- Přehledy IS
- APS (25)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (31)
- CRM (52)
- DMS/ECM - správa dokumentů (19)
- EAM (17)
- Ekonomické systémy (68)
- ERP (75)
- HRM (28)
- ITSM (6)
- MES (33)
- Řízení výroby (36)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (41)
- Dodavatelé CRM (38)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (66)
- Informační bezpečnost (48)
- IT řešení pro logistiku (48)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
Tematické sekce
ERP systémy CRM systémy Plánování a řízení výroby AI a Business Intelligence DMS/ECM - Správa dokumentů HRM/HCM - Řízení lidských zdrojů EAM/CMMS - Správa majetku a údržby Účetní a ekonomické systémy ITSM (ITIL) - Řízení IT Cloud a virtualizace IT IT Security Logistika, řízení skladů, WMS IT právo GIS - geografické informační systémy Projektové řízení Trendy ICT E-commerce B2B/B2C CAD/CAM/CAE/PLM/3D tiskBranžové sekce
 | Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | |
| ||
Partneři webu
PříLOHA 7-8/2001
Informační technologie se v současné době staly nezbytným nástrojem pro účinné vedení obchodních činností a správu veřejných záležitostí. Význam informačních technologií pak podtrhla e-Business řešení s možností komunikace prakticky s celým okolním světem. Ve své práci jste se stěží setkali s manažerem, který by otevřeně zpochybňoval potřebu zajistit bezpečnost informačních a komunikačních technologií, pokud se ale o bezpečnosti hovoří ve všeobecné rovině. Směřuje-li ale jednání k reálným krokům řešení bezpečnosti, to znamená k systémovému řešení bezpečnosti ve vlastní organizaci, je již situace poněkud jiná. Objevují se argumenty typu: "náš systém je bezpečný", "v našem systému nejsou žádné cenné údaje", "řešení bezpečnosti je pro nás zbytečně nákladné" a podobně.
Tomuto přístupu a podceňování rizik mnohdy odpovídá i konkrétní stav řešení bezpečnosti, což lze dokumentovat na závěrech "Průzkumu stavu informační bezpečnosti v ČR", zpracovaném v roce 1999 a 2001 Národním bezpečnostním úřadem, PriceWaterhouseCoopers a Data Security Management. V roce 1999 35 % a v roce 2001 43 % dotázaných uvedlo, že má zpracovanou bezpečnostní politiku (otázkou ovšem zůstává zda skutečně komplexně pokrývá jednotlivé oblasti bezpečnosti) a téměř polovina organizací se nesetkala s analýzou rizik.
Je pravdou, že téměř každý provozovaný informační systém obsahuje některá bezpečnostní opatření, mezi nejčastěji aplikovaná patří využití bezpečnostních funkcí operačních systémů k identifikaci a autentizaci uživatelů, FireWall a využití bezpečnostních funkcí routerů. Toto "typické" řešení ovšem zdaleka nepokrývá všechny existující hrozby a stěží postačí jako argument o bezpečnosti informačního systému.
Vlastní řešení bezpečnosti informačních technologií je ze systémového pohledu nedílnou součástí celkového řešení bezpečnosti organizace a zahrnuje kromě vlastních informačních a komunikačních technologií i další oblasti:
. fyzická a objektová bezpečnost,
. personální bezpečnost,
. administrativní bezpečnost,
. kontrola.
Systémový přístup k řešení bezpečnosti v informačních technologiích pak znamená naplnit jednotlivé etapy životního cyklu řešením bezpečnosti, jako jsou:
. bezpečnostní politika,
. analýza rizik,
. zvládání rizik (bezpečnostní projekt),
. implementace a testování,
. bezpečnostní dokumentace,
. provoz,
. monitorování účinnosti implementovaných bezpečnostních opatření,
. změnové řízení.
Tento článek má ve svém názvu "Význam bezpečnostní politiky a analýzy rizik pro systémové řešení bezpečnosti v informačních technologiích". Proč je tedy význam těchto dvou úvodních etap životního cyklu řešení bezpečnosti stěžejní pro systémové řešení bezpečnosti? Z následujících důvodů:
1. Bezpečnostní politika jako soubor norem, požadavků a pravidel, které vymezují přístup organizace k zajištění důvěrnosti, integrity a dostupnosti informací je klíčovým dokumentem, ve kterém vedení organizace deklaruje své cíle v této oblasti. Schválením tohoto dokumentu management organizace zároveň deklaruje svoje odhodlání řešit problematiku bezpečnosti svého informačního systému.
2. Zapojení managementu organizace do řešení bezpečnosti pouze na úrovni schválení bezpečnostní politiky je však nepostačující pro dosažení cílů, uvedených v bezpečnostní politice. Je úlohou především specialistů IT nebo útvaru bezpečnosti management přesvědčit o nutnosti řešení bezpečnosti a jeho přímém podílu na prosazení bezpečnostní politiky v rámci organizace.
3. Analýza rizik dává odpověď na: CO je třeba chránit, proti ČEMU je třeba chránit a jakou SILOU je třeba chránit. Etapa analýza rizik tedy zahrnuje komplexní posouzení všech bezpečnostních hledisek.
4. Nezbytnou součástí analýzy rizik musí být i odhad ztrát při uplatnění hrozeb. Tento odhad ztrát pak je jedním z nejpádnějších argumentů k přesvědčení managementu organizace řešit bezpečnost informačního systému organizace.
5. Další nezbytnou součástí analýzy rizik pak je určení zbytkového rizika (to znamená že pravděpodobnost uplatnění hrozby je velmi nízká, zranitelnost aktiv informačního systému hrozbou je malá, ztráty při dopadu hrozby jsou akceptovatelné nebo bezpečnostní opatření k eliminaci hrozby by bylo neúměrně nákladné).
6. "Změření" zranitelnosti aktiv v analýze rizik je podkladem pro výběr bezpečnostních opatření s potřebnou silou bezpečnostního mechanizmu.
7. Závěry analýzy rizik pomáhají naplnit jedno z "nepsaných pravidel" řešení bezpečnosti, že bezpečnost musí být na "rozumné úrovni za rozumnou cenu".
8. Analýza rizik, jejíž závěry jsou schváleny managementem organizace, v praxi eliminuje intuitivní přístup k implementaci konkrétních bezpečnostních opatření na eliminaci pouze některých hrozeb.
9. Zpracování bezpečnostní politiky a provedení analýzy rizik není časově příliš náročné (závisí především na rozsahu informačního systému), to platí i pro finanční náročnost (i při řešení externím dodavatelem).
10. Zpracování bezpečnostní politiky a provedení analýzy rizik je přímo vyžadováno legislativou České republiky pro informační systémy zpracovávající utajované skutečnosti (zákon č. 148/1998 Sb. o ochraně utajovaných skutečností a vyhláška Národního bezpečnostního úřadu č. 56/1999 Sb. o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi).
11. Mezinárodně uznávané metodiky a standardy pro řešení bezpečnosti informačních systémů (zobecnění zkušenosti z řešení bezpečnosti informačních systémů ve světě) vyžadují zpracování bezpečnostní politiky a provedení analýzy rizik jako úvodních etap životního cyklu řešení bezpečnosti.
12. Naplnění úvodních etap životního cyklu řešení bezpečnosti, to je zpracování bezpečnostní politiky a provedení analýzy rizik je podmínkou nezbytnou pro úspěšný audit bezpečnosti informačního systému.
Pokud je zpracována a schválena bezpečnostní politika organizace (jsou vytčeny konkrétní a měřitelné cíle v oblasti bezpečnosti) a zpracována analýza rizik (vím co je třeba chránit a proti čemu), je možno zpracovat bezpečnostní projekt, který představuje výběr konkrétních bezpečnostních opatření k eliminaci hrozeb, plán jejich implementace a zdroje (finanční, časové, lidské, materiálové, ...) nutné k realizaci bezpečnostního projektu.
Realizace bezpečnostního projektu, zpracovaného na základě schválené bezpečnostní politiky a analýzy rizik pak sice může být v reálu v čase rozložena (především v závislosti na dostupných finančních zdrojích), tato realizace však neustále směřuje k naplnění definovaných cílů v oblasti bezpečnosti. Tento postup pak znamená i ochranu zdrojů organizace nutných pro realizaci bezpečnostního projektu.
Závěr
Cílem tohoto krátkého pojednání bylo poukázat na význam bezpečnostní politiky a analýzy rizik pro systémové řešení bezpečnosti informačních systémů a snad inspirovat k zamyšlení nad postupem řešení bezpečnosti ve vlastní organizaci.
Pozn.: Autor článku pracuje ve firmě Unisys s.r.o.
Význam bezpečnostní politiky
a analýzy rizik pro systémové řešení bezpečnosti v informačních technologiích
František Nemochovský [ frantisek (tečka) nemochovsky (zavináč) cz (tečka) unisys (tečka) com ]
Informační technologie se v současné době staly nezbytným nástrojem pro účinné vedení obchodních činností a správu veřejných záležitostí. Význam informačních technologií pak podtrhla e-Business řešení s možností komunikace prakticky s celým okolním světem. Ve své práci jste se stěží setkali s manažerem, který by otevřeně zpochybňoval potřebu zajistit bezpečnost informačních a komunikačních technologií, pokud se ale o bezpečnosti hovoří ve všeobecné rovině. Směřuje-li ale jednání k reálným krokům řešení bezpečnosti, to znamená k systémovému řešení bezpečnosti ve vlastní organizaci, je již situace poněkud jiná. Objevují se argumenty typu: "náš systém je bezpečný", "v našem systému nejsou žádné cenné údaje", "řešení bezpečnosti je pro nás zbytečně nákladné" a podobně.
Tomuto přístupu a podceňování rizik mnohdy odpovídá i konkrétní stav řešení bezpečnosti, což lze dokumentovat na závěrech "Průzkumu stavu informační bezpečnosti v ČR", zpracovaném v roce 1999 a 2001 Národním bezpečnostním úřadem, PriceWaterhouseCoopers a Data Security Management. V roce 1999 35 % a v roce 2001 43 % dotázaných uvedlo, že má zpracovanou bezpečnostní politiku (otázkou ovšem zůstává zda skutečně komplexně pokrývá jednotlivé oblasti bezpečnosti) a téměř polovina organizací se nesetkala s analýzou rizik.
Je pravdou, že téměř každý provozovaný informační systém obsahuje některá bezpečnostní opatření, mezi nejčastěji aplikovaná patří využití bezpečnostních funkcí operačních systémů k identifikaci a autentizaci uživatelů, FireWall a využití bezpečnostních funkcí routerů. Toto "typické" řešení ovšem zdaleka nepokrývá všechny existující hrozby a stěží postačí jako argument o bezpečnosti informačního systému.
Vlastní řešení bezpečnosti informačních technologií je ze systémového pohledu nedílnou součástí celkového řešení bezpečnosti organizace a zahrnuje kromě vlastních informačních a komunikačních technologií i další oblasti:
. fyzická a objektová bezpečnost,
. personální bezpečnost,
. administrativní bezpečnost,
. kontrola.
Systémový přístup k řešení bezpečnosti v informačních technologiích pak znamená naplnit jednotlivé etapy životního cyklu řešením bezpečnosti, jako jsou:
. bezpečnostní politika,
. analýza rizik,
. zvládání rizik (bezpečnostní projekt),
. implementace a testování,
. bezpečnostní dokumentace,
. provoz,
. monitorování účinnosti implementovaných bezpečnostních opatření,
. změnové řízení.
Tento článek má ve svém názvu "Význam bezpečnostní politiky a analýzy rizik pro systémové řešení bezpečnosti v informačních technologiích". Proč je tedy význam těchto dvou úvodních etap životního cyklu řešení bezpečnosti stěžejní pro systémové řešení bezpečnosti? Z následujících důvodů:
1. Bezpečnostní politika jako soubor norem, požadavků a pravidel, které vymezují přístup organizace k zajištění důvěrnosti, integrity a dostupnosti informací je klíčovým dokumentem, ve kterém vedení organizace deklaruje své cíle v této oblasti. Schválením tohoto dokumentu management organizace zároveň deklaruje svoje odhodlání řešit problematiku bezpečnosti svého informačního systému.
2. Zapojení managementu organizace do řešení bezpečnosti pouze na úrovni schválení bezpečnostní politiky je však nepostačující pro dosažení cílů, uvedených v bezpečnostní politice. Je úlohou především specialistů IT nebo útvaru bezpečnosti management přesvědčit o nutnosti řešení bezpečnosti a jeho přímém podílu na prosazení bezpečnostní politiky v rámci organizace.
3. Analýza rizik dává odpověď na: CO je třeba chránit, proti ČEMU je třeba chránit a jakou SILOU je třeba chránit. Etapa analýza rizik tedy zahrnuje komplexní posouzení všech bezpečnostních hledisek.
4. Nezbytnou součástí analýzy rizik musí být i odhad ztrát při uplatnění hrozeb. Tento odhad ztrát pak je jedním z nejpádnějších argumentů k přesvědčení managementu organizace řešit bezpečnost informačního systému organizace.
5. Další nezbytnou součástí analýzy rizik pak je určení zbytkového rizika (to znamená že pravděpodobnost uplatnění hrozby je velmi nízká, zranitelnost aktiv informačního systému hrozbou je malá, ztráty při dopadu hrozby jsou akceptovatelné nebo bezpečnostní opatření k eliminaci hrozby by bylo neúměrně nákladné).
6. "Změření" zranitelnosti aktiv v analýze rizik je podkladem pro výběr bezpečnostních opatření s potřebnou silou bezpečnostního mechanizmu.
7. Závěry analýzy rizik pomáhají naplnit jedno z "nepsaných pravidel" řešení bezpečnosti, že bezpečnost musí být na "rozumné úrovni za rozumnou cenu".
8. Analýza rizik, jejíž závěry jsou schváleny managementem organizace, v praxi eliminuje intuitivní přístup k implementaci konkrétních bezpečnostních opatření na eliminaci pouze některých hrozeb.
9. Zpracování bezpečnostní politiky a provedení analýzy rizik není časově příliš náročné (závisí především na rozsahu informačního systému), to platí i pro finanční náročnost (i při řešení externím dodavatelem).
10. Zpracování bezpečnostní politiky a provedení analýzy rizik je přímo vyžadováno legislativou České republiky pro informační systémy zpracovávající utajované skutečnosti (zákon č. 148/1998 Sb. o ochraně utajovaných skutečností a vyhláška Národního bezpečnostního úřadu č. 56/1999 Sb. o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi).
11. Mezinárodně uznávané metodiky a standardy pro řešení bezpečnosti informačních systémů (zobecnění zkušenosti z řešení bezpečnosti informačních systémů ve světě) vyžadují zpracování bezpečnostní politiky a provedení analýzy rizik jako úvodních etap životního cyklu řešení bezpečnosti.
12. Naplnění úvodních etap životního cyklu řešení bezpečnosti, to je zpracování bezpečnostní politiky a provedení analýzy rizik je podmínkou nezbytnou pro úspěšný audit bezpečnosti informačního systému.
Pokud je zpracována a schválena bezpečnostní politika organizace (jsou vytčeny konkrétní a měřitelné cíle v oblasti bezpečnosti) a zpracována analýza rizik (vím co je třeba chránit a proti čemu), je možno zpracovat bezpečnostní projekt, který představuje výběr konkrétních bezpečnostních opatření k eliminaci hrozeb, plán jejich implementace a zdroje (finanční, časové, lidské, materiálové, ...) nutné k realizaci bezpečnostního projektu.
Realizace bezpečnostního projektu, zpracovaného na základě schválené bezpečnostní politiky a analýzy rizik pak sice může být v reálu v čase rozložena (především v závislosti na dostupných finančních zdrojích), tato realizace však neustále směřuje k naplnění definovaných cílů v oblasti bezpečnosti. Tento postup pak znamená i ochranu zdrojů organizace nutných pro realizaci bezpečnostního projektu.
Závěr
Cílem tohoto krátkého pojednání bylo poukázat na význam bezpečnostní politiky a analýzy rizik pro systémové řešení bezpečnosti informačních systémů a snad inspirovat k zamyšlení nad postupem řešení bezpečnosti ve vlastní organizaci.
Pozn.: Autor článku pracuje ve firmě Unisys s.r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
duben - 2025  | ||||||
| Po | Út | St | Čt | Pá | So | Ne |
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 1 | 2 | 3 | 4 |
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
IT Systems podporuje
Formulář pro přidání akce
Další vybrané akce
| 15.5. | Konference SCADA Security |
| 22.5. | Akce pro automobilové dodavatele "3DEXPERIENCE... |
| 12.6. | Konference ABIA CZ 2025: setkání zákazníků a partnerů... |
| 29.9. | The Massive IoT Conference |
