Obsahom stratégie informačnej bezpečnosti ( STN EN ISO/IEC 27001 – Informačné technológie. Bezpečnostné metódy. Systémy riadenia informačnej bezpečnosti. Požiadavky (ISO/IEC 27001: 2013 vrátane Cor. 1: 2014 a Cor. 2: 2015) (Norma je identická s STN ISO/IEC 27001 zo septembra 2014))sú kroky a popis úloh s cieľom zabezpečenia ochrany informačných systémov v podnikoch. Medzi hlavné úlohy patria najmä opatrenia proti úniku informácií a ich neoprávnenému použitiu, narušenie integrity údajov, porušenie práv zamestnancov a klientov na ochranu osobných údajov a podobne. Internet dnes ponúka neobmedzené množstvo informácií a služieb s čím je spojená aj informačná bezpečnosť, ktorá predstavuje určitú mieru záruky zabezpečenia dát v informačných systémoch.

Medzi strategické ciele potrebné na zabezpečenie a udržanie potrebnej úrovne informačnej bezpečnosti v zmysle uvedenej stratégie patria:

1. prevencia: zaistenie adekvátnej ochrany informačných systémov za účelom predchádzania bezpečnostným incidentom,
2. pripravenosť: efektívne reagovať na bezpečnostné incidenty, minimalizovať dosah a čas potrebný na obnovu činnosti informačných systémov po bezpečnostných incidentoch,
3. udržateľnosť: dosiahnutie, udržiavanie a rozširovanie kompetencii v oblasti informačnej bezpečnosti

Celkovú úroveň bezpečnosti informačného systému určuje jej najmenej zabezpečená časť. Bezpečnosť informačného systému sa laicky delí na dve časti

Napríklad komunikačná bezpečnosť sa zaoberá bezpečnosťou komunikácie medzi jednotlivými zložkami informačného systému v rámci lokálnej počítačovej siete spoločnosti (LAN) a internetu (WAN).

Komunikačná bezpečnosť sa zaoberá a definuje spôsoby zaistenia dôvernosti a integrity prenosu dát a informácií pomocou informačných technológií, ako napríklad šifrovanie komunikácie, elektronický podpis a podobne. Jednou z možností, ako zabrániť nežiaducim tokom informácií je používanie firewallov, ktorých úlohou je oddeliť jednotlivé siete LAN – WAN a kontrolovať medzi nimi tok dát na základe vopred stanovených pravidiel.

Ako na plán ochrany a zabezpečenia privátnej siete – príklady dobrej praxe (ISO 27001)

Privátnu sieť môžeme v zásade rozdeliť z pohľadu bezpečnosti na:

• DMZ zónu (DeMilitarize Zone)
• bezdrôtovú sieť (wireless)
• VPN sieť
• zabezpečenú zónu (trusted) intranet

Bezpečnostné pravidlá pre DMZ

• pravidlá sa týkajú všetkých zariadení alebo aplikácií, ktoré sú umiestnené v zóne DMZ
• zariadenia DMZ zóny musia byť oddelené od ostatného zariadenia v separátnej miestnosti, ak to nie je fyzicky možné musia byť uzamknuté v osobitných regáloch s obmedzeným prístupom
• bezpečnostné prvky a aplikácie musia byť aktuálne, kompetentná osoba zabezpečí všetky potrebné aktualizácie
• o každom spojení so zariadením musí byť vedený záznam
• všetky zmeny v zapojení alebo účele DMZ musia byť oznámené a schválené manažmentom organizácie
• vstup do DMZ musí byť chránený firewallom, vstup do siete DMZ mimo firewall musí byť zakázaný
• dáta musia byť zálohované pravidelne na začiatku každého mesiaca.
• kompetentná osoba vykoná test zariadení a skenovanie siete voči vírusom pravidelne na začiatku každého mesiaca.
• prístup k zariadeniam a k logom musí byť možný manažmentu na požiadanie
• administrátor si rezervuje právo na prerušenie spojenia do DMZ, ak si to vyžadujú okolnosti. Táto aktivita musí byť zaznamenaná a podpísaná kompetentnou osobou
• heslá pre administratívny prístup k zariadeniam a službám musia byť obnovované raz za rok
• každý zásah a zmena vykonaná v DMZ zóne musí byť zaznamený
• konfiguračné pravidlá
• zariadenia a aplikácie v zóne DMZ nesmú mať právo inicializovať spojenie do privátnej siete (intranetu)
• zariadenia a aplikácie v zóne DMZ nesmú mať právo inicializovať spojenie do verejnej siete
• firewall musí byť nakonfigurovaný podľa požiadaviek vyžadujúce si ochranu DMZ zóny a podľa aktuálnych odporúčaní
• manažment organizácie môže mať doplňujúce obmedzujúce požiadavky na nastavenie firewallu
• prístup do siete DMZ musí byť v zhode s právami jednotlivých užívateľov
• všetky služby a aplikácie, ktoré nemajú účel pre organizáciu musia byť zakázané
• vzdialený administratívny prístup musí byť poskytovaný cez zabezpečený kanál (SSH alebo IPSEC)
• zamietnutá premávka na firewalle musí byť zaznamenaná
• čo nie je povolené je zakázané

Bezpečnostné pravidlá pre kancelárie

• na pracovných staniciach musí byť nainštalovaný softvérový firewall
• na pracovných staniciach musí byť nainštalovaný antivírusový program
• pravidelne vykonávať antivírusový scan pracovnej stanice po dvoch týždňoch
• pracovník musí zamykať plochu operačného systému, v prípade že opustí miesto pracoviska bez vypnutia operačného systému
• nastaviť automatické zamykanie plochy operačného systému po 15 minútach nečinnosti
• zaznamenávať pokus o prihlásenie sa do systému spolu s jeho výsledkom
• prístup k zariadeniu musí byť autorizovaný

Bezpečnostné pravidlá pre VPN

• používatelia na pripojenie sa do siete musia používať silné heslá, ktoré musia obsahovať malé a veľké písmena, číslicu, a znak. Heslo musí byť dlhé minimálne 8 znakov.
• prístupové heslá VPN siete sa pravidelne menia po uplynutí 6 mesiacov
• prístup musí byť autorizovaný
• každý pokus o pripojenie spolu s jeho výsledkom musí byť zaznamenaný do logovacích súborov
• ak sa pripojí používateľ do privátnej siete VPN sieťou, komunikácia medzi stanicou užívateľa a privátnou sieťou musí byť smerovaná do zabezpečeného VPN tunela
• duálne spojenie je zakázané. Nie je povolené pripojiť sa jedným kontom z viacerých staníc v rovnakom čase
• každá stanica pripojená VPN sieťou do privátnej siete musí mať najnovšiu verziu antivírusového programu zvoleného manažmentom organizácie a najaktuálnejšiu databázu vírusov
• každé spojenie spojené VPN s privátnou sieťou bude odpojené od privátnej siete po 30 minútach nečinnosti

Zabezpečenie wireless siete

• Prístupové body (ďalej AP – Access Point) musia byť umiestnené na bezpečnom mieste, tak aby k nemu nemala prístup ktorákoľvek osoba bez pomoci dodatočného náradia (napr. rebrík)
• AP musia byť umiestnené tak, aby ich vzájomné rušenie (interferencia) s okolím bolo čo najmenšie
• každé pripojenie musí používať WEP šifrovanie využívajúce AES štandard
• každý pokus o pripojenie spolu s jeho výsledkom musí byť zaznamenaný do logovacích súborov
• každý prístup musí byť autorizovaný
• všetky nepotrebné služby a porty musia byť blokované
• žiadne zariadenie nesmie byť administrované prostredníctvom wireless siete”[20]

Zálohovanie, archivácia a obnova

„Zálohovanie: uloženie dát na externé médium, ktoré nie je online, s cieľom zamedziť strate   dát v prípade poruchy alebo zničenia zariadenia

Archivácia: uloženie starých a nepoužívaných dát na externé médium, ktoré nie je online, s cieľom uvoľniť priestor online zariadení a s cieľom vytvoriť záznam vývoja, histórie

Obnova: proces navrátenia zálohovaných dát na offline zariadení späť na online zariadenia

Pravidlá:

• zálohovanie a archivácia serverov sa vykonáva v čase najnižšieho využitia, v nočných hodinách
• zálohovanie a archivácia dát sa vykonávajú po skončení pracovnej doby
• záloha dát sa vykonáva pravidelne na začiatku týždňa, v prípade situácie, ktorá si to vyžaduje, sa zálohujú okamžite
• zálohy musia byť jednoznačne označené
• zálohy sa archivujú minimálne jeden mesiac
• offline zariadenia, používane na zálohovanie nesmú byť staršie ako jeden rok
• schopnosť médii udržiavať dáta musia byť testované každý pol rok
• manažment organizácie určí zodpovedné osoby, ktoré budú vykonávať operácie spojené so zálohovaním, archiváciou a obnovou

Dáta, ktoré musia byť zálohované

• užívateľské dáta umiestnené na serveroch
• dokumenty, publikácie, obrázky súvisiace s prácou jednotlivých zamestnancov
• file servery
• mail servery
• database server
• monitorovacie logy
• zálohy a archivácie musia byť časovo synchronizované. Z tohto dôvodu musí byť použitý NTP protokol
• archivácia sa vykonáva na záver roka
• účty zamestnancov sa archivujú po dobu jedného mesiaca po ukončení pracovného vzťahu
• užívateľ, ktorý potrebuje obnoviť dáta musí o to požiadať a udať dôvody. Tento proces musí byť zaznamenaný
• externé archivačné a zálohované média musia byť umiestnené na bezpečnom mieste, chránené proti požiaru a neoprávnenému prístupu.