Riadenie bezpečnosti informačných systémov v praxi

Potreba koordinovaného a kontinuálneho riadenia bezpečnosti informačných systémov (IS) je v súčasnosti slovenských podmienkach pomerne známou, aj vďaka niektorým existujúcim legislatívnym prvkom. Asi najznámejším v tejto oblasti a zároveň s najširším dopadom je zákon NR SR č.428/2002 Z.z. o ochrane osobných údajov. Najmä vďaka tomuto zákonu je problematika riešenia informačnej bezpečnosti formou bezpečnostného projektu v povedomí riadiacich pracovníkov i špecialistov IT/IS. Spracovaním bezpečnostného projektu a kľúčových smerníc (častokrát externými špecialistami) sa však ešte bezpečnosť IS nijako podstatne nezvyšuje.

Pojem "systém riadenia informačnej bezpečnosti" nepredstavuje žiadny prevratný koncept. Jeho úlohou je, aby činnosti smerujúce k vytvoreniu a udržiavaniu adekvátnej úrovne informačnej bezpečnosti resp. prípadne odchýlky od nej boli vyžiadané, schválené, riadené, koordinované a podporovali primárne (podnikateľské) činnosti príslušnej spoločnosti. Je však nutné uvedomovať si, že takýto systém riadenia predstavuje v praxi vytvorenie nových procesov a rolí a ich zakomponovanie do existujúcich procesov každej spoločnosti. Princípy jeho zavedenia sú špecifikované v štandardoch ISO/IEC 17799:2000 a BS 7799-2. Okrem vytvorenia vlastnej bezpečnostnej dokumentácie (bezpečnostná politika, bezpečnostné smernice, havarijné plány apod.) je však nutné klásť dôraz aj na personálny faktor. Konkrétne na definíciu, vytvorenie a personálne obsadenie rolí, ktoré v spoločnosti zabezpečujú kontinuálny rozvoj informačnej bezpečnosti v súlade s novými legislatívnymi prvkami, organizačnými zmenami resp. rozvojom spoločnosti, zmenami IS a v súlade so samotnou bezpečnostnou dokumentáciou. Častokrát môže mylne prevládať dojem, že vďaka spracovanému bezpečnostnému projektu spoločnosť vykonala potrebné kroky k adekvátnej ochrane svojho IS a súvisiacich informačných aktív. Toto však bohužial nie je pravda.
Kľúčové role, ktoré v praxi predstavujú primárnu zložku každého systému riadenia informačnej bezpečnosti musia rešpektovať existujúce prvky riadenia v spoločnosti (napr. líniové resp. procesné riadenie, odborná supervízia atď.). Vytvorenie týchto rolí nemusí nutne vyžadovať vytvorenie a obsadenie nového pracovného miesta, častokrát sa priraďuje nová rola existujúcim pracovníkom. Je však dôležité, aby príslušné role zabezpečovali vymáhateľnosť pravidiel a zásad špecifikovaných v bezpečnostnej politike a ich praktickú aplikáciu a dodržiavanie.
Primárne role pre systém riadenia bezpečnosti IS sú nasledovné:
Manažérske fórum (rada/výbor/komisia)
Bezpečnostný manažér
Bezpečnostný správca
Auditor bezpečnosti
Úlohu manažérskeho fóra (rady/výboru/komisie) najlepšie ilustruje priamy citát zo štandardu:
"Mali by byť ustanovené adekvátne riadiace fóra vedené manažmentom organizácie, ktoré by schvaľovali politiku bezpečnosti informácií, priraďovali role v oblasti bezpečnosti informácií a koordinovali implementáciu bezpečnosti organizácii" ( ISO/IEC 17799:2000)
Nie je podstatný názov tohoto fóra. Dôležité je, aby svojou konštitúciou a personálnym obsadením (zástupcami vyššieho manažmentu spoločnosti) fórum plnilo vyššie definovaný cieľ. V praxi ďalej zabezpečuje kľúčové úlohy manažérskeho charakteru, najmä:
Schvaľovanie zásadných krokov/iniciatív vedúcich k zvýšeniu a udržiavaniu informačnej bezpečnosti v celopodnikovom rozsahu
Prijímanie záverov k prípadným bezpečnostným incidentom
Koordináciu prierezových aktivít súvisiacich s informačnou bezpečnosťou
Ďalšou kľúčovou rolou je bezpečnostný manažér. V prípade väčších spoločností (typicky banky, poisťovne, výrobné podniky, organizácie štátnej správy s celoštátnym regionálnym rozložením a pod.) je nutné priradiť túto rolu samostatne príslušnému pracovníkovi a nekumulovať ju s ďalšími rolami.
Bezpečnostný manažér typicky koordinuje činnosť manažérskeho fóra a predkladá materiály súvisiace s riešením informačnej bezpečnosti v spoločnosti vyžadujúce si zásadné rozhodnutia na najvyššej úrovni. Medzi ďalšie úlohy tejto role patrí najmä koordinácia realizácie opatrení v oblasti informačnej bezpečnosti v celopodnikovom meradle, tvorba a aktualizácia interných smerníc a metodických predpisov v tejto oblasti ako aj celkové koncepčné riadenie bezpečnosti IS.
Bezpečnostný správca je ďalšou dôležitou rolou, ktorá sa podieľa na implementácii a kontrole konkrétnych bezpečnostných opatrení v prostredí IS. Podľa veľkosti spoločnosti a komplexnosti IS v nej môže byť táto rola priradená viacerým pracovníkom. Typicky sa jedná o pracovníkov, ktorý sa podieľajú na systémovej administrácií IS a jeho infraštruktúrnych prvkov. Vzájomné postavenie bezpečnostného správcu a bezpečnostného manažéra nekladie požiadavky na zmeny organizačnej štruktúry, musia však byť vytvorené predpoklady pre ich kooperáciu.
Pôsobenie vyššie uvedených rolí by malo byť nezávisle zhodnocované tak, aby existoval priebežný prehľad o dosahovaní cieľov a dodržiavaní ustanovení bezpečnostnej politiky. Systém riadenia informačnej bezpečnosti túto úlohu priraďuje audítorovi bezpečnosti IS. Jeho primárnou úlohou je kombinované plánované a námatkové overovanie súladu praktického stavu informačnej bezpečnosti v spoločnosti s definovanými cieľmi a zásadami v bezpečnostnej dokumentácii. Pri väčších organizáciach je audítor bezpečnosti IS interný zamestnanec, ktorý úzko spolupracuje s bezpečnostným manažérom a bezpečnostnými správcami.
Alternatívnym prístupom je delegovanie tejto role na externého audítora, ktorý túto činnosť zabezpečuje pravidelne v periodicite definovanej v bezpečnostnej politike spoločnosti.
Vyššie charakterizované role tvoria kľúčové prvky každého systému riadenia informačnej bezpečnosti. Detailná konkretizácia náplne týchto rolí a ich personálne obsadenie na úrovni funkčných miest v organizačnej schéme je individuálne pre konkrétnu spoločnosť a jej interné špecifiká. Je však dôležité mať na pamäti, že až tieto role (a nie len spracovaný bezpečnostný projekt) predstavujú reálne riešenie informačnej bezpečnosti v praxi a neoddeliteľne patria do každej spoločnosti, ktorá si váži svoje hodnoty.