UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE
Transkript
UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE
UNICORN COLLEGE Katedra informačních technologií BAKALÁŘSKÁ PRÁCE Návrh bezpečnostní politiky informačních technologií v prostředí středně velké společnosti Autor BP: Jiří Kohout Vedoucí BP: Ing. David Hartman Ph.D. 2015 Praha Čestné prohlášení Prohlašuji, že jsem svou bakalářskou práci na téma "Návrh bezpečnostní politiky informačních technologií v prostředí středně velké společnosti" vypracoval samostatně pod vedením vedoucího bakalářské práce a výhradně s použitím odborné literatury a dalších informačních zdrojů, které jsou v práci citovány a jsou také uvedeny v seznamu literatury a použitých zdrojů. Jako autor této bakalářské práce dále prohlašuji, že v souvislosti s jejím vytvořením jsem neporušil autorská práva třetích osob a jsem si plně vědom následků porušení ustanovení § 11 a následujících autorského zákona č. 121/2000 Sb. V Praze dne 8. 4. 2015 Jiří Kohout Poděkování Rád bych poděkoval vedoucímu mé práce, Ing. Davidu Hartmanovi Ph.D. za cenné rady, které mi pomohly tuto práci dokončit. Návrh bezpečnostní politiky informačních technologií v prostředí středně velké společnosti Proposal of security policy of information technology in mid-sized companies 5 Abstrakt Tato bakalářská práce se zabývá oblastí bezpečnosti ICT prostředí ve společnostech působících na českém trhu. Poskytuje základní orientaci v oblasti norem rodiny ISO/IEC 27000 a zákona 181/2014 Sb. o kybernetické bezpečnosti včetně navazujících a souvisejících předpisů, vyhlášek a nařízení. Přínosem práce je především návrh struktury bezpečnostní politiky v oblasti bezpečnosti ICT, a to včetně doporučení jednotlivých technických řešení pro vybrané oblasti, ve snaze zajistit snazší zavedení této politiky do praxe u společností, které nemají ambici získat certifikaci ISO/IEC 27001 nebo nejsou příjemci zákona o kybernetické bezpečnosti a přesto mají zájem o zajištění elementární bezpečnosti v oblasti informací s minimální investiční náročností. Součástí práce je vyhodnocení provedeného dotazníkového šetření, které svými výsledky poukazuje na dobrou míru znalostí v oblasti bezpečnosti ICT prostředí u společností působících na českém trhu. Zároveň však potvrzuje, že k zajištění vysoké míry bezpečnosti ICT prostředí bude potřebný ještě relativně dlouhý vývoj v této oblasti. Pozitivní zprávou pro společnosti působící v oblasti služeb ICT bezpečnosti je, i přes určitou rozporuplnost plynoucí ze své podstaty, zjištění relativně vysoké míry otevřenosti k outsourcingu správy a provozu bezpečnostních technologií, což je jeden z velmi dobrých a důležitých předpokladů pro zvýšení bezpečnostního standardu českých společností. Klíčovou roli v posunu směrem k všeobecně vyššímu zabezpečení prostředí ICT hrají nejen zaměstnanci, ale především vedení společností rozhodující o investicích do oblasti školení, úpravy interních procesů a nákupu, správy a dohledu bezpečnostních technologií. Klíčová slova: bezpečnostní politika, ICT, informační technologie, ISO/IEC 27000, ISO/IEC 27001, kybernetická bezpečnost, zákon o kybernetické bezpečnosti ČR (181/2014 Sb.) 6 Abstrakt This bachelor thesis deals with the area of safety of ICT environment at companies operating in the Czech market. It provides the basic orientation in the area of standards of the family ISO/IEC 27000 and Act No. 181/2014 Coll., on Cyber Security, including successive and relating directives, regulations and provisions. The contribution of this thesis is above all the proposal of structure of security policy in the area of ICT security, including the recommendations of individual technical solutions for selected areas, trying to ensure an easier introduction of this policy into the practice at companies which do not have the aspiration to gain the certification ISO/IEC 27001 or are not receivers of Act on Cyber Security and still they are interested in the ensuring of elementary security in the area of information with minimal investment demandingness. Part of this thesis is the evaluation of the realized questionnaire inquiry which by its results points to the good measure of knowledge in the area of security of ICT environment at companies operating in the Czech market. At the same time it, however, confirms that for the ensuring of a high factor of safety of ICT environment, still a relatively long development in this area will be necessary. A positive message for companies operating in the area of services of ICT security is, despite a certain inconsistency resulting from its foundation, the finding of a relatively high measure of openness to the outsourcing of the management and operation of safety technologies which is one of very good and important groundwork for the increase of the safety standard of Czech companies. A key role in the movement towards the generally higher securing of ICT environment is played not only by employees, but also by the management of companies deciding about investments in the area of training, modification of internal processes and purchase, management and supervision of safety technologies. Keywords: security policy, ICT, information technology, ISO/IEC 27000, ISO/IEC 27001, cyber security, law of Czech republic about cyber security (181/2014 Sb.) 7 Obsah ÚVOD ........................................................................................................................................................10 1 DEFINICE POJMŮ V OBLASTI BEZPEČNOSTI PROSTŘEDÍ ICT ..............................................................14 2 POPIS ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI ...............................................................................18 3 4 5 6 2.1 DOPAD ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI ............................................................................................ 20 2.2 VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI .................................................................................................... 21 2.3 VIS A KII A JEJICH URČUJÍCÍ KRITÉRIA .......................................................................................................... 23 POPIS A ANALÝZA NOREM RODINY ISO/IEC 27000 ...........................................................................25 3.1 POPIS ZÁKLADNÍCH NOREM SKUPINY ISO/IEC 27000 ................................................................................... 27 3.2 HLAVNÍ CÍLE NOREM SKUPINY ISO/IEC 27000 ............................................................................................ 28 3.3 OPATŘENÍ POŽADOVANÉ ISO/IEC 27001 .................................................................................................. 31 NÁVRH STRUKTURY BEZPEČNOSTNÍ POLITIKY A TECHNICKÝCH ŘEŠENÍ ............................................32 4.1 KONCOVÁ ZAŘÍZENÍ ................................................................................................................................. 39 4.2 SÍŤOVÝ PERIMETR ................................................................................................................................... 40 4.3 PŘENOSOVÉ/SÍŤOVÉ PROSTŘEDÍ ................................................................................................................ 41 4.4 INFORMAČNÍ SYSTÉMY ............................................................................................................................. 42 4.5 DATOVÁ CENTRA .................................................................................................................................... 43 4.6 PŘENOS DAT .......................................................................................................................................... 44 4.7 UŽIVATELÉ ............................................................................................................................................ 45 4.8 ADMINISTRÁTOŘI/SPRÁVCI ....................................................................................................................... 46 4.9 VEDENÍ SPOLEČNOSTI .............................................................................................................................. 47 POPIS DOTAZNÍKU PRO PRŮZKUM VNÍMÁNÍ BEZPEČNOSTI ICT .......................................................49 5.1 IDENTIFIKACE ADRESÁTŮ DOTAZNÍKU .......................................................................................................... 51 5.2 ANALÝZA ODPOVĚDÍ DOTAZNÍKU................................................................................................................ 52 CELKOVÉ ZHODNOCENÍ AKTUÁLNÍ SITUACE V OBLASTI BEZPEČNOSTI ..............................................62 ZÁVĚR ........................................................................................................................................................63 CONCLUSION .............................................................................................................................................65 SEZNAM ZDROJŮ .......................................................................................................................................67 SEZNAM OBRÁZKŮ ....................................................................................................................................71 SEZNAM TABULEK .....................................................................................................................................72 SEZNAM GRAFŮ ........................................................................................................................................73 SEZNAM ZKRATEK .....................................................................................................................................74 8 PŘÍLOHY ....................................................................................................................................................78 9 Úvod Oblast bezpečnosti informačních a komunikačních technologií (dále také ICT) se v současnosti stává stále častěji skloňovaným tématem. Může za to především rychlý rozvoj ICT technologií, souvisejících služeb a informačních systémů (dále také IS) na ICT závislých. ICT znamená neoddiskutovatelný přínos v efektivitě práce v mnoha oblastech bez rozdílu společností co do předmětu podnikání, velikosti, systému organizace práce nebo řízení. Informační systémy nabývají den ode dne na významu a zasahují do našich životů více, než se na první pohled může zdát. S Informačními systémy se setkáváme na denní bázi na úřadech, v bankách, lékárnách. Jsou jimi řízeny policejní sbory, záchranné jednotky i armáda. [1] Informační systémy jsou naprosto neodmyslitelnou denní součástí každého obyvatele moderního světa. Den ode dne stoupá také využití Internetu [2] jako významného komunikačního média a zdroje množství informací, které jsou široce využívány ve všech oblastech řízení, rozhodování a přípravy strategie společností. Internet poskytuje nejenom informace pro tato důležitá rozhodnutí, ale hraje významnou roli i jako komunikační a prezentační/reklamní kanál. Činnost některých společností, jako jsou např. elektronické obchody, je na Internetu doslova životně závislá a představuje zdroj veškerých příjmů společnosti. Výpadek těchto důležitých, a mnohdy i naprosto pro běžný život zásadních, služeb nejenom nečekáme, nepředpokládáme, ale následky dlouhodobého výpadku přístupu k nejrůznějším informacím si mnohdy ani nedokážeme představit. Sám Internet, informační systém, nebo ICT všeobecně však není základní podstatou a předmětem ochrany z pohledu bezpečnosti. Jsou to právě informace – data uložená uvnitř těchto systémů, poskytovaná veřejnosti nebo jednotlivcům jejich prostřednictvím. Tato data je třeba chránit, tedy zajistit jejich neměnnost, integritu a dostupnost [3], a to kdykoliv to bude nutné, nebo tato data bude požadovat kdokoliv, kdo je k tomu oprávněný (autorizovaný). Ochrana dat by tak měla být nepřetržitá a všudypřítomná – musí být zajištěna nepřetržitě, tj. 24/7/365 (24 hodin denně, 7 dní 10 v týdnu, 365 dní v roce). Bezpečnost dat je velice úzce závislá na bezpečnosti veškerého technického vybavení a procesních postupů, které s těmito daty souvisí – na bezpečnosti ICT prostředí. Bezpečnost ICT prostředí (jako soubor všech komponent, technologií a prvků zajišťující běh datové sítě, všech poskytovaných služeb, konektivity do Internetu, procesními postupy apod.) je základním předpokladem pro bezpečnost uložených dat. Bezpečnost dat není omezena na vnitřní (důvěryhodnou) nebo pouze vnější (veřejnou) datovou síť. Data je nezbytné chránit jak vůči externímu přístupu (z Internetu), tak vůči neoprávněnému přístupu např. ze strany interních zaměstnanců přičemž rizika související s daty je možné nalézt v mnoha oblastech (od živelných katastrof až po nechtěnou nebo úmyslnou neodbornou změnu v IS ze strany uživatele). Pokud bychom se zamýšleli nad mírou rizika z pohledu bezpečnosti dat, nutně bychom museli dojít k závěru, že riziko narušení bezpečnosti dat stoupá s množstvím subjektů, jež s nimi pracuje. Z tohoto pohledu je tak např. přímé vystavení chráněných dat do veřejné sítě/Internetu bezpochyby hrubou chybou. Internet je však, z druhého pohledu, klíčovým faktorem úspěchu mnoha společností a tak by oddělení od tohoto způsobu komunikace, znamenalo pravděpodobně výraznou nevýhodu vůči konkurenci, s očekávatelným dopadem na hospodaření společnosti. Vzhledem k faktu, že v jednu chvíli na Internetu komunikují miliony zařízení [4] a toto prostředí je plné bezpečnostních hrozeb [5], je nutné toto prostředí dostatečně kvalitně oddělit od vnitřní datové sítě. I ta však představuje určitou hrozbu pro bezpečnost dat, a to v podobě chtěné či nechtěné činnosti zaměstnanců, ale i z důvodu možné přítomnosti virů a dalších programových kódů, které se v jakékoliv datové síti mohou vyskytnout. Problematika selhání technického vybavení mající za následek ztrátu dat, nebo krádeže vybavení, kde jsou data uložena (mobilní zařízení atd.), jsou jen dalšími z mnoha hrozeb, se kterými je nutné se ze strany společností vypořádat. Pro zajištění bezpečnosti dat je nezbytné dodržovat určitou minimální míru ochrany. Tuto nezbytnost potvrzují i množící se události související s kybernetickými útoky na finanční instituce, krádeže identit, čísel kreditních karet, přístupových údajů do nejrůznějších IS, krádeže osobních informací apod. [6][7] 11 Snahy Evropské Unie, USA a dalších státních uskupení v definici určitého minimálního standardu v oblasti bezpečnosti ICT a organizování bezpečnostněkybernetických cvičení napříč státy a kontinenty [8], tuto nutnost dále potvrzují. Vznikají CSIRT a CERT týmy specializující se na kybernetickou bezpečnost na úrovni států [9][10], tak i v rámci soukromých společností beroucí již dnes bezpečnost ICT prostředí vážně [11]. Bezpečnost dat je samozřejmě skloňována i v souvislosti s kyberterorismem (aktivitami v oblasti kyberprostoru mající za cíl prostřednictvím útoků na klíčové prvky kritické infrastruktury ohrozit nebo omezit chod států). Oblasti bezpečnosti dat je tedy nezbytné se začít velice intenzivně věnovat a nečekat na první velký bezpečnostní incident – ostatně mnohé útoky byly již v minulosti zaznamenány [7], z nichž některé s rozsáhlým finančním dopadem [12]. Kroky globálně realizované v posledních letech v oblasti kybernetické bezpečnosti jsou v tomto ohledu více než výmluvné: • samotná existence bezpečnostních norem rodiny ISO/IEC 27001 a jejich postupné celosvětové rozšiřování [13], • příprava bezpečnostního konceptu na úrovni EU předpokládající mezinárodní spolupráci [14], • realizace stále větších a komplexnějších kybernetických cvičení s mezinárodní účastí [15], • příprava a strategie akčního plánu České republiky až do roku 2020 [16], • příprava a schválení zákona o kybernetické bezpečnosti v České republice [17], • a mnohé další. Bezpečnost ICT prostředí by se měla neodmyslitelně stát součástí strategie každého podniku. Všeobecně je však často problematika bezpečnosti ICT prostředí ze strany vedení společnosti podceňována a je řešena až ve chvíli bezpečnostního incidentu. To již ale bývají data kompromitována, odcizena, nebo pozměněna tak, že je již velice složité zabránit další související ztrátě – finanční či reputační [18]. 12 V následujících kapitolách budou popsána doporučení a nezbytné kroky k zajištění bezpečnosti ICT prostředí a dat s cílem usnadnit společnostem aktivně bezpečnostním incidentům bránit a předcházet, nikoliv na ně pouze reagovat. Při návrhu struktury bezpečnostní politiky (jako základnímu stavebnímu kameni celé bezpečnosti prostředí ICT a tedy i ochrany dat) je v této práci vycházeno z nově vzniklého zákona 161/2014 Sb. o kybernetické bezpečnosti (dále jen ZoKB) a z norem rodiny ISO/IEC 27000. Dále je představeno vyhodnocení provedeného dotazníkového šetření, které bylo zaměřeno na zjištění současného stavu povědomí o bezpečnostních principech a nasazených technologiích napříč společnostmi působících na území České republiky, a to včetně zástupců veřejného sektoru. 13 1 Definice pojmů v oblasti bezpečnosti prostředí ICT Oblast bezpečnosti a ochrany dat a informací již v současnosti představuje specializovaný obor stále nabývající na důležitosti. V rámci vývoje tohoto oboru docházelo a stále dochází ke vzniku a upřesňování mnohých definic a pojmů. Požadavky na bezpečnost informace (prostředí ve formě údajů o určitém stavu a s procesy v něm probíhajícími [19]), resp. dat (opakovaně interpretovatelná formalizovaná podoba jakékoliv informace vhodná pro komunikaci, vyhodnocení nebo zpracování [19]), která tyto informace plní je možné nalézt již v dávné lidské minulosti, kdy jedním z prvních zmínek o potřebě zajistit datům důvěrnost, tedy udržet data v okruhu osob, jež jsou k nakládání s těmito daty autorizovány (tj. prevence neautorizovaného vyzrazení nebo přístupu k datům) [3], byla zpráva předaná pomocí tajného písma mezi Řekem Demaratusem a Spartou, ve které varoval Řeky o přípravě vojenské operace ze strany Peršanů pod vedením Xerxese v roce 480 př. n. l. a tím v podstatě zajistil vítězství Řeků díky jejich včasné přípravě na válečný konflikt [20]. Od té doby bylo vymyšleno a prolomeno mnoho pokusů o zabezpečení dat (jako jeden příklad za všechny je vhodné uvést šifrovací stroj Enigma1 využívaný ve 2. Světové válce), ale s příchodem a rychlým rozvojem informačních technologií (s téměř neomezenými možnostmi ukládání a modifikace dat), vyvstal požadavek nejen na zajištění důvěrnosti dat, ale také na jejich integritu (zajištění neměnnosti/neporušitelnosti stavu dat, tj. udržení dat v čitelném stavu a ve stavu odpovídající požadované skutečnosti) [3] a dostupnost (zajištění možnosti přístupu k datům kdykoliv to bude vyžadováno ze strany autorizovaných/oprávněných zákazníků, konzumentů dat apod.) [3] Soubor těchto tří požadavků je znám pod pojmem bezpečnost informace. [3][19] Informace jsou tzv. aktivem – to představuje jakýkoliv hmotný a nehmotný majetek společnosti [19], který má potenciál k budoucímu využití a zhodnocení investice (např. finanční prostředky, zásoby na skladě, licence, softwarové a hardwarové vybavení, smlouvy, auta a i zmíněné informace neboli data, apod.). Aktiva je třeba 1 http://cs.wikipedia.org/wiki/Enigma 14 chránit (protože mají pro jejich vlastníka hodnotu). Každé aktivum by mělo mít svého vlastníka. Tento vlastník aktiva je jeho hlavním garantem – určuje jeho hodnotu, je odpovědný za jeho chod a správnou konfiguraci, navrhuje případná ochranná opatření a vyhodnocuje jejich účinnost. Pro zajištění bezpečnosti dat definuje norma ISO/IEC 27000 tzv. Information Security Management System (ISMS), což je část celkového systému řízení organizace, založená na přístupu (organizace) k rizikům činností, která je zaměřena na ustanovení, zavádění, provoz, monitorování, přezkoumání, údržbu a zlepšování bezpečnosti informací. Je to tedy systém pro ochranu informací. Jde o dokumentovaný a kontrolovaný soubor procesů k zajištění ochrany informací s řízenými a kontrolovanými riziky. [21] Na aktivum působí hrozby (představují scénář/sekvenci událostí s potenciálem poškodit aktiva nebo způsobit jinou, blíže nespecifikovanou, škodu.), které spolu s dalšími okolnostmi definují riziko – míru ohrožení aktiva, míru nebezpečí, že se uplatní hrozba a dojde k nežádoucímu výsledku vedoucímu ke vzniku škody. Lze ji charakterizovat jako určité vyjádření pravděpodobnosti vzniku škody na daném aktivu. Riziko může být vztaženo k jednotlivým aktivům a jednotlivým hrozbám. [19] Míru rizika lze zmírnit opatřeními. Těch zná například ZoKB několik, a to informační opatření (jsou opatření, která jsou na základě vydání NBÚ doručována povinným osobám v souvislosti se ZoKB a nesou informaci o potenciální hrozbě nebo riziku [22]), ochranná opatření (jsou opatření, která jsou ze strany povinných osob v souvislosti se ZoKB provedena jako preventivní; požadavek na ochranná opatření vydává NBÚ ve snaze odvrátit/zmírnit dopad hrozby.) [22] a reaktivní opatření (jsou opatření, které je ze strany NBÚ uloženo k realizaci příjemcům ZoKB. Všeobecně jde o aktivitu následující po bezpečnostním nebo jiném incidentu ve snaze zmírnit jeho dopad např. zablokování komunikace do Internetu poté, co se zjistí aktivní únik dat. Reaktivním je označeno z toho důvodu, že pouze reaguje na nastalé události.) [22] Aby bylo možné s daty efektivně pracovat, dochází ke slučování tematicky souvisejících dat do „prostoru“ informačního systému, což je v podstatě systém vzájemně propojených informací a procesů, které s těmito informacemi pracují. [19] Informační systém je taktéž aktivum, jehož prostřednictvím jsou efektivně dostupné, uchovávané a zpracovávané informace pro potřeby uživatelů systému (fyzičtí pra- 15 covníci, společnosti a další nejrůznější subjekty). Pro zajištění důvěrnosti dat je přístup k informačním systémům (ale i třeba k prostředkům ICT) zpravidla řízen tak, aby se k datům dostal pouze oprávněný, tedy autorizovaný pracovník. Autorizace je proces potvrzující právo na realizaci konkrétní operace (např. potvrzení, že má uživatel právo realizovat příkaz v Internetovém bankovnictví, právo zavolat konkrétní funkčnost z nabídky aplikace nebo se přihlásit do informačního systému nebo osobního počítače apod.). Aby bylo možné uživatele autorizovat, je nutné ho identifikovat – tedy zajistit, že přistupující osoba je skutečně ta, za kterou se vydává. Tento proces je pojmenován autentizace, tedy ověřování uživatele (zpravidla za použití jména a hesla příp. čipové karty nebo pomocí biometrických údajů – otisk prstu apod.). Zřídka je možné se setkat se synonymy autentifikace nebo autentikace pocházející původně z jiných jazyků (francouzština, angličtina). Autentizace je vázána na heslo, které musí konkrétní osoba znát. To heslo by mělo být tzv. bezpečné heslo, tedy takové, které splňuje podmínku komplexnosti (tj. obsahuje minimálně tři z následujících typů znaků: malých, velkých písmen, číslic a speciálních znaků) o dostatečné délce (pro technologické účty, tj. účty, které nepodléhají časté změně hesla je doporučeno zvážit minimální délku hesla obzvlášť pečlivě). Délka hesla je v tomto případě mnohem důležitější parametr než jeho komplexnost. [23] Bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb nebo bezpečnosti a integrity sítí elektronických komunikací. [22] Jde tedy pouze o možnost tohoto narušení. Naopak bezpečnostní incident již představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb nebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události. [22] Vztahem mezi aktivem, hrozbou, opatřením a rizikem se zabývá analýza rizik, která slouží k odhadu ztrát, které mohou vzniknout působením hrozeb na aktiva systému a dává přehled o nebezpečnosti jednotlivých hrozeb, zranitelnostech hodnoceného systému a rizicích, kterými je hodnocený systém vystaven. [19][24] Analýza rizik je jedním ze základních stavebních kamenů při přípravě a realizaci ISMS a je jedním ze základních procesů řízení bezpečnosti informací dle ITIL. Další analýzou, která se v souvislosti s celkovým přístupem k bezpečnosti dat používá je costbenefit analýza. Jedná se o analýzu nákladů a přínosů. Dává odpověď na otázku, zda 16 je zvolený a hodnocený přístup vhodný, a to nejen z pohledu finančního, ale i z pohledu sociologického a koncepčního. Veškeré vstupy do analýzy je třeba kvantifikovat pro správné zhodnocení výsledku a možnosti srovnání. [25] Všeobecně je ICT prostředí souhrnem všech komponent, technologií a prvků zajišťující běh datové sítě, všech poskytovaných služeb, konektivity do Internetu apod. Zahrnuje veškeré technické vybavení a souhrn procesních postupů souvisejících s provozem ICT technologií. Internet je možné vnímat jako kyberprostor, což je virtuální svět vytvořený moderními technologickými prostředky (např. počítačem). [26] Pro účely tohoto dokumentu jsou dále použity pojmy: data (reprezentují jakoukoliv informaci v elektronické podobě mající pro jejího vlastníka či příjemce nějakou hodnotu; mohou mít podobu elektronického dokumentu, záznamu v databázi apod.), inkrementální záloha (záloha dat, která využívá zálohování přírůstků, tj. pouze aktualizovaných nebo nově vytvořených dat, proti tzv. plné záloze, a to z důvodu snížení nároku na datové úložiště; přírůstková záloha je závislá na, v čase nejbližší, plné, záloze), plná záloha (obsahuje 100 % dat, která jsou předmětem zálohování) a Open Source (jako Open Source je označeno takové programové vybavení, jehož autor/autoři zpřístupnili zdrojový kód programu k volnému využití, tj. zdarma; v oblasti open source je možné se potkat s různými licenčními podmínkami, které mohou ve specifických případech využití takto označeného programového vybavení omezovat). 17 2 Popis zákona o kybernetické bezpečnosti V roce 2014 došlo ke schválení zákona 181/2014 Sb. o kybernetické bezpeč- nosti [22], který upravuje povinnosti v oblasti zajištění bezpečnosti ICT velkého množství subjektů z řad soukromoprávních, tak veřejnoprávních, resp. provozu a správy kritické infrastruktury. Z tohoto pohledu je v ZoKB definováno množství požadavků, které jsou značně rozšířeny proti návrhu bezpečnostní politiky v této práci, byť z nich tento návrh částečně vychází. V souvislosti se ZoKB stále přetrvává velká neznalost mezi zástupci jednotlivých společností, zda jsou či nejsou příjemci tohoto zákona. Toto tvrzení potvrzují i výstupy dotazníku v kapitole 5.2 - Analýza odpovědí dotazníku. Na základě této skutečnosti je v následujícím textu ZoKB představen a jsou popsány hlavní oblasti jeho dopadu, a to včetně určení povinných osob (fyzických nebo právnických osob, jež jsou příjemci daného nařízení). Hlavním cílem ZoKB, platném od 1. 1. 2015 je zajištění bezpečnosti informací – tedy ochrana jejich důvěrnosti, integrity a dostupnosti. ZoKB cílí především na právní subjekty (povinné osoby), mezi které patří „poskytovatele služeb elektronických komunikací a subjekty zajišťující síť elektronických komunikací“, „orgány nebo osoby zajišťující významnou síť“, „správce informačního systému kritické informační infrastruktury“, „správce komunikačního systému kritické informační infrastruktury“ a „správci významného informačního systému“. V souvislosti s povinnými osobami vyplývajícími ze zákona jsou známé ještě dva pojmy, a to VIS (významný informační systém) a KII (kritická informační infrastruktura). Jedná se v podstatě o skupiny povinných osob dle své působnosti. VIS zahrnuje povinné osoby provozující/spravující významné informačními systémy a jde výhradně o organizace státní správy. KII zahrnuje osoby spojené s kritickou informační infrastrukturou (provozovanou soukromoprávními i veřejnoprávními subjekty). ZoKB dále vysvětluje pojmy a popisuje oblasti bezpečnosti ICT, zákonné, informativní a reaktivní opatření, evidenci kybernetických bezpečnostních incidentů, 18 popis funkce národního a vládního CERT a v neposlední řadě i tzv. stav kybernetického nebezpečí. Za jiš tě ní o ch ra ny Obrázek 1: Schéma dopadu kybernetického zákona Zdroj: Vlastní zpracování s využitím uuBML 2 Stav kybernetického nebezpečí (stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost a integrita služeb nebo sítí elektronických komunikací a tím by mohlo dojít k porušení nebo došlo k ohrožení zájmu České republiky ve smyslu zákona upravujícího ochranu utajovaných informací [22]), může být vyhlášen ředitelem NBÚ, přičemž jeho dopad bude mít za následek rozšíření povinností (možnost vydat rozhodnutí nebo opatření obecné povahy) pro poskytovatele služeb elektronických komunikací a subjektů zajišťující síť elektronických komunikací o aplikaci reaktivního opatření (uloženého ze strany NBÚ), a to i přesto, že nejde o povinné osoby ze skupiny VIS nebo KII. V ZoKB je ustanoveno roční tzv. přechodné období. Toto období je vyhrazeno pro faktickou přípravu povinných osob na velkou většinu požadavků ZoKB, nicméně toto přechodné období neplatí pro všechny požadavky ze ZoKB vyplývající. Od 1. 1. 2016 budou moci zástupci NBÚ doručovat rozhodnutí (informativní, ochranné 2 https://unicornuniverse.eu/cz/uubml.html 19 a reaktivní opatření), která budou muset povinné osoby bezodkladně vykonat. Zástupci NBÚ budou provádět namátkové kontroly shody stavu prostředí ICT s požadavky ZoKB. Nesplnění povinností je finančně sankcionováno s tím, že tato sankce může být udělena opakovaně. Za každé jedno nesplnění povinností může být uložena pokuta až do výše 100 000 Kč. Nesplnění povinnosti v oblasti kontaktních informací (poskytnutí kontaktních informací na odpovědnou osobu v rámci organizace/subjektu ze skupiny povinných osob) je sankcionováno částkou 10 000 Kč. [22] Všeobecně však ZoKB nespecifikuje jednotlivé povinnosti přímo a také neurčuje významné informační systémy nebo prvky kritické infrastruktury. Tato funkce je přenechána vyhláškám náležící k zákonu, a to tzv. určující a standardizační vyhlášce. V případě prvků kritické infrastruktury se zákon odvolává na nařízení vlády 432/2010 Sb. částečně novelizované nařízením vlády 315/2014 Sb. 2.1 Dopad zákona o kybernetické bezpečnosti V souvislosti s realizací změn na základě požadavků ZoKB je možné očekávat množství problémů v souvislosti s uváděním těchto požadavků do praxe, a to jak technického, tak organizačního rázu. Organizační opatření mohou vyžadovat výraznou změnu interních procesů společnosti směrem k rodině norem ISO/IEC 27000. Změna systému řízení, oběhu formálně řízených dokumentů a v případě KII i vznik nových funkcí, přinesou jistě nemalé finanční výdaje a provozní či organizační komplikace. Technická opatření jsou z pohledu zavádění do praxe jednoduší, nicméně nákup technického vybavení může znamenat, alespoň ve státních podnicích, problémy s výběrovými řízeními, odvoláváním potenciálních dodavatelů apod., čímž se doba realizace taktéž prodlouží. Některá technická opatření navíc vyžadují časově náročnou přípravu a implementaci, neboť jejich integrace do ICT prostředí a zajištění jejich optimálního chodu není triviálním úkolem – např. technologie IPS (Intrusion Prevention System) nebo SIEM (Security Information and Event Monitoring) vyžadují před plnou funkčností velice podrobné sledování aktuálního dění na datové síti, které je významným vstupem pro následnou konfiguraci řešení. 20 Další dopad bude představovat personální kvalifikované obsazení pozic provádějící dohled těchto systémů – bez služeb dohledu a kvalifikované konfigurace je velká většina, ze ZoKB požadovaných, technologií pouze kusem techniky nepřinášející kýžený užitek. 2.2 Vyhláška o kybernetické bezpečnosti Tzv. standardizační vyhláška (316/2014 Sb.) je částečným derivátem norem rodiny ISO/IEC 27000. Tvůrci ZoKB se normou z velké části inspirovali a dokonce umožnily společnostem držícím certifikát ISO/IEC 27001 snazší prokázání shody s požadavky ZoKB. Standardizační vyhláška popisuje rámcově povinnosti v oblasti bezpečnosti procesů v organizaci, nezbytné technické prostředky pro zabezpečení bezpečnosti informačních technologií a také požadavky na dokumentaci k výše uvedeným oblastem. Celkové množství těchto požadavků/opatření je 238, z toho je 214 opatření pro KII a 116 pro VIS (společných opatření je 93) [27]. Skutečnost, že z pohledu dopadových oblastí jde více o požadavky organizačního charakteru, nežli technického, potvrzuje všeobecně známé rčení, že „bezpečnost je o lidech“. Nejrůznější technologické vybavení a sebevýkonnější technické zázemí nepomůže zvýšení bezpečnosti, pokud není správně dimenzováno, konfigurováno, dokumentováno a provozováno. Obrázek 2: Členění opatření kybernetického zákona Zdroj: Vlastní zpracování s využitím uuBML2 21 Jednotlivá opatření jsou součástí vyhlášky 316/2014 Sb. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti. Uvedu zde pro přehlednost jednotlivé oblasti, do kterých tato opatření spadají, a to včetně počtu opatření v každé oblasti. Tabulka 1: Technická opatření a jejich počty Oblast opatření Počet opatření fyzická bezpečnost 5 nástroj pro ochranu integrity komunikačních sítí 5 nástroj pro ověřování identity uživatelů 5 nástroj pro řízení přístupových oprávnění 3 nástroj pro ochranu před škodlivým kódem 6 nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů 12 nástroj pro detekci kybernetických bezpečnostních událostí 4 nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí 5 aplikační bezpečnost 3 kryptografické prostředky 6 nástroj pro zajišťování úrovně dostupnosti 6 bezpečnost průmyslových a řídicích systémů 5 Tabulka 2: Organizační opatření a jejich počty Oblast opatření Počet opatření systém řízení bezpečnosti informací 12 řízení rizik 43 bezpečnostní politika 35 organizační bezpečnost 8 stanovení bezpečnostních požadavků pro dodavatele 4 řízení aktiv 12 22 bezpečnost lidských zdrojů 9 řízení provozu a komunikací 17 řízení přístupu a bezpečné chování uživatelů 8 akvizice vývoj a údržba 4 zvládání kybernetických bezpečnostních událostí a incidentů 5 řízení kontinuity činností 13 kontrola a audit KII a VIS 4 Požadavky na dokumentaci Dokumentace musí obsahovat podklady pro vnitřní audit, přezkumy, metodiku identifikace a hodnocení rizik, prohlášení o aplikovatelnosti, plán zvládání rizik, rozvoj bezpečnostního povědomí, zvládání bezpečnostních incidentů, strategie řízení kontinuity a přehled obecně závazných právních předpisů. Evidence záznamů prováděných činností musí být bezpečně uložena a dokumentována. 2.3 VIS a KII a jejich určující kritéria Tzv. určující vyhláška (317/2014 Sb. o významných informačních systémech a jejich určujících kritériích) definuje taxativním výčtem jednotlivé významné informační systémy (VIS). Dále umožňuje dodatečné určení VIS pomocí tzv. oblastních a dopadových kritérií, která počet VIS dále rozšiřují. [28] Informační systémy, které nejsou určené touto vyhláškou, mohou být ještě zařazeny mezi prvky KII. Prvky KII nejsou omezeny, na rozdíl od VIS, na striktně soukromoprávní nebo subjekty veřejné správy (subjekty VIS jsou výhradně systémy státní správy). Prvky KII jsou definovány tzv. odvětvovými a průřezovými kritérii. Splněním obou kritérií se zařazuje předmětný komunikační nebo informační systém na seznam KII a začíná se na něj vztahovat i ZoKB, resp. na povinné osoby, jež jsou správci tohoto komunikačního, případně informačního systému. Pokud pro takto určený prvek existují další podpůrné systémy, na kterých je funkčnost závislá, jsou i tyto podpůrné systémy prvkem KII. O definici průřezových kritérií se stará nařízení vlády 432/2010 Sb. 23 [1], odvětvová kritéria byla k 1. 1. 2015 novelizována s ohledem na ZoKB a týká se jich tak nařízení vlády 315/2014 Sb. [29] Kompletní seznam těchto prvků není veřejně dostupný z důvodu jeho kritičnosti z pohledu bezpečnosti. Samotné ztotožnění povinných osob (identifikace, zda je subjekt příjemcem ZoKB) v oblastech VIS a KII může usnadnit diagram dostupný na webových stránkách Národního centra pro kybernetickou bezpečnost (NCKB), a to samostatně pro VIS3 a pro KII4. 3 4 http://www.govcert.cz/download/nodeid-714/ http://www.govcert.cz/download/nodeid-673/ 24 3 Popis a analýza norem rodiny ISO/IEC 27000 Jak již bylo zmíněno v předchozí kapitole, ZoKB vychází ze své velké části z norem rodiny ISO/IEC 27000. Tyto normy definují soubor opatření pro ochranu informačních aktiv a jsou uznávaným standardem v oblasti zajištění bezpečnosti ICT prostředí a dat jako takových. Pro společnosti, které nejsou příjemci ZoKB a přesto požadují vysokou úroveň bezpečnosti ICT založenou na mezinárodně platném standardu, je určena následující kapitola. Ta stručně popisuje oblasti dopadu a členění norem rodiny ISO/IEC 27000 a poskytuje tak základní orientaci, jak by měla být norma chápána a jaké jsou její klíčové části. Rodina norem ISO/IEC 27000, je k dispozici od roku 2005, kdy vznikla norma ISO/IEC 27001 definující soubor opatření pro ochranu informačních aktiv. Celá rodina těchto norem je rozdělena na tematické části, které popisuje následující diagram: Obrázek 3: Normy skupiny ISO/IEC 27000:2014 zdroj: ISO/IEC 27000:2014 25 Pro větší přehlednost vazeb mezi jednotlivými normami uvádím i přehled norem rodiny ISO/IEC 27000 z roku 2005 (tj. starší verzi přehledu): Obrázek 4: Normy skupiny ISO/IEC 27000:2009 zdroj: ISO/IEC 27000:2009 Všeobecně je rodina norem ISO/IEC 27000 členěna do množství, na sebe navazujících a doplňujících, specifických částí, které jako celek zajišťují standardizovaný přístup k zajištění bezpečnosti informací (ISMS). Celkově jsou normy děleny do čtyř oblastí: definice terminologie, obecné požadavky, pokyny/doporučení a část požadavků a doporučení specifických pro vybrané sektory (telekomunikace, zdraví, …). Z pohledu stanoveného cíle v této práci se budu převážně věnovat ISO/IEC 27000 jako základnímu nosnému rámci a ISO/IEC 27001 + ISO/IEC 27002. Další normy rodiny 27000 jsou podpůrné a mohou pomoci s implementací ISMS v rámci společností, nicméně pro tuto práci je jejich popis nad rámec zvoleného tématu. 26 3.1 Popis základních norem skupiny ISO/IEC 27000 ISO/IEC 27000:2014 Norma ISO/IEC 27000 (Informační technologie – Bezpečnostní techniky – Systémy management bezpečnosti informací – Přehled a slovník) obsahuje termíny a definice použité v rodině norem ISO/IEC 27000. V oblasti bezpečnosti informací, jako specifického oboru, vzniká množství termínů a bylo třeba standardizovat jejich význam. Norma do značné míry nahrazuje definice v již publikovaných normách rodiny ISO/IEC 27000 a do značné míry v souvisejících normách ISO/IEC Guide 2:1996 “Standardization and related activities – General vocabulary”, ISO/IEC Guide 73:2002 “Risk management – Vocabulary – Guidelines for use in standards” ISO/IEC 2382-8: “Information technology - Vocabulary Part 8: Security” a standardu věnovanému jakosti ISO/IEC 9000. [30] První vydání normy ISO/IEC 27000 bylo publikováno v roce 2009. Aktuální, třetí vydání normy, je z roku 2014. [30] ISO/IEC 27001:2013 Norma ISO/IEC 27001:2013 (Informační technologie – Bezpečnostní techniky – Systémy management bezpečnosti informací – Požadavky) poskytuje doporučení jak aplikovat vybraná opatření ISO/IEC 27002 v rámci procesu ustavení provozu údržby a zlepšování systému managementu bezpečnosti informací (ISMS) v souladu se systémy řízení kvality nebo bezpečnosti prostředí. [19] První verze této normy byla oficiálně publikována 15. října 2005, kdy nahradila její předchozí verzi známou pod označením BS7799-2:2002. [31] Norma popisuje vhodný systém řízení, strukturu a procesy pro řízení bezpečnosti informací podle opatření definovaných v ISO/IEC 27002. Organizace mohou na základě hodnocení rizik z ISO/IEC 27002 vybrat přesně ta opatření, která jsou aplikovatelná v jejich prostředí. Z tohoto důvodu jsou také hlavní části ISO/IEC 27002 uvedeny v příloze ISO/IEC 27001. Podle ISO/IEC 27001 mohou organizace definovat rozsah certifikovaného systému. Správná definice ISMS je kritickým krokem při jeho zavádění v organizaci. Pokud je systém řízení bezpečnosti informací zaveden pouze v určité části organizace, vydaný certifikát je platný právě pro tuto část nikoli pro ce27 lou organizaci. [30] Toto je oblast, která se přímo dotýká ZoKB, kde splnění požadavků zákona s pomocí certifikace ISO/IEC 27001 vyžaduje, aby hranice certifikace ISO zahrnovaly i všechny VIS a KII v organizaci (tedy aby byly hranice ISMS minimálně tak široké, jaké jsou požadavky na tyto hranice ze strany ZoKB – tedy identifikované chráněné informační systémy). ISO/IEC 27002:2013 Norma ISO/IEC 27002:2013 (Informační technologie – Bezpečnostní techniky – Soubor postupů pro management bezpečnosti informací) je sbírka nejlepších bezpečnostních praktik a může být využita jako kontrolní seznam všeho správného, co je nutno pro bezpečnost informací v organizaci udělat. [31] 14 oddílů normy ISO/IEC 27002:2013 definuje 35 cílů - opatření pro ochranu informačních aktiv proti narušení jejich důvěrnosti, dostupnosti a integrity. V podstatě tato opatření zahrnují funkční požadavky pro architekturu bezpečnosti informací organizace. [31] ISO/IEC 27002 také popisuje nejlepší praktiky pro zajištění bezpečnosti informací, které by organizace měla vzít úvahu. Nová verze normy obsahuje 114 "základních" opatření (v předchozí verzi normy z roku 2005 to bylo 133), které se, ale ve skutečnosti dále rozpadají na stovky specifických bezpečnostních opatření. [31] 3.2 Hlavní cíle norem skupiny ISO/IEC 27000 Z výpisu hlavních norem, jimž se v této práci věnuji, je zřejmé, že základní nosnou myšlenkou a cílem celé skupiny norem ISO/IEC 27000 je zajištění systému řízení bezpečnosti informací (ISMS). Systém řízení bezpečnosti informací je definován jako: „Systém řízení bezpečnosti informací poskytuje model pro vytváření, zavádění, provoz, monitorování, přezkoumávání, udržování a zlepšování ochrany informačních aktiv k dosažení obchodních cílů na základě vyhodnocení rizik a limitů přijatelnosti rizik, které jsou navrženy organizací tak, aby byla rizika efektivně řešena a řízena.“ [30] K dosažení (a následnému udržení) tohoto cíle je normou doporučeno využití Demingova cyklu – modelu Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act neboli PDCA 28 cyklu). Jedná se o metodu postupného zlepšování například kvality výrobků, služeb, procesů, aplikací a dat. [19] Tento model je aplikován na všechny procesy ISMS pro trvalé zlepšování stavu všech částí ISMS. Obrázek 5: PDCA cyklus Zdroj: Vlastní zpracování s využitím uuBML2 Oblast „plánuj“ Náplní oblasti plánování je vytvořit plán/záměr, který máme v úmyslu realizovat. Pro zdárné dokončení této část je doporučena realizace následujících aktivit: • Stanovit rozsah a hranice ISMS (musí být jasně řečeno, kde bude zaváděn a tedy jaká aktiva již do ISMS nepatří) • Definovat metodiku hodnocení rizik (zajištění porovnatelnosti a reprodukovatelnosti výsledků) • Provést analýzu rizik (identifikovat a kvantifikovat aktiva, hrozby, zranitelnosti a výsledné riziko) • Zvolit vhodný způsob zvládání rizik (ustanovit proces vypořádávání se s riziky) • Vybrat vhodná bezpečnostní opatření (pomocí cost-benefit analýzy) • Určit jakým způsobem bude měřena účinnost bezpečnostních opatření [32] • Získat souhlas vedení organizace se způsobem zvládání jednotlivých rizik a implementací bezpečnostních opatření (formální deklarace podpory ISMS ze strany vedení společnosti a souhlas s navrženými opatřeními) 29 Oblast „dělej“ Náplní oblasti „dělej“ je realizace plánu na základě předchozí aktivity „plánuj“. V části tohoto PDCA cyklu je nezbytná realizace následujících aktivit: • Formulovat plán zvládání rizik • Zavést bezpečnostní opatření (za účelem snížení rizika na přijatelnou úroveň) • Zpracovat bezpečnostní politiku, standardy a směrnice, které budou vycházet z identifikovaných rizik, vybraných opatření a cílů organizace • Zvyšovat bezpečnostní povědomí mezi zaměstnanci (formou kurzů, školení a šíření osvěty) [32] Oblast „kontroluj“ Ověření výsledku realizace (části „dělej“) vůči části „plánuj“ se věnuje část PDCA cyklu „kontroluj“. Do této části lze zahrnout následující aktivity: • Monitorovat funkčnost zavedených opatření • V pravidelných intervalech opakovat analýzu rizik (při jakékoliv signifikantní změně; na pomezí oblasti kontroluj a jednej) • Provádět interní audity (na pomezí oblasti kontroluj a jednej) [32] Oblast „jednej“ Část „jednej“ se věnuje úpravě záměru i vlastního provedení na základě ověření a plošná implementace zlepšení do praxe. [19] Aktivity spadající do této části cyklu PDCA jsou: • Zavádět nová a účinnější opatření (na základě analýzy rizik, interních auditů a měření účinnosti jednotlivých opatření; základní princip zlepšování metodou PDCA) • Aktualizovat a optimalizovat jednotlivé postupy a související dokumenty [32] • Vyhodnocovat funkčnost zavedených opatření a navrhovat kroky vedoucí k dalšímu zlepšení 30 • V pravidelných intervalech opakovat analýzu rizik (při jakékoliv signifikantní změně; na pomezí oblasti kontroluj a jednej) • 3.3 Provádět interní audity (na pomezí oblasti kontroluj a jednej) Opatření požadované ISO/IEC 27001 Bezpečnostní opatření normy ISO/IES 27001 lze z pohledu dopadu rozdělit do jednotlivých oblastí. Ty stručně shrnuje následující tabulka: Tabulka 3: Přehled opatření vyžadovaná normou ISO/IEC 27001 Oblast opatření Počet opatření bezpečnostní politika 2 organizace bezpečnosti 11 klasifikace řízení aktiv 5 bezpečnost lidských zdrojů 9 fyzická bezpečnost a bezpečnost prostředí 13 řízení komunikací a řízení provozu 32 řízení přístupu 25 nákup, vývoj a údržba informačního systému 16 zvládání bezpečnostních incidentů 5 řízení kontinuity činnosti organizace 5 soulad s požadavky 10 Doporučení, jak jednotlivá opatření zavést, jsou pak detailně popsána v ISO/IEC 27002. 31 4 Návrh struktury bezpečnostní politiky a technických řešení Bezpečnostní politika společnosti je základní dokument, od kterého se odvíjí další procesy a pravidla omezující/definující činnosti uživatelů, správců a vedení společnosti z pohledu bezpečnosti ICT. Měla by tedy obsahovat takové definice, které by měly dostačovat požadované úrovni bezpečnosti očekávané ze strany vedení společnosti tak, aby byla chráněna všechna klíčová aktiva společnosti a zároveň byly investice do této oblasti smysluplné (např. investice do zabezpečení by v žádném případě neměla převýšit cenu aktiva). Bezpečnostní politika nesmí být v rozporu s organizačním řádem společnosti a dalšími interními předpisy. Z výše uvedeného vyplývá, že struktura (a související pravidla) bezpečnostní politiky je dána obchodní potřebou vedení společnosti, stávajícími předpisy a zvyklostmi v organizaci a není tak možné připravit univerzální šablonu. Pro příjemce ZoKB je struktura bezpečnostní politiky doporučena v příloze 4 vyhlášky 316/2014 Sb. (Struktura bezpečnostní dokumentace), bod I (Struktura bezpečnostní politiky), nicméně tato struktura bude pro společnosti nespadající mezi příjemce ZoKB, rozsáhlejší, nežli je nezbytně nutné (např. stanovuje pravidla pro čtyři bezpečnostní role, nebo oblast zpracování osobních údajů, která nemusí být vlastní každé společnosti). Samotná konkrétní pravidla, která by měla být z pohledu naplnění ZoKB v bezpečnostní politice uvedena, jsou všeobecně popsána právě ve vyhlášce 316/2014 Sb. a jsou v přehledu popsána v kapitole 2 - Popis zákona o kybernetické bezpečnosti. Struktura bezpečnostní politiky je tedy částečně stanovena/doporučena pro organizace podléhající regulaci dle ZoKB. Stejně tak je z velké části zřejmý obsah bezpečnostní politiky společnosti mající zájem o získání certifikace ISO/IEC 27001, a to na základě obsahu této normy a dále dle popsaných vybraných nejlepších postupů (best-practice) v normě ISO/IEC 27002. Pro další společnosti, které nemají ambice získat v dohledné budoucnosti certifikaci ISO/IEC 27001, zároveň nejsou povinné osoby z pohledu ZoKB a přesto mají zájem o zajištění elementární úrovně bezpečnosti, je v této kapitole uvedena „základní sada“ bezpečnosti tak, aby byla zajištěna alespoň minimální úroveň bezpečnosti informací ve společnosti. Tato sada částečně vychází z doporučení normy ISO/IEC 32 27002 a ze znění vyhlášky 316/2014 Sb. související se ZoKB, nicméně je ještě rozšířena o pravidla lehce aplikovatelná v prostředí středně velké společnosti, která mají na základě mé dosavadní praxe, signifikantní dopad na bezpečnost celého ICT prostředí a o návrh programového vybavení, které je možné pro zajištění požadavků využít. I přes snahu vytvořit všeobecně a plošně platný vzor bezpečnostní politiky, vždy budou hrát roli rozdíly mezi společnostmi v takové míře, že není možné se následujícím výčtem bezmezně řídit. Předložený návrh struktury a souvisejících doporučení/opatření bezpečnostní politiky by měl významně usnadnit tvorbu bezpečnostní politiky osobám odpovědným za oblast bezpečnosti ICT prostředí ve společnosti. Ti mohou pouze malou změnou samotného textu dosáhnout takového znění bezpečnostní politiky, které bude co nejvíce vyhovovat specifickým požadavkům konkrétní společnosti. Ze své podstaty dále bezpečnostní politika zasahuje do činností jednotlivých zaměstnanců, kteří by s obsahem bezpečnostní politiky měli být taktéž seznámeni. A to nejen z důvodu znalosti nových interních pravidel, ale i z pohledu seznámení se s komplikovaností zajištění bezpečnosti ICT prostředí. Pro vedení společnosti, jako hlavního garanta bezpečnosti ve společnosti, je seznámení se s obsahem, jeho schválením a následně uvolněním nezbytných prostředků, naprosto zásadní nutností. Deklarovaná podpora vedení společnosti tomuto dokumentu a bezpečnosti ICT všeobecně (bez ohledu na působnost nebo velikost společnosti), je základním předpokladem úspěchu. Bez podpory vedení společnosti a pochopení základních principů a důvodů ochran, je zajištění bezpečnosti ICT ve společnosti velice obtížně realizovatelné, ne-li nemožné. Opět se zde ukazuje fakt, že je v oblasti bezpečnosti ICT mnohem důležitější člověk (osvěta u uživatelů využívajících datovou síť a její prostředky a ochota vedení společnosti naslouchat v oblasti ICT bezpečnosti odborným pracovníkům) než technologie. Pokud se budeme zabývat bezpečností jakékoliv datové sítě, vždy je možné dekomponovat tuto síť na množství menších logických celků, které se budou snáze chránit a pro které bude možné specifikovat konkrétní opatření. Ve své praxi se velice často setkávám s požadavkem: „Potřebujeme zabezpečit naši datovou síť.“, nicméně konkrétní oblast je zřídkakdy zmíněna. Abychom mohli efektivně splnit uvedený požadavek, budeme muset takto velký úkol, v podobě zabezpečení celé sítě, rozdělit na 33 několik menších. V tomto případě bychom mohli vnímat jako základní body zájmu, kde by mělo docházet k zabezpečení, následovně: Koncová zařízení – jedná se o „jednu stranu vstupu do datového síťového prostředí“. Jde o zařízení, kterými disponují sami uživatelé a do jisté míry je mohou ovlivňovat. V současnosti to již není pouze osobní počítač, ale mnohdy např. přenosný notebook, tablet případně mobilní telefon (dále také mobilní zařízení). Tato zařízení díky své mobilitě často cestují spolu s uživatelem a využívají mnohých typů datových připojení do Internetu (veřejné WiFi přístupové body, domácí připojení přes lokální nebo globální ADSL/WiFi poskytovatele, připojení přes mobilního operátora apod.), nebo do společnosti jako takové (opět přes Internet pomocí uvedených datových připojení). Obrázek 6: Koncová zařízení Zdroj: Vlastní zpracování s využitím uuBML2 Síťový perimetr – jde o „druhou stranu vstupu do datového síťového prostředí“. Síťový perimetr bychom si mohli představit, jako hlavní bránu kudy prochází veškeré požadavky na obsah/komunikaci od zaměstnanců a dalších síťově aktivních komponent do Internetu, nebo všeobecně do sítě mimo naši působnost (datová síť, ve které nemáme dostatečný přehled o dění a nemáme možnost správy prvků podílejících se na zajištění chodu datové sítě, by měla být považována za nebezpečnou, a to bez ohledu na to, zda jde o Internet jako takový, nebo např. o místní rozvody v rámci budovy, které jsou spravovány místním poskytovatelem a kde je typicky tato síť využívána více společnostmi). Je to oblast na „okraji“ naší důvěryhodné sítě, do které je možné zařadit např. firewally oddělující veřejnou síť od demilitarizované zóny a od zóny důvěryhodné, demilitarizovanou zónu jako takovou, směrovače, systémy detekce průniku do datové sítě (IDS) apod.) 34 Obrázek 7: Síťový perimetr Zdroj: Vlastní zpracování s využitím uuBML2 Přenosové/síťové prostředí – představuje veškeré komponenty zajišťující datovou konektivitu mezi jednotlivými segmenty a koncovými uživateli/zařízeními datové sítě. Mohou to být například směrovače, firewally, ale také samotná kabeláž, nebo bezdrátová datová pojítka (WiFi přístupové body). Obrázek 8: Přenosové/síťové prostředí Zdroj: Vlastní zpracování s využitím uuBML2 Informační systémy – jsou programové vybavení umožňující uživatelům pracovat s informacemi a datovými objekty uloženými uvnitř těchto informačních systémů za účelem zvýšení efektivnosti společnosti v oblastech, které dané informační systémy pokrývají. Mohou být instalovány v datovém centru společnosti, ale v současnosti není výjimkou ani využívání těchto systémů jako služby, tzv. SaaS5. Obrázek 9: Informační systém Zdroj: Vlastní zpracování s využitím uuBML2 5 http://cs.wikipedia.org/wiki/Software_as_a_service 35 Datová centra – je prostor, kde je soustředěno technické vybavení zajišťující chod datové sítě, informačních systémů a dalších služeb datové sítě. Mělo by jít o fyzicky chráněnou a neveřejnou oblast, kde je umístěna ICT technika. Obrázek 10: Datové centrum Zdroj: Vlastní zpracování s využitím uuBML2 Přenos dat – přenos dat probíhá při jakékoliv činnosti, kdy data putují mezi dvěma koncovými body nebo informačními systémy prostřednictvím fyzického datového nosiče nebo pomocí datové sítě (bezdrátové, metalické, optické, aj.). Obrázek 11: Přenos dat Zdroj: Vlastní zpracování s využitím uuBML2 Uživatelé – jsou klíčovým faktorem v oblasti bezpečnosti. Velká většina kybernetických incidentů souvisí s aktivitou uživatelů datové sítě a v ní poskytovaných služeb. Bezpečnostní incidenty vedené z vnitřní sítě samotnými uživateli jsou většinou úspěšnější a mnohdy s větším dopadem na samotnou společnost, nežli útoky vedené z veřejné sítě (v oblasti bezpečnosti ICT prostředí jsou často upřednostňována řešení chránící primárně aktiva společnosti vůči vnějším útokům, oblast vnitřního zabezpečení je často podceňována). 36 Obrázek 12: Uživatel Zdroj: Vlastní zpracování s využitím uuBML2 Administrátoři/správci – jsou uživatelé disponující vyššími právy k prvkům ICT prostředí, než uživatelé (správci typicky spravují informační systémy; administrátoři se starají primárně o chod datové infrastruktury). Právě díky vyšším přístupovým právům bývá často získání přístupu do datové sítě nebo IS cílem útoku. Tyto přístupové údaje je nezbytné adekvátně chránit. Před poskytnutím přístupových údajů novému administrátorovi/správci by měl být kladen větší důraz na prověření jeho pracovní a osobní minulosti, a to včetně referencí od bývalého zaměstnavatele. Správci mají typicky nejvyšší práva při správě ICT prostředí a jejich vyzrazení, případně chování v rozporu s etickým kodexem správce6,7 může být pro společnost výrazným faktorem obchodního úspěchu/neúspěchu společnosti. V extrémním případě může dojít, na základě jednání administrátora/správce, až k zániku společnosti. Administrátoři/správci by měli mít na paměti, že ICT je ve společnosti využíváno k vyšší efektivitě obchodních procesů a mělo by tak reflektovat požadavky obchodu, které jsou na ICT prostředí kladeny – toto bývá zpravidla ze strany administrátorů/správců vnímáno opačně. Obrázek 13: Administrátor/správce Zdroj: Vlastní zpracování s využitím uuBML2 6 7 http://www.abclinuxu.cz/blog/kenyho_stesky/2013/7/eticky-kodex-spravce https://lopsa.org/CodeOfEthics 37 Vedení společnosti – je odpovědné za celkový přístup k bezpečnosti ICT prostředí. Mělo by podporovat bezpečnost ICT prostředí a veřejně (v rámci společnosti) deklarovat podporu v oblasti bezpečnosti. Stejně tak by mělo být obeznámeno s bezpečnostními principy a faktory, které bezpečnost ICT prostředí ovlivňují. Jako zástupci skupiny uživatelů, kteří mají nejdůvěrnější informace o chodu společnosti, by měli být mezi prvními, kteří by měli bezpečnostní principy a definovaná nařízení dodržovat. Vedení společnosti by dále mělo schvalovat bezpečnostní politiku a vytvářet prostředí, které podporuje zvyšování povědomí a kvalifikace v oblasti bezpečnosti u svých zaměstnanců. Na úrovni vedení společnosti by se měly řešit bezpečnostní incidenty mající potenciál jakkoliv ohrozit chod společnosti a přijímat rozhodnutí o protiopatřeních, která jsou navržena vlastníky aktiv. Prostředí ICT by mělo reflektovat obchodní požadavky, které by se právě na společných poradách vedení společnosti a zástupců administrátorů/správců měly diskutovat. Propojení obchodní vize a oblasti ICT je klíčové nejen z pohledu bezpečnosti, ale i z pohledu prosperity společnosti jako takové (bezchybný provoz ICT prostředí se významnou měrou podílí na efektivitě celé společnosti). Obrázek 14: Vedení společnosti Zdroj: Vlastní zpracování s využitím uuBML2 Výše uvedené části ICT prostředí jsou vlastní téměř každé společnosti. Jsou to zároveň oblasti, kde je vhodné bezpečnost vynucovat stanovením závazných pravidel a kde to má z pohledu řízení bezpečnosti smysl. V každé z uvedených oblastí existují specifické požadavky na technické vybavení i organizační procesy. Pro jednotlivé oblasti následuje výčet bezpečnostních a organizačních opatření, které jsou z mého pohledu, a na základě mých zkušeností, vhodné k zavedení a představují buď velice silnou úroveň ochrany, nebo velice dobrý poměr ceny pořízení k výslednému „výkonu“, tzn. v důsledku ke kvalitnímu zajištění bezpečnosti informací. Pro každou oblast jsou 38 uvedeny základní doporučující body/opatření, které zvyšují celkově bezpečnost ICT prostředí. U vybraných bodů je zmíněna i varianta dostupné technologie (programové nebo technické vybavení). 4.1 Koncová zařízení • Přístup ke koncovému zařízení je chráněn přístupovým heslem (např. PIN u mobilního telefonu, heslo pro přístup k operačnímu systému notebooku apod.). • Pokud je možné zařízení sdílet mezi více uživateli, je vyžadována identifikace tohoto uživatele (např. jméno a heslo pro přístup do osobního počítače). • Přístupové heslo do zařízení je pravidelně měněno, a to nejméně jednou za rok. • Zařízení využívá poslední dostupné verze programového vybavení, a to včetně operačního systému (např. je aktivován automatický příjem a instalace aktualizací výrobce operačního systému, nebo aktivní centrální aktualizační systém WSUS – Windows System Update Services8). • Zařízení je používáno výhradně pro pracovní účely a pouze uživatelem k tomu oprávněným (pracovní počítač nesmí být např. sdílen s dětmi pro hraní her apod.). • Koncové zařízení má aktivní a aktualizovaný antivirový systém (např. open source antivirus ClamAV9). • Pokud nemá mobilní koncové zařízení implementováno šifrování obsahu chráněného heslem na úrovni datového úložiště (např. pomocí BitLocker10 nebo bezplatného šifrovacího programového vybavení VeraCrypt11) a data na zařízení umístěná nejsou zálohována, nesmí být na veřejném nebo poloveřejném místě ponecháno bez dozoru odpovědné osoby (např. v autě, konferenci apod.). https://technet.microsoft.com/cs-cz/windowsserver/bb332157 http://www.clamav.net/index.html 10 http://windows.microsoft.com/cs-cz/windows7/products/features/bitlocker 11 https://veracrypt.codeplex.com/ 8 9 39 • Data uložená na přenosném zařízení jsou vždy zálohována na alternativní datový nosič nebo jiné datové úložiště (např. firemní diskové pole, případně externí pevný disk apod.) • Pokud to povaha opatření umožňuje a jsou využívány technologie pro vzdálenou správu koncových zařízení, jsou výše uvedená opatření centrálně kontrolována a vynucována. 4.2 Síťový perimetr • Na okraji datové sítě směrem do/z veřejné datové sítě nebo do/z nedůvěryhodného prostředí (perimetr) je vždy instalován firewall (např. zařízení ZyXEL ZyWALL USG 2012). • Veškeré přístupové údaje standardně nastavené od výrobce u všech prvků ICT prostředí nesmí být ponechány ve výchozím stavu, tj. musí být změněny na bezpečné heslo. • Konfigurace firewallu se řídí pravidlem „Deny by default13“ (tzn., pokud není datová komunikace implicitně definována - a tedy dovolena nebo jinak řízena, je zakázána), a to i pro odchozí datové toky (směrem z místní sítě). • Konfigurace firewallu je dokumentována a její změna podléhá změnovému požadavku (každá změna konfigurace je schválena odpovědným pracovníkem a popsána, a to včetně důvodu uvedení konkrétního pravidla). • Je zřízena tzv. demilitarizovaná zóna (DMZ14) ve které jsou umístěny základní komunikační servery (např. vizualizované) jako jsou mail servery, webové servery, webové proxy servery apod. • Segment DMZ je logicky oddělen (využitím VLAN15) tak, aby komunikace z Internetu musela vždy procházet 2x přes firewall (tzv. zapojení firewallů do kaskády). http://www.zyxel.com/us/en/products_services/usg_200_100_plus_100_50_20w_20.shtml?t=p http://itlaw.wikia.com/wiki/Deny_by_default 14 http://cs.wikipedia.org/wiki/DMZ 15 http://cs.wikipedia.org/wiki/VLAN 12 13 40 • Na perimetru datové sítě je instalována technologie pro prevenci (nebo alespoň detekci) průniků (IDS/IPS16). Záznamy jsou pravidelně kontrolovány a nové detekované hrozby vyhodnocovány, a to minimálně v měsíční periodě. 4.3 Přenosové/síťové prostředí • Správa (management) každého prvku, který je na datové síti dostupný a tuto správu poskytuje (tiskárny, přepínače, směrovače, opakovače, atd.) je chráněn bezpečným heslem a komunikace je prováděna, pokud to samotný prvek umožňuje, šifrovaně (např. přes HTTPS17spojení). • Správcovské rozhraní (interface) každého prvku v datové síti směřuje do tzv. management VLAN (přístup na rozhraní správy by mělo být neoprávněným uživatelům technicky znemožněno). • Management VLAN je dostupná pouze pro administrátory/správce datové sítě. • Oblasti, kde jsou fyzicky aktivní prvky datové sítě umístěny, nejsou veřejně přístupné, a to ani zaměstnancům společnosti. Výjimkou jsou držitele patřičného oprávnění. • Každý nevyužitý fyzický datový konektor situovaný ve veřejných prostorách společnosti je deaktivovaný. • Bezdrátové sítě využívají šifrování provozu WPA2 (IEEE 802.11i18) a pro přístup do této sítě je použito bezpečné heslo. • Přístupový bod bezdrátové sítě je nakonfigurován tak, aby vynucoval tzv. client isolation19 (funkce zakazující přímou komunikaci mezi klienty bezdrátové sítě), pokud to tento prvek umožňuje. http://cs.wikipedia.org/wiki/Syst%C3%A9m_prevence_pr%C5%AFniku http://cs.wikipedia.org/wiki/HTTPS 18 http://cs.wikipedia.org/wiki/IEEE_802.11i 19 http://www.wirelessisolation.com/ 16 17 41 • Vysílací výkon přístupového bodu je nastaven tak, aby zbytečně nepokrýval svým signálem oblasti, které jsou situovány mimo prostory vyžadující pokrytí tímto signálem. • Jednotlivé logické segmenty sítě (provoz, výroba, DMZ, management apod.) jsou navzájem logicky odděleny pomocí VLAN. • Datové toky mezi jednotlivými VLAN jsou povoleny pouze v nezbytně nutné míře. 4.4 Informační systémy • Každý IS má určeného vlastníka. • Přístup každého uživatele do IS je chráněn bezpečným heslem. • Přístupové heslo do IS je pravidelně měněno, a to nejméně jednou za rok. • IS je provozován v poslední verzi programového vybavení, která je dostupná, nebo alespoň v takové verzi, která nemá známé bezpečnostní slabiny. • Před uvedením testovaného IS do běžného provozu jsou revidována komunikační pravidla na firewallu, která mohla vzniknout z důvodu testování funkčnosti IS • Podpora IS je zajištěna dle SLA s ohledem na požadavky vedení společnosti na dostupnost tohoto informačního systému. • Data IS, případně informační systém jako takový, je pravidelně zálohován minimálně ¼ roku zpětně, a to minimálně dle schématu grandfatherfather-son20 (tento typ zálohování poskytuje v krátké historii denní zálohy, ve střednědobé historii zálohy týdenní a v dlouhodobé historii měsíční zálohy; inkrementální zálohy v části „son“ jsou povolené). • Data záloh jsou pravidelně testována na možnost správné obnovy, a to minimálně jednou za rok. • 20 IS jsou provozovány v souladu s licenčními podmínkami výrobce. http://en.wikipedia.org/wiki/Backup_rotation_scheme 42 4.5 Datová centra • Přístup do datového centra (serverové místnosti) je kontrolovaný a jednotlivé vstupy se evidují. • Samotné prostory datového centra jsou chráněny mechanickými prostředky zabraňující vstupu neoprávněným osobám. • Datové centrum je vybaveno záložním zdrojem, který dokáže udržet v chodu veškeré klíčové komponenty, a to minimálně 20 min. od výpadku elektrického proudu (např. pomocí APC Smart-UPS 5000VA21). • Jednotlivé technologie/servery, jsou konfigurovány tak, aby v případě výpadku elektrického proudu došlo k jejich zastavení, a to v takovém pořadí, které nebude mít dopad na integritu dat (např. dojde nejdříve k zastavení aplikačního serveru a následně databáze apod.). • Je vytvořen a nasazen popis postupu startování jednotlivých technologií/serverů v případě obnovení dodávky elektrického proudu (např. pomocí APC Switched Rack PDU22). • Datové centrum je vybaveno klimatizační jednotkou o dostatečném výkonu pro zajištění stálé teploty a vlhkosti (v případě venkovního výparníku je tento výparník certifikován pro podnebí, ve kterém je provozován, aby nemohlo dojít např. k zamrznutí chladiva) • Elektrické napájení klimatizační jednotky je zajištěno pomocí dostatečné výkonného záložního zdroje elektrické energie. • Klimatizační jednotka umožňuje signalizaci poruchy administráto- rům/správcům sítě, nebo je její jednotka zdvojena (je možné využití tzv. sekundárního alarmu v podobě čidla teploty s vestavěnou signalizací). • Datové centrum je vybaveno čidlem kouře a požáru. V případě místnosti s okny i detektory tříštěného skla nebo pohybu. 21 22 http://www.apc.com/products/resource/include/techspec_index.cfm?base_sku=SUA5000RMI5U http://www.apc.com/products/resource/include/techspec_index.cfm?base_sku=AP7900 43 • Programové vybavení datového centra na všech serverech je provozováno v souladu s licenčními podmínkami výrobce. • V případě klíčového aktiva (serveru, databáze, informačního systému apod.), které vyžaduje vysokou dostupnost (nutnost dostupnosti provozu vyšší, než 99 %), jsou všechny komponenty na kterých je aktivum závislé, zdvojeny (konektivita do datové sítě, aktivní prvky, záložní zdroje apod.). 4.6 Přenos dat • Důvěrná data společnosti nejsou bez souhlasu odpovědných pracovníků společnosti jakoukoliv formou přenášena mimo bezpečnou lokální datovou síť (nejsou odesílána na e-mailové servery, přenášena do počítačů ve vlastnictví uživatele, nahrávána na webová úložiště, ukládána na soukromá datová fyzická média apod.). • Pokud je služba e-mailu provozována formou outsourcingu (např. využitím cloudových služeb, příp. freemail serverů mezi jednotlivými zaměstnanci sítě), je doporučeno využití end-to-end šifrování typu S/MIME23, PGP24/GnuPG25 apod. • Pro přístup ke službám využívaných koncovými zařízeními jsou využity šifrované verze protokolů. (např. TLS šifrování pro SMTP/IMAP/POP3 služby e-mailu, SFTP pro přístup na firemní FTP server apod.) • Obsah e-mailových zpráv je centrálně nebo lokálně kontrolován s ohledem na nevyžádanou poštu (SPAM) a přítomnost škodlivých kódů/virů. • Pro přenos dat na datovém nosiči mezi lokalitami je využito šifrování souborů, a to buď ve formě, bezpečným heslem chráněného, komprimovaného archivu (7Zip26, WinRAR27, apod.), nebo jakoukoliv formou diskového šifrování (VeraCrypt28, BitLocker29, apod.) http://en.wikipedia.org/wiki/S/MIME http://www.pgp.cz/ 25 https://www.gnupg.org/ 26 http://www.7-zip.org 27 http://www.rar.cz/ 28 https://veracrypt.codeplex.com/ 29 http://windows.microsoft.com/cs-cz/windows7/products/features/bitlocker 23 24 44 4.7 Uživatelé • Uživatelé jsou pravidelně školení v oblasti bezpečnosti a jsou poučeni o interních pravidlech v oblasti ICT prostředí a obsahu bezpečnostní politiky. • Uživatelé nesdělují nikomu svá bezpečná hesla, a to ani nadřízenému, administrátorovi nebo správci datové sítě. • Uživatelé svá hesla nezapisují v dostupném okolí počítače (kalendáře, poznámkové bloky, apod.; je možné využití programového vybavení pro tento typ poznámek, např. KeePass30). • Uživatelé bez souhlasu administrátorů/správců nebo vedení společnosti neinstalují na koncová zařízení jakékoliv programové vybavení, a to ani takové, které je šířeno na základě bezplatné nebo volné licence (programové vybavení neschválené v rámci společnosti může představovat riziko odcizení dat případně jejich ztráty v důsledku činnosti neproškolených osob). • Vzdálení uživatele od osobního počítače může být provedeno až po uzamčení obrazovky tak, aby bylo zabráněno neoprávněnému přístupu dalších osob do systému v kontextu nepřítomného uživatele. • V případě podezření uživatele na prozrazení hesla je uživatel povinen toto heslo bez odkladu změnit na jiné bezpečné heslo, které není doposud použito a v minulosti ani použito nebylo (hesla by měla být jedinečná). • Využívané osobní certifikáty jsou v operačním systému instalovány s tzv. zvýšenou ochranou (každé použití certifikátu vyžaduje zadání PIN pro přístup k certifikátu; tento PIN je znám pouze vlastníkovi certifikátu – uživateli na jehož jméno je certifikát vystaven). • V případě jakéhokoliv podezření na porušení pravidel bezpečnostní politiky, podezřelého chování programů, podvodné příchozí zprávy apod. jsou uživatelé povinni informovat o tomto chování odpovědnou osobu, typicky administrátora/správce, nebo jinou osobu pověřenou řešení oblasti bezpečnosti ICT prostředí. 30 http://keepass.info/ 45 4.8 Administrátoři/správci Administrátoři/správci mají stejné povinnosti jako uživatelé, nicméně jejich povinnosti se dále rozšiřují, a to následovně: • Řídí se etickým kodexem správce/administrátora31,32(kodex je součástí příloh této práce). • Nesdělují hesla k jakémukoliv IS nebo komponentě sítě a nepožadují sdělení jakýchkoliv přístupových údajů od uživatelů. • Zajišťují hladký chod IS, datové sítě včetně všech aktivních prvků a komponent. • Nepracují rutinně v kontextu doménového nebo lokálního administrátora. • Práva pro správu uživatelských stanic jsou oddělena od práva na správu domény. • Vedou heslovitý zápis o realizovaných úkonech souvisejících s konfigurací ICT prostředí s označením času provedení (tzv. provozní deník umožňuje přesné dohledání místa a času chyby, a to včetně stanovení odpovědné osoby; v provozním deníku by měly být zejména informace o restartech a změnách v konfiguracích serverů apod.). • Vedou dokumentaci aktuálního stavu datové sítě, IS, aktivních, bezpečnostních a jiných prvků prostředí ICT apod., a to jak logického, tak fyzického. • Veškeré přístupové údaje použité administrátory/správci pro výkon své činnosti jsou uložena v programu k tomu určenému (např. KeePass33) a databáze tohoto programu je zálohována. Heslo k jejímu otevření je uloženo a zapečetěno v trezoru společnosti (použití tohoto hesla zpochybňuje osobu administrátora jako jediného správce ICT prostředí a mělo by tak být využito pouze v případě nouze, nikoliv rutinně). http://www.abclinuxu.cz/blog/kenyho_stesky/2013/7/eticky-kodex-spravce https://lopsa.org/CodeOfEthics 33 http://keepass.info/ 31 32 46 • Neuvádějí přístupové údaje v otevřeném textu do skriptů, které vytvářejí v souvislosti se svou činností. • Správci systémů postupují při přidělování/odebírání rolí uživatelům v IS dle definovaného procesu (předcházení situace, kdy pracovník po ukončení spolupráce, má stále přístupy do systémů původního zaměstnavatele). • Administrátoři/správci informují uživatele o službách sítě (např. prostřednictvím interního informačního věstníku nebo e-mailem), a to hlavně o službách zajišťující zálohování uživatelských dat (např. jaké složky jsou automaticky zálohovány apod.). • Administrátoři garantují bezpečné smazání dat (tzv. wipe34) u vyřazované techniky, a to pomocí specializovaných programů (např. programem dban35 s minimálně jedním přepsáním původních dat). • Administrátoři/správci – provádí dohled datové sítě, jednotlivých aktivních prvků a serverů (např. programy Nagios36, Zabbix37) a na základě obdržených informací predikují nutnost posilování výkonu jednotlivých komponent tak, aby byl zajištěn bezvadný chod celého ICT prostředí. Tuto nutnost eskalují na vedení společnosti s dostatečným předstihem. • Vedení ICT oddělení aktivně diskutuje se zástupci vedení společnosti o řešených problémech v oblasti ICT prostředí, informuje o rizicích a hrozbách spojených s provozem datové sítě a celého ICT prostředí. 4.9 Vedení společnosti Zástupci vedení společnosti mají stejné povinnosti jako uživatelé, nicméně jejich povinnosti se dále rozšiřují, a to následovně: • Vedení společnosti otevřeně podporuje bezpečnost ICT. • Organizuje pro zaměstnance školení v oblasti ICT bezpečnosti (je možné zajistit vlastními zdroji). http://en.wikipedia.org/wiki/Wiping http://www.dban.org/ 36 http://www.nagios.org/ 37 http://www.zabbix.com/ 34 35 47 • Organizuje pravidelná setkání se zástupci administrátorů/správců. • Naslouchá odborným pracovníkům a vyhodnocuje představené hrozby a s nimi související riziko. • Informuje zástupce administrátorů/správců o obchodním záměru tak, aby ICT prostředí umožnilo hladký chod obchodních procesů. • Nepožadují sdělení jakýchkoliv přístupových údajů od uživatelů • Vedení společnosti nemá běžný přístup k administrátorským nebo správcovským právům k IS a dalším prvkům ICT prostředí (tato přístupová práva jsou uložena v trezoru v šifrované databázi a přístup k nim je možné využít pouze v extrémní situaci nebo nouzi). • Pokud je to možné, zajistí oddělení odpovědnosti za oblast provozu a za oblast bezpečnosti (provoz bývá hlavním zájmem společnosti na základě čehož může docházet k obcházení bezpečnostních pravidel z důvodu zajištění provozu; tento stav je z pohledu bezpečnosti ICT prostředí rizikový a uvedené pravidlo je základem pro potlačení tohoto stavu) 48 5 Popis dotazníku pro průzkum vnímání bezpečnosti ICT V souvislosti s doporučeními jsem provedl průzkum stavu vnímání a povědomí o bezpečnosti ICT prostředí mezi vybranými subjekty působící na českém trhu, příp. v oblasti veřejnoprávních institucí. Dotazník je koncipován tak, aby odpověděl na základní otázky v oblasti bezpečnosti ICT, které jsou předpokladem pro kvalitní správu a bezpečnost informací. Otázky byly zvoleny tak, aby bylo identifikováno poměrové množství společností, které by mohli být případnými příjemci návrhu bezpečnostní politiky uvedené v této práci, a zároveň dává odpověď na otázku, jak je celkově rozšířeno povědomí o bezpečnostních principech v oblasti výpočetní techniky. Tabulka 4: Otázky v dotazníku a důvody jejich uvedení Otázka v dotazníku Důvod uvedení otázky Velikost podniku? Velikost podniku hraje klíčovou roli ve vnímání bezpečnosti ICT jako takové. Pokusím se dokázat, že vybavenost technikou a povědomí o bezpečnosti ICT prostředí s velikostí podniku stoupá. Kolik orientačně využíváte ve společnosti počítačů? Z korelace počtu počítačů a počtu zaměstnanců vyvozuji závěr jak moc je společnost zaměřena na ICT technologie. Týká se Vás zákon 181/2014 Sb. o kybernetické bezpečnosti? Společnosti s přímým dopadem ZoKB by měli dosahovat vyššího hodnoceni z pohledu bezpečnosti, neboť se jedná o významné nebo kritické systémy a jistá úroveň bezpečnosti je očekávána. Je vaše společnost držitelem certifikace ISO/IEC 27001? Certifikace ISO/IEC 27001 dává tušit, že společnost je již plně na ZoKB připravena a má tak veškeré nutné náležitosti bezpečnosti vyřešeny – včetně bezpečnostní politiky ICT (hranice certifikace nejsou v této otázce zohledněny a mohou mít vliv na míru připravenosti držitele certifikace na ZoKB). Je u Vás zavedena bezpečnostní politika ICT? Sleduji zde rozpor mezi certifikací, připraveností na ZoKB a úroveň bezpečnostního povědomí ve společnostech. Vedení společnosti formálně deklarovalo podporu k udržování a vytváření podmínek pro zajištění bezpečnosti informací. Formální deklarace podpory pro zajištění bezpečnosti informací/bezpečnosti ICT prostředí je základním stavebním kamenem celé bezpečnostní politiky. Bez vyslovené podpory ze strany vedení společnosti je zajištění bezpečnosti velice komplikované. Zaznamenala Vaše spo- Bezpečnost ICT prostředí je zpravidla více řešena ve společnoslečnost v průběhu minu- tech se zaznamenanými kybernetickými událostmi. Tento vztah lého roku bezpečnostní 49 incident? se snažím dokázat. Máte zaveden proces řešení bezpečnostních incidentů? V případě, že jsou bezpečnostní incidenty časté nebo běžné, je pravděpodobné zavedení procesu řešení bezpečnostních incidentů. Jsou zaměstnanci pravidelně školeni v oblasti bezpečnosti ICT? Školení zaměstnanců je jedním z důležitých faktorů zajištění bezpečnosti ICT, neboť velké množství kybernetických útoků je snáze realizovatelných ve spolupráci (i neuvědomělé) ze strany zaměstnanců. Osvěta v oblasti bezpečnosti ICT je základním předpokladem vyšší úrovně bezpečnosti ICT prostředí v celé společnosti. Jsou otázky bezpečnosti ICT pravidelně projednávány na úrovni vedení společnosti? Moderní společnosti využívají IT jako podpůrný prostředek pro sledování obchodních cílů společnosti. Naslouchání zástupcům vedení IT oddělení na nejvyšší úrovni managementu je známka vysoké úrovně znalostí ze strany zástupců řízení společnosti. Můj dotaz je zde uveden z důvodu snahy zjistit úroveň znalostí v oblasti ICT bezpečnosti na úrovních vrcholového managementu. Máte zpracovánu aktuální analýzu rizik? Analýza rizik je základem pro určení jaká aktiva zasluhují a vyžadují prioritní pozornost a ochranu. Zároveň odpovídá částečně na otázku, jak vysoké prostředky by měly být do realizaci ochranných opatření vloženy. Zpracovaná analýza rizik je tedy klíčovým předpokladem správného řízení rizik, které je z pohledu bezpečnosti ICT prostředí nezbytný. Klasifikujete aktiva z pohledu bezpečnosti (a v jaké míře) včetně stanovení jejich vlastníka? Vlastník aktiva je klíčová role při stanovení důležitosti aktiva a pro identifikaci možných ochranných opatření. Má z pohledu bezpečnosti klíčové rozhodovací pravomoci, ale i odpovědnost. Nestanovení vlastníka znamená snížení bezpečnosti a v případě bezpečnostního incidentu složité hledání odpovědné osoby za nedostatečnou ochranu. Otázkou se snažím zjistit míru povědomí o bezpečnostních procesech a o odhadovaném stupni zajištění aktiv proti hrozbám. Kolik osob je přímo odpovědných za bezpečnost ICT prostředí ve společnosti? Bezpečnost ICT by měla být delegována na osobu mimo strukturu provozu – provoz a bezpečnost jsou požadavky jdoucí proti sobě a vlivem požadavku na provoz poté dochází k bagatelizaci bezpečnostních incidentů a snížení bezpečnostních požadavků. Existence konkrétní osoby odpovědné např. za definici vlastníků aktiv apod., je další základní předpoklad pro kvalitní a efektivně fungující bezpečnost ICT. Využíváte pro ochranu datové sítě technologie IDS/IPS a SIEM? Absence IPS v síti je klíčovou bezpečnostní chybou, neboť téměř žádná jiná technologie nedokáže spolehlivě detekovat (a zabránit) nechtěné datové komunikaci (malware, kybernetické útoky, protokolové anomálie apod.). Absence SIEM ve větších organizacích znamená jen obtížnou detekci relevantních bezpečnostních incidentů, neboť množství zaznamenaných událostí všemi technologickými bezpečnostními prostředky je většinou tak vysoké, že kvalitní vyhodnocování těchto událostí lidskými silami je v reálně nemožné. 50 Provozujete ve společnosti SCADA systémy? SCADA systémy dávají tušit výrobní prostředí ve společnosti. Tyto společnosti jsou většinou na provozu a bezpečnosti SCADA systémů z velké části závislí, neboť výrobní procesy jsou hlavní a klíčové aktivity k realizování zisku společnosti. Bezpečnost těchto společností je tak očekávána vyšší, než je standardní. Jak často realizujete penetrační testování (bez rozlišení typu, počtu informačních systémů apod.) Množství aktivních bezpečnostních prvků a jejich monitoring je důležitým předpokladem pro adekvátní reakci na bezpečnostní incidenty. Vektory případného kybernetického útoku jsou však různé a je vhodné reagovat na nové trendy v této oblasti a stávající infrastrukturu proti případným novým zranitelnostem testovat. Vedlejším efektem penetračního testování je ověření interních procesů související s kybernetickými událostmi. V minulosti realizovaná penetrační testování dávají tušit hluboké povědomí o bezpečnosti ICT ve společnosti. Máte pocit, že je možné bezpečnost ICT outsourcovat? Velká většina společností má problémy se zajištěním dostatečně kvalitních pracovníků v oblasti bezpečnosti a tak se outsourcing těchto služeb stále více prosazuje. Mnohé společnosti jsou však skeptičtí k outsourcingu klíčových bezpečnostních prvků a jejich dohledu. Otázka je snahou zjistit, jak se k tomuto fenoménu staví oslovené společnosti. 5.1 Identifikace adresátů dotazníku Jako referenční seznam společností aktivních v oblasti informačních technologiích (mající e-mail) jsem zvolil server http://www.firmy.cz společnosti Seznam.cz, a.s. V každé z 1014 kategorií, do kterých server společnosti třídí, jsem vybral dva zástupce, kteří byly umístěny na prvních místech seznamu konkrétní kategorie. Tento seznam je náhodně řazen a tak jsou v seznamu adresátů zastoupeny společnosti všech regionů ČR, názvů a působnosti. V případě, že byla společnost zobrazena ve více kategoriích, byla vynechána a byl použit další seznam (v seznamu tedy neexistují duplicity adresátů z pohledu společností). Kompletní seznam takto sebraných e-mailových adres včetně identifikace všech kategorií je součástí přílohy této bakalářské práce. Takto vytvořený seznam adresátů dotazníku obsahoval i kontakty směřující na tzv. freemail servery poskytující funkcionalitu e-mailů zdarma či za drobný poplatek. Tyto společnosti byly, na základě důvodného podezření že nemají vytvořeno řízené ICT prostředí, z obeslání vynechány. Celkově se jednalo o 244 z 1980 kontaktů. Dotazník byl tedy rozeslán na 1736 e-mailových adres. Z důvodu neexistujícího adresáta nebo problému s doručením bylo vyloučeno dalších 25 kontaktních adres. 51 V dotazníkovém šetření bylo ke 12. 3. 2015 obdrženo 136 odpovědí, z nichž bylo pro zpracování použito pouze 74 (počet odpovědí uvedených v dotazníku u těchto společností přesahoval více jak 50 %), nad nimiž byla provedena analýza odpovědí popsaná v další kapitole. Počet obdržených odpovědí odpovídá očekávání, neboť drtivá většina společností je v oblasti bezpečnosti velice nedůvěřivá a odpovědi na dotazy jsou odesílány pouze výjimečně. Na základě této skutečnosti považuji počet úspěšnost obdržení vyplněných dotazníku do 5 % za velice dobrý, i přesto, že toto množství zcela nepostačuje pro bezchybnou analýzu. I přes tento fakt považuji výsledky dotazníkového šetření za zajímavé, a to právě vzhledem k velmi malé ochotě společností poskytovat v této oblasti jakékoliv údaje. 5.2 Analýza odpovědí dotazníku Odpovědi v oblasti dotazníkového šetření jsou rozděleny primárně dle velikosti společnosti a zvolených odpovědí v konkrétní otázce. Pro základní přehled o rozsahu obdržených odpovědí pojednává následující tabulka (Tabulka 5: Velikost společností poskytnuvší informace): Tabulka 5: Velikost společností poskytnuvší informace Počet dotazníků Počet PC (průměr) Počet odpovědí (průměr) malá střední velká 33 18 23 13 359 2437 15 16 16 Odpovědělo 74 Velikost Velké společnosti zahrnují např. zástupce resortů veřejných služeb, nebo velké soukromoprávní subjekty. Průměrně tyto subjekty mají 2437 osobních počítačů. Malé společnosti naopak využívají pouze okolo 13 počítačů. Určitá neznalost v oblasti ICT bezpečnosti se projevila u těchto subjektů mnohem výrazněji, než ukazuje tabulka – velké množství odpovědí neobsahovalo požadovaných 50 % odpovědí pro zařazení do srovnání a byly tak odstraněny. I tak je však počet malých společností zastoupen v porovnání se středními a velkými dostatečně, což ukazuje na převažující počet těchto společností v prostředí České Republiky. Zároveň je zřejmá nižší míra znalosti v této oblasti, což je předpokládatelné a pochopitelné. 52 Další tabulka (Tabulka 6: Vztah mezi společnostmi z pohledu ZoKB, ISO/IEC 27001 a politiky ICT) ukazuje vazbu mezi velikostí společnosti, vlastnictví certifikace ISO/IEC 27001, ZoKB a zavedení bezpečnostní politiky. Tabulka 6: Vztah mezi společnostmi z pohledu ZoKB, ISO/IEC 27001 a politiky ICT Velikost a odpověď malá ne ano nevím střední ne ano nevím velká ne ano nevím Odpovědělo Příjemci ZoKB Certifikace ISO/IEC 27001 Zavedena politika ICT 8 6 19 28 1 4 23 4 6 8 1 9 13 2 3 10 6 2 9 13 1 22 0 1 5 17 1 74 74 74 Za povšimnutí stojí disproporce mezi příjemci zákona u malých společností (resp. neznalosti zda jsou příjemci ZoKB) a zároveň malý podíl společností mající v této oblasti vytvořenu bezpečnostní politiku. I samotný fakt dopadu ZoKB na malé společnosti je zajímavý a nabízí se otázka, zda jsou odpovědi odrazem skutečnosti či neznalosti ze strany dotazník vyplňující osoby. U velkých společností je naopak velice pozitivní fakt existence bezpečnostní politiky i mimo subjekty, kteří jsou příjemci ZoKB. Zajímavá je i skutečnost rozšíření certifikace ISO/IEC 27001 spíše u středních a menších společností, nežli u velkých. V tomto ohledu se projevuje nemalá finanční náročnost zavedení normalizovaných a formálních postupů vyžadovaných v rámci certifikace ISO/IEC 27001 napříč velkými společnostmi. Alarmující je naopak množství společností, jež nemají jistotu v otázce dopadu ZoKB. 53 Graf 1: Zavedení bezpečnostní politiky ICT Politika bezpečnosti ICT je zavedena není zavedena 48% 88% 89% 52% 12% 11% malá střední velká Podobně žalostný je i stav přijetí/existence bezpečnostní politiky středních společností (Graf 1: Zavedení bezpečnostní politiky ICT). Určitá absence bezpečnostní politiky u malých subjektů je opět pochopitelná vzhledem k průměru 13 osobních počítačů na společnost. Na první pohled vysoká hodnota u společností velkých je však také velice špatný výsledek – velké společnosti bez takovéto politiky mohou mít výrazné mezery v oblasti procesního zajištění bezpečnosti. Velké společnosti navíc disponují důvěrnými daty ve větším rozsahu, nežli společnosti menší (např. v oblasti osobních údajů) a tak je absence bezpečnostní politiky velice překvapující. Procesní oblast bezpečnosti je více zřejmá z „Tabulka 7: Procesní oblast bezpečnosti ICT“. Velice dobrý výsledek v oblasti formální podpory bezpečnosti ICT je zřejmý u velkých společností, kde se projevuje určitý tlak na oblast bezpečnosti i v projednávání těchto otázek na úrovni vedení společnosti. Převažuje také množství společností mající zpracovánu analýzu rizik, což je opět pozitivní skutečnost. Nižší podpora školení zaměstnanců je překvapivá, nicméně vzhledem k finanční náročnosti pochopitelná. V průměru je za bezpečnost ICT odpovědno 12 pracovníků, což při průměrném počtu 2437 počítačů představuje více než 200 počítačů na jednoho pracovníka. Tento objem, kdy je v takovýchto společnostech často velké množství správy technologií outsourcováno, případně existence relativně velkého tlaku na efektivní provoz oddělení, v pořádku. 54 U středně velkých podniků je již patrná částečná absence základních procesů a předpisů nezbytných pro řízení bezpečnosti ICT (analýza rizik, bezpečnost na poradách, absence školení zaměstnanců ve větším množství). Pozitivním faktem je stále relativně velká podpora vedení v řešení bezpečnostních otázek týkajících se ICT prostředí. Malé společnosti již za velkými, dle očekávání, zaostávají. I u nich je ale pozitivně překvapující podpora vedení v oblasti bezpečnosti ICT. Projednávání oblasti ICT na poradách je téměř na srovnatelné úrovni, jako u společností střední velikosti, což je velice dobré. Tabulka 7: Procesní oblast bezpečnosti ICT Formální podpora v oblasti bezpečnosti ICT Pravidelné školení zaměstnanců Bezpečnost projednávána na poradách vedení Zpracována analýza rizik Odpovědné osoby za bezpečnost ICT prostředí (průměr) 14 12 7 25 8 0 20 10 3 26 3 4 1 8 10 0 13 5 0 11 7 0 8 8 2 2 2 11 5 8 ano 21 11 18 13 nevím 0 1 0 2 Odpovědělo 74 74 74 74 Velikost a odpověď malá ne ano nevím střední ne ano nevím velká ne 55 12 71 Graf 2: Míra klasifikace aktiv Míra klasifikace aktiv Malá Střední Velká 100% 80% 60% 40% 20% 0% Do 25 % Do 50 % Do 75 % Vše Míra klasifikace aktiv (Graf 2: Míra klasifikace aktiv) je v malé míře (do 25 %) řešena v až ¾ společností, a to překvapivě i u malých společností. Na druhou stranu mají zase malé společnosti aktiv výrazně méně – zde je opět doložen pravděpodobný silný finanční faktor – u téměř 100% klasifikace ztrácejí velké společnosti proti středním. Všeobecně je ale míra klasifikace aktiv spíše nízká až minimální. Relativné vysoká klasifikace u části aktiv ale napovídá rozšířenému povědomí v této oblasti, což je pozitivní zjištění. V oblasti bezpečnosti, resp. bezpečnostních incidentů v korelaci se zavedením procesu řešení bezpečnostních incidentů je zajímavé většinové zavedení řešení bezpečnostních incidentů, aniž by byly incidenty detekovány – opět překvapivé potvrzení toho, že jisté povědomí v oblasti bezpečnosti ve společnostech existuje. Velké společnosti již nejsou prosté bezpečnostních incidentů a zavedení řešení těchto situací tak nepřekvapí. Naopak je velice zajímavé, že i ve velkých společnostech se najdou odpovědní zaměstnanci, kteří nevědí, že by měla tento proces společnost zavedený. Tabulka 8: Bezpečnostní incidenty a jejich řešení Velikost a odpověď malá ne ano Zaznamenán bezpečnostní incident Zaveden proces řešení Incidentů 27 2 17 11 56 nevím střední ne ano nevím velká ne ano nevím Odpovědělo 4 5 15 3 0 6 10 2 9 13 1 9 12 2 74 74 S bezpečnostními incidenty souvisí i realizace penetračních testů, které jsou ve velké míře realizovány hlavně velkými společnostmi. I mezi malými a středními společnostmi se však najdou zástupci, kteří penetrační testy realizují velice často. Nejvíce rozšířená odpověď je však „ne“ nebo „ročně“, což odpovídá očekávání. Malé společnosti většinou nemají takové technické zázemí, že by se dalo mluvit o datové síti nebo serverové farmě hodné testování. Stejně tak množství informačních systémů dostupných online bude velice malé. U středních společností je však počet realizovaných penetračních testů v podstatě podobný, což už by mohlo znamenat bezpečnostní problém. Graf 3: Četnost penetračních testů Četnost penetračních testů Malá Střední Velká 100% 80% 60% 40% 20% 0% ne ročně měsíčně 57 častěji Graf 4: SCADA penetrační testy SCADA penetrační testy ne ročně měsíčně častěji 34% 8% 8% 50% Graf (Graf 4: SCADA penetrační testy) již ilustruje relativně alarmující stav v oblasti SCADA systémů, kde nejsou (většinou z důvodu určité separace provozního datového prostředí od zaměstnaneckého či veřejného, nebo z důvodu obavy možného selhání systémů) realizovány penetrační testy z 34 % vůbec. V oblasti provozních technologiích je všeobecně známa velká míra konzervatismu na straně odpovědných osob. Propojování provozních a informačních technologií je však zřejmé a postupné zavádění principů bezpečnosti z prostředí informačních technologií se v oblasti provozních technologií bezesporu očekává (nebo z velké části již probíhá). Nespornými problémy jsou např. požadavky na silné zabezpečení, kde již latence/zpoždění související s realizací šifrování datové komunikace ovlivňuje systémy závislé na minimálních časových prodlevách v rozsahu jednotek milisekund. Silné šifrování je výrazně náročnější na výpočetní výkon a tak vyřešení těchto otázek výrobce SCADA systémů teprve čeká. Zastoupení SCADA systémů mezi příjemci ZoKB ilustruje „Tabulka 9: Zastoupení SCADA mezi příjemci ZoKB“, kde je zřejmá jen velice slabá vazba. Nepotvrzuje se tak má domněnka, že ZoKB se primárně vztahuje na provozovatele SCADA systémů, a tedy, že kritické nebo významné informační systémy, příp. komunikační systémy zdaleka nemusí souviset s provozováním SCADA systémů. 58 Tabulka 9: Zastoupení SCADA mezi příjemci ZoKB Velikost a odpověď Příjemci ZoKB Provozovány SCADA 8 6 19 18 3 5 8 1 9 13 3 2 9 13 1 12 7 2 74 65 malá ne ano nevím střední ne ano nevím velká ne ano nevím Odpovědělo Množství nasazených pokročilých technologií typu IDS/IPS nebo SIEM (vyžadovaných např. ZoKB) je zastoupeno dle očekávání, tedy minimálně (viz Graf 5: Využití pokročilých technologií). I přesto je zde patrný fakt, kdy střední a velké společnosti, díky množství dalších bezpečnostních technologií, již nemají jinou volbu, nežli využít funkcionality SIEM nástroje (množství logů je již moc velké na ruční zpravování). Částečně se to týká i společností středních. U malých by byla přítomnost takového nástroje zbytečnou investicí. To již neplatí pro IDS/IPS funkcionalitu, která se naopak u menších společností (díky menší náročnosti na výkon) dá implementovat relativně snadno a často je již součástí standardních firewallů nové generace (NGFW). Další zajímavou informací je určitá vazba mezi nasazením IDS/IPS nástroje spolu se SIEM řešením – IDS/IPS nástroj totiž poskytuje velice cenná data do SIEM a i když i bez těchto informací má samozřejmě nasazení SIEM řešení smysl, je propojení s IDS/IPS více než logické. Překvapivou skutečností je přítomnost SIEM systému u malých společností, kde bych uvedení této technologie přisuzoval spíše neznalosti ze strany zástupců malých společností vyplňujících dotazník, nebo aktivnímu správci, který má k bezpečnosti ICT prostředí velice blízko. 59 Graf 5: Využití pokročilých technologií Využití pokročilých technologií Malá Střední Velká 100% 80% 60% 40% 20% 0% nic IPS SIEM IPS + SIEM Velice příjemným zjištěním je velká podpora, resp. pozitivní vnímání možného outsourcingu bezpečnostních technologií a jejich správy, kterou ilustruje Graf 6: Outsourcing jako volba. Pokud bychom pominuli částečnou očekávanou neznalost zástupců malých společností, je celkově názor poměrně jasný – služby v oblasti bezpečnosti a související technologie outsourcovat lze, resp. tato možnost je všeobecně přijímána pozitivně. Outsourcing v oblasti bezpečnosti ICT prostředí však může, vzhledem k tomu, že se jedná o klíčovou kritickou oblast, pro společnost znamenat zvýšené riziko. Snaha o zajištění bezpečnosti interními zaměstnanci (s mnohdy nižší mírou znalostí v této oblasti) však může mít dalekosáhlejší následky, než dopady případného využití outsourcingu. Toto je základní otázka, kterou je nezbytně nutné zvážit při volbě, zda řízení bezpečnosti informací a bezpečnosti ICT prostředí (části nebo celku), svěřit do rukou externí organizace, či nikoliv. Vhodným přístupem je v této oblasti možné vnímat vybudování dohledových mechanismů na takové úrovni, které zajistí detailní přehled o činnostech společnosti zajišťující outsourcing a zároveň znemožní této společnosti možnost ovlivnit tyto záznamy – typické řešení spočívá v zajištění dohledu vlastními/interními zaměstnanci nebo nezávislou společností. 60 Všeobecně však lze vnímat, že oblast bezpečnosti ICT prostředí a s ním související zajištění bezpečnost informací vytváří nemalý prostor pro společnosti realizující služby v této oblasti. Kladný vztah k outsourcingu je potvrzením uvědomění si faktu, že odborný personál spravující pokročilé bezpečnostní prvky nemusí být vždy nezbytně zaměstnancem společnosti a také skutečnosti, že zajištění bezpečnosti informací je úkol vyžadující vysoké technické a procesní znalosti. Graf 6: Outsourcing jako volba Outsourcing jako volba Malá Střední Velká 100% 80% 60% 40% 20% 0% ne ano 61 nevím 6 Celkové zhodnocení aktuální situace v oblasti bezpečnosti Výsledky dotazníkového šetření jsou pro mě osobně překvapením. Vnímání povědomí v oblasti bezpečnosti ICT jsem očekával na horší úrovni a tak výsledky zde popsané velice milým a pozitivním překvapením. I přesto však stále existují oblasti, které jsou výrazně nedostatečně řešeny (penetrační testy SCADA systémů, využití pokročilých technologií, četnost penetračních testů nebo míra klasifikace aktiv). Vzhledem k vývoji v oblasti bezpečnosti na národní i mezinárodní úrovni však očekávám postupné zvyšování povědomí a tím i postupnou vyšší míru zavádění základních bezpečnostních principů do běžného chodu společností bez ohledu na jejich velikost. Velikost společnosti však bude hrát stále nezanedbatelnou roli a u menších společností bude vždy patrný určitý technologický odstup od společností velkých. 62 Závěr Byl představen a vysvětlen hlavní legislativní rámec a související předpisy/vyhlášky v oblasti bezpečnosti ICT prostředí v podobě zákona 181/2014 Sb. o kybernetické bezpečnosti, dále byly představeny základní vybrané normy z rodiny norem ISO/IEC 27000 zabývající se kybernetickou bezpečností, které jsou uznávaným světovým standardem. Množství doporučených či vyžadovaných opatření v oblasti bezpečnosti ICT prostředí se různí od velikosti společnosti, kritičnosti provozovaných informačních a komunikačních systémů a dle velikosti stanovených hranic v případě norem rodiny ISO/IEC 27000. Všeobecně je však možné konstatovat, že bezpečnost celého ICT prostředí je přímo závislá na celkovém povědomí o této oblasti ze strany uživatelů a správců/administrátorů tohoto prostředí a IS, ale především ze strany vedení společnosti. Bezpečnost ICT prostředí je velice úzce spjata s množstvím technologií, jejich konfigurací a dohledem, zvyšování kvalifikace v oblasti bezpečnosti ICT u zaměstnanců a interními procesy, což jsou oblasti, které se výrazně promítají do finanční bilance společností. Je tedy nutné se těmito investicemi zabývat na nejvyšší úrovni řízení společností, schvalovat je, vytvářet prostředí pro trvalý rozvoj v této oblasti a tím úspěšně naplňovat strategii společnosti v oblasti bezpečnosti ICT. Jak vyplývá z dotazníkového šetření, jsou otázky bezpečnosti relativně častým tématem společností působících na českém trhu, nicméně i přesto je zřejmé, že rezervy v podobě absence uceleného pohledu, dlouhodobé strategie a interních předpisů (např. bezpečnostní politiky, klasifikace aktiv, realizace penetračních testů apod.) v této oblasti existují. Představený návrh struktury bezpečnostní politiky v kapitole 4 (Návrh struktury bezpečnostní politiky a technických řešení) byl zvolen pro svůj relativně vysoký efekt v zajištění míry bezpečnosti ICT prostředí s relativně nízkými vstupními náklady. Uvedená pravidla jsou určitým derivátem požadavků standardizační vyhlášky zákona o kybernetické bezpečnosti a požadavků norem rodiny ISO/IEC 27000, mající za cíl (u společností nepatřících mezi příjemce zákona o kybernetické bezpečnosti, případně společností bez ambice získat certifikaci ISO/IEC 27001) poskytnout základní návrh struktury bezpečnostní politiky a srozumitelný popis elementárních bezpečnostních pravidel a vytvořit tak základ pro bezpečnostní politiku celé společnosti. I jen částečné zavedení uvedených pravidel bude znamenat nezanedbatelný posun 63 v bezpečnosti organizací, což je v důsledku základní myšlenkou a cílem celé této práce. 64 Conclusion The main legislative framework and corresponding directives/regulations in the area of security of ICT environment in the form of Act No. 181/2014 Coll., on Cyber Security, were presented and explained, further the basic selected standards from the family of standards ISO/IEC 27000 dealing with cyber security which are a recognized worldwide standard were presented. A number of recommended or required measures in the area of security of ICT environment varies according to the size of the company, seriousness of operated informational and communication systems and according to the size of defined boundaries in case of standards of the family ISO/IEC 27000. It can be generally stated, however, that the security of the whole ICT environment depends directly on the total knowledge of this area on the part of the users and administrators of this environment and IS, but above all on the part of the management of the company. The security of ICT environment is very closely connected with the number of technologies, their configurations and supervision, increase of qualification in the area of ICT security at employees and internal processes which are areas which markedly project themselves into the financial balance of the companies. It is consequently necessary to deal with these investments at the highest level of the management of companies, approve them, create the environment for permanent development in this area and thus successfully fulfill the strategy of the company in the area of ICT security. As results from the questionnaire inquiry, the issues of security are a relatively frequent topic of the companies operating in the Czech market, nevertheless despite this it is obvious that the reserves in the form of absence of compact view, long-term strategy and internal regulations (e.g. security policy, classification of actives, realization of penetration tests, etc.) exist in this area. The presented proposal of structure of the security policy in chapter 5 (Proposal of structure of security policy and technical solutions) was selected for its relatively high effect in ensuring the measure of security of ICT environment with relatively low input costs. The stated rules are a certain derivate of requirements of standardization notice of Act on Cyber Security and requirements of standards of the family ISO/IEC 27000, having for object (at companies not belonging among receivers of Act on Cyber Security, possibly companies without the ambition to gain the certification ISO/IEC 65 27001) the provision of the basic proposal of structure of security policy and a comprehensible description of elementary safety rules and in this way the creation of the groundwork for security policy of the whole company. Even a partial introduction of the stated rules will mean an indispensable move in the security of organizations, which is in consequence a keynote and objective of all this thesis. 66 Seznam zdrojů [1] NAŘÍZENÍ VLÁDY. 432/2010Sb.. [2] CISCO INC.. Visual Networking Index [online]. Dostupné z: http://www.cisco.com/c/en/us/solutions/service-provider/visual-networkingindex-vni/index.html [3] ČERMÁK, Miroslav. CIA: Důvěrnost-Integrita-Dostupnost. In: cleverandsmart.cz [online]. 2008 [cit. 2015]. Dostupné z: http://www.cleverandsmart.cz/duvernost-integrita-dostupnost/ [4] INTERNET SYSTEM COSORTIUM. ISC Domain Survey [online]. Dostupné z: https://www.isc.org/services/survey/ [5] MIT IST INFORMATION SYSTEMS AND TECHNOLOGY. Risks on the Internet [online]. Dostupné z: https://ist.mit.edu/security/internet [6] NCKB. Informační servis [online]. Dostupné z: http://www.govcert.cz/cs/informacni-servis/zranitelnosti/ [7] NCKB. Publikace. In: Národní centrum kybernetické bezpečnosti [online]. Dostupné z: https://www.govcert.cz/cs/informacni-servis/bulletiny/ [8] ENISA. About ENISA [online]. Dostupné z: http://www.enisa.europa.eu/aboutenisa [9] US-CERT. United States Computer Emergency Readiness Team [online]. Dostupné z: https://www.us-cert.gov/ [10] CSIRT.CZ. CSIRT.CZ a jeho první rok fungování v roli Národního CSIRT České republiky [online]. Dostupné z: https://www.csirt.cz/page/992/csirt.cz--a--jehoprvni-rok-fungovani-v-roli-narodniho-csirt-ceske-republiky/ [11] CZ.NIC. Bezpečnostní týmy v České republice a mezinárodní spolupráce [online]. Dostupné z: https://www.csirt.cz/page/886/odkazy/ [12] POLÁK, Pavel a Anna KOTTOVÁ. Hackeři loni napadli ocelárnu v Německu, zaměstnanci nemohli vypnout vysoké pece. In: Rozhlas.cz [online]. 2015 [cit. 2015]. Dostupné z: http://www.rozhlas.cz/zpravy/evropa/_zprava/hackeri- 67 loni-napadli-ocelarnu-v-nemecku-zamestnanci-nemohli-vypnout-vysoke-pece-1441712 [13] ISO Survey: World distribution of ISO/IEC 27001 certificates in 2013 [online]. Dostupné z: http://www.iso.org/iso/home/standards/certification/isosurvey.htm?certificate=ISO/IEC%2027001&countrycode=CZ#standardpick [14] EUROPEAN COMMISSION. 2013/0027 (COD), DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL: Concerning measures to ensure a high common level of network and information security across the Union [online]. 2013 [cit. 2014]. Dostupné z: http://eeas.europa.eu/policies/eu-cybersecurity/cybsec_directive_en.pdf [15] ENISA. Cyber Europe. In: ENISA - EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY [online]. Dostupné z: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisiscooperation/cce/cyber-europe [16] NCKB. Strategie a Akční plán [online]. Dostupné z: http://www.govcert.cz/cs/informacni-servis/strategie-a-akcni-plan/ [17] NCKB. Legislativa. In: Národní centrum kybernetické bezpečnosti [online]. Dostupné z: https://www.govcert.cz/cs/legislativa/legislativa/ [18] SANS INSTITUTE. Critical Security Control: 18: Incident Response and Management. In: SANS INSTITUTE [online]. Dostupné z: https://www.sans.org/critical-security-controls/control/18 [19] ONDRÁK, Viktor, Petr SEDLÁK a Vladimír MAZÁLEK. Problematika ISMS v manažerské informatice. Brno: AKADEMICKÉ NAKLADATELSTVÍ CERM, s. r. o., 2013. 978-80-7204-872-4. [20] SINGH, Simon. Kniha kódů a šifer. Praha: ARGO spol. s r. o., 2003. 80-86569-18-7. [21] NOVÁK, Luděk a Josef POŽÁR. Systém řízení informační bezpečnosti. In: Cybersecurity.cz [online]. Dostupné z: http://www.cybersecurity.cz/data/srib.pdf [22] ZÁKON. 181/2014 Sb.. [23] INTEL CORPORATION. 2014 [cit. 2015]. Dostupné z: https://passwordday.org/en/ 68 [24] ČERMÁK, Miroslav. Analýza rizik: Jemný úvod do analýzy rizik [online]. 2010 [cit. 2015]. Dostupné z: http://www.cleverandsmart.cz/analyza-rizik-jemny-uvoddo-analyzy-rizik/ [25] STŘEDOEVROPSKÉ CENTRUM PRO FINANCE A MANAGEMENT. Cost-Benefit Analysis (CBA) [online]. Dostupné z: http://www.financemanagement.cz/080vypisPojmu.php?IdPojPass=57 [26] Pojem kyberprostor [online]. Dostupné z: http://slovnik-cizichslov.abz.cz/web.php/slovo/kyberprostor [27] VYHLÁŠKA. 316/2014 Sb.. [28] VYHLÁŠKA. 317/2014 Sb.. [29] NAŘÍZENÍ VLÁDY. 315/2014 Sb.. [30] ISO27000. ISO/IEC 27000:2014. In: ISO27000 [online]. Dostupné z: http://www.iso27000.cz/rac/homepage.nsf/CZ/27000 [31] RAC.CZ. ISO/IEC 27001:2013. In: RAC.CZ [online]. Dostupné z: http://www.rac.cz/rac/homepage.nsf/CZ/27001 [32] ČERMÁK, Miroslav. ISMS tajemství zbavený. In: cleverandsmart.cz [online]. 2012 [cit. 2015]. Dostupné z: http://www.cleverandsmart.cz/isms-tajemstvizbaveny/ [33] ŠTĚPÁNEK, Pavel. Demilitarizovaná zóna DMZ - kdy použít, jak nastavit, nejčastější chyby [online]. 2013 [cit. 2015]. Dostupné z: http://kb.kerio.com/product/kerio-control-cz-/demilitarizovan%C3%A1z%C3%B3na-dmz-kdy-pou%C5%BE%C3%ADt-jak-nastavitnej%C4%8Dast%C4%9Bj%C5%A1%C3%AD-chyby-605.html [34] ISO. About Us [online]. Dostupné z: http://www.iso.org/iso/home.html [35] INTERNATIONAL ELECTROTECHNICAL COMMISSION. About the IEC [online]. Dostupné z: http://www.iec.ch/about/ [36] ZÁKON. 432/2010 Sb.. Dostupné z: http://www.zakonyprolidi.cz/cs/2010-432 [37] NÁRODNÍ BEZPEČNOSTNÍ ÚŘAD. Národní bezpečnostní úřad [online]. Dostupné z: http://www.nbu.cz/cs/ [38] NCKB. Co je NCKB [online]. Dostupné z: https://www.govcert.cz/cs/ 69 [39] GEOVAP, SPOL. S R.O.. Co znamená SCADA/HMI?. In: Reliance - industrial SCADA/HMI system [online]. Dostupné z: http://www.reliance.cz/cs/products/what-does-scada-hmi-mean [40] HORA, Michal. Tajemství zkratky SLA [online]. 2005 [cit. 2015]. Dostupné z: http://www.systemonline.cz/outsourcing-ict/tajemstvi-zkratky-sla-1.htm 70 Seznam obrázků OBRÁZEK 1: SCHÉMA DOPADU KYBERNETICKÉHO ZÁKONA ................................................................. 19 OBRÁZEK 2: ČLENĚNÍ OPATŘENÍ KYBERNETICKÉHO ZÁKONA ............................................................... 21 OBRÁZEK 3: NORMY SKUPINY ISO/IEC 27000:2014 ..................................................................... 25 OBRÁZEK 4: NORMY SKUPINY ISO/IEC 27000:2009 ..................................................................... 26 OBRÁZEK 5: PDCA CYKLUS ......................................................................................................... 29 OBRÁZEK 6: KONCOVÁ ZAŘÍZENÍ .................................................................................................. 34 OBRÁZEK 7: SÍŤOVÝ PERIMETR ..................................................................................................... 35 OBRÁZEK 8: PŘENOSOVÉ/SÍŤOVÉ PROSTŘEDÍ .................................................................................. 35 OBRÁZEK 9: INFORMAČNÍ SYSTÉM ................................................................................................ 35 OBRÁZEK 10: DATOVÉ CENTRUM ................................................................................................. 36 OBRÁZEK 11: PŘENOS DAT ......................................................................................................... 36 OBRÁZEK 12: UŽIVATEL ............................................................................................................. 37 OBRÁZEK 13: ADMINISTRÁTOR/SPRÁVCE....................................................................................... 37 OBRÁZEK 14: VEDENÍ SPOLEČNOSTI .............................................................................................. 38 71 Seznam tabulek TABULKA 1: TECHNICKÁ OPATŘENÍ A JEJICH POČTY ........................................................................... 22 TABULKA 2: ORGANIZAČNÍ OPATŘENÍ A JEJICH POČTY ....................................................................... 22 TABULKA 3: PŘEHLED OPATŘENÍ VYŽADOVANÁ NORMOU ISO/IEC 27001 .......................................... 31 TABULKA 4: OTÁZKY V DOTAZNÍKU A DŮVODY JEJICH UVEDENÍ ........................................................... 49 TABULKA 5: VELIKOST SPOLEČNOSTÍ POSKYTNUVŠÍ INFORMACE .......................................................... 52 TABULKA 6: VZTAH MEZI SPOLEČNOSTMI Z POHLEDU ZOKB, ISO/IEC 27001 A POLITIKY ICT.................. 53 TABULKA 7: PROCESNÍ OBLAST BEZPEČNOSTI ICT ............................................................................ 55 TABULKA 8: BEZPEČNOSTNÍ INCIDENTY A JEJICH ŘEŠENÍ ..................................................................... 56 TABULKA 9: ZASTOUPENÍ SCADA MEZI PŘÍJEMCI ZOKB ................................................................... 59 72 Seznam grafů GRAF 1: ZAVEDENÍ BEZPEČNOSTNÍ POLITIKY ICT .............................................................................. 54 GRAF 2: MÍRA KLASIFIKACE AKTIV................................................................................................. 56 GRAF 3: ČETNOST PENETRAČNÍCH TESTŮ ....................................................................................... 57 GRAF 4: SCADA PENETRAČNÍ TESTY ............................................................................................. 58 GRAF 5: VYUŽITÍ POKROČILÝCH TECHNOLOGIÍ ................................................................................. 60 GRAF 6: OUTSOURCING JAKO VOLBA............................................................................................. 61 73 Seznam zkratek Zkratka DMZ Význam Demilitarizovaná zóna je logický prostor, kde jsou umístěny servery určené pro komunikaci do Internetu nebo nedůvěryhodné sítě. Veškerá komunikace z/do Internetu by měla procházet přes tento logický prostor (přímý přístup vnitřní sítě do Internetu je bezpečnostní riziko). [33] CERT Computer Emergency Response Team představuje skupinu vysoce profesionálních pracovníků poskytující informace o aktuálních zranitelnostech a velmi důležité technické rady lidem, kteří se dostali do problémů související s narušením prostředí ICT, aktivně zasahují do datových toků a typicky spolupracují s národními poskytovateli datové konektivity do Internetu. CSIRT Computer Security Incident Response Team je synonymem k CERT. Jde o skupinu profesionálních pracovníků řešící a vyšetřující bezpečnostní incidenty v počítačových sítích, a to jak na úrovni lokální (společnost), globální (oblast státu), tak nadnárodní. FTP/SFTP File Transfer Protocol/Secured File Transfer Protocol – protokol využívaný pro přenos souborů nejen po Internetu. „S“ před zkratkou znamená „Secure“ pro označení šifrované komunikace. HTTPS Hypertext Transfer Protocol Secure - je rozšíření nešifrovaného protokolu HTTP. HTTPS umožňuje využití šifrování (např. protokolu TLS) pro zabezpečení komunikace před odposlechnutím. Elektronické podpisy (certifikáty) využívající se pro sestavení této komunikace umožňují také jednoznačnou identifikaci protistrany (serveru). ICT Information and Communication Technology představuje všechny zástupce informační a komunikační techniky. IDS Intruder Detection System je systém pro detekci anomálií v datové síti na základě reputační databáze, obvyklého chování datové sítě jako takové nebo na základě vzorků (signatur) chování známých aplikací. 74 IMAP Internet Message Access Protocol je moderní protokol využívaný pro výběr elektronické pošty ze serveru elektronickou poštu poskytující. IPS Intruder Prevention/Protection System je rozšířením detekčního mechanismu IDS o prevenční schopnosti, tedy možnosti aktivně zasahovat do probíhající datové komunikace a tuto komunikaci tak ovlivňovat. Funkcionalita je využívána pro odfiltrování nežádoucí komunikace z datového toku. ISO/IEC International Organization for Standardization je nezávislá, nevládní, členská organizace a největší světový vývojář dobrovolných mezinárodních norem. [34] The International Electrotechnical Commission je přední světovou organizací pro přípravu a vydání mezinárodních norem pro veškeré elektrické, elektronické a další související technologie. [35] ITIL Information Technology and Infrastructure Library je rámec přístupů zajištění dodávky kvalitních IT služeb za přiměřené náklady. [19] KII Kritickou informační infrastrukturou se rozumí výrobní a nevýrobní systémy a služby, jejichž nefunkčnost by měla závažný dopad na bezpečnost státu, ekonomiku, veřejnou správu a zabezpečení základních životních potřeb obyvatelstva. [36] LAN Local Area Network znamená místní datovou síť situovanou např. do jednoho objektu nebo omezené (typicky nevelké) oblasti. NBU Národní bezpečnostní úřad je orgánem moci výkonné, byl zřízen zákonem č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, a to k 1. srpnu 1998. Je ústředním správním úřadem pro oblast ochrany utajovaných informací a bezpečnostní způsobilosti. [37] NCKB Národní centrum kybernetické bezpečnosti je součást NBÚ, se sídlem v Brně. Úlohou centra je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. [38] PIN Personal Identification Number zažitá zkratka pro osobní identifikaci uživatele, tedy heslo používané pro autentizaci osoby. 75 POP3 The Post Office Protocol je protokol využívaný pro výběr elektronické pošty. V současnosti je tento protokol ve verzi 3. V současnosti se stale častěji využívá protokol IMAP, který poskytuje pokročilé funkce správy tohoto výběru a podporuje vice funkcionalit především na straně server poskytující elektronickou poštu. S/MIME Secure/Multipurpose Internet Mail Extensions je standard definující používání elektronického certifikátu pro asymetrické šifrování elektronické pošty zajišťující její bezpečnost, důvěrnost a integritu při přenosu k adresátovi. SaaS Jako Software as a Service je označena služba, která je poskytována poskytovatelem této služby, a to typicky přes Internet. Odpadá tak nutnost zajišťovat pro tuto službu např. technické vybavení apod., ale může také představovat určité riziko ztráty dat. SCADA Supervisory Control And Data Acquisition představuje supervizní řízení a sběr dat. SCADA tedy není plnohodnotným řídicím systémem, ale zaměřuje se spíše na úroveň supervizora (např. dispečera). Zpravidla je to software fungující nad skutečným řídicím systémem založeným např. na PLC (programovatelný logický automat) nebo jiných HW zařízeních. [39] SIEM Security Information and Event Management je řešení, které na základě sběru událostí z velkého množství typicky bezpečnostních zařízení (firewall, router, IPS, apod.) vyhodnocuje a dává do souvislostí (koreluje) jednotlivé bezpečnostní události. Cílem nasazení řešení SIEM je zpracování velkého množství provozně-bezpečnostních informací v reálném čase a s nízkou mírou falešně pozitivních nálezů (bezpečnostních incident. SLA Service Layer Agreement je právním dokumentem, který obsahuje předpokládaný rozsah, úroveň služby a také případné postihy za její nedodržení. [40] SLA zajišťuje součinnost dodavatele v případě potřeby a garantuje dostupnost poskytované služby (typicky je uváděno dle „počtu devítek“ reprezentující procentuelní dostupnost v čase v rozmezí jednoho roku např.: 90 (jedna devítka; výpadek 72h/rok), 99 (dvě devítky+ výpadek 7,2h/rok), 99,9 (tři devítky; výpadek 43,8min), 99,99 (čtyři devítky; výpadek 4,3min) a 99,999 (pět devítek; výpadek 25,9s) apod. 76 SMTP Simple Mail Transfer Protocol je protokol zajišťující přenos elektronické pošty mezi jednotlivými komunikujícími uzly/server/klienty. Pomocí protokolu SMTP odchází elektronická pošta z klienta v počítači odesilatele a prochází za pomoci stejného protokolu dále až k serveru, kde si ji příjemce vybere pomocí přístupu na webové rozhraní, případně pomocí protokolů POP3 nebo IMAP. TLS Transport Layer Security – protokol zajišťující bezpečný/šifrovaný přenos dat. uuBML Unicorn Universe Business Modeling Language – nástroj pro vizuální modelování a komunikaci. VIS Významný informační systém je označení informačního systému státní správy s vysokou důležitostí, jehož omezený provoz může mít potenciál způsobit státu finanční či reputační ztrátu, případně omezení provozu státních služeb; označuje skupinu povinných osob, které jsou příjemci specifických opatření vyplývající ze ZoKB. [22] VLAN Virtual Local Area Network je virtuální lokální síť (LAN). Funkcionalita je definována standardem IEEE 802.1Q. WSUS Windows® System Update Services – technologie zajišťující aktualizaci vybraného programového vybavení od společnosti Microsoft ®. ZoKB ZoKB je v textu použitá zkratka zákona 181/2014 Sb. o kybernetické bezpečnosti. 77 Přílohy PŘÍLOHA 1: DOTAZNÍK ROZESLANÝ NA VYBRANÉ ORGANIZACE PŘÍLOHA 2: TABULKA DOŠLÝCH ODPOVĚDÍ A ZPRACOVANÝCH POROVNÁVACÍCH TABULEK PŘÍLOHA 3: KODEX SPRÁVCE Uvedené přílohy jsou uloženy na paměťovém médiu přiloženém k této práci. 78