Systémová bezpečnostná politika IT
Systémová bezpečnostná politika IT
Systémová bezpečnostná politika IT definuje spôsob
implementácie celkovej bezpečnostnej politiky IT v konkrétnom informačno-technologickom prostredí. Vypracováva sa obvykle pre časový horizont
dvoch až päť rokov. Stanovuje súbor princípov a pravidiel pre ochranu IS (preto sa o nej hovorí tiež ako o bezpečnostnej politike
IS) a jej poskytovaných služieb, zaoberá sa voľbou konkrétnych technických, procedurálnych, logických a administratívnych
bezpečnostných opatrení v závislosti na konkrétnych IT a čiastočne aj voľbou fyzických a personálnych bezpečnostných opatrní, pokiaľ
tieto môžu ovplyvniť bezpečnosť IS. Implicitne sa zaoberá bezpečnosťou elektronickej (počítačovej) časti IS. Bezpečnosť neelektronickej
časti IS rieši tam, kde by neelektronická časť IS mohla výrazne ovplyvniť bezpečnosť elektronickej časti. Všetko rieši v harmonickej
náväznosti na už existujúce a presadzované bezpečnostné opatrenia. Systémová bezpečnostná politika IT konkrétne sleduje, ako chrániť
(organizovať a distribuovať) konkrétne aktíva, stanovuje konkrétne bezpečnostné ciele, vymenúva konkrétne hrozby zistené analýzou rizík,
definuje konkrétne bezpečnostné opatrenia, t. j. funkcie presadzujúce bezpečnosť – autorizáciu, autentizáciu, audit, klasifikáciu dát,
riadenie prístupu apod., ktoré sú už implementované alebo sa musia implementovať.
Systémová bezpečnostná politika IT musí
byť v súlade s celkovou bezpečnostnou politikou organizácie a s celkovou bezpečnostnou politikou IT organizácie, musí rešpektovať
súčasný stav prevádzkovaného systému, i jeho plánovaného rozšírenia. Z celkovej bezpečnostnej politiky IT preberá stanovenie kategórie
minimálnej sily bezpečnostných mechanizmov a konkrétne definuje, ako implementovať bezpečnostné funkcie (šifrovaním, elektronickými
podpismi, a pod.). Vrcholový manažment organizácie musí schváliť odporučenia pre tvorbu systémovej bezpečnostnej politiky IT stanovujúce
prijateľné reziduálne riziká, charakter prijímaných opatrení pre minimalizáciu rizík.
Ten, kto vypracúva systémovú
bezpečnostnú politiku, vychádza ďalej z vymedzenia hranice zabezpečovaného prostredia z hľadiska aplikačných cieľov IS a jeho poslania,
z kvantifikovaných odhadov nepriaznivých dopadov na chod organizácie v dôsledku nedostupnosti služieb IT, odmietnutia ich prevedenia, resp.
obmedzenia ich výkonu, neautorizovaných modifikácií informácií a/alebo softwaru a neautorizovaných odhalení dôverných informácií,
včítane kvalifikovaných odhadov dopadov realizácii týchto hrozieb na povesť organizácie, ohrozenia života, súkromia atď...
Medzi ďalšie východiská sa radí výška investícií venovaných na zabezpečenie IS a stanovené medze nákladovej záťaže vznikajúce
zabezpečovaním IS. Autori systémovej bezpečnostnej politiky musia poznať zraniteľné miesta, hrozby a riziká, jej realizátori musia mať
k dispozícii prehľad dostupných bezpečnostných opatrení a ich cien a charakteristiky externých dodávateľov a vzťahov organizácie
s nimi. Pokiaľ je organizácia alebo jej IS príliš rozsiahly a rôznorodý, je vhodné vypracovať samostatne systémovú bezpečnostnú politiku
fyzickej ochrany, systémovú bezpečnostnú politiku technickej ochrany (elektronika, software), personálnu systémovú bezpečnostnú politiku,
komunikačnú systémovú bezpečnostnú politiku atď.
8.1 Fyzická systémová bezpečnostná politika
týka
sa ochrany fyzických aktív, budov, počítačov, médií, prevencie krádeži, prevencie prírodných, objektívnych útokov.
8.2 Personálna systémová bezpečnostná politika
je súčasťou širšej personálnej politiky a jej cieľom je pokrytie
hrozieb predstavovaných zamestnancami, dodávateľmi, zákazníkmi, neskúsenými užívateľmi, hackermi, profesionálmi, špiónmi a ochrana
vlastných zamestnancov organizácie.
8.3 Komunikačná systémová bezpečnostná politika
ochrana poštovných
zásielok, faxu, telefónov, hlasová komunikácia, prenosu dát.
8.4 Prevádzková systémová bezpečnostná
politika
špecifikuje program školení – zvyšovanie vedomosti potenciálnych obetí o možných útokoch, postupy pri
uplatňovaní preventívnych bezpečnostných opatrení, postupy pri detekcii útokov a ochranu týchto postupov, havarijné plány a vývoj metód
prevencie a detekcie.
Generickú štruktúru dokumentu, ktorý je prezentáciou systémovej bezpečnostnej politiky
a východiskovým materiálom pre zahájenie jej implementácie do bezpečnostného programu, približuje nasledujúca osnova:
- Analýza
súčasného IS rešpektujúca použité IT.
- Výsledky analýzy rizík IS.
- Výsledky analýzy zraniteľných
miest IS.
- Popis hrozieb pre IS.
Aby sa zaistilo, že popis hrozieb bude vyčerpávajúci, je vhodné
postupovať podľa vopred stanoveného systému. Môže sa použiť aplikačno-orientované triedenie (strata dôvery, odposluch, zlomyseľný
operátor, modifikácia dát, maškaráda, zneužitie autorizácie...) alebo generické triedenie podľa nejakej normy (triedenie podľa použitých
bezpečnostných funkcií).
8.5 Technická bezpečnostná politika
Uvádzajú sa konkrétne zákony,
štandardy, normy, pravidlá, použité praktiky pre riadenie spracovania citlivých informácií, pre používanie hardwaru, pre používanie
softwaru, de jure a de facto normy...
- Personálna bezpečnostná politika.
-
Administratívna bezpečnostná politika.
Uvádza sa súbor vnútroorganizačných noriem a predpisov.
-
Udržovateľnosť IS z hľadiska bezpečnosti.
Jedná sa o výpočet kritických činností a zodpovedajúcich opatrení pre akcie
typu registrácie užívateľov, inovácie softwaru apod.
- Formálny model bezpečnosti IS.
Uvádzanie formálneho
modelu je voliteľné podľa toho, či sa požaduje zodpovedajúca úroveň zaručiteľnosti bezpečnosti IS.
- Definícia súboru
relevantných bezpečnostných opatrení.
Uvádzajú sa špecifikácie bezpečnostných funkcií zabezpečovaného IS včítane
identifikácie nimi pokrývaných hrozieb.
- Použité bezpečnostné mechanizmy.
Vhodne systematicky triedený
výpočet, napr. podľa kategórií – logické, technické, fyzické bezpečnostné mechanizmy.
- Havarijný plán.
- Bezpečnostná dokumentácia
- Plán implementácie systémovej bezpečnostnej politiky, bezpečnostný program.
Uvádzajú sa detailné pracovné plány implementácie prijatých bezpečnostných funkcií, priority, náklady a časové plány,
špecifikácie projekčných aktivít (záväzné zdroje a zodpovednosť, kontrolné dni, správy o stave riešenia, oponentúry). Súčasťou
bezpečnostného programu je plán školenia pre celý tím IT organizácie, kam patria vývojári IS, prevádzkový pracovníci, bezpečnostný
manažér, bezpečnostní správci, pracovníci zodpovední za autorizáciu ostatných pracovníkov, koncoví užívatelia atď. Stanovujú sa
prevádzkové a správne procedúry a podmienky akreditácie bezpečnostného programu, t. j. pripraví sa hodnotenie jeho implementácie.
8.6 Metodika procesu vytvárania bezpečnostných politík
Projekčný tím celkovej a systémovej bezpečnostnej politiky
musia tvoriť odborníci, ich znalosti pokrývajú aspoň nasledujúce oblasti:
- bezpečnostné architektúry výpočtových
(distribuovaných, otvorených) systémov
- bezpečnostné personálne štruktúry organizácie
- zásady udržania fyzickej
bezpečnosti
- zákony, vyhlášky a nariadenia súvisiace s poslaním organizácie
- zásady etiky chovania z hľadiska
manipulácie s informáciami
- spôsoby zainteresovania zamestnancov organizácie na bezpečnosti
- princípy klasifikácie
dôvernosti dát
- mechanizmy riadenia prístupu
- obecné kryptografické metódy zabezpečenia integrity a dôvernosti
-
metódy zabezpečenia integrity a dôvernosti pri prenose dát
- možné hrozby a im zodpovedajúce riziká v cieľovom prostredí
- metódy správy rizík – procesov určovania neistých (nepredvídateľných) udalostí ovplyvňujúcich škody na aktívach a určovanie
adekvátnych opatrení
- metódy identifikácie a ohodnocovania aktív, metódy analýzy rizík a nástroje pre ich automatizáciu
- zásady tvorby havarijných plánov
- metódy hodnotenia bezpečnosti
Proces tvorby bezpečnostnej politiky nie je
jednorazový. Dobrá bezpečnostná politika nikdy nevniká jednorazovou akciou, lebo sa menia chránené aktíva, menia sa informačné technológie,
menia sa motivácie a skúsenosti útočníkov atď. Životný cyklus tvorby bezpečnostnej politiky možno zjednodušene vyjadriť nasledujúcimi
(opakovane) uskutočňovanými krokmi:
1. posúdenie vstupných vplyvov
2. analýza rizík
3. vypracovávanie
bezpečnostnej politiky
4. implementácia bezpečnostnej politiky
5. nasadenie bezpečnostnej politiky, kontrola jej účinnosti
a vyslovovanie záverov.
Zones.sk – Zóny pre každého študenta