K napsání tohoto článku mě přimělo poznání současné praxe, kdy mnoho lidí o bezpečnostní politice mluví, někteří se pokusili ji dokonce napsat, ale ne každému se podařilo ji praktiky zavést tak, aby mohla být označena za přínos.

Důvodem je zřejmě různé chápání samotného pojmu "politika". Většina lidí chápe politiku ve smyslu proklamace obecných záležitostí státu (například zahraniční politika), makroekonomiky (například měnová politika centrální banky) nebo určitého oboru či subjektu (cenová politika firmy). Do této kategorie "politik" spadá například Státní informační politika - cesta k informační společnosti, schválená usnesením vlády č. 525/1999.

Vedle tohoto tradičního chápání "politiky" se k nám v posledních letech šíří z anglosaského prostředí nový, širší význam tohoto slova. V angličtině jde o velmi frekvenční termín ("policy") k označení přijatých zásad, postupů, plánů, metod atd. Mimo jiné se jím označují i jednotlivá ustanovení například firemního předpisu. Takto by měl být chápán i často používaný pojem "bezpečnostní politika".

Z dokumentů a norem relevantních pro informační bezpečnost se ve vztahu k informačním technologiím začaly používat další pojmy, jako systémová bezpečnostní politika a technická bezpečnostní politika. Systémoví správci vědí, že je třeba nastavit "politiky" ve Windows, podobně správci firewallu se neobejdou bez "přístupové politiky" a jiných politik.

Stručně řečeno, pod pojmem politika obecně a bezpečnostní politika zvlášť se chápou a nesprávně směšují problémy různých úrovní, a to jak v laické, tak i odborné veřejnosti.

V dalším se budeme zabývat výhradně bezpečnostní politikou týkající se informačního systému organizace, která se obvykle nazývá politika informační bezpečnosti (information security policy), jak ji definují mezinárodní normy.

Úloha politiky informační bezpečnosti
Z obecných teorií řízení plyne, že pro procesy řízení v organizaci je třeba zformulovat určitá východiska v následujícím pořadí: (1) cíle; (2) strategie (3) politiky.

Cíle definují, čeho má být dosaženo. Strategie ukazují, jak se má dosáhnout cílů. Politika pak stanoví, co je třeba udělat.

Zařazení bezpečnostního sektoru na úroveň nejdůležitějších aktivit organizace a jeho řešení s využitím stejných nástrojů řízení jako například řízení výroby nebo obchodu není náhodné. Počet podniků, jejichž závislost na informačním systému je absolutní nebo téměř absolutní, závratně rychle roste. Přitom se jedná o komplexní problém vyžadující zajistit dostupnost, důvěrnost a integritu informací, individuální zodpovědnost uživatelů, účtovatelnost transakcí a veškerých provedených akcí, autentičnost uživatelů a informačních zdrojů a spolehlivost systému a služeb. Vůbec nejde jen o informační a komunikační technologie, ale zejména o lidský faktor, smluvní vztahy a zákonnou odpovědnost.

K tomu všemu je třeba připočítat celou plejádu hrozeb, na prvním místě selhání lidí (z neznalosti, nedbalosti nebo i vedených nekalými úmysly), chyby softwaru a technických zařízení, krádeže, různé nehody a přírodní pohromy.

Není divu, že bezpečnostní opatření musí mít potom interdisciplinární charakter. Zásadním a nejdůležitějším opatřením je zavedení procesu organizace a řízení informační bezpečnosti, dále pak zpracování dokumentace a procedur a zajištění personální bezpečnosti, a teprve potom bezpečnosti na úrovni hardwaru, softwaru, počítačových a komunikačních sítí, fyzické bezpečnosti a bezpečnosti prostředí.

Praxe jednoznačně ukazuje - kde není zvládnuto řízení a správa informační bezpečnosti, opatření na úrovni technologií nefungují dobře (například používání antivirových programů, zálohovacích systémů, autentizačních karet atd. je obvykle neefektivní a neúčinné).

Politika informační bezpečnosti je potom nezbytným předpokladem pro účinnost řízení informační bezpečnosti. Aby mohla plnit svůj účel, musí:

. mít písemnou formu,
. být závazná v celé organizaci, platit pro všechny úseky, zaměstnance a vedoucí pracovníky,
. být známá všem, koho se týká,
. být schválena na úrovni vrcholového vedení organizace.

Jakákoli jiná interpretace této politiky je zavádějící a vede k neúspěchu. Uvědomme si zřetelně, že politika informační bezpečnosti je závazný předpis, který se nevztahuje pouze na pracovníky útvaru IT, ale platí pro všechny zaměstnance a pracovníky organizace, a že její plnění musí být vynutitelné, jinak nemá smysl.

Rozsah a obsah politiky
Existují dva přístupy k formulaci politiky informační bezpečnosti organizace. Volba každého z nich kupodivu vůbec nezávisí na velikosti a charakteru organizace, ale spíše na kultuře řízení a struktuře interní předpisové základny:

. stručná politika v rozsahu 3 - 5 stran obsahující pouze základní zásady (v literatuře označovaná jako "high-level-policy"),

. detailní politika v rozsahu řádově desítek stran, obsahující také jednotlivá bezpečnostní opatření (platná přirozeně pro celou organizaci a společná všem systémům IT).

Stručná politika se hodí tam, kde střední management má dostatek pravomocí vydat závazné interní předpisy nebo standardy. Na základě zmocnění politiky pak může například bezpečnostní manažer vydávat příslušné závazné odborné pokyny pro informační bezpečnost.

Detailní politika je naopak nezbytná tam, kde je uplatňován hierarchický model řízení a cokoli závazného pro celou organizaci může vydat pouze její vedoucí.

Někdy je výhodné oba přístupy spojit. Pokud se systém informační bezpečnosti v organizaci teprve zavádí (a to je případ většiny našich podniků) a pokud je cílem detailní politika schválená vrcholovým vedením, pak doporučujeme postupné kroky: (1) nejprve schválit stručnou politiku, a poté (2) v klidu připravit a během roku až dvou schválit detailní politiku. Je to snazší, obvykle i rychlejší a osvědčené.

Stručná politika informační bezpečnosti by měla obsahovat alespoň:

. vysvětlení pojmu "informační bezpečnost" a zřetelnou deklaraci vedení organizace politiku informační bezpečnosti podporovat, v praxi prosadit a její plnění vyžadovat od všech zaměstnanců, organizačních útvarů i dceřinných společností (minimálně od společností se 100% majetkovou účastí),

. stanovení organizační a odpovědnostní struktury informační bezpečnosti, úlohy a odpovědnosti bezpečnostního manažera (správce), úlohy ostatních útvarů podílejících se na zajištění informační bezpečnosti (útvar organizační, personální, právní, správy budov, fyzické bezpečnosti atd.) a povinností vedoucích pracovníků všech stupňů a všech uživatelů ve vztahu k informační bezpečnosti,

. způsob řízení, kontroly a dokumentace informační bezpečnosti, případně zmocnění k vydání prováděcích předpisů, standardů a pokynů.

Detailní politika by měla ve zvolené míře podrobnosti obsáhnout celý systém řízení a správy informační bezpečnosti, tedy navíc zejména tato témata:

. zacházení s citlivými informacemi v organizaci, případně schéma klasifikace informačních aktiv,

. zajištění personální bezpečnosti, s cílem snížit rizika lidského faktoru, tj. rizika chyby, krádeže, podvodu nebo nesprávného užití či zneužití informací a informačního systému,

. zajištění fyzické bezpečnosti, s cílem snížit rizika neoprávněného vniknutí, poškození nebo zničení prostor a technických zařízení informačního systému a nosičů informací,

. řízení přístupu uživatelů, stanovování a správy přístupových práv, včetně vzdáleného přístupu, práce s mobilními počítači a práce doma,

. přehled základních bezpečnostních opatření při zpracování a výměně informací a při denním provozu informačního sytému (to, co je společné pro všechny používané systémy informačních technologií a musí být centrálně řízeno a vyžadováno),

. proces vývoje a údržby informačního systému,
" řízení kontinuity podnikatelských činností a havarijního plánování informačního systému,

. ochrana informací a informačních aktiv organizace, ke kterým mají přístup, případně které přímo spravují či zpracovávají třetí strany na základě smluvního vztahu,

. správa a rozvoj vlastní politiky, zejména kontrola plnění, aktualizace, zajištění shody s legislativou a smluvními závazky a provádění auditu informační bezpečnosti.

Některé prameny doporučují uvádět v politice informační bezpečnosti také zdroje, ze kterých politika vychází - legislativní, smluvní, závěry rizikových analýz včetně ocenění aktiv atd. To je v pořádku, záleží však na formě zpracování. Tato ustanovení mají totiž obvykle popisný a deklarativní charakter, uživatele příliš nezajímají a v textu politiky jako závazného předpisu působí rušivě. Kromě toho je třeba dávat pozor na to, aby se zbytečně nešířily zneužitelné informace o hrozbách a zranitelnosti informačního systému.

Politika a co ještě
Politika informační bezpečnosti organizace být musí, o tom dnes není sporu, a to nikoli jen proto, že ji doporučují mezinárodní normy a požadují auditoři a postupně i právní řád (například v systému ochrany utajovaných skutečností vyplývá přímo ze zákona).

Napsat i dobrou politiku však samo o sobě nestačí. Je třeba ji umět v praxi prosadit. A to se neobejde bez vytvoření celého systému zavádění, řízení a zabezpečení informační bezpečnosti. Tento proces je dnes velmi dobře definován a v mnohých organizacích i prakticky zvládnut. Má mimochodem mnoho společných prvků s managementem jakosti podle norem ISO 9000:2000 a obsahuje rovněž možnost certifikace bezpečnosti informačního systému. Organizace, které mají řízení jakosti podle ISO 9000 zavedeno nebo jej zavádějí, jsou ve výhodě a zbývá jim relativně málo ...
To je však námět na jiný článek v některém z příštích čísel.