UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE

Transkript

UNICORN COLLEGE
Katedra informačních technologií
BAKALÁŘSKÁ PRÁCE
Návrh bezpečnostní politiky informačních technologií
v prostředí středně velké společnosti
Autor BP: Jiří Kohout
Vedoucí BP: Ing. David Hartman Ph.D.
2015
Praha
Čestné prohlášení
Prohlašuji, že jsem svou bakalářskou práci na téma "Návrh bezpečnostní politiky informačních technologií v prostředí středně velké společnosti" vypracoval samostatně
pod vedením vedoucího bakalářské práce a výhradně s použitím odborné literatury
a dalších informačních zdrojů, které jsou v práci citovány a jsou také uvedeny v seznamu literatury a použitých zdrojů.
Jako autor této bakalářské práce dále prohlašuji, že v souvislosti s jejím vytvořením jsem neporušil autorská práva třetích osob a jsem si plně vědom následků porušení ustanovení § 11 a následujících autorského zákona č. 121/2000 Sb.
V Praze dne 8. 4. 2015
Jiří Kohout
Poděkování
Rád bych poděkoval vedoucímu mé práce, Ing. Davidu Hartmanovi Ph.D. za cenné
rady, které mi pomohly tuto práci dokončit.
Návrh bezpečnostní politiky informačních technologií v
prostředí středně velké společnosti
Proposal of security policy of information technology in
mid-sized companies
5
Abstrakt
Tato bakalářská práce se zabývá oblastí bezpečnosti ICT prostředí ve společnostech
působících na českém trhu. Poskytuje základní orientaci v oblasti norem rodiny
ISO/IEC 27000 a zákona 181/2014 Sb. o kybernetické bezpečnosti včetně navazujících a souvisejících předpisů, vyhlášek a nařízení. Přínosem práce je především návrh
struktury bezpečnostní politiky v oblasti bezpečnosti ICT, a to včetně doporučení jednotlivých technických řešení pro vybrané oblasti, ve snaze zajistit snazší zavedení
této politiky do praxe u společností, které nemají ambici získat certifikaci ISO/IEC
27001 nebo nejsou příjemci zákona o kybernetické bezpečnosti a přesto mají zájem
o zajištění elementární bezpečnosti v oblasti informací s minimální investiční náročností. Součástí práce je vyhodnocení provedeného dotazníkového šetření, které svými
výsledky poukazuje na dobrou míru znalostí v oblasti bezpečnosti ICT prostředí
u společností působících na českém trhu. Zároveň však potvrzuje, že k zajištění vysoké míry bezpečnosti ICT prostředí bude potřebný ještě relativně dlouhý vývoj v této
oblasti. Pozitivní zprávou pro společnosti působící v oblasti služeb ICT bezpečnosti je,
i přes určitou rozporuplnost plynoucí ze své podstaty, zjištění relativně vysoké míry
otevřenosti k outsourcingu správy a provozu bezpečnostních technologií, což je jeden
z velmi dobrých a důležitých předpokladů pro zvýšení bezpečnostního standardu
českých společností. Klíčovou roli v posunu směrem k všeobecně vyššímu zabezpečení prostředí ICT hrají nejen zaměstnanci, ale především vedení společností rozhodující o investicích do oblasti školení, úpravy interních procesů a nákupu, správy a dohledu bezpečnostních technologií.
Klíčová slova: bezpečnostní politika, ICT, informační technologie, ISO/IEC 27000,
ISO/IEC 27001, kybernetická bezpečnost, zákon o kybernetické bezpečnosti ČR
(181/2014 Sb.)
6
Abstrakt
This bachelor thesis deals with the area of safety of ICT environment at companies
operating in the Czech market. It provides the basic orientation in the area of standards of the family ISO/IEC 27000 and Act No. 181/2014 Coll., on Cyber Security, including successive and relating directives, regulations and provisions. The contribution of this thesis is above all the proposal of structure of security policy in the area of
ICT security, including the recommendations of individual technical solutions for selected areas, trying to ensure an easier introduction of this policy into the practice at
companies which do not have the aspiration to gain the certification ISO/IEC 27001
or are not receivers of Act on Cyber Security and still they are interested in the ensuring of elementary security in the area of information with minimal investment demandingness. Part of this thesis is the evaluation of the realized questionnaire inquiry
which by its results points to the good measure of knowledge in the area of security of
ICT environment at companies operating in the Czech market. At the same time it,
however, confirms that for the ensuring of a high factor of safety of ICT environment,
still a relatively long development in this area will be necessary. A positive message
for companies operating in the area of services of ICT security is, despite a certain
inconsistency resulting from its foundation, the finding of a relatively high measure of
openness to the outsourcing of the management and operation of safety technologies
which is one of very good and important groundwork for the increase of the safety
standard of Czech companies. A key role in the movement towards the generally
higher securing of ICT environment is played not only by employees, but also by the
management of companies deciding about investments in the area of training, modification of internal processes and purchase, management and supervision of safety
technologies.
Keywords: security policy, ICT, information technology, ISO/IEC 27000, ISO/IEC
27001, cyber security, law of Czech republic about cyber security (181/2014 Sb.)
7
Obsah
ÚVOD ........................................................................................................................................................10
1
DEFINICE POJMŮ V OBLASTI BEZPEČNOSTI PROSTŘEDÍ ICT ..............................................................14
2
POPIS ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI ...............................................................................18
3
4
5
6
2.1
DOPAD ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI ............................................................................................ 20
2.2
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI .................................................................................................... 21
2.3
VIS A KII A JEJICH URČUJÍCÍ KRITÉRIA .......................................................................................................... 23
POPIS A ANALÝZA NOREM RODINY ISO/IEC 27000 ...........................................................................25
3.1
POPIS ZÁKLADNÍCH NOREM SKUPINY ISO/IEC 27000 ................................................................................... 27
3.2
HLAVNÍ CÍLE NOREM SKUPINY ISO/IEC 27000 ............................................................................................ 28
3.3
OPATŘENÍ POŽADOVANÉ ISO/IEC 27001 .................................................................................................. 31
NÁVRH STRUKTURY BEZPEČNOSTNÍ POLITIKY A TECHNICKÝCH ŘEŠENÍ ............................................32
4.1
KONCOVÁ ZAŘÍZENÍ ................................................................................................................................. 39
4.2
SÍŤOVÝ PERIMETR ................................................................................................................................... 40
4.3
PŘENOSOVÉ/SÍŤOVÉ PROSTŘEDÍ ................................................................................................................ 41
4.4
INFORMAČNÍ SYSTÉMY ............................................................................................................................. 42
4.5
DATOVÁ CENTRA .................................................................................................................................... 43
4.6
PŘENOS DAT .......................................................................................................................................... 44
4.7
UŽIVATELÉ ............................................................................................................................................ 45
4.8
ADMINISTRÁTOŘI/SPRÁVCI ....................................................................................................................... 46
4.9
VEDENÍ SPOLEČNOSTI .............................................................................................................................. 47
POPIS DOTAZNÍKU PRO PRŮZKUM VNÍMÁNÍ BEZPEČNOSTI ICT .......................................................49
5.1
IDENTIFIKACE ADRESÁTŮ DOTAZNÍKU .......................................................................................................... 51
5.2
ANALÝZA ODPOVĚDÍ DOTAZNÍKU................................................................................................................ 52
CELKOVÉ ZHODNOCENÍ AKTUÁLNÍ SITUACE V OBLASTI BEZPEČNOSTI ..............................................62
ZÁVĚR ........................................................................................................................................................63
CONCLUSION .............................................................................................................................................65
SEZNAM ZDROJŮ .......................................................................................................................................67
SEZNAM OBRÁZKŮ ....................................................................................................................................71
SEZNAM TABULEK .....................................................................................................................................72
SEZNAM GRAFŮ ........................................................................................................................................73
SEZNAM ZKRATEK .....................................................................................................................................74
8
PŘÍLOHY ....................................................................................................................................................78
9
Úvod
Oblast bezpečnosti informačních a komunikačních technologií (dále také ICT) se
v současnosti stává stále častěji skloňovaným tématem. Může za to především rychlý
rozvoj ICT technologií, souvisejících služeb a informačních systémů (dále také IS) na
ICT závislých. ICT znamená neoddiskutovatelný přínos v efektivitě práce v mnoha
oblastech bez rozdílu společností co do předmětu podnikání, velikosti, systému organizace práce nebo řízení.
Informační systémy nabývají den ode dne na významu a zasahují do našich životů více, než se na první pohled může zdát. S Informačními systémy se setkáváme na
denní bázi na úřadech, v bankách, lékárnách. Jsou jimi řízeny policejní sbory, záchranné jednotky i armáda. [1] Informační systémy jsou naprosto neodmyslitelnou
denní součástí každého obyvatele moderního světa.
Den ode dne stoupá také využití Internetu [2] jako významného komunikačního média a zdroje množství informací, které jsou široce využívány ve všech oblastech
řízení, rozhodování a přípravy strategie společností. Internet poskytuje nejenom informace pro tato důležitá rozhodnutí, ale hraje významnou roli i jako komunikační
a prezentační/reklamní kanál. Činnost některých společností, jako jsou např. elektronické obchody, je na Internetu doslova životně závislá a představuje zdroj veškerých
příjmů společnosti.
Výpadek těchto důležitých, a mnohdy i naprosto pro běžný život zásadních,
služeb nejenom nečekáme, nepředpokládáme, ale následky dlouhodobého výpadku
přístupu k nejrůznějším informacím si mnohdy ani nedokážeme představit. Sám Internet, informační systém, nebo ICT všeobecně však není základní podstatou a předmětem ochrany z pohledu bezpečnosti. Jsou to právě informace – data uložená uvnitř
těchto systémů, poskytovaná veřejnosti nebo jednotlivcům jejich prostřednictvím.
Tato data je třeba chránit, tedy zajistit jejich neměnnost, integritu a dostupnost
[3], a to kdykoliv to bude nutné, nebo tato data bude požadovat kdokoliv, kdo je
k tomu oprávněný (autorizovaný). Ochrana dat by tak měla být nepřetržitá a všudypřítomná – musí být zajištěna nepřetržitě, tj. 24/7/365 (24 hodin denně, 7 dní
10
v týdnu, 365 dní v roce). Bezpečnost dat je velice úzce závislá na bezpečnosti veškerého technického vybavení a procesních postupů, které s těmito daty souvisí – na
bezpečnosti ICT prostředí. Bezpečnost ICT prostředí (jako soubor všech komponent,
technologií a prvků zajišťující běh datové sítě, všech poskytovaných služeb, konektivity do Internetu, procesními postupy apod.) je základním předpokladem pro bezpečnost uložených dat.
Bezpečnost dat není omezena na vnitřní (důvěryhodnou) nebo pouze vnější
(veřejnou) datovou síť. Data je nezbytné chránit jak vůči externímu přístupu (z Internetu), tak vůči neoprávněnému přístupu např. ze strany interních zaměstnanců přičemž rizika související s daty je možné nalézt v mnoha oblastech (od živelných katastrof až po nechtěnou nebo úmyslnou neodbornou změnu v IS ze strany uživatele).
Pokud bychom se zamýšleli nad mírou rizika z pohledu bezpečnosti dat, nutně
bychom museli dojít k závěru, že riziko narušení bezpečnosti dat stoupá s množstvím
subjektů, jež s nimi pracuje. Z tohoto pohledu je tak např. přímé vystavení chráněných
dat do veřejné sítě/Internetu bezpochyby hrubou chybou. Internet je však, z druhého
pohledu, klíčovým faktorem úspěchu mnoha společností a tak by oddělení od tohoto
způsobu komunikace, znamenalo pravděpodobně výraznou nevýhodu vůči konkurenci, s očekávatelným dopadem na hospodaření společnosti.
Vzhledem k faktu, že v jednu chvíli na Internetu komunikují miliony zařízení
[4] a toto prostředí je plné bezpečnostních hrozeb [5], je nutné toto prostředí dostatečně kvalitně oddělit od vnitřní datové sítě. I ta však představuje určitou hrozbu pro
bezpečnost dat, a to v podobě chtěné či nechtěné činnosti zaměstnanců, ale i z důvodu
možné přítomnosti virů a dalších programových kódů, které se v jakékoliv datové síti
mohou vyskytnout. Problematika selhání technického vybavení mající za následek
ztrátu dat, nebo krádeže vybavení, kde jsou data uložena (mobilní zařízení atd.), jsou
jen dalšími z mnoha hrozeb, se kterými je nutné se ze strany společností vypořádat.
Pro zajištění bezpečnosti dat je nezbytné dodržovat určitou minimální míru
ochrany. Tuto nezbytnost potvrzují i množící se události související s kybernetickými
útoky na finanční instituce, krádeže identit, čísel kreditních karet, přístupových údajů
do nejrůznějších IS, krádeže osobních informací apod. [6][7]
11
Snahy Evropské Unie, USA a dalších státních uskupení v definici určitého minimálního standardu v oblasti bezpečnosti ICT a organizování bezpečnostněkybernetických cvičení napříč státy a kontinenty [8], tuto nutnost dále potvrzují.
Vznikají CSIRT a CERT týmy specializující se na kybernetickou bezpečnost na úrovni
států [9][10], tak i v rámci soukromých společností beroucí již dnes bezpečnost ICT
prostředí vážně [11]. Bezpečnost dat je samozřejmě skloňována i v souvislosti
s kyberterorismem (aktivitami v oblasti kyberprostoru mající za cíl prostřednictvím
útoků na klíčové prvky kritické infrastruktury ohrozit nebo omezit chod států). Oblasti bezpečnosti dat je tedy nezbytné se začít velice intenzivně věnovat a nečekat na
první velký bezpečnostní incident – ostatně mnohé útoky byly již v minulosti zaznamenány [7], z nichž některé s rozsáhlým finančním dopadem [12].
Kroky globálně realizované v posledních letech v oblasti kybernetické bezpečnosti jsou v tomto ohledu více než výmluvné:
•
samotná existence bezpečnostních norem rodiny ISO/IEC 27001 a jejich
postupné celosvětové rozšiřování [13],
•
příprava bezpečnostního konceptu na úrovni EU předpokládající mezinárodní spolupráci [14],
•
realizace stále větších a komplexnějších kybernetických cvičení s mezinárodní účastí [15],
•
příprava a strategie akčního plánu České republiky až do roku 2020 [16],
•
příprava a schválení zákona o kybernetické bezpečnosti v České republice
[17],
•
a mnohé další.
Bezpečnost ICT prostředí by se měla neodmyslitelně stát součástí strategie
každého podniku. Všeobecně je však často problematika bezpečnosti ICT prostředí ze
strany vedení společnosti podceňována a je řešena až ve chvíli bezpečnostního incidentu. To již ale bývají data kompromitována, odcizena, nebo pozměněna tak, že je již
velice složité zabránit další související ztrátě – finanční či reputační [18].
12
V následujících kapitolách budou popsána doporučení a nezbytné kroky k zajištění bezpečnosti ICT prostředí a dat s cílem usnadnit společnostem aktivně bezpečnostním incidentům bránit a předcházet, nikoliv na ně pouze reagovat. Při návrhu
struktury bezpečnostní politiky (jako základnímu stavebnímu kameni celé bezpečnosti prostředí ICT a tedy i ochrany dat) je v této práci vycházeno z nově vzniklého
zákona 161/2014 Sb. o kybernetické bezpečnosti (dále jen ZoKB) a z norem rodiny
ISO/IEC 27000.
Dále je představeno vyhodnocení provedeného dotazníkového šetření, které
bylo zaměřeno na zjištění současného stavu povědomí o bezpečnostních principech
a nasazených technologiích napříč společnostmi působících na území České republiky, a to včetně zástupců veřejného sektoru.
13
1
Definice pojmů v oblasti bezpečnosti prostředí ICT
Oblast bezpečnosti a ochrany dat a informací již v současnosti představuje
specializovaný obor stále nabývající na důležitosti. V rámci vývoje tohoto oboru docházelo a stále dochází ke vzniku a upřesňování mnohých definic a pojmů. Požadavky
na bezpečnost informace (prostředí ve formě údajů o určitém stavu a s procesy
v něm probíhajícími [19]), resp. dat (opakovaně interpretovatelná formalizovaná podoba jakékoliv informace vhodná pro komunikaci, vyhodnocení nebo zpracování
[19]), která tyto informace plní je možné nalézt již v dávné lidské minulosti, kdy jedním z prvních zmínek o potřebě zajistit datům důvěrnost, tedy udržet data v okruhu
osob, jež jsou k nakládání s těmito daty autorizovány (tj. prevence neautorizovaného
vyzrazení nebo přístupu k datům) [3], byla zpráva předaná pomocí tajného písma
mezi Řekem Demaratusem a Spartou, ve které varoval Řeky o přípravě vojenské operace ze strany Peršanů pod vedením Xerxese v roce 480 př. n. l. a tím v podstatě zajistil vítězství Řeků díky jejich včasné přípravě na válečný konflikt [20].
Od té doby bylo vymyšleno a prolomeno mnoho pokusů o zabezpečení dat (jako jeden příklad za všechny je vhodné uvést šifrovací stroj Enigma1 využívaný ve 2.
Světové válce), ale s příchodem a rychlým rozvojem informačních technologií
(s téměř neomezenými možnostmi ukládání a modifikace dat), vyvstal požadavek
nejen na zajištění důvěrnosti dat, ale také na jejich integritu (zajištění neměnnosti/neporušitelnosti stavu dat, tj. udržení dat v čitelném stavu a ve stavu odpovídající
požadované skutečnosti) [3] a dostupnost (zajištění možnosti přístupu k datům kdykoliv to bude vyžadováno ze strany autorizovaných/oprávněných zákazníků, konzumentů dat apod.) [3] Soubor těchto tří požadavků je znám pod pojmem bezpečnost
informace. [3][19]
Informace jsou tzv. aktivem – to představuje jakýkoliv hmotný a nehmotný
majetek společnosti [19], který má potenciál k budoucímu využití a zhodnocení investice (např. finanční prostředky, zásoby na skladě, licence, softwarové a hardwarové
vybavení, smlouvy, auta a i zmíněné informace neboli data, apod.). Aktiva je třeba
1
http://cs.wikipedia.org/wiki/Enigma
14
chránit (protože mají pro jejich vlastníka hodnotu). Každé aktivum by mělo mít svého
vlastníka. Tento vlastník aktiva je jeho hlavním garantem – určuje jeho hodnotu, je
odpovědný za jeho chod a správnou konfiguraci, navrhuje případná ochranná opatření a vyhodnocuje jejich účinnost. Pro zajištění bezpečnosti dat definuje norma
ISO/IEC 27000 tzv. Information Security Management System (ISMS), což je část
celkového systému řízení organizace, založená na přístupu (organizace) k rizikům
činností, která je zaměřena na ustanovení, zavádění, provoz, monitorování, přezkoumání, údržbu a zlepšování bezpečnosti informací. Je to tedy systém pro ochranu informací. Jde o dokumentovaný a kontrolovaný soubor procesů k zajištění ochrany
informací s řízenými a kontrolovanými riziky. [21]
Na aktivum působí hrozby (představují scénář/sekvenci událostí s potenciálem poškodit aktiva nebo způsobit jinou, blíže nespecifikovanou, škodu.), které spolu
s dalšími okolnostmi definují riziko – míru ohrožení aktiva, míru nebezpečí, že se
uplatní hrozba a dojde k nežádoucímu výsledku vedoucímu ke vzniku škody. Lze ji
charakterizovat jako určité vyjádření pravděpodobnosti vzniku škody na daném aktivu. Riziko může být vztaženo k jednotlivým aktivům a jednotlivým hrozbám. [19] Míru rizika lze zmírnit opatřeními. Těch zná například ZoKB několik, a to informační
opatření (jsou opatření, která jsou na základě vydání NBÚ doručována povinným
osobám v souvislosti se ZoKB a nesou informaci o potenciální hrozbě nebo riziku
[22]), ochranná opatření (jsou opatření, která jsou ze strany povinných osob
v souvislosti se ZoKB provedena jako preventivní; požadavek na ochranná opatření
vydává NBÚ ve snaze odvrátit/zmírnit dopad hrozby.) [22] a reaktivní opatření
(jsou opatření, které je ze strany NBÚ uloženo k realizaci příjemcům ZoKB. Všeobecně
jde o aktivitu následující po bezpečnostním nebo jiném incidentu ve snaze zmírnit
jeho dopad např. zablokování komunikace do Internetu poté, co se zjistí aktivní únik
dat. Reaktivním je označeno z toho důvodu, že pouze reaguje na nastalé události.)
[22]
Aby bylo možné s daty efektivně pracovat, dochází ke slučování tematicky
souvisejících dat do „prostoru“ informačního systému, což je v podstatě systém vzájemně propojených informací a procesů, které s těmito informacemi pracují. [19] Informační systém je taktéž aktivum, jehož prostřednictvím jsou efektivně dostupné,
uchovávané a zpracovávané informace pro potřeby uživatelů systému (fyzičtí pra-
15
covníci, společnosti a další nejrůznější subjekty). Pro zajištění důvěrnosti dat je přístup k informačním systémům (ale i třeba k prostředkům ICT) zpravidla řízen tak,
aby se k datům dostal pouze oprávněný, tedy autorizovaný pracovník. Autorizace je
proces potvrzující právo na realizaci konkrétní operace (např. potvrzení, že má uživatel právo realizovat příkaz v Internetovém bankovnictví, právo zavolat konkrétní
funkčnost z nabídky aplikace nebo se přihlásit do informačního systému nebo osobního počítače apod.). Aby bylo možné uživatele autorizovat, je nutné ho identifikovat
– tedy zajistit, že přistupující osoba je skutečně ta, za kterou se vydává. Tento proces
je pojmenován autentizace, tedy ověřování uživatele (zpravidla za použití jména
a hesla příp. čipové karty nebo pomocí biometrických údajů – otisk prstu apod.).
Zřídka je možné se setkat se synonymy autentifikace nebo autentikace pocházející
původně z jiných jazyků (francouzština, angličtina). Autentizace je vázána na heslo,
které musí konkrétní osoba znát. To heslo by mělo být tzv. bezpečné heslo, tedy takové, které splňuje podmínku komplexnosti (tj. obsahuje minimálně tři z následujících typů znaků: malých, velkých písmen, číslic a speciálních znaků) o dostatečné délce (pro technologické účty, tj. účty, které nepodléhají časté změně hesla je doporučeno zvážit minimální délku hesla obzvlášť pečlivě). Délka hesla je v tomto případě
mnohem důležitější parametr než jeho komplexnost. [23]
Bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti
informací v informačních systémech nebo narušení bezpečnosti služeb nebo bezpečnosti a integrity sítí elektronických komunikací. [22] Jde tedy pouze o možnost tohoto
narušení. Naopak bezpečnostní incident již představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb nebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události. [22] Vztahem mezi aktivem, hrozbou, opatřením a rizikem se zabývá analýza rizik, která slouží k odhadu ztrát, které mohou vzniknout působením hrozeb na
aktiva systému a dává přehled o nebezpečnosti jednotlivých hrozeb, zranitelnostech
hodnoceného systému a rizicích, kterými je hodnocený systém vystaven. [19][24]
Analýza rizik je jedním ze základních stavebních kamenů při přípravě a realizaci ISMS
a je jedním ze základních procesů řízení bezpečnosti informací dle ITIL. Další analýzou, která se v souvislosti s celkovým přístupem k bezpečnosti dat používá je costbenefit analýza. Jedná se o analýzu nákladů a přínosů. Dává odpověď na otázku, zda
16
je zvolený a hodnocený přístup vhodný, a to nejen z pohledu finančního, ale i z pohledu sociologického a koncepčního. Veškeré vstupy do analýzy je třeba kvantifikovat
pro správné zhodnocení výsledku a možnosti srovnání. [25]
Všeobecně je ICT prostředí souhrnem všech komponent, technologií a prvků
zajišťující běh datové sítě, všech poskytovaných služeb, konektivity do Internetu
apod. Zahrnuje veškeré technické vybavení a souhrn procesních postupů souvisejících s provozem ICT technologií. Internet je možné vnímat jako kyberprostor, což je
virtuální svět vytvořený moderními technologickými prostředky (např. počítačem).
[26]
Pro účely tohoto dokumentu jsou dále použity pojmy: data (reprezentují jakoukoliv informaci v elektronické podobě mající pro jejího vlastníka či příjemce nějakou hodnotu; mohou mít podobu elektronického dokumentu, záznamu v databázi
apod.), inkrementální záloha (záloha dat, která využívá zálohování přírůstků, tj. pouze aktualizovaných nebo nově vytvořených dat, proti tzv. plné záloze, a to z důvodu
snížení nároku na datové úložiště; přírůstková záloha je závislá na, v čase nejbližší,
plné, záloze), plná záloha (obsahuje 100 % dat, která jsou předmětem zálohování)
a Open Source (jako Open Source je označeno takové programové vybavení, jehož
autor/autoři zpřístupnili zdrojový kód programu k volnému využití, tj. zdarma; v oblasti open source je možné se potkat s různými licenčními podmínkami, které mohou
ve specifických případech využití takto označeného programového vybavení omezovat).
17
2
Popis zákona o kybernetické bezpečnosti
V roce 2014 došlo ke schválení zákona 181/2014 Sb. o kybernetické bezpeč-
nosti [22], který upravuje povinnosti v oblasti zajištění bezpečnosti ICT velkého
množství subjektů z řad soukromoprávních, tak veřejnoprávních, resp. provozu
a správy kritické infrastruktury. Z tohoto pohledu je v ZoKB definováno množství požadavků, které jsou značně rozšířeny proti návrhu bezpečnostní politiky v této práci,
byť z nich tento návrh částečně vychází. V souvislosti se ZoKB stále přetrvává velká
neznalost mezi zástupci jednotlivých společností, zda jsou či nejsou příjemci tohoto
zákona. Toto tvrzení potvrzují i výstupy dotazníku v kapitole 5.2 - Analýza odpovědí
dotazníku. Na základě této skutečnosti je v následujícím textu ZoKB představen a jsou
popsány hlavní oblasti jeho dopadu, a to včetně určení povinných osob (fyzických
nebo právnických osob, jež jsou příjemci daného nařízení).
Hlavním cílem ZoKB, platném od 1. 1. 2015 je zajištění bezpečnosti informací –
tedy ochrana jejich důvěrnosti, integrity a dostupnosti. ZoKB cílí především na právní
subjekty (povinné osoby), mezi které patří „poskytovatele služeb elektronických komunikací a subjekty zajišťující síť elektronických komunikací“, „orgány nebo osoby
zajišťující významnou síť“, „správce informačního systému kritické informační infrastruktury“, „správce komunikačního systému kritické informační infrastruktury“
a „správci významného informačního systému“.
V souvislosti s povinnými osobami vyplývajícími ze zákona jsou známé ještě
dva pojmy, a to VIS (významný informační systém) a KII (kritická informační infrastruktura). Jedná se v podstatě o skupiny povinných osob dle své působnosti. VIS zahrnuje povinné osoby provozující/spravující významné informačními systémy a jde
výhradně o organizace státní správy.
KII zahrnuje osoby spojené s kritickou informační infrastrukturou (provozovanou soukromoprávními i veřejnoprávními subjekty).
ZoKB dále vysvětluje pojmy a popisuje oblasti bezpečnosti ICT, zákonné, informativní a reaktivní opatření, evidenci kybernetických bezpečnostních incidentů,
18
popis funkce národního a vládního CERT a v neposlední řadě i tzv. stav kybernetického nebezpečí.
Za
jiš
tě
ní
o
ch
ra
ny
Obrázek 1: Schéma dopadu kybernetického zákona
Zdroj: Vlastní zpracování s využitím uuBML 2
Stav kybernetického nebezpečí (stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost informací v informačních systémech nebo bezpečnost a integrita služeb nebo sítí elektronických komunikací a tím by mohlo dojít k porušení nebo došlo k
ohrožení zájmu České republiky ve smyslu zákona upravujícího ochranu utajovaných
informací [22]), může být vyhlášen ředitelem NBÚ, přičemž jeho dopad bude mít za
následek rozšíření povinností (možnost vydat rozhodnutí nebo opatření obecné povahy) pro poskytovatele služeb elektronických komunikací a subjektů zajišťující síť
elektronických komunikací o aplikaci reaktivního opatření (uloženého ze strany
NBÚ), a to i přesto, že nejde o povinné osoby ze skupiny VIS nebo KII.
V ZoKB je ustanoveno roční tzv. přechodné období. Toto období je vyhrazeno
pro faktickou přípravu povinných osob na velkou většinu požadavků ZoKB, nicméně
toto přechodné období neplatí pro všechny požadavky ze ZoKB vyplývající. Od
1. 1. 2016 budou moci zástupci NBÚ doručovat rozhodnutí (informativní, ochranné
2
https://unicornuniverse.eu/cz/uubml.html
19
a reaktivní opatření), která budou muset povinné osoby bezodkladně vykonat. Zástupci NBÚ budou provádět namátkové kontroly shody stavu prostředí ICT s požadavky ZoKB. Nesplnění povinností je finančně sankcionováno s tím, že tato sankce
může být udělena opakovaně. Za každé jedno nesplnění povinností může být uložena
pokuta až do výše 100 000 Kč. Nesplnění povinnosti v oblasti kontaktních informací
(poskytnutí kontaktních informací na odpovědnou osobu v rámci organizace/subjektu ze skupiny povinných osob) je sankcionováno částkou 10 000 Kč. [22]
Všeobecně však ZoKB nespecifikuje jednotlivé povinnosti přímo a také neurčuje významné informační systémy nebo prvky kritické infrastruktury. Tato funkce je
přenechána vyhláškám náležící k zákonu, a to tzv. určující a standardizační vyhlášce.
V případě prvků kritické infrastruktury se zákon odvolává na nařízení vlády
432/2010 Sb. částečně novelizované nařízením vlády 315/2014 Sb.
2.1
Dopad zákona o kybernetické bezpečnosti
V souvislosti s realizací změn na základě požadavků ZoKB je možné očekávat množství problémů v souvislosti s uváděním těchto požadavků do praxe, a to jak technického, tak organizačního rázu.
Organizační opatření mohou vyžadovat výraznou změnu interních procesů
společnosti směrem k rodině norem ISO/IEC 27000. Změna systému řízení, oběhu
formálně řízených dokumentů a v případě KII i vznik nových funkcí, přinesou jistě
nemalé finanční výdaje a provozní či organizační komplikace.
Technická opatření jsou z pohledu zavádění do praxe jednoduší, nicméně nákup technického vybavení může znamenat, alespoň ve státních podnicích, problémy
s výběrovými řízeními, odvoláváním potenciálních dodavatelů apod., čímž se doba
realizace taktéž prodlouží. Některá technická opatření navíc vyžadují časově náročnou přípravu a implementaci, neboť jejich integrace do ICT prostředí a zajištění jejich
optimálního chodu není triviálním úkolem – např. technologie IPS (Intrusion Prevention System) nebo SIEM (Security Information and Event Monitoring) vyžadují před
plnou funkčností velice podrobné sledování aktuálního dění na datové síti, které je
významným vstupem pro následnou konfiguraci řešení.
20
Další dopad bude představovat personální kvalifikované obsazení pozic provádějící dohled těchto systémů – bez služeb dohledu a kvalifikované konfigurace je
velká většina, ze ZoKB požadovaných, technologií pouze kusem techniky nepřinášející
kýžený užitek.
2.2
Vyhláška o kybernetické bezpečnosti
Tzv. standardizační vyhláška (316/2014 Sb.) je částečným derivátem norem rodiny
ISO/IEC 27000. Tvůrci ZoKB se normou z velké části inspirovali a dokonce umožnily
společnostem držícím certifikát ISO/IEC 27001 snazší prokázání shody s požadavky
ZoKB.
Standardizační vyhláška popisuje rámcově povinnosti v oblasti bezpečnosti
procesů v organizaci, nezbytné technické prostředky pro zabezpečení bezpečnosti
informačních technologií a také požadavky na dokumentaci k výše uvedeným oblastem. Celkové množství těchto požadavků/opatření je 238, z toho je 214 opatření pro
KII a 116 pro VIS (společných opatření je 93) [27].
Skutečnost, že z pohledu dopadových oblastí jde více o požadavky organizačního charakteru, nežli technického, potvrzuje všeobecně známé rčení, že „bezpečnost
je o lidech“. Nejrůznější technologické vybavení a sebevýkonnější technické zázemí
nepomůže zvýšení bezpečnosti, pokud není správně dimenzováno, konfigurováno,
dokumentováno a provozováno.
Obrázek 2: Členění opatření kybernetického zákona
Zdroj: Vlastní zpracování s využitím uuBML2
21
Jednotlivá opatření jsou součástí vyhlášky 316/2014 Sb. o bezpečnostních
opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních
a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti. Uvedu zde pro
přehlednost jednotlivé oblasti, do kterých tato opatření spadají, a to včetně počtu
opatření v každé oblasti.
Tabulka 1: Technická opatření a jejich počty
Oblast opatření
Počet opatření
fyzická bezpečnost
5
nástroj pro ochranu integrity komunikačních sítí
5
nástroj pro ověřování identity uživatelů
5
nástroj pro řízení přístupových oprávnění
3
nástroj pro ochranu před škodlivým kódem
6
nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů
12
nástroj pro detekci kybernetických bezpečnostních událostí
4
nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí
5
aplikační bezpečnost
3
kryptografické prostředky
6
nástroj pro zajišťování úrovně dostupnosti
6
bezpečnost průmyslových a řídicích systémů
5
Tabulka 2: Organizační opatření a jejich počty
Oblast opatření
Počet opatření
systém řízení bezpečnosti informací
12
řízení rizik
43
bezpečnostní politika
35
organizační bezpečnost
8
stanovení bezpečnostních požadavků pro dodavatele
4
řízení aktiv
12
22
bezpečnost lidských zdrojů
9
řízení provozu a komunikací
17
řízení přístupu a bezpečné chování uživatelů
8
akvizice vývoj a údržba
4
zvládání kybernetických bezpečnostních událostí a incidentů
5
řízení kontinuity činností
13
kontrola a audit KII a VIS
4
Požadavky na dokumentaci
Dokumentace musí obsahovat podklady pro vnitřní audit, přezkumy, metodiku identifikace a hodnocení rizik, prohlášení o aplikovatelnosti, plán zvládání rizik, rozvoj
bezpečnostního povědomí, zvládání bezpečnostních incidentů, strategie řízení kontinuity a přehled obecně závazných právních předpisů.
Evidence záznamů prováděných činností musí být bezpečně uložena a dokumentována.
2.3
VIS a KII a jejich určující kritéria
Tzv. určující vyhláška (317/2014 Sb. o významných informačních systémech a jejich
určujících kritériích) definuje taxativním výčtem jednotlivé významné informační
systémy (VIS). Dále umožňuje dodatečné určení VIS pomocí tzv. oblastních a dopadových kritérií, která počet VIS dále rozšiřují. [28] Informační systémy, které nejsou
určené touto vyhláškou, mohou být ještě zařazeny mezi prvky KII. Prvky KII nejsou
omezeny, na rozdíl od VIS, na striktně soukromoprávní nebo subjekty veřejné správy
(subjekty VIS jsou výhradně systémy státní správy).
Prvky KII jsou definovány tzv. odvětvovými a průřezovými kritérii. Splněním
obou kritérií se zařazuje předmětný komunikační nebo informační systém na seznam
KII a začíná se na něj vztahovat i ZoKB, resp. na povinné osoby, jež jsou správci tohoto
komunikačního, případně informačního systému. Pokud pro takto určený prvek existují další podpůrné systémy, na kterých je funkčnost závislá, jsou i tyto podpůrné systémy prvkem KII. O definici průřezových kritérií se stará nařízení vlády 432/2010 Sb.
23
[1], odvětvová kritéria byla k 1. 1. 2015 novelizována s ohledem na ZoKB a týká se
jich tak nařízení vlády 315/2014 Sb. [29] Kompletní seznam těchto prvků není veřejně dostupný z důvodu jeho kritičnosti z pohledu bezpečnosti.
Samotné ztotožnění povinných osob (identifikace, zda je subjekt příjemcem
ZoKB) v oblastech VIS a KII může usnadnit diagram dostupný na webových stránkách
Národního centra pro kybernetickou bezpečnost (NCKB), a to samostatně pro VIS3
a pro KII4.
3
4
http://www.govcert.cz/download/nodeid-714/
http://www.govcert.cz/download/nodeid-673/
24
3
Popis a analýza norem rodiny ISO/IEC 27000
Jak již bylo zmíněno v předchozí kapitole, ZoKB vychází ze své velké části z norem
rodiny ISO/IEC 27000. Tyto normy definují soubor opatření pro ochranu informačních
aktiv a jsou uznávaným standardem v oblasti zajištění bezpečnosti ICT prostředí a dat
jako takových. Pro společnosti, které nejsou příjemci ZoKB a přesto požadují vysokou
úroveň bezpečnosti ICT založenou na mezinárodně platném standardu, je určena následující kapitola. Ta stručně popisuje oblasti dopadu a členění norem rodiny ISO/IEC
27000 a poskytuje tak základní orientaci, jak by měla být norma chápána a jaké jsou
její klíčové části.
Rodina norem ISO/IEC 27000, je k dispozici od roku 2005, kdy vznikla norma
ISO/IEC 27001 definující soubor opatření pro ochranu informačních aktiv. Celá rodina těchto norem je rozdělena na tematické části, které popisuje následující diagram:
Obrázek 3: Normy skupiny ISO/IEC 27000:2014
zdroj: ISO/IEC 27000:2014
25
Pro větší přehlednost vazeb mezi jednotlivými normami uvádím i přehled norem rodiny ISO/IEC 27000 z roku 2005 (tj. starší verzi přehledu):
Obrázek 4: Normy skupiny ISO/IEC 27000:2009
zdroj: ISO/IEC 27000:2009
Všeobecně je rodina norem ISO/IEC 27000 členěna do množství, na sebe navazujících a doplňujících, specifických částí, které jako celek zajišťují standardizovaný
přístup k zajištění bezpečnosti informací (ISMS). Celkově jsou normy děleny do čtyř
oblastí: definice terminologie, obecné požadavky, pokyny/doporučení a část požadavků a doporučení specifických pro vybrané sektory (telekomunikace, zdraví, …).
Z pohledu stanoveného cíle v této práci se budu převážně věnovat ISO/IEC 27000
jako základnímu nosnému rámci a ISO/IEC 27001 + ISO/IEC 27002. Další normy rodiny 27000 jsou podpůrné a mohou pomoci s implementací ISMS v rámci společností,
nicméně pro tuto práci je jejich popis nad rámec zvoleného tématu.
26
3.1
Popis základních norem skupiny ISO/IEC 27000
ISO/IEC 27000:2014
Norma ISO/IEC 27000 (Informační technologie – Bezpečnostní techniky – Systémy
management bezpečnosti informací – Přehled a slovník) obsahuje termíny a definice
použité v rodině norem ISO/IEC 27000.
V oblasti bezpečnosti informací, jako specifického oboru, vzniká množství termínů a bylo třeba standardizovat jejich význam. Norma do značné míry nahrazuje
definice v již publikovaných normách rodiny ISO/IEC 27000 a do značné míry v souvisejících normách ISO/IEC Guide 2:1996 “Standardization and related activities –
General vocabulary”, ISO/IEC Guide 73:2002 “Risk management – Vocabulary –
Guidelines for use in standards” ISO/IEC 2382-8: “Information technology - Vocabulary Part 8: Security” a standardu věnovanému jakosti ISO/IEC 9000. [30]
První vydání normy ISO/IEC 27000 bylo publikováno v roce 2009. Aktuální,
třetí vydání normy, je z roku 2014. [30]
ISO/IEC 27001:2013
Norma ISO/IEC 27001:2013 (Informační technologie – Bezpečnostní techniky – Systémy management bezpečnosti informací – Požadavky) poskytuje doporučení jak
aplikovat vybraná opatření ISO/IEC 27002 v rámci procesu ustavení provozu údržby
a zlepšování systému managementu bezpečnosti informací (ISMS) v souladu se systémy řízení kvality nebo bezpečnosti prostředí. [19] První verze této normy byla oficiálně publikována 15. října 2005, kdy nahradila její předchozí verzi známou pod
označením BS7799-2:2002. [31]
Norma popisuje vhodný systém řízení, strukturu a procesy pro řízení bezpečnosti informací podle opatření definovaných v ISO/IEC 27002. Organizace mohou na
základě hodnocení rizik z ISO/IEC 27002 vybrat přesně ta opatření, která jsou aplikovatelná v jejich prostředí. Z tohoto důvodu jsou také hlavní části ISO/IEC 27002 uvedeny v příloze ISO/IEC 27001. Podle ISO/IEC 27001 mohou organizace definovat rozsah certifikovaného systému. Správná definice ISMS je kritickým krokem při jeho zavádění v organizaci. Pokud je systém řízení bezpečnosti informací zaveden pouze
v určité části organizace, vydaný certifikát je platný právě pro tuto část nikoli pro ce27
lou organizaci. [30] Toto je oblast, která se přímo dotýká ZoKB, kde splnění požadavků zákona s pomocí certifikace ISO/IEC 27001 vyžaduje, aby hranice certifikace ISO
zahrnovaly i všechny VIS a KII v organizaci (tedy aby byly hranice ISMS minimálně
tak široké, jaké jsou požadavky na tyto hranice ze strany ZoKB – tedy identifikované
chráněné informační systémy).
ISO/IEC 27002:2013
Norma ISO/IEC 27002:2013 (Informační technologie – Bezpečnostní techniky – Soubor postupů pro management bezpečnosti informací) je sbírka nejlepších bezpečnostních praktik a může být využita jako kontrolní seznam všeho správného, co je
nutno pro bezpečnost informací v organizaci udělat. [31]
14 oddílů normy ISO/IEC 27002:2013 definuje 35 cílů - opatření pro ochranu
informačních aktiv proti narušení jejich důvěrnosti, dostupnosti a integrity. V podstatě tato opatření zahrnují funkční požadavky pro architekturu bezpečnosti informací
organizace. [31]
ISO/IEC 27002 také popisuje nejlepší praktiky pro zajištění bezpečnosti informací, které by organizace měla vzít úvahu. Nová verze normy obsahuje 114 "základních" opatření (v předchozí verzi normy z roku 2005 to bylo 133), které se, ale ve
skutečnosti dále rozpadají na stovky specifických bezpečnostních opatření. [31]
3.2
Hlavní cíle norem skupiny ISO/IEC 27000
Z výpisu hlavních norem, jimž se v této práci věnuji, je zřejmé, že základní nosnou
myšlenkou a cílem celé skupiny norem ISO/IEC 27000 je zajištění systému řízení
bezpečnosti informací (ISMS). Systém řízení bezpečnosti informací je definován jako:
„Systém řízení bezpečnosti informací poskytuje model pro vytváření, zavádění,
provoz, monitorování, přezkoumávání, udržování a zlepšování ochrany informačních aktiv k dosažení obchodních cílů na základě vyhodnocení rizik a limitů přijatelnosti rizik, které jsou navrženy organizací tak, aby byla rizika efektivně řešena
a řízena.“ [30]
K dosažení (a následnému udržení) tohoto cíle je normou doporučeno využití Demingova cyklu – modelu Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act neboli PDCA
28
cyklu). Jedná se o metodu postupného zlepšování například kvality výrobků, služeb,
procesů, aplikací a dat. [19] Tento model je aplikován na všechny procesy ISMS pro
trvalé zlepšování stavu všech částí ISMS.
Obrázek 5: PDCA cyklus
Oblast „plánuj“
Náplní oblasti plánování je vytvořit plán/záměr, který máme v úmyslu realizovat. Pro
zdárné dokončení této část je doporučena realizace následujících aktivit:
•
Stanovit rozsah a hranice ISMS (musí být jasně řečeno, kde bude zaváděn
a tedy jaká aktiva již do ISMS nepatří)
•
Definovat metodiku hodnocení rizik (zajištění porovnatelnosti a reprodukovatelnosti výsledků)
•
Provést analýzu rizik (identifikovat a kvantifikovat aktiva, hrozby, zranitelnosti a výsledné riziko)
•
Zvolit vhodný způsob zvládání rizik (ustanovit proces vypořádávání se s riziky)
•
Vybrat vhodná bezpečnostní opatření (pomocí cost-benefit analýzy)
•
Určit jakým způsobem bude měřena účinnost bezpečnostních opatření [32]
•
Získat souhlas vedení organizace se způsobem zvládání jednotlivých rizik
a implementací bezpečnostních opatření (formální deklarace podpory ISMS
ze strany vedení společnosti a souhlas s navrženými opatřeními)
29
Oblast „dělej“
Náplní oblasti „dělej“ je realizace plánu na základě předchozí aktivity „plánuj“. V části
tohoto PDCA cyklu je nezbytná realizace následujících aktivit:
•
Formulovat plán zvládání rizik
•
Zavést bezpečnostní opatření (za účelem snížení rizika na přijatelnou úroveň)
•
Zpracovat bezpečnostní politiku, standardy a směrnice, které budou vycházet
z identifikovaných rizik, vybraných opatření a cílů organizace
•
Zvyšovat bezpečnostní povědomí mezi zaměstnanci (formou kurzů, školení
a šíření osvěty) [32]
Oblast „kontroluj“
Ověření výsledku realizace (části „dělej“) vůči části „plánuj“ se věnuje část PDCA cyklu
„kontroluj“. Do této části lze zahrnout následující aktivity:
•
Monitorovat funkčnost zavedených opatření
•
V pravidelných intervalech opakovat analýzu rizik (při jakékoliv signifikantní změně; na pomezí oblasti kontroluj a jednej)
•
Provádět interní audity (na pomezí oblasti kontroluj a jednej) [32]
Oblast „jednej“
Část „jednej“ se věnuje úpravě záměru i vlastního provedení na základě ověření
a plošná implementace zlepšení do praxe. [19] Aktivity spadající do této části cyklu
PDCA jsou:
•
Zavádět nová a účinnější opatření (na základě analýzy rizik, interních auditů
a měření účinnosti jednotlivých opatření; základní princip zlepšování metodou PDCA)
•
Aktualizovat a optimalizovat jednotlivé postupy a související dokumenty [32]
•
Vyhodnocovat funkčnost zavedených opatření a navrhovat kroky vedoucí
k dalšímu zlepšení
30
•
V pravidelných intervalech opakovat analýzu rizik (při jakékoliv signifikantní změně; na pomezí oblasti kontroluj a jednej)
•
3.3
Provádět interní audity (na pomezí oblasti kontroluj a jednej)
Opatření požadované ISO/IEC 27001
Bezpečnostní opatření normy ISO/IES 27001 lze z pohledu dopadu rozdělit do jednotlivých oblastí. Ty stručně shrnuje následující tabulka:
Tabulka 3: Přehled opatření vyžadovaná normou ISO/IEC 27001
Oblast opatření
Počet opatření
bezpečnostní politika
2
organizace bezpečnosti
11
klasifikace řízení aktiv
5
bezpečnost lidských zdrojů
9
fyzická bezpečnost a bezpečnost prostředí
13
řízení komunikací a řízení provozu
32
řízení přístupu
25
nákup, vývoj a údržba informačního systému
16
zvládání bezpečnostních incidentů
5
řízení kontinuity činnosti organizace
5
soulad s požadavky
10
Doporučení, jak jednotlivá opatření zavést, jsou pak detailně popsána
v ISO/IEC 27002.
31
4
Návrh struktury bezpečnostní politiky a technických řešení
Bezpečnostní politika společnosti je základní dokument, od kterého se odvíjí další
procesy a pravidla omezující/definující činnosti uživatelů, správců a vedení společnosti z pohledu bezpečnosti ICT. Měla by tedy obsahovat takové definice, které by
měly dostačovat požadované úrovni bezpečnosti očekávané ze strany vedení společnosti tak, aby byla chráněna všechna klíčová aktiva společnosti a zároveň byly investice do této oblasti smysluplné (např. investice do zabezpečení by v žádném případě
neměla převýšit cenu aktiva). Bezpečnostní politika nesmí být v rozporu
s organizačním řádem společnosti a dalšími interními předpisy. Z výše uvedeného
vyplývá, že struktura (a související pravidla) bezpečnostní politiky je dána obchodní
potřebou vedení společnosti, stávajícími předpisy a zvyklostmi v organizaci a není tak
možné připravit univerzální šablonu. Pro příjemce ZoKB je struktura bezpečnostní
politiky doporučena v příloze 4 vyhlášky 316/2014 Sb. (Struktura bezpečnostní dokumentace), bod I (Struktura bezpečnostní politiky), nicméně tato struktura bude pro
společnosti nespadající mezi příjemce ZoKB, rozsáhlejší, nežli je nezbytně nutné
(např. stanovuje pravidla pro čtyři bezpečnostní role, nebo oblast zpracování osobních údajů, která nemusí být vlastní každé společnosti). Samotná konkrétní pravidla,
která by měla být z pohledu naplnění ZoKB v bezpečnostní politice uvedena, jsou všeobecně popsána právě ve vyhlášce 316/2014 Sb. a jsou v přehledu popsána v kapitole
2 - Popis zákona o kybernetické bezpečnosti.
Struktura bezpečnostní politiky je tedy částečně stanovena/doporučena pro
organizace podléhající regulaci dle ZoKB. Stejně tak je z velké části zřejmý obsah bezpečnostní politiky společnosti mající zájem o získání certifikace ISO/IEC 27001, a to
na základě obsahu této normy a dále dle popsaných vybraných nejlepších postupů
(best-practice) v normě ISO/IEC 27002.
Pro další společnosti, které nemají ambice získat v dohledné budoucnosti certifikaci ISO/IEC 27001, zároveň nejsou povinné osoby z pohledu ZoKB a přesto mají
zájem o zajištění elementární úrovně bezpečnosti, je v této kapitole uvedena „základní sada“ bezpečnosti tak, aby byla zajištěna alespoň minimální úroveň bezpečnosti
informací ve společnosti. Tato sada částečně vychází z doporučení normy ISO/IEC
32
27002 a ze znění vyhlášky 316/2014 Sb. související se ZoKB, nicméně je ještě rozšířena o pravidla lehce aplikovatelná v prostředí středně velké společnosti, která mají
na základě mé dosavadní praxe, signifikantní dopad na bezpečnost celého ICT prostředí a o návrh programového vybavení, které je možné pro zajištění požadavků využít. I přes snahu vytvořit všeobecně a plošně platný vzor bezpečnostní politiky, vždy
budou hrát roli rozdíly mezi společnostmi v takové míře, že není možné se následujícím výčtem bezmezně řídit.
Předložený návrh struktury a souvisejících doporučení/opatření bezpečnostní
politiky by měl významně usnadnit tvorbu bezpečnostní politiky osobám odpovědným za oblast bezpečnosti ICT prostředí ve společnosti. Ti mohou pouze malou změnou samotného textu dosáhnout takového znění bezpečnostní politiky, které bude co
nejvíce vyhovovat specifickým požadavkům konkrétní společnosti. Ze své podstaty
dále bezpečnostní politika zasahuje do činností jednotlivých zaměstnanců, kteří by
s obsahem bezpečnostní politiky měli být taktéž seznámeni. A to nejen z důvodu znalosti nových interních pravidel, ale i z pohledu seznámení se s komplikovaností zajištění bezpečnosti ICT prostředí. Pro vedení společnosti, jako hlavního garanta bezpečnosti ve společnosti, je seznámení se s obsahem, jeho schválením a následně uvolněním nezbytných prostředků, naprosto zásadní nutností. Deklarovaná podpora vedení
společnosti tomuto dokumentu a bezpečnosti ICT všeobecně (bez ohledu na působnost nebo velikost společnosti), je základním předpokladem úspěchu. Bez podpory
vedení společnosti a pochopení základních principů a důvodů ochran, je zajištění
bezpečnosti ICT ve společnosti velice obtížně realizovatelné, ne-li nemožné. Opět se
zde ukazuje fakt, že je v oblasti bezpečnosti ICT mnohem důležitější člověk (osvěta
u uživatelů využívajících datovou síť a její prostředky a ochota vedení společnosti
naslouchat v oblasti ICT bezpečnosti odborným pracovníkům) než technologie.
Pokud se budeme zabývat bezpečností jakékoliv datové sítě, vždy je možné
dekomponovat tuto síť na množství menších logických celků, které se budou snáze
chránit a pro které bude možné specifikovat konkrétní opatření. Ve své praxi se velice
často setkávám s požadavkem: „Potřebujeme zabezpečit naši datovou síť.“, nicméně
konkrétní oblast je zřídkakdy zmíněna. Abychom mohli efektivně splnit uvedený požadavek, budeme muset takto velký úkol, v podobě zabezpečení celé sítě, rozdělit na
33
několik menších. V tomto případě bychom mohli vnímat jako základní body zájmu,
kde by mělo docházet k zabezpečení, následovně:
Koncová zařízení – jedná se o „jednu stranu vstupu do datového síťového
prostředí“. Jde o zařízení, kterými disponují sami uživatelé a do jisté míry je mohou
ovlivňovat. V současnosti to již není pouze osobní počítač, ale mnohdy např. přenosný
notebook, tablet případně mobilní telefon (dále také mobilní zařízení). Tato zařízení
díky své mobilitě často cestují spolu s uživatelem a využívají mnohých typů datových
připojení do Internetu (veřejné WiFi přístupové body, domácí připojení přes lokální
nebo globální ADSL/WiFi poskytovatele, připojení přes mobilního operátora apod.),
nebo do společnosti jako takové (opět přes Internet pomocí uvedených datových připojení).
Obrázek 6: Koncová zařízení
Síťový perimetr – jde o „druhou stranu vstupu do datového síťového prostředí“. Síťový perimetr bychom si mohli představit, jako hlavní bránu kudy prochází
veškeré požadavky na obsah/komunikaci od zaměstnanců a dalších síťově aktivních
komponent do Internetu, nebo všeobecně do sítě mimo naši působnost (datová síť, ve
které nemáme dostatečný přehled o dění a nemáme možnost správy prvků podílejících se na zajištění chodu datové sítě, by měla být považována za nebezpečnou, a to
bez ohledu na to, zda jde o Internet jako takový, nebo např. o místní rozvody v rámci
budovy, které jsou spravovány místním poskytovatelem a kde je typicky tato síť využívána více společnostmi). Je to oblast na „okraji“ naší důvěryhodné sítě, do které je
možné zařadit např. firewally oddělující veřejnou síť od demilitarizované zóny a od
zóny důvěryhodné, demilitarizovanou zónu jako takovou, směrovače, systémy detekce průniku do datové sítě (IDS) apod.)
34
Obrázek 7: Síťový perimetr
Přenosové/síťové prostředí – představuje veškeré komponenty zajišťující
datovou konektivitu mezi jednotlivými segmenty a koncovými uživateli/zařízeními
datové sítě. Mohou to být například směrovače, firewally, ale také samotná kabeláž,
nebo bezdrátová datová pojítka (WiFi přístupové body).
Obrázek 8: Přenosové/síťové prostředí
Informační systémy – jsou programové vybavení umožňující uživatelům pracovat s informacemi a datovými objekty uloženými uvnitř těchto informačních systémů za účelem zvýšení efektivnosti společnosti v oblastech, které dané informační systémy pokrývají. Mohou být instalovány v datovém centru společnosti, ale
v současnosti není výjimkou ani využívání těchto systémů jako služby, tzv. SaaS5.
Obrázek 9: Informační systém
5
http://cs.wikipedia.org/wiki/Software_as_a_service
35
Datová centra – je prostor, kde je soustředěno technické vybavení zajišťující
chod datové sítě, informačních systémů a dalších služeb datové sítě. Mělo by jít o fyzicky chráněnou a neveřejnou oblast, kde je umístěna ICT technika.
Obrázek 10: Datové centrum
Přenos dat – přenos dat probíhá při jakékoliv činnosti, kdy data putují mezi
dvěma koncovými body nebo informačními systémy prostřednictvím fyzického datového nosiče nebo pomocí datové sítě (bezdrátové, metalické, optické, aj.).
Obrázek 11: Přenos dat
Uživatelé – jsou klíčovým faktorem v oblasti bezpečnosti. Velká většina kybernetických incidentů souvisí s aktivitou uživatelů datové sítě a v ní poskytovaných
služeb. Bezpečnostní incidenty vedené z vnitřní sítě samotnými uživateli jsou většinou úspěšnější a mnohdy s větším dopadem na samotnou společnost, nežli útoky vedené z veřejné sítě (v oblasti bezpečnosti ICT prostředí jsou často upřednostňována
řešení chránící primárně aktiva společnosti vůči vnějším útokům, oblast vnitřního
zabezpečení je často podceňována).
36
Obrázek 12: Uživatel
Administrátoři/správci – jsou uživatelé disponující vyššími právy k prvkům
ICT prostředí, než uživatelé (správci typicky spravují informační systémy; administrátoři se starají primárně o chod datové infrastruktury). Právě díky vyšším přístupovým právům bývá často získání přístupu do datové sítě nebo IS cílem útoku. Tyto přístupové údaje je nezbytné adekvátně chránit. Před poskytnutím přístupových údajů
novému administrátorovi/správci by měl být kladen větší důraz na prověření jeho
pracovní a osobní minulosti, a to včetně referencí od bývalého zaměstnavatele. Správci mají typicky nejvyšší práva při správě ICT prostředí a jejich vyzrazení, případně
chování v rozporu s etickým kodexem správce6,7 může být pro společnost výrazným
faktorem obchodního úspěchu/neúspěchu společnosti. V extrémním případě může
dojít, na základě jednání administrátora/správce, až k zániku společnosti. Administrátoři/správci by měli mít na paměti, že ICT je ve společnosti využíváno k vyšší efektivitě obchodních procesů a mělo by tak reflektovat požadavky obchodu, které jsou na
ICT prostředí kladeny – toto bývá zpravidla ze strany administrátorů/správců vnímáno opačně.
Obrázek 13: Administrátor/správce
6
7
http://www.abclinuxu.cz/blog/kenyho_stesky/2013/7/eticky-kodex-spravce
https://lopsa.org/CodeOfEthics
37
Vedení společnosti – je odpovědné za celkový přístup k bezpečnosti ICT prostředí. Mělo by podporovat bezpečnost ICT prostředí a veřejně (v rámci společnosti)
deklarovat podporu v oblasti bezpečnosti. Stejně tak by mělo být obeznámeno
s bezpečnostními principy a faktory, které bezpečnost ICT prostředí ovlivňují. Jako
zástupci skupiny uživatelů, kteří mají nejdůvěrnější informace o chodu společnosti,
by měli být mezi prvními, kteří by měli bezpečnostní principy a definovaná nařízení
dodržovat. Vedení společnosti by dále mělo schvalovat bezpečnostní politiku a vytvářet prostředí, které podporuje zvyšování povědomí a kvalifikace v oblasti bezpečnosti
u svých zaměstnanců.
Na úrovni vedení společnosti by se měly řešit bezpečnostní incidenty mající
potenciál jakkoliv ohrozit chod společnosti a přijímat rozhodnutí o protiopatřeních,
která jsou navržena vlastníky aktiv. Prostředí ICT by mělo reflektovat obchodní požadavky, které by se právě na společných poradách vedení společnosti a zástupců administrátorů/správců měly diskutovat. Propojení obchodní vize a oblasti ICT je klíčové nejen z pohledu bezpečnosti, ale i z pohledu prosperity společnosti jako takové
(bezchybný provoz ICT prostředí se významnou měrou podílí na efektivitě celé společnosti).
Obrázek 14: Vedení společnosti
Výše uvedené části ICT prostředí jsou vlastní téměř každé společnosti. Jsou to
zároveň oblasti, kde je vhodné bezpečnost vynucovat stanovením závazných pravidel
a kde to má z pohledu řízení bezpečnosti smysl. V každé z uvedených oblastí existují
specifické požadavky na technické vybavení i organizační procesy. Pro jednotlivé oblasti následuje výčet bezpečnostních a organizačních opatření, které jsou z mého pohledu, a na základě mých zkušeností, vhodné k zavedení a představují buď velice silnou úroveň ochrany, nebo velice dobrý poměr ceny pořízení k výslednému „výkonu“,
tzn. v důsledku ke kvalitnímu zajištění bezpečnosti informací. Pro každou oblast jsou
38
uvedeny základní doporučující body/opatření, které zvyšují celkově bezpečnost ICT
prostředí. U vybraných bodů je zmíněna i varianta dostupné technologie (programové
nebo technické vybavení).
4.1
Koncová zařízení
•
Přístup ke koncovému zařízení je chráněn přístupovým heslem (např. PIN
u mobilního telefonu, heslo pro přístup k operačnímu systému notebooku
apod.).
•
Pokud je možné zařízení sdílet mezi více uživateli, je vyžadována identifikace tohoto uživatele (např. jméno a heslo pro přístup do osobního počítače).
•
Přístupové heslo do zařízení je pravidelně měněno, a to nejméně jednou za
rok.
•
Zařízení využívá poslední dostupné verze programového vybavení, a to
včetně operačního systému (např. je aktivován automatický příjem a instalace aktualizací výrobce operačního systému, nebo aktivní centrální aktualizační systém WSUS – Windows System Update Services8).
•
Zařízení je používáno výhradně pro pracovní účely a pouze uživatelem
k tomu oprávněným (pracovní počítač nesmí být např. sdílen s dětmi pro
hraní her apod.).
•
Koncové zařízení má aktivní a aktualizovaný antivirový systém (např. open
source antivirus ClamAV9).
•
Pokud nemá mobilní koncové zařízení implementováno šifrování obsahu
chráněného heslem na úrovni datového úložiště (např. pomocí BitLocker10
nebo bezplatného šifrovacího programového vybavení VeraCrypt11) a data
na zařízení umístěná nejsou zálohována, nesmí být na veřejném nebo poloveřejném místě ponecháno bez dozoru odpovědné osoby (např. v autě,
konferenci apod.).
https://technet.microsoft.com/cs-cz/windowsserver/bb332157
http://www.clamav.net/index.html
10 http://windows.microsoft.com/cs-cz/windows7/products/features/bitlocker
11 https://veracrypt.codeplex.com/
8
9
39
•
Data uložená na přenosném zařízení jsou vždy zálohována na alternativní
datový nosič nebo jiné datové úložiště (např. firemní diskové pole, případně externí pevný disk apod.)
•
Pokud to povaha opatření umožňuje a jsou využívány technologie pro
vzdálenou správu koncových zařízení, jsou výše uvedená opatření centrálně kontrolována a vynucována.
4.2
Síťový perimetr
•
Na okraji datové sítě směrem do/z veřejné datové sítě nebo do/z nedůvěryhodného prostředí (perimetr) je vždy instalován firewall (např. zařízení
ZyXEL ZyWALL USG 2012).
•
Veškeré přístupové údaje standardně nastavené od výrobce u všech prvků
ICT prostředí nesmí být ponechány ve výchozím stavu, tj. musí být změněny na bezpečné heslo.
•
Konfigurace firewallu se řídí pravidlem „Deny by default13“ (tzn., pokud
není datová komunikace implicitně definována - a tedy dovolena nebo jinak
řízena, je zakázána), a to i pro odchozí datové toky (směrem z místní sítě).
•
Konfigurace firewallu je dokumentována a její změna podléhá změnovému
požadavku (každá změna konfigurace je schválena odpovědným pracovníkem a popsána, a to včetně důvodu uvedení konkrétního pravidla).
•
Je zřízena tzv. demilitarizovaná zóna (DMZ14) ve které jsou umístěny základní komunikační servery (např. vizualizované) jako jsou mail servery,
webové servery, webové proxy servery apod.
•
Segment DMZ je logicky oddělen (využitím VLAN15) tak, aby komunikace
z Internetu musela vždy procházet 2x přes firewall (tzv. zapojení firewallů
do kaskády).
http://www.zyxel.com/us/en/products_services/usg_200_100_plus_100_50_20w_20.shtml?t=p
http://itlaw.wikia.com/wiki/Deny_by_default
14 http://cs.wikipedia.org/wiki/DMZ
15 http://cs.wikipedia.org/wiki/VLAN
12
13
40
•
Na perimetru datové sítě je instalována technologie pro prevenci (nebo
alespoň detekci) průniků (IDS/IPS16). Záznamy jsou pravidelně kontrolovány a nové detekované hrozby vyhodnocovány, a to minimálně v měsíční
periodě.
4.3
Přenosové/síťové prostředí
•
Správa (management) každého prvku, který je na datové síti dostupný a tuto správu poskytuje (tiskárny, přepínače, směrovače, opakovače, atd.) je
chráněn bezpečným heslem a komunikace je prováděna, pokud to samotný
prvek umožňuje, šifrovaně (např. přes HTTPS17spojení).
•
Správcovské rozhraní (interface) každého prvku v datové síti směřuje do
tzv. management VLAN (přístup na rozhraní správy by mělo být neoprávněným uživatelům technicky znemožněno).
•
Management VLAN je dostupná pouze pro administrátory/správce datové
sítě.
•
Oblasti, kde jsou fyzicky aktivní prvky datové sítě umístěny, nejsou veřejně
přístupné, a to ani zaměstnancům společnosti. Výjimkou jsou držitele patřičného oprávnění.
•
Každý nevyužitý fyzický datový konektor situovaný ve veřejných prostorách společnosti je deaktivovaný.
•
Bezdrátové sítě využívají šifrování provozu WPA2 (IEEE 802.11i18) a pro
přístup do této sítě je použito bezpečné heslo.
•
Přístupový bod bezdrátové sítě je nakonfigurován tak, aby vynucoval tzv.
client isolation19 (funkce zakazující přímou komunikaci mezi klienty bezdrátové sítě), pokud to tento prvek umožňuje.
http://cs.wikipedia.org/wiki/Syst%C3%A9m_prevence_pr%C5%AFniku
http://cs.wikipedia.org/wiki/HTTPS
18 http://cs.wikipedia.org/wiki/IEEE_802.11i
19 http://www.wirelessisolation.com/
16
17
41
•
Vysílací výkon přístupového bodu je nastaven tak, aby zbytečně nepokrýval
svým signálem oblasti, které jsou situovány mimo prostory vyžadující pokrytí tímto signálem.
•
Jednotlivé logické segmenty sítě (provoz, výroba, DMZ, management apod.)
jsou navzájem logicky odděleny pomocí VLAN.
•
Datové toky mezi jednotlivými VLAN jsou povoleny pouze v nezbytně nutné míře.
4.4
Informační systémy
•
Každý IS má určeného vlastníka.
•
Přístup každého uživatele do IS je chráněn bezpečným heslem.
•
Přístupové heslo do IS je pravidelně měněno, a to nejméně jednou za rok.
•
IS je provozován v poslední verzi programového vybavení, která je dostupná, nebo alespoň v takové verzi, která nemá známé bezpečnostní slabiny.
•
Před uvedením testovaného IS do běžného provozu jsou revidována komunikační pravidla na firewallu, která mohla vzniknout z důvodu testování
funkčnosti IS
•
Podpora IS je zajištěna dle SLA s ohledem na požadavky vedení společnosti
na dostupnost tohoto informačního systému.
•
Data IS, případně informační systém jako takový, je pravidelně zálohován
minimálně ¼ roku zpětně, a to minimálně dle schématu grandfatherfather-son20 (tento typ zálohování poskytuje v krátké historii denní zálohy,
ve střednědobé historii zálohy týdenní a v dlouhodobé historii měsíční zálohy; inkrementální zálohy v části „son“ jsou povolené).
•
Data záloh jsou pravidelně testována na možnost správné obnovy, a to minimálně jednou za rok.
•
20
IS jsou provozovány v souladu s licenčními podmínkami výrobce.
http://en.wikipedia.org/wiki/Backup_rotation_scheme
42
4.5
Datová centra
•
Přístup do datového centra (serverové místnosti) je kontrolovaný a jednotlivé vstupy se evidují.
•
Samotné prostory datového centra jsou chráněny mechanickými prostředky zabraňující vstupu neoprávněným osobám.
•
Datové centrum je vybaveno záložním zdrojem, který dokáže udržet
v chodu veškeré klíčové komponenty, a to minimálně 20 min. od výpadku
elektrického proudu (např. pomocí APC Smart-UPS 5000VA21).
•
Jednotlivé technologie/servery, jsou konfigurovány tak, aby v případě výpadku elektrického proudu došlo k jejich zastavení, a to v takovém pořadí,
které nebude mít dopad na integritu dat (např. dojde nejdříve k zastavení
aplikačního serveru a následně databáze apod.).
•
Je vytvořen a nasazen popis postupu startování jednotlivých technologií/serverů v případě obnovení dodávky elektrického proudu (např. pomocí APC Switched Rack PDU22).
•
Datové centrum je vybaveno klimatizační jednotkou o dostatečném výkonu
pro zajištění stálé teploty a vlhkosti (v případě venkovního výparníku je
tento výparník certifikován pro podnebí, ve kterém je provozován, aby nemohlo dojít např. k zamrznutí chladiva)
•
Elektrické napájení klimatizační jednotky je zajištěno pomocí dostatečné
výkonného záložního zdroje elektrické energie.
•
Klimatizační
jednotka umožňuje
signalizaci
poruchy administráto-
rům/správcům sítě, nebo je její jednotka zdvojena (je možné využití tzv.
sekundárního alarmu v podobě čidla teploty s vestavěnou signalizací).
•
Datové centrum je vybaveno čidlem kouře a požáru. V případě místnosti
s okny i detektory tříštěného skla nebo pohybu.
21
22
http://www.apc.com/products/resource/include/techspec_index.cfm?base_sku=SUA5000RMI5U
http://www.apc.com/products/resource/include/techspec_index.cfm?base_sku=AP7900
43
•
Programové vybavení datového centra na všech serverech je provozováno
v souladu s licenčními podmínkami výrobce.
•
V případě klíčového aktiva (serveru, databáze, informačního systému
apod.), které vyžaduje vysokou dostupnost (nutnost dostupnosti provozu
vyšší, než 99 %), jsou všechny komponenty na kterých je aktivum závislé,
zdvojeny (konektivita do datové sítě, aktivní prvky, záložní zdroje apod.).
4.6
Přenos dat
•
Důvěrná data společnosti nejsou bez souhlasu odpovědných pracovníků
společnosti jakoukoliv formou přenášena mimo bezpečnou lokální datovou
síť (nejsou odesílána na e-mailové servery, přenášena do počítačů ve vlastnictví uživatele, nahrávána na webová úložiště, ukládána na soukromá datová fyzická média apod.).
•
Pokud je služba e-mailu provozována formou outsourcingu (např. využitím
cloudových služeb, příp. freemail serverů mezi jednotlivými zaměstnanci
sítě), je doporučeno využití end-to-end šifrování typu S/MIME23,
PGP24/GnuPG25 apod.
•
Pro přístup ke službám využívaných koncovými zařízeními jsou využity šifrované verze protokolů. (např. TLS šifrování pro SMTP/IMAP/POP3 služby
e-mailu, SFTP pro přístup na firemní FTP server apod.)
•
Obsah e-mailových zpráv je centrálně nebo lokálně kontrolován s ohledem
na nevyžádanou poštu (SPAM) a přítomnost škodlivých kódů/virů.
•
Pro přenos dat na datovém nosiči mezi lokalitami je využito šifrování souborů, a to buď ve formě, bezpečným heslem chráněného, komprimovaného
archivu (7Zip26, WinRAR27, apod.), nebo jakoukoliv formou diskového šifrování (VeraCrypt28, BitLocker29, apod.)
http://en.wikipedia.org/wiki/S/MIME
http://www.pgp.cz/
25 https://www.gnupg.org/
26 http://www.7-zip.org
27 http://www.rar.cz/
28 https://veracrypt.codeplex.com/
29 http://windows.microsoft.com/cs-cz/windows7/products/features/bitlocker
23
24
44
4.7
Uživatelé
•
Uživatelé jsou pravidelně školení v oblasti bezpečnosti a jsou poučeni o interních pravidlech v oblasti ICT prostředí a obsahu bezpečnostní politiky.
•
Uživatelé nesdělují nikomu svá bezpečná hesla, a to ani nadřízenému, administrátorovi nebo správci datové sítě.
•
Uživatelé svá hesla nezapisují v dostupném okolí počítače (kalendáře, poznámkové bloky, apod.; je možné využití programového vybavení pro tento
typ poznámek, např. KeePass30).
•
Uživatelé bez souhlasu administrátorů/správců nebo vedení společnosti
neinstalují na koncová zařízení jakékoliv programové vybavení, a to ani takové, které je šířeno na základě bezplatné nebo volné licence (programové
vybavení neschválené v rámci společnosti může představovat riziko odcizení dat případně jejich ztráty v důsledku činnosti neproškolených osob).
•
Vzdálení uživatele od osobního počítače může být provedeno až po
uzamčení obrazovky tak, aby bylo zabráněno neoprávněnému přístupu
dalších osob do systému v kontextu nepřítomného uživatele.
•
V případě podezření uživatele na prozrazení hesla je uživatel povinen toto
heslo bez odkladu změnit na jiné bezpečné heslo, které není doposud použito a v minulosti ani použito nebylo (hesla by měla být jedinečná).
•
Využívané osobní certifikáty jsou v operačním systému instalovány s tzv.
zvýšenou ochranou (každé použití certifikátu vyžaduje zadání PIN pro přístup k certifikátu; tento PIN je znám pouze vlastníkovi certifikátu – uživateli na jehož jméno je certifikát vystaven).
•
V případě jakéhokoliv podezření na porušení pravidel bezpečnostní politiky, podezřelého chování programů, podvodné příchozí zprávy apod. jsou
uživatelé povinni informovat o tomto chování odpovědnou osobu, typicky
administrátora/správce, nebo jinou osobu pověřenou řešení oblasti bezpečnosti ICT prostředí.
30
http://keepass.info/
45
4.8
Administrátoři/správci
Administrátoři/správci mají stejné povinnosti jako uživatelé, nicméně jejich povinnosti se dále rozšiřují, a to následovně:
•
Řídí se etickým kodexem správce/administrátora31,32(kodex je součástí příloh této práce).
•
Nesdělují hesla k jakémukoliv IS nebo komponentě sítě a nepožadují sdělení jakýchkoliv přístupových údajů od uživatelů.
•
Zajišťují hladký chod IS, datové sítě včetně všech aktivních prvků a komponent.
•
Nepracují rutinně v kontextu doménového nebo lokálního administrátora.
•
Práva pro správu uživatelských stanic jsou oddělena od práva na správu
domény.
•
Vedou heslovitý zápis o realizovaných úkonech souvisejících s konfigurací
ICT prostředí s označením času provedení (tzv. provozní deník umožňuje
přesné dohledání místa a času chyby, a to včetně stanovení odpovědné
osoby; v provozním deníku by měly být zejména informace o restartech
a změnách v konfiguracích serverů apod.).
•
Vedou dokumentaci aktuálního stavu datové sítě, IS, aktivních, bezpečnostních a jiných prvků prostředí ICT apod., a to jak logického, tak fyzického.
•
Veškeré přístupové údaje použité administrátory/správci pro výkon své
činnosti jsou uložena v programu k tomu určenému (např. KeePass33) a databáze tohoto programu je zálohována. Heslo k jejímu otevření je uloženo
a zapečetěno v trezoru společnosti (použití tohoto hesla zpochybňuje osobu administrátora jako jediného správce ICT prostředí a mělo by tak být
využito pouze v případě nouze, nikoliv rutinně).
http://www.abclinuxu.cz/blog/kenyho_stesky/2013/7/eticky-kodex-spravce
https://lopsa.org/CodeOfEthics
33 http://keepass.info/
31
32
46
•
Neuvádějí přístupové údaje v otevřeném textu do skriptů, které vytvářejí
v souvislosti se svou činností.
•
Správci systémů postupují při přidělování/odebírání rolí uživatelům v IS
dle definovaného procesu (předcházení situace, kdy pracovník po ukončení
spolupráce, má stále přístupy do systémů původního zaměstnavatele).
•
Administrátoři/správci informují uživatele o službách sítě (např. prostřednictvím interního informačního věstníku nebo e-mailem), a to hlavně
o službách zajišťující zálohování uživatelských dat (např. jaké složky jsou
automaticky zálohovány apod.).
•
Administrátoři garantují bezpečné smazání dat (tzv. wipe34) u vyřazované
techniky, a to pomocí specializovaných programů (např. programem
dban35 s minimálně jedním přepsáním původních dat).
•
Administrátoři/správci – provádí dohled datové sítě, jednotlivých aktivních
prvků a serverů (např. programy Nagios36, Zabbix37) a na základě obdržených informací predikují nutnost posilování výkonu jednotlivých komponent tak, aby byl zajištěn bezvadný chod celého ICT prostředí. Tuto nutnost
eskalují na vedení společnosti s dostatečným předstihem.
•
Vedení ICT oddělení aktivně diskutuje se zástupci vedení společnosti o řešených problémech v oblasti ICT prostředí, informuje o rizicích a hrozbách
spojených s provozem datové sítě a celého ICT prostředí.
4.9
Vedení společnosti
Zástupci vedení společnosti mají stejné povinnosti jako uživatelé, nicméně jejich povinnosti se dále rozšiřují, a to následovně:
•
Vedení společnosti otevřeně podporuje bezpečnost ICT.
•
Organizuje pro zaměstnance školení v oblasti ICT bezpečnosti (je možné
zajistit vlastními zdroji).
http://en.wikipedia.org/wiki/Wiping
http://www.dban.org/
36 http://www.nagios.org/
37 http://www.zabbix.com/
34
35
47
•
Organizuje pravidelná setkání se zástupci administrátorů/správců.
•
Naslouchá odborným pracovníkům a vyhodnocuje představené hrozby
a s nimi související riziko.
•
Informuje zástupce administrátorů/správců o obchodním záměru tak, aby
ICT prostředí umožnilo hladký chod obchodních procesů.
•
Nepožadují sdělení jakýchkoliv přístupových údajů od uživatelů
•
Vedení společnosti nemá běžný přístup k administrátorským nebo správcovským právům k IS a dalším prvkům ICT prostředí (tato přístupová práva jsou uložena v trezoru v šifrované databázi a přístup k nim je možné využít pouze v extrémní situaci nebo nouzi).
•
Pokud je to možné, zajistí oddělení odpovědnosti za oblast provozu a za oblast bezpečnosti (provoz bývá hlavním zájmem společnosti na základě čehož může docházet k obcházení bezpečnostních pravidel z důvodu zajištění
provozu; tento stav je z pohledu bezpečnosti ICT prostředí rizikový a uvedené pravidlo je základem pro potlačení tohoto stavu)
48
5
Popis dotazníku pro průzkum vnímání bezpečnosti ICT
V souvislosti s doporučeními jsem provedl průzkum stavu vnímání a povědomí
o bezpečnosti ICT prostředí mezi vybranými subjekty působící na českém trhu, příp.
v oblasti veřejnoprávních institucí. Dotazník je koncipován tak, aby odpověděl na základní otázky v oblasti bezpečnosti ICT, které jsou předpokladem pro kvalitní správu
a bezpečnost informací. Otázky byly zvoleny tak, aby bylo identifikováno poměrové
množství společností, které by mohli být případnými příjemci návrhu bezpečnostní
politiky uvedené v této práci, a zároveň dává odpověď na otázku, jak je celkově rozšířeno povědomí o bezpečnostních principech v oblasti výpočetní techniky.
Tabulka 4: Otázky v dotazníku a důvody jejich uvedení
Otázka v dotazníku
Důvod uvedení otázky
Velikost podniku?
Velikost podniku hraje klíčovou roli ve vnímání bezpečnosti ICT
jako takové. Pokusím se dokázat, že vybavenost technikou a povědomí o bezpečnosti ICT prostředí s velikostí podniku stoupá.
Kolik orientačně využíváte ve společnosti počítačů?
Z korelace počtu počítačů a počtu zaměstnanců vyvozuji závěr jak
moc je společnost zaměřena na ICT technologie.
Týká se Vás zákon
181/2014 Sb. o kybernetické bezpečnosti?
Společnosti s přímým dopadem ZoKB by měli dosahovat vyššího
hodnoceni z pohledu bezpečnosti, neboť se jedná o významné
nebo kritické systémy a jistá úroveň bezpečnosti je očekávána.
Je vaše společnost držitelem certifikace
ISO/IEC 27001?
Certifikace ISO/IEC 27001 dává tušit, že společnost je již plně na
ZoKB připravena a má tak veškeré nutné náležitosti bezpečnosti
vyřešeny – včetně bezpečnostní politiky ICT (hranice certifikace
nejsou v této otázce zohledněny a mohou mít vliv na míru připravenosti držitele certifikace na ZoKB).
Je u Vás zavedena bezpečnostní politika ICT?
Sleduji zde rozpor mezi certifikací, připraveností na ZoKB a úroveň bezpečnostního povědomí ve společnostech.
Vedení společnosti formálně deklarovalo podporu k udržování a vytváření podmínek pro
zajištění bezpečnosti
informací.
Formální deklarace podpory pro zajištění bezpečnosti informací/bezpečnosti ICT prostředí je základním stavebním kamenem
celé bezpečnostní politiky. Bez vyslovené podpory ze strany vedení společnosti je zajištění bezpečnosti velice komplikované.
Zaznamenala Vaše spo- Bezpečnost ICT prostředí je zpravidla více řešena ve společnoslečnost v průběhu minu- tech se zaznamenanými kybernetickými událostmi. Tento vztah
lého roku bezpečnostní
49
incident?
se snažím dokázat.
Máte zaveden proces
řešení bezpečnostních
incidentů?
V případě, že jsou bezpečnostní incidenty časté nebo běžné, je
pravděpodobné zavedení procesu řešení bezpečnostních incidentů.
Jsou zaměstnanci pravidelně školeni v oblasti
bezpečnosti ICT?
Školení zaměstnanců je jedním z důležitých faktorů zajištění bezpečnosti ICT, neboť velké množství kybernetických útoků je snáze
realizovatelných ve spolupráci (i neuvědomělé) ze strany zaměstnanců. Osvěta v oblasti bezpečnosti ICT je základním předpokladem vyšší úrovně bezpečnosti ICT prostředí v celé společnosti.
Jsou otázky bezpečnosti
ICT pravidelně projednávány na úrovni vedení společnosti?
Moderní společnosti využívají IT jako podpůrný prostředek pro
sledování obchodních cílů společnosti. Naslouchání zástupcům
vedení IT oddělení na nejvyšší úrovni managementu je známka
vysoké úrovně znalostí ze strany zástupců řízení společnosti. Můj
dotaz je zde uveden z důvodu snahy zjistit úroveň znalostí
v oblasti ICT bezpečnosti na úrovních vrcholového managementu.
Máte zpracovánu aktuální analýzu rizik?
Analýza rizik je základem pro určení jaká aktiva zasluhují a vyžadují prioritní pozornost a ochranu. Zároveň odpovídá částečně na
otázku, jak vysoké prostředky by měly být do realizaci ochranných opatření vloženy. Zpracovaná analýza rizik je tedy klíčovým
předpokladem správného řízení rizik, které je z pohledu bezpečnosti ICT prostředí nezbytný.
Klasifikujete aktiva z
pohledu bezpečnosti (a
v jaké míře) včetně stanovení jejich vlastníka?
Vlastník aktiva je klíčová role při stanovení důležitosti aktiva
a pro identifikaci možných ochranných opatření. Má z pohledu
bezpečnosti klíčové rozhodovací pravomoci, ale i odpovědnost.
Nestanovení vlastníka znamená snížení bezpečnosti a v případě
bezpečnostního incidentu složité hledání odpovědné osoby za
nedostatečnou ochranu. Otázkou se snažím zjistit míru povědomí
o bezpečnostních procesech a o odhadovaném stupni zajištění
aktiv proti hrozbám.
Kolik osob je přímo odpovědných za bezpečnost ICT prostředí ve
společnosti?
Bezpečnost ICT by měla být delegována na osobu mimo strukturu
provozu – provoz a bezpečnost jsou požadavky jdoucí proti sobě
a vlivem požadavku na provoz poté dochází k bagatelizaci bezpečnostních incidentů a snížení bezpečnostních požadavků. Existence konkrétní osoby odpovědné např. za definici vlastníků aktiv
apod., je další základní předpoklad pro kvalitní a efektivně fungující bezpečnost ICT.
Využíváte pro ochranu
datové sítě technologie
IDS/IPS a SIEM?
Absence IPS v síti je klíčovou bezpečnostní chybou, neboť téměř
žádná jiná technologie nedokáže spolehlivě detekovat (a zabránit) nechtěné datové komunikaci (malware, kybernetické útoky,
protokolové anomálie apod.). Absence SIEM ve větších organizacích znamená jen obtížnou detekci relevantních bezpečnostních
incidentů, neboť množství zaznamenaných událostí všemi technologickými bezpečnostními prostředky je většinou tak vysoké,
že kvalitní vyhodnocování těchto událostí lidskými silami je
v reálně nemožné.
50
Provozujete ve společnosti SCADA systémy?
SCADA systémy dávají tušit výrobní prostředí ve společnosti. Tyto
společnosti jsou většinou na provozu a bezpečnosti SCADA systémů z velké části závislí, neboť výrobní procesy jsou hlavní a
klíčové aktivity k realizování zisku společnosti. Bezpečnost těchto
společností je tak očekávána vyšší, než je standardní.
Jak často realizujete
penetrační testování
(bez rozlišení typu, počtu informačních systémů apod.)
Množství aktivních bezpečnostních prvků a jejich monitoring je
důležitým předpokladem pro adekvátní reakci na bezpečnostní
incidenty. Vektory případného kybernetického útoku jsou však
různé a je vhodné reagovat na nové trendy v této oblasti a stávající infrastrukturu proti případným novým zranitelnostem testovat.
Vedlejším efektem penetračního testování je ověření interních
procesů související s kybernetickými událostmi. V minulosti realizovaná penetrační testování dávají tušit hluboké povědomí o
bezpečnosti ICT ve společnosti.
Máte pocit, že je možné
bezpečnost ICT outsourcovat?
Velká většina společností má problémy se zajištěním dostatečně
kvalitních pracovníků v oblasti bezpečnosti a tak se outsourcing
těchto služeb stále více prosazuje. Mnohé společnosti jsou však
skeptičtí k outsourcingu klíčových bezpečnostních prvků a jejich
dohledu. Otázka je snahou zjistit, jak se k tomuto fenoménu staví
oslovené společnosti.
5.1
Identifikace adresátů dotazníku
Jako referenční seznam společností aktivních v oblasti informačních technologiích
(mající e-mail) jsem zvolil server http://www.firmy.cz společnosti Seznam.cz, a.s.
V každé z 1014 kategorií, do kterých server společnosti třídí, jsem vybral dva zástupce, kteří byly umístěny na prvních místech seznamu konkrétní kategorie. Tento seznam je náhodně řazen a tak jsou v seznamu adresátů zastoupeny společnosti všech
regionů ČR, názvů a působnosti. V případě, že byla společnost zobrazena ve více kategoriích, byla vynechána a byl použit další seznam (v seznamu tedy neexistují duplicity
adresátů z pohledu společností). Kompletní seznam takto sebraných e-mailových adres včetně identifikace všech kategorií je součástí přílohy této bakalářské práce.
Takto vytvořený seznam adresátů dotazníku obsahoval i kontakty směřující na
tzv. freemail servery poskytující funkcionalitu e-mailů zdarma či za drobný poplatek.
Tyto společnosti byly, na základě důvodného podezření že nemají vytvořeno řízené
ICT prostředí, z obeslání vynechány. Celkově se jednalo o 244 z 1980 kontaktů. Dotazník byl tedy rozeslán na 1736 e-mailových adres. Z důvodu neexistujícího adresáta
nebo problému s doručením bylo vyloučeno dalších 25 kontaktních adres.
51
V dotazníkovém šetření bylo ke 12. 3. 2015 obdrženo 136 odpovědí, z nichž
bylo pro zpracování použito pouze 74 (počet odpovědí uvedených v dotazníku u těchto společností přesahoval více jak 50 %), nad nimiž byla provedena analýza odpovědí
popsaná v další kapitole. Počet obdržených odpovědí odpovídá očekávání, neboť drtivá většina společností je v oblasti bezpečnosti velice nedůvěřivá a odpovědi na dotazy
jsou odesílány pouze výjimečně. Na základě této skutečnosti považuji počet úspěšnost
obdržení vyplněných dotazníku do 5 % za velice dobrý, i přesto, že toto množství zcela nepostačuje pro bezchybnou analýzu. I přes tento fakt považuji výsledky dotazníkového šetření za zajímavé, a to právě vzhledem k velmi malé ochotě společností poskytovat v této oblasti jakékoliv údaje.
5.2
Analýza odpovědí dotazníku
Odpovědi v oblasti dotazníkového šetření jsou rozděleny primárně dle velikosti společnosti a zvolených odpovědí v konkrétní otázce. Pro základní přehled o rozsahu obdržených odpovědí pojednává následující tabulka (Tabulka 5: Velikost společností
poskytnuvší informace):
Tabulka 5: Velikost společností poskytnuvší informace
Počet
dotazníků
Počet PC
(průměr)
Počet
odpovědí
(průměr)
malá
střední
velká
33
18
23
13
359
2437
15
16
16
Odpovědělo
74
Velikost
Velké společnosti zahrnují např. zástupce resortů veřejných služeb, nebo velké
soukromoprávní subjekty. Průměrně tyto subjekty mají 2437 osobních počítačů. Malé
společnosti naopak využívají pouze okolo 13 počítačů. Určitá neznalost v oblasti ICT
bezpečnosti se projevila u těchto subjektů mnohem výrazněji, než ukazuje tabulka –
velké množství odpovědí neobsahovalo požadovaných 50 % odpovědí pro zařazení
do srovnání a byly tak odstraněny. I tak je však počet malých společností zastoupen
v porovnání se středními a velkými dostatečně, což ukazuje na převažující počet těchto společností v prostředí České Republiky. Zároveň je zřejmá nižší míra znalosti
v této oblasti, což je předpokládatelné a pochopitelné.
52
Další tabulka (Tabulka 6: Vztah mezi společnostmi z pohledu ZoKB, ISO/IEC
27001 a politiky ICT) ukazuje vazbu mezi velikostí společnosti, vlastnictví certifikace
ISO/IEC 27001, ZoKB a zavedení bezpečnostní politiky.
Tabulka 6: Vztah mezi společnostmi z pohledu ZoKB, ISO/IEC 27001 a politiky ICT
Velikost a
odpověď
malá
ne
ano
nevím
střední
ne
ano
nevím
velká
ne
ano
nevím
Odpovědělo
Příjemci ZoKB
Certifikace
ISO/IEC 27001
Zavedena
politika ICT
8
6
19
28
1
4
23
4
6
8
1
9
13
2
3
10
6
2
9
13
1
22
0
1
5
17
1
74
74
74
Za povšimnutí stojí disproporce mezi příjemci zákona u malých společností (resp.
neznalosti zda jsou příjemci ZoKB) a zároveň malý podíl společností mající v této oblasti vytvořenu bezpečnostní politiku. I samotný fakt dopadu ZoKB na malé společnosti je zajímavý a nabízí se otázka, zda jsou odpovědi odrazem skutečnosti či neznalosti ze strany dotazník vyplňující osoby. U velkých společností je naopak velice pozitivní fakt existence bezpečnostní politiky i mimo subjekty, kteří jsou příjemci ZoKB.
Zajímavá je i skutečnost rozšíření certifikace ISO/IEC 27001 spíše u středních a menších společností, nežli u velkých. V tomto ohledu se projevuje nemalá finanční náročnost zavedení normalizovaných a formálních postupů vyžadovaných v rámci certifikace ISO/IEC 27001 napříč velkými společnostmi. Alarmující je naopak množství společností, jež nemají jistotu v otázce dopadu ZoKB.
53
Graf 1: Zavedení bezpečnostní politiky ICT
Politika bezpečnosti ICT
je zavedena
není zavedena
48%
88%
89%
52%
12%
11%
malá
střední
velká
Podobně žalostný je i stav přijetí/existence bezpečnostní politiky středních
společností (Graf 1: Zavedení bezpečnostní politiky ICT). Určitá absence bezpečnostní
politiky u malých subjektů je opět pochopitelná vzhledem k průměru 13 osobních
počítačů na společnost. Na první pohled vysoká hodnota u společností velkých je však
také velice špatný výsledek – velké společnosti bez takovéto politiky mohou mít výrazné mezery v oblasti procesního zajištění bezpečnosti. Velké společnosti navíc disponují důvěrnými daty ve větším rozsahu, nežli společnosti menší (např. v oblasti
osobních údajů) a tak je absence bezpečnostní politiky velice překvapující.
Procesní oblast bezpečnosti je více zřejmá z „Tabulka 7: Procesní oblast bezpečnosti ICT“. Velice dobrý výsledek v oblasti formální podpory bezpečnosti ICT je
zřejmý u velkých společností, kde se projevuje určitý tlak na oblast bezpečnosti
i v projednávání těchto otázek na úrovni vedení společnosti. Převažuje také množství
společností mající zpracovánu analýzu rizik, což je opět pozitivní skutečnost. Nižší
podpora školení zaměstnanců je překvapivá, nicméně vzhledem k finanční náročnosti
pochopitelná. V průměru je za bezpečnost ICT odpovědno 12 pracovníků, což při
průměrném počtu 2437 počítačů představuje více než 200 počítačů na jednoho pracovníka. Tento objem, kdy je v takovýchto společnostech často velké množství správy
technologií outsourcováno, případně existence relativně velkého tlaku na efektivní
provoz oddělení, v pořádku.
54
U středně velkých podniků je již patrná částečná absence základních procesů a
předpisů nezbytných pro řízení bezpečnosti ICT (analýza rizik, bezpečnost na poradách, absence školení zaměstnanců ve větším množství). Pozitivním faktem je stále
relativně velká podpora vedení v řešení bezpečnostních otázek týkajících se ICT prostředí. Malé společnosti již za velkými, dle očekávání, zaostávají. I u nich je ale pozitivně překvapující podpora vedení v oblasti bezpečnosti ICT. Projednávání oblasti ICT
na poradách je téměř na srovnatelné úrovni, jako u společností střední velikosti, což
je velice dobré.
Tabulka 7: Procesní oblast bezpečnosti ICT
Formální
podpora v oblasti bezpečnosti ICT
Pravidelné
školení
zaměstnanců
Bezpečnost
projednávána
na poradách
vedení
Zpracována
analýza rizik
Odpovědné
osoby za bezpečnost ICT
prostředí
(průměr)
14
12
7
25
8
0
20
10
3
26
3
4
1
8
10
0
13
5
0
11
7
0
8
8
2
2
2
11
5
8
ano
21
11
18
13
nevím
0
1
0
2
Odpovědělo
74
74
74
74
Velikost a
odpověď
malá
ne
ano
nevím
střední
ne
ano
nevím
velká
ne
55
12
71
Graf 2: Míra klasifikace aktiv
Míra klasifikace aktiv
Malá
Střední
Velká
100%
80%
60%
40%
20%
0%
Do 25 %
Do 50 %
Do 75 %
Vše
Míra klasifikace aktiv (Graf 2: Míra klasifikace aktiv) je v malé míře (do 25 %)
řešena v až ¾ společností, a to překvapivě i u malých společností. Na druhou stranu
mají zase malé společnosti aktiv výrazně méně – zde je opět doložen pravděpodobný
silný finanční faktor – u téměř 100% klasifikace ztrácejí velké společnosti proti
středním. Všeobecně je ale míra klasifikace aktiv spíše nízká až minimální. Relativné
vysoká klasifikace u části aktiv ale napovídá rozšířenému povědomí v této oblasti, což
je pozitivní zjištění.
V oblasti bezpečnosti, resp. bezpečnostních incidentů v korelaci se zavedením
procesu řešení bezpečnostních incidentů je zajímavé většinové zavedení řešení bezpečnostních incidentů, aniž by byly incidenty detekovány – opět překvapivé potvrzení
toho, že jisté povědomí v oblasti bezpečnosti ve společnostech existuje. Velké společnosti již nejsou prosté bezpečnostních incidentů a zavedení řešení těchto situací tak
nepřekvapí. Naopak je velice zajímavé, že i ve velkých společnostech se najdou odpovědní zaměstnanci, kteří nevědí, že by měla tento proces společnost zavedený.
Tabulka 8: Bezpečnostní incidenty a jejich řešení
Velikost a
odpověď
malá
ne
ano
Zaznamenán
bezpečnostní
incident
Zaveden proces řešení
Incidentů
27
2
17
11
56
nevím
střední
ne
ano
nevím
velká
ne
ano
nevím
Odpovědělo
4
5
15
3
0
6
10
2
9
13
1
9
12
2
74
74
S bezpečnostními incidenty souvisí i realizace penetračních testů, které jsou ve velké
míře realizovány hlavně velkými společnostmi. I mezi malými a středními společnostmi se však najdou zástupci, kteří penetrační testy realizují velice často. Nejvíce
rozšířená odpověď je však „ne“ nebo „ročně“, což odpovídá očekávání. Malé společnosti většinou nemají takové technické zázemí, že by se dalo mluvit o datové síti nebo
serverové farmě hodné testování. Stejně tak množství informačních systémů dostupných online bude velice malé. U středních společností je však počet realizovaných
penetračních testů v podstatě podobný, což už by mohlo znamenat bezpečnostní problém.
Graf 3: Četnost penetračních testů
Četnost penetračních testů
Malá
Střední
Velká
100%
80%
60%
40%
20%
0%
ne
ročně
měsíčně
57
častěji
Graf 4: SCADA penetrační testy
SCADA penetrační testy
ne
ročně
měsíčně
častěji
34%
8%
8%
50%
Graf (Graf 4: SCADA penetrační testy) již ilustruje relativně alarmující stav
v oblasti SCADA systémů, kde nejsou (většinou z důvodu určité separace provozního
datového prostředí od zaměstnaneckého či veřejného, nebo z důvodu obavy možného
selhání systémů) realizovány penetrační testy z 34 % vůbec. V oblasti provozních
technologiích je všeobecně známa velká míra konzervatismu na straně odpovědných
osob. Propojování provozních a informačních technologií je však zřejmé a postupné
zavádění principů bezpečnosti z prostředí informačních technologií se v oblasti provozních technologií bezesporu očekává (nebo z velké části již probíhá). Nespornými
problémy jsou např. požadavky na silné zabezpečení, kde již latence/zpoždění související s realizací šifrování datové komunikace ovlivňuje systémy závislé na minimálních časových prodlevách v rozsahu jednotek milisekund. Silné šifrování je výrazně
náročnější na výpočetní výkon a tak vyřešení těchto otázek výrobce SCADA systémů
teprve čeká. Zastoupení SCADA systémů mezi příjemci ZoKB ilustruje „Tabulka 9: Zastoupení SCADA mezi příjemci ZoKB“, kde je zřejmá jen velice slabá vazba. Nepotvrzuje se tak má domněnka, že ZoKB se primárně vztahuje na provozovatele SCADA
systémů, a tedy, že kritické nebo významné informační systémy, příp. komunikační
systémy zdaleka nemusí souviset s provozováním SCADA systémů.
58
Tabulka 9: Zastoupení SCADA mezi příjemci ZoKB
Velikost a odpověď
Příjemci ZoKB
Provozovány
SCADA
8
6
19
18
3
5
8
1
9
13
3
2
9
13
1
12
7
2
74
65
malá
ne
ano
nevím
střední
ne
ano
nevím
velká
ne
ano
nevím
Odpovědělo
Množství nasazených pokročilých technologií typu IDS/IPS nebo SIEM (vyžadovaných např. ZoKB) je zastoupeno dle očekávání, tedy minimálně (viz Graf 5: Využití pokročilých technologií). I přesto je zde patrný fakt, kdy střední a velké společnosti, díky množství dalších bezpečnostních technologií, již nemají jinou volbu, nežli
využít funkcionality SIEM nástroje (množství logů je již moc velké na ruční zpravování). Částečně se to týká i společností středních. U malých by byla přítomnost takového
nástroje zbytečnou investicí. To již neplatí pro IDS/IPS funkcionalitu, která se naopak
u menších společností (díky menší náročnosti na výkon) dá implementovat relativně
snadno a často je již součástí standardních firewallů nové generace (NGFW). Další
zajímavou informací je určitá vazba mezi nasazením IDS/IPS nástroje spolu se SIEM
řešením – IDS/IPS nástroj totiž poskytuje velice cenná data do SIEM a i když i bez
těchto informací má samozřejmě nasazení SIEM řešení smysl, je propojení s IDS/IPS
více než logické. Překvapivou skutečností je přítomnost SIEM systému u malých společností, kde bych uvedení této technologie přisuzoval spíše neznalosti ze strany zástupců malých společností vyplňujících dotazník, nebo aktivnímu správci, který má
k bezpečnosti ICT prostředí velice blízko.
59
Graf 5: Využití pokročilých technologií
Využití pokročilých technologií
Malá
Střední
Velká
100%
80%
60%
40%
20%
0%
nic
IPS
SIEM
IPS + SIEM
Velice příjemným zjištěním je velká podpora, resp. pozitivní vnímání možného
outsourcingu bezpečnostních technologií a jejich správy, kterou ilustruje Graf 6: Outsourcing jako volba. Pokud bychom pominuli částečnou očekávanou neznalost zástupců malých společností, je celkově názor poměrně jasný – služby v oblasti bezpečnosti a související technologie outsourcovat lze, resp. tato možnost je všeobecně přijímána pozitivně.
Outsourcing v oblasti bezpečnosti ICT prostředí však může, vzhledem k tomu,
že se jedná o klíčovou kritickou oblast, pro společnost znamenat zvýšené riziko. Snaha o zajištění bezpečnosti interními zaměstnanci (s mnohdy nižší mírou znalostí
v této oblasti) však může mít dalekosáhlejší následky, než dopady případného využití
outsourcingu. Toto je základní otázka, kterou je nezbytně nutné zvážit při volbě, zda
řízení bezpečnosti informací a bezpečnosti ICT prostředí (části nebo celku), svěřit do
rukou externí organizace, či nikoliv.
Vhodným přístupem je v této oblasti možné vnímat vybudování dohledových
mechanismů na takové úrovni, které zajistí detailní přehled o činnostech společnosti
zajišťující outsourcing a zároveň znemožní této společnosti možnost ovlivnit tyto záznamy – typické řešení spočívá v zajištění dohledu vlastními/interními zaměstnanci
nebo nezávislou společností.
60
Všeobecně však lze vnímat, že oblast bezpečnosti ICT prostředí a s ním související zajištění bezpečnost informací vytváří nemalý prostor pro společnosti realizující služby v této oblasti. Kladný vztah k outsourcingu je potvrzením uvědomění si faktu, že odborný personál spravující pokročilé bezpečnostní prvky nemusí být vždy nezbytně zaměstnancem společnosti a také skutečnosti, že zajištění bezpečnosti informací je úkol vyžadující vysoké technické a procesní znalosti.
Graf 6: Outsourcing jako volba
Outsourcing jako volba
Malá
Střední
Velká
100%
80%
60%
40%
20%
0%
ne
ano
61
nevím
6
Celkové zhodnocení aktuální situace v oblasti bezpečnosti
Výsledky dotazníkového šetření jsou pro mě osobně překvapením. Vnímání povědomí v oblasti bezpečnosti ICT jsem očekával na horší úrovni a tak výsledky zde popsané velice milým a pozitivním překvapením. I přesto však stále existují oblasti, které
jsou výrazně nedostatečně řešeny (penetrační testy SCADA systémů, využití pokročilých technologií, četnost penetračních testů nebo míra klasifikace aktiv). Vzhledem
k vývoji v oblasti bezpečnosti na národní i mezinárodní úrovni však očekávám postupné zvyšování povědomí a tím i postupnou vyšší míru zavádění základních bezpečnostních principů do běžného chodu společností bez ohledu na jejich velikost. Velikost společnosti však bude hrát stále nezanedbatelnou roli a u menších společností
bude vždy patrný určitý technologický odstup od společností velkých.
62
Závěr
Byl představen a vysvětlen hlavní legislativní rámec a související předpisy/vyhlášky
v oblasti bezpečnosti ICT prostředí v podobě zákona 181/2014 Sb. o kybernetické
bezpečnosti, dále byly představeny základní vybrané normy z rodiny norem ISO/IEC
27000 zabývající se kybernetickou bezpečností, které jsou uznávaným světovým
standardem. Množství doporučených či vyžadovaných opatření v oblasti bezpečnosti
ICT prostředí se různí od velikosti společnosti, kritičnosti provozovaných informačních a komunikačních systémů a dle velikosti stanovených hranic v případě norem
rodiny ISO/IEC 27000. Všeobecně je však možné konstatovat, že bezpečnost celého
ICT prostředí je přímo závislá na celkovém povědomí o této oblasti ze strany uživatelů a správců/administrátorů tohoto prostředí a IS, ale především ze strany vedení
společnosti. Bezpečnost ICT prostředí je velice úzce spjata s množstvím technologií,
jejich konfigurací a dohledem, zvyšování kvalifikace v oblasti bezpečnosti ICT u zaměstnanců a interními procesy, což jsou oblasti, které se výrazně promítají do finanční bilance společností. Je tedy nutné se těmito investicemi zabývat na nejvyšší úrovni
řízení společností, schvalovat je, vytvářet prostředí pro trvalý rozvoj v této oblasti
a tím úspěšně naplňovat strategii společnosti v oblasti bezpečnosti ICT. Jak vyplývá
z dotazníkového šetření, jsou otázky bezpečnosti relativně častým tématem společností působících na českém trhu, nicméně i přesto je zřejmé, že rezervy v podobě absence uceleného pohledu, dlouhodobé strategie a interních předpisů (např. bezpečnostní politiky, klasifikace aktiv, realizace penetračních testů apod.) v této oblasti
existují. Představený návrh struktury bezpečnostní politiky v kapitole 4 (Návrh struktury bezpečnostní politiky a technických řešení) byl zvolen pro svůj relativně vysoký
efekt v zajištění míry bezpečnosti ICT prostředí s relativně nízkými vstupními náklady. Uvedená pravidla jsou určitým derivátem požadavků standardizační vyhlášky zákona o kybernetické bezpečnosti a požadavků norem rodiny ISO/IEC 27000, mající za
cíl (u společností nepatřících mezi příjemce zákona o kybernetické bezpečnosti, případně společností bez ambice získat certifikaci ISO/IEC 27001) poskytnout základní
návrh struktury bezpečnostní politiky a srozumitelný popis elementárních bezpečnostních pravidel a vytvořit tak základ pro bezpečnostní politiku celé společnosti.
I jen částečné zavedení uvedených pravidel bude znamenat nezanedbatelný posun
63
v bezpečnosti organizací, což je v důsledku základní myšlenkou a cílem celé této práce.
64
Conclusion
The main legislative framework and corresponding directives/regulations in the area
of security of ICT environment in the form of Act No. 181/2014 Coll., on Cyber Security, were presented and explained, further the basic selected standards from the family of standards ISO/IEC 27000 dealing with cyber security which are a recognized
worldwide standard were presented. A number of recommended or required
measures in the area of security of ICT environment varies according to the size of the
company, seriousness of operated informational and communication systems and
according to the size of defined boundaries in case of standards of the family ISO/IEC
27000. It can be generally stated, however, that the security of the whole ICT environment depends directly on the total knowledge of this area on the part of the users
and administrators of this environment and IS, but above all on the part of the management of the company. The security of ICT environment is very closely connected
with the number of technologies, their configurations and supervision, increase of
qualification in the area of ICT security at employees and internal processes which
are areas which markedly project themselves into the financial balance of the companies. It is consequently necessary to deal with these investments at the highest level
of the management of companies, approve them, create the environment for permanent development in this area and thus successfully fulfill the strategy of the company
in the area of ICT security. As results from the questionnaire inquiry, the issues of
security are a relatively frequent topic of the companies operating in the Czech market, nevertheless despite this it is obvious that the reserves in the form of absence of
compact view, long-term strategy and internal regulations (e.g. security policy, classification of actives, realization of penetration tests, etc.) exist in this area. The presented proposal of structure of the security policy in chapter 5 (Proposal of structure of
security policy and technical solutions) was selected for its relatively high effect in
ensuring the measure of security of ICT environment with relatively low input costs.
The stated rules are a certain derivate of requirements of standardization notice of
Act on Cyber Security and requirements of standards of the family ISO/IEC 27000,
having for object (at companies not belonging among receivers of Act on Cyber Security, possibly companies without the ambition to gain the certification ISO/IEC
65
27001) the provision of the basic proposal of structure of security policy and a comprehensible description of elementary safety rules and in this way the creation of the
groundwork for security policy of the whole company. Even a partial introduction of
the stated rules will mean an indispensable move in the security of organizations,
which is in consequence a keynote and objective of all this thesis.
66
Seznam zdrojů
[1] NAŘÍZENÍ VLÁDY. 432/2010Sb..
[2] CISCO INC.. Visual Networking Index [online]. Dostupné z:
http://www.cisco.com/c/en/us/solutions/service-provider/visual-networkingindex-vni/index.html
[3] ČERMÁK, Miroslav. CIA: Důvěrnost-Integrita-Dostupnost. In: cleverandsmart.cz
[online]. 2008 [cit. 2015]. Dostupné z:
http://www.cleverandsmart.cz/duvernost-integrita-dostupnost/
[4] INTERNET SYSTEM COSORTIUM. ISC Domain Survey [online]. Dostupné z:
https://www.isc.org/services/survey/
[5] MIT IST INFORMATION SYSTEMS AND TECHNOLOGY. Risks on the Internet
[online]. Dostupné z: https://ist.mit.edu/security/internet
[6] NCKB. Informační servis [online]. Dostupné z:
http://www.govcert.cz/cs/informacni-servis/zranitelnosti/
[7] NCKB. Publikace. In: Národní centrum kybernetické bezpečnosti [online].
Dostupné z: https://www.govcert.cz/cs/informacni-servis/bulletiny/
[8] ENISA. About ENISA [online]. Dostupné z: http://www.enisa.europa.eu/aboutenisa
[9] US-CERT. United States Computer Emergency Readiness Team [online]. Dostupné
z: https://www.us-cert.gov/
[10] CSIRT.CZ. CSIRT.CZ a jeho první rok fungování v roli Národního CSIRT České
republiky [online]. Dostupné z: https://www.csirt.cz/page/992/csirt.cz--a--jehoprvni-rok-fungovani-v-roli-narodniho-csirt-ceske-republiky/
[11] CZ.NIC. Bezpečnostní týmy v České republice a mezinárodní spolupráce [online].
Dostupné z: https://www.csirt.cz/page/886/odkazy/
[12] POLÁK, Pavel a Anna KOTTOVÁ. Hackeři loni napadli ocelárnu v Německu,
zaměstnanci nemohli vypnout vysoké pece. In: Rozhlas.cz [online]. 2015 [cit.
2015]. Dostupné z: http://www.rozhlas.cz/zpravy/evropa/_zprava/hackeri-
67
loni-napadli-ocelarnu-v-nemecku-zamestnanci-nemohli-vypnout-vysoke-pece-1441712
[13] ISO Survey: World distribution of ISO/IEC 27001 certificates in 2013 [online].
Dostupné z: http://www.iso.org/iso/home/standards/certification/isosurvey.htm?certificate=ISO/IEC%2027001&countrycode=CZ#standardpick
[14] EUROPEAN COMMISSION. 2013/0027 (COD), DIRECTIVE OF THE EUROPEAN
PARLIAMENT AND OF THE COUNCIL: Concerning measures to ensure a high
common level of network and information security across the Union [online]. 2013
[cit. 2014]. Dostupné z: http://eeas.europa.eu/policies/eu-cybersecurity/cybsec_directive_en.pdf
[15] ENISA. Cyber Europe. In: ENISA - EUROPEAN UNION AGENCY FOR NETWORK
AND INFORMATION SECURITY [online]. Dostupné z:
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisiscooperation/cce/cyber-europe
[16] NCKB. Strategie a Akční plán [online]. Dostupné z:
http://www.govcert.cz/cs/informacni-servis/strategie-a-akcni-plan/
[17] NCKB. Legislativa. In: Národní centrum kybernetické bezpečnosti [online].
Dostupné z: https://www.govcert.cz/cs/legislativa/legislativa/
[18] SANS INSTITUTE. Critical Security Control: 18: Incident Response and
Management. In: SANS INSTITUTE [online]. Dostupné z:
https://www.sans.org/critical-security-controls/control/18
[19] ONDRÁK, Viktor, Petr SEDLÁK a Vladimír MAZÁLEK. Problematika ISMS v
manažerské informatice. Brno: AKADEMICKÉ NAKLADATELSTVÍ CERM, s. r. o.,
2013. 978-80-7204-872-4.
[20] SINGH, Simon. Kniha kódů a šifer. Praha: ARGO spol. s r. o., 2003. 80-86569-18-7.
[21] NOVÁK, Luděk a Josef POŽÁR. Systém řízení informační bezpečnosti. In:
Cybersecurity.cz [online]. Dostupné z:
http://www.cybersecurity.cz/data/srib.pdf
[22] ZÁKON. 181/2014 Sb..
[23] INTEL CORPORATION. 2014 [cit. 2015]. Dostupné z:
https://passwordday.org/en/
68
[24] ČERMÁK, Miroslav. Analýza rizik: Jemný úvod do analýzy rizik [online]. 2010 [cit.
2015]. Dostupné z: http://www.cleverandsmart.cz/analyza-rizik-jemny-uvoddo-analyzy-rizik/
[25] STŘEDOEVROPSKÉ CENTRUM PRO FINANCE A MANAGEMENT. Cost-Benefit
Analysis (CBA) [online]. Dostupné z: http://www.financemanagement.cz/080vypisPojmu.php?IdPojPass=57
[26] Pojem kyberprostor [online]. Dostupné z: http://slovnik-cizichslov.abz.cz/web.php/slovo/kyberprostor
[27] VYHLÁŠKA. 316/2014 Sb..
[28] VYHLÁŠKA. 317/2014 Sb..
[29] NAŘÍZENÍ VLÁDY. 315/2014 Sb..
[30] ISO27000. ISO/IEC 27000:2014. In: ISO27000 [online]. Dostupné z:
http://www.iso27000.cz/rac/homepage.nsf/CZ/27000
[31] RAC.CZ. ISO/IEC 27001:2013. In: RAC.CZ [online]. Dostupné z:
http://www.rac.cz/rac/homepage.nsf/CZ/27001
[32] ČERMÁK, Miroslav. ISMS tajemství zbavený. In: cleverandsmart.cz [online]. 2012
[cit. 2015]. Dostupné z: http://www.cleverandsmart.cz/isms-tajemstvizbaveny/
[33] ŠTĚPÁNEK, Pavel. Demilitarizovaná zóna DMZ - kdy použít, jak nastavit,
nejčastější chyby [online]. 2013 [cit. 2015]. Dostupné z:
http://kb.kerio.com/product/kerio-control-cz-/demilitarizovan%C3%A1z%C3%B3na-dmz-kdy-pou%C5%BE%C3%ADt-jak-nastavitnej%C4%8Dast%C4%9Bj%C5%A1%C3%AD-chyby-605.html
[34] ISO. About Us [online]. Dostupné z: http://www.iso.org/iso/home.html
[35] INTERNATIONAL ELECTROTECHNICAL COMMISSION. About the IEC [online].
Dostupné z: http://www.iec.ch/about/
[36] ZÁKON. 432/2010 Sb.. Dostupné z: http://www.zakonyprolidi.cz/cs/2010-432
[37] NÁRODNÍ BEZPEČNOSTNÍ ÚŘAD. Národní bezpečnostní úřad [online]. Dostupné
z: http://www.nbu.cz/cs/
[38] NCKB. Co je NCKB [online]. Dostupné z: https://www.govcert.cz/cs/
69
[39] GEOVAP, SPOL. S R.O.. Co znamená SCADA/HMI?. In: Reliance - industrial
SCADA/HMI system [online]. Dostupné z:
http://www.reliance.cz/cs/products/what-does-scada-hmi-mean
[40] HORA, Michal. Tajemství zkratky SLA [online]. 2005 [cit. 2015]. Dostupné z:
http://www.systemonline.cz/outsourcing-ict/tajemstvi-zkratky-sla-1.htm
70
Seznam obrázků
OBRÁZEK 1: SCHÉMA DOPADU KYBERNETICKÉHO ZÁKONA ................................................................. 19
OBRÁZEK 2: ČLENĚNÍ OPATŘENÍ KYBERNETICKÉHO ZÁKONA ............................................................... 21
OBRÁZEK 3: NORMY SKUPINY ISO/IEC 27000:2014 ..................................................................... 25
OBRÁZEK 4: NORMY SKUPINY ISO/IEC 27000:2009 ..................................................................... 26
OBRÁZEK 5: PDCA CYKLUS ......................................................................................................... 29
OBRÁZEK 6: KONCOVÁ ZAŘÍZENÍ .................................................................................................. 34
OBRÁZEK 7: SÍŤOVÝ PERIMETR ..................................................................................................... 35
OBRÁZEK 8: PŘENOSOVÉ/SÍŤOVÉ PROSTŘEDÍ .................................................................................. 35
OBRÁZEK 9: INFORMAČNÍ SYSTÉM ................................................................................................ 35
OBRÁZEK 10: DATOVÉ CENTRUM ................................................................................................. 36
OBRÁZEK 11: PŘENOS DAT ......................................................................................................... 36
OBRÁZEK 12: UŽIVATEL ............................................................................................................. 37
OBRÁZEK 13: ADMINISTRÁTOR/SPRÁVCE....................................................................................... 37
OBRÁZEK 14: VEDENÍ SPOLEČNOSTI .............................................................................................. 38
71
Seznam tabulek
TABULKA 1: TECHNICKÁ OPATŘENÍ A JEJICH POČTY ........................................................................... 22
TABULKA 2: ORGANIZAČNÍ OPATŘENÍ A JEJICH POČTY ....................................................................... 22
TABULKA 3: PŘEHLED OPATŘENÍ VYŽADOVANÁ NORMOU ISO/IEC 27001 .......................................... 31
TABULKA 4: OTÁZKY V DOTAZNÍKU A DŮVODY JEJICH UVEDENÍ ........................................................... 49
TABULKA 5: VELIKOST SPOLEČNOSTÍ POSKYTNUVŠÍ INFORMACE .......................................................... 52
TABULKA 6: VZTAH MEZI SPOLEČNOSTMI Z POHLEDU ZOKB, ISO/IEC 27001 A POLITIKY ICT.................. 53
TABULKA 7: PROCESNÍ OBLAST BEZPEČNOSTI ICT ............................................................................ 55
TABULKA 8: BEZPEČNOSTNÍ INCIDENTY A JEJICH ŘEŠENÍ ..................................................................... 56
TABULKA 9: ZASTOUPENÍ SCADA MEZI PŘÍJEMCI ZOKB ................................................................... 59
72
Seznam grafů
GRAF 1: ZAVEDENÍ BEZPEČNOSTNÍ POLITIKY ICT .............................................................................. 54
GRAF 2: MÍRA KLASIFIKACE AKTIV................................................................................................. 56
GRAF 3: ČETNOST PENETRAČNÍCH TESTŮ ....................................................................................... 57
GRAF 4: SCADA PENETRAČNÍ TESTY ............................................................................................. 58
GRAF 5: VYUŽITÍ POKROČILÝCH TECHNOLOGIÍ ................................................................................. 60
GRAF 6: OUTSOURCING JAKO VOLBA............................................................................................. 61
73
Seznam zkratek
Zkratka
DMZ
Význam
Demilitarizovaná zóna je logický prostor, kde jsou umístěny servery určené
pro komunikaci do Internetu nebo nedůvěryhodné sítě. Veškerá komunikace
z/do Internetu by měla procházet přes tento logický prostor (přímý přístup
vnitřní sítě do Internetu je bezpečnostní riziko). [33]
CERT
Computer Emergency Response Team představuje skupinu vysoce profesionálních pracovníků poskytující informace o aktuálních zranitelnostech
a velmi důležité technické rady lidem, kteří se dostali do problémů související
s narušením prostředí ICT, aktivně zasahují do datových toků a typicky spolupracují s národními poskytovateli datové konektivity do Internetu.
CSIRT
Computer Security Incident Response Team je synonymem k CERT. Jde
o skupinu profesionálních pracovníků řešící a vyšetřující bezpečnostní incidenty v počítačových sítích, a to jak na úrovni lokální (společnost), globální
(oblast státu), tak nadnárodní.
FTP/SFTP
File Transfer Protocol/Secured File Transfer Protocol – protokol využívaný pro přenos souborů nejen po Internetu. „S“ před zkratkou znamená „Secure“ pro označení šifrované komunikace.
HTTPS
Hypertext Transfer Protocol Secure - je rozšíření nešifrovaného protokolu
HTTP. HTTPS umožňuje využití šifrování (např. protokolu TLS) pro zabezpečení komunikace před odposlechnutím. Elektronické podpisy (certifikáty)
využívající se pro sestavení této komunikace umožňují také jednoznačnou
identifikaci protistrany (serveru).
ICT
Information and Communication Technology představuje všechny zástupce informační a komunikační techniky.
IDS
Intruder Detection System je systém pro detekci anomálií v datové síti na
základě reputační databáze, obvyklého chování datové sítě jako takové nebo
na základě vzorků (signatur) chování známých aplikací.
74
IMAP
Internet Message Access Protocol je moderní protokol využívaný pro výběr
elektronické pošty ze serveru elektronickou poštu poskytující.
IPS
Intruder Prevention/Protection System je rozšířením detekčního mechanismu IDS o prevenční schopnosti, tedy možnosti aktivně zasahovat do probíhající datové komunikace a tuto komunikaci tak ovlivňovat. Funkcionalita je
využívána pro odfiltrování nežádoucí komunikace z datového toku.
ISO/IEC
International Organization for Standardization je nezávislá, nevládní,
členská organizace a největší světový vývojář dobrovolných mezinárodních
norem. [34] The International Electrotechnical Commission je přední světovou organizací pro přípravu a vydání mezinárodních norem pro veškeré
elektrické, elektronické a další související technologie. [35]
ITIL
Information Technology and Infrastructure Library je rámec přístupů
zajištění dodávky kvalitních IT služeb za přiměřené náklady. [19]
KII
Kritickou informační infrastrukturou se rozumí výrobní a nevýrobní systémy a služby, jejichž nefunkčnost by měla závažný dopad na bezpečnost státu, ekonomiku, veřejnou správu a zabezpečení základních životních potřeb
obyvatelstva. [36]
LAN
Local Area Network znamená místní datovou síť situovanou např. do jednoho objektu nebo omezené (typicky nevelké) oblasti.
NBU
Národní bezpečnostní úřad je orgánem moci výkonné, byl zřízen zákonem
č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, a to k 1. srpnu 1998. Je ústředním správním úřadem pro oblast ochrany
utajovaných informací a bezpečnostní způsobilosti. [37]
NCKB
Národní centrum kybernetické bezpečnosti je součást NBÚ, se sídlem
v Brně. Úlohou centra je koordinace spolupráce na národní i mezinárodní
úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. [38]
PIN
Personal Identification Number zažitá zkratka pro osobní identifikaci uživatele, tedy heslo používané pro autentizaci osoby.
75
POP3
The Post Office Protocol je protokol využívaný pro výběr elektronické pošty.
V současnosti je tento protokol ve verzi 3. V současnosti se stale častěji využívá protokol IMAP, který poskytuje pokročilé funkce správy tohoto výběru
a podporuje vice funkcionalit především na straně server poskytující elektronickou poštu.
S/MIME
Secure/Multipurpose Internet Mail Extensions je standard definující používání elektronického certifikátu pro asymetrické šifrování elektronické pošty
zajišťující její bezpečnost, důvěrnost a integritu při přenosu k adresátovi.
SaaS
Jako Software as a Service je označena služba, která je poskytována poskytovatelem této služby, a to typicky přes Internet. Odpadá tak nutnost zajišťovat pro tuto službu např. technické vybavení apod., ale může také představovat určité riziko ztráty dat.
SCADA
Supervisory Control And Data Acquisition představuje supervizní řízení
a sběr dat. SCADA tedy není plnohodnotným řídicím systémem, ale zaměřuje
se spíše na úroveň supervizora (např. dispečera). Zpravidla je to software
fungující nad skutečným řídicím systémem založeným např. na PLC (programovatelný logický automat) nebo jiných HW zařízeních. [39]
SIEM
Security Information and Event Management je řešení, které na základě
sběru událostí z velkého množství typicky bezpečnostních zařízení (firewall,
router, IPS, apod.) vyhodnocuje a dává do souvislostí (koreluje) jednotlivé
bezpečnostní události. Cílem nasazení řešení SIEM je zpracování velkého
množství provozně-bezpečnostních informací v reálném čase a s nízkou mírou falešně pozitivních nálezů (bezpečnostních incident.
SLA
Service Layer Agreement je právním dokumentem, který obsahuje předpokládaný rozsah, úroveň služby a také případné postihy za její nedodržení. [40]
SLA zajišťuje součinnost dodavatele v případě potřeby a garantuje dostupnost
poskytované služby (typicky je uváděno dle „počtu devítek“ reprezentující
procentuelní dostupnost v čase v rozmezí jednoho roku např.: 90 (jedna devítka; výpadek 72h/rok), 99 (dvě devítky+ výpadek 7,2h/rok), 99,9 (tři devítky; výpadek 43,8min), 99,99 (čtyři devítky; výpadek 4,3min) a 99,999 (pět
devítek; výpadek 25,9s) apod.
76
SMTP
Simple Mail Transfer Protocol je protokol zajišťující přenos elektronické
pošty mezi jednotlivými komunikujícími uzly/server/klienty. Pomocí protokolu SMTP odchází elektronická pošta z klienta v počítači odesilatele a prochází za pomoci stejného protokolu dále až k serveru, kde si ji příjemce vybere pomocí přístupu na webové rozhraní, případně pomocí protokolů POP3
nebo IMAP.
TLS
Transport Layer Security – protokol zajišťující bezpečný/šifrovaný přenos
dat.
uuBML
Unicorn Universe Business Modeling Language – nástroj pro vizuální modelování a komunikaci.
VIS
Významný informační systém je označení informačního systému státní
správy s vysokou důležitostí, jehož omezený provoz může mít potenciál způsobit státu finanční či reputační ztrátu, případně omezení provozu státních
služeb; označuje skupinu povinných osob, které jsou příjemci specifických
opatření vyplývající ze ZoKB. [22]
VLAN
Virtual Local Area Network je virtuální lokální síť (LAN). Funkcionalita je
definována standardem IEEE 802.1Q.
WSUS
Windows® System Update Services – technologie zajišťující aktualizaci
vybraného programového vybavení od společnosti Microsoft ®.
ZoKB
ZoKB je v textu použitá zkratka zákona 181/2014 Sb. o kybernetické bezpečnosti.
77
Přílohy
PŘÍLOHA 1: DOTAZNÍK ROZESLANÝ NA VYBRANÉ ORGANIZACE
PŘÍLOHA 2: TABULKA DOŠLÝCH ODPOVĚDÍ A ZPRACOVANÝCH POROVNÁVACÍCH TABULEK
PŘÍLOHA 3: KODEX SPRÁVCE
Uvedené přílohy jsou uloženy na paměťovém médiu přiloženém k této práci.
78

UNICORN COLLEGE BAKALÁŘSKÁ PRÁCE

Transkript

Podobné dokumenty