Bakalářská práce - Přijímací řízení na Unicorn College

Transkript

UNICORN COLLEGE
Katedra informačních technologií
BAKALÁŘSKÁ PRÁCE
Zabezpečení účetních dat ve firmě WaveNet.cz, s.r.o.
Autor BP: Tomáš Kasper
Vedoucí BP: Ing. David Procházka, Ph.D.
2014 Praha
ZADÁNÍ
ZADÁNÍ
ČESTNÉ PROHLÁŠENÍ
Prohlašuji, že jsem svou bakalářskou práci na téma Zabezpečení účetních dat ve firmě
WaveNet.cz, s.r.o. vypracoval samostatně pod vedením vedoucího bakalářské práce a s
použitím výhradně odborné literatury a dalších informačních zdrojů, které jsou v práci
citovány a jsou také uvedeny v seznamu literatury a použitých zdrojů. Jako autor této
bakalářské práce dále prohlašuji, že v souvislosti s jejím vytvořením jsem neporušil autorská
práva třetích osob a jsem si plně vědom následků porušení ustanovení § 11 a následujících
autorského zákona č. 121/2000 Sb.
V Praze dne ………..
.......................................................
PODĚKOVÁNÍ
Děkuji vedoucímu bakalářské práce Ing. Davidu Procházkovi, Ph.D. za účinnou metodickou,
pedagogickou a odbornou pomoc a další cenné rady při zpracování mé bakalářské práce.
Děkuji také Petru Forejtkovi a kolektivu pracovníků společnosti WaveNet.cz, s.r.o. za
to, že mi svým kladným přístupem umožnili tuto práci realizovat.
Zabezpečení účetních dat ve firmě
WaveNet.cz, s.r.o.
Accounting Data Security in WaveNet.cz, s.r.o.
company
6
ABSTRAKT
Cílem práce je navrhnout ucelený soubor opatření vedoucích ke zvýšení úrovně bezpečnosti a
ochrany dat v obchodní společnosti, jež poskytuje účetní služby sobě a dalším subjektům.
V teoretické části se zabývám kromě základní terminologie i podstatou účetních dat a
výběrem nejvhodnější metodiky pro řízení bezpečnosti informací ve firmě malé velikosti, tedy
s výrazně omezenou kapacitou finančních i lidských zdrojů.
V praktické části zkoumám zvolenou firmu a hodnotím stávající úroveň informační
bezpečnosti prostřednictvím auditu. Na základě zjištěných nedostatků dále stanovuji
konkrétní opatření rozdělené do čtyř hlavních částí. Těmi jsou řízení rizik, řízení bezpečnosti
procesů a technologií, řízení lidí a řízení bezpečnostních incidentů.
Výsledkem je návrh ekonomicky i procesně opodstatněného zabezpečení účetních dat
v reálném prostředí vybrané firmy, tak jak je popsán v bakalářské práci.
Klíčová slova: Bezpečnost informací, bezpečnostní incidenty, bezpečnost účetních dat,
analýza rizik
7
ABSTRACT
The goal if this thesis is to propose a comprehensive set of measures to increase the level of
security and data protection in a company that provides accounting services for themselves
and others.
In the theoretical part I deal with the basic terminology, substance of accounting data
and selection of the most appropriate methodology for information security management in
small size enterprise with significantly limited capacity of financial and human resources.
The practical part explores the selected company and evaluates the current level of
information security through audit. Based on revealed shortcomings I suggest further
measures divided into four main parts. These include risk management, security management
of processes and technology, human resources management and management of security
incidents.
The result is a design of procedurally and economically well-founded security of
accounting data in a real environment of selected company, as described in the thesis.
Keywords: Information security, security incidents, accounting data security, risk assessment
8
OBSAH
1. ÚVOD........................................................................................................................................................................ 10
2. TEORETICKÁ ČÁST............................................................................................................................................. 11
2.1 Základní pojmy bezpečnosti a ochrany dat..................................................................................... 11
2.1.1 Informace a data............................................................................................................................... 11
2.1.2 Informační bezpečnost.................................................................................................................. 11
2.1.3 Aktiva.................................................................................................................................................... 11
2.1.4 Hrozba.................................................................................................................................................. 12
2.1.5 Zranitelnost........................................................................................................................................ 12
2.1.6 Bezpečnostní incident.................................................................................................................... 13
2.1.7 Autentizace a autorizace............................................................................................................... 13
2.1.8 Princip důvěrnosti, dostupnosti a integrity...........................................................................13
2.1.9 Bezpečnost dat v cloudu............................................................................................................... 14
2.2 Bezpečnost v oblasti vedení účetnictví............................................................................................. 16
2.2.1 Finanční účetnictví.......................................................................................................................... 16
2.2.2 Zákon o účetnictví a podstata účetních dat...........................................................................17
2.2.3 Zákon o ochraně osobních údajů............................................................................................... 17
2.2.4 Bezpečnost účetních dat............................................................................................................... 18
2.2.5 Budoucnost vedení účetnictví..................................................................................................... 19
2.3 Řízení bezpečnosti informací................................................................................................................ 20
2.3.1 ITIL........................................................................................................................................................ 21
2.3.2 COBIT.................................................................................................................................................... 21
2.3.3 ISO/IEC 27000.................................................................................................................................. 22
2.3.4 Metodika vyvážené informační bezpečnosti.........................................................................22
2.3.5 Výběr metodiky řízení bezpečnosti.......................................................................................... 24
3. PRAKTICKÁ ČÁST................................................................................................................................................ 25
3.1 Společnost WaveNet.cz, s.r.o.................................................................................................................. 25
3.1.1 Podnikové role.................................................................................................................................. 25
3.1.2 ICT infrastruktura............................................................................................................................ 25
3.1.3 Proces vedení účetnictví............................................................................................................... 27
3.1.4 Hranice řešené problematiky...................................................................................................... 27
3.2 Audit současného stavu........................................................................................................................... 28
3.2.1 Úroveň závislosti podniku na IT................................................................................................. 28
3.2.2 Úroveň řízení rizik........................................................................................................................... 29
3.2.3 Úroveň řízení bezpečnosti procesů a technologií...............................................................29
3.2.4 Úroveň řízení lidských zdrojů..................................................................................................... 31
3.2.5 Úroveň řízení bezpečnostních incidentů................................................................................ 32
3.2.6 Interpretace zjištěných výsledků............................................................................................... 34
3.3 Řízení rizik.................................................................................................................................................... 35
3.3.1 Hodnocení aktiv................................................................................................................................ 35
3.3.2 Hodnocení hrozeb............................................................................................................................ 36
3.3.3 Hodnocení zranitelností................................................................................................................ 37
3.3.4 Hodnocení rizik................................................................................................................................ 41
3.4 Řízení bezpečnosti procesů a technologií........................................................................................42
3.4.1 Bezpečnostní perimetr.................................................................................................................. 42
3.4.2 Zabezpečení archivačních skříní................................................................................................ 42
3.4.3 Firemní trezor................................................................................................................................... 43
3.4.4 Fyzické zabezpečení serveru....................................................................................................... 43
3.4.5 Záložní napájení............................................................................................................................... 43
9
3.4.6 Zálohování.......................................................................................................................................... 44
3.4.7 Údržba aktiv....................................................................................................................................... 46
3.4.8 Likvidace aktiv.................................................................................................................................. 46
3.4.9 Monitoring systémových a síťových zdrojů...........................................................................48
3.4.10 Bezpečnost a kontrola přístupového bodu WiFi...............................................................49
3.4.11 Bezpečnost a kontrola serveru................................................................................................ 49
3.4.12 Bezpečnost a kontrola pracovní stanice...............................................................................51
3.4.13 Bezpečnost a kontrola mobilních telefonů a tabletů.......................................................51
3.4.14 Bezpečnost systému pro vedení účetnictví a účetních dat...........................................53
3.4.15 Elektronická komunikace........................................................................................................... 54
3.4.16 Systém souhrnných hlášení....................................................................................................... 55
3.4.17 Bezpečnost datových nosičů..................................................................................................... 56
3.4.18 Bezpečnostní kalendář................................................................................................................ 57
3.4.19 Schvalování aplikací..................................................................................................................... 57
3.4.20 Tvorba silného hesla.................................................................................................................... 57
3.4.21 Identifikace a autentizace uživatelů....................................................................................... 57
3.4.22 Správa uživatelských účtů a hesel........................................................................................... 58
3.4.23 Segregace sítě.................................................................................................................................. 58
3.4.24 Zásada čistého stolu a prázdné obrazovky..........................................................................59
3.4.25 Kryptografická ochrana.............................................................................................................. 59
3.5 Řízení lidských zdrojů.............................................................................................................................. 61
3.5.1 Definice rolí bezpečnostní politiky........................................................................................... 61
3.5.2 Pracovní smlouvy............................................................................................................................. 63
3.5.3 Zahájení pracovního poměru...................................................................................................... 63
3.5.4 Ukončení pracovního poměru.................................................................................................... 64
3.5.5 Postihy za porušování bezpečnostní politiky.......................................................................64
3.5.6 Školení v oblasti bezpečnosti informací................................................................................. 65
3.6 Řízení bezpečnostních incidentů......................................................................................................... 66
3.6.1 Příprava a plánování....................................................................................................................... 66
3.6.2 Detekce a analýza............................................................................................................................. 66
3.6.3 Obnova po bezpečnostním incidentu....................................................................................... 67
3.6.4 Obnova serveru................................................................................................................................. 68
3.6.5 Obnova pracovní stanice............................................................................................................... 69
3.6.6 Obnova mobilních zařízení.......................................................................................................... 69
3.6.7 Obnova tiskárny, přístupového bodu WiFi a přepínače....................................................69
3.6.8 Odhad časové náročnosti obnovy a výměny zařízení........................................................70
3.6.9 Zajištění procesu vedení účetnictví.......................................................................................... 70
3.6.10 Dlouhodobá rekonstrukce kancelářských prostor...........................................................71
3.7 Bezpečnostní dokumentace................................................................................................................... 72
3.8 Ekonomická náročnost navrhovaného řešení................................................................................74
3.9 Zhodnocení a výhled do budoucna..................................................................................................... 75
4. ZÁVĚR....................................................................................................................................................................... 76
5. CONCLUSION......................................................................................................................................................... 78
6. SEZNAM POUŽITÝCH ZKRATEK.................................................................................................................... 80
7. SEZNAM ZDROJŮ................................................................................................................................................. 82
7.1 Knižní zdroje................................................................................................................................................ 82
7.2 Internetové zdroje..................................................................................................................................... 83
7.3 Software......................................................................................................................................................... 85
8. SEZNAM ILUSTRACÍ........................................................................................................................................... 87
9. SEZNAM TABULEK.............................................................................................................................................. 88
10. SEZNAM PŘÍLOH............................................................................................................................................... 89
10
1.
ÚVOD
Pro malé podniky je typické, že kvůli procesní a personální náročnosti bezpečnost dat příliš
neřeší a spíše marně doufají, že se jich tato problematika netýká. To lze do určité míry
pochopit. Je to však důvod, proč na jakékoli systematické řízení bezpečnosti úplně
kapitulovat? Osobně si to nemyslím a proto cílem mé práce je navrhnout efektivní způsob
zajištění bezpečnosti účetních dat v reálném prostředí vybrané firmy, od jejíhož vedení tento
požadavek původně vzešel. Získáním podpory managementu je tak splněna základní
podmínka úspěšného dosažení vytyčeného cíle. Pro lepší srozumitelnost bude práce
rozdělena do několika částí tak, jak lze vidět na obrázku 1.
Ilustrace 1: Struktura práce
Zdroj: Vlastní zpracování
Nejprve budou vymezeny důležité pojmy vyskytující se v oboru informační bezpečnosti,
následně zmapovány a zváženy způsoby, jakými se tato problematika obvykle řeší. Dále bude
popsána vybraná firma a proveden audit, na jehož základě budou navržena opatření vedoucí
ke zvýšení celkové úrovně bezpečnosti dat.
Motivací ke zpracování tématu je pro mne zájem, který ve mně vzbudil právě
bezpečnostní aspekt informačních systémů a ICT infrastruktury probíraný v rámci několika
předmětů vyučovaných na Unicorn College. Pro dosažení vytyčeného cíle plánuji plně využít
znalostí a dovedností získaných jak praxí v oblasti správy sítí a operačních systémů, tak
studiem na škole.
11
2.
TEORETICKÁ ČÁST
2.1 Základní pojmy bezpečnosti a ochrany dat
2.1.1 Informace a data
Informací rozumíme objekt nehmotné povahy, sdělení zprávy, jež u příjemce informace
snižuje neurčitost. Údaje, ze kterých lze vynaložením určitého úsilí získat informaci,
nazýváme data. Z uvedených faktů tedy lze odvodit, že informace jsou podmnožinou dat. Na
rozdíl od informací jsou data velmi obecná a sama o sobě tak u příjemce neurčitost snižovat
nemusí. Důležitou vlastností dat je jejich přirozená vhodnost pro další zpracování, ukládání či
přenos.1
2.1.2 Informační bezpečnost
Informační bezpečností se nazývá ucelený soubor činností, jejichž prostřednictvím se lze
systematicky chránit proti rizikům, jež jsou spojeny se zpracováním dat. Mezi zmíněné
činnosti se řadí mimo jiné řízení rizik, řízení procesů, řízení technologií a také řízení lidí.
Vyjdeme-li z dříve uvedené definice informací a dat, lze na problematiku pohlížet i tak, že
důsledným zajišťováním bezpečnosti dat zároveň zajišťujeme i bezpečnost informací.
2.1.3 Aktiva
Cokoli, co má pro firmu dostatečnou hodnotu na to, aby hledala způsob, jakým to ochránit, lze
nazvat aktivem, přesněji také informačním aktivem. Typicky se jedná o počítačové soubory,
síťové služby, hardware, software, procesy, produkty, ICT infrastrukturu, osoby, budovy,
pozemky atd. Poškození či ztráta aktiva se zpravidla negativně projeví v jednom či více
aspektech organizace, od poklesu produktivity přes finanční ztráty až po ukončení provozu.
Práce se zabývá také účetnictvím, se kterým pojem aktiva velmi úzce souvisí. Účetní
aktiva představují cokoli, co účetní jednotka vlastní a v budoucnu jí to přinese ekonomický
prospěch, což mohou být třeba peníze, majetek, zásoby atd. Informační aktivum a účetní
aktivum jsou tedy rozdílné pojmy, ale mohou představovat totéž. Jako příklad lze uvést
funkční pevný disk v počítači, který byl vyřazen z evidence majetku a nemá tedy z pohledu
účetnictví žádnou cenu, již není účetním aktivem. Tento disk však obsahuje citlivá data, jejichž
zneužití by společnosti mohlo výrazně uškodit. Z pohledu bezpečnosti informací tak stále má
vysokou cenu, a dokud nedojde k jeho bezpečné likvidaci, bude i nadále považován za
1
ŠENOVSKÝ, P.: Bezpečnostní informatika 1 [online]. 5. vyd. Ostrava, 2010. [cit. 2013-12-08], str. 7, 12
12
informační aktivum. Pro potřeby této práce se pojmem aktiva rozumí informační aktiva,
pokud není uvedeno jinak.
Hodnocení aktiv lze provádět pomocí dvou metod, buď kvantitativně a nebo
kvalitativně. U kvantitativní metody je aktivu přidělena hodnota vyjádřená v peněžních
jednotkách na základě ceny aktiva tak, jak ji vnímá sama organizace. Nemusí se tedy jednat
pouze o hodnotu plynoucí výhradně z účetnictví. Při kvalitativním hodnocení jsou aktivu
místo peněžních hodnot přidělovány body na základě stupnice a subjektivní hodnocení
zpravidla provádí sám vlastník aktiva.
2.1.4 Hrozba
Hrozbou se nazývá jakákoli potenciální příčina negativního působení na organizaci nebo na
některé z jejích aktiv. Hrozby se liší svou velikostí i velikostí napáchaných škod a v úplném
počátku je lze rozdělit na úmyslné a neúmyslné. Pro úmyslné hrozby je definujícím faktorem
motiv, ať už se jedná o úmysl škodit pro zábavu či kvůli finančnímu zisku. Pro neúmyslné
hrozby však toto neplatí. Jejich existence není podložena motivem, ale spíše nevědomostí a
nezodpovědným přístupem lidí, vyšší mocí přírodních živlů či nedokonalostí hardwaru a
softwaru.
Jak již bylo naznačeno, příkladem úmyslné hrozby může být obyčejný zloděj, stejně tak
jako špatně anglicky hovořící pán z jihovýchodní Afriky, jenž se snaží pomocí dojemného
e-mailu a vidiny tučné provize vylákat z lidí jejich těžce vydělané peníze. Úmyslné hrozby je
možné ještě dále rozdělit na vnitřní a vnější, přičemž zlodějem z vnějšku bude osoba cizí,
zlodějem z vnitřku třeba nespokojený zaměstnanec. Příkladem neúmyslné hrozby může být
silná bouřka, která poškodí vedení vysokého napětí a zapříčiní tak dlouhotrvající výpadek
elektrické energie.2
2.1.5 Zranitelnost
Zranitelnost je definována jako slabé místo, pro které není zavedeno adekvátní bezpečnostní
opatření, případně jakékoli opatření úplně chybí. Zranitelnost se neváže pouze k bezpečnosti
v oblasti IT, ale ke všem složkám organizace. Pokud je zranitelnost zneužita hrozbou, může
dojít k poškození nebo ztrátě jednoho či více aktiv.3
2
3
STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 2011, str. 238
STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 2011, str. 238-239
13
2.1.6 Bezpečnostní incident
Bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných indikovaných
bezpečnostních událostí, jimiž může být s vysokou pravděpodobností narušena podpora
hlavních nebo podpůrných procesů organizace nebo díky nimž může dojít k narušení
bezpečnosti informačního systému. S bezpečnostní událostí přichází obvykle do prvního
kontaktu běžný uživatel. Na jeho schopnosti rozpoznat, zda se skutečně jedná o bezpečnostní
incident, závisí rychlost reakce a včasné řešení zjištěné události. 4
2.1.7 Autentizace a autorizace
Autentizací se nazývá proces ověření či testování platnosti údajné identity. Nejtypičtějším
způsobem autentizace je zadání kombinace uživatelského jména a hesla. V tomto případě
hovoříme také o autentizaci znalostí. Dalším typem je autentizace vlastnictvím, kterým může
být například elektronická karta zaměstnance. Zbývá ještě autentizace vlastností, neboli
biometrickým faktorem. Obvykle se jedná o otisk prstu, hlasový projev, oční retinu, tvar
obličeje a další.5 V praxi se často používají také kombinace zmíněných typů. Pokud se v rámci
systému uživatelé prokazují právě znalostí či vlastnictvím, je nesmírně důležité zajistit tyto
prostředky proti krádeži a předcházet tak zneužití identity.
Autorizace je proces, kdy se ověřuje, zda-li má autentizovaná identita oprávnění k
vykonání požadované akce. Příkladem může být účetní aplikace, do které je nutné se přihlásit
pomocí jména a hesla. Po úspěšném přihlášení účetní zvolí k práci agendu, která však
nespadá do jeho působnosti a systém mu zobrazí chybovou hlášku, že pro manipulaci s
vybranou agendou nemá oprávnění. Prošel tedy procesem autentizace, nikoli však už
procesem autorizace.
2.1.8 Princip důvěrnosti, dostupnosti a integrity
Aby bylo možné efektivně plánovat řízení rizik vázajících se k bezpečnosti dat, je důležité
určit, z jakého hlediska chceme data chránit. Za tímto účelem byla definována tzv. CIA triáda
sestávající z počátečních písmen anglických slov pro důvěrnost (confidentiality), integritu
(integrity) a dostupnost (availability). Jedná se v podstatě o nejzákladnější soubor klíčových
principů protínající celou řešenou problematiku informační bezpečnosti.
Důvěrnost chápeme jako stav, ve kterém chráněné informace zůstávají utajeny.
Příkladem může být databáze platebních údajů našich zákazníků, kterou se snažíme vhodným
4
5
DOUCEK, P.: Bezpečnostní incidenty IS/ICT a jejich řešení [online]. Praha, 2005. [cit. 2013-12-08], str. 79
STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 2011, str. 6, 7
14
zabezpečením chránit před útočníky. Pokud zavedená bezpečnostní opatření selžou a útočník
získá seznam kreditních karet klientů, dojde tak k porušení principu důvěrnosti. V takovém
případě hovoříme o prozrazení utajovaných informací.
K porušení principu dostupnosti může dojít například v situaci, kdy útočník zahltí
databázi platebních údajů velkým množstvím nesmyslných požadavků a omezí tak schopnost
uživatelů čerpat z ní požadované informace. Obdobně, pokud se útočník po úspěšném
průlomu do databáze rozhodne škodit, může například odstranit vazby mezi klienty a jejich
platebními kartami, čímž zcela jistě dojde přinejmenším k porušení principu integrity.
Již delší dobu se mezi odborníky vede diskuze o tom, zda-li by nebylo vhodné CIA
triádu dále oficiálně rozvinout, například tak, jak navrhl bezpečnostní specialista Donn B.
Parker. Ten zavedením tzv. Parkerianovy hexády rozšířil koncept původní triády o další tři
položky, a to konkrétně o vlastnictví (possession), autenticitu (authenticity) a užitečnost
(utility). Vlastnictvím je myšlen stav, kdy nějaké aktivum skutečně vlastníme a máme nad ním
kontrolu. Autenticita spočívá v ověření, zda proklamované autorství požadavku odpovídá
realitě. Příkladem zde může být plná moc podepsaná notářsky či úředně ověřeným podpisem.
Užitečností je pak myšlen stav, kdy jsou data v takové formě, která neznesnadňuje jejich
interpretaci, např. údaje, které byly dříve reprezentovány grafem jsou nyní dostupné pouze
jako čísla v tabulce, což ztěžuje schopnost člověka jim porozumět. 6
2.1.9 Bezpečnost dat v cloudu
V posledních letech je velmi skloňován termín „Cloud computing“. Jedná se o spojování
velkého množství počítačů v reálném čase pomocí internetu, za účelem poskytování služeb od
infrastruktury (IaaS)7, přes prostředí (PaaS) až po samotné konkrétní aplikace (SaaS).
Zákazník pak platí pouze za pronájem jedné či více zmíněných služeb, ke kterým přistupuje
prostřednictvím internetu a veškerou zodpovědnost za provoz, údržbu a vývoj nese
poskytovatel služby. Velkou výhodou cloudu je možnost flexibilně alokovat kapacitu zdrojů
podle aktuální potřeby firmy, která nakonec zaplatí pouze za to, co fakticky využije. Cloud
může být privátní, vytvořený společností pouze pro interní účely organizace nebo veřejný,
tedy dostupný každému, kdo za službu zaplatí. Využívá se i kombinovaná forma, například
privátní cloud dočasně posílený o kapacity toho veřejného. Typickými příklady cloudových
služeb jsou Google Apps, Amazon Elastic Cloud, velkou oblibu si v posledních letech získal
například také Dropbox.
6
7
HANÁČEK, P., STAUDEK, J.: Bezpečnost informačních systémů. Praha: ÚSIS, 2000, str 17.
Běžně používané zkratky pro „Infrastructure as a Service“, „Platform as a Service“, „Software as a Service“.
15
Atraktivita cloudu pro organizace všech velikostí tkví zejména v šetření nákladů
spojených s provozováním vlastních IT oddělení a síťové infrastruktury, vývojem vlastních
informačních systémů a zálohováním dat. Takové řešení s sebou však přináší i rizika, jež musí
firma pečlivě zvážit. Pro některé může být zásadním problémem nedostupnost cloudu z
důvodu výpadku internetu nebo výpadku služby přímo na straně jejího provozovatele. Pro
jiné bude důležitou roli hrát otázka legislativy spojená s právní ochranou dat nahraných do
cloudu. Jsou uložena v Rusku, v Německu nebo ve Spojených státech? Jaké zákony je tedy v
konečném důsledku vlastně chrání? S tím pochopitelně úzce souvisí problematika zachování
důvěrnosti dat, protože některé země jsou podstatně zvědavější než jiné. Při současném stavu
absence mezinárodní legislativy vztahující se k datům uložených v cloudu, je tedy zajištění
jejich bezpečnosti diskutabilní a do budoucna bude jistě představovat výzvu.
16
2.2 Bezpečnost v oblasti vedení účetnictví
Již bylo popsáno, co jsou obecně data a jaké principy je z hlediska bezpečnosti při manipulaci
s nimi nutné dodržet. Pro lepší pochopení pojmu účetní data je však potřeba se blíže podívat
na obor finančního účetnictví jako takový.
2.2.1 Finanční účetnictví
Účetnictví je výkazem o vnějších finančních vazbách podniku. Má poskytovat přesný a
spolehlivý přehled o aktivech a pasivech, nákladech a výnosech a hospodářském výsledku za
uplynulá účetní období. Základní a nejdůležitější legislativní norma upravující zásady vedení
účetnictví je zákon č. 563/1991 Sb., o účetnictví. Ten byl od doby svého vzniku již několikrát
novelizován,
zejména
v
důsledku
nástupu
masivního
využívání
informačních
a
komunikačních technologií ve firmách i domácnostech v České republice.
Historicky má za sebou obor finančního účetnictví poměrně dlouhý vývoj, přičemž
každá z několika etap přinesla revoluční změny, jež měly přímý dopad na rychlost,
spolehlivost a nákladnost procesu vedení účetnictví 8. Konkrétně se jedná o přepisovací formy
v 16. až 19. století, propisovací formy od poloviny století 19. do 20. let 20. století. Tehdy se
začaly také používat stroje na děrné štítky, které se leckde udržely až do let 80. Tou dobou se
však již rozvíjela skutečná automatizace prostřednictvím výpočetní techniky a došlo k
nastartování éry účetnictví vedeného na počítači. Tato etapa se vyznačuje nejen rychlým
vývojem v oblasti malých i větších samostatných účetních aplikací 9, ale také účetních modulů
integrovaných ve velkých podnikových informačních systémech 10.
S tím, jak se v průběhu času měnil charakter procesu vedení účetnictví, přicházely i
nové výzvy pro samotné účetní, kterým již nestačí umět pouze skvěle počítat a precizně
zapisovat čísla do účetních knih. Tyto záležitosti si však dnes již účetní aplikace interně řeší
samy. Úkolem účetních je tedy zajistit správné nastavení parametrů jednotlivých agend,
příprava vstupů z účetních dokladů pro zpracování účetním programem a v neposlední řadě
schopnost využít údaje poskytované účetnictvím, ať už se jedná o informace pro vnitřní
potřebu firmy či například pro komunikaci se státní správou.
8 MEJZLÍK, L.: Účetní informační systémy. Nakladatelství Oeconomica, 2006, str. 16.
9 U nás např. známé aplikace StormWare Pohoda či Money od společnosti Cígler Software.
10 Typickým příkladem je produkt SAP od stejnojmenné německé firmy.
17
2.2.2 Zákon o účetnictví a podstata účetních dat
Nyní je potřeba zjistit, co vlastně jsou podle zákona data. Zákon hovoří o účetních záznamech
neboli datech, která jsou záznamem veškerých skutečností týkajících se vedení účetnictví.
Můžeme
tedy mít bezvadně fungující
informační
systém
pro vedení
účetnictví
implementovaný pomocí papíru a propisky nebo vést účetnictví jen na počítači, ale podstata
účetních dat v podobě záznamů zůstane zachována. Záznamy však nejsou to jediné, co
fakticky účetní data v praxi tvoří. Účetní agenda vedená v rámci účetní aplikace na počítači
obsahuje ještě řadu dalších údajů, které nejsou ve smyslu zákona účetními záznamy, nicméně
pro celkový kontext v dané agendě jsou velmi důležitá. Jedná se například, ale nikoli
výhradně, o osobní údaje zaměstnanců. Z čeho se skládají účetní data shrnuje obrázek 2.
Ilustrace 2: Podstata účetních dat
2.2.3 Zákon o ochraně osobních údajů
Součástí ústavního pořádku České republiky je Listina základních práv a svobod. Na základě
článku 10 odst. 3 Listiny základních práv a svobod má každý právo na ochranu před
neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.
Ochrana osobních údajů plynoucí z Listiny základních práv je legislativně zajištěna
prostřednictvím zákona č. 101/2000 Sb., o ochraně osobních údajů, jenž dále vymezuje také
působnost Úřadu pro ochranu osobních údajů. Úkolem tohoto úřadu je mimo jiné dohlížet na
ochranu osobních údajů a soukromí. Pokud má podezření na porušení zákona, zahájí s
podezřelým subjektem správní řízení. Aktuálním případem je v tomto ohledu kauza uniklých
osobních dat zájemců o penzijní produkty v internetové aplikaci MojeBanka spadající pod KB
Penzijní společnost, za což jí byla uložena pokuta ve výši 1,8 milionu korun. 11 I řádově nižší
pokuta by pro menší společnost mohla být likvidační. Je tedy jasně vidět, že zajištění ochrany
osobních údajů je důležité bez ohledu na velikost firmy.
11 ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Tisková zpráva. In: Uoou.cz [online]. ©2000-2013. [cit. 25.12.2013].
18
Za osobní údaj je pro účely zákona považován jakýkoliv údaj, týkající se určeného nebo
určitelného subjektu údajů tj. takového, jehož identitu lze přímo nebo nepřímo zjistit na
základě jednoho nebo více osobních údajů, aniž by to vyžadovalo nepřiměřené úsilí. Osobní
údaje zpracovává jejich správce, který pro daný účel může zmocnit i někoho dalšího, tedy
například i poskytovatele účetních služeb nebo zpracovatele mezd.
Zákon řeší ještě jeden důležitý termín a tím je citlivý údaj. Je to údaj vypovídající o
národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových
organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním
stavu a sexuálním životě subjektu údajů a jakýkoliv biometrický nebo genetický údaj
subjektu. V oblasti informační bezpečnosti se také poměrně často používá termín citlivý údaj,
který může, ale nemusí být totéž, co citlivý údaj podle zákona. Například tajný recept na
Becherovku jistě obsahuje pro vlastníka extrémně citlivé údaje, ty jsou však z pohledu zákona
o ochraně osobních údajů naprosto nezajímavé.
Pro účely personální práce je možné zpracovávat osobní údaje zaměstnance bez jeho
souhlasu, pokud se jedná o zpracování stanovené zvláštním zákonem, např. pro účely mzdové
agendy, nebo je-li to nutné pro jednání o smluvním vztahu či plnění již uzavřené smlouvy.
Jinými slovy lze říci, že ke zpracování většiny osobních údajů pro potřeby zaměstnavatele není
souhlasu zaměstnance třeba, nicméně i údaje získané bez souhlasu se musí pečlivě hlídat. 12
2.2.4 Bezpečnost účetních dat
Je potřeba si uvědomit, že běžný počítač pro práci účetních je připojen k internetu nebo
přinejmenším aspoň do místní sítě, lze do něj vložit CD či DVD, flash paměť nebo externí
pevný disk. Kromě operačního systému obsahuje také řadu dalších programů, které jsou
spuštěné zároveň s účetní aplikací, ať už se jedná o internetový prohlížeč, kancelářský
software či konferenční aplikace. Účetní prostřednictvím počítače komunikují s klienty,
informačním systémem banky, se státní správou a zpravidla k tomu využívají elektronický
podpis i jiné certifikáty, přihlašují se datové schránky. Na základě těchto faktů lze prohlásit, že
účetní je v dnešní době především uživatel celé řady informačních a komunikačních
technologií. V rámci bezpečnostní politiky se na něj proto bude vztahovat přinejmenším
taková množina opatření, která se týká běžných uživatelů v návaznosti na dané technologie.
Již z předchozího krátkého výčtu týkajícího se počítače a práce účetních můžeme
soudit, že na účetní data působí značné množství hrozeb spojených právě s procesy a ICT.
Zákon o účetnictví říká, že účetní jednotka je povinna zajistit ochranu účetních záznamů,
12 ČSFR. Zákon č. 563/1991 Sb., o účetnictví. In: Center.cz [online]. ©1998-2013. [cit. 17.12.2013].
19
použitých technických prostředků, nosičů informací a programového vybavení před jejich
zneužitím, poškozením, zničením, neoprávněnou změnou, ztrátou nebo odcizením. Pokud
tedy hrozba na účetní data úspěšně zapůsobí a účetní jednotka o ně nenávratně přijde, bude
na ni z hlediska zákona pohlíženo tak, jako kdyby je vůbec nevedla. Z uvedených informací
týkajících účetnictví a ochrany osobních údajů tedy vyplývá, že bezpečnost účetních dat je
velmi zásadní a je potřeba ji řešit mimo jiné i proto, aby se podnik nedostal do rozporu se
zákonem.
2.2.5 Budoucnost vedení účetnictví
Při současném trendu přesouvání nejrůznějších typů aplikací do cloudu nezůstává účetnictví
pozadu. Již nyní je malým firmám k dispozici služba iDoklad, která nabízí snadnou výměnu
elektronických dokladů a umožňuje export dat z cloudu přímo do účetní aplikace na počítači.
Pokud do budoucna poskytovatelé cloudových služeb dokáží zaručit vlastní důvěryhodnost,
tedy že například ze dne na den neukončí svůj provoz, umístění účetních dat na území České
republiky, přijatelnou úroveň jejich dostupnosti a bezpečnosti, pak lze očekávat přinejmenším
částečný přesun i z robustnějších kancelářských řešení právě do cloudu.
20
2.3 Řízení bezpečnosti informací
Je nutné vymýšlet a zavádět mnohdy velmi složité systémy řízení bezpečnosti? Nestačilo by
používat selský rozum doplněný o nějaký jednoduchý soubor opatření, které by měl člověk
dodržovat? Společnost Microsoft vydává bezpečnostní příručku pro malé organizace. Ta je
koncipována velmi jednoduše a povrchně, nicméně i tak obsahuje řadu velmi dobrých tipů
jako “pravidelně zálohujte“, „používejte silná hesla“, „používejte firewall a antivirový program“,
„instalujte bezpečnostní záplaty“, „navštěvujte pouze důvěryhodné stránky“, „neotvírejte
podezřelé přílohy v e-mailu“ atd.13
Myslím si, že kdyby uživatelé nějaký podobně zjednodušený soubor opatření opravdu
důsledně dodržovali, nebylo by systémů na řízení bezpečnosti možná vůbec třeba, aspoň tedy
v malých firmách. Přírodním silám poručit nelze, hardware a software je ze své podstaty
nedokonalý a o spolehlivosti lidského faktoru už nelze hovořit vůbec. To dokazuje i nedávná
studie společnosti Symantec týkající se právě bezpečnosti informací, ze které mimo jiné
vyplývá, že zaměstnanci vynáší interní firemní data opravdu ve velkém.
Dotazování se účastnilo přibližně sedm tisíc zaměstnanců na plný úvazek v
průměrném věku 35 let. Více než polovina respondentů přiznala, že si firemní dokumenty
přeposílá do svých soukromých e-mailových schránek, 41% tvrdí, že to dělají aspoň jednou za
týden. Stejné procento lidí pak firemní data stahuje do svých mobilů a tabletů, což ještě
zhoršuje bezpečnostní situaci, protože tato zařízení často nejsou nijak chráněna. Velkým
problémem jsou v tomto ohledu také cloudové aplikace. 37% zaměstnanců sdílí firemní data
přes Dropbox a Google Docs, aniž by k tomu měli svolení zaměstnavatele. Situace by nebyla
tak špatná, kdyby uživatelé po sobě soubory z těchto úložišť alespoň odstraňovali, to se však
prakticky neděje. Zmíněné aplikace jsou jen tak bezpečné, jako je síla a utajení přihlašovacích
údajů k nim. Jejich zneužití tak v tomto případě umožní kompletně obejít jakákoli
bezpečnostní opatření, jež zaměstnavatel na ochranu svých dat podnikl. Navíc je potřeba
myslet na to, že třeba právě Dropbox dokáže obnovit i smazané soubory.
Zaměstnanci si často vůbec neuvědomují, že by touto činností mohli poškodit sebe i své
zaměstnavatele. Většina jich dokonce ani nevěří, že to co dělají, je špatné a že se jedná o
trestný čin nebo že vlastníkem dat není ten, kdo je vytvořil. Třetina říká, že jejich konání je
naprosto v pořádku, pokud z toho nemají vlastní prospěch a celá polovina se hájí tím, že svou
organizaci nijak nepoškozují. Někteří pak obviňují své zaměstnavatele z nedůslednosti při
vynucování bezpečnostních politik a tím i nedostatečné ochrany svých dat. Uvedená zjištění
13 MICROSOFT CORPORATION. Security Guide for Small Business [online]. 2005. [cit. 17.12.2013].
21
pak lze shrnout tak, že zaměstnanci nechápou nebo neuznávají vlastní roli, kterou v rámci
zajišťování bezpečnosti firemních dat plní. 14 Je tedy zřejmé, že řádná dávka osvěty a dalších
opatření v oblasti bezpečnosti informací je prakticky nezbytností.
Způsobů, jak systematicky přistoupit k informační bezpečnosti podniku, je v dnešní
době více, než tomu bylo například počátkem 80. let minulého století. Zejména v posledních
dvaceti letech zaznamenala tato oblast rapidní rozvoj, který vyústil v několik různých de facto
a de iure standardů.
2.3.1 ITIL
ITIL neboli IT Infrastructure Library je mezinárodně uznávaným standardem v oblasti řízení
IT. Vznik samotného standardu v roce 1989 byl zásadním mezníkem v IT průmyslu, protože
historicky poprvé došlo k souvislému vydání osvědčených postupů vytvořených na základě
zkušeností velkého množství bezpečnostních expertů. První verze byla obsažena v dnes již
neuvěřitelných 37 knihách, ale postupem času došlo k výrazné redukci na 7 v ITILv2 a
pouhých 5 v ITILv3, jež byla vydána v roce 2007. Tato verze poskytuje obchodní a strategický
rámec pro IT rozhodování a poprvé popisuje neustálé zlepšování služeb jako komplexní
činnost, která přináší hodnotu zákazníkům. Spíše než na definování nějakého širokého
kontrolního rámce je ITIL založen na vymezení doporučených procesních postupů pro správu
a podporu IT služeb. ITIL řeší oblasti jako je podnikatelský pohled, správa aplikací a IT,
dodávka a podpora IT služeb, správa IT infrastruktury řízení IT projektů. Jednotlivé oblasti
jsou pokryty stejnojmennými publikacemi pro každou z nich.
2.3.2 COBIT
Cobit je známým standardem pro řízení informačních technologií vytvoření asociací ISACA a
jedná se o soubor praktik, které by měly umožnit dosažení strategických cílů organizace díky
efektivnímu využití dostupných zdrojů a minimalizaci IT rizik. První verze byla vydána v roce
1996 a od té doby došlo k rozšíření o auditní postupy, implementační nástroje, detailní cíle a
manažerské postupy. Roku 2007 byla publikována verze 4.1 a v roce 2012 současná verze 5.
Cobit je postaven na základě zavedených rámců jako CMM Software Engineering Institute, ISO
9000, ITIL a ISO/IEC 27002. I když je zaměřen na IT procesy, Cobit nezahrnuje procesní kroky
a úkoly, jde spíše o kontrolní a řídící rámec než rámec procesní. Cobit se zaměřuje na to, co
organizace musí udělat, ne už jak je to potřeba udělat a cílovými skupinami jsou vrcholový
obchodní management, vrcholoví IT management a auditoři.
14 SYMANTEC CORPORATION. What's Yours Is Mine. In: Symantec-corporation.com [online]. @2013. [cit.
18.12.2013].
22
2.3.3 ISO/IEC 27000
ISO/IEC 27000 je součástí rodiny standardů systému řízení bezpečnosti informací (ISMS).
Tato skupina standardů je vydávána od roku 2005, kdy se objevil první a nejvýznamnější z
nich, ISO/IEC 27001, jenž uvádí požadavky na samotný ISMS, a podle kterého se zároveň i
fakticky certifikuje. Doplňujícími normami v pořadí jsou:
•
ISO/IEC 27002 – Bezpečnostní doporučení pro výkonné pracovníky
•
ISO/IEC 27003 – Návod pro zavádění systému řízení bezpečnosti informací
•
ISO/IEC 27004 – Měření a vyhodnocování efektivity řízení bezpečnosti
•
ISO/IEC 27005 – Techniky vytváření systému řízení bezpečnosti informací
•
ISO/IEC 27006 – Proces certifikace a registrace
ISMS využívá tzv. PDCA 15 cyklus neboli soustavu čtyř fází, které se neustále periodicky opakují
a v jejichž rámci organizace provádí celou řadu činností. Mezi ně patří návrh bezpečnostní
politiky, definice rozsahu ISMS, analýza rizik, rozhodnutí o řízení rizik, výběr protiopatření,
implementace a bezpečnostního programu. V souvislosti se zmíněnými činnostmi dále vzniká
značné množství výstupů, od politiky ISMS, přes dokumentaci rozsahu, analýzu rizik, plán
zvládání rizik, prohlášení o aplikovatelnosti, dokumentace implementovaných opatření a
další.
2.3.4 Metodika vyvážené informační bezpečnosti
Metodika vyvážené informační bezpečnosti existuje od roku 2010, kdy byla definována Ing.
Davidem Králem v jeho dizertační práci zaměřené na informační bezpečnost podniku. Cílem
metodiky je poskytnout malým a středně velkým podnikům konkrétní rámec pro zavedení
ekonomicky i procesně přijatelného řízení bezpečnosti informací. Jakým způsobem je
metodika navržena, zachycuje schéma na obrázku 3. Audit (pre-audit) se provádí
dotazníkovým šetřením stávající úrovně řízení bezpečnosti v klíčových oblastech
definovaných metodikou. V případě zjištění nedostatků jsou pak v příslušné oblasti
navrhována dílčí opatření vedoucí ke zlepšení celkové situace nebo kompletní změna
přístupu. Cílem první klíčové oblasti je provedení analýzy rizik prostřednictvím identifikace
aktiv, hrozeb a zranitelností. Na základě vypočítaných rizik jsou následně ve třech zbývajících
oblastech podniknuty takové kroky, které povedou ke snížení rizik a zlepšení úrovně řízení
těchto oblastí.
15 Cyklus PDCA z anglických slov „Plan, Do, Check, Act“ znamená v češtině „Plánuj, dělej, kontroluj, jednej“.
23
Řízení bezpečnosti procesů a technologií se zabývá všemi aktivy organizace, které je
potřeba nějakým způsobem zabezpečit, případně zabezpečit lépe, než tomu bylo doposud.
Obecně lze říci, že zde jsou navrhována taková opatření, která efektivně zabraňují ztrátě
dostupnosti, důvěrnosti nebo integrity důležitých informačních aktiv.
Řízení lidských zdrojů se zabývá definicí rolí bezpečnostní politky, jejich činnostmi,
odpovědnostmi a přístupu k aktivům. Značné množství útoků a ztrát citlivých aktiv pramení
od současných nebo bývalých zaměstnanců, a proto je nutné aplikovat opatření týkající se
počátku, průběhu i skončení pracovního poměru.
Řízení bezpečnostních incidentů má v systému řízení informační bezpečnosti roli
záchranné brzdy. V ostatních oblastech informační bezpečnosti je cílem minimalizovat riziko
a zabránit ztrátě dostupnosti, důvěrnosti nebo integrity citlivých aktiv. Bezpečnostní incident
je událost, která k těmto ztrátám může vést. Naprosto bezpečný systém neexistuje a úplná
eliminace výskytu těchto zhmotnělých hrozeb je prakticky nemožná. Primárním cílem této
oblasti je tedy snížit dopady bezpečnostních incidentů na běh organizace na minimum. 16
Ilustrace 3: Metodika vyvážené informační bezpečnosti
Zdroj: Metodika vyvážené informační bezpečnosti
16 KRÁL, D.: Informační bezpečnost podniku [online]. Brno, 2010. [cit. 2013-12-08]. Ph.D. Vysoké účení technické
v Brně.
24
2.3.5 Výběr metodiky řízení bezpečnosti
Dostupné informace o jednotlivých standardech a metodikách lze shrnout tak, jak je
zachyceno v tabulce 1. Vzhledem k faktu, že ITIL nelze použít jako samostatné řešení pro
řízení bezpečnosti, jinými slovy by bylo nutné zavést jej jako celek, tuto variantu zamítám.
Obdobně je na tom i Cobit. Zde je navíc problém, že kvůli svému zaměření na kontrolní rámec,
neposkytuje konkrétní procesní kroky a úkoly, které je potřeba k zajištění bezpečnosti pokrýt,
proto ani tuto variantu nevolím. Jako solidní volba se jeví zavedení ISMS podle ISO 27001,
nicméně vybraná firma o certifikaci nestojí a tím pádem by pro ni byl tento standard příliš
svazující a personálně velmi těžko zvládnutelný. Metodika vyvážené informační bezpečnosti
proti tomu nabízí způsob řízení bezpečnosti podobný ISMS, avšak se zaměřením spíše na
menší firmy. Proto právě jejím prostřednictvím navrhnu zabezpečení účetních dat ve
společnosti WaveNet.cz, s.r.o.
Tabulka 1: Přehled a srovnání dostupných řešení
Parametr
ITIL v3
COBIT 5
ISO 27000
MVIB
Vznik
2007
2011
2005
2010
Primárně určeno
IT service
management
IT Governance
ISMS
ISMS
Certifikace
Ano, ISO 20000
Ne
Ano, ISO 27001
Ne
Velikost organizace
Velká, střední
Velká, střední
Velká
Střední, malá
Dokumentace zdarma
Ne
Částečně
Ne
Ano
Vnímání informační
bezpečnosti
Součást řízení IT
služeb
Součást
regulatorních
požadavků ITG
Součást
regulatorních
požadavků v
oblastech
ochrany
Volitelná součást
řízení pro oblast
bezpečnosti
Měření závislosti
organizace na IT
Ne
Ne
Ne
Ano
Samostatné řešení pro
řízení bezpečnosti
Ne
Ne
Ano
Ano
Zdroj: Vlastní zpracování na základě zdroje17
17 KRÁL, D.: Informační bezpečnost podniku [online]. Brno, 2010. [cit. 2013-12-08]. Ph.D. Vysoké učení technické
v Brně.
25
3.
PRAKTICKÁ ČÁST
3.1 Společnost WaveNet.cz, s.r.o.
Obchodní společnost WaveNet.cz, s.r.o. vznikla v roce 2005 transformací původního sdružení
fyzických osob působící pod názvem WaveNet a fakticky již od roku 2001 poskytuje v
Karlovarském regionu zákazníkům připojení k internetu, k čemuž později přibyla i činnost v
oblasti vedení účetnictví a to jak vlastního, tak i dalších subjektů. Sídlo firmy se nachází v
objektu typu rodinný dům na adrese Jáchymovská 135/22a v Karlových Varech ve čtvrti
Bohatice. Ve firmě figurují dva podílníci a jejím statutárním orgánem je jednatel. Společnost
má poměrně stabilní zaměstnaneckou základnu v počtu devíti pracovníků na plný úvazek, čas
od času však najímá také brigádníky. Obrat společnosti nepřesahuje 10 milionů korun.
Standardní pracovní dobou je pondělí až pátek od 8 do 16 hodin.
3.1.1 Podnikové role
Vzhledem k nízkému počtu zaměstnanců a omezenému portfoliu služeb, jež firma nabízí, je
poměrně jednoduché identifikovat následující podnikové role. Vedoucím provozu je jeden z
podílníků, který je až na výjimky vždy přítomen a aktivně provádí řízení lidí a procesů
společnosti. Jednatel zaujímá spíše kontrolní roli. Technici se přímo neúčastní procesu
poskytování účetních služeb, jejich pracovní náplní je servis a instalace zařízení u zákazníků,
jimž společnost poskytuje připojení k internetu. S nimi také podepisují smlouvy a inkasují
zálohy, které následně předávají účetním. Prostory společnosti tak využívají spíše jako zázemí,
nicméně i tak je potřeba s nimi v rámci bezpečnostní politiky počítat. Účetní jsou zodpovědní
za výměnu účetních dat a dokumentů s klienty, vedení a zálohování účetních agend,
komunikaci se zákazníky, komunikaci s bankami, komunikaci se státní správou, přijímání
plateb v hotovosti, archivaci, skartaci, správu smluv a účetních či daňových dokladů.
3.1.2 ICT infrastruktura
Bez dostatečného pochopení ICT prostředí firmy nelze vůbec rozumně uvažovat o jakýchkoli
bezpečnostních opatřeních. Je tedy potřeba nějakým způsobem zachytit, s jakými
technologiemi se v rámci podniku pracuje a případně jak jsou mezi sebou propojeny. Na
obrázku 4 je zobrazeno propojení jednotlivých prvků. Zařízení připojená k přístupovému
bodu WiFi se připojují bezdrátově prostřednictvím standardu 802.11g, všechny ostatní
vyznačené prvky jsou propojeny kabelem UTP 18 na stálo. To znamená, že až na výjimečné
18 Nestíněná kroucená dvojlinka, běžně používaný typ kabeláže pro síťové rozvody v interiéru.
26
situace, např. výměna hardwaru, se od zbytku sítě na rozdíl od mobilních zařízení nikdy
neodpojují. Do kancelářských prostor vedou skrz rozvody strukturované kabeláže celkem dva
UTP kabely. První je zapojen do přepínače a slouží k připojení místní sítě do internetu
prostřednictvím brány poskytovatele, druhý kabel je zapojen do serveru a slouží k jeho
připojení do internetu přímo. Rozvody místní sítě jsou realizovány pomocí UTP kategorie 5e a
přepínač podporuje rychlost až 1 Gbit/s. Tiskárna a přístupový bod WiFi podporují rychlost
pouze 100 Mbit/s, bezdrátová část sítě pouze 54 Mbit/s. Tabulka 2 obsahuje seznam a
stručný popis identifikovaných prvků.
Ilustrace 4: ICT infrastruktura
27
Tabulka 2: Popis prvků v ICT infrastruktuře
Prvek
Popis
Server
Počítač s OS Linux poskytující běžné služby typu web, pošta, sdílení
souborů, vlastní přípojka do internetu.
Pracovní stanice
Počítač s OS Windows 7 pro běh účetní aplikace, slouží k práci účetního.
Síťová tiskárna
Tiskárna s vlastní IP adresou, po instalaci ovladačů ji lze využít k síťovému
tisku. Funguje zároveň jako kopírka a skener.
Přístupový bod WiFi
Bezdrátové zařízení propojující mobilní zařízení s místní sítí.
Notebook
Přenosné počítače s OS Ubuntu 13.1 pro pracovní i osobní potřebu
zaměstnanců.
Tablet
Tablet s OS Android 4.3 pro pracovní i osobní potřebu zaměstnance.
Mobilní telefon
Chytrý telefon s OS Android v různých verzích pro pracovní i osobní potřebu
zaměstnance.
Přepínač
Všechny aktivní prvky v síti jsou propojeny jediným přepínačem, do něj
vede internetová přípojka.
UPS
Záložní zdroj napájení slouží jako podpůrné zařízení kvůli častým
výpadkům proudu, zálohuje všechny prvky kromě mobilních zařízení.
3.1.3 Proces vedení účetnictví
Účetní zpracovává účetní agendy v účetní aplikaci na pracovní stanici. S klienty komunikuje
buď elektronicky nebo osobně při jejich návštěvě v kanceláři společnosti. Tento proces
spočívá ve výměně podkladových materiálů mezi účetním a klienty. Typicky se jedná o
příjmové a výdajové pokladní doklady, faktury a dobropisy, skladovou evidenci, účetní knihy,
mzdovou
evidenci,
nejrůznější
daňová
přiznání
a
vyúčtování.
Výměna
probíhá
prostřednictvím obyčejného papíru, zejména v případě účetních nebo daňových dokladů,
elektronicky pomocí e-mailu nebo na datových nosičích. Těmi může být CD, DVD, flash pamět
nebo externí pevný disk.
3.1.4 Hranice řešené problematiky
Řešená problematika zahrnuje kancelářské prostory společnosti ve zmíněném objektu na
adrese uvedené v popisu, všechny zaměstnance a třetí osoby které se uvnitř mohou
pohybovat. Fyzickou hranici tedy tvoří vnitřní a vnější zdi, dva vchody a jedno okno. Z
hlediska ICT pak hranici tvoří internetová přípojka pro místní síť, dále internetová přípojka
serveru a telefonní kabel pevné linky. Jakékoli technologie nacházející se na vzdáleném konci
těchto kabelů již nespadají do mé kompetence.
28
3.2 Audit současného stavu
Cílem vstupního auditu je zjistit, jaká je stávající úroveň řízení oblastí vytyčených metodikou.
Lze dopředu předpokládat, že výsledek nebude příliš slavný, což je dáno tím, že firma
doposud nijak systematicky bezpečnost neřídila. Pro získání lepšího přehledu o aktuální
situaci je však tento krok velmi důležitý. Firmě navíc po implementaci navržených opatření a
provedení srovnávacího auditu dobře poslouží jako ukazatel úspěšnosti zavedeného systému
pro řízení bezpečnosti.
3.2.1 Úroveň závislosti podniku na IT
Prvním krokem je stanovit, jak vysoká je závislost podniku na informačních technologiích,
díky čemuž bude možné přesněji vyhodnotit další oblasti, kterými se audit následně zabývá. U
některých položek je hodnocení poměrně přímočaré, například rozpočet nebo počet
zaměstnanců. U některých položek je potřeba zvažovat, jaké hodnocení by bylo vhodné jim
přidělit, aby co nejlépe odpovídalo realitě. Pokud vypadne internet, sice nebude možné
některými kanály komunikovat s klienty a informačními systémy v internetu, nicméně účetní
stále může pokračovat v práci na jiných agendách, které zrovna nevyžadují připojení. Na
druhou stranu pokud se poškodí zdroj napájení v pracovní stanici, účetní bude muset čekat,
dokud někdo problém neodstraní.
Tabulka 3: Úroveň závislosti podniku na IT
1 – nízká, 2 – střední, 3 – vysoká, 4 – velmi vysoká
Kritérium
Hodnocení
Roční rozpočet (1<1 mil., 2<10 mil., 3<100 mil., 4>100 mil.)
2
Počet zaměstnanců (1<10, 2<50, 3<250, 4>250)
1
Míra závislosti na informačních a komunikačních technologiích při poskytování
výrobků či služeb zákazníkům
4
Hodnota duševního vlastnictví organizace uložená v elektronické podobě
2
Vliv výpadku informačního systému na chod organizace
4
Vliv výpadku internetu na chod organizace
2
Citlivost zákazníků či partnerů na bezpečnost a soukromí
4
Potencionální dopad vážného bezpečnostního incidentu na pověst organizace
3
Množství operací závislých na dodavatelích
1
Množství citlivých dat a majetku, které by se mohly stát cílem kybernetického či
fyzického útoku
3
29
3.2.2 Úroveň řízení rizik
Hodnocení stávající úrovně řízení rizik bude velmi přímočaré. Společnost se jím doposud
nezabývala a není tedy definována bezpečnostní politika, není provedena analýza rizik,
hrozeb, ani zranitelností. Nejsou určena aktiva ani ohodnocena aktiva. Z uvedených faktů je
více než zřejmé, že o jakékoli funkční bezpečnostní strategii nemůže být řeč.
Tabulka 4: Úroveň realizace řízení rizik
1 – nerealizováno, 2 – plánováno, 3 – částečně realizováno, 4 – kompletně realizováno
Kritérium
Hodnocení
Má organizace dokument typu Bezpečnostní politika?
3
Provedla organizace v posledních 2 letech analýzu rizik, aby určila klíčová aktiva,
která je potřeba chránit?
1
Používá organizace pro analýzu rizik speciální software?
1
Má organizace určen vztah klíčových aktiv k procesům, které na nich závisí?
1
Identifikovala organizace bezpečnostní hrozby, které jsou spojené s klíčovými
aktivy?
1
Provedla organizace analýzu zranitelnosti, tj. určení slabých míst, která by mohla být
využita identifikovanými hrozbami?
1
Má organizace oceněnu ztrátu každého z klíčových aktiv?
1
Má organizace zdokumentovánu bezpečnostní strategii, která by určovala postupy,
jak udržovat rizika na přijatelné úrovni?
1
Má organizace zdokumentovánu bezpečnostní strategii, která by obsahovala plány,
jak v budoucnu snižovat rizika spojená s klíčovými aktivy?
1
Je tato strategie alespoň 1× ročně aktualizována?
1
3.2.3 Úroveň řízení bezpečnosti procesů a technologií
Prostory společnosti se nacházejí na úrovni přízemí a lze do nich vstoupit dvěma vchody,
vnějším z ulice a vnitřním z chodby přímo v objektu. Vnější je chráněn dřevěnými
uzamykatelnými dveřmi a kovovou uzamykatelnou mříží. Vnitřní vchod chrání jedny dveře.
Všechny zámky u výše zmíněných dveří jsou vybaveny základní cylindrickou vložkou. Co se
dalších stavebních výplní týče, v prostorách se nachází pouze jediné dřevěné nechráněné
okno.
Veškeré vybavení je umístěné v prostorách společnosti, které kromě zaměstnanců
navštěvují také klienti a další osoby, například poslíčci. Pro potřeby auditu lze v pracovní době
všechny tyto osoby považovat za oprávněné, nicméně mimo vyznačenou pracovní dobu jsou
30
oprávněnými osobami pouze zaměstnanci. Společnost nepoužívá žádná identifikační zařízení
na čipové karty či biometrické údaje, kamerový systém ani čidla. Objekt není pod dohledem
bezpečnostní agentury. Budova jako taková nemá žádné speciální protipovodňové ani
protipožární vlastnosti.
Pro případ přerušení dodávky elektrické energie je z důvodu udržení provozu k
dispozici benzinový generátor schopný pokrýt i dlouhodobější potřeby nepřetržitého
napájení. Nevýhodou však je, že se nejedná o automatické zařízení a musí tak být někým ze
zaměstnanců obsloužen. Všechny aktivní prvky jsou napájeny přes UPS. Výjimku tvoří
například notebooky nebo tablety, které jsou v době nabíjení zapojeny do označených zásuvek
sekundárního elektrického obvodu, jenž není externě zálohován.
Pracovní stanice jsou chráněny antivirovým programem. Na serveru se žádný
antivirový software nenachází, ochrana tabletů, notebooků a mobilních telefonů není nijak
standardizována a jejich osud je ponechán plně na zaměstnancích. Šifrování dat není
prováděno nad rámec služeb, u kterých jej lze automaticky předpokládat, tedy například při
využívání protokolu HTTPS.
Tabulka 5: Úroveň realizace bezpečnosti procesů a technologií
Kritérium
Hodnocení
Jsou prostory, které obsahují zařízení pro zpracování informací, chráněny
bezpečnostními perimetry či bariérami?
3
Je do prostorů organizace, které obsahují citlivé informace nebo zařízení, povolen
vstup pouze oprávněným osobám?
4
Je organizace zajištěna proti vnějším a přírodním hrozbám?
4
Jsou zařízení, která zpracovávají informace, chráněna před selháním napájení a před
dalšími formami přerušení způsobenými poruchami podpůrných zařízení?
3
Existuje v organizaci postup bezpečné likvidace a odstraňování majetku po
autorizaci oprávněné osoby tak, aby neunikly citlivé informace?
2
Jsou veškeré stanice v organizaci dostatečně chráněny proti škodlivým programům a
kódům?
3
Existuje v organizaci postup pravidelného a bezpečného zálohování dat?
1
Jsou důvěrná, osobní či citlivá data šifrována a související šifrovací klíče náležitě
chráněny?
2
Jsou veškeré výměny programového vybavení a informací v rámci organizace nebo v
rámci výměny s externími partnery vhodným způsobem chráněny?
1
Obsahují smlouvy s partnery organizace dodávajícími výrobky a služby opatřeny
výčtem bezpečnostních opatření a sankcemi, pokud tato opatření partneři
nedodržují?
1
31
Kritérium
Hodnocení
Jsou po dostatečně dlouhou dobu zaznamenávány aktivity všech uživatelů v
informačním systému organizace, výjimky a události související s bezpečností
informací?
2
Jsou zjištěné údaje analyzovány a přijímány příslušná opatření na odstranění
vzniklých chyb?
1
Je v organizaci dodržována politika čistého stolu a obrazovky?
1
Existuje postup pro registraci uživatele do informačního systému organizace a
přidělení práv pro přístup do oblastí IS dle klasifikace uživatele?
1
Mají všichni uživatelé informačního systému jedinečný identifikátor (ID) tak, aby
bylo možné dosledovat odpovědnost za jejich činnosti?
2
Jsou uživatelé donuceni systémem tvořit pouze tzv. silná hesla?
1
Jsou aplikovány zvláštní postupy autentizace při vzdáleném přístupu do
informačního systému organizace?
1
Jsou bezpečně chráněny porty pro vzdálenou diagnostiku a konfiguraci?
3
Jsou stanice po určené době nečinnosti odhlášeny od systému?
1
Existují v organizaci zásady a postupy bezpečné práce na mobilních výpočetních
prostředcích a zařízeních?
1
3.2.4 Úroveň řízení lidských zdrojů
Z důvodu neexistence bezpečnostní politiky nemá firma osobu pověřenou soustavným
řízením bezpečnosti a tudíž nedochází k hlášení o jejím dodržování a účinnosti. Ze stejného
důvodu pak nejsou v rámci bezpečnostní politiky definovány role a odpovědnosti
zaměstnanců a nemohou tak být navázány na pracovní smlouvy. Každá pracovní smlouva však
obsahuje doložku o zachování mlčenlivosti týkající se citlivých informací ve smyslu know-how
či obchodního styku a dále také doložku konkurenční. Při ukončení pracovního poměru
nejsou stanoveny žádné odpovědnosti nad rámec ustanovení zákoníku práce a souvisejících
pracovněprávních předpisů. Po odchodu zaměstnance se kromě vrácení zapůjčených věcí nic
zásadního neděje.
Při přijímání nových pracovníků není věnována zvláštní pozornost jejich schopnostem
práce s rizikovými informacemi. Klíčové jsou zde zejména reference předchozích
zaměstnavatelů a celková profesní způsobilost požadovaná na danou pozici.
Firma nepořádá ani se neúčastní žádných školení tykajících se bezpečnosti informací a
nemá stanovený proces disciplinárního řízení v případě porušení bezpečnostní politky a
způsobení bezpečnostního incidentu.
32
Tabulka 6: Úroveň realizace lidských zdrojů
Kritérium
Hodnocení
Je v organizaci definována osoba nebo útvar, jehož primárním úkolem je řízení
bezpečnosti informací?
1
Podává tento útvar pravidelná hlášení vedení organizace o dodržování a účinnosti
stanovené bezpečnostní politiky?
1
Má každý zaměstnanec jasně definovánu svou roli a odpovědnost v rámci
bezpečnostní politiky organizace?
2
Je tato odpovědnost písemně definována v pracovních smlouvách všech
zaměstnanců?
2
Je přezkoumávána předchozí činnost žadatelů o zaměstnání v organizaci také ve
smyslu jejich schopností kvalitně pracovat s rizikovými informacemi, které budou
mít na starosti?
1
Jsou pravidelně organizována školení pro zaměstnance i uživatele třetích stran
týkající se politiky bezpečnosti informací?
1
Funguje v organizaci disciplinární proces pro zaměstnance, kteří porušili
bezpečnostní politiku a způsobili bezpečnostní incident?
1
Jsou v organizaci jasně definovány odpovědnosti při ukončení pracovního poměru
nebo při změně zaměstnání?
2
Je ve smluvním vztahu jasně definováno, že zaměstnanec je povinen před ukončením
zaměstnání vrátit všechna aktiva, která měl k dispozici a odpovídal za ně?
2
Jsou automaticky všem odcházejícím pracovníkům odejmuta všechna přístupová
práva v organizaci?
1
3.2.5 Úroveň řízení bezpečnostních incidentů
Aktuálně neexistuje žádná kategorizace bezpečnostních incidentů ani postup jejich
dokumentace. Není vytvořen krizový bezpečnostní tým, jehož úkolem by bylo řešení
incidentů, jejich analýza a návrh budoucích opatření. Nejsou stanoveny ani minimalistické
scénáře obnovy zařízení či systémů po proběhlém incidentu. Bezpečnostní incidenty by
zaměstnanci dokázali rozpoznat pouze v těch případech, kdy se jedná například o vloupání s
použitím síly, tedy rozbití okna, vylomení dveří nebo v případě zásahu živelnou pohromou či
za jinak očividných okolností. Bez důsledných školení týkajících se přímo bezpečnostních
incidentů v oblasti kyberprostoru je pro ně velmi obtížné se v dané problematice orientovat.
33
Tabulka 7: Úroveň realizace bezpečnostních incidentů
Kritérium
Hodnocení
Existuje ve firmě dokument, který definuje a klasifikuje potencionální bezpečnostní
události a bezpečnostní incidenty, ke kterým může při chodu organizace dojít?
1
Jsou všichni zaměstnanci povinni hlásit jakékoliv pozorované zranitelné místo v
informačním systému organizace, které by mohlo znamenat vznik bezpečnostního
incidentu?
2
Probíhají v organizaci pravidelná školení pro všechny zaměstnance a účastníky
třetích stran, na kterých je všem zúčastněným zvyšována úroveň bezpečnostního
povědomí?
1
Jsou všichni zaměstnanci poučeni, jak po detekování bezpečnostní události hlásit její
vznik pověřené osobě či útvaru v organizaci?
1
Jsou v organizaci jasně definovány odpovědnosti a postupy pro rychlé řešení
vzniklých bezpečnostních incidentů?
1
Existují v organizaci mechanismy pro kvantifikaci druhů a rozsahu vzniklých
bezpečnostních incidentů?
1
Existují v organizaci mechanismy pro kvantifikaci vzniklých nákladů souvisejících s
odstraňováním bezpečnostních incidentů?
1
Jsou důsledně shromažďovány a uchovávány důkazy o jednotlivých proběhlých
bezpečnostních incidentech, které by mohly být využity orgány činnými v případném
trestním řízení?
1
Existují v organizaci rizikové scénáře pro případ vzniku neočekávaného nebo
nezvládnutelného bezpečnostního incidentu?
1
Jsou pravidelně bezpečnostní incidenty vyhodnocovány a přijímány závěry směrem
k analýze rizik, příp. k systému řízení bezpečnostních incidentů?
1
34
3.2.6 Interpretace zjištěných výsledků
Úroveň závislosti na IT činní v součtu 26 bodů, což metodika hodnotí jako stupeň 3 – Vysoká
závislost. Na základě toho jsou pro každou oblast vybrány příslušné bodové intervaly. Dále je
potřeba sečíst bodové hodnocení jednotlivých oblastí řízení zjištěné vstupním auditem a
zaznamenat do tabulky. Následně zbývá ještě stanovit, do jakého intervalu bodový součet
každé oblasti řízení spadá a přiřadit tomu odpovídající slovní interpretaci. Sumarizace a
interpretace je uvedena v tabulce 8. Z uvedených výsledků vyplývá, že je nutné podniknout
zásadní kroky ve všech řešených oblastech.
Tabulka 8: Sumarizace a interpretace řízení jednotlivých oblastí
Stupeň závislosti na IT: 3 – Vysoká závislost
Oblast
Body
Interval
Interpretace
Řízení rizik
12
10-25
Nedostatečná ochrana
Řízení procesů a technologií
38
10-46
Řízení lidských zdrojů
14
10-23
Řízení bezpečnostních incidentů
11
10-23
35
3.3 Řízení rizik
Hlavní náplní této disciplíny je identifikace aktiv, vytipování hrozeb, nalezení zranitelností a
odhad s tím spojených rizik. V tomto případě však není cílem provádět rozsáhlou a
vyčerpávající analýzu rizik, nýbrž pouze tzv. hrubou analýzu, která pomůže lépe určit cíle
bezpečnostní politiky.
3.3.1 Hodnocení aktiv
Prvním krokem k úspěšnému zvládnutí managementu rizik je správná identifikace a
ohodnocení klíčových aktiv společnosti. Aktiva budou pro lepší přehlednost a celkovou
realizovatelnost analýzy seskupeny následujícím způsobem:
•
Hardware – server, pracovní stanice, notebooky, tablety, mobilní telefony, UPS.
•
Software – účetní aplikace, aplikace serveru, operační systémy, podpůrné aplikace.
•
Sítě – místní síť a připojení k internetu.
•
Data – účetní a jiná citlivá data.
•
Dokumenty – doklady a smlouvy v papírové formě.
Tyto skupiny jsou následně ohodnoceny z hlediska dopadu a vlivu na firmu, případně další
zainteresované strany, při porušení důvěrnosti, dostupnosti nebo integrity. V tabulce 9 je
příklad kvalitativního hodnocení aktiv, další lze nalézt v příloze 2 na stránce 92.
Tabulka 9: Kvalitativní ocenění aktiv z hlediska dostupnosti
Stupně dopadu: 1 – nízký, 2 – střední, 3 – vysoký, 4 – velmi vysoký
Hardware
Software
Síť
Data
Dokumenty
Dopad na finance
3
3
3
4
2
Dopad na procesy
4
4
2
4
3
Ztráta důvěry klientů
1
2
2
2
2
Ztráta image
1
2
2
2
2
Porušení legislativy
1
1
1
3
2
Počet bodů
10
12
10
15
11
Dílčí hodnota (0,1)
0,50
0,60
0,50
0,75
0,55
Zdroj: Vlastní zpracování na základě Metodiky vyvážené informační bezpečnosti
36
3.3.2 Hodnocení hrozeb
V další sérii kroků je potřeba na základě dostupných informací nebo rozumné úvahy určit a
ohodnotit hrozby, jež na aktiva společnosti mohou negativně zapůsobit. V souladu s
metodikou jsou hrozby rozděleny do tří základních kategorií na úmyslné, neúmyslné a
přírodní. Úroveň působení může být nízká, střední, vysoká nebo velmi vysoká. U každého
aktiva záleží na jeho atraktivitě a dalších faktorech. Lze předpokládat, že hrozba zemětřesení
bude velmi nízká, oproti tomu zkušenosti s výpadky elektřiny v dané lokalitě má firma velmi
bohaté. Pokud se náhodný zloděj vloupá do prostor společnosti, tak si pravděpodobně bude
chtít odnést především počítač nebo dva bez ohledu na to, k čemu se používají. V tabulce 10
jsou zachyceny úrovně hrozeb působící na aktiva společnosti.
Tabulka 10: Úroveň hrozeb působících na klíčová aktiva
Hardware
Software
Síť
Data
Dokumenty
Velmi vysoká
-
-
-
Vysoká
-
-
Vysoká
-
-
Nízká
-
Velmi vysoká
-
-
Střední
Vysoká
Chyba uživatele
Nízká
Vysoká
Vysoká
Vysoká
-
Chyba správce
Střední
Střední
Střední
Střední
-
Selhání hw či sw
Střední
Střední
-
Velmi vysoká
-
-
Vysoká
-
-
Nízká
Nízká
Nízká
-
-
Požár
Střední
-
Střední
-
Střední
Blesk
Střední
-
Střední
-
-
Záplava
Nízká
-
Nízká
-
Nízká
Zemětřesení
Nízká
-
Nízká
-
Nízká
Krádež
Falšování identity
Odposlech
Neoprávněný přístup
Selhání sítě
Selhání napájení
Výpadek elektřiny
Velmi vysoká Velmi vysoká Velmi vysoká
Velmi vysoká Velmi vysoká Velmi vysoká Velmi vysoká
37
-
3.3.3 Hodnocení zranitelností
Cílem tohoto kroku je nalézt existující zranitelnosti a stručně je zdokumentovat v tabulce v
příloze 1 na stránce 91 a to včetně hrozby, která by mohla danou zranitelnost využít k útoku
na některé z aktiv.
3.3.3.1 Fyzické zranitelnosti
Prvním zásadním problémem je nízká odolnost stávajících zámkových vložek vchodových
dveří vůči známým technikám lockpickingu a tudíž i vysoká zranitelnost. Souvisejícím
problémem pak je i ztížená detekce případného bezpečnostního incidentu, jelikož při
vloupání do prostor společnosti dveřmi vůbec nemusí dojít k poškození zámku. Druhý
problém tvoří okno, které jde snadno rozbít a žádná jiná překážka případnému lupiči ve
vstupu do objektu nebrání. Případné rozbití skla pak navíc není nijak detekováno. Problém
dále tvoří také dřevěné skříně sloužící k dočasnému ukládání i archivaci účetních dokladů,
smluv, mzdové agendy a dalších papírových dokumentů. Konkrétně se jedná o fakt, že nejsou
samy o sobě uzamykatelné. Poslední záležitost se týká prostoru, kde je umístěn server a který
není nijak viditelně označen proti neoprávněnému vstupu, což může být problém vzhledem k
tomu, že se v prostorách často pohybují třetí osoby.
3.3.3.2 Zranitelnosti serveru
Vzhledem k neexistenci dokumentace a nastavení služeb poskytovaných serverem nezbývá
nic jiného, než provést vlastnoruční analýzu. O serveru je tedy zatím známo pouze to, že na
něm běží operační systém Linux, web, elektronická pošta a sdílení souborů v místní síti. Po
získání přihlašovacích údajů je možné se libovolně přihlašovat do systému a odhlašovat se z
něj. Po přihlášení nás bude zajímat, co je systém vlastně zač, tedy verze jádra a pro pozdější
účely dokumentace také verze linuxové distribuce. Z hlediska identifikace zranitelných míst
jsou tyto informace důležité zejména proto, že například chyby v jádru či jeho modulech
mohou útočníkovi za určitých okolností umožnit získat oprávnění uživatele root 19 a tím
pádem i kompletní kontrolu nad systémem.
Na obrázku 5 je příklad zjišťování důležitých informací o systému pomocí standardních
unixových příkazů. Již z výpisu procesů si lze udělat rozumnou představu o tom, jaké služby
server fakticky poskytuje. Dále je nutné dohledat veškeré konfigurační soubory k daným
službám, zaevidovat jejich umístění tak, jako v tabulce 11, a zkontrolovat stávající nastavení v
nich uložená. V případě, že umístění konfiguračních souborů není na první pohled zřejmé,
19 Typicky nejvyšší oprávnění v prostředí unixových operačních systémů.
38
vyplatí se nahlédnout do manuálových stránek k příslušným běžícím programům. Kontrola
nastavení je důležitá proto, že nám pomůže odhalit z hlediska zabezpečení nevhodné
konfigurace, a identifikovat tak nové zranitelnosti. Evidence programového vybavení nemusí
být vyčerpávající, stačí mít základní přehled o tom, jaké aplikace jsou využívány, k čemu, v
jaké verzi a kde lze nalézt jejich konfigurační soubory.
Nyní již máme přehled o tom, jaké služby server poskytuje, ale zatím není zřejmé, jakým
způsobem jsou nad rámec vlastní konfigurace zabezpečeny proti útoku z internetu či z místní
sítě. Nejdříve je tedy potřeba zjistit stávající síťové nastavení serveru a podívat se, zda-li a jak
jsou nakonfigurována pravidla firewallu. Z analýzy programového vybavení mimo jiné
vyplývá, že server pro svou ochranu nevyužívá žádný IDS 20. V serveru jsou fyzicky přítomny
dvě síťové karty označené jako eth0 a eth1, což je snadno možné ověřit i vizuální kontrolou
zadní části skříně. Dále lze říci, že podle nastavení IP adres patří eth0 do místní sítě a eth1 do
internetu. Z dalšího průzkumu systému vyplynulo, že například nejsou nastavena žádná
pravidla firewallu, což potenciálně umožňuje útočníkům přes síť využít zranitelností služeb,
ke kterým by s řádně nastaveným firewallem neměli přístup.
Další nalezené zranitelnosti souvisí s uživatelskými účty, které jsou v systému aktivní,
ale již dávno měly být odstraněny, případně v řízení přístupu jednotlivých aktuálních účtů do
systému vůbec. Účty vyhrazené pro sdílení souborů se mohou zároveň přihlašovat do
20 Intrusion Detection/Prevention System monitoruje chování v síťovém provozu a odhaluje podezřelé aktivity.
39
systému, ačkoli by měly být používány výhradně pro své účely, tj. přihlašování ke službě
Samba. Sdílení stejných přihlašovacích údajů mezi více uživateli je taktéž nepřípustné,
protože kvůli tomu není možné vyvodit zodpovědnost za provedené akce. Uživateli root je
umožněno se přihlašovat do systému přes SSH přímo, přičemž použité heslo není bezpečné.
Zmíněné i další nalezené zranitelnosti jsou uvedeny příloze 1 na stránce 91.
Tabulka 11: Programové vybavení serveru
Program
Verze
Funkce
Nastavení
Jádro
2.6.20
Běh systému
/usr/src/linux-2.6.20/.config
Gentoo Base
1.12.10
Linuxová distribuce zajišťující správu
balíčků a nastavení
/etc/conf.d/
Apache
2.2.8
Webový server hostující firemní www
stránky
/etc/apache2/httpd.conf
/etc/passw.http (hesla)
PHP
5.2.5
Skriptovací knihovna pro Apache
/etc/php/apache2-php5/php.ini
MySQL
5.0.54
Databázový server pro firemní web
/etc/mysql/my.cnf
Postfix
2.4.6
Poštovní server
/etc/postfix/
Syslog-ng
2.0.6
Služba zajišťující zaznamenávání
systémových a aplikačních informací.
/etc/syslog-ng/syslog-ng.conf
Samba
3.0.28
Služba pro sdílení souborů mezi OS
Linux a Windows
/etc/samba/smb.conf
/etc/samba/smbusers
Bind
9.4.1
DNS server
/etc/bind/named.conf
PureFTPD
1.0.21
FTP server umožňující nahrávat nebo
stahovat soubory ze serveru
/etc/conf.d/pure-ftpd;
/etc/pureftpd.passwd (hesla)
Teapop
0.3.8
Aplikace pro stahování pošty ze serveru /etc/conf.d/teapop;
prostřednictvím protokolu POP3
/etc/teapop.passwd (hesla)
OpenSSH
4.7p1
Služba zajišťující přístup k příkazové
řádce systému přes zabezpečený kanál
/etc/ssh/sshd_config
/etc/ssh/ (klíče)
Cyrus SASL
2.1.22
Aplikace pro autentizaci uživatelů při
odesílání pošty
/etc/postfix/
IPTables
1.3.8
Aplikace pro nastavování pravidel
firewallu
/var/lib/iptables/rules-save
OpenVPN
2.0.7
Aplikace pro vytvoření bezpečné
virtuální privátní sítě
/etc/openvpn/
3.3.3.3 Zranitelnosti pracovní stanice
Pracovní stanice umožňuje přístup do sytému BIOS bez hesla. Tím pádem lze i libovolně
zavádět operační systémy přímo z vložených nosičů jako jsou CD, DVD, USB pamětí a pevných
disků, jejichž prostřednictvím může být počítač kompromitován. Neexistence pravidelně
kontrolovaného hesla systému BIOS tak může potenciálně ztížit detekci bezpečnostního
40
incidentu. Pracovní stanice dále po spuštění umožňuje přihlášení pomocí profilového
obrázku, což může útočníkovi usnadnit průnik do počítače. Není oddělen systém od dat,
všechny soubory potřebné pro běh operačního systému a aplikací jsou na jediném diskovém
oddílu, což může být komplikace z hlediska zálohování systému. Je otevřen port pro přístup
přes vzdálenou plochu a to i přes to, že není využíván. Není zaveden žádný postup pro
filtrování a kontrolu zaznamenávaných informací. Zakoupený antivirový program sice používá
rezidentní štít, ale samotné skenování systému a souborů je prováděno pouze jednou za
týden. To v případě nově se šířícího škodlivého kódu, který ještě nemohl být rezidentním
štítem zachycen, může podstatně zvýšit dobu mezi infiltrací a detekcí. Manuální instalace
aktualizací v tomto případě není příliš vhodná, protože uživatel zpravidla není schopen
fundovaně posoudit, zda-li daná aktualizace má smysl nebo ne. Obdobný problém přináší i
nastavení oprávnění uživatelských účtů na úroveň správce, což může výrazně přispět ke
kompromitaci systému. Jsou skrývány soubory a přípony, což může potenciálně zmást
uživatele, případně skrýt před jeho zrakem podezřelé soubory, kterých by si jinak všiml.
3.3.3.4 Zranitelnosti mobilních zařízení
Notebooky mají nainstalované nejnovější verze Ubuntu Linuxu, v případě mobilních telefonů
a tabletů se jedná o Android verze 4 a vyšší. Hlavní zranitelností v tomto případě ani tak není
samotný operační systém či jeho aplikace, ačkoli u Androidu je problematika aplikací
podstatně závažnější, ale spíš prostředí, kde jsou používány. Jedná se zejména o prostředí
mimo firmu, ať už se jedná o pochybně zabezpečené domácí sítě nebo sítě veřejně přístupné.
Při připojování přes tyto rizikové sítě však není využívána virtuální privátní síť (VPN), která
by kryptografickými prostředky garantovala bezpečnost na úrovni 2. nebo 3. vrstvy
referenčního modelu ISO/OSI. Notebooky nevyužívají firewall, což může vystavit útoku
potenciálně zranitelné aplikace, které by mohly být preventivně chráněny. Obzvláště rizikové
jsou pak v tomto směru právě veřejné sítě. Pro mobilní zařízení nejsou vytvořeny zásady
bezpečného používání týkající se například uzamykání zařízení po určitém čase, používání
antiviru ani šifrování zařízení pro případ krádeže nebo jeho ztráty.
3.3.3.5 Zranitelnosti síťových zdrojů
Neexistuje ucelený přehled o využívání infrastruktury a systémových zdrojů, který by mohl
být zajištěn například monitoringem. Přístupový bod WiFi je bez opodstatnění nastaven v
režimu bridge, tím pádem spojuje poměrně bezpečnou drátovou síť se značně rizikovou
bezdrátovou sítí na úrovni linkové vrstvy a propouští tedy veškerou komunikaci.
41
3.3.3.6 Určení míry zranitelnosti
Vzhledem k faktu, že dosud nebyl vypracován žádný přehled zranitelností, není proti nim ještě
zavedeno žádné protiopatření, které by snižovalo pravděpodobnost, že daná zranitelnost
bude využita hrozbou. Hodnoty zranitelností se tedy pohybují nad horní hranicí, která je
metodikou stanovena na interval 75-100%. Některé zranitelnosti jsou závažnější než jiné, a
proto se přiřazené hodnoty míry zranitelnosti napříč seznamem liší. Míra zranitelnosti je
uvedena ve vlastním sloupci v příloze 1 na stránce 91.
3.3.4 Hodnocení rizik
Níže uvedený vzorec zachycuje, jakým způsobem se výpočet provádí. Použitými proměnnými
jsou úroveň hrozby z intervalu (0,1), míra zranitelnosti z intervalu (0,1) a hodnota aktiva z
intervalu (0,100) .
Riziko = Hrozba × Zranitelnost × Aktivum
V tabulce 12 je pak kvantifikace rizik a jejich interpretace podle výsledku. Fakticky provedené
hodnocení rizik je k dispozici v příloze 1 na stránce 91.
Tabulka 12: Míra rizika
Riziko
Nízké
Střední
Vysoké
Velmi vysoké
Kvantifikace
0,1 – 1,5
1,5 – 12,5
12,5 – 42
42 – 100
Interpretace
Riziko je možné
přijmout
Je nutné posoudit
ekonomičnost
možného opatření
Je nutné aplikovat Je nutné okamžitě
vhodné opatření na aplikovat vhodné
snížení rizika
opatření na snížení
rizika
Na základě nedostatků zjištěných vstupním auditem a provedenou analýzou rizik budou dále
navrhována opatření týkající se zbývajících klíčových oblastí, tedy řízení bezpečnosti procesů
a technologií, lidských zdrojů a bezpečnostních incidentů. Konkrétně se pak tato opatření
budou týkat fyzického zabezpečení aktiv, bezpečnosti komunikace a bezpečnosti přístupu k
aktivům. Dále vztahu zaměstnavatele a zaměstnance a zvyšování bezpečnostního povědomí
pracovníků. Budou navržena opatření týkající se reakce na proběhlé bezpečnostní incidenty a
následnou obnovu systémů a činností.
42
3.4 Řízení bezpečnosti procesů a technologií
3.4.1 Bezpečnostní perimetr
K zabezpečení fyzického perimetru přispěje úprava dvou zámků a to konkrétně u vnitřních
vchodových dveří a venkovních vchodových dveří. Úprava spočívá ve výměně základních
cylindrických vložek za vložky bezpečnostní. Pozitivním důsledkem změny bude také zajištění
právní ochrany profilu klíče a nebude tedy již možné libovolně vytvářet neautorizované kopie.
V návaznosti je však potřeba myslet na vznik potenciální zranitelnosti při nesprávné ochraně
bezpečnostní a identifikační karty. Ty budou uloženy v trezoru společnosti a přístup k nim
bude mít pouze vedoucí pracovník. Další úpravou je pak zabezpečení okna instalací kovové
mříže na vnější stranu zdi budovy.
Dále bude nainstalován elektronický zabezpečovací systém (EZS) zahrnující
obvodovou ochranu, prostorovou ochranu, ochranu majetku, ústřednu, komunikační modul a
ovládací klávesnici. Klávesnice systému bude nainstalována v interiéru poblíž vstupních dveří
a bude sloužit k deaktivaci alarmu při vstupu prvního a odchodu posledního zaměstnance.
Obvodová ochrana bude zahrnovat senzory otevření dveří. Prostorová ochrana bude sestávat
z detektorů pohybu a akustického detektoru rozbití skla a vnitřní sirény. Pro ochranu majetku
bude nainstalován kouřový detektor a detektor záplavy. Komunikaci s uživateli zajistí GSM
komunikátor umístěný v ústředně, protože pevná linka může být případným útočníkem
snadněji narušena. Připojení do mobilní sítě bude zajištěno přes tarifní firemní SIM kartu, aby
se předešlo riziku vyčerpání kreditu v případě předplacených karet. Zvoleným řešením pro
realizaci EZS je bezdrátový systém Alexor od společnosti DSC, který podle normy ČSN EN
50131-1 ed. 2 odpovídá použití v nízkém až středním rizikovém prostředí. 21 Vzhledem k
tomu, že se jedná o bezdrátové zařízení, je potřeba mít na paměti, že kromě ústředny jsou
všechny komponenty napájeny bateriemi, které je potřeba v určitých intervalech měnit a
tudíž je systém náročnější na údržbu.
3.4.2 Zabezpečení archivačních skříní
Nabízí se dva způsoby řešení, přičemž prvním a výrazně nákladnějším je pořízení nových
kovových uzamykatelných archivačních skříní. Druhým řešením je pořízení několika větších
visacích zámků na klíč nebo číselnou kombinaci a jejich instalace na madla skříní tak, že
nebude možné se bez znalosti hesla či použití klíče k dokumentům dostat, aniž by došlo k
poničení samotných skříní.
21 KELCOM INTERNATIONAL. DSC Alexor. In: Kelcom.cz [online]. ©1999-2013. [cit. 27.12.2013].
43
3.4.3 Firemní trezor
Bude nainstalován firemní trezor určený jako bezpečné úložiště důležitých aktiv, z nichž
některá však teprve vzniknou. Konkrétně se bude jednat o originální nosiče softwaru,
nepoužívané fyzické kopie klíčů, exportovatelné zálohy certifikátů, zálohy klíčů k
zašifrovaným složkám datového úložiště a záchranná média k zašifrovaným pevným diskům.
3.4.4 Fyzické zabezpečení serveru
Další opatření se týká fyzického zabezpečení serveru, který je v současné době vystaven
zvýšenému riziku útoku v případě, že dojde k vloupání do prostor společnosti. Vhodným
opatřením je přesun serveru do velikostně odpovídající uzamykatelné skříně upevněné ke
zdi. Spolu se serverem bude do skříně umístěn i záložní zdroj napájení. KVM přepínač bude
úplně odstraněn, protože se v současné době k ničemu nevyužívá a představuje tak pouze
neopodstatněné riziko selhání hardwaru. Do skříně bude po drobné úpravě kabeláže umístěn
také síťový přepínač.
3.4.5 Záložní napájení
K dispozici jsou celkem tři kusy UPS. První napájí server včetně monitoru, druhá napájí
pracovní stanici včetně monitoru a třetí napájí přepínač, přístupový bod WiFi a síťovou
tiskárnu. Články uvnitř UPS mají pouze omezenou životnost, je tedy potřeba jednotlivé záložní
zdroje označit a pečlivě sledovat jejich stav. V artefaktu “Údržba aktiv“ bude založena karta
„Baterie a články”, kde budou evidovány údaje jako v tabulce 13. Pokud dojde k detekci
nějakého nestandardního chování UPS nebo baterie, musí toto být zaznamenáno do kolonky
„Poznámky“ pro pozdější diagnostiku a případný servis. Pokud například UPS zapípá a přepne
se na by-pass aniž by došlo k výpadku elektřiny či stejné reakci ostatních jednotek, ukazuje to
na možné selhání článku nebo řídící elektroniky UPS. Stejný způsob evidence se pochopitelně
bude vztahovat i na další nově přidávané UPS, počítače nebo baterie v jiných klíčových
zařízeních. Kvůli okamžité možnosti servisu bude na skladě vyhrazena jedna souprava článků
pro okamžitou výměnu v případě nečekaného selhání UPS, alespoň tři náhradní kusy CR2032
baterie a osm nových AA baterií. Na obalu by vždy měl být zapsán měsíc a den, kdy byly
zakoupeny, kvůli přehledu o životnosti. Výrobce u jednotlivých komponent elektronického
zabezpečovacího systému uvádí velmi dlouhou výdrž, nicméně je bezpečnější počítat se
spodní hranicí těchto odhadů.
44
Tabulka 13: Údržba článků a baterií
#
Typ
Popis
Měněno
Expirace
Poznámky
U1
RBC2
UPS server + monitor
10/2013
10/2016
U2
RBC2
UPS pracovní stanice + monitor
05/2013
05/2016
U3
RBC2
UPS přístupový bod WiFi,
přepínač, síťová tiskárna
12/2012
12/2015
U4
RBC4
UPS centrálního datového úložiště 03/2014
03/2017
Bude pořízeno
U5
RBC4
UPS vzdáleného datového úložiště 03/2014
03/2017
Bude pořízeno
C1
1x CR2032, 3V CMOS baterie serveru
05/2008
05/2012
Vyměnit!
C2
1x CR2032, 3V CMOS baterie pracovní stanice
08/2011
08/2015
D1
1x CR123A, 3V Detektor pohybu
03/2014
03/2020
Bude pořízen
D2
1x CR123A, 3V Detektor pohybu
03/2014
03/2020
Bude pořízen
D3
2x CR123A, 3V Detektor rozbití skla
03/2014
03/2019
Bude pořízen
D4
1x CR2, 3V
Dveřní senzor
03/2014
03/2019
Bude pořízen
D5
1x CR2, 3V
Dveřní senzor
03/2014
03/2019
Bude pořízen
D6
4x AA, 1,5V
Vnitřní siréna
03/2014
03/2015
Bude pořízena
D7
2x CR123A, 3V Detektor kouře
03/2014
03/2018
Bude pořízen
D8
1x CR2, 3V
Detektor záplavy
03/2014
03/2018
Bude pořízen
D9
4x AA, 1,5V
Klávesnice EZS
03/2014
03/2015
Bude pořízena
3.4.6 Zálohování
Za účelem zavedení spolehlivého systému zálohování bude pořízeno síťové datové úložiště
(NAS), které bude fyzicky umístěno ve skříni spolu se serverem. V tomto úložišti pak budou
dva pevné mechanické SATA disky v módu RAID-1 (zrcadlení). Do tohoto budou ukládány
zálohy všech příslušných aktiv, jež je potřeba zabezpečit. Jedná se o:
•
Zálohování operačního systému serveru.
•
Zálohování dat na serveru (webová aplikace společnosti).
•
Zálohování operačního systému pracovní stanice.
•
Zálohování dat na pracovní stanici (účetní data).
•
Zálohování operačního systému a osobních dat na mobilních zařízeních.
•
Zálohování nastavení přístupového bodu WiFi.
•
Zálohování nastavení síťové tiskárny.
•
Zálohování nastavení síťového přepínače (bude pořízen nový).
45
•
Zálohování nastavení centrálního datového úložiště (bude pořízeno).
•
Zálohování dokumentace bezpečnostní politiky (bude vytvořena).
•
Zálohování důležitých dokumentů skenováním na centrální datové úložiště.
Zde však čelím výzvě, jak rozumně zajistit decentralizaci zálohy pro případ spuštění scénáře
kontinuity činnosti organizace. Pokud by došlo v prostorách společnosti k vážnému požáru,
tak sebeúžasnější záloha na inkriminovaném místě nemusí být vůbec nic platná. Je proto
nutné vymyslet, jakým způsobem se bude provádět zálohování mimo prostory společnosti. Za
tímto účelem bude nasazeno ještě jedno datové úložiště na utajeném místě mimo prostory
společnosti. Pomocí technologie virtuální privátní sítě (VPN) pak toto vzdálené úložiště bude
propojeno s centrálním datovým úložištěm. Vše, co se zálohuje v místní síti tedy bude
zálohováno i decentralizovaně. Tento systém zálohování bude automatizovaný, až na samotné
zálohy operačních systémů a dat mobilních zařízení, ty budou uživatelé provádět manuálně.
Návrh systému zálohování je zachycen na obrázku 6.
Ilustrace 6: Systém zálohování
46
3.4.7 Údržba aktiv
Údržba aktiv řeší zejména fyzické odstranění nečistot a kontrolu vnitřních komponent skříní,
což se týká serveru a pracovní stanice. Hromadění prachu může zapříčinit selhání některé z
komponent a způsobit tak bezpečnostní incident. Každých šest měsíců je tedy potřeba
příslušnou skříň otevřít a zkontrolovat funkčnost aktivních větráků. Poté stroj vypnout,
odpojit od elektřiny, pečlivě vyčistit pomocí stlačeného vzduchu či antistatického štětce, uvést
zpět do provozu a zaznamenat informace tak, jak je uvedeno v tabulce 14. Jakékoli
nesrovnalosti nebo postřehy pak budou zapsány do kolonky poznámka. Aby se oba přístroje
musely vypnout pouze jednou, je vhodné provádět údržbu počítače zároveň s údržbou UPS.
Odpovědnost za fyzickou údržbu má technik, u serveru však pouze v součinnosti se správcem.
Ten zajistí přístup do serverové skříně a provede kontrolované vypnutí serveru. Při údržbě
počítačů a UPS je nutno dbát kromě bezpečnostní politiky také na dodržování bezpečnosti
práce v souvislosti s vyhláškou č. 50/1978 22 Českého úřadu bezpečnosti práce a to zejména
§ 4, § 5 a § 6.23
Tabulka 14: Fyzická údržba
Stroj
Poslední údržba
Příští údržba
Poznámky
Server
05/2008
01/2014
Vyčistit!
Pracovní stanice
08/2011
01/2014
Vyčistit!
UPS U1
-
01/2014
Vyčistit!
UPS U2
-
01/2014
Vyčistit!
UPS U3
-
01/2014
Vyčistit!
UPS U4
03/2014
09/2014
3.4.8 Likvidace aktiv
Likvidace se týká zejména dat uložených na nosičích. Z některých typů médií lze různými
technikami, zpravidla za pomoci běžně dostupných aplikací, data získat i po jejich vymazání.
Pro potřeby bezpečnostní politiky se budou rozlišovat následující situace:
1. Citlivá data je potřeba odstranit a nosič ponechat k internímu použití (mazání).
2. Citlivá data je potřeba odstranit a nosič použít v nezabezpečeném prostředí (čištění).
3. Citlivá data je potřeba odstranit a nosič zničit (likvidace).
22 ČSSR. Vyhláška č. 50 Českého úřadu bezpečnosti práce. In: Gov.cz [online]. ©2013. [cit. 19.12.2013].
23 Jedná se o kvalifikaci pracovníků pro manipulaci s elektronickými zařízeními.
47
V prvním případě budou data jednoduše vymazána. Ve zbylých dvou případech se bude
vycházet ze standardu DoD 5220.22-M, který specifikuje, jakým způsobem provádět likvidaci
dat a nosičů. Čištění dat na mechanickém disku by se mělo například provádět tak, že se
nejdříve celý obsah disku přepíše jedním znakem (1. průchod), pak jeho komplementem (2.
průchod) a nakonec náhodným znakem (3. průchod). Metody vztahující se k jednotlivým
nosičům jsou uvedeny v tabulce 15. Nezabezpečeným prostředím je myšleno prostředí mimo
firmu, např. pokud se jedná o předávání účetních dat klientovi na flash paměti, na které byla
doposud účetní data vztahující se k jinému subjektu. Schválenými aplikacemi pro potřeby
čištění a likvidaci dat jsou Diskwipe 24 a DBAN25. Je potřeba mít na paměti, že bezpečné čištění
dat na SSD disku nelze běžnými technikami stoprocentně zaručit. 26 SSD disk je tedy potřeba
zašifrovat a klíč zničit (zapomenout). Nepotřebné papírové dokumenty s citlivými
informacemi se budou standardně likvidovat skartací, stejně tak i účetní a mzdové
dokumenty po zákonné archivační lhůtě. Data na mobilních zařízeních se systémem Android
lze znehodnotit zašifrováním zařízení a následným resetem do továrního nastavení.
Tabulka 15: Čistění a likvidace aktiv
Nosič
Čištění
Likvidace
Optická média (čtení i zápis) 1 průchod, samé nuly
Fyzická likvidace (rozdrtit)
Optická média (čtení)
-
Pevné disky
3 průchody (jedničky, nuly, náhodný znak) Čištění + fyzická likvidace
Flash disky
3 průchody (jedničky, nuly, náhodný znak) Fyzická likvidace (rozdrtit)
SSD
Disk zašifrovat (AES 256-bit), klíč zničit
Paměti RAM
Odpojit elektřinu, odpojit z počítače
-
Papírové dokumenty
-
Skartovat
Mobilní zařízení (Android)
Zašifrovat zařízení + tovární nastavení
Čištění postačuje
24 WIPE SOFT. Disk Wipe 1.7 [software] [přístup 22. prosince 2013].
25 DARIK HORN. Darik's Boot and Nuke 2.2.8 [software] [přístup 22. prosince 2013].
26 UNIVERSITY OF CALIFORNIA. Reliably Erasing Data From Flash-Based SSDs. In: Ucsd.edu [online]. @2013. [cit.
22.12.2013].
48
3.4.9 Monitoring systémových a síťových zdrojů
Bude zaveden aktivní monitoring zdrojů společnosti prostřednictvím nástroje Nagios27. Jedná
se o open source aplikaci v této oblasti již dlouhá léta hojně využívanou, dříve pod názvem
NetSaint. Nagios bude nasazen na serveru, výstupy monitoringu bude možné sledovat v
reálném čase přes webové rozhraní v rámci intranetu. Monitorovány budou vlastní zdroje
serveru, síťové služby, aktivita prvků v síti a jejich dostupnost. Mezi vlastní zdroje serveru
patří zaplnění pevných disků, využití paměti, využití procesoru, výpis z teplotních čidel na
základní desce a počet přihlášených uživatelů. Překročení správně nastavené hranice u
každého z těchto zdrojů indikuje potenciální bezpečnostní incident.
Monitoringem síťových služeb se rozumí dostupnost webového serveru, poštovního
serveru (SMTP), serveru pro stahování pošty (POP3), databáze, webového serveru síťové
tiskárny, webového serveru přístupového bodu WiFi a dostupnost sdílených adresářů
síťového úložiště (bude pořízeno).
V rámci monitoringu prvků pak bude sledována dostupnost jednotlivých aktivních
prvků v síti. Prvky lze z hlediska aktivity rozdělit na dvě skupiny. V první skupině jsou prvky,
které mají být aktivní neustále, tedy síťová tiskárna a přístupový bod WiFi. Jejich
nedostupnost signalizuje výpadek, a tedy nutnost ručního zásahu, kterým může být například
restart. Ve druhé skupině jsou prvky, které by měly být aktivní v pracovní době, tedy pracovní
stanice, notebooky, tablety a mobilní telefony připojené přes WiFi. Interval pracovní doby
bude nastaven od pondělí do pátku, od 8 do 17 hodin, tedy s hodinovou rezervou po
standardní pracovní době, kdy je velmi pravděpodobné, že ještě bude přítomen někdo ze
zaměstnanců.
V případě, že Nagios zjistí na základě sledování vytyčených zdrojů a prvků nějakou
nesrovnalost, přijde na řadu notifikace zodpovědné role. Pokud nedojde k nápravě problému
ve stanoveném termínu, bude systém notifikovat konkrétní osoby, typicky vedoucího,
případně i další zaměstnance. Notifikace se budou provádět přes internet pomocí SMS a
doplňkově e-mailem.
Je však potřeba brát v potaz situaci, kdy dojde k výpadku připojení k internetu na
straně ISP či jinému selhání sítě, a Nagios nebude moci notifikace doručit. Alternativně lze
problém vyřešit instalací záložní linky přes GSM bránu připojenou k serveru, nicméně na
základě zkušeností s kvalitou připojení k internetu od současného poskytovatele to prozatím
nebude třeba.
27 NAGIOS ENTERPRISES. Nagios 4.0 [software]. [přístup 26.12.2013].
49
3.4.10 Bezpečnost a kontrola přístupového bodu WiFi
Přístupový bod WiFi je vynikajícím terčem pro útok a to ze dvou důvodů. Za prvé je možné se
skrz něj prolomit do místní sítě, kde pak lze odposlouchávat síťový provoz nebo spouštět
útoky vůči dalším aktivům, například prostřednictvím falšování identity 28, a to aniž by útočník
musel fyzicky vstoupit do chráněných prostor společnosti. Problém je tedy v tom, že
elektromagnetické záření nerozumí hranicím objektu, leda by byl vyprojektován jako obří
Faradayova klec. Druhým důvodem je samotná pověst přístupových bodů WiFi, z nichž mnohé
stále ještě používají zabezpečení WPAv1 či dokonce WEP, případně je již nastaveno WPAv2,
ale bylo použito jednoduché slovníkové heslo. Jak je na tom právě naše WiFi zařízení pak bude
pro odhodlaného útočníka pochopitelně lákavé zjišťovat. Navrhovaná opatření jsou:
•
Zabezpečení WPAv2 s algoritmem AES a silným heslem.
•
Snížení vyzářeného výkonu na nutné minimum.
•
Korektní nastavení času na zařízení.
•
Vzdálené logování událostí z přístupového bodu na server.
•
Izolace bezdrátově připojených zařízení.29
Vhodné nastavení zabezpečení podstatně znesnadní průlom do sítě. Snížení vyzářeného
výkonu bude nutit útočníka přijít co nejblíže k objektu, kde si ho spíše někdo všimne, než
když bude sedět opodál v autě a tvářit se nenápadně. Je potřeba dbát na to, aby manipulací s
hodnotou vyzářeného výkonu nedošlo k narušení práce z autorizovaných zařízení. Správným
nastavením času a vzdáleným logováním událostí bude docíleno aspoň základní úrovně
kontroly nad tím, co se s přístupovým bodem děje. Takto získané údaje mohou pomoci při
zpětné analýze v případě bezpečnostního incidentu. Vzájemnou izolací zařízení připojených
bezdrátově lze zabránit potenciálnímu šíření některých typů škodlivého kódu, například
červů. Odpovědnost za nastavení přístupového bodu WiFi má správce.
3.4.11 Bezpečnost a kontrola serveru
Bezpečnost serveru se skládá ze dvou dimenzí, lokální a síťové. Pokud se útočník prolomí do
systému, ať už z vnitřní sítě nebo z internetu, pravděpodobně skončí s uživatelským účtem s
omezeným oprávněním a teprve bude muset prolomit ochranu lokální, aby získal oprávnění
uživatele root (escalation of privilege), a tím kompletní kontrolu nad systémem. Unixové
operační systémy jsou v zásadě, díky svému vnitřnímu fungování, velmi bezpečné. Největší
28 Útok známý pod anglickým termínem „Man In The Middle”.
29 Známé pod anglickým názvem „Wireless Client Isolation”.
50
hrozbou tak jsou zpravidla zásahy či naopak nečinnost správce, případně nezkušeného
uživatele s přístupem k administrátorskému účtu. Pro zvýšení úrovně zabezpečení serveru
budou podniknuty následující opatření:
•
Odstranění nepotřebných a nepoužívaných systémových účtů. 30
•
Vynucení tvorby silného hesla pro přihlášení do systému.
•
Nastavení expirace systémových hesel po třech měsících.
•
Automatické odhlášení uživatele po třech minutách nečinnosti.
•
Autorizace skupin účtů, které se smí vzdáleně přihlašovat, v nastavení OpenSSH.
•
Omezení možnosti přihlašování uživatele root přes SSH.
•
Zavedení seznamu softwarových komponent a pravidelná kontrola jejich zranitelností.
•
Aktualizace softwarových komponent jako je kernel, binutils, glibc a další.
•
Odstranění nepotřebných aplikací.
•
Dokumentace nastavení služeb vedoucí ke snížení rizika chyby při manipulaci s nimi.
•
Kontrola škodlivých kódů prostřednictvím antiviru a antirootkitu.
•
Korektní nastavení firewallu prostřednictvím IPTables.
•
Instalace IDS/IPS, který bude detekovat události v síťovém provozu a reagovat na ně.
•
Agregace informací zaznamenaných v logovacích souborech.
•
Pravidelné zasílání agregovaných logů zodpovědným rolím (správci a vedoucímu).
•
Omezení spamu pomocí kontroly IP adres v internetových černých listinách.
Schváleným IDS/IPS je aplikace Snort31. Omezení spamu bude provádět v MTA Postfix na
základě kontroly černých listin. Schváleným antivirovým programem je ClamAV32,
antirootkitem pak Rootkit Hunter33. Odpovědnost za bezpečnost a kontrolu serveru má
správce.
30
31
32
33
NORTHCUTT, S. et al.: Inside Network Perimeter. Sams, 2005, kap. 9 „The Need for Host Hardening”
SOURCEFIRE INC. Snort 2.9.5.6 [software]. [přístup 19.12.2013].
SOURCEFIRE VRT. Clam AntiVirus 0.98 [software]. [přístup 2.12.2013].
MICHAEL BOELEN. Rootkit Hunter 1.4.0 [software]. [přístup 19.12.2013].
51
3.4.12 Bezpečnost a kontrola pracovní stanice
Prvním krokem pro zabezpečení pracovní stanice s Windows 7 je vytvoření silného hesla pro
základní administrátorský účet. Účty vedoucího a správce smí mít oprávnění typu
administrátor, ostatní existující účty musí mít oprávnění typu uživatel. Je zároveň potřeba
zajistit správné fungování doposud používaných aplikací s účty přednastavenými na tuto
úroveň oprávnění. Dalším krokem je nastavení úvodní obrazovky tak, aby po nastartování
systému uživatel musel zadávat kromě hesla i uživatelské jméno, nikoli aby pro zadání hesla
stačilo pouze kliknout na profilový obrázek. Dále bude nastaveno automatického stahování a
instalace důležitých aktualizací, které se mimo jiné týkají i bezpečnostních záplat. Aktualizace
se budou instalovat před nebo na začátku pracovní doby. Prostřednictvím aplikace Eventlogto-syslog34 bude zajištěno odesílání zaznamenávaných informací ze služby Protokol událostí
systému Windows na server. Systém by měl být nastaven tak, aby sám od sebe neskrýval
systémové soubory, soubory označené jako skryté a také přípony známých typů. Systém i data
jsou uložena v jediném existujícím diskovém oddílu, proto bude pevný disk dodatečně
rozdělen na oddíl C (systémový) a D (datový). Pracovní stanice bude automaticky vypnuta
jednu hodinu po skončení pracovní doby, aby se mohlo provést denní zálohování dat a
antivirová kontrola.
3.4.13 Bezpečnost a kontrola mobilních telefonů a tabletů
Při návrhu operačního systému Android autoři mysleli také na jeho bezpečnost, což je možné
vidět na obrázku 7. Jeho nejpalčivějším problémem i přes to zůstává právě proces instalace
aplikací.
Společnosti
Google
se
dlouhodobě
nedaří
zajistit
bezpečnost
softwaru
distribuovaného přes jeho platformu Google Play. Uživateli se tak může velmi snadno stát
nejen to, že si stáhne aplikaci obsahující škodlivý kód, ale při instalaci jí navíc udělí veškerá
oprávnění, o které si takováto darebná aplikace řekne. Uživatel pak nemusí vůbec zjistit, co se
uvnitř jeho zařízení vlastně děje, dokud nedojde k detekci bezpečnostního incidentu. Pokud k
ní vůbec dojde. Daleko větší riziko pak v tomto směru mohou přinést instalační balíčky
aplikací z jiných zdrojů než Google Play.35
34 SHERWIN FARIA. Eventlog-to-syslog 4.5.1 [software]. [přístup 27.12.2013].
35 TREND MICRO INC. Android Malware Spreads via Third-Party App Stores. In: Trendmicro.com [online]. @2013.
[cit 23.12.2013].
52
Dalším problémem mobilních zařízení obecně, je přirozená náchylnost ke ztrátě či krádeži a
jakmile je jednou zařízení mimo dosah autorizovaného vlastníka, nelze garantovat důvěrnost
dat na něm uložených. Z toho důvodu bude bezpečnostní politikou stanoveno, že tablety a
mobilní telefony musí být šifrovány. Šifrování v Androidu je vázáno na PIN či heslo, je
permanentní a lze ho zrušit pouze resetováním do továrního nastavení, čímž zároveň dojde k
likvidaci dat uložených na zařízení. Tím je zajištěno, že v případě ztráty telefonu či tabletu se
k soukromým nebo firemním informacím nedostane nikdo nepovolaný. Schváleným
antivirovým programem pro systém Android je Avira Free Android Security36. Aby bylo
minimalizováno riziko napadení telefonu či tabletu, budou stanovena následující opatření:
•
Uzamykání telefonu a tabletu pomocí PIN kódu nebo hesla.
•
Povinnost mít telefon či tablet zašifrovaný.
•
Automatické zamknutí telefonu či tabletu po jedné minutě.
•
Nespouštět WiFi tethering s originálním heslem (1234567890).
•
Nezviditelňovat zařízení přes Bluetooth na delší než nezbytně nutnou dobu.
•
Zakázat technologii Near Field Communication (NFC), pokud jej zařízení podporuje.
•
Zákaz připojování telefonů a tabletů přes USB do cizích zařízení.
36 AVIRA OPERATIONS GMBH. Avira Free Android Security 3.0 [software] [přístup 23. prosince 2013].
53
•
Zákaz instalace aplikací z jiných zdrojů než Google Play.
•
Zákaz úpravy systému za účelem získaní oprávnění uživatele root. 37
•
Při instalaci aplikace hlídat zejména požadavky na plný přístup k internetu, přístup k
online účtům a zasílání SMS.
•
V případě pochybností o aplikaci se poradit se správcem.
•
Povinnost mít spuštěný a aktualizovaný antivirový program.
3.4.14 Bezpečnost systému pro vedení účetnictví a účetních dat
K vedení účetnictví na pracovní stanici slouží firmě ekonomický systém Money S3 Premium.
Ten se skládá ze dvou hlavních komponent, a to ze samotné spustitelné aplikace a účetních
datových souborů obsahujících veškeré agendy. Obě části jsou nainstalovány do jediné složky
na pevném disku v oddílu C. Tento oddíl však obsahuje i systém Windows, který je také
potřeba pravidelně zálohovat, ale ideálně bez zbytečného přidaného objemu datových
souborů, jež se budou zálohovat samostatně. Jejich obnovení zároveň se systémem by navíc
nebylo užitečné, protože záloha systému se nebude provádět tak často a data účetních agend
by tedy již byla zastaralá. Aplikace spolu s daty proto bude přesunuta na datový oddíl D a
úpravou systémových registrů, případně vytvořením vhodných symbolických odkazů bude
zajištěno správné fungování aplikace i po tomto zásahu. V přímé souvislosti s vedením
účetních agend se budou tvořit celkem tři typy záloh. Jsou to automatické denní zálohy dat,
automatické měsíční zálohy dat a manuální zálohy tvořené v rámci téhož dne. Dalším krokem
je naprogramování několika jednoduchých dávkových souborů (skriptů) v PowerShellu, který
je standardní součástí Windows 7. Skripty zajistí operace odpovídající navrženým typům
záloh:
•
Denní záloha účetních dat na centrální datové úložiště.
•
Obnova nejnovější zálohy dat z datových úložišť.
•
Obnova požadované denní zálohy dat z datových úložišť.
•
Měsíční záloha účetních dat na centrální datové úložiště.
•
Obnova požadované měsíční zálohy dat z datových úložišť.
•
Manuální záloha účetních na centrální datové úložiště.
•
Obnova požadované manuální zálohy z datových úložišť.
37 Technika známá pod anglickým termínem „rooting“, cílem je získat nejvyšší stupeň oprávnění.
54
Skripty provádějící automatickou zálohu pak budou spouštěny jednou denně či jednou
měsíčně prostřednictvím plánovače úloh systému Windows. Skripty pro obnovu budou
spouštěny vždy ručně, stejně tak i skript provádějící manuální zálohu.
K dispozici budou na datových úložištích také jednotlivé starší použité verze samotné
aplikace. V rámci údržby aktiv je nutné evidovat, jakou verzi účetní aplikace firma v tom
kterém období používala a při každé aktualizaci tuto informaci doplnit.
Dále je potřeba z hlediska bezpečnosti vyřešit problém s oprávněním uživatele uvnitř
aplikace. Za tímto účelem bude zřízen administrátorský účet s neomezeným oprávněním, k
němuž bude mít přístup pouze vedoucí pracovník. Účetní pak bude mít veškeré pravomoci
kromě možnosti upravovat záznamy o provedených akcích, aby bylo možné v případě potřeby
dohledat konkrétní zodpovědnost.
3.4.15 Elektronická komunikace
Zejména komunikace prostřednictvím e-mailu s sebou přináší řadu úskalí. Prvním z nich je
velké množství spamu, od poměrně neškodných reklam, až po zákeřně konstruované pasti na
nepoučené uživatele. Zpravidla je potřeba dát si pozor na otevírání nevyžádaných příloh a to i
od kontaktů, které uživatel považuje za důvěryhodné (hrozí falšování identity). Dále je u
přílohy nutné posoudit, zda-li se pouze netváří jako něco, co ve skutečnosti není. Může se
například jednat o soubor roztomile_kotatko.jpg.exe, u kterého nepozorný uživatel
místo zobrazení zábavné fotografie odsouhlasí spuštění škodlivého kódu. Zejména v systému
Windows je tedy potřeba přílohu nejprve stáhnout na disk, zkontrolovat antivirovým
programem a ověřit právě příponu souboru.
Dále je potřeba si v tomto směru dát velký pozor na phishingové útoky 38 zaštiťující se
jménem a logem známých českých bank. 39 Takové útoky přitom mohou zaskočit i zkušenější
uživatele. Obecně lze říci, že žádná instituce, soukromá ani státní, by neměla sama od sebe
náhodně kontaktovat uživatele s tím, že by měl někomu sdělit přístupové údaje nebo
nainstalovat jakoukoli aplikaci. Co se softwarového vybavení a jiných důležitých informací
týče, jsou uživatelé zpravidla upozorňováni přímo v rámci informačních systémů daných
institucí.
V případě, že je zaměstnanci vytvořen nový účet, je k němu zároveň vygenerováno
dočasné heslo, které mu může být předáno firemní poštou, ale zároveň platí povinnost toto
heslo nejpozději tentýž den změnit. Platí zákaz sdílení citlivých dat jinými kanály, než pomocí
38 Podvodná technika používaná k získávání citlivých údajů v elektronické komunikaci.
39 ČESKÁ SPOŘITELNA. Aktuality: Phishing [online]. ©2013. [cit. 25.12.2013].
55
nosičů k tomu určených (flash paměti, optická média, externí pevný disk). Dalším schváleným
kanálem pro výměnu dokladů je bezplatná cloudová služba iDoklad, kterou provozuje známá
česká firma Cígler Software. Zásady elektronické komunikace lze shrnout do následujících
bodů:
•
Zákaz sdílení citlivých dat jinými kanály, než pomocí nosičů k tomu vyhrazených.
•
Dočasně vytvořené heslo smí být cílovému uživateli předáno po firemním e-mailu.
•
Dočasně vytvořené heslo musí být ještě v daný den změněno.
•
Zákaz využívání soukromých e-mailových schránek pro pracovní účely.
•
Zákaz stahování příloh a spouštění odkazů z e-mailů v soukromých schránkách.
•
Zákaz instalace softwaru na základě instrukcí v předem nevyžádané poště.
•
V případě pochybností o legitimitě elektronické komunikace kontaktovat správce.
3.4.16 Systém souhrnných hlášení
Server bude sloužit jako centrální sběrné místo pro informace zaznamenávané napříč
systémy společnosti a to prostřednictvím Syslogu40. Nástrojem pro agregaci a periodické
zasílání souhrnných hlášení je Logwatch41. Hlášení se bude sestavovat a zasílat každý den po
půlnoci, kdy dojde k vyhodnocení událostí za předešlý den. Hlášení bude dostávat vedoucí a
správce. Systém bude nastaven tak, aby zachytával zejména nestandardní události, které by
mohly indikovat bezpečnostní incident. Na obrázku 8 je tento systém zachycen.
40 Standard pro záznam programových zpráv a zároveň i stejnojmenná aplikace, která tyto zprávy zpracovává.
41 KIRK BAUER. Logwatch 7.4.0 [software]. [přístup 27.12.2013].
56
Ilustrace 8: Systém souhrnných hlášení
3.4.17 Bezpečnost datových nosičů
Klíčovým opatřením je zajistit vhodný postup týkající se nakládání s nosiči citlivých dat.
Nosičem citlivých dat se rozumí nosič pro výměnu účetních dat s klienty nebo jiných citlivých
aktiv, například databázový soubor správce účtů (bude zaveden). Pro ukládání těchto nosičů
je vyhrazeno bezpečné úložiště. V případě účetního jsou to uzamykatelné zásuvky v jeho stole,
v případě vedoucího je to trezor instalovaný v prostorách společnosti. U nosičů citlivých dat v
prostorách společnosti jsou přípustné pouze dva stavy:
•
S nosičem se aktivně pracuje, je pod kontrolou vlastníka.
•
S nosičem se nepracuje, je uložen v bezpečném úložišti.
Pravidla vynášení citlivých dat mimo firmu se budou řídit definicemi rolí bezpečnostní
politiky v rámci řízení lidských zdrojů. Jakékoli jiné nakládání s nosiči citlivých dat bude
považováno za porušení bezpečnostní politiky a pracovních povinností. Každý nosič musí být
pro účely evidence a likvidace označen.
57
3.4.18 Bezpečnostní kalendář
V rámci nově pořízeného centrálního datového úložiště (NAS) bude zavedena a nastavena
služba WebDAV s rozšířením CalDAV, jejímž prostřednictvím lze přes protokol HTTPS
bezpečně sdílet kalendář mezi všemi uživateli v aplikacích Thunderbird 42 a Sunbird43,
případně i dalších, které podporují komunikaci přes zmíněné protokoly. V kalendáři budou
zaneseny všechny důležité termíny týkající se řízení bezpečnosti ve firmě. Odpovědnost za
správu bezpečnostního kalendáře bude mít vedoucí.
3.4.19 Schvalování aplikací
Žádné aplikace, protokoly ani webové stránky prozatím nejsou zakázány. Před každou nově
instalovanou aplikací je nutno provést konzultaci se správcem systému kvůli jejímu schválení.
Schvalovací proces slouží k tomu, aby správce mohl jednak posoudit potřebnost a vhodnost
požadované aplikace a dále zanést informace o aplikaci do seznamu sledovaného softwaru za
účelem podchycení potenciálních zranitelností, zajištění aktualizací a dokumentaci nastavení.
3.4.20 Tvorba silného hesla
Všichni pracovníci musí být poučeni o tom, že mají používat bezpečná hesla, ale zároveň je
povinností organizace zajistit, aby věděli, jakým způsobem to správně dělat. V rámci
pravidelných bezpečnostních školení by pak tyto vědomosti měly být pravidelně osvěžovány.
Vhodný postup pro vytvoření silného hesla spočívá ve využití jednoduché, snadno
zapamatovatelné věty jako mnemotechnické pomůcky, z níž heslo tvoří počáteční písmeno
každého slova.44 Z věty „Moje dcera Růžena sní čtyři velké tvarohové koláče“ tak podle
zvoleného klíče vznikne „MdRs4vtk“. To je vynikající příklad opravdu silného hesla odolného
jak proti uhodnutí, tak i vůči kombinovaným slovníkovým útokům, protože se nejedná o
smysluplné slovo v žádném rozumném jazyce této planety. Důležitým pravidlem je také
nepoužívat stejné heslo pro přihlašování do více různých systémů.
3.4.21 Identifikace a autentizace uživatelů
Pro každou konkrétní osobu bude zaveden jedinečný identifikátor, který bude použit pro
jednoznačnou autentizaci do všech jí příslušejících systémů společnosti. Identifikátor bude
mít tvar jmeno.prijmeni<cislo> (kde <cislo> je náhodně vybrané dvouciferné číslo) a pro
autentizaci se bude používat v kombinaci se silným heslem.
42 MOZILLA FOUNDATION. Mozilla Thunderbird 24.2.0 [software] [přístup 25. prosince 2013].
43 MOZILLA FOUNDATION. Mozilla Sunbird 1.0 beta 1 [software] [přístup 25. prosince 2013].
44 STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 2011, s. 337.
58
3.4.22 Správa uživatelských účtů a hesel
Bude zavedena centralizovaná evidence uživatelských účtů prostřednictvím open source
aplikace KeePass45, jež bude nadále označována pouze jako správce účtů. Ve správci účtů
budou evidovány jednotlivé kategorie aktiv vyžadující autentizaci a k nim se vázající
uživatelské účty. U každého účtu lze využít generátor hesel o síle dle nastavených parametrů,
nastavit expiraci hesla a přidat vlastní poznámky, ve kterých bude specifikováno s jakými
prostředky je daný účet autorizován nakládat. Na obrázku 9 je k nahlédnutí praktický příklad.
Správce účtů bude sdílen mezi vedoucím a správcem, přičemž samotný databázový soubor
bude bezpečně uložen na datovém úložišti. Aplikace má přímo zabudovanou podporu pro
synchronizaci databáze46, čímž se předejde problémům s inkonzistencí záznamů.
3.4.23 Segregace sítě
Bezpečnost pracovní stanice bude zvýšena oddělením provozu od rizikovějších mobilních
zařízení v místní síti. Za tímto účelem bude instalován přepínač s podporou protokolu IEEE
802.11Q (VLAN), který zajistí rozdělení místní sítě na dva logické okruhy VLAN-1 a VLAN-2,
jak je zachyceno v tabulce 16. Základní myšlenkou tohoto opatření je zařídit, aby na sebe
zmíněná zařízení „neviděla“ a to i přes to, že jsou de facto připojená prostřednictvím jediného
sdíleného média, tedy kabeláže. Mobilním zařízením však bude umožněn přístup k
45 DOMINIK REICHL. KeePass 2.24 [software] [přístup 23. prosince 2013].
46 DOMINIK REICHL. Synchronization. In: Keepass.info [online]. ©2003-2013. [cit. 23.12.2013].
59
centrálnímu datovému úložišti, protože tam bude k dispozici dokumentace bezpečnostní
politiky a některé další soubory potřebné pro práci či organizaci práce, například
bezpečnostní kalendář.
Tabulka 16: Rozdělení provozu místní sítě na dva okruhy
Zařízení
Fyzické připojení
VLAN-1
VLAN-2
Pracovní stanice
kabel
✓
Centrální datové úložiště
kabel
✓
Server
kabel
✓
Mobilní telefon
bezdrát
✓
Tablet
bezdrát
✓
Notebook
bezdrát
✓
kabel
✓
Internet
kabel
✓
✓
Síťová tiskárna
kabel
✓
✓
✓
3.4.24 Zásada čistého stolu a prázdné obrazovky
Některé povinnosti zde uvedené již byly definovány v jiných částech, nicméně zásada čistého
stolu znamená především určitou filozofii chování, kterou zaměstnanci musí dodržovat.
Základní body jsou následující:
•
Dokumenty po tisku na síťové tiskárně musí být okamžitě odebrány jejich vlastníkem.
•
Tiskárna musí být po pracovní době vypnutá.
•
Nosiče citlivých dat musí být uloženy v bezpečném úložišti, pokud se s nimi nepracuje.
•
Pracovní stanice a notebooky musí být po třech minutách nečinnosti uzamčeny.
•
Mobilní telefony a tablety musí být po třech minutách nečinnosti uzamčeny.
•
Uživatel lokálně přihlášený k serveru musí být po třech minutách nečinnosti odhlášen.
•
Platí přísný zákaz uchovávání hesel přilepených na monitoru, pod klávesnicí atd.
3.4.25 Kryptografická ochrana
V případě, že dojde ke krádeži počítače, může útočník snadno získat přístup k datům na
pevném disku, aniž by znal faktické přihlašovací údaje do systému. Jednoduše si připojí pevný
disk do svého počítače a v získání citlivých dat společnosti ho již nic nezastaví. Takovému
scénáři se dá však snadno zabránit a to pomocí kryptografie. Zašifrováním pevného disku sice
60
nezabráníme samotné krádeži počítače nebo datového úložiště, nicméně efektivně zabráníme
útočníkovi se k datům na disku posléze dostat. Tedy za předpokladu, že zároveň s počítačem
nezíská i dešifrovací klíč. Stejný princip se pak váže k notebookům a ostatním mobilním
zařízením. K zajištění navrhovaného kryptografického zabezpečení pracovní stanice a
notebooku bude použita aplikace TrueCrypt 47, jejímž prostřednictvím bude zašifrován celý
disk, tedy systém včetně dat. Stejným způsobem bude zabezpečen server. Je však potřeba
počítat s tím, že kdyby došlo k výpadku serveru, například vlivem delšího nezjištěného
výpadku elektřiny, nebude možné bez zadání hesla nabootovat operační systém a server tak
může být zbytečně dlouhou dobu nedostupný. Složky obsahující citlivá data na centrálním i
vzdáleném datovém úložišti budou zašifrovány pomocí AES, záloha těchto hesel bude v
podobě souboru uložena na flash paměti a přesunuta do trezoru. Bezpečnost samotného
správce hesel je zajištěna na úrovni databázového souboru taktéž pomocí šifrování AES pro
případ, že by se dostal mimo chráněné úložiště a do nepovolaných rukou.
K zajištění virtuální privátní sítě VPN-1 mezi centrálním datovým úložištěm a
vzdáleným datovým úložištěm bude použita aplikace OpenVPN 48, kterou obě datová úložiště
podporují. K zajištění virtuální privátní sítě VPN-2 mezi notebooky, tablety, mobilními
telefony a serverem bude taktéž použita aplikace OpenVPN, protože kvůli prolomení
šifrovacího protokolu MS-CHAPv2 již nelze bezpečně použít PPTP.49 V případě využití L2TP je
na druhou stranu zase vyšší riziko, že protokol veřejnou sítí, z důvodu omezení na straně
jejího provozovatele, vůbec neprojde.
Posledním důležitým zajištěním kryptografických prostředků je nastavení certifikátů,
tedy zaručeného elektronického podpisu a bankovního certifikátu na pracovní stanici tak, aby
nebyly z počítače dále exportovatelné. Exportovatelné certifikáty u sebe bude mít pouze
vedoucí, záloha bude uložena na datovém nosiči v trezoru. Systém bude nastaven tak, aby při
přístupu k privátnímu klíči certifikátu, vyžadoval heslo.
47 TRUECRYPT FOUNDATION. TrueCrypt 7.1a [software]. [přístup 27.12.2013].
48 OPENVPN TECHNOLOGIES INC. OpenVPN 2.3.2 [software]. [přístup 27.12.2013].
49 MICROSOFT CORPORATION. Microsoft Security Advisory (2743314). In: Microsoft.com [online]. ©2013. [cit.
28.12.2013].
61
3.5 Řízení lidských zdrojů
3.5.1 Definice rolí bezpečnostní politiky
Role bezpečnostní politiky budou pro přehlednost kopírovat standardní firemní role, přičemž
bude zřízena nová role „správce“ ve smyslu správce IT. Dále bude zavedena role
„zaměstnanec“, která bude sloužit ke specifikaci povinností vztahující na všechny
zaměstnance bez ohledu na jejich další role. Seznam rolí a jejich činností v rámci bezpečnostní
politiky je uveden v tabulce 17.
Tabulka 17: Seznam rolí a jejich činností
Role
Činnosti
Zaměstnanec - Zajišťuje bezpečnost notebooku v souladu s bezpečnostní politikou
- Zajišťuje bezpečnost tabletu v souladu s bezpečnostní politikou
- Zajišťuje bezpečnost mobilního telefonu v souladu s bezpečnostní politikou
- Zajišťuje bezpečnost jemu svěřeného klíče od vstupních dveří
- Provádí kódovaní a odkódovaní elektronického bezpečnostního systému
- Provádí politiku čistého stolu a prázdné obrazovky
- Provádí hlášení detekovaných bezpečnostních událostí, incidentů a zranitelností
Vedoucí
- Kontroluje plnění bezpečnostních odpovědností podřízených rolí
- Kontroluje tvoření decentralizovaných záloh
- Kontroluje centralizovaně zaznamenávané informace
- Provádí správu uživatelských účtů pomocí správce hesel
- Provádí správu bezpečnostního kalendáře
- Provádí ukládání a výběr aktiv z trezoru
- Přiděluje a odebírá zaměstnancům klíče od vstupních dveří
- Přiděluje a odebírá zaměstnancům mobilní zařízení
- Organizuje pravidelná školení v oblasti bezpečnosti informací
- Tvoří krizový bezpečnostní tým v součinnosti se správcem
- Provádí dokumentaci bezpečnostních incidentů v součinnosti se správcem
Účetní
- Provádí zálohu účetních dat
- Provádí správu účetní aplikace
- Provádí výměnu účetních dat s klienty prostřednictvím nosičů
- Provádí čištění a likvidaci vlastněných aktiv
- Zajišťuje bezpečnost jemu svěřeného klíče k archivačním skříním
- Zajišťuje odpovídající verze účetní aplikace na pracovní stanici a záložním notebooku
Správce
- Provádí správu operačního systému pracovní stanice
- Provádí správu operačního systému serveru
- Provádí správu síťových rozvodů
- Provádí správu přístupového bodu WiFi
- Provádí správu síťové tiskárny
- Provádí asistenci při fyzické údržbu serveru
- Provádí asistenci při fyzické údržbě serverové UPS
- Provádí zálohu operačního systému pracovní stanice
- Provádí zálohu operačního systému serveru
- Provádí kontrolu zranitelností softwarového vybavení používaného společností
- Provádí školení v oblasti bezpečnosti informací
- Provádí dokumentaci bezpečnostních incidentů v součinnosti s vedoucím
62
Role
Činnosti
Správce
- Tvoří krizový bezpečnostní tým v součinnosti s vedoucím
- Provádí obnovu a výměnu zařízení v případě bezpečnostního incidentu
Technik
- Provádí fyzickou údržbu serveru v součinnosti se správcem
- Provádí fyzickou údržbu pracovní stanice
- Provádí fyzickou údržbu UPS mimo serveru
- Provádí fyzickou údržbu UPS serveru v součinnosti se správcem
- Provádí údržbu článků a baterií
- Provádí fyzickou údržbu záložního napájení
Brigádník
- Zajišťuje bezpečnost mobilního telefonu v souladu s bezpečnostní politikou
Zastupitelnost rolí z hlediska bezpečnostní politiky je problematická, nicméně pro zajištění
určité flexibility v případě personálních problému by měl vedoucí mít možnost převést na
konkrétního zaměstnance soubor pravomocí, jež přísluší roli jiné, nebo pouze jednotlivé
konkrétní pravomoci. Je pak jeho zodpovědností zajistit, aby na straně pověřeného
zaměstnance byly plněny povinnosti plynoucí ze stanovené bezpečnostní politiky. Pro
zajištění návratu do původního stavu musí učinit taková opatření, aby zaměstnanec nemohl
nově nabytých pravomocí v budoucnu zneužít. Například pokud bude muset vedoucí
nenadále sdělit technikovi přihlašovací údaje k serveru, po vypršení udělené pravomoci musí
tyto být změněny. Může se jednat i o triviálnější záležitost, třeba zapůjčení klíče k serverové
skříni pro účely fyzické údržby. Oprávnění pro přístup k aktivům společnosti je navrženo v
tabulce 18.
Tabulka 18: Autorizace pro přístupu k aktivům a určení vlastníka aktiva
Položka
Vlastník
Vedoucí Správce
Účetní
Technik Brigádník
Správce hesel
Vedoucí
✓
Účetní data
Účetní
✓
✓
Dokumenty
Účetní
✓
✓
Místní síť
Správce
✓
✓
✓
✓
✓
Připojení k internetu
Správce
✓
✓
✓
✓
✓
Monitoring
Správce
✓
✓
Správce
✓
✓
✓
✓
Vzdálené datové úložiště
Správce
✓
✓
✓
Pracovní stanice
Správce
✓
✓
✓
Klíč k archivačním skříním
Zaměstnanec
✓
✓
Klíč k zásuvkám účetního
Zaměstnanec
✓
✓
Nosiče účetních dat pro klienty Účetní
✓
✓
63
Položka
Vlastník
Vedoucí Správce
Účetní
Technik Brigádník
Firemní trezor
Vedoucí
✓
Notebook
Zaměstnanec
✓
✓
✓
✓
Tablet
Zaměstnanec
✓
✓
✓
✓
Mobilní telefon
Zaměstnanec
✓
✓
✓
✓
Klíč od vstupních dveří
Zaměstnanec
✓
✓
✓
✓
E-mailová schránka
Správce
✓
✓
✓
✓
Bezpečnostní kalendář
Vedoucí
✓
✓
✓
✓
Bezpečnostní dokumentace
Vedoucí
✓
✓
✓
✓
Server
Správce
✓
✓
Klíč k serverové skříni
Zaměstnanec
✓
✓
Bezpečnostní karta (c. vložky) Vedoucí
✓
Identifikační karta (c. vložky)
Vedoucí
✓
Datové schránky společnosti
Vedoucí
✓
Datové schránky klientů
Účetní
Klíče k šifrovaným složkám
Vedoucí
✓
✓
Klientské certifikáty VPN-1
Zaměstnanec
✓
✓
✓
Klientské certifikáty VPN-2
Zaměstnanec
✓
✓
✓
Exportovatelné certifikáty
Vedoucí
✓
Privátní klíč certifikátů
Vedoucí
✓
✓
✓
✓
✓
✓
3.5.2 Pracovní smlouvy
Stávající pracovní smlouvy budou upraveny tak, aby reflektovaly zaváděná opatření
bezpečnostní politiky. Měl by do nich být zanesen odstavec jenž stanoví, že zaměstnanec je
povinen se řídit bezpečnostní politikou firmy, a to takovou, která odpovídá jeho roli plynoucí z
pracovní smlouvy. Bylo by vhodné, aby činnosti definované v rámci bezpečnostní politiky
nebyly uvedeny přímo ve smlouvě, ale bylo tam na jejich zdroj pouze odkázáno. Důvodem je,
aby se pracovní smlouva nemusela měnit pokaždé, kdy vyvstane i sebemenší potřeba změny v
bezpečnostní politice.
3.5.3 Zahájení pracovního poměru
Při pohovoru s přijímaným zaměstnancem má vedoucí pracovník povinnost vyptat se na jeho
působení v oblasti bezpečnosti informací v minulých zaměstnáních a případná tvrzení si
následně ověřit u bývalých zaměstnavatelů. Klíčovým obdobím pro posouzení schopností
nového zaměstnance je zkušební lhůta. To se týká i správného dodržování firemní
64
bezpečnostní politiky. Aby však tuto politiku mohl zaměstnanec kompetentně plnit, musí co
nejdříve projít vstupním školením, obdobně jako školením o bezpečnosti práce. Za organizaci
školení z bezpečnosti informací pro zaměstnance je zodpovědný vedoucí, fakticky ho provádí
správce. Vedoucí pracovník musí dále zvážit, k jakým aktivům a kdy nově přijatý zaměstnanec
získá přístup. Lze očekávat, že ve zkušební lhůtě bude tato množina omezená.
3.5.4 Ukončení pracovního poměru
Po odchodu zaměstnance, případně ještě před ním, odebere vedoucí odcházejícímu
zaměstnanci aktiva společnosti, jež mu byla pro výkon jeho činnosti svěřena. Poté dá pokyn
správci, aby provedl deaktivaci všech účtů v systémech, pro které měl odcházející
zaměstnanec autorizaci. To provede na základě údajů evidovaných v databázi správce účtů. Po
deaktivaci a odstranění zmíněných účtů provede aktualizaci databáze tak, aby reflektovala
stav účtů v systémech po tomto zásahu.
3.5.5 Postihy za porušování bezpečnostní politiky
Zaměstnavatel nemá právo zaměstnance pokutovat, nicméně má právo nepřiznat pohyblivou
složku mzdy nebo její část v případě, že výkon zaměstnance neodpovídá předem stanoveným
pravidlům. Touto cestou by mělo probíhat i postihování zaměstnanců za nedodržování
bezpečnostní politiky. Posouzení závažnosti závisí na vedoucím pracovníkovi, nicméně
základní obrys systému je navržen v tabulce 19. Složkou se rozumí procentuální snížení
pohyblivé složky mzdy za daný měsíc. Upozornění je pouze slovní, napomenutí již písemné.
Zejména u vysoce závažných pochybení je při třetím napomenutí na zvážení zaměstnavatele,
jakým způsobem se k notorické nedůslednosti zaměstnance postaví. Prohřešky zaměstnanců
eviduje vedoucí pracovník v rámci vlastní manažerské agendy.
Tabulka 19: Postihování zaměstnanců
Nízká závažnost
Střední závažnost
Vysoká závažnost
1. porušení
Upozornění
Napomenutí
Napomenutí, 10% složky
2. porušení
Napomenutí
3. porušení
Hrozí výpověď
4. porušení
Hrozí výpověď
Hrozí výpověď
5. porušení
Hrozí výpověď
Hrozí výpověď
Hrozí výpověď
65
3.5.6 Školení v oblasti bezpečnosti informací
Je důležité nejprve zaměstnance s nově zaváděnou bezpečnostní politikou důkladně seznámit,
aby se předešlo zbytečným nedorozuměním. Výhodou je, že všichni zaměstnanci svou práci
dobře znají, pouze si zatím dostatečně neuvědomují všechny bezpečnostní aspekty s ní
spojené. Toho lze docílit vhodně zpracovanou sérií školení. Filozofie jejich zpracování však
musí odpovídat cílové audienci, vhodným řešením rozhodně není jednorázové zahlcení
osazenstva velkým množstvím pojmů z teorie informace nebo informační bezpečnosti.
Školení bude zaměřeno zejména na:
•
Klasifikaci aktiv a hrozeb, které na ně působí.
•
Role definované v rámci bezpečnostní politiky.
•
Činnosti jednotlivých rolí vztahující se k práci s konkrétními aktivy.
•
Artefakty, které firma k zajištění bezpečnosti používá.
•
Nástroje, které musí zaměstnanci při plnění bezpečnostní politiky využívat.
•
Seznámení s dokumentací k bezpečnostní politice.
•
Vysvětlení procesu schvalování aplikací.
•
Vysvětlení zásad elektronické komunikace.
•
Vysvětlení principu tvorby silných hesel a jeho pravidelné osvěžování.
•
Detekce bezpečnostních incidentů a jejich hlášení.
•
Postupy pro obnovu po bezpečnostním incidentu.
66
3.6 Řízení bezpečnostních incidentů
3.6.1 Příprava a plánování
Za účelem řešení bezpečnostních incidentů bude sestaven krizový bezpečnostní tým
sestávající ze dvou lidí, a to konkrétně zaměstnanců společnosti zastávajících role vedoucího a
správce. Důvodem je, aby se navzájem doplňovali na jedné straně znalostmi z oblasti řízení
firmy a zaměstnanců, na straně druhé znalostí informačních technologií a bezpečnosti. Při
aktivaci bude mít tým na starosti nejdříve zvládnutí samotného bezpečnostního incidentu,
následně jeho dokumentaci a v poslední řadě vyhodnocení směrem k analýze rizik a návrhem
opatření, která by do budoucna měla zamezit jeho opakování.
Pravidelným školením bude docíleno přijatelného bezpečnostního povědomí všech
zaměstnanců, protože právě na nich závisí kvalitní odhadnutí toho, jestli způsobená
bezpečnostní událost je již incidentem nebo nikoli. Pokud by nebyli schopni aspoň v rozumné
míře toto rozeznat, zahlcovali by tým planými poplachy a potenciálně tak zabránili včasné
detekci reálného incidentu.
3.6.2 Detekce a analýza
Pokud zaměstnanec při vstupu do kancelářských prostor zjistí, že došlo k poškození zámků,
kování, dveří, mříží nebo okna za účelem vstupu do objektu, jedná se prakticky s jistotou o
vloupání a je potřeba ihned kontaktovat policii, protože pachatel může být stále na místě.
Poté, co je vstup do kanceláře bezpečný, je potřeba zjistit a zdokumentovat, jaké škody byly
napáchány. Vloupání by zároveň měl zachytit elektronický zabezpečovací systém, který by
měl sloužit jako první varování. Může se jednat o planý poplach, případně chybnou
manipulaci jiného zaměstnance. Vždy je však potřeba být ve střehu, pokud dojde ke spuštění
alarmu.
Co se týče bezpečnostních incidentů souvisejících s kyberprostorem, jejich identifikace
zpravidla není triviální. V tomto směru pomůže evidovat symptomy získané na základě
zkušeností s detekovanými incidenty. Příkladem je tabulka 20, kde jsou uvedeny váhy
udávající určitou pravděpodobnost toho, jakou kategorii incidentů daný symptom indikuje.
Nastat mohou dvě situace. Bezpečnostní událost detekuje automatizovaný nástroj a upozorní
příslušnou zodpovědnou roli, která určí, zda-li se bezpečnostní incident jedná nebo ne. V
druhém případě událost odhalí přímo uživatel, který na základě znalostí poskytnutých
67
školením či praxí rozpozná, jedná-li se o bezpečnostní incident, a je jeho povinností následně
upozornit zodpovědnou roli, což obratem povede k aktivaci bezpečnostního týmu.
Tabulka 20: Bezpečnostní incidenty v kyberprostoru
Váha: 1 – nízká, 2 – střední, 3 – vysoká, 4 – velmi vysoká
Symptomy
Kategorie incidentů
Výpadek
služby
Škodlivý
kód
Neoprávněný
přístup
Chybné
zacházení
Alarm detekčního nástroje (antivirus)
2
4
3
1
Podezřelé záznamy v logu
1
2
4
3
Neúspěšné pokusy o přihlášení
1
2
4
3
Neobjasněný uživatelský účet
1
2
4
3
Neobjasněný nový soubor či podezřelý název
souboru
1
4
3
2
Neobjasněné změny ve velikosti systémových
souborů
1
4
3
2
Neobjasněné změny nebo smazání dat
1
2
4
3
Pád nebo zamrznutí systému
4
1
3
2
Neúspěšné pokusy o přihlášení několika
autorizovaných uživatelů
4
1
3
2
Slabý výkon systému
4
3
1
2
Neobvyklý čas využívání firemních zdrojů
1
3
4
2
Po detekci a zvládnutí bezpečnostního incidentu musí proběhnout jeho dokumentace. Budou
zaznamenány informace ve smyslu stručného popisu toho, co se vlastně stalo, kategorie
incidentu, kdo incident fakticky řeší, popis kroků provedených při zvládání incidentu a
důkazy nashromážděné během zvládání incidentu.
3.6.3 Obnova po bezpečnostním incidentu
Obnova operačních systémů ze zálohy se týká bezpečnostních incidentů, které zapříčiní
nedůvěryhodnost nebo poškodí integritu systému. Je vždy na posouzení odborníka, zda-li je
nutné u konkrétního zařízení postupovat podle instrukcí pro obnovu nebo instrukcí pro
výměnu. Například mění-li se hardware serveru za jiný, kde rozdíl činí pouze velikost paměti
RAM nebo typ síťové karty, pak jistě není nutné znovu instalovat nový operační systém, stačí
pouze obnovit systém ze zálohy a případně vyměnit příslušné moduly linuxového jádra.
Bezpečnostní incidenty vedoucí k nutnosti obnovy jsou tyto:
68
•
Poškození systému z neznámých příčin.
•
Poškození systému chybným zacházením správce nebo uživatele.
•
Poškození systému důsledkem úspěšného útoku.
•
Infiltrace systému důsledkem úspěšného útoku.
•
Výměna hardwaru za identický kus.
Výměna se týká bezpečnostních incidentů, které mají přímý vliv na hardware a pouze
zprostředkovaně na programové vybavení a data. Při výměně hardwaru je tedy potřeba stále
dodržovat správný postup likvidace aktiv, pokud tak již dostatečně neučinil sám bezpečnostní
incident. Výměna hardwaru se týká následujících situací:
•
Zničení hardwaru z neznámých příčin.
•
Poškození hardwaru opotřebením.
•
Poškození hardwaru chybným zacházením správce nebo uživatele.
•
Poškození hardwaru vlivem přírodních sil.
•
Krádež hardwaru.
•
Výměna hardwaru za hardware s odlišnými parametry.
3.6.4 Obnova serveru
Obnova operačního systému serveru bude prováděna prostřednictvím poslední zálohy
dostupné z centrálního datového úložiště. K obnově bude použit bootovací nosič s aplikací
Clonezilla50. V případě selhání hardwaru nebo jeho poškození vlivem závažnějšího
bezpečnostního incidentu (např. požár) může dojít k situaci, kdy bude muset být stroj
kompletně vyměněn za jiný s odlišnými parametry a obnova systému z posledního záložního
souboru tím pádem bude nevyhovující. Postup tedy bude následující:
1. Výběr nového stroje tak, aby se vešel do skříně a výkonově nebyl horší než původní.
2. Umístění stroje do skříně, připojení na UPS.
3. Instalace vlastního operačního systému dle bezpečnostní dokumentace.
4. Nastavení prostředí a firewallu dle bezpečnostní dokumentace.
5. Připojení kabelu k místní síti.
6. Instalace aplikací a jejich nastavení dle bezpečnostní dokumentace.
7. Obnova dat z centrálního datového úložiště dle bezpečnostní dokumentace.
50 NCHC FREE SOFTWARE LABS. Clonezilla 2.2.0-31 [software]. [přístup 29.12.2013].
69
8. Nastavení systému BIOS dle bezpečnostní dokumentace.
9. Připojení kabelu k internetu.
10. Normální provoz.
3.6.5 Obnova pracovní stanice
Obnova operačního systému pracovní stanice bude v prvním kroku prováděna pomocí
poslední známé funkční konfigurace. Pokud toto řešení selže, dalším krokem v pořadí je
návrat k nejbližšímu použitelnému bodu obnovení systému Windows. V případě, že ani toto
řešení nepomůže, následuje obnovení systému pomocí bitové kopie přístupné z diskového
oddílu vyhrazeného pro zálohy. V případě poškození souborových systémů napříč pevným
diskem nebo výměny pevného disku lze zálohu operačního systému i dat získat z centrálního
datového úložiště. Stejně jako u serveru, bude-li třeba stroj kompletně vyměnit za jiný s
odlišnými parametry, bude postup následující:
1. Výběr nového stroje s Windows 7 tak, aby nebyl výkonově horší než původní.
2. Zprovoznění předinstalovaného operačního systému nebo jeho nová instalace.
3. Nastavení prostředí dle bezpečnostní dokumentace.
4. Připojení kabelu k místní síti.
5. Instalace aplikací a jejich nastavení dle bezpečnostní dokumentace.
6. Obnova dat z centrálního datového úložiště dle bezpečnostní dokumentace.
7. Nastavení systému BIOS dle bezpečnostní dokumentace.
8. Normální provoz.
3.6.6 Obnova mobilních zařízení
Obnova notebooků bude prováděna pomocí aplikace Clonezilla. V případě výměny notebooku
za jiný s odlišnými parametry si uživatel nainstaluje nový operační systém a data obnoví ze
souboru s poslední vytvořenou zálohou uloženou na centrálním datovém úložišti. Obnova
mobilních tabletů a telefonů bude prováděna pomocí továrního nastavení a následné
synchronizace kontaktních informací přes uživatelský účet Google.
3.6.7 Obnova tiskárny, přístupového bodu WiFi a přepínače
V případě obnovy síťové tiskárny z továrního nastavení je potřeba vycházet z parametrů
zanesených v bezpečnostní dokumentaci, stejně tak i u kompletní výměny zařízení. V případě
obnovy z továrního nastavení u přístupového bodu WiFi stačí nahrát datový soubor
zálohovaný na centrálním datovém úložišti, protože zařízení podporuje export a import
70
konfiguračních souborů. V případě výměny kus za kus je potřeba zkontrolovat, zda verze
firmwaru starého zařízení odpovídá verzi firmwaru v nově pořízeném kusu. Pokud ano, lze
použít stejný postup jako v případě obnovy z továrního nastavení. V opačném případě je
nutné zařízení znovu ručně nastavit dle bezpečnostní dokumentace. U přepínače, který bude
pořízen, lze použít stejný postup jako v případě obnovy a výměny přístupového bodu WiFi.
3.6.8 Odhad časové náročnosti obnovy a výměny zařízení
V případě obnovy lze očekávat, že se na ní začne pracovat co nejdříve. Při výměně některého
ze zařízení už je situace složitější, protože komponenty nebo celé stroje se budou muset
objednat a dopravit, je tedy nutné tuto dobu připočítat k údaji v tabulce 21.
Tabulka 21: Časová náročnost obnovy a výměny zařízení
Zařízení
Obnova
Výměna
Server
1 hodina
5 hodin
Pracovní stanice
30 minut
2 hodiny
Notebook
1 hodina
2 hodiny
Tablet
30 minut
1 hodina
Mobilní telefon
30 minut
1 hodina
5 minut
15 minut
Síťová tiskárna
5 minut
30 minut
Přepínač
2 minuty
20 minut
1 hodina
3 hodiny
1 hodina
3 hodiny
3.6.9 Zajištění procesu vedení účetnictví
Všichni zaměstnanci mají své domácnosti připojeny k internetu. V případě vážného
bezpečnostního incidentu tak lze v rozumné míře zajistit alespoň základní fungování procesů
společnosti prostřednictvím práce z domova. Účetní, jako jediný nemá, k dispozici firemní
notebook. Bude mu tedy jeden vyhrazen a to s operačním systémem Windows 7. Na něm bude
nainstalovaná a udržovaná účetní aplikace ve stejné verzi, jako na pracovní stanici. Toto musí
být striktně dodržováno, aby při případném obnovování účetních dat ze zálohy nedošlo ke
zbytečným chybám kvůli nekompatibilitě verzí. Z důvodů licencování není možné mít obě dvě
aplikace aktivovány zároveň, nicméně v případě potřeby zvládne aktivaci přes technickou
podporu sám účetní. Tento notebook bude prostřednictvím virtuální privátní sítě VPN-1
propojen se vzdáleným datovým úložištěm, odkud bude možné v případě potřeby velmi
71
rychle obnovit data z nejdéle jeden pracovní den staré zálohy a pokračovat v práci.
Odpovědnost za udržování odpovídajících verzí účetní aplikace na pracovní stanici a
notebooku má účetní.
3.6.10 Dlouhodobá rekonstrukce kancelářských prostor
V případě vážného bezpečnostního incidentu, jehož následkem bude dlouhodobější
rekonstrukce poničených kancelářských prostor, je potřeba zajistit kontinuitu činností
organizace. Za tímto účelem musí být podniknuty následující kroky:
•
Zajistit přesměrování pevné linky na servisní mobilní telefon.
•
Provoz webových stránek u komerčního dodavatele služeb s podporou PHP a MySQL.
•
Provoz domény u komerčního dodavatele služeb.
•
Zajištění funkčnosti firemních e-mailů využitím placených služeb Google Apps.
•
Umožnit dočasné sdílení firemních dat v rámci Google Drive (součástí Google Apps).
•
Umožnit tisk většího množství dokumentů zakoupením černobílé laserové tiskárny.
Po dokončení rekonstrukce uvést aktiva do původního stavu podle bezpečnostní
dokumentace. V případě stěhování do nových prostor provést revizi zavedené bezpečnostní
politiky z důvodů změn prostředí.
72
3.7 Bezpečnostní dokumentace
Po důkladném zvážení situace jsem definoval soubor artefaktů, jež bude společnost pro řízení
bezpečnosti potřebovat. Tyto artefakty budou sloužit nejen jako dokumentace bezpečnostní
politiky, ale zároveň také jako pracovní dokumenty pro zachycování důležitých údajů
stanovených v jednotlivých oblastech řízení. Popis artefaktů včetně způsobu jejich provedení
je uveden v tabulce 22.
Tabulka 22: Artefakty řízení bezpečnosti
Artefakt
Provedení
Popis
Bezpečnostní politika
Dokument
Dokument obecného charakteru definující
úmysly, cíle a zvolené prostředky k zajištění
informační bezpečnosti firmy. Návrh je k
dispozici v příloze 4 na stránce 94.
Analýza rizik
Tabulky
Obsahuje hodnocení identifikovaných aktiv,
hrozeb, zranitelností, protiopatření, výpočet
rizik a jejich interpretace. Analýza rizik je
sestavená z příloh 1, 2 a 3 na stránce 91, 92 a
93.
Evidence aktiv
Tabulky
Obsahuje evidenci veškerého softwarového a
hardwarového vybavení společnosti včetně
nosičů dat a podpůrných zařízení, a to za
účelem likvidace, výměny a fyzické údržby
zařízení, nastavení aplikací a sledování jejich
zranitelností a aktualizací.
Bezpečnostní zásady
Dokument
Stručně definovaná pravidla pro zajištění
fyzické bezpečnosti, bezpečnosti komunikací a
bezpečnosti přístupu k aktivům.
Role a činnosti
Tabulky
Dokumentuje identifikované role, soubor jejich
činností a obecný přístup těchto rolí k aktivům
firmy.
Správa účtů
Databáze
Správa účtů, hesel a jejich expirace pomocí
zvolené aplikace, která eviduje zajištění
bezpečného přístupu k aktivům a to již pro
konkrétní osoby.
Kontinuita činností
Dokument
Obsahuje postupy obnovy nebo výměny
zařízení v případě bezpečnostního incidentu a
kroky, které je nutné podniknout v případě
rozsáhlé živelné pohromy.
Bezpečnostní incidenty
Tabulky
Obsahuje soupis detekovaných bezpečnostních
incidentů, informací o nich, způsoby jejich
řešení a opatření, která byla nebo budou
podniknuta za účelem snížení rizika.
73
Artefakt
Provedení
Popis
Bezpečnostní kalendář
Soubor
iCalendar
Obsahuje všechny podstatné termíny jako
vyhlášení či revize bezpečnostní politky, porady
a školení z informační bezpečnosti, plánovanou
údržbu aktiv atd. Kalendář bude sdílen mezi
všemi zaměstnanci společnosti.
Souhrnné systémové hlášení
E-mail
Periodicky opakující se textové hlášení formou
e-mailové zprávy shrnující všechny důležité
události, jež se odehrály napříč systémy
společnosti.
Hlášení monitoringu
SMS, E-mail
Krátké textové upozornění zasílané
monitorovacím systémem v případě, že nastane
některá z předem definovaných událostí.
Hlášení EZS
SMS
Krátké textové upozornění zasílané ústřednou
na základě aktivace, deaktivace nebo detekce
elektronického zabezpečovacího systému.
74
3.8 Ekonomická náročnost navrhovaného řešení
V tabulce 23 jsou uvedeny orientační tržní ceny z posledního čtvrtletí roku 2013, vázající se k
navrhovaným opatřením. Celková vyčíslená částka činí 82 tisíc korun. V případě záložního
notebooku se s nákupem počítače zároveň platí i za operační systém. Kromě toho však cena za
software činí 0 korun a to zejména díky využití open source či jinak volně dostupných
aplikací. Vypočítaná částka je přijatelná, ale její jednorázové vynaložení není pro firmu v tuto
chvíli reálné. Opatření vázaná na pořizování jednotlivých položek tak budou zaváděna
postupně a s ohledem na priority plynoucí z analýzy rizik.
Jelikož se mnou vynaložené úsilí týká akademických účelů, není cena mé práce
zahrnuta do nákladů. V obdobném případě jiné firmy, která si nedokáže pomoci sama, je však
nutné počítat s využitím služeb placeného konzultanta. Jeho čas strávený analýzou a návrhem
řešení se bude pohybovat řádově v desítkách hodin.
Tabulka 23: Odhad nákladů s cenami v Kč bez DPH v období Q4/2013
Položka
Ks
Cena
Bezpečnostní cylindrická vložka
2
1 300
Bezpečnostní kování
2
2 400
Montáž bezpečnostních vložek a kování
1
1 000
Výroba dodatečných klíčů
10
500
Okenní mříž
1
1 200
Serverová skříň (rack 32U)
1
6 300
Elektronický zabezpečovací systém
1
15 000
Náhradní články k UPS
2
2 400
Náhradní baterie CMOS
5
150
Náhradní baterie AA
8
340
1
6 000
1
6 000
Pevný disk 2 TB
4
10 800
Přepínač s podporou 802.1Q
1
2 500
Záložní notebook s Windows 7 pro účetnictví
1
12 000
Trezor
1
4 800
UPS pro datová úložiště
2
9 000
Celkem
81 690 Kč
75
3.9 Zhodnocení a výhled do budoucna
Navrhovaná opatření budou postupně zaváděna v průběhu roku 2014. Pokud jejich realizace
proběhne v plánovaném rozsahu, o což se jistě budou všechny zúčastněné strany snažit, lze již
nyní velmi dobře stanovit, jaký dopad na úroveň řízení bezpečnosti budou tato opatření mít.
Srovnání je provedeno v tabulce 24. Vypracovaný srovnávací audit je k dispozici v příloze 5 na
straně 97.
Tabulka 24: Srovnání stavu před a po zavedení navrhovaných opatření
Oblast řízení
Před zavedením
Po zavedení
Body
Interpretace
Body
Interpretace
Rizika
12
34
Přiměřená ochrana
Bezpečnost procesů a technologií
38
72
Lidské zdroje
14
36
Bezpečnostní incidenty
11
33
Za stávajících okolností navržené řešení bohatě uspokojí potřeby firmy v oblasti řízení
bezpečnosti informací přinejmenším na několik dalších let, samozřejmě za předpokladu
pravidelných revizí. Při neočekávaném růstu společnosti, počtu zaměstnanců, procesů a s tím
souvisejícího objemu informačních aktiv, by však nutně musela být provedena zásadní úprava
stanovené bezpečnostní politiky. V takovém případě navrhuji posun k profesionálně laděným
bezpečnostním nástrojům ISMS, jako je například Verinice51. Zde už je však potřeba počítat
také s vyhrazením nebo přijetím pracovníka, jehož úkolem bude převážně nebo výhradně
právě řízení bezpečnosti. Firma také nejspíše bude do budoucna muset přehodnotit své
stanovisko týkající se bezpečnostních kamer, ke kterým má dlouhodobě odmítavý postoj, což
je hlavním důvodem jejich absence v navržených opatřeních.
51 SERNET SERVICE NETWORK GMBH. Verinice 1.6.3 [software]. [přístup 30.12.2013].
76
4.
ZÁVĚR
V práci jsem se zabýval návrhem uceleného souboru konkrétních opatření vedoucím ke
zvýšení úrovně bezpečnosti informací ve vybrané firmě.
S rostoucí mírou závislosti firem na informačních a komunikačních technologiích
rostou i rizika spojená s nenávratným poškozením, ztrátou a krádeží citlivých dat. Následkem
pak mohou být například vysoké pokuty, ztráta image a důvěry klientů. Mnou zvolená firma
není v tomto směru žádnou výjimkou, nicméně její vedení se rozhodlo začít neutěšenou
situaci řešit. Jako malá obchodní společnost však čelí v oblasti bezpečnosti a ochrany dat
velké výzvě. Univerzální způsob zajištění vysoké úrovně informační bezpečnosti totiž
neexistuje.
V současné době je k dispozici několik světově uznávaných standardů, jejichž
společným jmenovatelem je zaměření na střední a velké podniky. K tomu se pochopitelně
váže značná finanční a procesní náročnost, která je jen těžko slučitelná s možnostmi podniků
malých.
Tento problém si již dříve uvědomil Ing. David Král, Ph.D. a díky jeho úsilí vznikla
Metodika vyvážené informační bezpečnosti. Jejím cílem je poskytnout právě malým a
středním podnikům pracovní rámec, jehož prostřednictvím mohou zvýšit úroveň své
informační bezpečnosti. Jako nejvhodnější jsem ji pro svou práci vyhodnotil a využil i já.
Dle metodiky jsem provedl audit stávající úrovně bezpečnosti informací a na základě
výsledků navrhl opatření ve čtyřech hlavních oblastech. V oblasti řízení rizik jsem provedl
identifikaci klíčových aktiv, hrozeb, zranitelností a hrubou analýzu rizik. V rámci řízení
bezpečnosti procesů a technologií jsem navrhl zřízení bezpečnostního perimetru
prostřednictvím
elektronického
zabezpečovacího
systému,
automatizovaný
systém
centralizovaného a decentralizovaného zálohování, monitoring systémových zdrojů a sítě,
správu účtů, automatizovaný systém souhrnných hlášení, zásady nastavování a používání
informačních aktiv, jejich údržby a likvidace. V oblasti řízení zdrojů byly definovány role
včetně příslušných činností a odpovědností, a navržen způsob zvyšování a osvěžování
bezpečnostního povědomí pracovníků. V rámci řízení bezpečnostních incidentů byl definován
tým odpovědný za zvládání krizových situací, jejich vyřešení a dokumentaci podle
stanovených pravidel.
Dále jsem definoval klíčové artefakty, které společnosti poslouží jako dokumentace a
pracovní rámec pro řízení bezpečnosti. Nakonec jsem provedl odhad nákladů vycházejících z
77
navrhovaných opatření, ty v konečném součtu činí 82 tisíc korun českých. To je pro firmu
finančně přijatelné řešení.
Cílem práce bylo navrhnout ekonomicky a procesně opodstatněný způsob zabezpečení
účetních dat ve firmě WaveNet.cz, s.r.o., čehož jsem prostřednictvím výše uvedených opatření
dosáhl. Jsem přesvědčen, že navržené řešení se povede úspěšně zavést a spolu s firmou tak
bude růst i její schopnost vyrovnat se s neustále rafinovanějšími nástrahami číhajícími v
oblasti informační bezpečnosti.
Za hlavní přínos této práce pak považuji její praktickou rovinu, kde jsem předvedl, že i
pro malý podnik s omezenými zdroji lze navrhnout efektivní řízení bezpečnosti informací.
78
5.
CONCLUSION
In this thesis I presented comprehensive set of specific measures leading to an increase in the
level of information security in the selected company.
The risks associated with irreversible damage, loss or theft of sensitive data is
increasing with the growing reliance of companies on information and communication
technologies. Such incidents may result in high fines, loss of image and clients trust. The
company I have selected is no exception, but its management has decided to deal with the
dismal situation. As a small company however it faces a challenge in security and protection
of data. Universal way to ensure a high level of information security doesn't exist.
Currently there are several world-wide standards. Their common denominator
however is the focus on medium and large businesses. This of course presents considerable
financial and procedural complexity that is difficult to reconcile with the possibilities of small
businesses.
Ing. David Král, Ph.D. has realized this problem before and thanks to his efforts
Methodology of balanced information security was established. Its goal is to provide small
and medium enterprises with a framework for increasing their level of information security. I
evaluated this work to be the best for the selected company and used it in this thesis.
According to the methodology I have audited the existing level of information security
and based on the results I proposed measures in four main areas. In the area of risk
management, I carried out identification of key assets, threats, vulnerabilities and gross risk
analysis. In the area of security processes and technologies I suggested setting up a security
perimeter through an electronic security system, automated system of centralized and
decentralized backup, monitoring of system and network resources, account management,
automated summary reports, settings and usage of information assets, their maintenance and
disposal.
In the area of human resource management I defined key roles, including relevant activities
and responsibilities, and a method for increasing security awareness of employees.
In the area of security incidents I defined the team responsible for crisis management,
security incident resolution and documentation according to established rules.
Next I defined the key artifacts that will serve as documentation and operational
framework for security management in the company. Finally I estimated the costs arising
79
from the proposed measures, the final sum being 82 thousand Czech crowns. This is
financially acceptable solution for the company.
The goal was to design a procedurally and economically justified method of accounting
data security in WaveNet.cz company, which I achieved through measures stated in the thesis.
I am convinced that the proposed solution will be successfully implemented and the company
will increase its ability to cope with the ever more subtle pitfalls lurking in the area of
information security.
I consider the main contribution of this work to be the practical level. In the practical
part I showed that even for a small company with limited resources an effective information
security management can be designed.
80
6.
SEZNAM POUŽITÝCH ZKRATEK
Zkratka
Význam
ISMS
Information Security Management System; Systém řízení bezpečnosti informací
RAID
Redundant Array of Independent Disks; Vícenásobné pole nezávislých disků
SATA
Serial Advanced Technology Attachment; Sběrnice pro připojování paměťových zařízení
UTP
Unshielded Twisted Pair; Nestíněná kroucená dvojlinka
AES
Advanced Encryption Standard; Symetrická bloková šifra známá též pod názvem Rijndael
WPA
WiFi Protected Access; Obchodní označení zabezpečení bezdrátových sítí
KVM
Keyboard – Video – Mouse; Klávesnice – monitor – myš, typicky přepínače KVM
ICT
Information and Communication Technologies; Informační a komunikační technologie
WiFi
Wireless Fidelity; Název pro rodinu standardů IEEE 802.11
PIN
Personal Identification Number; Osobní identifikační číslo
SMS
Short Message Service; Služba krátkých textových zpráv
ITSM
Information Technology Service Management; Řízení IT služeb v ITIL
ITIL
Information Technology Infrastructure Library; Metodika pro řízení IT služeb
VLAN
Virtual Local Area Network; Virtuální místní síť, jinak také IEEE 802.1Q
SSD
Solid State Drive; Technologie pevného disku bez pohyblivých mechanických částí
IEEE
Institute of Electrical and Electronics Engineers; Vývojář průmyslových standardů
COBIT
Control Objectives for Information and Related Technologies; Rámec pro IT Governance
ISO
International Organization for Standardization; Mezinárodní organizace pro normalizaci
IEC
International Electrotechnical Commission; Mezinárodní elektrotechnická komise
WEP
Wired Equivalent Privacy; Zastaralé zabezpečení bezdrátových sítí
OSI
Open System Interconnection; Snaha o standardizaci komunikace v počítačových sítích
MTA
Mail Transfer Agent; Aplikace přenášející elektronickou poštu mezi počítači
SMTP
Simple Mail Transfer Protocol; Protokol pro přenos zpráv elektronické pošty
POP3
Post Office Protocol 3; Protokol pro stahování zpráv elektronické pošty
WebDAV
Web-based Distributed Authoring and Versioning; Vzdálená správa souborů na serveru
CalDAV
Rozšíření protokolu WebDAV, umožňuje přístup ke vzdálenému kalendáři
PDCA
Plan Do Check Act; Plánuj, dělej, kontrolu, jednej
IaaS
Infrastructure as a Service; Infrastruktura jako služba
PaaS
Platform as a Service; Prostředí jako služba
SaaS
Software as a Service; Software jako služba
IDS
Intrusion Detection System; Systém odhalení průniku
CMOS
Complementary Metal-Oxide Semiconductor; Technologie výroby integrovaných obvodů
UPS
Uninterruptible Power Supply; Nepřerušitelný zdroj energie
EZS
Elektronický zabezpečovací systém
PPTP
Point-to-Point Tunneling Protocol; Protokol pro vytváření VPN
81
Zkratka
Význam
L2TP
Layer 2 Tunneling Protocol; Podpůrný protokol pro vytváření VPN
IDS
Intrusion detection system; Systém pro odhalení průniku
IPS
Intrusion prevention system; Systém pro prevenci průniku
NFC
Near Field Communication; Standard pro bezdrátovou komunikaci mezi zařízeními
PHP
PHP: Hypertext Preprocessor; Rekurzivní zkratka pro známý skriptovací jazyk
HTTPS
Hypertext Transfer Protocol Secure; Protokol pro výměnu hypertextových odkazů
82
7.
SEZNAM ZDROJŮ
7.1 Knižní zdroje
DOUCEK, Petr: Bezpečnostní incidenty IS/ICT a jejich řešení [online]. Praha, 2005. 85 s.
[cit. 2013-12-08]. Dostupné z URL: <www.cssi.cz/cssi/system/files/all/doucek.pdf>.
HANÁČEK, Petr, STAUDEK, Jan: Bezpečnost informačních systémů. Praha:
Úřad pro státní informační systém, 2000. 127 s. ISBN 80-238-5400-3.
KRÁL, David: Informační bezpečnost podniku [online]. Brno, 2010. [cit. 2013-12-08].
Dizertační práce (Ph.D.). Vysoké účení technické v Brně. Dostupné z URL:
<http://desu.cz/bp/david_kral_dizertace.php>.
MEJZLÍK, Ladislav: Účetní informační systémy. Praha: Nakladatelství Oeconomica, 2006.
169 s. ISBN 80-245-1136-3.
NORTHCUTT S., WINTERS S., ZELTSER L.: Inside Network Perimeter.
Indianapolis: Sams, 2005. 734 s. ISBN 0-672-32737-6.
STEWART J., TITTEL E., CHAPPLE M.: Certified Information System Security Professional
Study Guide. 5th edition. Indianapolis: Wiley & Sons, 2011. 864 s.
ISBN 978-0-470-94498-1.
ŠENOVSKÝ, Pavel: Bezpečnostní informatika 1 [online]. 5 vyd. VŠB - Technická univerzita
Ostrava: Ostrava, 2010. 113 s. [cit. 2013-12-08]. Dostupné z URL:
<http://prometheus.vsb.cz/>.
83
7.2 Internetové zdroje
ČESKÁ SPOŘITELNA. Aktuality: Phishing. In: Csas.cz [online]. ©2013. [cit. 25.12.2013].
Dostupné z URL:
<http://www.csas.cz/banka/content/inet/internet/cs/news_ie_1497.xml>.
ČESKÁ SPRÁVA SOCIÁLNÍHO ZABEZPEČENÍ. Bezpečnostní politika informací v ČSSZ. In:
Cssz.cz [online]. @2006. [cit. 19.12.2013]. Dostupné z URL:
<http://desu.cz/bp/cssz_bpi.php>.
ČSFR. Zákon č. 563/1991 Sb., o účetnictví. In: Center.cz [online]. ©1998-2013
[cit. 17.12.2013]. Dostupné z URL:
<http://business.center.cz/business/pravo/zakony/ucto/>.
ČSSR. Vyhláška č. 50 Českého úřadu bezpečnosti práce. In: Gov.cz [online]. ©2013.
[cit. 19.12.2013]. Dostupné z URL: <http://desu.cz/bp/vyhlaska_50.php>.
DOMINIK REICHL. Synchronization. In: Keepass.info [online]. ©2003-2013. [cit. 23.12.2013].
Dostupné z URL: <http://keepass.info/help/v2/sync.html>.
KELCOM INTERNATIONAL. DSC Alexor. In: Kelcom.cz [online]. ©1999-2013. [cit. 27.12.2013].
Dostupné z URL: <http://stare.kelcom.cz/prodetail.asp?id_produktu=1125>.
MICROSOFT CORPORATION. Security Guide for Small Business [online]. ©2005. [cit.
25.12.2013]. Dostupné z URL: <http://desu.cz/bp/ms_guide.php>
MICROSOFT CORPORATION. Microsoft Security Advisory (2743314). In: Microsoft.com
[online]. ©2013. [cit. 28.12.2013]. Dostupné z URL:
<http://technet.microsoft.com/en-us/security/advisory/2743314>.
SYMANTEC CORPORATION. What's Yours Is Mine. In: Symantec-corporation.com [online].
@2013. [cit. 18.12.2013]. Dostupné z URL: <http://bit.ly/XFjYwQ>.
TREND MICRO INC. Android Malware Spreads via Third-Party App Stores. In: Trendmicro.com
[online]. @2013. [cit 23.12.2013]. Dostupné z URL:
<http://desu.cz/bp/android_malware.php>.
UNIVERSITY OF CALIFORNIA. Reliably Erasing Data From Flash-Based SSDs. In: Ucsd.edu
[online]. @2013. [cit. 22.12.2013]. Dostupné z URL:
<http://cseweb.ucsd.edu/users/swanson/papers/Fast2011SecErase.pdf>.
84
ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Tisková zpráva. In: Uoou.cz [online]. ©2000-2013.
[cit. 25.12.2013]. Dostupné z URL: <http://desu.cz/bp/uoou_tz.php>.
85
7.3 Software
AVIRA OPERATIONS GMBH. Avira Free Android Security 3.0 [software] [přístup 23.12.2013].
Platforma: Android. Licence: Proprietární. Dostupné z URL:
<http://www.avira.com/en/avira-free-antivirus >.
DARIK HORN. Darik's Boot and Nuke 2.2.8 [software]. [přístup 22.12.2013]. Platforma:
Multiplatformní. Licence: GNU GPL. Dostupné z URL: <http://www.dban.org>.
DOMINIK REICHL. KeePass 2.24 [software]. [přístup 23.12.2013]. Platforma: Multiplatformní.
Licence: GPLv2+. Dostupné z URL: <http://keepass.info/index.html>.
KIRK BAUER. Logwatch 7.4.0 [software]. [přístup 27.12.2013]. Platforma: Linux. Licence: MIT.
Dostupné z URL: <http://sourceforge.net/projects/logwatch/>.
MICHAEL BOELEN. Rootkit Hunter 1.4.0 [software]. [přístup 19.12.2013]. Platforma: Linux.
Licence: GPL. Dostupné z URL: <http://rkhunter.sourceforge.net/>.
MOZILLA FOUNDATION. Mozilla Thunderbird 24.2.0 [software]. [přístup 25.12.2013].
Platforma: Multiplatformní. Licence: MPL. Dostupné z URL:
<http://www.mozilla.org/cs/thunderbird/>.
MOZILLA FOUNDATION. Mozilla Sunbird 1.0 beta 1 [software]. [přístup 25.12.2013].
Platforma: Multiplatformní. Licence: MPL/GPL/LGPL. Dostupné z URL:
<http://www.mozilla.org/projects/calendar/sunbird/>.
NAGIOS ENTERPRISES. Nagios 4.0 [software]. [přístup 26.12.2013]. Platforma:
Multiplatformní. Licence: GPLv2. Dostupné z URL: <http://www.nagios.org>.
NCHC FREE SOFTWARE LABS. Clonezilla 2.2.0-31 [software]. [přístup 29.12.2013]. Platforma:
Linux. Licence: GPL. Dostupné z URL: <http://clonezilla.org>.
OPENVPN TECHNOLOGIES INC. OpenVPN 2.3.2 [software]. [přístup 27.12.2013]. Platforma:
Multiplatformní. Licence: GPL. Dostupné z URL: <http://openvpn.net>.
SHERWIN FARIA. Eventlog-to-syslog 4.5.1 [software]. [přístup 27.12.2013]. Platforma:
Windows. Licence: GPLv3. Dostupné z URL:
<https://code.google.com/p/eventlog-to-syslog/>.
SOURCEFIRE INC. Snort 2.9.5.6 [software]. [přístup 19.12.2013]. Platforma: Multiplatformní.
Licence: GPLv2+ a komerční. Dostupné z URL: <http://www.snort.org>.
86
SOURCEFIRE VRT. Clam AntiVirus 0.98 [software]. [přístup 2.12.2013]. Platforma:
Multiplatformní. Licence: GPL. Dostupné z URL: <http://www.clamav.net>.
THE ERASER PROJECT. Eraser 6.0.10 [software]. [přístup 22.12.2013]. Platforma: Windows.
Licence: GPL. Dostupné z URL: <http://www.diskwipe.org>.
TRUECRYPT FOUNDATION. TrueCrypt 7.1a [software]. [přístup 27.12.2013]. Platforma:
Multiplatformní. Licence: TrueCrypt Licence 3. Dostupné z URL:
<http://www.truecrypt.org>.
SERNET SERVICE NETWORK GMBH. Verinice 1.6.3 [software]. [přístup 30.12.2013].
Platforma: Multiplatformní. Licence: GPLv3. Dostupné z URL:
<http://www.verinice.org>.
WIPE SOFT. Disk Wipe 1.7 [software]. [přístup 22.12.2013]. Platforma: Windows. Licence:
EULA. Dostupné z URL: <http://www.diskwipe.org>.
87
8.
SEZNAM ILUSTRACÍ
Ilustrace 1: Struktura práce................................................................................................................................. 10
Ilustrace 2: Podstata účetních dat..................................................................................................................... 17
Ilustrace 3: Metodika vyvážené informační bezpečnosti.........................................................................23
Ilustrace 4: ICT infrastruktura............................................................................................................................ 26
Ilustrace 5: Zjišťování informací o systému................................................................................................... 38
Ilustrace 6: Systém zálohování............................................................................................................................ 45
Ilustrace 7: Bezpečnostní vrstvy operačního systému Android............................................................52
Ilustrace 8: Systém souhrnných hlášení.......................................................................................................... 56
Ilustrace 9: Správa uživatelských účtů a hesel.............................................................................................. 58
88
9.
SEZNAM TABULEK
Tabulka 1: Přehled a srovnání dostupných řešení...................................................................................... 24
Tabulka 2: Popis prvků v ICT infrastruktuře................................................................................................. 27
Tabulka 3: Úroveň závislosti podniku na IT................................................................................................... 28
Tabulka 4: Úroveň realizace řízení rizik.......................................................................................................... 29
Tabulka 5: Úroveň realizace bezpečnosti procesů a technologií...........................................................30
Tabulka 6: Úroveň realizace lidských zdrojů................................................................................................. 32
Tabulka 7: Úroveň realizace bezpečnostních incidentů............................................................................33
Tabulka 8: Sumarizace a interpretace řízení jednotlivých oblastí........................................................34
Tabulka 9: Kvalitativní ocenění aktiv z hlediska dostupnosti.................................................................35
Tabulka 10: Úroveň hrozeb působících na klíčová aktiva........................................................................36
Tabulka 11: Programové vybavení serveru.................................................................................................... 39
Tabulka 12: Míra rizika.......................................................................................................................................... 41
Tabulka 13: Údržba článků a baterií................................................................................................................. 44
Tabulka 14: Fyzická údržba.................................................................................................................................. 46
Tabulka 15: Čistění a likvidace aktiv................................................................................................................. 47
Tabulka 16: Rozdělení provozu místní sítě na dva okruhy......................................................................59
Tabulka 17: Seznam rolí a jejich činností........................................................................................................ 61
Tabulka 18: Autorizace pro přístupu k aktivům a určení vlastníka aktiva........................................62
Tabulka 19: Postihování zaměstnanců............................................................................................................. 64
Tabulka 20: Bezpečnostní incidenty v kyberprostoru...............................................................................67
Tabulka 21: Časová náročnost obnovy a výměny zařízení.......................................................................70
Tabulka 22: Artefakty řízení bezpečnosti....................................................................................................... 72
Tabulka 23: Odhad nákladů s cenami v Kč bez DPH v období Q4/2013............................................74
Tabulka 24: Srovnání stavu před a po zavedení navrhovaných opatření...........................................75
Tabulka 25: Úroveň navrhovaného řízení rizik............................................................................................ 96
Tabulka 26: Úroveň navrhovaného řízení bezpečnosti procesů a technologií.................................96
Tabulka 27: Úroveň navrhovaného řízení lidských zdrojů......................................................................97
Tabulka 28: Úroveň navrhovaného řízení bezpečnostních incidentů.................................................98
Tabulka 29: Výsledky srovnávacího auditu.................................................................................................... 98
89
10. SEZNAM PŘÍLOH
Příloha 1: Zranitelnosti a hodnocení rizik...................................................................................................... 91
Příloha 2: Kvalitativní hodnocení aktiv............................................................................................................ 92
Příloha 3: Úroveň hrozeb v číslech ................................................................................................................... 93
Příloha 4: Návrh dokumentu bezpečnostní politiky ................................................................................. 94
Příloha 5: Srovnávací audit .................................................................................................................................. 97
90
Příloha 1: Zranitelnosti a hodnocení rizik
MZ = míra zranitelnosti v intervalu (0,1); ÚH = úroveň hrozby v intervalu (0,1); HA = hodnota ak tiva v intervalu (0,100); Riziko v intervalu (0,100)
MZ
ÚH
HA
Riziko
Zranitelnost
Umožňuje
Opatření
0,75
45
25
Slabé zabezpečení vchodových dveří
Krádež hardwaru
Není aplikováno 0,75
Krádež dokumentů
0,60
70
32
Slabé zabezpečení vchodových dveří
0,75
45
30
Slabé zabezpečení okna
Krádež hardwaru
Krádež dokumentů
0,60
70
38
Slabé zabezpečení okna
0,75
45
25
Snadno kopírovatelné klíče
Krádež hardwaru
Krádež dokumentů
0,60
70
32
Snadno kopírovatelné klíče
0,85
70
48
Neuzamykatelné archivační skříně
0,75
45
27
Volně přístupný server
Krádež
0,70
47
25
Na serveru lze volně bootovat z DVD/USB
0,70
47
26
Sever nevyžaduje heslo do BIOSu
Nepoužívaný KVM přepínač připojený k serveru
Selhání hw či sw
0,50
45
17
0,70
47
25
Na pracovní stanici lze volně bootovat z DVD/USB
0,70
47
25
Pracovní stanice nevyžaduje heslo do BIOSu
0,75
68
46
Zabezpečení WiFi pomocí WPAv1
Odposlech
0,65
68
33
Zabezpečení WiFi pomocí WPAv1
0,70
47
25
Pracovní stanice nevynucuje tvorbu silného hesla uživatele
0,95
0,70
47
31
Absence pravidel firewallu na serveru
Není aplikováno
0,40
47
14
Absence dokumentace nastavení firewallu
Chyba správce
0,70
47
25
Pracovní stanice a mobilní zařízení na stejné síti
0,40
47
17
Aplikace serveru a jejich nastavení nezdokumentováno
Chyba správce
0,75
80
60
Neexistence uceleného systému zálohování dat
Selhání hw či sw
0,50
47
23
Neexistence uceleného systému zálohování OS
Selhání hw či sw
Neexistence pravidelných decentralizovaných záloh
0,75
80
54
Selhání hw či sw
0,75
0,70
47
25
Neexistence monitoringu centrálních zdrojů
Není aplikováno
0,75
45
30
Neexistence monitoringu centrálních zdrojů
Výpadek elektřiny
0,70
47
25
Neexistence monitoringu síťového provozu
0,50
68
29
Neexistence monitoringu síťového provozu
Selhání sítě
0,70
47
25
Systém serveru nevyžaduje tvorbu silného hesla
0,85
70
60
Na stolech leží hromady volně přístupných dokumentů
0,50
45
23
Znečištění elektroniky UPS
Selhání hw či sw
0,50
45
23
Znečištění skříně serveru
Selhání hw či sw
1,00
0,50
45
23
Znečištění skříně pracovní stanice
Selhání hw či sw
Není aplikováno
Selhání hw či sw
0,50
47
18
Zastaralá verze jádra operačního systému serveru
0,65
68
44
Absence pravidel bezpečnosti elektronické komunikace
0,95
80
76
Absence praivdel bezpečného používání nosičů dat
Absence pravidel bezpečného čištění a likvidace nosičů dat
0,95
80
57
0,70
47
33
Uživatelé neproškoleni v základech bezpečnosti informací
Chyba uživatele
0,70
47
28
Absence pravidel pro nastavení mobilů a tabletů
Chyba uživatele
0,70
47
29
Absence systému pro správu účtů a autorizací
Chyba správce
0,70
47
26
Server umožňuje přihlášení uživatele root přes SSH
0,70
47
25
Absence antiviru na serveru
0,70
47
25
Absence antirootkitu na serveru
0,70
47
26
Nepoužívané systémové účty na serveru
0,70
47
25
Účty vyhrazené pro sambu se smí přihlašovat do systému
0,70
47
31
Uživatelské účty na pracovní stanici mají admin oprávnění
Chyba uživatele
0,70
80
50
Uživatelské účty účetní aplikace mají neomezená oprávnění
Chyba uživatele
0,95
80
68
Uživatelské účty účetní aplikace mají neomezená oprávnění
0,70
47
33
Absence pravidel pro tvorbu silného hesla
Chyba uživatele
0,70
47
31
Neexistence procesu schvalování nových aplikací
Chyba uživatele
0,40
47
14
Neexistence procesu schvalování nových aplikací
Chyba správce
91
Interpretace
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
velmi vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
vysoké riziko
Příloha 2: Kvalitativní hodnocení aktiv
Stupně dopadu: 1 – nízký, 2 – střední, 3 – vysoký, 4 – velmi vysoký
Dopad na FIN (finance), PRO (procesy), DKL (důvěru klientů), IMG (ztráta image), LEG (porušení zákona); W (dílčí hodnota)
FIN
PRO
DKL
ZIM
LEG
W
HODNOTA
Hardware
- dostupnost
3
4
1
1
1
0,5
- důvěrnost
1
1
2
3
1
0,4
45
- integrita
1
4
1
2
1
0,45
Software
- dostupnost
3
4
2
2
1
0,6
- důvěrnost
1
1
2
2
1
0,35
46,7
- integrita
1
4
1
2
1
0,45
Síť
- dostupnost
3
4
2
2
1
0,6
- důvěrnost
3
1
4
4
3
0,75
68,3
- integrita
4
4
3
2
1
0,7
Data
- dostupnost
4
4
2
2
2
0,7
- důvěrnost
4
1
4
4
4
0,85
80
- integrita
4
4
3
2
4
0,85
Dokumenty
- dostupnost
2
3
2
2
2
0,55
- důvěrnost
4
1
4
4
4
0,85
70
- integrita
2
3
3
2
4
0,7
92
Příloha 3: Úroveň hrozeb v číslech
Úroveň: 0-25% nízk á, 25-50% střední, 50-75%
Hrozba
Hardware
Software
Krádež
0,75
Odposlech
0,1
Neautorizovaný přístup
0,5
0,7
Chyba uživatele
0,2
0,7
Chyba správce
0,4
0,4
Selhání hw či sw
0,5
0,5
Selhání sítě
Selhání napájení
0,2
0,2
Požár
0,4
Blesk
0,5
Záplava
0,2
Zemětřesení
0,1
Výpadek elektřiny
0,75
-
vysok á, 75-100% velmi vysok á
Síť
Data
Dokumenty
0,6
0,65
0,75
0,85
0,95
0,85
0,9
0,7
0,4
0,4
0,75
0,5
0,2
0,75
0,4
0,2
0,2
0,1
0,1
-
93
Příloha 4: Návrh dokumentu bezpečnostní politiky
Bezpečnostní politika
WaveNet.cz, s.r.o.
Článek 1 – Základní ustanovení
1) Vedení společnosti WaveNet.cz, s.r.o. vyhlašuje zásady bezpečnosti informací. Tato
směrnice jednatele je závazná pro všechny zaměstnance společnosti.
2) K zajištění bezpečnosti informací a podpory bezpečnosti informací se touto politikou:
a) charakterizuje bezpečnost informací,
b) stanovují bezpečnostní cíle,
c) stanovuje rozsah a důležitost bezpečnosti informací,
d) uvádí stručný výklad základních bezpečnostních zásad.
3) Bezpečnost informací je charakterizována jako zachování dostupnosti, důvěrnosti a
integrity informací.
a) Dostupnost je zajištění toho, že informace a s nimi spojená aktiva jsou uživatelům
dostupná v době, kdy je potřebují.
b) Důvěrnost je zajištění toho, že informace je přístupná jen těm uživatelům, kteří jsou
oprávnění mít k ní přístup.
c) Integrita je zajištění přesnosti a úplnosti informací a metod jejich zpracování.
4) Bezpečnostním cílem společnosti WaveNet.cz, s.r.o. je zajištění dostupnosti, důvěrnosti a
integrity informačních aktiv, tzn. jejich zajištění proti ztrátě, náhodnému či
neoprávněnému zničení a neoprávněnému přístupu, změnám nebo šíření.
5) Bezpečnost informací se vztahuje na všechny zaměstnance a prostory společnosti.
6) Tato politika jednou ročně podléhá revizi.
7) Za revizi dokumentu bezpečnostní politiky odpovídá jednatel společnosti.
8) Záměrem společnosti WaveNet.cz, s.r.o. je udržovat vyváženou ochranu informačních
aktiv v souladu se zákony a jinými právními předpisy České republiky.
Článek 2 – Aktiva společnosti
1) Pro potřeby bezpečnosti informací byly na základě analýzy rizik ve společnosti
WaveNet.cz, s.r.o. určeny kategorie aktiv, kterými jsou hardware a software, síť, data a
dokumenty v papírové formě.
94
a) Hardware je veškeré počítačové vybavení a podpůrné systémy.
b) Software je veškeré programové vybavení a operační systémy.
c) Síť je veškeré vybavení, jehož prostřednictvím hardware a software komunikuje.
d) Data jsou veškeré údaje potřebné pro chod a obchodní činnost společnosti.
e) Dokumenty jsou veškeré listiny potřebné pro chod a obchodní činnosti společnosti.
Článek 3 – Fyzická bezpečnost
1) Účelem řízení fyzické bezpečnosti je předcházet neoprávněnému přístupu k informacím a
jejich narušení či poškození.
2) Bezpečnostním cílem je zajištění fyzické ochrany informací a prostředí, ve kterém se
nacházejí, proti krádeži, poškození či zničení, a to:
a) zavedením bezpečnostního perimetru chránícího prostory společnosti,
b) bezpečným umístěním zařízení a podpůrných systémů,
c) pravidelnou fyzickou údržbou systémů a podpůrných zařízení,
d) centralizovaným i decentralizovaným systémem zálohování dat,
e) zavedením bezpečného úložiště aktiv,
f) zajištěním požární bezpečnosti v souladu se zákony České republiky.
Článek 4 – Bezpečnost komunikace
1) Účelem řízení bezpečnosti komunikací je zajistit bezpečný provoz prostředků pro
zpracování informací, minimalizovat riziko selhání systému, chránit integritu a
dostupnost programů, dat a informačních systémů, chránit důvěrnost informací a zajistit
ochranu počítačové sítě.
2) Bezpečnostním cílem je zajištění ochrany informací prostřednictvím:
a) ochrany proti škodlivým kódům,
b) ochrany počítačové sítě a síťových zdrojů,
c) zajištění dostupnosti informací a služeb,
d) monitorováním provozu a zdrojů, zaznamenávání a hlášení událostí,
e) zajištění důvěrnosti informací pomocí kryptografické ochrany,
f) dodržování bezpečnosti při zacházení s nosiči dat,
g) dodržování zásad v elektronické komunikaci.
Článek 5 – Bezpečnost přístupu
1) Účelem řízení přístupu k informacím a systémům společnosti je zajistit, aby k nim měli
přístup pouze oprávnění uživatelé. Pro přístup k těmto prostředkům jsou stanovena
95
pravidla, která určují postupy pro autorizaci, zřizování, změny a odebírání přístupových
práv.
2) Bezpečnostním cílem je zajištění řízení přístupu, a to realizací opatření v oblasti správy
přístupu uživatelů, která jsou zajištěna systémem pro přidělování, změny a odebírání
přístupu k informačním aktivům a dodržováním zásad čistého stolu a prázdné obrazovky.
Článek 6 – Lidské zdroje
1) Účelem řízení lidských zdrojů je snížení rizika lidské chyby, krádeže, podvodu či zneužití
zdrojů společnosti.
2) Bezpečnostním cílem je zajištění vhodných postupů při přijímacím řízení a zajištění
povědomí zaměstnanců o bezpečnosti informací na počátku i během zaměstnání.
3) Zaměstnanci se zavazují k zachování mlčenlivosti podpisem pracovní smlouvy.
4) Zaměstnanci jsou povinni zachovávat mlčenlivost při plnění úkolů společnosti a v přímé
souvislosti s nimi, tato povinnost trvá i po skončení pracovního vztahu.
5) Seznámení zaměstnanců s bezpečnostní politikou je součástí vstupního školení a dalších
školení v průběhu zaměstnání.
6) Zaměstnanci jsou povinni dodržovat postupy hlášení bezpečnostních incidentů.
7) Nedodržení bezpečnostních zásad může být kvalifikováno jako porušení povinností
zaměstnance s příslušnými důsledky, jež plynou z pracovněprávní legislativy.
Článek 7 – Bezpečnostní incidenty
1) Účelem řízení bezpečnostních incidentů je zajistit připravenost k řešení krizových situací
a zachovat funkčnost základních procesů společnosti.
2) Bezpečnostním cílem je zajištění přípravy, proškolení a připravenosti zaměstnanců k
výkonu činností spojených s řešením krizových situací.
Článek 8 – Závěrečná ustanovení
1) Tato politika nabývá účinnosti dnem 1. dubna 201452
Petr Forejtek
Jednatel
52 ČSSZ. Bezpečnostní politika informací v ČSSZ. In: Cssz.cz [online]. @2006. [cit. 19.12.2013].
96
Příloha 5: Srovnávací audit
Tabulka 25: Úroveň navrhovaného řízení rizik
Kritérium
Hodnocení
Má organizace dokument typu Bezpečnostní politika?
4
Provedla organizace v posledních 2 letech analýzu rizik, aby určila klíčová aktiva,
která je potřeba chránit?
4
Používá organizace pro analýzu rizik speciální software?
3
Má organizace určen vztah klíčových aktiv k procesům, které na nich závisí?
4
Identifikovala organizace bezpečnostní hrozby, které jsou spojené s klíčovými
aktivy?
4
Provedla organizace analýzu zranitelnosti, tj. určení slabých míst, která by mohla být
využita identifikovanými hrozbami?
4
Má organizace oceněnu ztrátu každého z klíčových aktiv?
3
Má organizace zdokumentovánu bezpečnostní strategii, která by určovala postupy,
jak udržovat rizika na přijatelné úrovni?
2
Má organizace zdokumentovánu bezpečnostní strategii, která by obsahovala plány,
jak v budoucnu snižovat rizika spojená s klíčovými aktivy?
3
Je tato strategie alespoň 1× ročně aktualizována?
3
Tabulka 26: Úroveň navrhovaného řízení bezpečnosti procesů a technologií
Kritérium
Hodnocení
Jsou prostory, které obsahují zařízení pro zpracování informací, chráněny
bezpečnostními perimetry či bariérami?
4
Je do prostorů organizace, které obsahují citlivé informace nebo zařízení, povolen
vstup pouze oprávněným osobám?
3
Je organizace zajištěna proti vnějším a přírodním hrozbám?
4
Jsou zařízení, která zpracovávají informace, chráněna před selháním napájení a před
dalšími formami přerušení způsobenými poruchami podpůrných zařízení?
4
Existuje v organizaci postup bezpečné likvidace a odstraňování majetku po
autorizaci oprávněné osoby tak, aby neunikly citlivé informace?
3
Jsou veškeré stanice v organizaci dostatečně chráněny proti škodlivým programům a
kódům?
4
Existuje v organizaci postup pravidelného a bezpečného zálohování dat?
4
Jsou důvěrná, osobní či citlivá data šifrována a související šifrovací klíče náležitě
chráněny?
4
Jsou veškeré výměny programového vybavení a informací v rámci organizace nebo v
rámci výměny s externími partnery vhodným způsobem chráněny?
3
97
Kritérium
Hodnocení
Obsahují smlouvy s partnery organizace dodávajícími výrobky a služby opatřeny
výčtem bezpečnostních opatření a sankcemi, pokud tato opatření partneři
nedodržují?
1
Jsou po dostatečně dlouhou dobu zaznamenávány aktivity všech uživatelů v
informačním systému organizace, výjimky a události související s bezpečností
informací?
4
Jsou zjištěné údaje analyzovány a přijímány příslušná opatření na odstranění
vzniklých chyb?
4
Je v organizaci dodržována politika čistého stolu a obrazovky?
4
Existuje postup pro registraci uživatele do informačního systému organizace a
přidělení práv pro přístup do oblastí IS dle klasifikace uživatele?
3
Mají všichni uživatelé informačního systému jedinečný identifikátor (ID) tak, aby
bylo možné dosledovat odpovědnost za jejich činnosti?
4
Jsou uživatelé donuceni systémem tvořit pouze tzv. silná hesla?
4
Jsou aplikovány zvláštní postupy autentizace při vzdáleném přístupu do
informačního systému organizace?
3
Jsou bezpečně chráněny porty pro vzdálenou diagnostiku a konfiguraci?
4
Jsou stanice po určené době nečinnosti odhlášeny od systému?
4
Existují v organizaci zásady a postupy bezpečné práce na mobilních výpočetních
prostředcích a zařízeních?
4
Tabulka 27: Úroveň navrhovaného řízení lidských zdrojů
Kritérium
Hodnocení
Je v organizaci definována osoba nebo útvar, jehož primárním úkolem je řízení
bezpečnosti informací?
3
Podává tento útvar pravidelná hlášení vedení organizace o dodržování a účinnosti
stanovené bezpečnostní politiky?
3
Má každý zaměstnanec jasně definovánu svou roli a odpovědnost v rámci
bezpečnostní politiky organizace?
4
Je tato odpovědnost písemně definována v pracovních smlouvách všech
zaměstnanců?
4
Je přezkoumávána předchozí činnost žadatelů o zaměstnání v organizaci také ve
smyslu jejich schopností kvalitně pracovat s rizikovými informacemi, které budou
mít na starosti?
4
Jsou pravidelně organizována školení pro zaměstnance i uživatele třetích stran
týkající se politiky bezpečnosti informací?
3
Funguje v organizaci disciplinární proces pro zaměstnance, kteří porušili
bezpečnostní politiku a způsobili bezpečnostní incident?
3
Jsou v organizaci jasně definovány odpovědnosti při ukončení pracovního poměru
nebo při změně zaměstnání?
4
98
Kritérium
Hodnocení
Je ve smluvním vztahu jasně definováno, že zaměstnanec je povinen před ukončením
zaměstnání vrátit všechna aktiva, která měl k dispozici a odpovídal za ně?
4
Jsou automaticky všem odcházejícím pracovníkům odejmuta všechna přístupová
práva v organizaci?
4
Tabulka 28: Úroveň navrhovaného řízení bezpečnostních incidentů
Kritérium
Hodnocení
Existuje ve firmě dokument, který definuje a klasifikuje potencionální bezpečnostní
události a bezpečnostní incidenty, ke kterým může při chodu organizace dojít?
3
Jsou všichni zaměstnanci povinni hlásit jakékoliv pozorované zranitelné místo v
informačním systému organizace, které by mohlo znamenat vznik bezpečnostního
incidentu?
3
Probíhají v organizaci pravidelná školení pro všechny zaměstnance a účastníky
třetích stran, na kterých je všem zúčastněným zvyšována úroveň bezpečnostního
povědomí?
4
Jsou všichni zaměstnanci poučeni, jak po detekování bezpečnostní události hlásit její
vznik pověřené osobě či útvaru v organizaci?
4
Jsou v organizaci jasně definovány odpovědnosti a postupy pro rychlé řešení
vzniklých bezpečnostních incidentů?
4
Existují v organizaci mechanismy pro kvantifikaci druhů a rozsahu vzniklých
bezpečnostních incidentů?
2
Existují v organizaci mechanismy pro kvantifikaci vzniklých nákladů souvisejících s
odstraňováním bezpečnostních incidentů?
2
Jsou důsledně shromažďovány a uchovávány důkazy o jednotlivých proběhlých
bezpečnostních incidentech, které by mohly být využity orgány činnými v případném
trestním řízení?
3
Existují v organizaci rizikové scénáře pro případ vzniku neočekávaného nebo
nezvládnutelného bezpečnostního incidentu?
4
Jsou pravidelně bezpečnostní incidenty vyhodnocovány a přijímány závěry směrem
k analýze rizik, příp. k systému řízení bezpečnostních incidentů?
4
Tabulka 29: Výsledky srovnávacího auditu
Oblast
Body
Interval
Interpretace
Řízení rizik
34
34-40
Řízení procesů a technologií
72
63-80
Řízení lidských zdrojů
36
32-40
Řízení bezpečnostních incidentů
33
32-40
99

Bakalářská práce - Přijímací řízení na Unicorn College

Transkript

Podobné dokumenty

Sebeobrana s teleskopickým obuškem PARDUBICE — 21. 2. 2008

(Microsoft PowerPoint - Politika bezpe\350nosti zam\354stnanc\371

CAFIN startuje svoji činnost