Řádná identifikace aktiv, s nimiž pracujeme v informačních systémech veřejné správy, a jejich objektivní klasifikace umožní zvolit odpovídající bezpečnostní opatření.
Požadavky na řízení bezpečnosti informačních systémů mj. rovněž krajů, měst a obcí stanovuje vyhláška č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy. Ta požaduje identifikaci čtyř skupin aktiv:
data (informační aktiva);
technické prostředky (hardwarová aktiva, fyzická aktiva);
programové prostředky (softwarová aktiva);
služby, které jsou prostřednictvím informačních systémů poskytovány.
Pro první tři skupiny aktiv (informační aktiva, hardwarová aktiva, softwarová aktiva) je nejvhodnější postupovat v souladu s normou ISO 27001 - Systémy managementu bezpečnosti informací, ISO 17799 - Soubor postupů pro management bezpečnosti informací a ISO 13335 - Směrnice pro řízení bezpečnosti IT.
Pro čtvrtou skupinu (informační služba) je vhodné použít normu ISO 27001 v kombinaci s normou ISO 9001 - Systémy managementu jakosti a ISO 20000 - Management služeb IT.
GARANT PRO KAŽDÉ AKTIVUM
Pod aktivem můžeme chápat cokoli, co má pro organizaci hodnotu. Protože vyhláška č. 529/2006 Sb. vyžaduje pouze čtyři skupiny aktiv, omezíme se při identifikaci aktiv na data, technické prostředky, programové prostředky a služby, které se poskytují prostřednictvím informačních systémů.
Prvním krokem identifikace aktiv je vytvoření jejich seznamu (počítačů, programů...). Ke každému jednotlivému aktivu určíme jeho bezpečnostního garanta. Garant (vlastník) odpovídá za každodenní bezpečnost svěřeného aktiva. Pro vytvoření seznamu aktiv a jejich bezpečnostních garantů můžeme použít inventarizační a personální seznam.
Následně je nutné identifikovaná aktiva klasifikovat. Tento proces probíhá ve dvou rovinách:
První rovina zohledňuje cenu aktiva nebo odhadovanou velikost škody, která může nastat při zničení či poškození aktiva tím, že aktivum bude nefunkční.
Druhá rovina zohledňuje zranitelnost aktiva a hrozbu, která může na aktivum negativně působit.
Riziko (hrozba) ukradení počítače závisí na ceně za, niž lze přístroj prodat v bazaru, dále na jeho váze, rozměrech a umístění (zranitelnost). Pro pochopení rozdílu mezi hrozbou a zranitelností je snad nejjednodušším příkladem požár. Riziko toho, že věci shoří, závisí na riziku vzniku ohně (hrozba) a schopnosti věci hořet (zranitelnost).
Přijetím bezpečnostního opatření můžeme riziko snížit. Nejčastějším opatřením pro zvýšení spolehlivosti serverů je jejich umístění do servrovny. To je většinou klimatizovaná místnost s režimovým vstupem. Má stabilní teplotu a vlhkost, což zvyšuje spolehlivost techniky. Režimový vstup snižuje riziko vstupu neoprávněné osoby.
K dalším nejčastějším opatřením patří zálohování dat, školení uživatelů, ostraha objektu, řízení přístupu, šifrování, uzamykatelná skříň, uzamykatelná kancelář, zapečetění kanceláře, bezpečnostní systém, požární systém atd.
NA ČEM ZÁVISÍ RIZIKA
Z výše uvedeného vyplývá, že bezpečnostní riziko je závislé na:
hodnotě aktiva;
hrozbách, které mohou na aktivum působit;
zranitelnostech aktiva;
přijatých bezpečnostních opatřeních.
Takto uvedenou klasifikaci lze zapsat do tabulky (viz tabulka Seznam technických prostředků odboru). Pro takto připravenou tabulku potřebujeme stanovit postup pro klasifikaci hodnoty aktiva a klasifikaci hrozeb a zranitelností.
Je lepší používat jednoduché postupy a klasifikační stupnice. V několika organizacích jsem se setkal s použitím rozsáhlých a složitých matic pro klasifikaci. Zaměstnanci tam pak ani po školení nebyli schopni takovou klasifikaci použít. Zavedení složitého systému ochrany informací tak nakonec vedlo ke snížení úrovně ochrany. Zaměstnanci totiž nemohou účinně dodržovat postup práce, kterému nerozumějí. Proto je nutné vždy ověřit (nejlépe písemným testem), zda a jak pracovníci klasifikaci pochopili.
BEZPEČNOSTNÍ KLASIFIKACE
Pro bezpečnostní klasifikaci hodnoty aktiva není vhodné použít jeho účetní hodnotu. Mnohem lepší je použít odhad rozsahu škody, která vznikne jeho případným výpadkem. Například výpadek serveru postihne všechny uživatele, zatímco výpadek pracovní stanice znemožní činnost pouze jednomu uživateli.
Proto doporučuji klasifikovat server hodnotou vysokou = 2 a pracovní stanici hodnotou nízkou = 1. Tím zohledníme, že server má pro zachování činnosti organizace větší hodnotu než standardní pracovní stanice.
Pro klasifikaci doporučuji použít nejnižší možný počet klasifikačních stupňů:
Hodnota aktiva nízká = 1
Hodnota aktiva vysoká = 2
Hrozby a zranitelnosti nízké = 1
Hrozby a zranitelnosti vysoké = 2
Příklad dvou bezpečnostních opatření:
Stálá teplota a vlhkost = 1
Režimové pracoviště = 1
VZORCE PRO VÝPOČET RIZIK
Vzorec pro výpočet rizika po přijetí opatření (použitý v tabulce) je následující:
Riziko po přijetí opatřeni = hodnota aktiva + hrozby,zranitelnosti - opatření.
Podle tohoto vzorce můžeme vypočítat rizika naplnění hrozby pro pracovní stanici nebo server:
Riziko naplnění hrozby pro pracovní stanici č. ( 1) = 1 + 1 = 2 (viz tabulka);
Riziko naplnění hrozby pro server č. ( 1) po přijetí opatření = 2 + 2 - 2 = 2.
Výše uvedený postup lze aplikovat i na skupinu technických nebo programových prostředků. Například pokud vypadne program na serveru, výpadek postihne všechny uživatele; pokud vypadne program na pracovní stanici, postihne to jenom jednoho uživatele. Proto můžeme klasifikovat program na serveru hodnotou vysokou = 2 a programu na pracovní stanici hodnotou nízkou = 1 (stejně jako u technických aktiv). Totéž platí pro zranitelnosti,hrozby a postup výpočtu rizika pro programová aktiva.
Text navazuje na články Komplexní řízení kvality IT se vyplatí (MO č. 3/2007, str. 15) a Informační koncepce a bezpečnost systémů (MO č. 6/2007, str. 24). Klasifikací dat se budeme věnovat v některém z příštích čísel.
DANIEL KARDOŠ
externí posuzovatel ČIA
