Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Bezpečnostná politika informačného systému

Bezpečnostná politika informačného systému je základným a nevyhnutným procesom v každej spoločnosti. Vzhľadom na to, že útok môže prísť kedykoľvek, či z externého alebo interného prostredia a môže za ním stáť akýkoľvek útočník pokúšajúci sa vedome alebo nevedome ohroziť systém, je dôležité, aby sieťový administrátor vedel ako sa zachovať.

Pri rovnakých incidentoch možno postupovať rôzne, čo často vedie k nesprávnym rozhodnutiam. A tak nie je vhodné, aby zodpovední pracovníci (správcovia systému alebo iní špecializovaní zamestnanci) postupovali podľa svojich domnienok. Jedným z dôvodov je aj možná výmena pracovnej pozície alebo zmeny v tíme. Nevyhnutným procesom sa tak stáva tvorba presných zásad a pravidiel záväzných pre všetky kompetentné osoby. Tieto pravidlá a zásady nazývame bezpečnostnou politikou informačného systému.

Vypracovanie takéhoto dokumentu je vo vlastnom záujme každej spoločnosti. Umožní jej to ľahšie a efektívnejšie zvládať bezpečnostné incidenty. Spoločnosť, ktorej bezpečnostná politika zlyhá stráca kredit. Zákazníci jej môžu prestať vo veľkej miere dôverovať. Niekedy môže útok viesť aj k ďalším útokom vedeným cez túto spoločnosť, čo ju môže vystaviť právnym problémom.

Pri procese tvorby bezpečnostnej politiky je dôležité zamerať sa na tri hlavné oblasti: Diskrétnosť (dáta sa nesmú dostať do rúk nepovolaných osôb, najčastejšie do rúk potenciálnych útočníkov), integrita (dáta nesmú byť neoprávneným spôsobom modifikované, poškodené alebo zmazané) a dostupnosť (dáta musia byť dostupné legitímnym používateľom, najčastejšie teda zamestnancom, pre ktorých pracovné aktivity sú nevyhnutné). Bezpečnostné opatrenia nemôžu príliš skomplikovať prácu v spoločnosti.



Štandardy a zákony

Pri tvorbe bezpečnostnej politiky je dobré opierať sa o všeobecne platné štandardy a brať ohľad na povinnosti vyplývajúce zo zákonov.

Svetovo známou a uznávanou štandardizačnou organizáciou je ISO (International Organisation for Standardisation). Vydáva medzinárodné normy. K ďalším významným štandardizačným organizáciám, ktoré sú svetovo uznávané patria IEC (International Electrotechnical Commision) a ITU (Internatinal Telecomunical Union). Európa má svoje normy definované v ITSEC (Information Technology Security Evaluation Criteria) Európskou komisiou. Potom sú tu normy vytvorené expertnými skupinami RFC ­ (Request for Comment) a IETF ­ Internet engineering Task Force. Na vedomie treba brať aj národné organizácie pre štandardizáciu. V Slovenskej republike to je Štatistický úrad SR a Úrad pre normalizáciu, metrológiu a skúšobníctvo SR (ÚNMS SR). Priamu tvorbu štandardov zabezpečuje Slovenský ústav technickej normalizácie (SÚTN).

Medzi najznámejšie používané štandardy patrí norma ISO/IEC 27002 2005 a ISO 27001. Na Slovensku boli štandardy prijaté ako STN ISO IEC 17799 a STN ISO IEC 27001.

Žiadny zákon na Slovensku presne a hlavne priamo nedefinuje nutnosť zaviesť bezpečnostnú politiku vo firme, ani presné pravidlá akými sa pri zavedení riadiť. Nepriamo však predsa zavedenie bezpečnostnej politiky isté zákony obsahujú. Štát napríklad prikazuje zaoberať sa bezpečnostnou politikou štátnym inštitúciám zákonom č. 678/2006 Z.z. Telekomunikačným operátorom sa vymedzujú povinnosti a práva v zákone č. 610/2003 Z.z. Pre všetky organizácie, ktoré vyžadujú registráciu užívateľa je dôležitý zákon 428/2002 Z.z o ochrane osobných údajov.

Oveľa podrobnejšie sa problematikou zaoberá Európska únia, ktorej zákony a smernice bezpečnostnú politiku definujú podrobnejšie a presnejšie. Pri jej vypracovaní je potrebné sa týmito dokumentmi zaoberať. Patrí tam napr. smernica 96/9/ES o právnej ochrane databáz a mnohé ďalšie, dostupné cez portál eur-lex.europa.eu.

Dokument o bezpečnostnej politike

Bezpečnostná politika je písomný dokument schválený vedením spoločnosti ako záväzná vnútropodniková smernica. Obsahuje súhrn bezpečnostných požiadaviek a opatrení pre riešenie IT bezpečnosti na fyzickej, počítačovej, komunikačnej, personálnej a na administratívnej úrovni. Je to veľmi dôležitý dokument, ktorý obsahuje ucelené riešenie bezpečnosti informačného systému v rámci celej organizácie. Bezpečnostná politika by mala odpovedať na základné otázky: Čo budeme chrániť? Prečo to chceme chrániť? Ako to budeme chrániť? Čo budeme robiť, keď dôjde k zlyhaniu našich opatrení? Vypracovaná má byť v podobe komplexného projektu na ochranu informačnej infraštruktúry spoločnosti, v ktorom budú definované jednotlivé hrozby špecifické pre danú spoločnosť. Tieto hrozby sa odvíjajú od pôsobenia, poskytovania služieb, ale aj od vystupovania spoločnosti. Následne by mala obsahovať protiopatrenia a metódy na ochranu. Nevyhnutnosťou je definícia postupu v prípade úspešného kybernetického incidentu.

Základom bezpečnostnej politiky je Information Security Management System - ISMS (Manažment bezpečnosti informačného systému). Je to súhrn pravidiel a politika týkajúca sa zabezpečenia informačného systému. Pri vytvorení ISMS môžu spoločnosti stanoviť vlastné stupne ochrany a plány. Dôležité tiež je, aby bol systém ISMS prispôsobiteľný zmenám vo vnútorných firemných aktivitách, ale aj vo vzťahu k externému prostrediu. Je preto potrebné pravidelne prehodnotiť, či dokument bezpečnostnej politiky pokrýva aktuálne problémy a riziká. Ak nie, je veľmi dôležité aktualizovať ho. Proces tvorby bezpečnostnej politiky musí byť dynamický, musí spoločnosti pomáhať a nie ju výrazne obmedzovať v oblasti IT.

Základné kroky pri tvorbe bezpečnostnej politiky

1. zmapovanie aktív

Prvým krokom pri tvorbe bezpečnostnej politiky je zmapovanie prostriedkov, ktorými disponuje daná organizácia. Je potrebné zistiť nakoľko významná je ich ochrana. Výhodné je usporiadanie podľa ich cennosti. Jednotlivým prostriedkom následne možno prideliť prioritu. Počas mapovania je dôležité zaznamenať si o daných prostriedkoch čo najviac informácií.

2. stanovenie hrozieb a rizík

Ak je jasné, čo ideme chrániť, je potrebné analyzovať potenciálne hrozby a riziká, ktoré sú pre nás aktuálne. Tiež je dôležité zvážiť odkiaľ hrozí potenciálne nebezpečenstvo a jeho opodstatnenosť. Na základe toho potom môžeme vytvoriť obranné mechanizmy. Príklad: náš server bude napadnutý a dáta na ňom zničené, prípadne odcudzené - pravdepodobnosť: stredná, dôsledok pre organizáciu: fatálny.

3. stanovenie spôsobu ochrany

V tomto kroku využijeme poznatky z predchádzajúcich dvoch bodov. Už vieme aké prostriedky a pred čím ideme brániť. Teraz je dôležité zváženie ich hodnoty a nákladov na ich ochranu. Následne môžeme stanoviť vhodný spôsob ochrany a postup pri náprave škody. Spôsob ochrany na sieťovej úrovni zahŕňa v praxi napríklad použitie firewallov, IDS systémov, či antivírusu. Tiež je dôležité určiť pre tieto aktivity zodpovedné osoby. Napríklad: Pre ochranu siete to bude sieťový administrátor, pre zabezpečenie fyzického prístupu k serverom bezpečnostná služba.

4. stanovenie spôsobu zálohovania a obnovy

Zálohovanie je veľmi dôležitá, ale často zanedbávaná činnosť. Okrem útokov, ktoré môžu napáchať veľké škody, IT technika sa môže často poškodiť aj hardvérovo. Poškodenie môže byť úmyselné, ale často aj neúmyselné. Preto je veľmi dôležité klásť na zálohovanie obrovský dôraz. Je potrebné stanoviť pravidlá zálohovania, od voľby médií na zálohovanie, cez ich bezpečné uchovávanie, intenzitu zálohovania, typ zálohovania, až po osoby, ktoré sú nútené a zároveň oprávnené zálohovať. Väčšina zamestnancov ju povinná zálohovať svoje vlastné dáta na miesto určené správcom. Toto miesto býva často na serveri alebo na špeciálne vyhradenom úložisku. Úložnému priestoru treba venovať taktiež veľkú pozornosť, ideálne je zálohovať aj zálohy a tie uchovávať na vzdialenom bezpečnom mieste. Pri zálohovaní hrá dôležitú úlohu cena dát, tá logicky nemôže prevýšiť náklady na samotný proces zálohovania.

5. stanovenie pravidiel a zodpovednosti

Pri pravidlách ide vlastne o doplňujúci dokument k bezpečnostnej politike. Zosumarizujeme do nich informácie a postupy, ktoré je možné zverejniť. Pre zamestnancov musia z tohto dokumentu jednoznačne vyplývať pravidlá, povinnosti a postihy za ich porušenie. Musí byť s nimi oboznámený každý, kto sa vyskytuje v danej organizácií. Ide o dokument veľmi podobný napr. poučeniu o bezpečnosti práce. Po prečítaní je vhodné ak ho každý zamestnanec podpíše a potvrdí tak, že bol s ním oboznámený a pravidlá bude rešpektovať. Ideálne je ho tiež zverejniť na mieste voľne dostupnom zamestnancom (napr. firemná nástenka).
Pri stanovení zodpovednosti - je veľmi dôležité určiť, kto a za akých okolností má prístup k IT technike a kto k týmto zariadeniam pristupovať nesmie. Taktiež je nutné definovať zodpovednosť za jednotlivé zariadenia, priestory a činnosti pre konkrétne osoby. Napr. kto môže pristupovať k serveru, kto môže odstrániť určité poruchy... Dôležité je tiež ozrejmiť zamestnancom využívanie pracovného počítača. Tu spadá zákaz sťahovania súkromných elektronických materiálov, zákaz inštalácie akéhokoľvek softvéru, či zákaz používania sociálnych sieti v pracovnej dobe.
Potrebné je taktiež pripraviť zamestnanca na situáciu, keď bezpečnostné mechanizmy zlyhajú (napr. jeho počítač je napadnutý malwarom).

6. stanovenie plánov pre núdzové prípady

Ako už bolo spomenuté, organizácia potrebuje plán v prípade úspešného kybernetického útoku alebo v prípade inej udalosti, ktorá spôsobí nefunkčnosť systému, stratu, či odcudzenie dát alebo iné škody. Táto udalosť je pre správcov systémov veľmi stresujúca a človek v nej ľahko spanikári, unáhli sa alebo nesprávne vyhodnotí danú situáciu. Nehovoriac o tom, že každý správca má svoj štýl riešenia problémov, a tak keď dôjde k výmene na jeho poste, prípadne, keď bude mimo pracoviska môže dôjsť k chaosu a k spôsobeniu ďalších chybných krokov. Pokiaľ má organizácia núdzový plán postup môže byť koordinovaný a dá sa ak predísť prípadným komplikáciám. V záchrannom pláne je dôležité vymedziť, kto má kompetencie zasiahnuť a riešiť problémy, vytvoriť všeobecnejší postup napr. analýza situácie, postup pri obnovení záloh atď. Samozrejmosťou je, že plán nemôže počítať so všetkými možnosťami útokov, či problémov, no jednoznačne ide o dôležitú a veľmi prospešnú pomôcku.

Plán by mal v prípade zlyhania ochranným mechanizmov obsahovať základný postup rozdelený na niekoľko častí: rýchla analýza problému, nevyhnutná náprava, podrobná analýza problému, uplatnenie opatrení na zamedzenie opakovania incidentu.

Základné typy bezpečnostnej politiky

  • paranoidná (čo nie je povolené, je zakázané) - všetko, okrem nevyhnutne vyžadovaných a potrebných vecí je zakázané. Pri tomto druhu politiky sa očakáva, že nebezpečenstvo môže prísť odkiaľkoľvek a neverí sa v podstate nikomu. Zmysel využitia tejto politiky je hlavne v oblastiach, kde sa pracuje s tajnými a veľmi cennými informáciami. V bežnej organizácií je táto politika aplikovateľná len veľmi ťažko a samotný proces aplikácie by viedol k mnohým komplikáciám.
  • liberálna (čo nie je zakázané, je povolené) - v tomto prípade sú ustanovené pravidlá rozumným spôsobom. Používateľ (prípadne zamestnanec) nie je výrazne obmedzovaný pri svojej práci. Disponuje iba oprávneniami, ktoré nevyhnutne potrebuje k svojej pracovnej činnosti. Nemôže pristupovať k dátam iných používateľov a zasahovať do globálnych nastavení.
  • anarchia (chaos) - jednoducho povedané každý si robí čo chce. Ide o neprijateľnú situáciu. Dochádza k nej tam, kde administrátor správu siete nezvládol, prípadne nie je na ňu rovnako ako používatelia vyškolený. K tejto situácií môže dôjsť aj v organizáciách, kde manažmentu na používaní IT technológií nezáleží.

Bezpečnostná politika v praxi

Veľmi dôležité je aplikovať bezpečnostnú politiku do praxe. Pokiaľ bude politika iba v papierovej forme a v praxi sa ňou nebudú členovia organizácie riadiť stráca význam. Ideálne je venovať jej zavádzaniu väčšiu pozornosť. Potrebná je plná podpora zo strany manažmentu spoločnosti. Je vhodné oboznámiť s jej obsahom zamestnancov formou školenia, kde sa dá zároveň poukázať aj na hrozby plynúce z jej zanedbávania. Pre zamestnancov je tiež prínosom ak im umožníte konzultácie v prípadoch, keď majú problémy s bezpečnosťou, prípadne nevedia vyhodnotiť určitú situáciu v súvislosti s bezpečnostnou politikou.

V súčasnosti v praxi vidíme, že bezpečnostná politika informačných systémov je zanedbávaná hlavne v školských zariadeniach a v štátnych inštitúciach. Problémom týchto organizácií sú často najmä nepostačujúce finančné prostriedky na realizáciu bezpečnostných opatrení. Taktiež v nich veľmi často chýbajú kompetentní zamestnanci.

Je dôležité, aby sa situácia v tejto oblasti zmenila. Všetky organizácie by si mali uvedomovať riziká plynúce z používania informačných technológií a zvlášť zo zanedbania prípravy bezpečnostnej politiky. V prípade bezpečnostného incidentu sa nepripravené organizácie dostávajú do oveľa ťažšej, komplikovanejšej a nákladnejšej situácie ako organizácie s kvalitným núdzovým plánom.

Článok je upraveným úryvkom z autorovej práce v rámci stredoškolskej odbornej činnosti pod názvom Bezpečnosť počítačových sietí - autor: Matej Zuzčák. Za mnoho cenných rád a názorov ďakujem ľuďom, ktorí mi boli pri jej tvorbe veľmi nápomocní. Sú to: Ing. Miroslav Padyšák, Martin Dráb a Ing. Anton Maslák.

Zdroje použité pri práci: ANONYMOUS: Maximální bezpečnost 2 zväzky, 4. vyd. Praha: SoftPress, 2004. 982 s. ISBN 8086497658; Kabelová A., Dostálek L.: Velký průvodce protokoly TCP/IP a systémem DNS, 5. vyd. Brno: Computer Press, 2008. 488 s. ISBN 9788025122365; KOLEKTÍV AUTOROV: Príručka správcov počítačových učební, 1. vyd. Košice: Elfa, 2004. 257 s. ISBN 8089066895; Lammle T.: CCNA Výukový průvodce přípravou na zkoušku 640-802, 1. vyd. Brno: Computer Press, 2010. 928 s. ISBN 9788025123591; MCCLURE S., SCAMBRAY J., KURTZ G.: Hacking bez záhad 5.vyd. Praha: Grada, 2007. 520 s. ISBN 9788024715025; Northcutt S., Zeltser L., Winters S , Kent Frederick K., Ritchey W. R.: Bezpečnost počítačových sítí. 1. vyd. Brno: Computer Press, 2005. 589 s. ISBN 8025106977; Odom W., Healy R., Mehta N.: Směrování a přepínání sítí, 1. vyd. Brno: Computer Press, 2009. 879 s. ISBN 9788025125205; Orebaugh A., Ramirez G., Burke J., Morris G., Pesce L., Wright J.: Wireshark a Ethereal Kompletní průvodce analýzou a diagnostikou sítí. 1. vyd. Brno: Computer Press, 2008. 444 s. ISBN 9788025120484; STREBE M., PERKINS CH.: Firewally a proxy-servery Praktický prúvodce. 1. vyd. Brno: Computer Press, 2003. 470 s. ISBN 8072269836; SZOR P.: Počítačové viry analýza útoku a obrana, 1. vyd. Brno: Zoner Press, 2006, 608 s. ISBN 8086815048; Thomas M. T.: Zabezpečení počítačových sítí bez předchozích znalostí, 1. vyd. Brno Computer Press, 2005. 879 s. ISBN: 8025104176; TOXEN B.: Bezpečnost v Linuxu, 1. vyd. Brno: Computer Press, 2003. 450 s. ISBN 8072267167;
Internetové zdroje: backbox.org, backtrack-linux.org, cert.org, metasploit.com, nmap.org, openvas.org, secit.sk - doterajší obsah, securityfocus.com, securitytube.net, vrtulex.net, wikipedia.org.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info