Streda, 30. apríl, 2025 | Meniny má Anastázia
Zobraziť všetky sekcie
5. okt 2004 o 0:00

Moderná informačná bezpečnosť - to nie je len firewall a antivírus

Súčasná doba je charakteristická pomerne vysokou závislosťou väčšiny organizácií na používaní informačných a komunikačných technológií a elektronickom spracúvaní údajov. Informačnú bezpečnosť chápu vrcholoví manažéri v mnohých organizáciách ako záležitos

ť, ktorou by sa mal zaoberať najmä vedúci oddelenia IT v spolupráci s ďalšími IT pracovníkmi. Často však vzhľadom na nedostatok času, financií a kvalifikovaných personálnych zdrojov interného auditu IT nastáva situácia, keď problematika informačnej bezpečnosti rieši komplexne až po výskyte bezpečnostných incidentov, ktoré môžu organizáciám spôsobiť nielen časové straty a finančné škody, ale aj stratu dobrého mena a dôveryhodnosti vo vzťahu k svojim dodávateľom, klientom a pod. Zaistenie informačnej bezpečnosti a všetkých aktív spojených s prostriedkami informačných a komunikačných technológií môže byť zásadné taktiež pre udržanie konkurencieschopnosti, toku hotovosti (cash-flow), ziskovosti a legislatívneho súladu organizácie.Informácie sú aktíva, ktoré môžu existovať v rôznych podobách (napr. elektronickej, papierovej). Mnohé z nich majú pre organizáciu vysokú hodnotu, a preto potrebujú byť primeraným spôsobom chránené. Bezpečnosť informácií je možné všeobecne charakterizovať ako zachovanie ich:

SkryťVypnúť reklamu
SkryťVypnúť reklamu
SkryťVypnúť reklamu
Článok pokračuje pod video reklamou
SkryťVypnúť reklamu
Článok pokračuje pod video reklamou

SkryťVypnúť reklamu

* dôvernosti (zaistenie, aby boli informácie prístupné iba oprávneným osobám, ochrana proti neoprávnenému prístupu),

* integrity (zabezpečenie správnosti a kompletnosti informácií a metód ich spracovania, ochrana proti ich poškodeniu, zmene, vymazaniu alebo zničeniu),

* dostupnosti (zabezpečenie, aby informácie boli autorizovaným používateľom prístupné podľa ich potreby a chránené proti výpadkom a havarijným situá-ciám).

Často sa môžeme stretnúť s predstavami, že napr. správne nastavenie firewallu (oddeľuje internú počítačovú sieť organizácie od internetu, umožňuje povoliť alebo zakázať rôzne druhy elektronickej komunikácie smerom dovnútra aj von), prípadne v kombinácii s automatickým systémom detekcie prieniku do internej počítačovej siete (Intrusion Detection System) a inštalácia antivírusového softvéru s pravidelnou aktualizáciou predstavujú dostatočné kroky k primeranému zabezpečeniu informačnej bezpečnosti. Prax ale ukazuje, že technické riešenia a opatrenia sú napriek svojej vysokej dôležitosti iba jednou z mnohých súčastí účinných systémov riadenia informačnej bezpečnosti.

SkryťVypnúť reklamu

Veľká časť bezpečnostných incidentov totiž nie je spôsobená nedostatkami v technológiách, ale zlyhaním ľudského faktora. Významnú úlohu pri budovaní a riadení informačnej bezpečnosti zohrávajú okrem technických riešení aj personálne a organizačné opatrenia, t. j. vybudovanie vý-konnej organizačnej štruktúry informačnej bezpečnosti (bezpečnostný manažér, bezpečnostní špecialisti - LAN, firewall, antivírus atď.), zabezpečenie kontrolnej činnosti - interný audit informačnej bezpečnosti, ako aj zabezpečenie dostatočnej podpory vrcholového vedenia organizácie pri budovaní a riadení informačnej bezpečnosti. Podpora vrcholového vedenia má byť jednoznačne zrejmá všetkým zamestnancom.

Významnú úlohu pri budovaní a riadení informačnej bezpečnosti majú taktiež interné smernice s vymedzením pravidiel, úloh, pracovných postupov, právomocí a zodpovedností nielen odborných IT pracovníkov, ale aj koncových používateľov informačných systémov. Ideálne je zaviesť program vzdelávania pracovníkov v oblasti bezpečnosti IT, či už sa ide o nástupné školenia, ale aj o pravidelné školenia na udržiavanie bezpečnostného povedomia za-mestnancov, prípadne školenia pri prechode na nové informačné systémy.

SkryťVypnúť reklamu

Všetci zamestnanci by teda mali mať jasný prehľad o tom, aké sú pravidlá práce s informačnými systémami organizácie, aké dôsledky pre nich môže mať porušenie týchto pravidiel a že aj oni majú svoj podiel na budovaní a riadení informačnej bezpečnosti - napr. uplatnením správnych postupov v prípade výskytu rôznych typov bezpečnostných incidentov a pod.

Medzinárodne uznávanou normou pre oblasť informačnej bezpečnosti je norma ISO 17799:2000, ktorá vychádza z britského štandardu BS 7799 - Informačné technológie - Súbor postupov pre riadenie informačnej bezpečnosti. Táto norma poskytuje celý rámec hodnotiacich mechanizmov, s pomocou ktorých sú organizácie schopné posúdiť svoje schopnosti v oblasti ochrany dôvernosti, integrity a dostupnosti svojich informačných systémov. Rozsah tejto normy pokrýva bezpečnostnú politiku informačnej bezpečnosti, organizačnú stránku informačnej bezpečnosti, klasifikáciu a riadenie informačných aktív, personálnu bezpečnosť, fyzickú bezpečnosť a bezpečnosť prostredia, riadenie komunikácie a prevádzky, riadenie prístupov do systémov, vývoj a údržbu systémov, plánovanie kontinuity prevádzky a súlad s legislatívnymi požiadavkami. Ďalším vhodným štandardom je napr. norma ISO TR 13335:2000 - Informačné technológie - Smernice pre riadenie bezpečnosti IT a ďalšie.

SkryťVypnúť reklamu

Prvým krokom k vybudovaniu informačnej bezpečnosti v organizácii môže byť rámcová previerka/audit bezpečnosti IT. V rámci tejto previerky sú identifikované najkritickejšie nedostatky a navrhnuté najdôležitejšie kroky a primerané opatrenia pre vybudovanie základov informačnej bezpečnosti v organizácii. Previerka organizáciu obohatí taktiež o objektívny, nezávislý externý pohľad a umožní jeho porovnanie s najlepšími organizáciami podobného typu. Ideálne je, aby takúto previerku vykonal nezávislý a primerane kvalifikovaný audítor s dostatočnou praxou v tejto oblasti. Vhodnou kvalifiká-ciou pre vykonávanie auditov informačnej bezpečnosti je získanie certifikátu CISA (Certified Information Systems Auditor), ktorý udeľuje medzinárodna organizácia ISACA (Information Systems Audit and Control Association) s ústredím v USA. Organizácia ISACA má po celom svete sieť národných pobočiek. Získanie certifikátu CISA je podmienené najmä úspešným zložením náročnej odbornej skúšky (koná sa celosvetovo 1-krát ročne), preukázaním najmenej 5-ročnej praxe v oblasti bezpečnosti IT a auditu bezpečnosti IT a priebežným plnením podmienok pre kontinuálne vzdelávanie. V súčasnosti je v Slovenskej republike 27 držiteľov platného certifikátu CISA a ich počet sa postupne každý rok zvyšuje.

SkryťVypnúť reklamu

Ďalším krokom v oblasti budovania informačnej bezpečnosti môže byť vybudovanie komplexného systému manažérstva informačnej bezpečnosti podľa normy ISO 17799:2000 a v prípade záujmu aj jeho certifikácia niektorou z nezávislých certifikačných spoločností. V rámci takéhoto projektu sa vykoná zmapovanie prvkov informačných systémov, analýza rizík s ohodnotením informačných aktív a hrozieb, ktoré na informačné aktíva môžu pôsobiť, a následne sa navrhnú primerané bezpečnostné opatrenia, bezpečnostné politiky a smernice. Implemen-tácia výstupov projektu vyžaduje vyčlenenie primeraných personálnych a finančných zdrojov, ako aj aktívnu účasť vedenia organizácie pri riešení a rozhodovaní o spôsobe implementácie. V neposlednom rade je potrebné zabezpečiť presadenie a akceptáciu systému manažérstva informačnej bezpečnosti u všetkých používateľov informačných systémov.

SkryťVypnúť reklamu

Vybudovanie komplexného systému manažérstva informačnej bezpečnosti je ďalej vhodné doplniť vykonaním detailných (podľa možností pravidelných) previerok:

* bezpečnosti serverov (preverenie systémovej konfigurácie serverov, používateľských účtov, používateľských práv, kontrol prístupu do citlivých adresárov, spustených rizikových a pritom nevyužívaných služieb atď.),

* bezpečnosti komunikačnej infraštruktúry (tzv. penetračné testovanie - preverenie komunikácie a pripojenia počítačovej siete k internetu, bezpečnostných nastavení routerov, firewallov atď.).

Dôležitou súčasťou budovania informačnej bezpečnosti je aj plánovanie kontinuity prevádzkových činností, t. j. definovanie priorít, zodpovedností a rámcových postupov ako zabezpečiť kontinuitu prevádzky celej organizácie v prípade výskytu mimoriadnych havarijných situácií alebo iných výpadkov informačných systémov. Tieto plány by mali byť pravidelne testované a aktualizované.

SkryťVypnúť reklamu

Významný podiel na budovaní informačnej bezpečnosti má nepretržitá nezávislá kontrolná činnosť formou interného auditu informačnej bezpečnosti, ktorý poskytuje spätnú väzbu pre vrcholový manažment organizácie, bezpečnostného manažéra, oddelenie controllingu, prípadne ďalšie. Interný audítor informačnej bezpečnosti by mal mať dostatočnú kvalifikáciu pre túto činnosť a pre mnohé organizácie je výhodné vykonávať interný audit informačnej bezpečnosti formou outsourcingu angažovaním kvalifikovaného odborníka na pravidelnej báze - napr. 1-2x mesačne na dohodnutý počet hodín.

Čiastočný posun v oblasti budovania informačnej bezpečnosti v niektorých organizáciách na Slovensku nastal po prijatí zákona č. 428/2002 Z.z. o ochrane osobných údajov, podľa ktorého sú organizácie spracúvajúce osobné údaje zodpovedné za ich bezpečnosť a sú povinné chrániť ich pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Na tento účel sú povinné prijať primerané technické, organizačné a personálne opatrenia. Tieto opatrenia musia byť za určitých podmienok stanovených týmto zákonom prijaté formou bezpečnostného projektu informačného systému. V rámci vykonávania bezpečnostného projektu sa vykoná analýza rizík a v súlade s bezpečnostnými štandardmi sa navrhnú opatrenia, ktoré eliminujú alebo minimalizujú vplyv týchto rizík. Taktiež sú navrhnuté a prijaté bezpečnostné smernice. V prípade zistenia nesúladu so zákonom č. 428/2002 Z.z. hrozia organizáciám zo strany Úradu na ochranu osobných údajov pokuty až do výšky 10 mil. Sk.

SkryťVypnúť reklamu

Je potrebné uvedomiť si, že investícia do informačnej bezpečnosti neprináša organizáciám

priame zisky, dá sa však prirovnať k investovaniu finančných pros-triedkov do ochrany proti krádeži /zničeniu majetku - inštaláciou primeraných zabezpečovacích zariadení, poistením a primeranou preventívnou údržbou (napr. dom, byt, auto atď.).

Ing. Martin Mikušiak,

MITAS, s.r.o.

SkryťVypnúť reklamu
SkryťVypnúť reklamu

Najčítanejšie na SME

SkryťVypnúť reklamu

Komerčné články

  1. Zlaté vajcia nemusia byť od Fabergé
  2. Leto, ktoré musíš zažiť! - BACHLEDKA Ski & Sun
  3. CTP Slovakia sa blíži k miliónu m² prenajímateľnej plochy
  4. Ako mať skvelých ľudí, keď sa mnohí pozerajú za hranice?
  5. Expertka na profesijný rozvoj: Ľudia nechcú počuť, že bude dobre
  6. Zažite začiatkom mája divadelnú revoltu v Bratislave!
  7. Myslíte si, že plavby nie sú pre vás? Zrejme zmeníte názor
  8. Jeho technológie bežia, keď zlyhá všetko ostatné
  1. Leto, ktoré musíš zažiť! - BACHLEDKA Ski & Sun
  2. Slovensko oslávi víťazstvo nad fašizmom na letisku v Piešťanoch
  3. CTP Slovakia sa blíži k miliónu m² prenajímateľnej plochy
  4. Zlaté vajcia nemusia byť od Fabergé
  5. V Košiciach otvorili veľkoformátovú lekáreň Super Dr. Max
  6. Ako mať skvelých ľudí, keď sa mnohí pozerajú za hranice?
  7. Ako ročné obdobia menia pachy domácich miláčikov?
  8. Probiotiká nie sú len na trávenie
  1. Myslíte si, že plavby nie sú pre vás? Zrejme zmeníte názor 6 532
  2. Expertka na profesijný rozvoj: Ľudia nechcú počuť, že bude dobre 6 200
  3. Unikátny pôrod tenistky Jany Čepelovej v Kardiocentre AGEL 4 702
  4. V Košiciach otvorili veľkoformátovú lekáreň Super Dr. Max 3 895
  5. Jeho technológie bežia, keď zlyhá všetko ostatné 2 958
  6. CTP Slovakia sa blíži k miliónu m² prenajímateľnej plochy 2 824
  7. Ako mať skvelých ľudí, keď sa mnohí pozerajú za hranice? 1 803
  8. The Last of Us je späť. Oplatilo sa čakať dva roky? 1 469
PR články vašej firmy na tomto mieste ›
SkryťVypnúť reklamu
SkryťVypnúť reklamu
SkryťVypnúť reklamu

Neprehliadnite tiež

Bývanie v Rakúsku? Ktorá hypotéka je výhodnejšia a na čo sa ešte pripraviť

Bývanie v Rakúsku

Ku kúpnej cene si treba prirátať aspoň desať percent.


1

Kéryho odpísanú diplomovku rieši jeho alma mater. Titul by mohol vrátiť len sám

Poslanec za Smer Marián Kéry.

Pochybného titulu sa nevzdal žiadny politik.


55

Šimkovičovej nominanti odvolali šéfa fondu Špotáka. Odmietol konať v rozpore so zákonom

Riaditeľ Fondu na podporu umenia Róbert Špoták.

Ministerstvo kultúry rozhodnutie rady rešpektuje.


a 1 ďalší 13

ONLINE: Slováci bojujú vo štvrťfinále majstrovstiev, ich súperom je Nemecko

Sledujte s nami online prenos zo zápasu.


SkryťVypnúť reklamu
SkryťVypnúť reklamu

Už ste čítali?

Kardinál camerlengo Kevin Joseph Farrell (vľavo) vedie pohrebný obrad zosnulého pápeža Františka v bazilika Santa Maria Maggiore.
Svet

V Ríme pochovali pápeža Františka. Obrad mal nielen duchovný, ale aj silný politický rozmer

Marián Kéry je aj predsedom Zahraničného výboru Národnej rady.
Domov

Gröhlinga nazval plagiátorom. Denník SME teraz zistil, že poslanec Smeru odpísal celú diplomovku

Štefan Holý.
Index

Podivná zákazka, spor a nezaplatené dane. Konkurz odhalil biznis bývalého vicepremiéra

Jaroslav Naď, predseda Demokratov a bývalý minister obrany
Domov

Nahrávka, ktorá mala skompromitovať Naďa: Gašpar využil, čo vzniklo za Matoviča

Režisér Miro Remo pri nakrúcaní minisérie Lebo medveď.
Kultúra

Remo nakrúcal o medveďoch: Ľudí sme nazvali dezolátmi bez hlbšieho pohľadu do ich sveta

SME.sk Najnovšie Najčítanejšie Minúta Video
SkryťZatvoriť reklamu