránky problematiky. Ďalej sa popíše skutočné, t. j. nastávajúce funkčné
prostredie a predpokladané funkčné prostredie chránené vypracovávanou bezpečnostnou politikou. Uvedú sa doposiaľ stanovené zodpovednosti
a právomoci, funkčná bezpečnostná štruktúra organizácie. Dôležité sú výsledky analýzy dát spracovávaných IT organizáciou, zvlášť
potom určenie citlivých informácií a miery ich ochrany – klasifikácie. Popisujú sa služby IT dostupné užívateľom a špecifikácie
aplikačných rozhraní z hľadiska bezpečnosti, sila doposiaľ používaných bezpečnostných mechanizmov. Pre celkovú bezpečnostnú politiku
sú dôležité závery analýzy personálnej otázky bezpečnosti, charakteristiky užívateľov, manažérov a správcov IS. Definuje sa funkčná
dokumentácia a popisujú sa netechnické bezpečnostné opatrenia, administratívne, fyzické, personálne a iné aplikované opatrenia.
7.4.1 Rámcový plán a harmonogram vybudovania celkovej bezpečnostnej politiky (CBP)
- Ciele
CBP
Uvedú sa explicitne vymenované bezpečnostné ciele v pojmoch dôvernosti, integrity, pohotovosti, autenticity, zodpovednosti,
spoľahlivosti aktív a informačných technológií organizácie.
- Špecifikácie potrebnej štruktúry zodpovednosti
a právomocí
Vypracovávanie bezpečnostnej infraštruktúry organizácie, včítane úloh, funkcií, zodpovedností a povinností
pracovníkov (správcov / administrátorov).
- Identifikácie (kritických) aktív, zvlášť citlivých dát
-
Identifikácia obecných hrozieb
- Výsledky orientačnej analýzy rizík
- Popis nastávajúceho stavu
zabezpečenia
Formou orientačného popisu aplikovaných bezpečnostných opatrení.
- Doporučenia, ako dosiahnuť
bezpečnostné ciele
Formou orientačného popisu navrhovaných bezpečnostných opatrení.
Zones.sk – Zóny pre každého študenta