Jak vypracovat bezpečnostní politiku v podniku

Celková bezpečnostní politika (BP) je dokument, jenž je chápán jakožto základ-ní

dokument celkového zabezpečení organizace, který umožňuje koncepční a kon-

zistentní budování bezpečnosti jak v oblasti

IT, tak v ostatních oblastech. Tento dokument v obecné rovině popisuje základní

požadav-

ky organizace na zabezpečení a jeho cílem je ochrana veškerého hmotného i

nehmotného majetku firmy, ochrana jejího dobrého jména a předmětu činnosti

organizace. Stručně řečeno BP definuje, co chránit, proti čemu a jakým způsobem.

Obsah BP musí pokrývat veškeré aspekty zabezpečení ochrany organizace, počínaje

např. ochranou budov přes definování jednotlivých skupin zaměstnanců, zálohování

dat až po např. plány obnovy činnosti. Obsah BP schvaluje vedení organizace a

její schválená podoba je závazná pro všechny zaměstnance organizace.

Prostřednictvím smluv s třetími stranami se pak jednotlivé relevantní požadavky

BP přenášejí i na smluvní partnery organizace a jejich zaměstnance. Požadavky a

zásady BP by měly být zpracovány na takové úrovni, aby tento dokument nemusel

být při organizačních změnách organizace menší a střední úrovně nijak měněn.

Nicméně obsah BP podléhá stejně jako každá bezpečnostní dokumentace pravidelné

kontrole své aktuálnosti a revizím.

Z pohledu standardizace bezpečnostní politiky se je v současné době možné opřít

o standardy ISO, zejména ISO/IEC 17799:200O IT: Code of Practice for Information

Security Management a ISO/IEC 17799:200O IT: Code of Practice for Information

Security Management. Tyto standardy pomáhají zejména při definici cílů a

strategií BP, nejsou však plnohodnotným návodem na její vypracování. Tím se

dostáváme k otázce, kdo by měl pro organizaci BP vypracovat. První cestou je

využití vlastních zdrojů. Z různých, převážně však finančních či kádrových

důvodů může organizace vypracovat bezpečnostní politiku a následnou dokumentaci

prostřednictvím vlastních zaměstnanců. Výhody tohoto řešení se zdají zpočátku

jasné: nižší náklady a vyšší sepětí tvůrce s organizací. Nicméně pokud

organizace nepatří k úzké skupině organizací, zaměstnávajících vlastního

kvalitního bezpečnostního experta a jeho tým, začínají zprvu jasně viditelné

výhody postupně ustupovat – dá se tedy říci, že toto řešení přináší spíše

některé podstatné nevýhody.

Běžný zaměstnanec běžné organizace nemá a ani nemůže mít komplexní přehled a

dostatek zkušeností s tímto druhem práce. Nutně z toho vyplývá potřeba finančně

nákladných školení či konzultací. Jejich počet nemusí být vůbec nízký, neboť

určený pracovník organizace minimálně zpočátku nemusí tušit, co vlastně ke své

práci potřebuje vědět a na co se ptát. To vede k postupnému zmizení výhody

nízkých nákladů. Navíc i sebelepší školení je stále jen školení a praktické

zkušenosti nenahradí. I školený pracovník potřebuje nutně spolupracovat se

zkušeným kolegou. Ve většině organizací je navíc práce na BP chápána jako cosi

navíc a členové týmu tento úkol řeší souběžně se svými běžnými povinnostmi. To

pak vede k nesystematickým postupům a ve výsledku i k závažným chybám. Další

nevýhodou tohoto řešení může být i nedostatek autority autorského týmu v očích

vedení organizace, které by mělo vypracované řešení prosadit. I zde existuje

efekt vyšší autority materiálu, přicházejícího od specializované firmy zvenčí a

podloženého jasně vyčíslenými náklady.

Druhou cestou je vypracování bezpečnostní politiky externí firmou. Tento případ

lze považovat za protipól výše uvedeného řešení. V tomto případě je zadána

tvorba příslušné dokumentace externí firmě, v jejímž řešitelském týmu nefunguje

žádný přímý zástupce organizace, který by byl u tvorby od začátku do konce. V

takovém případě nemusí být ani reakce pracovníků organizace při interview ideál-

ní a jejich výsledky tak mohou být zkresleny. Nicméně hlavním rizikem tohoto

způsobu je odchod „know-how“ spojeného s projektem, ke kterému dochází s

odchodem posledního zaměstnance externí firmy z organizace. Vynaložené

prostředky tedy nejsou využity zcela efektivně a další rozvoj bezpečnostního

povědomí a změny stávajícího stavu zabezpečení se nemusí kvalitně projevit ve

změně bezpečnostní dokumentace a v zabezpečení aktiv oproti novým hrozbám či

zvýšeným rizikům.

Z uvedeného vyplývá, že jako optimální varianta se jeví příprava bezpečnostní

politiky za účasti externí firmy za předpokladu, že je v pracovním týmu zařazen

i dostatečný počet zaměstnanců organizace. Na tyto zaměstnance pak na základě

uzavřené smlouvy přechází všechny znalosti potřebné pro údržbu a rozvoj

bezpečnosti organizace. Toto řešení zabezpečí i další z potřebných podmínek

úspěšného řešení, totiž aby celé řešení bylo chápáno jako samostatný a

plnohodnotný projekt organizace. Tím by mělo být zajištěno dodržování termínů,

poskytnutí potřebných kapacit, ať již finančních či kapacitních, potřebná

podpora, autorita u ostatních pracovníků organizace a podobně.

Velmi důležitým faktorem při řešení bezpečnostní problematiky je komplexní

pohled. Je třeba dbát na to, aby se nekladl neoprávněný důraz na jednu složku

řešení bezpečnosti (např. technické zabezpečení IT, útoky zvenčí) na úkor druhé

(např. personální opatření, útoky zevnitř) a vzniklo tak vyvážené a celistvé

řešení. Organizace si musí uvědomit, že tvorba kvalitní BP a navazující řešení

bezpečnosti zasáhne více či méně do všech organizačních struktur, bude se muset

projevit ve většině stávajících psaných i nepsaných norem organizace. Zavedení a

udržení požadované míry úrovně bezpečnosti vyžaduje osvětu a pravidelné školení

mezi pracovníky na všech úrovních, rovněž je nutná plná podpora ze strany vedení

organizace. Nelze prosadit úspěšnou implementaci bezpečnostní politiky bez

podpory a zainteresovanosti nejvyššího managementu organizace. Dalším

předpokladem úspěšné tvorby BP je určení osoby objednatele na straně organizace,

zodpovědné za realizaci projektu BP, tedy určitého garanta projektu.

Za standardní postup při tvorbě a implementaci BP je považován tento souhrn

kroků:

• předběžná studie

• zadání,

• analýza rizik,

• bezpečnostní politika organizace,

• realizace BP,

• realizace a tvorba bezpečnostní dokumentace nižší úrovně,

• průběžná realizace osvěty – udržování bezpečnostního povědomí zaměstnanců.



Předběžná studie se nepovažuje za nezbytnou součást řešení, nicméně je často na

místě. Z hlediska finančního jde o poměrně levnou záležitost, jež může celý

projekt zkrátit a tím ve finále i zlevnit. Účelem studie je získat základní

orientaci v organizaci a činnostech firmy i základní údaje o bezpečnostní

situaci. Na podkladě těchto informací je možné stanovit přesněji zejména rozsah

budoucích nutných prací, rozvržení a náplň jednotlivých etap a tím i rámcovou

finanční náročnost.

V zadání stanoví organizace ve spolupráci s řešitelem své požadavky na

bezpečnost. Řešitel toto zadání ve shodě se zadavatelem koriguje ve smyslu

zákonných předpisů, „rozumnosti“ a obvyklosti požadavků zákazníka, případně

navrhuje doplnění opomenutých skutečností.

Opravdu kvalitní bezpečnostní politiku lze sestavit pouze na základě kvalitně

provedené analýzy rizik (AR). AR by měla rovněž předcházet jakýmkoliv finančním

investicím do bezpečnosti, aby bylo zaručeno jejich maximál-

ně efektivní využití. Analýza rizik poskytne na základě relativně obecných

informací ze zadání řešitelskému týmu odpovědi na otázky, co chránit, proti čemu

a jakým způsobem. Výstupem AR tedy bude ocenění hmotných či nehmotných hodnot,

tedy aktiv organizace, včetně finančního ohodnocení, či prostřednictvím scénářů

stanovujících, co se stane v případě poškození, ztráty či nedostupnosti daného

aktiva. Dalším výstupem bude seznam veškerých hrozeb, které byly ve vztahu k

aktivům organizace identifikovaný i s jejich ohodnocením a návrhem postupů na

minimalizaci.

Velmi důležitým krokem úspěšného provedení AR je výběr vhodné metody (základní,

neformální, podrobná analýza, kombinovaný přístup) a případně příslušného

nástroje (CRAMM, Cobra, NetRecon, RiskWatch, RiskPAC, @RISK). Zde je pro

organizaci velmi vhodné spolehnout se na zkušenosti externích bezpečnostních

firem a nechat si doporučit nejvhodnější typ metody pro AR. Obecně lze říci, že

hlavní výhodou podrobné analýzy je komplexnost všech navržených opatření,

nevýhodou pak delší doba takového zpracování. Použití automatizovaných nástrojů

pak přináší výhodu maximální eliminace lidských chyb, případně opomenutí

některých oblastí a aspektů celkového řešení bezpečnosti.

Sekundárním přínosem provedení AR a na jejím základě získaných informací může

být i lepší pochopení vnitřních mechanizmů organizace a zlepšení řídicích

procesů firmy. Nedostatečně či špatně provedená AR může mít pro organizaci

fatální následky.

Kvalitní BP musí obsahovat minimálně tyto body:



• Stanovení účelu BP, prohlášení o závaznosti BP pro pracovníky a deklarace plné

podpory ze strany vedení organizace.

• Definici požadované úrovně bezpečnosti.

• Definici úrovní zabezpečení a míry odolnosti proti jednotlivým typům útoků.

• Definici bezpečnostního managementu organizace.

• Základní (obecné) bezpečnostní opatření v oblasti administrativní, personální,

fyzické a systémové (oblast IT/ICT).

• Normy chování zaměstnanců organizace.

• Havarijní plány a postupy v obecné rovině.

• Deklarace souladu řešení bezpečnosti s relevantní legislativou a normami.

Po zpracování jednotlivých kapitol bezpečnostní politiky jsou pak tyto

konzultovány a předloženy k připomínkám a akceptaci. Po odsouhlasení všech

kapitol je vypracován výsledný dokument, tedy celková BP. Ta je poté předložena

nejvyššímu managementu organizace k vyslovení souhlasu a má být uvedena v

platnost. Velmi vhodné je již akceptovanou bezpečnostní politiku formou

prezentace představit minimálně vyššímu a střednímu managementu organizace. Její

autor by měl vysvětlit význam dokumentu a objasnit všechny používané pojmy,

definice, odpovědět na dotazy atd.

Realizace neboli zavedení vypracované BP do praxe se zdánlivě jeví jako snadný

úkol. Ve skutečnosti však spíše opak bývá pravdou – hlavně v případech, kdy je

bezpečnost v dané organizaci řešena „na zelené louce“. Praktické zavedení

jednotlivých opatření do každodenního provozu fungující organizace vždy přináší

určité restrikce vůči zaměstnancům a klade na ně požadavky, na něž dosud nebyli

zvyklí. Zatímco restriktivní složka těchto opatření je patrná hned a pracovník

ji pocítí s okamžitou platností, přínos daných opatření už tak snadno a jasně

vidět není a obvykle se projeví až po určitém časovém úseku. Je zřejmě v lidské

přirozenosti se všem změnám „k horšímu“ bránit, a tak je prosazení nových

opatření a zavádění nových struktur velmi nesnadný úkol. Od zodpovědných

pracovníků vyžaduje velkou dávku trpělivosti, asertivity a znalosti lidských

vztahů.

Vypracování bezpečnostní politiky představuje významný krok v nastavení

bezpečnosti organizace na potřebnou úroveň, není však krokem posledním. Logickým

důsledkem existence BP je potřeba vypracovat veškerou dokumentaci pro technickou

i netechnickou oblast organizace.



Autor je ředitelem divize finančních institucí společnosti PVT