Jak lze efektivně zajistit bezpečnost informací?

07. října 2002, 00:00 - Ladislav Hanzlíček, samostatný konzultant Risk Analysis Consultants Praha
07. října 2002, 00:00

Požadavky na ochranu informací bývají součástí obchodních smluv Rozvoj informačních a komunikačních technologií a růst významu informací ovlivňuje současné hospodářské prostředí. Kvalita informačního systému patří mezi strategické faktory prosperity a konkurenční schopnosti podniků.

Požadavky na ochranu informací bývají součástí obchodních smluv

Rozvoj informačních a komunikačních technologií a růst významu informací ovlivňuje současné hospodářské prostředí. Kvalita informačního systému patří mezi strategické faktory prosperity a konkurenční schopnosti podniků.

Informační systémy se stávají neoddělitelnou součástí klíčových procesů podniků. Zvyšuje se míra závislosti na těchto informačních systémech. To vede k tomu, že nejcennějším kapitálem každé firmy, jsou, vedle zaměstnanců, zejména informace a znalosti. Peter Drucker, známá osobnost managementu, se řadí k tomuto tvrzení svým výrokem: „Mezinárodní ekonomická teorie je překonána. Tradiční výrobní prostředky - práce, půda a kapitál - se stávají, spíše než hybnou silou, překážkou. Rozhodujícím faktorem produkce se stávají znalosti.“

Nejde o nic menšího než o peníze

S pronikáním informačních systémů (IS) do klíčových procesů podniků ovšem nabývají na významu také rizika spojená s provozem informačních systémů. Téměř dvě třetiny firem v USA (podle CSI/FBI Computer Crime and Security Survey) prohlašují, že u nich došlo v roce 2001 k finančním ztrátám v důsledku bezpečnostních incidentů. Oproti roku 2000 se náklady spojené s těmito incidenty zdvojnásobily a dosáhly průměrné výše přes 2 miliony dolarů. Situace u nás byla hodnocena v Průzkumu stavu informační bezpečnosti v České republice v roce 2001 (PSIB´01), realizovaném ve spolupráci společnosti PricewaterhouseCoopers, časopisu DSM-data security management a Národního bezpečnostního úřadu. Vyplynulo, že více než 40 % organizací v České republice bylo v uplynulých dvou letech postiženo bezpečnostními incidenty s prokazatelnými přímými finančními dopady, přičemž průměrná výše dopadu činila 415 000 Kč. Bezpečnostní incident, ať již jakýkoliv, bez ohledu na finanční dopady, postihl v daném období 99 % dotazovaných společností.

Co je bezpečnost informací

Bezpečnost informací, nebo jinak informační bezpečnost, lze definovat poměrně jednoduše. Přesto, že definic je mnoho, obvykle se shodují na tom, že zajištění bezpečnosti informací znamená zejména zajištění jejich: důvěrnosti, dostupnosti a integrity. Jakkoliv je jednoduché tyto základní pilíře bezpečnosti vyjmenovat, o to složitější je v konkrétním podniku jejich reálné naplnění systémem opatření. Nejde totiž pouze o bezpečnost počítačů a s nimi spojené technologie, ale skutečně o komplexní systém technických i netechnických opatření. To, že nejde pouze o technologie, lze demonstrovat také na výsledcích již zmiňovaného průzkumu CSI/FBI 2001. Zaznamenal výrazný nárůst jak v počtu útoků na bezpečnost informací, tak ve výši způsobených škod. A to i přesto, že došlo také k výraznému rozšíření bezpečnostních technologií. Plných 95 % organizací mělo firewally, 61 % IDS (systémy detekce průniků), 90 % alespoň nějaký systém řízení přístupu, 42 % digitální ID atd. Technologie zkrátka nejsou samospasitelné.

Zajištění bezpečnosti informací

V tomto oboru stále nejde o nic menšího než o peníze. Vyžaduje zejména systémový přístup k zajištění bezpečnosti informací. Živelný přístup, založený na překotném a nepodloženém nákupu technologií je finančně nákladným amatérizmem, který si nemůže odborně vedená firma dovolit.

Zavádění probíhá v následujícím cyklu kroků:

Krok 0 - Manažerské rozhodnutí - iniciace.

Krok 1 - Prosazení systému řízení bezpečnosti informací: - Bezpečnostní politika a organizace bezpečnosti stanovení bezpečnostních cílů, evidence a klasifikace aktiv, stanovení odpovědností za bezpečnost.

analýza rizik; Krok 2 - Implementace a provoz - implementace a provoz bezpečnostních opatření v souladu se stanovenými bezpečnostními cíli;

Krok 3 - Monitoring a kontrola - monitoring a kontrola, zda aktuální stav v organizaci odpovídá bezpečnostní politice a stanoveným cílům;

Krok 4 - Údržba a zvyšování úrovně bezpečnosti na základě poznatků a dosavadních zkušeností, se provádí preventivní nebo opravné činnosti tak, aby bylo dosaženo zvyšování úrovně bezpečnosti.

Naskýtá se otázka, zda se shodný přístup týká stejnou měrou jak velkých, tak malých nebo středních podniků. Odpověď je jednoduchá. Týká se všech ve stejném rozsahu, ale různé hloubce. Je nutné se zabývat všemi aspekty bezpečnosti (fyzická, personální atd.), ale nároky na ni se budou lišit podle hodnoty chráněných aktiv a úrovně požadovaných záruk. Jinou úroveň bude požadovat např. BIS a jinou úroveň První městská pekárna, s. r. o. Vliv kroků 0 a 1, jako úvodních, má na efektivní řešení bezpečnosti největší význam. Podrobný rozbor celého cyklu v konkrétní firmě je vždy velmi rozsáhlý.

Krok 0 Rozhodování

Na počátku všeho stojí manažerské rozhodnutí. Ať chceme či ne, bezpečnost informací je v organizaci možno prosadit pouze „shora“. Jaká jsou tedy východiska? Je nutno najít motivaci, důvody pro uvedené manažerské rozhodnutí. Pro to, aby se bezpečnost postupně stala v organizaci jednou z priorit, obvykle působí následující důvody: požadavky vyplývající z legislativy - jde zejména o požadavky zákona 148/1998 Sb. o ochraně utajovaných skutečností a zákona 101/2000 Sb. o ochraně osobních údajů požadavky obchodních partnerů - stále více se požadavky na ochranu informací stávají součástí vzájemných smluv a nutnou podmínkou pro spolupráci, zvlášť pokud jde např. o outsourcing uvědomění si rizik vyplývajících z provázanosti obchodních procesů s IS - stačí odpovědět si na otázku: Co se stane když .. .? Odpověď např. Výroba se zastaví na dobu x hodin a bude nás to státy Kč. Východiskem jsou vždy podnikové potřeby. Na jedné straně, z pohledu okolí firmy, tedy nutnost vyhovět zákonům a smluvním požadavkům. Na druhé straně pak, z pohledu firmy samotné, adekvátně minimalizovat rizika, která ohrožují naši podnikatelskou činnost,.

Krok 1 Bezpečnostní politika

Prosazení systému řízení bezpečnosti informací je na nejvyšší úrovni firmy upravené dokumentem bezpečnostní politiky informací. Patří mezi nejvyšší řídící dokumenty a měl být postavený na úroveň podnikových řádů. Uvedená politika musí být podepsána vrcholovým managementem a pro všechny pracovníky je povinné seznámení s ní (případně s její zkrácenou formou). Toto je důležitým prvkem prosazení bezpečnosti, neboť dává oblasti potřebnou váhu a závaznost. V bezpečností politice jsou shrnuty cíle organizace na úseku zabezpečení dat a činností a jejich důležitost pro organizaci. Na obecné úrovni musí být stanovena opatření pro jejich dosažení a stručný výklad bezpečnostních zásad. Tato firemní politika, v závislosti na organizační kultuře a zvyklostech organizace, definuje strukturu řídicích dokumentů, včetně pracovních postupů a jejich začlenění do „podnikové legislativy“. Součástí je i definice organizační struktury bezpečnosti. Jde zejména o náplň pozice a odpovědnosti managera bezpečnosti informací a řídícího výboru pro bezpečnost. Bezpečnostní politika tedy vytváří základní rámec fungování systému řízení bezpečnosti informací a ve své podstatě měla zdůrazňovat podnikové potřeby, vyplývající z rizik integrace informačních systémů do podnikových procesů. Provázanost podnikových procesů s informačními technologiemi dělá z informatických rizik rizika podniková. Bezpečnost informací tak není problémem oddělení IT, ale problémem řízení podniku obecně. Bezpečnostní incidenty mají přímé dopady na plnění poslání firmy, podniku, tedy na poskytování výrobků a služeb. Efektivní řešení bezpečnosti, jak z pohledu nákladů, tak účinnosti, se neobejde bez přímé podpory vedení organizace. Vždy bude třeba překonávat při zavádění systému určitý odpor, který vyplývá z toho, že se snažíme nalézt rovnováhu mezi bezpečností a „pohodlím“ pracovníků a mezi náklady na bezpečnost a potenciálními ztrátami. Stále bude platit, že základním a zároveň nejslabším článkem bezpečnosti budou lidé, a proto je jedním z klíčových prvků bezpečnosti informací školení a zvyšování bezpečnostního povědomí mezi zaměstnanci.

Řešené oblasti

plánování a organizace bezpečnosti klasifikace a řízení aktiv personální bezpečnost, fyzickou (objektová) bezpečnost bezpečnost IS - řízení komunikací a provozu - řízení přístupu - bezpečnost vývoje a údržby IS řízení kontinuity podnikatelských činností zajištění souladu s legislativou, smlouvami a interními pravidly

Důležitost je na místě

Systémovým přístupem se nazývá zavádění systému řízení bezpečnosti informací. V podstatě znamená začlenění této problematiky do stávajícího systému řízení firmy.

Mohlo by vás zajímat

  • Pavel Ryba - muž, který Čechům prodá ročně tunu zlata

  • Majitel textilky Juta a senátor Hlavatý: V Senátu by…

  • Jan Hawelka: kavárenská hvězda z Mostu

  • Aleš Kučera: Chvíli potrvá, než se lidé naučí se státem…

  • Ondřej Kania: Otevřeme další dvě školy

  • Martin Burda: Bankám v Česku ujíždí vlak

  • Mnislav Zelený Atapana: Přítel amazonských indiánů

  • Jan Bílý: Nebuď uštvaný manažer. Buď král!

  • Jaroslav Žlábek: Na jedno nabití ujedeme 1000 kilometrů

Hry pro příležitostné hráče