Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Ukážka forenznej analýzy pamäte RAM
Tlačové správy
13.08.2018
Mesačný prehľad za mesiac júl 2018
Tlačové správy
01.08.2018
Mesačný prehľad za mesiac jún 2018
Tlačové správy
03.07.2018
Zahraničné zdroje
US CERT - zraniteľnosti


ICS CERT - varovania
Meltdown and Spectre Vulnerabilities (Update H)


ICS CERT - odporúčania
Philips PageWriter TC10, TC20, TC30, TC50, and TC70 Cardiographs
16.08.2018
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Zavádzanie informačnej bezpečnosti do organizácie

Vo svete, v ktorom sa organizácie snažia uviesť do rovnováhy systém pozostávajúci z množstva technológie, informácií, služieb, osôb, ale i regulácií, bezpečnostných hrozieb a množstva iných faktorov, je zavedenie komplexného programu informačnej bezpečnosti nevyhnutnosťou.

Na dosiahnutie adekvátnej ochrany informačných aktív je potrebné ucelené a komplexné plánovanie. Je potrebné myslieť na to, že naše informácie sa nachádzajú na rôznych miestach a v rôznych formách. Dáta tečú komunikačnými kanálmi po rozvetvených počítačových sieťach, cez mnohé aplikácie, sú uložené v databázach, na serveroch alebo v papierovej podobe, či v hlavách zamestnancov. Navyše prostredie, v ktorom sa informačné systémy nachádzajú, sa neustále mení. Nie je preto možné k informačnej bezpečnosti pristupovať ako k jednorazovej aktivite, pri ktorej sa nakúpi technológia, vytvorí sa niekoľko smerníc a problém je považovaný za vyriešený. Bezpečnosť je cyklický a nikdy nekončiaci proces a preto k nej treba aj tak pristupovať. Túto cyklickosť najlepšie vystihuje Demingov model (PDCA - plan-do-check-act).

Demingov model

Obrázok: Demingov model

Na začiatku bol framework
Ako prvý krok pri ucelenom riešení informačnej bezpečnosti odporúčame vybrať si štandard alebo rámec (framework), podľa ktorého bude organizácia postupovať. Má to viacero výhod, ktoré vyplývajú priamo z podstaty štandardov ako takých. Ide o fakt, že štandard je založený na najlepších praktikách a skúsenostiach organizácií, ktoré už informačnú bezpečnosť implementovali. Navyše štandardy používajú a podporujú jednotné používanie odborných výrazov, ktoré sa v tejto oblasti používajú a umožňujú tak lepšiu spoluprácu a komunikáciu. Medzi najznámejšie štandardy možno zaradiť ISO 27001, špeciálne publikácie NIST rady 800, COBIT alebo BSI IT-Grundschutz. Ku kľúčovým oblastiam, ktoré tieto štandardy pokrývajú, patrí strategické riadenie (governance) informačnej bezpečnosti, politiky a smernice, riadenie rizík, zvyšovanie bezpečnostného povedomia, bezpečnostné opatrenia,  monitoring a zlepšovanie systému bezpečnosti. Organizácie verejnej správy sú pri zavádzaní informačnej bezpečnosti povinné dodržiavať štandardy pre informačné systémy verejnej správy (IS VS), ktoré tvoria súčasť Výnosu č. 55/2014 Z.z. o štandardoch pre IS VS.

Zodpovednosť za výber frameworku spolu so zodpovednosťou za celkové smerovanie informačnej bezpečnosti musí ležať na pleciach vrcholového vedenia organizácie. Riešenie, resp. neriešenie informačnej bezpečnosti môže mať veľký dopad na celkové fungovanie organizácie a preto je potrebné, aby vedenie určovalo smer, ktorým sa bude jej bezpečnosť uberať.

Zodpovednosť vedenia
Vrcholové vedenie musí iniciovať, kontrolovať a monitorovať proces informačnej bezpečnosti. Samotné úlohy, ktoré z tejto činnosti vyplývajú, bývajú zvyčajne delegované na manažéra informačnej bezpečnosti. Vedenie musí  zabezpečiť, aby sa k nemu dostávali všetky relevantné informácie, pretože je zapojené do rozhodovacej činnosti, napr. o úrovni akceptovateľných rizík. K týmto informáciám patria informácie o rizikách, predovšetkým ich dopady a náklady na ich odstránenie, informácie o bezpečnostných incidentoch, informácie o požiadavkách na bezpečnosť vyplývajúce z legislatívy a regulácií a informácie o štandardne odporúčaných postupoch pre zabezpečenie informačnej bezpečnosti. Vedenie musí zabezpečiť, aby bola informačná bezpečnosť presadzovaná naprieč všetkými dôležitými procesmi, projektmi a činnosťami a aby všetci zamestnanci, ale aj vedúci pracovníci, podporovali aktivity súvisiace s informačnou bezpečnosťou.

Návrh a plánovanie
Pri návrhu a plánovaní bezpečnostných mechanizmov je najprv potrebné si uvedomiť, že dnes už takmer žiadne hlavné biznis procesy nie je možné vykonávať bez využitia informačných technológií. Analyzovaním týchto procesov je možné získať prehľad o informáciách, ktoré sú nimi spracúvané ako aj technológie, ktoré sú na to potrebné. V zásade je žiaduce zistiť, ktoré biznis procesy závisia na fungovaní informačných a komunikačných technológií, informačných systémov a ktoré informácie sú dôležité a vyžadujúce náležitú ochranu. Rovnako je potrebné identifikovať vnútorné aj vonkajšie faktory, ktoré majú vplyv na informačnú bezpečnosť. K takýmto faktorom patria napr. legislatívne požiadavky a regulácie, environmentálne faktory, požiadavky zákazníkov, dodávateľov, prípadne odvetvovo špecifické štandardy. Pre rýchle a úplné identifikovanie týchto faktorov je  možné uskutočniť brainstormingové stretnutie vedenia, ktoré bude viesť manažér informačnej bezpečnosti. Pre ďalšie plánovanie je nevyhnutné formulovať ciele informačnej bezpečnosti. Na týchto cieľoch by sa malo vedenie zhodnúť a mali by reflektovať celkové strategické ciele organizácie. Návrh týchto cieľov môže pripraviť manažér informačnej bezpečnosti, pri čom je potrebné vziať do úvahy, že vedúci zamestnanci nemusia byť odborníkmi na informačnú bezpečnosť. Preto je vhodné pri formulovaní týchto cieľov používať zrozumiteľný a všeobecný slovník. Príklady cieľov informačnej bezpečnosti: organizácia chce dosiahnuť vysokú dostupnosť a kvalitu svojich služieb, zaručovať dôvernosť, integritu a dostupnosť informačných systémov, chrániť dobré meno a reputáciu organizácie, plnenie legislatívnych, regulačných, normatívnych a zmluvných požiadaviek a mnohé iné. Okrem cieľov informačnej bezpečnosti je potrebné určiť aj požadovanú úroveň ochrany pre dôvernosť, integritu a dostupnosť jednotlivých biznis procesov organizácie. Vedenie si musí byť vedomé dopadov, ktoré vyplývajú z nedostatočnej ochrany kritických aktív a procesov. Na základe toho môže následne zodpovedne schváliť adekvátnu úroveň ochrany týchto aktív a procesov.

Politika informačnej bezpečnosti
Politika informačnej bezpečnosti predstavuje vrcholový dokument, ktorý obsahuje strategické bezpečnostné ciele a požadovanú úroveň bezpečnosti. Je v nej potrebné zdôrazniť zodpovednosť vrcholového manažmentu za informačnú bezpečnosť, predovšetkým ich angažovanosť, podporu a poskytovanie zdrojov na informačnú bezpečnosť. Rovnako je potrebné špecifikovať rozsah aplikácie bezpečnostnej politiky, teda či bude platiť pre celú organizáciu alebo len jej časť. Ďalšími súčasťami bezpečnostnej politiky by mali byť jasne definované zodpovednosti za jednotlivé činnosti informačnej bezpečnosti, stanovený spôsob riadenia aktív, riadenia rizík a riešenia bezpečnostných incidentov. V neposlednom rade je v bezpečnostnej politike potrebné uviesť aj periodicitu jej preskúmavania a aktualizácie.

Organizácia informačnej bezpečnosti
Pre zabezpečenie plnenia cieľov stanovených v bezpečnostnej politike je potrebné určiť spôsob organizácie informačnej bezpečnosti a prisúdiť roly a zodpovednosti za plnenie bezpečnostných cieľov. Keďže informačné technológie majú prierezový charakter a sú využívané pri väčšine  procesov v organizácií, je výhodné do organizácie informačnej bezpečnosti zaangažovať zamestnancov naprieč všetkými organizačnými zložkami. Platí však niekoľko zásad, ktoré je dobré dodržať. Za informačnú bezpečnosť ako celok zodpovedá vedenie, je však potrebné určiť aspoň jednu osobu (manažér informačnej bezpečnosti), ktorá bude celý proces koordinovať. Za jednotlivé aktíva, informácie a procesy však zodpovedá zamestnanec, ktorý bol určený ako vlastník daného aktíva.

Do procesu plánovania a návrhu opatrení a pravidiel informačnej bezpečnosti je potrebné zapojiť zamestnancov aj vedúcich zamestnancov. Používatelia informačných systémov sú cenným zdrojom informácií potrebných pre vykonanie analýzy rizík. Keďže informačná bezpečnosť ovplyvňuje všetkých, je potrebné, aby zamestnanci svoje pracovné činnosti vykonávali obozretne a zodpovedne. Na zvyšovanie bezpečnostného povedomia je potrebné zaviesť komplexný program vzdelávania zamestnancov, ktorý zamestnancom objasní pravidlá a opatrenia informačnej bezpečnosti v organizácií a pripraví ich na správnu reakciu pri prípadných bezpečnostných incidentoch.

Analýza rizík a implementácia
Pre ďalší postup pri zavádzaní informačnej bezpečnosti je potrebné si uvedomiť, čo v organizácií vyžaduje náležitú ochranu. V tomto kroku sa zdokumentujú biznis procesy, informačné systémy a informácie, ktoré budú patriť do rozsahu systému bezpečnosti. Okrem hlavných biznis procesov je rovnako nevyhnutné zdokumentovať aj podporné procesy. Výpadok interných podporných služieb napr. ekonomického, HR alebo IT zabezpečenia môže paralyzovať celú organizáciu. Tiež je dobré vypracovať plán sieťovej topológie, zdokumentovať informačné systémy, fyzické priestory ako aj okolie organizácie s ohľadom na jej bezpečnosť. Identifikované aktíva je potrebné ohodnotiť na základe bezpečnostných požiadaviek na dôvernosť, integritu a dostupnosť a vykonať analýzu rizík pre tieto aktíva. Analýzu rizík je možné vykonať viacerými spôsobmi podľa rôznych metodík. Základom však ostáva identifikácia zraniteľností v systéme, identifikácia hrozieb a potenciálnych dopadov, ktoré vyplývajú zo zneužitia týchto zraniteľností hrozbami. Na základe ohodnotenia zraniteľností, hrozieb a výpočtu rizík je následne možné tieto riziká analyzovať a prioritizovať. Je potrebné stanoviť úroveň akceptovateľného rizika a neakceptovateľné riziká minimalizovať.

Na základe výsledkov analýzy rizík a ich prioritizácie je potrebné prijať opatrenia  na ich zmiernenie. Existujú katalógy opatrení, ktoré je možné využiť a po ich prispôsobení podmienkam organizácie ich aj implementovať. Pri implementácii opatrení je potrebné pripraviť plán implementácie s určeným poradím implementácie opatrení,  termínmi, zodpovednosťami a rozpočtom. Je možné, že niektoré opatrenia už v organizácii implementované sú, prípadne sú implementované iba čiastočne. V takomto prípade odporúčame vykonať Gap (rozdielovú) analýzu  voči opatreniam odporúčaných niektorým z vyššie spomenutých štandardov. Aj napriek implementácií opatrení nie je možné existujúce rizika eliminovať úplne. Reziduálne (zostatkové) riziko je potrebné v pravidelných intervaloch preskúmavať a prehodnocovať, pretože v prípade vnútorných či vonkajších zmien sa môžu zmeniť aj podmienky, za ktorých bolo reziduálne riziko akceptovateľné a môže sa vplyvom týchto faktorov zvýšiť až na úroveň neakceptovateľného rizika. Akceptovateľné a reziduálne riziká musia byť vždy schválené vedením organizácie. Implementáciu opatrení je potrebné monitorovať a sledovať či sú dodržiavané termíny. Zamestnancov, na ktorých bude mať zavedenie opatrení do praxe vplyv, je potrebné poučiť a vyškoliť.

Údržba a zlepšovanie
Aby bolo možné zavedený systém bezpečnosti udržiavať funkčný a neustále ho zlepšovať, je potrebné periodicky preskúmavať jeho efektívnosť. Preverenie výkonnosti a efektívnosti systému informačnej bezpečnosti by malo byť pravidelne vykonávané manažmentom na základe plánovaného a zdokumentovaného postupu. Do preverovania je potrebné zapojiť aj meranie dosahovania cieľov informačnej bezpečnosti, vyhodnocovať úspešnosť implementácie bezpečnostných opatrení, ich efektívnosť a primeranosť. Tiež je potrebné vyhodnotiť, či sú ciele aktuálne a vhodné a či je na program informačnej bezpečnosti vyčlenený dostatočný rozpočet. Výstupy z preskúmania systému informačnej bezpečnosti slúžia ako vstupy do procesu zlepšovania. O vykonaných testoch, meraniach a prevereniach je potrebné informovať vedenie prostredníctvom schváleného a dokumentovaného postupu. V správach z preverenia bezpečnostný manažér pripraví aj návrh opatrení na zlepšenie. Je potrebné ho schváliť manažmentom, pripraviť zdroje a plán implementácie schválených opatrení. Týmto sa cyklus informačnej bezpečnosti uzatvára a plynule prechádza opäť do plánovania, vytvorenia, implementácie a ďalšieho preverovania bezpečnostných opatrení.

Referencie