VaV pro praxi: ochrana výsledků VaV, licencování patentů a know-how a podpora
spolupráce s průmyslem, komunikace výsledků VaV a motivace k zapojení do VaV činnosti
Reg. č. CZ.1.07/2.3.00/09.0047
Bezpečnost informací
Kontakty:
Ing. Radek Žilka – [email protected]
Vývoj informační bezpečnosti
historie

Dříve – počítačová bezpečnost.

Data securite management (DSM) – časopis, dvouměsíčník zabývající se
problematikou informační bezpečnosti.

80. léta

šifrovací automat ŠA-1 (ještě 70. léta)

v periodikách Mechanizace a automatizace, Informační systémy – objevují se
články o aspektech ochrany počítačových systémů.

90. léta

zahájena výuka kryptografie

v Kriminalistickém ústavu v Praze vzniklo první oddělení počítačové kriminality

1992 – první zákon o ochraně osobních dat

1993 – vznik Asociace firem pro ochranu dat a informací (AFOI)

1994 ̶
vznik Group of Cryptology Union of Czech Mathematicians and
Pfysysicists (GCUCMP)

konference: Pragocrypt (1996) a Eurocrypt (1999)

1996 – začal vycházet časopis DSM

1999 ̶ časopis e-zin Crypto-World.
Hodnocení úrovně bezpečnosti informačních systémů

dokument TCSEC (Trusted Computer Evaluation Critea) neboli Orange Book – první
dokument popisující obecné bezpečnostní požadavky (1983, 1985)

ITSEC (Information Technology Security Evaluation Criteria) – evropský, na rozdíl od
TCSEC, která původně vznikla pro vojenské prostředí, ITSEC byla koncipována více
obecně

CTCPEC (Canadian Trusted Computer Product Evaluation Critea)

CC (Common kriteria) – nejmodernější, vznikla harmonizací kritérií TCSEC, ITSEC,
CTCPEC; přijata mezinárodním standardizačním úřadem ISO; pro ČR poslední vydání
normy ISO/IEC 15408:2009 z roku 2009.
Současný stav informační bezpečnosti
IB je nutno chápat jako základní postulát, bez kterého nelze budovat úspěšné a důvěryhodné
vztahy s klienty, obchodními partnery i zaměstnanci (takový přístup u nás zatím není).
Veškeré osobní údaje použity v komunikaci, musí být shromažďovány, zpracovány a
uchovány v centrální databázi s vysokou úrovní organizačního a technického zabezpečení.
Informace jsou aktiva, která mají pro organizaci hodnotu. Potřebují být tedy vhodným
způsobem chráněny. To zajišťuje IB, která je zaměřená na širokou škálu hrozeb. IB je
v podstatě ochrana proti možným nebezpečím, minimalizuje rizika, obsahuje komplex
administrativních, logických, technických a fyzických opatření pro prevenci, detekci a opravu
nesprávného použití systému informací.

Standardizace informační bezpečnosti – je nutné veškeré informace vstupující i
vystupující ze společnosti náležitým způsobem chránit:

Definování pomu informační bezpečnost – důležité roviny IB jsou
ochrana informací, informačních systémů společnosti, bezpečnost
komunikace,
fyzická
a
personální
bezpečnost, ochrana
proti
nebezpečím, minimalizace rizik a komplex administrativních, logických,
technických, organizačních a fyzických opatření pro prevenci, detekci a
opravu nesprávného použití informací a informačních aktiv.

Systém řízení bezpečnosti informací (BI) – správa informačních aktiv,
cílem které je eliminovat jejich možnou ztrátu nebo poškození. Tento
systém definujeme jako soubor opatření a požadavků k zajištění
ochrany a bezpečnosti všech důležitých aktiv společnosti.

Oblasti informační bezpečnosti – obecně lze IB rozdělit do několika
oblastí (bezpečnostní politika, řízení aktiv, řízení přístupu, …). Systém
je ale tak bezpečný, jak je zabezpečen jeho nejslabší článek.

Průzkum stavu informační bezpečnosti v České republice – v ČR byl v roce 2009 již
popáté proveden průzkum stavu informační bezpečnosti a ochrany dat v České
republice. Výsledky průzkumu:

Roste podíl organizací, které hodnotí vlastní úroveň řešení IB jako
významnou.

Největší význam pro prosazení IB má hrozba útoku.

Ubývá společností, kde není za řešení IB jasně definována ničí
odpovědnost.

Největší překážkou rychlejšího prosazování IB je obecně nízké
bezpečnostní povědomí.

2/3 dotázaných organizací mají zavedenou bezpečnostní politiku.

Nejčastěji zaznamenané bezpečnostní incidenty jsou SPAM a výpadek.

U 63 % organizací je IB řešena ve spolupráci s externími firmami.
Organizace bezpečnosti informací

Zapojení managementu na všech úrovních.

Několik typů partnerů.
Vnitřní organizace

Prostor pro zahájení a řízení implementace bezpečnosti informací.

Schválit politiku podnikové bezpečnosti informací.

Zvolit odborníka na bezpečnost informací.
K vnitřní organizaci náleží tyto kroky:
1. Závazek vedení organizace směrem ISMS: vedení musí aktivně podporovat
bezpečnost informací uvnitř organizace. Vymezení a přiřazení rolí a jejich
odpovědnosti v oblasti bezpečnosti.
2. Koordinace bezpečnosti informací: koordinace prostřednictvím zástupců vedení
organizace a představitelů z různých útvarů z celé organizace.
3. Přidělení odpovědnosti v oblasti bezpečnosti informací: vymezení odpovědnosti.
4. Schvalovací proces pro prostředky zpracování informací: z pozice managementu
organizace musí být určen, zaveden a přijat postup pro schvalování nových
prostředků ke zpracování informací.
5. Ujednání o ochraně důvěrných informací: k ochraně potřebných informací
organizace. Možnost využití zákonem vymahatelných prostředků. Přezkoumávat
ujednání.
6. Kontakt s orgány veřejné správy: zavedení postupů pro kontakt orgánů veřejné
správy. Postupy včasného hlášení bezpečnostních incidentů. Mezi autory orgánů
státní správy se doporučuje zahrnout: policii, hasiče, dozorčí rady, poskytovatele
telekomunikačních služeb apod.
7. Kontakty se speciálními zájmovými skupinami.
8. Nezávislé přezkoumání informací: přezkoumávání nezávislými subjekty (útvar
interního auditu). O výsledcích přezkoumání musí být vedena evidence.
Externí subjekty, partneři
Přístup externích subjektů k prostředkům pro zpracování informací musí být kontrolován.
1. Identifikace rizik vyplývajících z přístupu externích subjektů: bezpečnostní rizika musí
být identifikována ještě před udělením přístupových práv nebo před povolením
přístupu. Informace mohou být ohroženy přístupem třetích stran, také rizika
související s interními procesy.
2. Bezpečnostní požadavky pro přístup klientů: zohlednění požadavků na bezpečnost
informací při jednání se zákazníky.
3. Zohlednění bezpečnostních požadavků v dohodách s třetí stranou: smlouvy s třetími
stranami musí pokrývat všechny relevantní bezpečnostní požadavky. Dohody musí
zaručit, že neexistuje nesoulad ve výkladu plnění dohod.
Bezpečnost z hlediska lidských zdrojů
3 fáze zaměstnance v organizaci:
1. Před vznikem pracovního vztahu: zajistit podepsání dohody o povinnostech,
odpovědnosti; prohlášení, že jsou v systému řízení bezpečnosti informací vhodnými
kandidáty na svou funkci; toto prohlášení snižuje riziko podvodu, krádeže, lidské
chyby nebo nesprávného použití zařízení.

Role a odpovědnosti – bezpečnostní role a odpovědnosti zaměstnanců apod.
musí být dokumentovány v souladu s politikou BI organizace.

Prověřování osob – kontrola a přezkoumání předchozích činností všech
kandidátů. Při ověřování musí být dodrženy právní zásady soukromí, ochrany
osobních dat. Doporučuje se prověřit: dostupnost profesních a osobních
referencí, kontrola životopisu uchazeče, ověření proklamovaného vzdělání a
kvalifikace, ověření totožnosti, výpis trestního rejstříku, finanční situace,
prověrka spolehlivosti.

Podmínky a požadavky při výkonu pracovní činnosti – při uzavírání pracovní
smlouvy musí zaměstnanci apod. odsouhlasit a podepsat ustanovení, týkající
se jejich odpovědnosti za BI. Pracovní smlouvy by měly obsahovat: požadavek
o ochraně informací, zachování mlčenlivosti, práva a povinnosti zaměstnanců,
odpovědnost za klasifikaci a správu aktiv, odpovědnost za nakládání se
svěřenými informacemi, odpovědnost organizace za nakládání se získanými
informacemi, popis kroků při nedodržení bezpečnostních požadavků,
stanovení doby, kdy je nutno dodržovat povinnosti smlouvy po ukončení
práce.
2. Během pracovního procesu: zajistit, aby zaměstnanci apod. si byli plně vědomi nejen
bezpečnostních hrozeb, ale i svých závazků, aby byli dostatečně školeni:

Odpovědnosti vedoucích pracovníků.

Bezpečnostní povědomí, vzdělání a výcvik – absolvování školení vztahující se
k politice BI.

Disciplinární řízení – musí působit jako odstrašující prostředek.
3. Ukončení nebo změna pracovního vztahu: zajisti, aby proběhlo řádným způsobem:

Odpovědnost při ukončování pracovního vztahu – jasně určit a formulovat
odpovědnosti při ukončování zaměstnaneckého poměru nebo při změně
zaměstnání v rámci organizace.

Navrácení zapůjčených aktiv.

Odebrání přístupových práv.
Zvládání bezpečnostních incidentů
Hlášení bezpečnostních incidentů
Za bezpečnostní incident je možno považovat:

Ztráta služby, zařízení nebo vybavení.

Chyby fungování nebo přetížení systému.

Porušení opatření fyzické bezpečnosti.

Lidské chyby, porušení předpisu.

Nesoulad s pokyny, směrnicemi.

Porušení přístupu.

Pokus o narušení nebo útok na bezpečnost.
Zajistit, aby byly včas nahlášeny mimořádné události bezpečnostních incidentů a slabých
míst informačního systému:

Hlášení bezpečnostních událostí – postupy hlášení bezpečnostních událostí zahrnují
následující principy:

Zajištění zpětné vazby informace o výsledku vyšetření incidentu a jeho
uzavření.

Vypracování
formuláře
pro
hlášení
bezpečnostních
událostí
napomáhající osobě, která incident hlásí, provést všechny nezbytné
kroky.

Pro uživatele, kteří se stali cílem donucování nebo v místě s vysokým
rizikem zvážit možnost vyvolání poplachu.


Zaznamenávání všech důležitých detailů a zajištění důkazů.
Hlášení bezpečnostních slabin – hlásit svým nadřízeným, nepokoušet se prověřovat
sám → může způsobit narušení systému.
Zvládání bezpečnostních incidentů
Aplikace odpovídajícího a účinného přístupu zvládnutí bezpečnostních incidentů:

Odpovědnosti a postupy – důležité pro rychlé, účinné a systematické reakce na
bezpečnostní incident. Doporučená opatření pro realizaci odpovědností a postupů
úspěšného zvládání bezpečnostních incidentů:

Selhání systému, ztráta služby,

škodlivý kód,

chyby nekompetentních vstupních dat,

porušení důvěrnosti a integrity,

zneužití systému,

odepření poskytnutí služby,

lidské omyly a chyby,

neoprávněný přístup.
Postupy musí obsahovat minimálně:


Analýzu a identifikaci příčin incidentu,

jejich kontrolu,

plánování a zavádění opravných prostředků,

zajištění souboru auditivních záznamů jako důkazu,

přístup do systému,

detailní dokumentace mimořádných událostí,

Hlášení mimořádných událostí vedení organizace.
Ponaučení z bezpečnostních incidentů – zavedení mechanizmu umožňujícího
kvantifikovat a monitorovat typy, rozsah a náklady související s bezpečnostními
incidenty.

Shromažďování důkazů – vytvoření v organizaci interních směrnic pro sběr a
předkládání důkazů pro disciplinární proces.
Audit
Úvod do problematiky průběhu auditu
Úkoly, které organizaci čekají před zahájením, v jeho průběhu a po dokončení auditu:

Stanovení jasného cíle auditu – cílem je většinou porovnání zavedeného systému
managementu BI s realitou.

Stanovení celkového rozsahu auditu.

Zahájení auditu bezpečnosti informací – shromažďování všech potřebných informací.

Zpracování zjištěných informací – převedení zjištěných informací do nějaké souhrnné,
přehledné a srozumitelné podoby.

Odsouhlasení získaných poznatků.

Vypracování souhrnné zprávy.

Ukončení projektu – zhodnocení vlastního přínosu provedeného auditu.
Důvody, cíle a odpovědnosti auditu
Důvody auditu:

Zkoumání systému managementu BI → je možné zlepšení?

Určování shody či neshody prvků systému BI s danými požadavky (normy ISO/IEC
27001:2005).

Vyhovění požadavkům řízení.

Umožnění certifikace systému managementu BI firmy certifikační společností →
vstup do registru certifikovaných společností.
Cíle a účel auditu:

Získat informace, jak dobře pracuje systém managementu BI.

Ohodnotit stav systému.

Získat certifikaci.

Pohlížet na auditování jako na faktické vyhledávací poslání.

Dosáhnou a upozornit na místa vyžadující zlepšení.

Posunout systém směrem ke zlepšení.
Odpovědnosti auditu:

Zajištění politiky činnosti auditování.

Zajištění požadavků certifikace nebo registrace systému.

Zavedení auditování do svého řízení.

Provádění auditů – kompletní nestrannost auditora.

Realizování spolupráce auditorů a zaměstnanců.

Zabránění využívání auditů BI k přesunu odpovědnosti a k dosažení BI mezi řízením a
auditorem.

Sledování souladu všech postupů auditu s postupy prováděnými organizací.
Rozsah činnosti auditu
Obecný postup auditování systému managementu BI by měl minimálně obsahovat
následující prvky:

Odpovědnost za řízení auditů a stanovení požadavků na oznamovací povinnost
exekutivě.

Prohlášení odpovědnosti, nezávislost organizace a pravomocí auditorů a hodnotitelů.

Přístup auditních týmů k obchodním místům.

Standardy školení požadované auditory.

Metody plánování, iniciací, provedení auditů, následných aktivit a nápravných
opatření.

Pravidla pro rozhodování o kritickém stavu neshod.

Racionální a časovou přístupnost agitujících osob k materiálnímu vybavení,
dokumentaci a personálu k vyměření auditech aktivit k úspěšnému dokončení.

Formáty a distribuce auditních záznamů.

Typy metod pro nakládání, uchovávání a dobu archivace pro auditní záznamy.
Závěrem
Informace jsou základním a rozhodujícím klíčem k úspěchu a růstu jakékoli společnosti.
V současné době tvoří elektronické informace hlavní informační podíl hodnoty společnosti –
je nutné je chránit. Zavedení systému řízení BI pomůže identifikovat a snížit bezpečnostní
rizika, pomůže zajistit a předejít jejich úniku, poškození či ztrátě. Komplexní systémový
přístup k řešení problematiky bezpečnosti informací v organizaci je jasnou a přímou cestou
k dosažení požadované úrovně BI a informačních systémů. Cílem je získání certifikátu
potvrzující funkčnost systému managementu BI podle ISO/IEC 27001:2005 resp. ČSN ISO/IEC
27001:2006.
Literatura
Anderson, R. J.: Security Engineering: A Guide to Building Dependable Distributed Systems.
2nd ed. Wiley Publishing, 2008; s. 1080. ISBN 978-0-470-06852-6.
Kovalich, G. L.: Průvodce bezpečnostního pracovníka informačních systémů. Praha 2000, s.
200. ISBN 80-86097-42-0.
Látal, I. A kol.: Ochrana informací, dat a počítačových systémů. Praha 1996, s. 238, ISBN 8085858-32-0.
Pokorný, P.: Základy psychologie a komunikace pro auditory IS. 1. vyd., Praha 2006, s. 19.
Rodryčová, D., Staša, P.: Bezpečnost informací jako podmínka prosperity firmy. Praha 2000,
s. 143.
Šebesta, V., Štverka, V., Šebestová, M., Sedláček, M.: Systémy řízení bezpečnosti informací.
Část 3: Směrnice pro management rizik bezpečnosti informací podle BS 7799-3:2005
s komentářem k managementu rizik v ISMS. Praha 2007, s. 50.
Šebesta, V., Štverka, V., Steiner, F., Šebestová, M.: Praktické zkušenosti z implementace
systému managementu bezpečnosti informací podle ČSN BS 7799-2:2004 a komentované
vydání ISO/IEC 27001:2005. 1. vyd., Praha 2006, s. 70. ISBN 80-7283-204-2.
Toffler, A., Tofflerová, H.: Nová civilizace. Třetí vlna a její důsledek. Praha 2001, s. 125. ISBN
80-86569-00-4.
ČSN EN ISO 9001:2009 – Systém managementu kvality – Požadavky. Praha 2009.
ČSN EN ISO 14001:2005 – Systémy environmentálního managementu – Specifikace
s návodem pro její použití. Praha 2005.
ČSN EN ISO/IEC 17021:2007 – Posuzování shody – požadavky a orgány provádějící audit a
certifikaci systémů managementu. Praha 2007.
ČSN EN ISO 19011:2003 – Směrnice pro auditování systému managementu kvality a/nebo
systému environmentálního managementu. Praha 2003, s. 56.
ČSN EN ISO 27001:2006 – Informační technologie – Bezpečnostní techniky: Systémy
managementu bezpečnosti informací. Praha 2006, s. 36.
ČSN EN ISO/IEC 27006:2008 – Informační technologie – Bezpečnostní techniky – Požadavky
na orgán provádějící audit a certifikaci systémů řízení bezpečnosti informací. Praha 2008, s.
62.
E-learningové otázky
1. Ze kterého roku pochází první zákon o ochraně osobních dat?
2. Jak se jmenoval první dokument popisující obecné bezpečnostní požadavky?
3. Ve kterém roce by u nás proveden popáté průzkum stavu informační bezpečnosti a
ochrany dat v České republice a jakých výsledků bylo dosaženo?
4. Vyjmenujte tři základní body vnitřní organizace BI.
5. Jaké jsou tři fáze zaměstnance v organizace a co je pro každou fázi charakteristické
z hlediska BI?
6. Co můžeme považovat za bezpečnostní incident?
7. Proč nemáme bezpečnostní slabiny sami ověřovat?
8. Jaké jsou cíle a účely auditu?
Download

Bezpečnost informací