Bezpečnostní politika a související dokumenty

Každá společnost musí bez ohledu na svojí velikost a předmět podnikání dodržovat určité bezpečnostní zásady, které bývají nejčastěji formulovány v bezpečnostní politice.

Bezpečnostní politika však není jediný dokument. V oblasti informační bezpečnosti rozlišujeme několik základních dokumentů a to policy, standard a procedure. Ač je mezi těmito dokumenty podstatný rozdíl, jsou dost často zaměňovány. Rád bych podotknul, že dokumenty, ve kterých jsou bezpečnostní zásady formulovány, jsou jen určitým předpokladem k dosažení požadované úrovně bezpečnosti. Takže jestli to myslíte s bezpečností opravdu vážně a chcete, aby zásady v těchto dokumentech uvedené byly vašimi zaměstnanci v praxi dodržovány, měli byste je formulovat tak, aby pro ně byly srozumitelné a mohli se jimi opravdu řídit a dodržovat je.

Ve většině společností se zaměstnanci s bezpečnostními zásadami seznamují v den svého nástupu během školení, po jehož skončení jsou požádáni, aby svým podpisem potvrdili, že s nimi byli seznámeni a rozumí jim. Dost často se ale jedná jen o pouhou formalitu, aby společnost učinila zadost nejrůznějším legislativním a certifikačním požadavkům. Jinak to ale bohužel nejde, protože pokud mají být zaměstnanci s danými zásadami prokazatelným a odpovídajícím způsobem seznámeni, musí existovat ve formě dokumentu. Přes výše uvedené skutečnosti je však bezpečnostní povědomí většiny zaměstnanců spíše nízké. Je zřejmé, že pokud chce společnost dosáhnout odpovědného chování ze strany svých zaměstnanců, musí se zvyšování bezpečnostního povědomí věnovat soustavně. Nyní se ale pojďme podívat na jednotlivé dokumenty.

Policy

Bezpečnostní politika je high level strategický dokument, který definuje účel, cíl, vůli a záměr vedení společnosti v oblasti bezpečnosti. Bezpečnostní politika by měla být dostupná pro všechny zaměstnance např. na intranetu a všichni by ji měli znát a vědět, kde se nachází. Měl by existovat zápis o tom, kdo a kdy ji schválil a od kdy je platná. Jedná se o jasný a srozumitelný způsob, kterým management dává najevo svůj záměr prosazovat informační bezpečnost a dodržování zásad všemi zaměstnanci, neboť si je vědom rizik, kterým společnost musí čelit. Politika může reflektovat nějakou skutečnost, plnit regulatorní požadavky vyplývající z legislativy nebo se zaměřovat čistě na zajištění informační bezpečnosti tj. ochranu informací a informačních systémů. Kromě toho může obsahovat i obecné požadavky, např. že uživatelé mají používat silná hesla. Požadavky uvedené v bezpečnostní politice by měly být dále rozpracovány ve formě bezpečnostních standardů. Je otázka, jak rozsáhlá by bezpečnostní politika měla být. Většina bezpečnostních expertů se dnes kloní spíše k názoru, že by měla mít jen několik málo stran. V politice by měly být používány jasné formulace – musí, nesmí. Bezpečnostní politika by nám měla především odpovědět na otázku, proč to děláme.

Standard

Standard je taktický dokument, který rozpracovává obecné požadavky uvedené v bezpečnostní politice. Měl by již definovat naprosto konkrétní a detailní požadavky, např. jaké služby mají běžet na serveru a jaké na něm naopak běžet nesmí, jak má být nastaveno logování, jakých hodnot mají nabývat určité parametry, např. že heslo musí obsahovat velká a malá písmena, čísla, speciální znaky a musí být dlouhé minimálně 15 znaků). Bezpečnostní standardy by nám měly poskytnout odpověď na otázku, co se má udělat.

Procedure

Procedure je provozní dokument, který krok za krokem popisuje jak provádět určitou činnost nebo zavést konkrétní opatření. Cílem je, aby byl konkrétní proces dostatečně popsán a tak bylo minimalizováno riziko chyby. Procedure může obsahovat detailní postup, jak např. nastavit systém, nainstalovat nějakou komponentu, aktivovat politiku vynucující bezpečná hesla (přihlásit se na DC jako administrator, spustit konzoly, kliknout na …) Procedure nám tedy přináší odpověď na otázku, jak splnit požadavky uvedené ve standardu.

Vztah mezi těmito třemi základními dokumenty je zachycen na následujícím obrázku.

policy-standard-procedure

Kromě těchto třech základních dokumentů se můžeme ještě setkat s dokumenty nazvanými guideline a baseline.

Guideline

Guideline poskytuje návod resp. doporučení, jak splnit některé požadavky uvedené ve standardu, např. že heslo by nemělo obsahovat slova ze slovníku, velká písmena na začátku a číslo na konci. Guideline mohou vycházet z doporučení best practice a poskytovat i návod pro vytváření vlastních standardů. Mění se častěji než politika a standard. Pokud se místo slova „mělo by se“ nebo „nemělo by se“ použije slovo „musí“ nebo „nesmí“, je možné tímto jednoduchým způsobem vytvořit z guideline policy a naopak.

Baseline

Baseline definuje požadavky, které musí splňovat každá platforma, systém nebo aplikace, aby byla zajištěna alespoň minimální úroveň bezpečnosti. To je nutné, protože informační systém je tak bezpečný, jak je bezpečný jeho nejslabší článek a dnešní systém se skládá z typicky mnoha různých systémů. V baseline může být uvedeno, že minimální délka hesla je 7 znaků. Baseline může být také použita k určení minimálních požadavků na bezpečnost někdy nazývané také jako etalon minimální bezpečnosti.

Nekombinujte dohromady policy, standard a procedure

Dle ISO 9000 musí být policy a procedure samostatné dokumenty. Bez ohledu na to, jestli je tento požadavek v nějakém standardu uveden nebo ne, je zcela nevhodné kombinovat politiku, standard a procedure do jednoho dokumentu. Jednotlivé typy dokumentů jsou totiž určeny pro různé čtenáře a mají i jiný účel. Pokud je spojíte do jednoho dokumentu, bude se jednat o dlouhé a pro mnohé nesrozumitelné čtení. Uvědomte si, že všichni mají spoustu práce a málo času a pokud dokument obsahuje informace, které jsou pro čtenáře irelevantní, tak takový dokument ani nedočte do konce, což jistě nechcete.

Pokud vás výše uvedený důvod nepřesvědčil, tak vězte, že nejde jen o použitelnost takového dokumentu v praxi, ale i o náklady spojené s jeho aktualizací a implementací. Bezpečnostní politika má obvykle delší životnost než ostatní výše popisované dokumenty. Důvod je prostý – definuje obecné cíle, zatímco ostatní dokumenty definují konkrétní požadavky, které úzce souvisí s informačními technologiemi a ty se rychle mění. Bezpečnostní politika je dále platná pro všechny zaměstnance a všichni s ní musí být seznámeni, zatímco ostatní dokumenty jsou určeny pouze konkrétním pracovníkům.

Poznámka: Významu a správnému používání sloves MUSÍ, NESMÍ, MĚL BY, NEMĚL BY apod., na které v těchto dokumentech narazíte, se věnuje RFC2119.

Jak byste co nejlépe přeložili do češtiny pojmy procedure, guideline a baseline?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Bezpečnostní politika a související dokumenty” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: