Organizačné pozadie bezpečnostného projektu IS

Pod bez­peč­nos­tným pro­jek­tom IS si väč­ši­na ľu­dí pred­sta­ví naj­mä tech­nic­ké zá­le­ži­tos­ti, kto­ré sa tý­ka­jú napr. sie­ťo­vej bez­peč­nos­ti, fy­zic­kej bez­peč­nos­ti, ria­de­nia prís­tu­pov či ha­va­rij­né­ho plá­no­va­nia. Tá­to pred­sta­va je, sa­moz­rej­me, v po­riad­ku, ale reali­ta je o nie­čo zlo­ži­tej­šia. V tom­to prís­pev­ku chce­me rám­co­vo prib­lí­žiť ďal­ší, ale ne­me­nej dô­le­ži­tý as­pekt bez­peč­nos­tné­ho pro­jek­tu IS, a to je­ho or­ga­ni­zač­né za­bez­pe­če­nie. Žiaľ, prá­ve tu sa eš­te aj v dneš­nej do­be stre­tá­va­me s via­ce­rý­mi ne­dos­tat­ka­mi, kto­ré ne­ga­tív­ne ov­plyv­ňu­jú prie­beh a ne­raz aj kva­li­tu vý­stu­pov bez­peč­nos­tné­ho pro­jek­tu IS. Akým ob­las­tiam te­da tre­ba ve­no­vať zvý­še­nú po­zor­nosť? Z prak­tic­kých skú­se­nos­tí nám do pop­re­dia vy­stu­pu­jú naj­mä nas­le­du­jú­ce otáz­ky:

Ke­dy za­čať s bez­peč­nos­tným pro­jek­tom IS?
Ako správ­ne nap­lá­no­vať vý­stu­py bez­peč­nos­tné­ho pro­jek­tu IS?
Ako za­bez­pe­čiť efek­tív­nu ko­mu­ni­ká­ciu v rám­ci pro­jek­to­vých tí­mov?
Ke­dy sa kon­čí bez­peč­nost­ný pro­jekt IS?

Ke­dy za­čať s bez­peč­nos­tným pro­jek­tom IS?

V praxi sa čas­to bez­peč­nosť za­čí­na rie­šiť až vte­dy, keď je vý­voj v „pl­nom prú­de", v naj­hor­šom prí­pa­de tes­ne pred od­ov­zda­ním vý­stu­pov pro­jek­tu. V ta­kom­to prí­pa­de je z poh­ľa­du bez­peč­nos­tné­ho rie­ši­teľ­ské­ho tí­mu ná­roč­né (ak nie ne­mož­né) pok­ryť všet­ky as­pek­ty bez­peč­nos­ti vy­ví­ja­né­ho IS, čo mô­že spô­so­biť opo­me­nu­tie niek­to­rých bez­peč­nos­tných ri­zík, ne­dos­ta­toč­nú úro­veň navr­hnu­tých opat­re­ní, po­su­nu­tie ča­so­vé­ho har­mo­nog­ra­mu pro­jek­tu a v ne­pos­led­nom ra­de aj ne­ma­lé fi­nan­čné nák­la­dy či poš­ko­de­nie dob­ré­ho me­na or­ga­ni­zá­cie. Vý­sled­kom tých­to si­tuá­cií bý­va čas­to stav, že vy­tvo­re­ný bez­peč­nost­ný pro­jekt IS má iba for­mál­ny cha­rak­ter, kon­čí od­lo­že­ný „v zá­suv­ke" a v reál­nom pros­tre­dí je ne­pou­ži­teľ­ný. Pre­to aj v tom­to prí­pa­de je lep­šie ria­diť sa hes­lom „rad­šej skôr ako nes­kôr".

Plá­no­va­nie vý­stu­pov bez­peč­nos­tné­ho pro­jek­tu IS
V praxi sa mô­že­me stret­núť aj so si­tuáciou, keď pod­ľa pro­jek­to­vé­ho plá­nu tre­ba vy­pra­co­vať bez­peč­nos­tnú do­ku­men­tá­ciu, ale nie sú eš­te vy­tvo­re­né do­ku­men­ty pro­jek­tu, z kto­rých má bez­peč­nosť vy­chá­dzať. Veľ­mi čas­tá je, žiaľ, aj neúpl­ná pro­jek­to­vá do­ku­men­tá­cia. Zá­kla­dom ús­peš­né­ho bez­peč­nos­tné­ho pro­jek­tu IS mu­sí byť pre­to ro­zum­né nap­lá­no­va­nie jed­not­li­vých vý­stu­pov, kto­ré by ma­li byť dos­ta­toč­ne pod­chy­te­né už od sa­mé­ho za­čiat­ku pro­jek­tu v pro­jek­to­vom plá­ne a ča­so­vo nad­vä­zo­vať na ďal­šiu pro­jek­to­vú do­ku­men­tá­ciu (napr. opis po­žia­da­viek, de­tail­ná fun­kčná špe­ci­fi­ká­cia, tech­nic­ký návrh).
Zod­po­ved­nosť za koor­di­ná­ciu tých­to čin­nos­tí pris­lú­cha spra­vid­la pro­jek­to­vé­mu ma­na­žé­ro­vi v sú­čin­nos­ti s bez­peč­nos­tným rie­ši­teľ­ským tí­mom. Na zvlád­nu­tie ta­kej zlo­ži­tej a kom­plexnej prob­le­ma­ti­ky, ako je vy­pra­co­va­nie bez­peč­nos­tné­ho pro­jek­tu IS, mu­sia mať pod kon­tro­lou súhrn mno­hých fak­to­rov sú­čas­ne pô­so­bia­cich na IS. Tie­to fak­to­ry je ne­vyh­nut­né v dos­ta­toč­nej mie­re pre­miet­nuť do kon­krét­nych vý­stu­pov bez­peč­nos­tné­ho pro­jek­tu, kto­ré sú napr. pod­ľa zá­ko­na o ochra­ne osob­ných úda­jov roz­de­le­né na tri čas­ti:

Bez­peč­nost­ný zá­mer - ob­sa­hu­je opis IS, vy­me­dzenie a opis oko­lia IS, cha­rak­te­ris­ti­ku spra­cú­va­ných úda­jov, zá­klad­né bez­peč­nos­tné cie­le a opat­re­nia.
Ana­lý­za bez­peč­nos­ti - ob­sa­hu­je pod­rob­ný roz­bor sta­vu bez­peč­nos­ti IS, špe­ci­fi­ku­je hroz­by pô­so­bia­ce na jed­not­li­vé ak­tí­va IS, vý­stu­py z tej­to čas­ti slú­žia ako pod­klad na vy­pra­co­va­nie návr­hu bez­peč­nos­tných opat­re­ní.
Bez­peč­nos­tné smer­ni­ce - spres­ňu­jú a ap­li­ku­jú zá­ve­ry vy­plý­va­jú­ce z bez­peč­nos­tné­ho pro­jek­tu na kon­krét­ne pod­mien­ky pre­vádz­ko­va­né­ho IS, ur­ču­jú kon­trol­né pos­tu­py a spô­sob vy­ko­ná­va­nia bez­peč­nos­tných opat­re­ní.

Efek­tív­na ko­mu­ni­ká­cia je ne­vyh­nut­nosť
Ďal­ší čas­tý a pod­ce­ňo­va­ný prob­lém pri vy­pra­co­va­ní bez­peč­nos­tné­ho pro­jek­tu IS je ne­dos­ta­toč­ná ko­mu­ni­ká­cia me­dzi jed­not­li­vý­mi rie­ši­teľ­ský­mi tí­ma­mi. Dô­le­ži­tou úlo­hou čle­nov bez­peč­nos­tné­ho rie­ši­teľ­ské­ho tí­mu mu­sí byť pre­to spo­lup­rá­ca s ďal­ší­mi tí­ma­mi par­ti­ci­pu­jú­ci­mi na vý­vo­ji a im­ple­men­tá­cii IS v ob­las­tiach, v kto­rých je pot­reb­ná ich sú­čin­nosť a ak­tív­na účasť. Dob­rá prax je vop­red nap­lá­no­vať jed­not­li­vé stret­nu­tia pre kon­krét­ne bez­peč­nos­tné té­my, kto­rých sa bez­peč­nosť vy­ví­ja­né­ho IS bu­de tý­kať. Na tých­to stret­nu­tiach sa zväč­ša pre­zen­tu­jú mož­né rie­še­nia da­nej ob­las­ti, ro­ku­je sa o po­žia­dav­kách od­be­ra­te­ľa, spor­ných otáz­kach a navr­ho­va­ných kon­krét­nych pos­tu­poch a opat­re­niach. Pri vy­pra­co­va­ní ana­lý­zy bez­peč­nos­ti a bez­peč­nos­tných smer­níc IS sú prá­ve pod­kla­do­vé in­for­má­cie zís­ka­né od rie­ši­teľ­ských tí­mov spo­lu s pro­jek­to­vou do­ku­men­tá­ciou IS a le­gis­la­tív­ny­mi a nor­ma­tív­ny­mi po­žia­dav­ka­mi dô­le­ži­tým zdro­jom pri návr­hu bez­peč­nos­tných opat­re­ní.

Pri im­ple­men­tá­cii bez­peč­nos­tné­ho pro­jek­tu tre­ba pri­hlia­dať aj na to, že otáz­ky bez­peč­nos­ti vy­ví­ja­né­ho IS je ne­vyh­nut­né v dos­ta­toč­nej mie­re pre­ro­ko­vať nie­len s vý­vo­jár­sky­mi tí­ma­mi, ale aj s oso­ba­mi zod­po­ved­ný­mi za na­sa­de­nie a sprá­vu IS na stra­ne zá­kaz­ní­ka. Z poh­ľa­du bez­peč­nos­ti IS je pre­to dô­le­ži­té vop­red ana­ly­zo­vať naj­mä or­ga­ni­zač­né pros­tre­die, re­le­van­tné vnú­tor­né pred­pi­sy sú­vi­sia­ce s bez­peč­nos­ťou IS (napr. bez­peč­nos­tná po­li­ti­ka IS, smer­ni­ce tý­ka­jú­ce sa sprá­vy a pou­ží­va­nia IS či do­ku­men­tá­cia ha­va­rij­né­ho plá­no­va­nia), exis­tu­jú­cu har­dvé­ro­vú a sof­tvé­ro­vú infra­štruk­tú­ru už na­sa­de­ných IS a ďal­šie as­pek­ty v zá­vis­los­ti od roz­sa­hu pro­jek­tu.

Ke­dy sa kon­čí bez­peč­nost­ný pro­jekt IS?
Na zá­ver pok­la­dá­me za ne­vyh­nut­né zdô­raz­niť, že rie­še­nie bez­peč­nos­ti vy­vi­nu­té­ho IS sa ne­kon­čí od­ov­zda­ním sys­té­mu od­be­ra­te­ľo­vi. Je to kon­ti­nuál­ny pro­ces, kto­ré­mu tre­ba ve­no­vať dos­ta­toč­nú po­zor­nosť po­čas ce­lé­ho je­ho ži­vot­né­ho cyk­lu. Ke­dy­koľ­vek mô­že dôjsť k zme­ne pros­tre­dia, v kto­rom je IS na­sa­de­ný, le­gis­la­tív­nych po­žia­da­viek, kto­ré mu­sí spĺňať, či k mo­di­fi­ká­ciám vo fun­kcio­na­li­te. Tým­to zme­nám tre­ba pris­pô­so­biť aj exis­tu­jú­ci bez­peč­nost­ný pro­jekt IS, vop­red sa na zme­ny prip­ra­viť, ana­lý­zu ri­zík v pra­vi­del­ných inter­va­loch ak­tua­li­zo­vať a jej vý­sled­kom pris­pô­so­bo­vať navr­hnu­té bez­peč­nos­tné opat­re­nia. Len bez­peč­nost­ný pro­jekt IS, kto­rý od­rá­ža ak­tuál­ny stav, mô­že spĺňať všet­ky bez­peč­nos­tné po­žia­dav­ky v rých­lo sa vy­ví­ja­jú­cej ob­las­ti, ako sú in­for­mač­né tech­no­ló­gie.

Vla­di­mír Kmeť
Autor pra­cu­je ako In­for­ma­tion Se­cu­ri­ty Con­sul­tant, Gor­dias

Zdroj: IW 3/2012 http://www.itnews.sk/2012-02-29/c146999-organizacne-pozadie-bezpecnostneho-projektu-is