• O co vlastně jde
  • Nic nového pod sluncem
  • Univerzálnost IS
  • Nejde jen o viry ...
  • Kritéria bezpečnosti
  • Státní správa ...
  • Kudy cesta nevede
• Co nabízíme
  • Předběžná studie
  • Zadání
  • Úvodní projekt
  • Celková bezpečnostní politika organizace
  • Systémová bezpečnostní politika
  • Realizace bezpečnostní politiky
  • Osvěta
  • Závěrem

---

Bezpečnost informačních systémů

I.  O co vlastně jde

Nic nového pod sluncem

Problém bezpečného nakládání s informacemi pochopitelně nevznikl s příchodem výpočetní techniky. Nutnost zabývat se jím s sebou přirozeně přinesla samotná práce s informacemi jako taková, každá doba pak hledala pro nakládání s informacemi jistý řád. Soukromé osoby, úřady, banky, firmy, školy, armády i státy, si musely v průběhu času vytvořit určitá pravidla o utajování některých skutečností, o nakládání s písemnými informacemi neboli doklady, o důvěrném styku, o hierarchiích opravňujících vědět, nakládat a rozhodovat.

Univerzálnost informačních systémů (IS)

Skutečnosti, že dochází k "nebývalému rozkvětu" informačních technologií, jsme svědky už více než padesát let. Vrchovatě se naplnil pouze tušený vývojový trend v tom smyslu, že informační technologie postupně pronikly do všech oblastí lidského konání.

Bezpečnost zaostala za rozvojem techniky

Bylo jen otázkou času, kdy se vynoří problém počítačové bezpečnosti a ochrany dat, který posléze vykrystalizoval v mnohem obecnější požadavek bezpečnosti informačních systémů.

V něm totiž nejde jenom o výpočetní techniku. Její využívání ovlivňuje celý systém zahrnující kompletní chod instituce, tj. organizační řád, vnitřní předpisy, fyzickou ochranu, režim pracovně právních vztahů, zvyklosti a v neposlední řadě profesionální úroveň, pracovní kázeň a loajalitu zaměstnanců. Přesněji řečeno, jde o ochranu, jež můžeme rozdělit do čtyř kategorií:

• administrativní (zákonná opatření, předpisy apod.)
• logickou (ochrana pomocí programových prostředků, softwarová ochrana)
• fyzickou (ostraha objektu, uzamykání místností atd.)
• technickou (elektronické prostředky, např. tzv. "chytré" karty)

Nejde jen o viry ...

Viditelným vrcholkem ledovce bezpečnostních hrozeb jsou všeobecně známé počítačové viry. Nejde však jenom o ně, i když i ony jsou zahrnuty do systému bezpečnosti informačních systémů. (Mimochodem, viry jsou mimořádně zlomyslnou a těžko pochopitelnou záležitostí, jejich cílem nebývá snaha cokoli získat, nýbrž jen a jen uškodit za každou cenu, a to neadresně, bez jakéhokoli racionálního důvodu).

...ale o celkovou bezpečnost

Bezpečný informační systém musí splňovat tři zdánlivě jednoduché požadavky. Jsou jimi:

• důvěrnost
   jíž se rozumí ochrana proti neoprávněnému zpřístupňování dat
• integrita,
   kterou se rozumí ochrana proti neoprávněné modifikaci informace, a
• dostupnost,
    kterou se rozumí minimalizace případů odmítnutí informace nebo zdroje

čímž je vlastně dán celý problém bezpečnosti informačních systémů. Otázkou ovšem zůstává, co si každý konkrétní informační systém pod těmito požadavky představuje a jak je naplňuje.

Kritéria bezpečnosti

Na stanovení kritérií bezpečnosti informačních systémů bylo ve světě vynaloženo obrovské množství práce, často se ovšem lišily bezpečnostní cíle, které vycházely z rozdílných potřeb zainteresovaných subjektů (zemí, organizací). Ukázalo se, že dříve či později bude nutno v zájmu vybudování základny pro hodnocení a certifikaci informačních systémů veškerá používaná kritéria bezpečnosti IS sjednotit. V rámci Evropských společenství pak vznikla tzv. harmonizovaná kritéria bezpečnosti označovaná zkratkou ITSEC (Information Technology Security Evaluation Criteria neboli Kritéria hodnocení bezpečnosti informačních systémů), která byla od 1.12.1999 nahrazena normou Common Criteria s označením ISO 15408. Poslední verze ze září 2000 má číslo 2.1.

Státní správa ...

K evropské iniciativě v oblasti bezpečnosti informačních systémů se státní správa ČR přihlásila překladem a vydáním publikace shodného jména, tedy Kritéria hodnocení bezpečnosti informačních systémů [MH ČR, Praha, 1993, 137 s].

Systematická snaha státní správy o sjednocení bezpečnostních standardů ČR s evropskými se dále projevila vydáním publikaci Standardy státního informačního systému České republiky [MH ČR, Praha, červen 1996, 443 s, ISSN 1210-9975]. V současné době je vypsáno výběrové řízení na nový standard.

... a nejen ona

Nutnost zabezpečení si už dnes uvědomuje většina provozovatelů a uživatelů informačních systémů, zvláště pak těch, kteří již zakusili trpkou zkušenost se zcizením informací, ztrátou souborů, proniknutím vetřelce do systému apod.

Kudy cesta nevede

Nejobvyklejší chybou při budování informačního systému je začít neuváženými nákupy techniky a programového vybavení. Kritéria funkčnosti, bezpečnosti a hospodárnosti by vždy měla být prvotní a v každém případě stojí za vypracování návrhu, studie, projektu, nebo alespoň odbornou konzultaci.

V dalších fázích tvorby IS často přichází nahodilé, nesystematické zavádění určitých bezpečnostních prvků bez celkové bezpečnostní strategie, jak jej realizují mnozí dodavatelé či sami uživatelé. I to je bohužel nutno považovat za mrhání prostředky. Sebelepší antivirový program, firewall či jiná bezpečnostní opatření jsou zbytečná v organizaci, která nezná svoji bezpečnostní politiku, neví, jaká data chce chránit a proti čemu, nezabývá se organizačními opatřeními k zajištění bezpečnosti, analýzou rizik apod. Zranitelnost informačního systému lze podobnými chaotickými opatřeními snížit jen nepatrně a útoky na bezpečnost přicházejí ze zcela nečekaného směru.