Bezpečnosť organizácie

Odporúčané postupy pre zníženie pravdepodobnosti výskytu alebo dopadov niektorých štandardných rizík na informačnú infraštruktúru. Tieto odporúčania sú určené pre manažérov informačnej bezpečnosti, alebo manažérov IT majúcich na starosti aj informačnú bezpečnosť organizácie.

1. Prístupové oprávnenia

1.1. Politiky a smernice

V organizácii by mali byť vypracované politiky a smernice na odoberanie a pridávanie prístupových oprávnení používateľom. Tieto smernice a politiky by mali vychádzať z nasledujúcich princípov

  1. Každý používateľ by mal mať minimálne prístupové oprávnenia, ktoré mu umožňujú vykonávať jeho pracovné povinnosti.
  2. Žiadanie o prideľovanie prístupových oprávnení musí mať štandardizovanú formu a malo by mať formu písomnej žiadosti. Na žiadosti o pridelenie prístupových oprávnení by mali byť uvedené nasledujúce skutočnosti:
    Meno, priezvisko, pracovné zaradenie, dátum žiadosti.
    Požadované dodatočné prístupové oprávnenia.
    Dôvod potreby dodatočných prístupových oprávnení.
    Podpis a meno priameho nadriadeného žiadajúceho používateľa.
  3. Pri zmene pracovného zaradenia, pracovných povinností a/alebo pracovnej funkcie je potrebné zrevidovať prístupové oprávnenia zamestnanca a prideliť mu iba prístupové oprávnenia, ktoré potrebuje navyše k svojej práci a odobrať mu všetky práva v systéme, ktoré naďalej nepotrebuje k vykonávaniu svojich pracovných činností. Je potrebné definovať zodpovednosť za revíziu oprávnení (štandardne priamy nadriadený).
  4. Vo väčších organizáciách (cca nad 100 používateľov) je vhodnejšie vytvoriť role používateľov, ktoré sú pridelené jednotlivým používateľom. Pre prístupové oprávnenia rolí používateľov platia rovnaké princípy, ktoré sú uvedené vyššie.

1.2. Prijímanie a odchod zamestnancov

V rámci procesu prijímania a odchodu zamestnanca z/do zamestnaneckého pomeru by mali byť vykonané nasledujúce činnosti:

Prijímanie zamestnanca do pracovného pomeru:

  1. Pridelenie minimálnych oprávnení podľa zásad uvedených vyššie.
  2. V prípade citlivej pozície (administrátor, používateľ s prístupom k chráneným alebo citlivým informáciám a podobne) je potrebné uchádzača preveriť z hľadiska trestnej bezúhonnosti a v rozsahu zákona aj o ďalších skutočnostiach týkajúcich sa dôveryhodnosti zamestnanca .
  3. Poučiť zamestnanca o rozsahu jeho prístupových oprávnení, ich akceptovateľnom použití a toto poučenie potvrdiť protokolom, na ktorom bude podpis kto poučenie vykonal, obsah tohto poučenia a podpis poučeného.

Odchod zamestnanca z pracovného pomeru:

  1. Odobratie všetkých prístupových oprávnení.
  2. Zmena všetkých hesiel, ku všetkým účtom ku ktorým mal zamestnanec prístup.
  3. V prípade odchodu administrátora (najmä v prípade ak bol nedobrovoľný) skontrolovať všetky systémy s ohľadom na prítomnosť neoprávneného software, vytvorenia zadných vrátok a podobne.


1.3 Audit, aktualizácia a kontrola

Zoznam prístupových oprávnení a používateľov, ktorým sú pridelené, by mal byť uložený tak, aby ich bolo možné ich sledovať, kontrolovať, riadiť a auditovať vrátane historizácie. (Najlepšie priamo v module informačného systému pre správu oprávnení, v databáze a pod.)
Všetky prístupové oprávnenia by mali byť v pravidelnom intervale (ideálne pre menšie organizácie každé tri mesiace a väčšie organizácie nad 100 zamestnancov každých 6 mesiacov) revidované z hľadiska ich ďalšej potreby a rozsahu.Zodpovednosť používateľov a riešenie incidentov


2. Zodpovednosť používateľov a riešenie incidentov

2.1 Politiky a smernice

  1. Je potrebné vypracovať politiku akceptovateľného použitia pracovných technických prostriedkov. V tejto politike by mali byť uvedené nasledujúce skutočnosti:
    Typ technického prostriedku a účel na ktorý je uvedený typ technického prostriedku možné využívať.
    Zákaz využívať technické prostriedky na súkromné účely.
    Pravidlá a zásady bezpečného používania technického prostriedku a správania sa na lokálnej a globálnej sieti.
  2. Zahrnúť do smerníc a politík klauzuly obsahujúce zodpovednosť používateľa za úmyselné narušenie bezpečnosti, alebo narušenie bezpečnosti z nedbanlivosti.
  3. Pravidlá bezpečného používania technického prostriedku a správania sa na sieti by mali zahŕňať nasledujúce oblasti:
    Neoprávnené použitie technického prostriedku.
    Používanie bezpečnostného softvéru.
    Ochrana citlivých údajov prostredníctvom technických, organizačných a kryptografických prostriedkov.
    Nežiaduci a škodlivý softvér.
    Sociálne inžinierstvo.
    Postupy akým spôsobom nahlasovať incidenty a ako sa správať pri prebiehajúcom incidente.
    Používanie, zmena a ochrana prístupových mien a hesiel.
    Aktualizácia hesiel, požadovaná sila hesla, postupy pri zabudnutí hesla.
  4. V smerniciach by mali byť uvedené povinnosti používateľov zahŕňajúce nasledujúce oblasti:
    Nahlasovanie incidentov.
    Mlčanlivosť o informáciách, s ktorými príde zamestnanec do kontaktu pri výkone svojich pracovných činností, informáciách, ktoré získa pobytom na pracovisku a informáciách, ku ktorým sa dostane nedopatrením alebo omylom.
    Zdržanie sa použitia informácií uvedených v predchádzajúcom bode pre svoje osobné potreby (činnosti nesúvisiace s výkonom pracovných povinností).


2.2 Prijímanie a odchod zamestnancov

V procese prijímania zamestnancov do pracovného pomeru musia byť používatelia oboznámení s bezpečnostnou politikou, zásadami bezpečného použitia technických prostriedkov a bezpečného správania sa na lokálnej a globálnej sieti.

V procese prijímania zamestnancov do pracovného pomeru musí byť od zamestnancov požadovaný písomný súhlas s mlčanlivosťou o informáciách, ktoré sú citlivé a zamestnanec sa s nimi dostane do kontaktu pri plnení svojich pracovných povinností.

3. Organizačná bezpečnosť

3.1. Kategorizácia a klasifikácia informácií

Údaje by mali byť klasifikované podľa ich citlivosti a potrebnej úrovne ochrany. Jedným z možných klasifikačných systémov je klasifikácia údajov na tri základné úrovne:

  1. Verejné: Údaje verejne prístupné komukoľvek (napríklad údaje na webovej stránke,…).
  2. Interné: Údaje určené iba na interné použitie v rámci organizácie, odhalenie týchto dát verejnosti, alebo osobe mimo organizácie by mohlo spôsobiť žiadne, alebo iba malé škody.
  3. Chránené: Údaje určené iba pre oprávnené osoby v rámci organizácie alebo mimo nej. Odhalenie týchto dát neoprávnenej osobe by mohlo spôsobiť stredné alebo vážne škody.


Pre každú úroveň ochrany je potrebné vytvoriť zásady spracovávania, využívania a pristupovania k nim. Tieto zásady by mali byť vo forme internej smernice alebo politike.

Každá skupina údajov by mala mať svojho vlastníka, ktorý je zodpovedný za definíciu ich akceptovateľného použitia a prideľovanie resp. odoberanie prístupových oprávnení.

Špeciálnou kategóriou údajov sú utajované skutočnosti, s ktorými je potrebné nakladať podľa zákona č. 215/2004 Z.z o o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov a príslušných vyhlášok NBÚ SR (www.nbusr.sk).

3.2 Riešenie incidentov

Pre riešenie incidentov by mali byť vypracované postupy riešenia a eskalačné postupy. Proces riešenia incidentov pozostáva z:

  1. Prípravy na incident: Zodpovedné osoby, resp. tím na riešenie incidentov vypracováva postupy na riešenia incidentov. Prebieha vzdelávanie zamestnancov a zvlášť zamestnancov v tíme na riešenie incidentov.
  2. Identifikácia incidentu: Nahlásený incident sa ohodnotí z hľadiska závažnosti a rozsahu. V prípade potreby je zvolaný tím určený na riešenie identifikovaného typu incidentu a/alebo sú použité eskalačné postupy.
  3. Riešenie incidentu: Prebiehajú akcie, ktorých cieľom je ukončiť prebiehajúci incident a/alebo minimalizovať škody, ktoré by uvedením incidentom mohli byť spôsobené.
  4. Fáza zberu dôkazov: Všetky informácie o incidente, časti logov, obsahu pamäte a prípadne ďalšie informácie sú uložené na bezpečnom mieste s riadeným prístupom pre analýzu a spracovanie opatrení a prípadné použitie informácií v pracovno-právnom alebo trestno-právnom procese.
  5. Fáza obnovy: V prípade, že je to nutné nasleduje spustenie procedúr disaster recovery resp. business continuity.
  6. Prijatie opatrení pre eliminovanie opakovania (alebo škôd) takéhoto incidentu.


3.3 Aktualizácia a riadenie zmien (change manažment)

  1. Je potrebné vytvoriť centrálny repozitár, v ktorom budú uložené softvérové aj hardvérové konfigurácie pracovných staníc, serverov a ostatných častí IT infraštruktúry.
  2. Každú zmenu v softvérovej aj hardvérovej konfigurácií je potrebné aktualizovať v centrálnom repozitári a analyzovať vyplývajúce bezpečnostné riziká. Na základe týchto rizík je ďalej potrebné vykonať zodpovedajúce opatrenia na zníženie novoobjaveného rizika na akceptovateľnú úroveň.
  3. Bezpečnostnú dokumentáciu je potrebné pravidelne dopĺňať a aktualizovať (pozri systém riadenia informačnej bezpečnosti)
  4. Je potrebné mať vytvorené, otestované, aplikované a pravidelne kontrolované postupy na aktualizáciu softvérového vybavenia na pracovných staniciach a serveroch. Pri serveroch a na kritických pracovných staniciach pred inštaláciou je potrebné otestovať funkčnosť systému po aplikácií aktualizácie v testovacom prostredí.


3.4 Zastupiteľnosť

  1. Pre každú kľúčovú pozíciu (administrátor siete, administrátor informačného systému,a pod.) je potrebné vytvoriť a implementovať plán zastupiteľnosti. Je potrebné zabezpečiť:
  2. Aby zamestnanec, ktorý zastupuje iného pracovníka mal informácie o jeho činnosti (pracuje na rovnakej pozícií a/alebo všetci zamestnanci na kľúčových pozíciách vypracovávajú podrobnú dokumentáciu, ktorú ukladajú v nato určených miestach).
  3. Aby zamestnanec, ktorý zastupuje iného pracovníka mal adekvátne znalosti a schopnosti (zabezpečiť napríklad prostredníctvom pravidelných školení zo strany potenciálne zastupovaného pracovníka).
  4. Aby zamestnanec, ktorý zastupuje iného pracovníka mal v prípade potreby prístup k dôležitým systémom s adekvátnymi prístupovými oprávneniami (heslá a prihlasovacie údaje, kópie certifikátov by mali byť uložene na bezpečnom mieste –napríklad v trezore).
  5. V pracovnej zmluve alebo náplni pracovnej činnosti každého zamestnanca na kľúčovej pozícií zaviazať viesť dostatočne podrobnú dokumentáciu (miera podrobnosti závisí od znalostí osôb, ktoré by v prípade nutnosti zastupovali tohto pracovníka a konkrétnej role zamestnanca vo firme).


3.5 Bezpečnostné smernice

  1. Všetky povinnosti zamestnancov v rámci bezpečnosti je potrebné spísať vo forme smerníc.
  2. Bezpečnostné smernice by sa mali dotýkať minimálne nasledujúcich oblastí:
    Fyzická bezpečnosť.
    Bezpečnosť koncových staníc
    Bezpečnosť siete a ďalšej infraštruktúry
    Personálna bezpečnosť
    Riešenie a predchádzanie bezpečnostným incidentom
  3. Každá bezpečnostná smernica by mala obsahovať nasledujúce informácie:
    Pre koho je smernica určená (záväzná)
    Zmysel smernice
    Povinnosti zamestnancov, ktorým je určená
    Sankcie za nedodržanie
    Kto je zodpovedný za kontrolu plnenia povinností vyplývajúcich zo smerníc
    Dátum a zmeny

4. Systém riadenia informačnej bezpečnosti

V každej organizácií sú aktíva, ktoré je potrebné chrániť. Aktívum je všetko, čo má pre organizáciu nejakú hodnotu. Pod aktívom rozumieme najmä hardvér, softvér, personál, materiálne vybavenie, financie, personál a informácie. Pre mnohé organizácie je najcennejším aktívom informácia. Preto je ju potrebné chrániť z hľadiska dôvernosti, dostupnosti, integrity a autentickosti.

Systém riadenia informačnej bezpečnosti je založený na cykle PDCA (Plan, Do, Check, Act).

Pri zavádzaní systému riadenia informačnej bezpečnosti je potrebné postupovať v nasledujúcich krokoch:

PLAN

  1. Vypracovanie bezpečnostného zámeru. Bezpečnostný zámer je dokument popisujúci rozsah a typy aktív, ktoré je potrebné chrániť.
  2. Vypracovanie bezpečnostných požiadaviek na jednotlivé chránené typy aktív.
  3. Popísanie dotknutých systémov a ich bezpečnostného okolia.
  4. Analýza súčasného stavu a analýza rizík pre jednotlivé aktíva popísané v bezpečnostnom zámere.
  5. Ohodnotenie jednotlivý identifikovaných rizík z hľadiska dopadu a pravdepodobnosti.
  6. Vypracovanie dokumentu popisujúceho akceptovateľnú mieru rizika pre jednotlivé aktíva.
  7. Návrh protiopatrení aby bol dopad a/alebo pravdepodobnosť výskytu zmenšené na akceptovateľnú úroveň.
  8. Vypracovanie dokumentu Vyhlásenia o aplikovateľnosti opatrení.

DO

  1. Vytvorenie bezpečnostnej dokumentácie.
  2. Implementácia jednotlivých opatrení. Prevádzka jednotlivých opatrení prebieha neustále až do okamihu, keď je opatrenie nahradené, alebo zrušené.
  3. Priebežné vzdelávanie používateľov.
  4. Prevádzka jednotlivých opatrení.

CHECK

  1. Kontrola efektivity a audit navrhnutých opatrení.

ACT

  1. Úprava existujúcich oprávnení na základe výsledkov merania a auditu.

Tento proces by sa mal cyklicky opakovať. V každej ďalšej iterácií sa už existujúce opatrenia považujú za aktuálny stav. Dĺžka cyklu by mala byť v závislosti od citlivosti spracovaných informácií 1- 2 roky.

5. Vzdelávanie a zvyšovanie povedomia používateľov

Používateľov je potrebné systematicky informovať a zvyšovať ich povedomie v oblasti informačnej bezpečnosti. V rámci tejto aktivity je ich potrebné informovať o nasledujúcich oblastiach:

  1. Typy útokov
  2. Existencia bezpečnostných smerníc a povinností používateľov z nich vyplývajúce
  3. Metódy a postupy pri identifikácií a nahlasovaní bezpečnostných incidentov
  4. Princípy systému riadenia informačnej bezpečnosti

Posledná aktualizácia