Sorry, you need to enable JavaScript to visit this website.

Bezpečnost informací

Čas nutný k přečtení
7 minut
Již přečteno

Bezpečnost informací

0 comments
Anglicky
English abstract: 
<p>Článek rekapituluje problematiku informační bezpečnosti. Pozornost je zaměřena mimo počítačové informační technologie a soustřeďuje se na souvislost se systémy zajištění jakosti a na úvodní praktický kontakt s informační bezpečností. </p>

Kvalita a informační bezpečnost

Pojem informační bezpečnosti staví na definici bezpečné informace, tedy takové, jejíž důvěrnost, integrita a dostupnost jsou zachovány [1]. Důvěrností se rozumí zajištění, že informace jsou přístupné pouze těm, kdo jsou k přístupu oprávněni, integrita znamená zajištění správnosti a úplnosti informací a metod jejich zpracování a konečně dostupnost informace je totéž, co její použitelnost pro oprávněné uživatele v okamžiku potřeby.

Evropské i americké pojetí bezpečnosti informací si jsou blízké a posuzování shody s požadavky se stalo součástí nadnárodních akreditačních a certifikačních schémat. Stabilizaci jistě napomáhá také vývoj v oblasti systémů zajištění jakosti. Po přibližně třiceti letech opět vystupuje do popředí myšlenka integrovaného, dříve komplexního, řízení firem. Spojení analogických požadavků a návodů pro oblasti životního prostředí, zajištění kvality, technické bezpečnosti, obecné bezpečnosti, ochrany zdraví a také informační bezpečnosti je na pořadu dne při aktualizaci norem řady ISO 9000. V jaderném průmyslu se ledy pohnuly dokonce dříve a Mezinárodní atomová agentura ve Vídni právě vydává požadavky na manažerské systémy pro bezpečnost, ochranu zdraví, ochranu životního prostředí, průmyslovou bezpečnost, systém zajištění kvality a ekonomiku [2].

Informační bezpečnost je s managementem firem spojena dvěma vazbami. První je souvislost marketingová. Pokud společnost zvyšuje svou důvěryhodnost na trhu cestou certifikace svého systému zajištění jakosti, musí očekávat také auditorský dotaz na úroveň zabezpečení informací. Druhou souvislostí je neoddělitelnost informace od řízení i od firemních procesů samotných. Informace je v tomto případě zdrojem, podobně jako peníze nebo pracovníci. Nezajištěnost vlastních zdrojů ohrožuje produkci, tedy vstupy zákazníků a tím vede k růstu rizik pro společnost samu a k lavinovitému šíření hrozeb do okolního komerčního prostředí.

Informační bezpečnost má bezesporu zásadní význam pro společnosti, jež ji prodávají jako součást své produkce. Softwarové, právnické, zpravodajské a konzultační firmy ji dokonce prodávají jako svou hlavní komoditu. Ovšem i jinde je bezpečnost informací kritickým znakem jakosti produkce. Například závada v technické dokumentaci se, společně s lidským selháním a technickou závadou, řadí ke třem hlavním příčinám nežádoucích provozních událostí v jaderném průmyslu i v letectví. Jiným známým případem bylo ohrožení řetězce McDonald's žalobou rodičů kvůli obezitě dětí. Tu sice federální soud v roce 2003 po složitých tahanicích definitivně zamítl, ale eliminací rizika jsou teprve informace pro spotřebitele o složení a kalorické hodnotě produktů.

Standardy

Normu lze chápat také jako souhrn zkušeností a dobrých praxí, přijatých širokou odbornou komunitou pro tu kterou oblast lidské činnosti. Standardy pro bezpečnost informací jsou zaměřeny především na systémy řízení bezpečnosti informací, často označované jako ISMS (Information Safety Management System).

Základem pro použití kteréhokoli standardu pro informační bezpečnost jsou normy zajištění jakosti ISO 9000. Navázat lze sérií ISO 27000, jež je v současnosti bezesporu hlavním proudem v normativním zabezpečení informační bezpečnosti. Její význam se opírá nejen o autoritu ISO (International Organization for Standardization), ale také o použití této normy mezinárodní organizací certifikovaných auditorů IRCA (International Register of Certificated Auditors) pro certifikaci firemních systémů bezpečnosti informací ISMS. Silnými podpůrnými argumenty jsou zejména celosvětové uznání a komplexní charakter této normy. Série ISO 27000 vešla do praxe 15. října 2005 vydáním ISO/IEC 27001:2005, prakticky formou změny označení BS 7799-2:2004. V plánovaném budoucím stavu by série měla obsahovat sedm dokumentů:

  • ISO/IEC 27000, principy a slovník;
  • ISO/IEC 27001, požadavky na ISMS (resp. BS 7799-2:2004);
  • ISO/IEC 27002, návody pro zavádění;
  • ISO/IEC 27003, analýzy rizik (souvisí s ISO 13335-3);
  • ISO/IEC 27004, metriky a měření;
  • ISO/IEC 27005, řízení rizik;
  • ISO/IEC 27006, kontinuita podnikání a obnova po havárii.

ISO/IEC 27001:2005 je vhodná pro všechny typy organizací, komerční firmy, státní organizace, nevýdělečné společnosti a další. Popisuje požadavky pro celý životní cyklus systému řízení informační bezpečnosti a pro všechny okruhy souvisejících aktivit. Norma chápe organizaci ve vazbách na její okolí a je použitelná pro řadu účelů, například pro vnitřní hodnocení a řízení rizika, zajištění požadavků zákonů a předpisů, nalezení a definici bezpečnostních procesů, zjištění a hodnocení souladu s firemními politikami a regulemi, jako kritérium pro interní i externí auditování, prokazování bezpečnostních vlivů na zákazníky, pro přípravu a certifikaci třetími stranami a v neposlední řadě také pro řízení efektivnosti nákladů na zajištění bezpečnosti informací.

Pro budování ISMS lze využít celkem 101 norem z knihovny ISO. Pravda, větší část z nich se orientuje především na počítačové informační technologie, přesto lze doporučit řadu ISO 13335-1 až 5, přinášející vymezení problematiky a srozumitelný, nadčasový výklad hlavních otázek i dobrých praxí.

V češtině je k dispozici ČSN ISO/IEC 21827:2003. Ta je vhodná pro hodnocení vyzrálosti bezpečnostních procesů nebo pro zlepšování informační bezpečnosti cestou vyhledávání nejslabšího článku. Tato norma je založena na metodice SSE-CMM (System Security Engineering – Capability Maturity Model), pocházející z Carnegie Mellon University.

Do třetice lze doporučit řadu ISO 15408, známou svým termínem „Common Criteria“ , označovanými jako CC. Jak sousloví dává tušit, silnou stránkou je metoda hodnocení bezpečnostních vlastností produktů a systémů IT, i když je nutno počítat s poměrně úzkým zaměřením na počítačová zařízení a software.

Je obtížné prakticky začít?

Představme si na chvíli, že jsme měli spolužačku, říkejme jí třeba Maruška. Maruška tak záhy otěhotněla, že ve slunných dnech naší maturity už na pískovišti, houpajíc kočárek, pohlavkovala své starší, zdravé a umouněné dítě. Pohleďme na příběh, jak tato bezstarostná osoba uchránila své dítě od všech přesložitých záludností a nástrah moderního světa.

Marušce se narodilo první dítě. V porodnici, hned jakmile je uviděla, si řekla: “Své dítě nikomu nedám ani za nic a nikdy ho neopustím. A kdo na něj sáhne, tomu urazím pazouru.“ (Tím byla stanovena strategie: Bylo rozhodnuto, že se bude ochraňovat, co, jak a za jakou cenu bude chráněno.)

Po návratu domů se svému děťátku věnovala tak výhradně a usilovně, až únavou usnula na židli vedle postýlky a vzbudil ji až zoufalý dětský pláč. Řekla si, že tak to přece nejde, dítě nesmí zůstávat bez dohledu. Něco se prostě dělat nebude. A do hlídání je nutno zapojit taky manžela a tchyni. (Analýza rizik: Bylo zjištěno, kdy a co může ochranu oslabit a byla přijata opatření pro snížení rizika. Byly určeny priority – nejdřív manžel, přinejhorším tchyně.)

Ovšem problémy na sebe nadaly dlouho čekat. Tchyně si umínila, že uklízet se bude v celém domě tak jako dříve a jednou, když ženské odpoledne už padaly únavou, manžel odešel do práce. A tak se dohodli, že manžel bude dočasně chodit jen na ranní směnu, tchyně bude hlídat vždy dopoledne (stejně se brzy ráno budí) a Maruška bude vstávat k dítěti v noci. (Tak vznikla bezpečnostní politika, tj. základní pravidla a rozdělení odpovědností.)

Cobydup, dítě se začalo batolit a prozkoumávat všechno, na co dosáhlo. Nezbylo než dbát, aby ubrusy nevisely přes okraj stolu, aby je dítě na sebe nestáhlo, při vaření bylo nutné dítě sledovat nepřetržitě. A taky drobnosti, co vejdou do pusy, nenechávat volně ležet, aby je dítě nepolklo. (Byly vytvořeny bezpečnostní směrnice a standardy, pro bezpečnostně důležité činnosti byly určeny závazné postupy.)

Jednoho dne se však švagrová rozešla s tím svým, donedávna nadosmrti ideálním partnerem a vrátila se domů. Všechno se zase muselo přeorganizovat. Ze skladiště byl najednou pokoj, krámy se objevily v chodbě a švagrové se nová situace musela vysvětlit z gruntu znova. (Implementace systému bezpečnosti – vzdělávání, změny, zlepšování.)

Ale švagrové se nedalo věřit. Hledala nového partnera nadosmrti. Jednou slíbila hlídání a pak dítě nechala hodinu sedět v zahradní restauraci u limonády. Marušce nezbylo, než všechno občas zkontrolovat a každou nedbalost vždycky řádně ozvučit. Přitom se taky přišlo na to, že zahradní restaurace sice vyhlašuje, že se stará i o děti, ale nikdo tam s malými dětmi raději nechodí. „Tak tam se od dneška s naším dítětem chodit prostě nebude!“, prohlásila Maruška. (Monitorování, kontrola a nápravná a preventivní opatření.)

Tolik příběh o Marušce, co se možná stal a možná nestal. V obou případech nám zanechává dvě pointy:

  • Pochopení toho, co chci chránit, dává smysl pojmu riziko. A riziko pak lze korigovat, nikoli však vyloučit
  • V zabezpečení informací je úspěšný je ten, kdo respektuje skutečnou situaci svého konkrétního případu a účelně využívá teorii a cizí zkušenosti tam, kde jim skutečně rozumí.

Literatura:

BS ISO/IEC 17799:2000, Překlad a interpretace pro české prostředí, British Standards Institution 2002, Risk Analysis Consultants

INTERNATIONAL ATOMIC ENERGY AGENCY, Management systems, Draft safety requirements DS338, Safety Standards Series, Revision of Safety Series 50-C-Q / 50-SG-Q1 to Q7, Vienna, 2005

Hodnocení: 
Průměr: 5 (1 hlasování)
KOSTIHA, František. Bezpečnost informací. Ikaros [online]. 2006, ročník 10, číslo 5 [cit. 2019-07-24]. urn:nbn:cz:ik-12087. ISSN 1212-5075. Dostupné z: http://ikaros.cz/node/12087

automaticky generované reklamy