Kas ir informācijas drošības kultūra?
Informacijas drošibas kultura
Informācijas tehnoloģijas (IT), neraugoties uz
dažiem krīzes periodiem, turpina attīstīties aizvien
straujāk. Katra diena nāk ar ziņām par jaunām
tehnoloģijām, programmatūrām un informācijas drošības
draudu prognozēm.
Ko sargāja Cēzars?
Informācijas drošības vēstures
pirmsākumi ir meklējami tālā pagātnē, pat pirms
Jūlija Cēzara rakstītās šifrētās
vēstules Ciceronam. Tātad var teikt, ka informācijas
drošības pirmsākumi meklējami vairāk nekā pirms
2000 gadu. Tomēr, neraugoties uz tik senu un bagātu vēsturi,
informācijas drošības uzturēšana ir viena no
visgrūtāk risināmām problēmām vairumā
uzņēmumu un organizāciju. Var izdot visai iespaidīgas
summas modernāko tehnoloģiju iegādei, bet vēlāk
konstatēt, ka pat izcilie tehniskie risinājumi nespēj glābt
aizsargājamo informāciju no nokļūšanas
nevēlamās rokās. Turklāt tās pieejamības un
uzticamības parametri vadībai liek justies kā militārai
vienībai naidnieku aplenkumā. Problēmas būtība ir
vienkārša tehnoloģiju un informācijas lietotāji ir
cilvēki (darbinieki, kalpotāji, klienti utt.) katrs ar savu
izpratni par prioritātēm, profesionālo ētiku un
nepieciešamo zināšanu apjomu.
Uz informācijas drošības jautājumiem
nevar raudzīties tikai caur tehnoloģisko risinājumu prizmu.
Drošības risinājumu primārā daļa ir
organizatorisko pasākumu komplekss, kas nosaka darbinieku pienākumus,
tiesības un atbildību informācijas sistēmā (IS).
Sakārtojot informācijas drošības organizatoriskos
jautājumus, tiek radīti priekšnosacījumi tehnisko
risinājumu efektīvākai izmantošanai un IT risinājumu
ieviešanas izdevumi kļūst mērķtiecīgāki un
prognozējamāki. Vai var uzskatīt, ka nauda ir
drošībā, ja tā atstāta modernā, dārgā
seifā uz ielas? Atbilde ir var, ja ir pienācīgi
organizēti seifa izmantošanas, apsardzes un citi nepieciešamie
pasākumi. Līdzīgi ir ar informācijas aizsardzības
(drošības) tehnoloģijām lai cik dārgi būtu
izmaksājusi to ieviešana, maksimāla efektivitāte būs
sasniedzama tikai pienācīgi sakārtotā informācijas
sistēmā.
Normatīvie akti drošības vadlīnijas?
Latvijā spēkā ir virkne normatīvo aktu,
kas nosaka prasības informācijas sistēmu drošībai, it
īpaši attiecībā uz personu datiem un elektronisko parakstu
sertifikācijas pakalpojumu sniedzējiem. Virkne dokumentu atrodas
izstrādes un apstiprināšanas stadijā. Visai plaši tiek
lietots viens no pazīstamākajiem informācijas drošības
starptautiskajiem standartiem, kas reglamentē informācijas
drošības pasākumus, - ISO17799 (Latvijā LVS ISO/IEC17799 Informācijas
tehnoloģija. Prakses kodekss informācijas drošības
pārvaldībai). Tas ietver drošas informācijas
sistēmas deviņas vadlīnijas:
·
IS
drošības politikas dokumentēšana;
·
tiesību,
pienākumu un atbildību dalījums saskaņā ar IS
drošības nostādnēm;
·
personāla
apmācīšana;
·
ziņošana
par IS drošības incidentiem;
·
IS
drošības pasākumu plānošana;
·
informācijas
kopēšanas procesu kontrole;
·
informācijas
drošības notikumu reģistrācijas ierakstu aizsardzība;
·
sistēmas
datņu aizsardzība;
·
IS
drošības politikas prasību ievērošana.
Šie
un daudzi citi normatīvie dokumenti nosaka informācijas sistēmu
drošības prasības, ietverot gan tehniskos, gan organizatoriskos
aspektus.
Kā
apvienot tiesības, ētiku un tehnoloģijas?
Normatīvo
dokumentu prasības informācijas sistēmu drošībai
bieži tiek uztvertas formāli - kā ne visai vajadzīgi, bet
obligāti pasākumi. Šāda attieksme norāda uz neizpratni
par informācijas aizsardzības nepieciešamību un
iespējamiem draudiem drošībai. Maldīgs ir plaši
izplatītais uzskats, ka ugunsmūra iekārtas un antivīrusu
programmatūras lietošana tiešām garantē
drošību. Statistika norāda, ka aptuveni 70-80 procentos
gadījumu drošības incidentu avots ir informācijas
sistēmas lietotāji vai apkalpojošais personāls. Tātad,
lai risinātu informācijas drošības jautājumus,
nedrīkst ignorēt dalībnieku (informācijas sistēmu
turētāju, lietotāju, apkalpojošā personāla,
vadības) ietekmi uz šo sistēmu drošību.
Informācijas
sistēmu drošības kultūras jēdzienā ir ietverta
tehnoloģisko un organizatorisko pasākumu savstarpējā
atbilstība un mijiedarbība, raksturojot ētisko un tiesisko normu
uzturēšanu saskaņā ar sistēmas dalībnieku pienākumiem
un tiesībām. Lai informācijas sistēmu drošība
atbilstu noteiktajām normām, sistēmas dalībniekiem
jāzina un jāizprot pastāvošās drošības
prasības. Dokumentiem, kuri reglamentē sistēmas
drošības pamatprincipus (informācijas drošības
politika, noteikumi), jābūt pieejamiem visiem, kas darbojas
šīs sistēmas ietvaros. Informācijas drošības
kultūru raksturo deviņas pamatnostādnes:
·
izpratne
Informācijas sistēmu dalībniekiem
jābūt informētiem par informācijas drošības
prasībām, jāizprot, kāpēc nepieciešams tās
ievērot un kādas būs to neievērošanas sekas;
·
saistības
Tiesībām, pienākumiem un atbildībai
jābūt precīzi definētai un noteiktai atbilstoši
informācijas sistēmas drošības nosacījumiem;
·
reaģēšana
Dalībniekiem jāsadarbojas, lai laikus
brīdinātu par iespējamiem informācijas drošības
apdraudējumiem, piedalītos to atklāšanā un
aizsardzībā;
·
tiesiskums
Informācijas sistēmas drošības
nostādnēm jābūt demokrātiskām, ievērojot gan
tiesības brīvi apmainīties ar informāciju, gan
tiesības uz informācijas konfidencialitāti un privātumu,
gan tiesības uz personu datu atbilstošu aizsardzību un
tiesības uz atklātumu;
·
ētika
Dalībniekiem jāņem vērā citu
dalībnieku, kā arī informācijas sistēmu
īpašnieku intereses un nepieciešamība;
·
risku
novērtēšana
Jāapzinās un jānovērtē informācijas
drošības riski un tos ietekmējošie faktori;
·
kompleksums
Informācijas sistēmas drošības
elementiem (tehnoloģiskajiem risinājumiem, reglamentējošiem
dokumentiem, organizatoriskajiem pasākumiem) jābūt
savstarpēji saskaņotiem;
·
pārvaldība
Informācijas sistēmu drošības
pārvaldībai jābūt dinamiskai, jābalstās uz
drošības risku vērtējumiem un jāaptver visas
dalībnieku aktivitātes;
·
pārskatīšana
Jānodrošina
informācijas sistēmas drošības komponentu savlaicīga
modifikācija, dokumentācija pastāvīgi aktualizējama,
ieviešot nepieciešamos labojumus un papildinājumus, kā
arī nodrošinot informācijas drošības
attīstību saskaņā ar informācijas drošības
risku izmaiņām.
Cik maksāt par drošību?
Varētu šķist, ka viss iepriekš
minētais ir attiecināms vienīgi uz lielām organizācijām
vai uzņēmumiem, kuros darbinieki skaitāmi simtos vai
tūkstošos un informācijas sistēma ietver teju vai visu
Latviju. Šāds viedoklis nebūs pareizs.
Ar ko gan atšķiras bankas naudas glabātavas
drošības noteikumi no personiskā naudas maka glabāšanas
drošības noteikumiem! Ja nu vienīgi ar normatīvo punktu
daudzumu, tomēr gan vienas, gan otras normas ir noteiktas, vadoties
pēc pastāvošajiem riskiem (ardievu, naudiņa, ja tas tā
nav).
Lai sekmīgi risinātu informācijas
drošības jautājumus, jāsāk ar problēmu
apzināšanu IS drošības stāvokļa vai
drošības risku analīzi. Jānosaka, cik vērta ir
aizsargājamā informācija un kādas varētu būt
drošības apdraudējumu realizēšanās sekas.
Jāsamēro informācijas drošībā ieguldāmie
līdzekļi ar aizsargājamām vērtībām
(aizsargājamās informācijas vērtību),
jānodrošina atbilstoša organizatoriskā struktūra un
reglamentējošo dokumentu bāze, kā arī
jāpanāk saskaņa starp drošības nosacījumiem,
ētiskajām un tiesiskajām normām, faktiskajām
vajadzībām un tehnoloģiskajiem risinājumiem.
Vienīgi informācijas sistēmās ar
augstu informācijas drošības kultūru tehnoloģijas
būs lielisks palīglīdzeklis informācijas drošības
uzturēšanai nepieciešamajā līmenī.
Dainis RUMENTS,
IS drošības konsultants
dainis.ruments@e-protect.lv
Rakstā izmantoti materiāli no OECD Guidelines
for the Security of Information Systems and Networks.
Droša
informācija
informācija, kas ir aizsargāta no nesankcionētas
iznīcināšanas, koriģēšanas vai viltošanas un
pieejama noteiktajā laikā un vietā personām, kurām
tā ir paredzēta.
Informācijas
sistēma
resursu, procedūru un personāla kopums, kas ir izveidots,
strādā un tiek uzturēts, lai ievadītu, uzglabātu,
apstrādātu un citādi izmantotu informāciju, paredzot
lietotāju piekļūšanu šai informācijai.
Risku
pārvaldība
preventīvs aizsardzības pasākumu un potenciālo
zaudējumu savstarpējas līdzsvarošanas process.
Informācijas tehnoloģijas (IT), neraugoties uz dažiem krīzes periodiem, turpina attīstīties aizvien straujāk. Katra diena nāk ar ziņām par jaunām tehnoloģijām, programmatūrām un informācijas drošības draudu prognozēm.
Ko sargāja Cēzars?
Informācijas drošības vēstures pirmsākumi ir meklējami tālā pagātnē, pat pirms Jūlija Cēzara rakstītās šifrētās vēstules Ciceronam. Tātad var teikt, ka informācijas drošības pirmsākumi meklējami vairāk nekā pirms 2000 gadu. Tomēr, neraugoties uz tik senu un bagātu vēsturi, informācijas drošības uzturēšana ir viena no visgrūtāk risināmām problēmām vairumā uzņēmumu un organizāciju. Var izdot visai iespaidīgas summas modernāko tehnoloģiju iegādei, bet vēlāk konstatēt, ka pat izcilie tehniskie risinājumi nespēj glābt aizsargājamo informāciju no nokļūšanas nevēlamās rokās. Turklāt tās pieejamības un uzticamības parametri vadībai liek justies kā militārai vienībai naidnieku aplenkumā. Problēmas būtība ir vienkārša tehnoloģiju un informācijas lietotāji ir cilvēki (darbinieki, kalpotāji, klienti utt.) katrs ar savu izpratni par prioritātēm, profesionālo ētiku un nepieciešamo zināšanu apjomu.
Uz informācijas drošības jautājumiem nevar raudzīties tikai caur tehnoloģisko risinājumu prizmu. Drošības risinājumu primārā daļa ir organizatorisko pasākumu komplekss, kas nosaka darbinieku pienākumus, tiesības un atbildību informācijas sistēmā (IS). Sakārtojot informācijas drošības organizatoriskos jautājumus, tiek radīti priekšnosacījumi tehnisko risinājumu efektīvākai izmantošanai un IT risinājumu ieviešanas izdevumi kļūst mērķtiecīgāki un prognozējamāki. Vai var uzskatīt, ka nauda ir drošībā, ja tā atstāta modernā, dārgā seifā uz ielas? Atbilde ir var, ja ir pienācīgi organizēti seifa izmantošanas, apsardzes un citi nepieciešamie pasākumi. Līdzīgi ir ar informācijas aizsardzības (drošības) tehnoloģijām lai cik dārgi būtu izmaksājusi to ieviešana, maksimāla efektivitāte būs sasniedzama tikai pienācīgi sakārtotā informācijas sistēmā.
Normatīvie akti drošības vadlīnijas?
Latvijā spēkā ir virkne normatīvo aktu, kas nosaka prasības informācijas sistēmu drošībai, it īpaši attiecībā uz personu datiem un elektronisko parakstu sertifikācijas pakalpojumu sniedzējiem. Virkne dokumentu atrodas izstrādes un apstiprināšanas stadijā. Visai plaši tiek lietots viens no pazīstamākajiem informācijas drošības starptautiskajiem standartiem, kas reglamentē informācijas drošības pasākumus, - ISO17799 (Latvijā LVS ISO/IEC17799 Informācijas tehnoloģija. Prakses kodekss informācijas drošības pārvaldībai). Tas ietver drošas informācijas sistēmas deviņas vadlīnijas:
· IS drošības politikas dokumentēšana;
· tiesību, pienākumu un atbildību dalījums saskaņā ar IS drošības nostādnēm;
· personāla apmācīšana;
· ziņošana par IS drošības incidentiem;
· IS drošības pasākumu plānošana;
· informācijas kopēšanas procesu kontrole;
· informācijas drošības notikumu reģistrācijas ierakstu aizsardzība;
· sistēmas datņu aizsardzība;
· IS drošības politikas prasību ievērošana.
Šie un daudzi citi normatīvie dokumenti nosaka informācijas sistēmu drošības prasības, ietverot gan tehniskos, gan organizatoriskos aspektus.
Kā apvienot tiesības, ētiku un tehnoloģijas?
Normatīvo dokumentu prasības informācijas sistēmu drošībai bieži tiek uztvertas formāli - kā ne visai vajadzīgi, bet obligāti pasākumi. Šāda attieksme norāda uz neizpratni par informācijas aizsardzības nepieciešamību un iespējamiem draudiem drošībai. Maldīgs ir plaši izplatītais uzskats, ka ugunsmūra iekārtas un antivīrusu programmatūras lietošana tiešām garantē drošību. Statistika norāda, ka aptuveni 70-80 procentos gadījumu drošības incidentu avots ir informācijas sistēmas lietotāji vai apkalpojošais personāls. Tātad, lai risinātu informācijas drošības jautājumus, nedrīkst ignorēt dalībnieku (informācijas sistēmu turētāju, lietotāju, apkalpojošā personāla, vadības) ietekmi uz šo sistēmu drošību.
Informācijas sistēmu drošības kultūras jēdzienā ir ietverta tehnoloģisko un organizatorisko pasākumu savstarpējā atbilstība un mijiedarbība, raksturojot ētisko un tiesisko normu uzturēšanu saskaņā ar sistēmas dalībnieku pienākumiem un tiesībām. Lai informācijas sistēmu drošība atbilstu noteiktajām normām, sistēmas dalībniekiem jāzina un jāizprot pastāvošās drošības prasības. Dokumentiem, kuri reglamentē sistēmas drošības pamatprincipus (informācijas drošības politika, noteikumi), jābūt pieejamiem visiem, kas darbojas šīs sistēmas ietvaros. Informācijas drošības kultūru raksturo deviņas pamatnostādnes:
· izpratne
Informācijas sistēmu dalībniekiem jābūt informētiem par informācijas drošības prasībām, jāizprot, kāpēc nepieciešams tās ievērot un kādas būs to neievērošanas sekas;
· saistības
Tiesībām, pienākumiem un atbildībai jābūt precīzi definētai un noteiktai atbilstoši informācijas sistēmas drošības nosacījumiem;
· reaģēšana
Dalībniekiem jāsadarbojas, lai laikus brīdinātu par iespējamiem informācijas drošības apdraudējumiem, piedalītos to atklāšanā un aizsardzībā;
· tiesiskums
Informācijas sistēmas drošības nostādnēm jābūt demokrātiskām, ievērojot gan tiesības brīvi apmainīties ar informāciju, gan tiesības uz informācijas konfidencialitāti un privātumu, gan tiesības uz personu datu atbilstošu aizsardzību un tiesības uz atklātumu;
· ētika
Dalībniekiem jāņem vērā citu dalībnieku, kā arī informācijas sistēmu īpašnieku intereses un nepieciešamība;
· risku novērtēšana
Jāapzinās un jānovērtē informācijas drošības riski un tos ietekmējošie faktori;
· kompleksums
Informācijas sistēmas drošības elementiem (tehnoloģiskajiem risinājumiem, reglamentējošiem dokumentiem, organizatoriskajiem pasākumiem) jābūt savstarpēji saskaņotiem;
· pārvaldība
Informācijas sistēmu drošības pārvaldībai jābūt dinamiskai, jābalstās uz drošības risku vērtējumiem un jāaptver visas dalībnieku aktivitātes;
· pārskatīšana
Jānodrošina informācijas sistēmas drošības komponentu savlaicīga modifikācija, dokumentācija pastāvīgi aktualizējama, ieviešot nepieciešamos labojumus un papildinājumus, kā arī nodrošinot informācijas drošības attīstību saskaņā ar informācijas drošības risku izmaiņām.
Cik maksāt par drošību?
Varētu šķist, ka viss iepriekš minētais ir attiecināms vienīgi uz lielām organizācijām vai uzņēmumiem, kuros darbinieki skaitāmi simtos vai tūkstošos un informācijas sistēma ietver teju vai visu Latviju. Šāds viedoklis nebūs pareizs.
Ar ko gan atšķiras bankas naudas glabātavas drošības noteikumi no personiskā naudas maka glabāšanas drošības noteikumiem! Ja nu vienīgi ar normatīvo punktu daudzumu, tomēr gan vienas, gan otras normas ir noteiktas, vadoties pēc pastāvošajiem riskiem (ardievu, naudiņa, ja tas tā nav).
Lai sekmīgi risinātu informācijas drošības jautājumus, jāsāk ar problēmu apzināšanu IS drošības stāvokļa vai drošības risku analīzi. Jānosaka, cik vērta ir aizsargājamā informācija un kādas varētu būt drošības apdraudējumu realizēšanās sekas. Jāsamēro informācijas drošībā ieguldāmie līdzekļi ar aizsargājamām vērtībām (aizsargājamās informācijas vērtību), jānodrošina atbilstoša organizatoriskā struktūra un reglamentējošo dokumentu bāze, kā arī jāpanāk saskaņa starp drošības nosacījumiem, ētiskajām un tiesiskajām normām, faktiskajām vajadzībām un tehnoloģiskajiem risinājumiem.
Vienīgi informācijas sistēmās ar augstu informācijas drošības kultūru tehnoloģijas būs lielisks palīglīdzeklis informācijas drošības uzturēšanai nepieciešamajā līmenī.
Dainis RUMENTS,
IS drošības konsultants
dainis.ruments@e-protect.lv
Rakstā izmantoti materiāli no OECD Guidelines for the Security of Information Systems and Networks.
Droša informācija informācija, kas ir aizsargāta no nesankcionētas iznīcināšanas, koriģēšanas vai viltošanas un pieejama noteiktajā laikā un vietā personām, kurām tā ir paredzēta.
Informācijas sistēma resursu, procedūru un personāla kopums, kas ir izveidots, strādā un tiek uzturēts, lai ievadītu, uzglabātu, apstrādātu un citādi izmantotu informāciju, paredzot lietotāju piekļūšanu šai informācijai.
Risku pārvaldība preventīvs aizsardzības pasākumu un potenciālo zaudējumu savstarpējas līdzsvarošanas process.