Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování
Audit informační bezpečnosti Diplomová práce
Autor:
Zdeněk Břicháček Informační technologie a management
Vedoucí práce:
doc. Ing. Vlasta Svatá, CSc.
červen, 2011
Praha
1
Prohlášení Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
Zdeněk Břicháček
V Praze, dne 16. 6. 2011
2
Poděkování Na tomto místě bych rád poděkoval vedoucí práce, paní doc. Ing. Vlastě Svaté, CSc., za její cenné rady, a nasměrování při definování rozsahu a obsahu práce.
3
Anotace Diplomová
práce
popisuje
informační
bezpečnost
v prostředí
informačních
a komunikačních technologií vycházející z Demingova modelu PDCA a opírajícího se o normativní rámec ISO/IEC 27000. Současně provádí rozbor jednotlivých fází v systému řízení informační bezpečnosti a analýzu rizik.
Annotation This thesis describes the information security in the information and communication technology based on the Deming’s PDCA model and a normative framework of ISO/IEC 27000. There is also analysis at different stages of information security management systems and risk analysis.
4
Obsah Úvod
8
1.
Informační bezpečnost
9
1.1.
Bezpečnostní atributy
11
1.2.
Bezpečnostní principy
12
1.3.
Bezpečnostní politika
13
1.4.
Klasifikace aktiv
17
1.4.1.
Informační aktiva
18
1.4.2.
Neinformační aktiva
20
1.4.3.
Lidské zdroje
22
2.
Normy a legislativa
23
2.1.
Historie norem pro řízení informační bezpečnosti
24
2.2.
Normy pro řízení informační bezpečnosti
24
2.3.
Legislativa v České republice a Evropské unii
29
3.
Analýza a řízení rizik
30
4.
Systém řízení informační bezpečnosti (ISMS)
33
4.1.
Politika ISMS
33
4.2.
Model PDCA
34
4.2.1.
Ustanovení ISMS
35
4.2.2.
Zavádění a provoz ISMS
36
4.2.3.
Monitorování a přezkoumání ISMS
38
4.2.4.
Udrţování a zlepšování ISMS
39
4.3.
Odpovědnosti, úlohy managementu a zaměstnanců
40
4.4.
Metriky ISMS
40
5.
Metodiky a pracovní rámce
42
5.1.
CRAMM
42
5.2.
CobiT
42
5.3.
ITIL
43
6.
Audit informační bezpečnosti
44
7.
Vyuţití softwarových nástrojů
46
8.
Telekomunikační systém
47
8.1.
Schéma telekomunikačního systému
47
8.2.
Řízení rizik
49 5
8.2.1.
Východiska
49
8.2.2.
Cíle analýzy a řízení rizik
50
8.2.3.
Rozsah analýzy a řízení rizik
50
8.2.4.
Pouţitá metodika
50
8.2.5.
Hodnocení aktiv
51
8.2.5.1.
Datová aktiva a sluţby koncovému uţivateli
51
8.2.5.2.
Aplikační aktiva
52
8.2.5.3.
Fyzická aktiva
53
8.2.6.
Modely aktiv
54
8.2.7.
Popis aktiv uţívaných v prostředí telekomunikací
54
8.2.8.
Sumarizace hodnocení aktiv
59
8.2.9.
Hodnocení hrozeb a zranitelností
59
8.2.10.
Výpočet míry rizik
62
8.2.11.
Řízení rizik
63
8.2.12.
Protiopatření pro zvládání rizik
64
8.2.13.
Cíle pro zvládání rizik
66
9.
Politiky a směrnice
67
9.1.
Bezpečnostní politika
67
9.1.1.
Rozsah a cíle bezpečnostní politiky
67
9.1.2.
Obsah bezpečnostní politiky
68
9.2.
Příručka ISMS
69
9.2.1.
Ustanovení ISMS
70
9.2.1.1.
Politika ISMS
70
9.2.1.2.
Rozsah a hranice ISMS
70
9.2.1.3.
Přístup k hodnocení rizik
70
9.2.1.4.
Schválení ISMS vedením organizace
71
9.2.2.
Zavádění a provoz ISMS
71
9.2.2.1.
Provoz ISMS
71
9.2.3.1.
Metriky ISMS
73
9.2.4.
Udrţování a zlepšování ISMS
73
9.2.5.
Řízení dokumentů
74
9.2.6.
Odpovědnost vedení
74
9.2.7.
Interní audity
75
9.2.8.
Přezkoumávání ISMS vedením organizace
75
6
10.
Výsledky
76
10.1.
Zásady pro budování a provoz systému
76
10.2.
Zvyšování bezpečnostního povědomí v organizaci
76
10.3.
Manaţerské shrnutí
76
10.4.
Deklarace bezpečnostní politiky
77
Závěr
78
Seznam pouţité literatury
79
Seznam zkratek
80
Seznam obrázků
81
Seznam tabulek
81
Přílohy
82
A. Plán implementace ISMS dle ISO/IEC 27001
82
7
Úvod Informační a komunikační technologie se staly neoddělitelnou součástí našich ţivotů. Ať sami pracujeme s výpočetní technikou nebo cestujeme mimo informační svět, informace o našich osobách putují přes mnoţství technologických zařízení. V určitých případech se můţe jednat o velmi důvěrné informace, u kterých je zapotřebí zajistit náleţitou ochranu. A právě zajištěním této ochrany se zabývá mnoţství vydaných standardů, legislativních opatření a poţadavků regulačních orgánů. Úkolem této diplomové práce je popsat informační bezpečnost v prostředí informačních a komunikačních technologií vycházející z Demingova modelu PDCA opírajícího se o normativní rámec ISO/IEC 27000. Současně provést rozbor jednotlivých fází v systému řízení informační bezpečnosti a analýzu rizik. V první části práce je vysvětlen pojem informační bezpečnost se všemi jeho aspekty a atributy. Druhá část osvětluje existenci norem a legislativního rámce jak České republiky, tak Evropské unie a některých dalších důleţitých států a unií. Třetí část popisuje problematiku analýzy a řízení rizik následovaná popisem systému řízení informační bezpečnosti a PDCA jiţ zmíněným cyklem. Závěr teoretické části tvoří představení metodik a pracovních rámců vyuţívaných pro systém řízení informační bezpečnosti, jako jsou ITIL a CobiT, a informace o průběhu auditu systému řízení informační bezpečnosti. Praktická část přibliţuje obecný telekomunikační systém GSM se všemi jeho elementy a provádí praktickou aplikaci analýzy rizik a PDCA cyklu vztaţené právě na telekomunikační systém. Samotný závěr zahrnuje manaţerské shrnutí a deklaraci informační bezpečnosti, kterou vydává vedení organizace.
8
1. Informační bezpečnost Informace jsou komoditou, jejíţ důleţitost a hodnota jsou pro moderní podnik stejně velké a často i větší neţ další vyuţívané komodity. Informační bezpečnost představuje ochranu informace před širokým spektrem moţných hrozeb ve všech jejích formách a po celý její ţivotní cyklus. Tato ochrana tedy pokrývá část vzniku, zpracování, přenosu, uchování a samozřejmě i likvidaci či znehodnocení informace. Z pohledu informační bezpečnosti jsou informace chráněny bez ohledu na jejich umístění a formu. Mohou tedy být uloţeny v informačním systému, vytištěné na papíře nebo mohou být jako známý fakt předávány ústně. Na informace je z pohledu informační bezpečnosti nahlíţeno jako na podniková aktiva. „Informace jsou aktiva, které stejně jako ostatní důležitá obchodní aktiva, mají pro organizaci hodnotu, a proto potřebují být dostatečně chráněna― [7] S informacemi můţe být nakládáno různým způsobem. Informace můţe být vytvořena, uchována, zpracována, přenesena, vyuţita, poškozena ztracena, ukradena ale také zničena. Pro ochranu informací je důleţité si poloţit několik zásadních otázek. První z nich je definice co chránit. Kaţdá informace má svoji důleţitost a relevanci, existenční prostředí, cenu a klasifikaci. Dále je nutné vědět, proč informaci chránit. Kaţdé ohroţení informace můţe mít negativní důsledky vzniklé bezpečnostní události. Důleţitá je i určení časového rámce nebo platnost takového ohroţení, zda se jedná o dopad krátkodobý či dlouhodobý. V takovém případě je ve většině případů nutné případné dopady vyčíslit. Identifikované dopady mohou náleţet do několika kategorií. Mohou mít za následek ohroţení zdraví nebo dokonce ţivotů, finanční ztráty, mohou vést k porušení legislativy, ztrátě dobrého jména, důvěry zákazníků a partnerů, ohroţení pozice na trhu a dokonce vést k ohroţení existence podniku. Nutnou identifikací je i specifikace proti jakým hrozbám informace chránit, tedy jaké bezpečnostní události vedou k narušení informační bezpečnosti a jaké povahy takový incident můţe být. Poslední otázkou je, jakým způsobem budeme informace účinně chránit. Tato ochrana zahrnuje určení cílů, strategie, základní koncept ochrany, jakým je bezpečnostní politika, realizace systému řízení informační bezpečnosti, monitorování provozu a současně jeho vyhodnocování a periodické kontroly. Prostředky a nástroji realizace ochrany informací mohou být jak bezpečnostní funkce, tedy způsoby zajištění protiopatření, tak bezpečnostní mechanismy, jakými jsou různá technologická řešení.
9
Následující Obrázek 1 zobrazuje vztahy v rámci informační bezpečnosti. Obrázek zachycuje, jakým způsobem jsou ovlivněny všechny prvky informační bezpečnosti. Tzn., čím jsou bezpečnostní rizika posilovány či naopak oslabovány.
Hrozby
ochrana před Bezpečnostní mechanismy
ukazují
zvyšují
zvyšují
snižují plní
Zranitelnosti
ohrožují
Rizika
indikují
Informace zvyšují
Bezpečnostní funkce
mají
Hodnoty
Obrázek 1 Návaznosti v informační bezpečnosti Rizikem je myšlena moţnost, ţe hrozba vyuţije zranitelnosti informace a způsobí škodu nebo ztrátu. Hrozba můţe potenciálně poškodit podnik, IT systém nebo komunikační zařízení. Zranitelnost představuje slabost, která můţe být zneuţita hrozbou [8]. Informační bezpečnost je de facto proces, který by měl být stále a vědomě řízen, kontrolován a vylepšován za účelem zajištění kontinuity podnikání, minimalizace obchodních ztrát a zvyšování či urychlování návratnosti investic a obchodních příleţitostí. Informační bezpečnost není něco, co se koupí, je to něco, co je děláno. Proces zavádění systému informační bezpečnosti probíhá v několika definovaných a popsaných etapách, kde má kaţdá z etap předepsané vstupy, kterými mohou být dokumenty nebo také vzájemná konzultace, výstupy a nechybí ani terminování zahájení a ukončení jednotlivých etap. Obrázek 2 zahrnuje tyto etapy.
Analýza rizik definice aktiv a seznamu hrozeb Bezpečnostní audit kontrola, aktualizace
Informační bezpečnost
Bezpečnostní politika cíle a protiopatření
Implementace protiopatření zavedení procesů
Obrázek 2 Proces systému řízení informační bezpečnosti 10
Analýza rizik je základní aktivitou procesu. Cílem je vytvoření dokumentu s definovanými situacemi, pravděpodobnostmi a vzniklými riziky.
Na základě výstupů
je moţné s určitostí definovat konkrétní mechanismy a určit jejich nezbytnost, anebo naopak nadbytečnost. Bezpečností politika obsahuje soubor pravidel, opatření a postupů, jejímţ úkolem je zabezpečit informační bezpečnost na poţadované úrovni, s přihlédnutím k minimalizaci spotřeby zdrojů, tady k nákladové efektivitě. Bezpečnostní politika odpovídá na otázky vztahující se k principu odpovědnosti, principu efektivity, určení časového rámce účinnosti a vynucení a způsob uvedení do praxe. Implementace protiopatření obsahuje studii bezpečnostních opatření a jejich zavedení do praxe. Bezpečnostní politika obsahuje obecné prvky informační bezpečnosti, které je nutné před zavedení přeformulovat a upravit. Tato etapa zahrnuje plány nákupu hardware, software, proškolení zaměstnanců, plán tvorby pravidel, konfigurační změny apod. Implementační studie je pro kaţdé konkrétní prostředí jedinečná. Bezpečnostní audit periodicky ověřuje stav implementace bezpečnostní politiky a její správné naplňování. Toto opakující se ověřování je nutné i z důvodu neustále se měnícího prostředí uvnitř podniku nebo pro zachování shody s lokální i mezinárodní legislativou a normami.
1.1. Bezpečnostní atributy Cíle bezpečnostní politiky lze charakterizovat jako sadu bezpečnostních atributů zajištění ochrany informací. Tyto cíle mohou přímo vést k zajištění informační bezpečnosti, nebo také k zajištění jakosti informačních a komunikačních systémů a nemálo důleţité efektivní vyuţívání zdrojů organizace [5]. Cíli k zajištění atributů informační bezpečnosti mohou být například:
důvěrnost/diskrétnost – ochrana před neoprávněným čtením osobou či systémem, které nejsou vlastníkem, zpracovatelem ani uţivatelem informace;
integrita – ochrana před neoprávněnými úpravami či zničením ať jiţ úmyslně nebo při přenosu či uchování informace;
dostupnost – zajištění moţnosti přístupu a ochrana před jeho neoprávněným zamezením. Je tedy důleţité zachovat přístup k relevantním uloţeným informacím.
11
Dále můţeme zahrnout také:
individuální zodpovědnost – individuální zodpovědnost nebo také nepopiratelnost je vyloučení moţnosti popřít provedení nějaké operace v minulosti;
autenticita – ověření informace nebo její autentický původ.
Cíle vedoucími k zajištění jakosti:
spolehlivost - poskytuje jistotu spolehlivého provozu komplexností, nepřetrţitou dostupností a včasností;
efektivita – vyjadřuje praktickou účinnost, výkon a vyuţitelnost informace; efektivita je sekundárním kritériem pro posouzení jakosti;
jakost – kvalita informace a jejího vzniku, zpracování, přenosu, uchování a likvidaci; základem pro informační bezpečnost jsou normy zajištění bezpečnosti, tedy ISO 9000;
shoda – shodou se rozumí dodrţování příslušných norem, ustálených postupů, metod, standardů a směrnic.
1.2. Bezpečnostní principy Pro informační bezpečnost jsou typické bezpečnostní principy, které jsou následně aplikovány v podniku většinou jako součást komplexního systému řízení informační bezpečnosti. Tyto principy jsou nicméně obecné a lze se s nimi popisně setkat například i ve skupinách norem ISO/IEC 27000 nebo ISO/IEC 20000.
princip odpovědnosti - přesně identifikuje individuální jednoznačně stanovenou osobu nebo skupinu osob, které jsou zodpovědné za prosazování a dodrţování stanovených zásad, pravidel a postupů informační bezpečnosti;
princip integrace – prosazování informační bezpečnosti je řízeno komplexním systémem řízení informační bezpečnosti (ISMS), který integruje a koordinuje činnosti všech dotčených útvarů jak na straně podniku, tak i třetích stran, které jsou účastny;
princip znalosti – všechny zainteresované strany musí být v přiměřené míře seznámeny se zásadami informační bezpečnosti stanovené bezpečnostní politikou;
princip uvědomění – všechny zainteresované strany jsou schopny interpretovat a aplikovat stanovenou bezpečnostní politiku podniku;
princip kontroly – zavádění a dodrţování zásad a postupů informační bezpečnosti musí být pravidelně kontrolováno a zjištěné nedostatky musí být předepsaným způsobem zdokumentovány a následně odstraněny; tyto kontroly mohou být
12
prováděny i formou nezávislého auditu, který důsledně ověří míru a kvalitu realizace a přijatých opatření;
princip kontinuity – přijatá bezpečnostní opatření musí být uplatňována v celém podniku;
princip formalizace – prosazování a řízení informační bezpečnosti je spojeno s formalizovanými a jednoznačně definovanými postupy, jejichţ uplatňování je náleţitě dokumentováno;
princip efektivity – jsou voleny takové postupy a bezpečnostní opatření, která zajišťují maximální účinnost při minimální spotřebě vynakládaných zdrojů;
princip nejlepších praktik – přijaté postupy a bezpečností opatření jsou uváděny na základě ověřených praktik definovaných skupinami norem a doporučení;
princip soustavného rozvoje – nasazení informační bezpečnosti počítá se soustavným rozvojem, zkvalitňováním a zvyšováním její úrovně.
1.3. Bezpečnostní politika Bezpečnostní politiku tvoří dokumentace popisující strategii zajišťující informační bezpečnost. Jejím obsahem je pokrytí všech aspektů zabezpečení ochrany organizace v oblasti informační bezpečnosti a zpravidla vychází ze standardů ISO/IEC 27001 a ISO/IEC 2002. Při definici bezpečnostní politiky je důleţité ukázat jasný směr politiky a podporu řízení pro implementaci a správu informační bezpečnosti. Pro zajištění efektivity politiky musí být jasně
a
srozumitelně
musí být podporovány
komunikována
řízením
přes
organizace,
celou
nastaveny
organizaci. potřebné
Potřeby politiky podpůrné
procesy
s odpovídajícím technickým rámcem, a vhodně zvoleny autority a prostředky, které slouţí pro dodrţování
specifikovaných
reakcí
v případě
ohroţení
informační
bezpečnosti.
Bezpečnostní politika je základem pro kvalitní informační bezpečnosti a je tedy hlavním úkolem zajistit správné zaměření a směr působení jako prvku, který spojuje všechny aspekty řízení informační bezpečnosti. Charakteristiky jakékoli politiky závisí na mnoha faktorech. To bývají zpravidla všeobecně popsány jako kultura organizace. Některé organizace mají silnou podporu vedení a řízení, které můţe mít za následek definici politik, které obsahují striktní definice příkazového charakteru. Příkladem můţe být vyţadování odhlášení z informačních systémů po ukončení pracovní doby. Jiné organizace pouţívají jemnější fráze přesvědčující všechny, jeţ jsou předmětem politiky a objasňující specifické části politiky a vyzívající k jejich
13
dodrţování. Bez ohledu na kulturu nebo styl řízení organizace je účelem politiky informační bezpečnosti pomáhat řídit rizika a zmírňovat je na přijatelnou úroveň. S růstem organizací se stávají předchozí metody komunikace bezpečnostní politiky méně efektivní. Současně roste i tlak legislativy a regulačních orgánů. Pro správné zajištění jejich poţadavků a identifikaci přínosů pro organizaci včetně zvýšení účinnosti a dalšího omezení rizik spojených s informační bezpečností je potřeba:
sníţit nesrozumitelnost politik informační bezpečnosti;
poskytnout jasný směr řízení a závazků;
zavést dohodnuté role a odpovědnosti Posouzení výše uvedených bodů poskytuje prostředky pro řízení nevyhnutelných
problémů, které se zpravidla objevují při procesu řízení informací. Toto problémy mohou být vyváţeny potřebou sdílet informace s ohledem na nutnost omezení přístupů k těmto informacím. Politika je výrazem vůle a je potřeba podporovat vznik dalších podřízených politik s ohledem na pragmatické postupy při řízení organizace. Obrázek 3 zachycuje příklad kompletního souboru politik vyuţívaných v organizaci.
Bezpečnost Organizační pracovní rámec
Třetí strany Přístupy do společnosti
Lidské zdroje HR politika
Aktiva Klasifikace a řízení
Směrnice
Společnost Politika informační bezpečnosti
Politika BCM
Postupy
Informace Klasifikace informací
Politika fyzické bezpečnosti
Řízení provozu
Politika kontroly přístupu
Procesy
Obrázek 3 Příklad kompletního souboru politik v organizaci Existuje mnoho termínů při popisu politiky informační bezpečnosti. Například v USA je běţně vyuţíván termín „politika― pro dokumenty, které jsou ve Velké Británii označována jako normy. Tato odlišnost terminologie můţe často vést k nedorozumění v rámci organizace působící současně na několika trzích.
14
V našich podmínkách vyuţíváme následující model terminologie:
podnikové politiky informační bezpečnosti;
konkrétní politiky;
normy/specifikace/standardy;
postupy. Firemní politika informační bezpečnosti stanovuje záměry a zásady týkající
se informační bezpečnosti. Mělo by se jednat o dokument, který bude nadčasového charakteru, coţ znamená, ţe bude politika informační bezpečnosti měněna pouze minimálně. Firemní politika informační bezpečnosti musí:
být jasná a jednoznačná;
obsahovat prohlášení týkající se: o rozsahu; o legislativní a regulační povinnosti; o role a odpovědnosti; o strategický přístup a principy; o přístup k řízení rizik; o postup v případě porušení politiky. Tato politika musí být schválena na nejvyšší organizační úrovni, například generálním
ředitelem, jednatelem nebo jiným statutárním orgánem. V případě specifických politik lze předpokládat, ţe jejich změny budou probíhat častěji neţ v případě firemní politiky informační bezpečnosti. Tyto politiky jsou detailnějšího charakteru, a proto musí jejich obsah efektivně reagovat na měnící se prostředí jak uvnitř organizace, tak i ve vztahu s okolím. Mezi zástupce těchto politik patří:
klasifikace informací;
řízení přístupu;
řízení provozu;
řízení incidentů;
fyzická bezpečnost;
lidské zdroje;
přístupy třetích stran;
řízení kontinuity provozu.
15
Bezpečnostní standardy poskytují návod vedoucí k definování a přípravě specifických politik a jsou často spojené s konkrétní technologií či sluţbou. Velmi často jsou pouţívané jako reference pro účely auditu a vycházejí zpravidla z:
zkušenosti;
best practice;
interní testování;
podnikatelské prostředí;
výzkum. Vývoj norem jako takových je nutné sledovat, jelikoţ obsahují odraz aktuálních
problémů informační bezpečnosti, jejich předcházení a odstraňování. Postupy jsou definovanou posloupností kroků či proces, které slouţí pro jasné definování, jak lze docílit určitého cílového stavu. Kaţdý postup by měl být:
jasný;
jednoznačný;
proveditelný;
aktuální;
testovaný;
zdokumentovaný. Kaţdá politika, která je v organizaci vytvořena by měla mít určitý zavedený
harmonizovaný formát, aby bylo moţné se v kaţdé z těchto politik dobře orientovat. To platí jak pro firemní politiku informační bezpečnosti, tak i pro všechny ostatní politiky a postupy, které z politiky informační bezpečnosti vycházejí. Obecně zavedený formát těchto dokumentů je následující:
název politiky – identifikace politiky;
shrnutí účelu politiky – jednoduché a stručné shrnutí účelu politiky, které umoţní čtenáři rychle pochopit účel a působnost;
číslo verze a změnový list – slouţí pro zajištění komunikace vţdy poslední aktuální platné verze;
úvod;
definice – definice převáţně technických termínů mající vztah k politice a mající specifický význam v kontextu informační bezpečnosti; 16
oblast působnosti – definuje skupinu zainteresovaných osob, na které se konkrétní politika vztahuje;
definice orgánů včetně legislativních a regulačních – identifikuje oblast autorit, které mají na politiku vliv, tedy vedení organizace, legislativa a regulátoři;
cíle a základní principy – kaţdá politika by měla obsahovat soubor cílů, na které se politika vztahuje a které pomáhají definovat zásady, se kterými se pracuje;
role a odpovědnosti – role a povinnosti se vztahují na oblast působnosti politiky;
politiky – část slouţící k popisu a komunikaci konkrétní politiky;
další sdělení – zde se nejčastěji uvádí reference na další politiky, které jsou touto politikou ovlivněny nebo které ovlivňují tuto politiku.
1.4. Klasifikace aktiv Jedním z kroků zavádění informační bezpečnosti v organizaci je vytvoření seznamu aktiv, která vyţadují ochranu. Taková aktiva jsou následně posouzena z hlediska rizika, klasifikována a zabezpečena. Obrázek 4 zachycuje zjednodušený princip nakládání s aktivy.
inventarizace aktiv
charakteristika a rizika aktiv
klasifikace aktiv
řízení ochrany aktiv
Obrázek 4 Nakládání s aktivy Má-li být řízení informační bezpečnosti komplexní, je důleţité, aby inventarizace aktiv byla více méně úplná. Nelze přesně definovat obecnou strukturu, která by obsáhla všechna aktiva. Vţdy záleţí na konkrétní organizaci, v rámci které je nutné přizpůsobit inventární seznam konkrétním potřebám. To samozřejmě souvisí i s výchozím bodem inventarizace. Je obecně známým faktem, ţe nejvíce ceněným aktivem v organizaci jsou informace. Proto se často v tomto ohledu hovoří jako o informačních aktivech. V rámci ISO/IEC 27000 jsou aktiva definována jako aktiva čistě informační, aktiva neinformační nebo také aktiva fyzická a lidské zdroje [5].
17
1.4.1.
Informační aktiva
Informační aktiva mohou být dále rozdělena na digitální data, hmotný majetek, dlouhodobý nehmotný majetek, aplikační software a operační systémy. Z pohledu klasifikace informačních aktiv lze rozlišovat tato aktiva jako:
důvěrné/citlivé – únik takových aktiv mimo organizaci můţe mít za následek velké finanční ztráty; přístup k takovým aktivům musí být zajištěn na principu oprávněnosti osoby, tzn., ţe existuje přesně definovaná skupina osob, která můţe s aktivy manipulovat; v případě poskytnutí aktiva třetí osobě, musí být těmito osobami podepsána smlouva o utajení; za důvěrná aktiva jsou povaţována zejména ta aktiva, na která se vztahuje povinnost mlčenlivosti dle zvláštních předpisů; těmito zvláštními právními předpisy jsou zejména zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů a zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů; důvěrnými aktivy jsou také taková aktiva, která jsou předmětem obchodního tajemství organizace;
interní – pokud dojde k úniku takových aktiv, bude to mít za následek zanedbatelné finanční ztráty. Zveřejnění takových aktiv nesmí způsobit váţné poškození organizace a přístup k takovým aktivům je zpravidla poskytován všem zaměstnancům organizace nebo třetím stranám;
veřejné – nedostupnost aktiva nebude mít ţádné negativní efekt; pokud takové aktivum unikne mimo organizaci, nezpůsobí takový únik organizaci ţádnou ztrátu; veřejná informační jsou zpravidla označena jako firemní komunikace a schválena příslušným oddělením; na tyto aktiva nejsou kladeny ţádné poţadavky z pohledu jejich zpracování. Na informační aktiva je nutné nahlíţet i z pohledu atributů informační bezpečnosti.
Tedy na jejich důvěrnost, integritu a dostupnost. Důvěrnost informačních aktiv se vztahuje k ochraně aktiv před neoprávněným zveřejněním. Dopad neoprávněného zveřejnění důvěrných informačních aktiv můţe být různý pro aktiva týkající se organizace nebo osobních údajů jak zaměstnanců, tak i zákazníků. Proto je definována povinnost mlčenlivosti:
nízká – informační aktiva nemající povahu důvěrných informačních aktiv; únik takových aktiv nemůţe poškodit organizaci; příkladem mohou být tiskové 18
zprávy, firemní broţury a letáky nebo informace zveřejněné na internetových stránkách;
střední – informační aktiva týkající se organizace, které nejsou zpřístupněna veřejně a mají povahu interních dokumentů; neoprávněné zveřejnění můţe vést k poškození organizace; příkladem můţe být projektová dokumentace, interní telefonní seznam, atd.;
vysoká – informační aktiva, která jsou velmi citlivá nebo osobního charakteru; zaměstnanci jsou povinni dodrţovat pravidla ochrany takových aktiv a jsou tedy povinni
postupovat
tak,
aby
nedošlo
k neoprávněnému
nakládání
s takto
klasifikovanými aktivy; neoprávněné nakládání můţe závaţným způsobem poškodit organizaci; příkladem mohou být informace o cenách, fúze a akvizice, marketingové strategie a informace o zákaznících. Integrita informačních aktiv odkazuje na úplnost a přesnost informací. Ke ztrátě integrity dojde, pokud je informace neoprávněně změněna. Tato změna můţe být provedena úmyslně nebo neúmyslně. Pokud není integrita informačního aktiva opět obnovena, můţe mít vyuţívání obsaţených informací za následek nepřesnosti či chybná rozhodnutí. Míra porušení integrity můţe být rozdělena do následujících skupin:
nízká – v případě porušení integrity informačních aktiv je zde minimální nebo ţádný dopad na fungování organizace;
střední – v případě porušení integrity informačních aktiv je zde výrazný dopad na organizaci;
vysoká – porušení integrity informačních aktiv je zcela nepřípustné. Dostupnost informačních aktiv definuje, jak rychle jsou v případě ztráty poţadované
informace potřeba. Obecné zásady pro stanovení kritérií dostupnosti informačních aktiv lze definovat jako:
nízká – minimální dopad na organizaci v případě, ţe nejsou informační aktiva dostupná aţ 7 dní;
střední – v tomto případě je značný dopad na organizaci a podnikání, pokud nejsou informační aktiva dostupná do 48 hodin;
vysoká – informační aktiva jsou bezpodmínečně potřeba na bázi 24x7; jejich ztráta je tedy nepřípustná.
19
1.4.2.
Neinformační aktiva
V případě neinformačních aktiv jsou tato aktiva vyuţívána pro vytváření, zpracování a uloţení informace. Tato aktiva musí být identifikována a oceněna za účelem vyhodnocení jejich potřeby v rámci příslušných obchodních procesů. Ocenění aktiv, které nejsou informačními aktivy, jako je software, hardware a sluţby, se provádí na základě různých kritérií pro určené skupiny těchto fyzických aktiv. I na neinformační aktiva je nutné nahlíţet z pohledu atributů informační bezpečnosti. Tedy na jejich důvěrnost, integritu a dostupnost. Důvěrnost neinformačních aktiv je takovým faktorem, který dané aktivum v konkrétních procesech organizace zabezpečuje. Lze definovat několik moţností pro rozlišení důvěrnosti neinformačních aktiv:
nízká – informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má nízké poţadavky na důvěrnost;
střední – informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má stupeň důvěrnosti identifikován jako střední;
vysoká – informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má v rámci podnikových procesů identifikován nejvyšší stupeň důvěrnosti. Integrita neinformačních aktiv určuje bezpečnost a spolehlivost jednotlivých aktiv
figurujících ve specifických obchodních procesech dle poţadavku na integritu informací. Poţadavky na integritu neinformačních aktiv:
nízké – závislost a spolehlivost sluţeb poskytujících konkrétní aktivum vzhledem k obchodním procesům je nízká; informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má poţadavky na stupeň důvěrnosti nízký;
střední - závislost a spolehlivost sluţeb poskytujících konkrétní aktivum vzhledem k obchodním procesům je střední; informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má střední stupeň poţadavků na důvěrnost;
vysoké - závislost a spolehlivost sluţeb poskytujících konkrétní aktivum vzhledem k obchodním procesům je vysoká; informace, která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva má vysoký stupeň poţadavků na důvěrnost. 20
Dostupnost neinformačních aktiv se opět určuje na základě dopadu nedostupnosti aktiva v rámci organizace a podnikových procesů. Tato nedostupnost můţe dosahovat následujících stupňů:
nízký – vliv na dostupnost informačních aktiv v rámci podnikových procesů a informace která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva je nízká;
střední - vliv na dostupnost informačních aktiv v rámci podnikových procesů a informace která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva je střední;
vysoká - vliv na dostupnost informačních aktiv v rámci podnikových procesů a informace která je vytvořena, zpracována nebo uchována za pomoci neinformačního aktiva je vysoká. Neinformační aktiva jsou dále klasifikována dle následujících skupin:
A. IT aktiva (hardware): i.
servery;
ii.
kritické desktopy;
iii.
notebooky, mobilní komunikační zařízení;
iv.
ostatní desktopy;
B. síťové komunikační vybavení: i.
přepínače, směrovače;
ii.
firewally;
iii.
pronajaté datové okruhy;
iv.
telefonní ústředny;
C. software, nástroje: i.
operační systémy;
ii.
aplikace;
iii.
softwarové nástroje;
iv.
databáze;
D. média: i.
záloţní média – data;
ii.
záloţní média – OS, aplikace, softwarové nástroje;
iii.
pracovní kopie – OS, aplikace, softwarové nástroje; 21
iv.
záloţní média – zdrojové kódy;
v.
archivní média;
E. podpůrné sluţby:
1.4.3.
i.
napájení;
ii.
klimatizace;
iii.
systém ochrany objektů;
iv.
poţární systém;
v.
voda;
vi.
přístupový systém;
vii.
únikové cesty,
Lidské zdroje
Informační aktiva jsou v rámci organizace zpřístupněna zaměstnanců, stejně jako osobám mimo organizaci, které tato aktiva vyuţívají pro plnění obchodních vztahů. Proto je potřeba identifikovat a popsat všechny osoby, které s takovými aktivy manipulují nebo manipulovat mohou. Analýzu poţadavků konkrétních osob z pohledu informačních aktiv musí provést vlastník příslušného podnikového procesu. Definované lidské zdroje mohou být zaměstnanci, kontraktoři nebo dodavatelé a jejich zaměstnanci. I na lidské zdroje je z pohledu informační bezpečnosti nahlíţeno jako na aktiva s jejich vlastními atributy informační bezpečnosti. Důvěrnost:
nízká – přístup k informačním aktivům neohrozí zájmy a fungování organizace; z pohledu rolí uvnitř organizace a třetích stran jsou tato aktiva klasifikována jako veřejná;
střední – přístup k informačním aktivům je omezen a informační aktiva jsou identifikována jako interní;
vysoká – v tomto případě jsou informační aktiva dostupná pouze velmi omezené skupině osob a jejich klasifikace je důvěrné nebo citlivé.
Integrita:
nízká – narušení bezpečnosti osobou, které je přiřazena role, neovlivní fungování organizace nebo podnikatelskou činnost; informační aktivum je klasifikováno jako veřejné nebo interní;
22
střední – narušení bezpečnosti osobou, které je přiřazena určitá role, má mírný vliv na podnikatelskou
činnost;
informační
aktivum
je
klasifikováno
jako veřejné
nebo interní;
vysoká - narušení bezpečnosti osobou, které je přiřazena určitá role, má zásadní vliv na fungování organizace nebo podnikatelskou činnost; informační aktivum je klasifikováno jako důvěrné nebo citlivé.
Dostupnost:
nízká – nedostupnost osoby, které je přiřazena konkrétní role nemá vliv na fungování organizace nebo podnikatelskou činnost;
střední - nedostupnost osoby, které je přiřazena konkrétní role má mírný vliv na fungování organizace nebo podnikatelskou činnost;
vysoká - nedostupnost osoby, které je přiřazena konkrétní role má zásadní vliv na fungování organizace nebo podnikatelskou činnost. Jak je z popisu klasifikace jednotlivých typů aktiv, tedy informačních, neinformačních
i lidských zdrojů, patrné, všechny typy aktiv spolu navzájem souvisí, jelikoţ se vyskytují ve všech fázích ţivotního cyklu informace v rámci informační bezpečnosti.
2. Normy a legislativa V současném globálním světě jiţ není moţné v řadě oborů spoléhat na vlastní zkušenosti a zkušenosti pracovníků pracujících v podniku při sestavování jasných a fungujících pravidel. Tím více toto platí v souvislosti s informační bezpečností, kde je důleţitá harmonizace v rámci místní legislativy, tak i v rámci integrace do EU. Existuje proto mnoţství specifických poţadavků a doporučení, která je nutné vzít za vlastní. Ve spolupráci s evropskými normalizačními institucemi byly vyvinuty normy a legislativa, kterými se musí kaţdý subjekt realizující informační bezpečnost řídit. Specifické normy také slouţí i jako metrika zaručující srovnatelnost implementace mezi jednotlivými podniky. Měly by ale také zaručit stejný pohled několika nezávislých konzultantů či auditorů na stejný podnik. Pro oblast informační bezpečnosti byla organizací ISO (International Organization for Standardization), která řídí proces vydávání norem, rezervována série ISO/IEC 27000. Tato rodina norem se v rámci integrovaného systému řízení postupně propojuje s rodinami 23
norem pro řízení jakostí, tedy ISO/IEC 9000, a systému řízení vztahu k okolí, ISO/IEC 14000. Kaţdá z norem je označena číslem a rokem jejího vydání. Normy ISO bývají v ČR přebírány jako ČSN. Vedle norem vydávaných pro oblast informační bezpečnosti organizací ISO jsou zde i další subjekty, plnící stejnou úlohu. Příkladem můţe být standardizační institut USA NIST se svými dokumenty. Informační bezpečností se ale zabývá také český NBÚ, německý BSI nebo NATO. Tyto organizace také vydávají vlastní standardy, které jsou však platné pouze územně.
2.1. Historie norem pro řízení informační bezpečnosti Na počátku roku 1990 byla ve Velké Británii zřízena pracovní skupina, která vytvořila soubor postupů řízení informační bezpečnosti. V roce 1995 byl tento dokument vydán jako britský standard BS 7799. Následně došlo v roce 1999 k vytvoření druhé verze s názvem BS 7799-1:1999. Roku 2000 byl standard akceptován organizací
ISO a vydán
jako ISO/IEC 17799. Roku 2005 byl standard ISO/IEC 17799 přepracován a přejmenován na ISO/IEC 2002:2005. Ještě téhoţ roku byl vydán i ISO/IEC 27001:2005, který definuje poţadavky na řízení informační bezpečnosti a vychází z BS 7799-2:2002.
2.2. Normy pro řízení informační bezpečnosti Obrázek 5 zobrazuje hierarchii rodiny norem ISO 27000. Jak je moţné pozorovat, sestává se ze čtyř částí. První část představuje standardy obsahující přehled a terminologii vyuţívanou v ISO/IEC 27000. Zde je uveden pouze standard ISO/IEC 27000. Část druhá definuje standardy obsahující závazné poţadavky vyuţívané při certifikacích. Zástupci jsou ISO/IEC 27001 a ISO/IEC 27006.1 Základní generické směrnice obsahuje část třetí, kde nalezneme standardy pro implementaci, audit, řízení rizik anebo i vyuţívané metriky. V části poslední jsou standardy vyuţívané pro specifickou oblast, tedy například telekomunikace a zdravotnictví. Ve stádiu vývoje jsou specifické standardy pro automobilový průmysl a loterie.
1
Tyto standardy jsou označovány jako normativní. O ostatních se hovoří jako o standardech informativních.
24
Terminologie
Základní požadavky
27000 Přehled a vysvětlení termínů
27006 Požadavky na certifikaci
27001 Požadavky
27007 Směrnice pro audit
Základní směrnice
27002 Soubor postupů
27005 Řízení rizik
27003 Implementační směrnice
Specifické směrnice
27004 Metriky
27035 Řízení incidentů
27011 Telekomunikace
27799 Zdravotnictví
27034 Aplikační bezpečnost
Další připravované standardy
Obrázek 5 Rodina norem pro řízení informační bezpečnosti [5] Norma ISO/IEC 27000:2009 Overview and vocabulary, česky Přehled a slovník, vysvětluje terminologii provázející veškeré specifikace ISO/IEC 27000. Tato terminologie je adaptována i dalšími pracemi, jako CobiT nebo ITIL z důvodu předejití nepochopení při popisu souvislostí. Klíčovou normou se stala ISO/IEC 27001:2005, která nese název Information security management system – Requirements, česky Systém řízení bezpečnosti informací – Poţadavky. Jak jiţ bylo uvedeno, vychází z BS 7799-2 a obsahuje formální soubor specifikací, které slouţí pro nezávislou certifikaci podniku v rámci systému řízení informační bezpečnosti. ISO/IEC 27001 specifikuje poţadavky na zřízení, implementaci, monitorování a přezkoumání, udrţování a zlepšování systému řízení, tedy celkový rámec řízení a kontroly pro řízení rizik informační bezpečnosti uvnitř podniku. Standard se vztahuje na všechny typy organizací, např. obchodní společnosti, vládní agentury a neziskové organizace, všech velikostí. Informační bezpečnost je řízena reţimem neustálého zlepšování. ISO/IEC 27001 proto obsahuje několik PDCA cyklů. 25
Druhou neméně důleţitou normou je ISO/IEC 27002:2005 Code of practice for information security management, česky Soubor postupů pro řízení bezpečnosti informací, vycházející
z BS 7799-1:1999,
tedy ISO/IEC
17799. Standard
obsahuje mnoţství
bezpečnostních opatření, kterými se řídí celosvětově velké mnoţství organizací. Obsahem je 11 kategorií bezpečnosti, které jsou dále rozděleny do 39 cílů opatření:
bezpečnostní politika;
organizace bezpečnosti;
klasifikace a řízení aktiv;
bezpečnost lidských zdrojů;
fyzická bezpečnost a bezpečnost prostředí;
řízení komunikací a řízení provozu;
řízení přístupu;
vývoj, údrţba a rozšíření informačního systému;
zvládání bezpečnostních incidentů;
řízení kontinuity činností organizace;
soulad s poţadavky. Norma dále obsahuje 133 základních opatření, které jsou reprezentovány stovkami
dalších bezpečnostních opatření. Návodem na implementaci ostatních norem se stala ISO/IEC 27003:2010 Information security management system implementation guidance, česky Směrnice pro implementaci systému řízení bezpečnosti informací. Popisuje proces specifikace ISMS a design plánů realizace projektu, který zahrnuje přípravu a plánování činností před vlastní realizaci, a zabývá se klíčovými prvky, jako řízení schválení a svolení k realizaci projektu, hodnocení a vymezení rizik informační bezpečnosti, projektování systému řízení informační bezpečnosti a plánování realizace projektu. BSI během posledních let publikoval několik podobných návodů k implementaci známých jako BSI/DISC PD 3001-3005, které jsou do dnešní doby vyuţívány jako efektivní příručka pro celý ţivotní cyklus projektů zahrnujících BS 7799. ISO/IEC 27004:2009 Information security management measurements, v překladu Měření účinnosti řízení bezpečnosti informací, je pro organizace pomůckou k měření a prezentaci efektivity jejich systémů řízení bezpečnosti informací, zahrnující řídící procesy definované v ISO/IEC 27001 a opatření z ISO/IEC 27002. Obsahem standardu je přehled měření informační bezpečnosti, odpovědnost za řízení, definice jednotlivých metrik a jejich měření a dále následná analýza dat a vyhodnocování výsledků měření. 26
ISO/IEC 27005:2011 Information security risk management, česky Řízení rizik bezpečnosti informací, poskytuje doporučení a techniky pro analýzy informačních rizik. Jejím základem jsou revize dříve vydaných norem ISO/IEC TR 13335-3:1998, ISO/IEC TR 133354:2000 a vyuţití některých pasáţí BS 7799-3. ISO/IEC 27006:2007 Requirements for the accreditation of bodies providing audit and certification of information security management systems, česky Poţadavky na akreditaci osob poskytujících audit a certifikaci systémů řízení bezpečnosti informací, poskytuje doporučení určená akreditovaným certifikačním autoritám. Týká se zejména průběhu certifikace systému řízení informační bezpečnosti a doplňuje poţadavky obsaţené v ISO/IEC 17021 a ISO/IEC 27001. ISO/IEC
27011:2008
Information
security
management
guidelines
for telecommunications organizations based on ISO/IEC 27002, česky Řízení informační bezpečnosti pro telekomunikační organizace zaloţené na základě ISO/IEC 27002, je norma připravená současně s ITU, kde nese označení ITU-T X.1051. Tato norma je zaloţena na normách ISO 9001:2000 (Quality management systems – Requirements), ISO 14001:1996 (Environmental
management
systems
–
Specification
with
guidance
for
use),
ISO/IEC 17799:2000/27002 (Information technology – Code of practice for information security management), BS 7799-2:2002/ISO/IEC 27001 (Information Security Management Systems – Specification with Guidance for use) a doporučeních ITU-T Recommendation X.800 (Security architecture for Open Systems Interconnection for CCITT applications), ITUT Recommendation X.805 (Security architecture for systems providing end-to-end communications). ISO/IEC 27011:2008 přidává k ISO/IEC 27002 1 další cíl opatření a 13 základním opatření. ISO/IEC 27031:2011 Guidelines for information and communications technology readiness for business continuity, česky Pravidla pro informační a komunikační technologii – zajištění kontinuity provozu, obsahuje procedury a metody BCM pouţitelné ve všech organizacích s identifikací jejich významných aspektů a způsobů měření. ISO 27799:2008 Health informatics — Information security management in health using ISO/IEC 27002, česky Řízení informační bezpečnosti ve zdravotnických zařízeních dle ISO/IEC 27002, obsahuje doporučení pro implementaci ISO/IEC 27002 a nejlepší praktiky pro řízení bezpečnosti informací ve zdravotnictví. V současné době jsou připravovány další ISO/IEC normy doplňující rodinu norem pro systém řízení informační bezpečnosti: ISO/IEC 27007 Guidelines for information security management systems auditing 27
ISO/IEC TR 27008 Guidelines for auditors on information security management systems controls ISO/IEC 27010 Information security management for intersector and interorganisational communications ISO/IEC 27013 Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001 ISO/IEC 27014 Governance of information security ISO/IEC 27015 Information security management guidance for financial services ISO/IEC TR 27016 Organizational economics ISO/IEC 27032 Guidelines for cybersecurity ISO/IEC 27033 Network security ISO/IEC 27034 Application security ISO/IEC 27035 Information security incident management ISO/IEC 27036 Information security for supplier relationships ISO/IEC 27037 Guidelines for identification, collection and/or acquisition and preservation of digital evidence ISO/IEC 27038 Specification for digital redaction ISO/IEC 27040 Storage security Kromě standardů rodiny ISO/IEC 27000 existují i další normy, které se například zabývají problematikou soukromí, jakou je ISO/IEC 29000. Pro audit bezpečnosti IT je pouţívána norma ISO/IEC 154408 Evaluation criteria for IT security. Tato norma je často vyuţívána při certifikaci operačních systémů. Normy německého bezpečnostního úřadu BSI: BSI Standard 100-1 Information Security Management Systems (ISMS) BSI-Standard 100-2 IT-Grundschutz Methodology BSI-Standard 100-3 Risk Analysis based on IT-Grundschutz BSI-Standard 100-4 Business Continuity Management Normy standardizačního úřadu USA – NIST: SP 800-30 Risk Management Guide for Information Technology Systems SP 800-146 Cloud Computing Synopsis and Recommendations SP 800-145 A NIST Definition of Cloud Computing 28
SP 800-132 Recommendation for Password-Based Key Derivation SP 800-127 Guide to Securing WiMAX Wireless Communications SP 800-126 The Technical Specification for the Security Content Automation Protocol SP 800-125 Guide to Security for Full Virtualization Technologies SP 800-123 Guide to General Server Security
2.3. Legislativa v České republice a Evropské unii O normy vydávané normalizačními organizacemi a národními bezpečnostními úřady se opírá celá řada zákonů a vyhlášek jak v České republice, tak i Evropské unii. Legislativa ČR: ústavní zákon č. 110/1998 Sb., o bezpečnosti ČR; zákon č. 148/1998Sb., o ochraně utajovaných skutečností; zákon č. 106/1999 Sb., o svobodném přístupu k informacím; zákon č. 101/2000 Sb., o ochraně osobních údajů; zákon č. 227/2000 Sb., o elektronickém podpisu; zákon č. 365/2000 Sb., o informačních systémech veřejné správy; zákon č. 480/2004 Sb., o některých sluţbách informační společnosti; zákon č. 499/2004 Sb., o archivnictví a spisové sluţbě; zákon č. 127/2005 Sb., o elektronických komunikacích; zákon č. 412/2005 Sb., o utajovaných informacích; usnesení vlády c. 624 z 20. 6. 2001, o pravidlech, zásadách a způsobu zabezpečování kontroly uţívání počítačových programů; vyhláška NBÚ 56/1999 Sb., o zajištění bezpečnosti informačních systému nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náleţitostech certifikátu.
Legislativa EU: směrnice rady 1991/250/EHS, o právní ochraně počítačových programů; směrnice 1995/46/ES, o ochraně osobních dat; směrnice 1997/66/ES, o ochraně dat v telekomunikacích; směrnice 1999/93/ES, o zásadách Společenství pro elektronické podpisy; nařízení 2001/45/ES, o ochraně fyzických osob při zpracování osobních údajů orgány a institucemi; 29
směrnice rady 2001/264/EC, o ochraně utajovaných informací; směrnice 2002/58/ES, o zpracování osobních údajů a ochraně soukromí.
3. Analýza a řízení rizik Organizace řešící informační bezpečnost musí dobře porozumět rizikům spojených s jejich podnikáním a současně musí rozvíjet oblasti související s řízením rizik a jejich hodnocením. Proces řízení umoţňuje určit konkrétní hrozby, zranitelnosti a dopady a určit příslušná nápravná opatření pro jejich detekci a nápravu. Je potřeba se ujistit, ţe rizika související s příslušnými procesy a programy jsou správně koordinovány. Tato koordinace probíhá napříč obnov při haváriích, plánování kontinuity podnikání a řízením podnikatelských rizik. Je zpravidla nutné vybrat techniky vyhodnocování rizik, které splňují konkrétní poţadavky. Řízení rizik je neustálý proces identifikace, sledování a výběru vhodných opatření pro omezení rizik v organizaci. Vzhledem k tomu, ţe se informační bezpečnost stala nedílnou součástí podnikání, musí být proces řízení rizik aplikováno i na správu majetku a administrativu spojenou s firemními procesy. Informační bezpečnost má dnes hlavní odpovědnost při hodnocení, komunikaci a zmírnění rizik. Informační bezpečnost musí při přechodu ze starého řízení ochrany informační bezpečnosti organizace, kde se řízení rizik informační bezpečnosti oddělovalo od například finančních a HR procesů, na nový systém, dělat při vědomí zbytkového rizika nejrůznější kompromisy. Organizace musí brát v úvahu, ţe se nelze chránit před veškerými potencionálními riziky a podle toho se náleţitě rozhodovat. Pro mnoho organizací je však toto rozhodování velkým problémem a obtíţně se jej dosahuje. Přístupy k řízení rizik jsou cílem a předmětem výzkumu a specifikováním například CobiT, ISO nebo NIST a vydávané dokumenty jsou brány jako reference pro posuzování shod nejrůznějšími regulátory. Proces řízení rizik můţe být vyuţíván organizacemi k výkonu správy integrity a shod se strategií řízení podnikatelských rizik a dále můţe slouţit k ospravedlnění výdajů so informační bezpečnosti. Informační bezpečnost v organizaci musí být zapojena do posuzování rizik v rámci stávajícího IT, tak i při nasazování nových aplikací a systémů. Kromě toho musí informační bezpečnost zajistit koordinaci IT rizik souvisejícími s programy, jakými jsou plánování kontinuity podnikání nebo disaster recovery. Řízení rizik se stává důleţitým aspektem a součástí informační bezpečnosti a jeho nasazování je moţné sledovat u stále většího počtu organizací. Metody řízení rizik, které nejsou součástí klíčových kompetencí specialistů na informační bezpečnost, můţe vést 30
k nejednotnému chápání řízení rizik, terminologie a souvisejících procesů. Jistou překáţkou můţe být nedostatek znalostí při uplatňování metod hodnocení rizik, stejně jako matoucí vyuţívání těchto metod a nástrojů. Obrázek 6 ukazuje zjednodušený proces řízení rizik.
hodnocení rizik
zmírnění nebo přijetí
komunikace rizik
Obrázek 6 Zjednodušený proces řízení rizik Hodnocení rizik se zaměřuje na shromaţďování, analýzu a hodnocení informací o riziku tak, aby bylo moţné rozhodnou o jeho eliminaci. Po té, co jsou rizika identifikována, je vyhodnocena pravděpodobnost výskytu a jejich vliv na informační bezpečnost v organizaci. Pravděpodobnost výskytu a jeho závaţnost je u kaţdého rizika rozdílná. Jiný je také i jejich vliv na organizaci. Míra ohroţení a náklady se liší v celém rozsahu rizika a tyto parametry mohou být rozdílné pro různé divize či lokality. Hodnocení rizik se skládá z analýzy rizik a jejich hodnocení. Analýza vyuţívá známých hrozeb a zranitelností, ale také zpracovává informace o aktivech. Hodnocení porovnává dané riziko s předem stanovenými kritérii. Toto hodnocení můţe být kvalitativního nebo kvantitativného rázů a provedeno automatickými nebo manuálními metodami [9]. Jakmile jsou rizika identifikována a stanoveny jejich priority, musí být přijata vhodná opatření na jejich odstranění nebo zmírnění. V některých případech jsou z pohledu podnikání rizika akceptována. Pro kaţdé jednotlivé riziko musí organizace zváţit několik základních moţností:
přijetí rizika – pokud je výskyt rizika nepravděpodobný nebo jeho vliv minimální, můţe organizace rozhodnout, ţe bude nést v případě potřeby náklady spojené s obnovou;
zabránění riziku – pokud jsou náklady na obnovu a pravděpodobnost výskytu rizika velké, pracuje se na aktivitách spojených s předejitím rizikové situaci.
přenos nebo sdílení rizika – pokud je riziko součástí podnikání organizace, můţe být riziko převedeno nebo sdíleno na základě pojištění nebo dohod s dalšími organizacemi;
zmírnění rizika – riziko můţe být součástí podnikání a je nutné zavést systémy pro sníţení dopadu rizika; 31
ignorování rizika – vědomé ignorace rizika je pro organizaci nebezpečné. V tomto případě nejsou vyvíjeny ţádné aktivity spojené s konkrétním rizikem.
Řízení rizik musí být koordinováno přes mnoho organizačních jednotek, protoţe výskyt rizika můţe ovlivňovat i další oblasti organizace. Identifikovaná rizika musí být prioritou ve vztahu ke strategickým cílům organizace. Proto je nutná vhodná komunikace napříč organizací. Jak jiţ bylo zmíněno, hodnocení rizik můţe být kvantitativní nebo kvalitativní. Kvantitativní analýza přiřadí hodnotu ke kaţdému prvku rizika, například hodnotu aktiv, frekvenci výskytu, závaţnost zranitelnosti, dopad a kontrolu nákladů. Rizikové rovnice slouţí k určení celkového a zbytkového rizika a zpravidla poskytují informaci o ztrátě vztaţené k jednomu kalendářnímu roku. Nicméně, nelze zaručit přesnou návratnost investic, která je zaloţena na čistě kvantitativním přístupu. Tento přístup často vyţaduje pouţití kvalitativního nebo subjektivního vstupu. Kvalitativní přístup spojuje omezené kvantitativní údaje se zkušenostmi a osobním míněním. Kvalitativní analýza nevyţaduje pravděpodobnost dat a vyuţívá pouze odhad potenciální ztráty. Tento přístup se často pouţívá k popisu hrozeb a pravděpodobných ztrát. Výsledkem analýzy je zpravidla pořadí pravděpodobnosti a dopadu v relativním měřítku. Kvalitativní přístup je jednodušší a vyhodnocení rychlejší neţli v případě kvantitativního
platná rizika
nízká
Pravděpodobnost využití zranitelnosti
vysoká
hodnocení. Obrázek 7 zachycuje graf vyhodnocení konkrétních rizik.
zbytková rizika vysoký
nízký
Dopad
Obrázek 7 Vyhodnocení rizik 32
Z pohledu
informační
bezpečnosti
je
řízení
rizik
předmětem
normy
ISO/IEC 27005:2008, která definuje a zavádí metodologii řízení rizik do systému řízení informační bezpečnosti. Další pouţívanou metodologii je moţné nalézt v NIST SP 800-30.
4. Systém řízení informační bezpečnosti (ISMS) Informační bezpečnost jako taková nemůţe sama o sobě efektivně zastávat všechny úkoly v ochraně informací bez jejího řízení. Právě řízením informační bezpečnosti se zabývá systém řízení informační bezpečnosti (ISMS – Information Security Management System). Zásady budování a vyuţívání systému řízení bezpečnosti informací jsou zakotveny v normách ISO/IEC 17799 a ISO/IEC 27001:2005. Norma ISO/IEC 17799 vychází z britského standardu BS 7799, který se stal pro oblast informační bezpečnosti best practice, a později byla norma přejmenována na ISO/IEC 27002:2005. Se systémem řízení informační souvisí i následný audit a certifikace. Tyto procesy se řídí několika hlavními předpoklady, které jsou náleţitě popsány v příslušných dokumentech týkajících se ISO/IEC 27001:2005, standardu prohlášení o auditu č. 70 (SAS 70) typ I a II, Sarbanes-Oxley (SOX), standardu datové bezpečnosti platebních karet (PCI DSS) či FISMA. Příloha A obsahuje kompletní plán implementace systému řízení informační bezpečnosti dle ISO/IEC 27001.
4.1. Politika ISMS Politika ISMS je základní dokument, který definuje strategii podniku v oblasti ochrany informací. Obsahuje formulace jasné koncepce řešení informační bezpečnosti a vytváří základ pro tvorbu vnitřních norem, kterými mohou být bezpečnostní zásady a postupy, bezpečnostní standardy a směrnice a v neposlední řadě definuje chování všech účastníků. Těmito účastníky jsou jak uţivatelé, tak i správci, vedoucí pracovníci a samozřejmě často opomíjené třetí strany. Vedení podniku deklaruje bezpečnostní politikou svou strategii trvalého zajišťování informační bezpečnosti jako nedílné součásti všech řídících procesů. Politika systému řízení informační bezpečnosti bývá často velmi podobná politice informační bezpečnosti. Je zaloţena na několika základních pilířích. Jedním z nich je podniková strategie. Podniková strategie koncept chování organizace, dlouhodobý program a pojetí činnosti organizace včetně alokace jejích zdrojů potřebných k dosaţení předem definovaných záměrů. Kromě podnikové strategie jsou zde také poţadavky na informační
33
bezpečnost, bezpečnostní poţadavky obchodních partnerů a třetích stran a poţadavky legislativy. Obsahem politiky systému řízení bezpečnosti informací je několik kapitol. Definice informační bezpečnosti, její cíle, rozsah a důleţitost obsahuje elementární strategii informační bezpečnosti v organizaci. Informační bezpečnost musí být nutně podporována managementem organizace, proto je součástí politiky ISMS i deklarace o podpoře managementem. Jak jiţ bylo uvedeno, politika ISMS je zaloţena na poţadavcích legislativy, a právě tyto konkrétní poţadavky nebo jejich krátké shrnutí obsahuje i politika systému řízení bezpečnosti informací. Kromě podpory managementu jsou v systému zapojeny i další zainteresované osoby či strany se svojí vlastní odpovědností. Tato matice zainteresovaných a odpovědností se také
nalézá
v popisovaném
dokumentu.
Politika
ISMS
dále
obsahuje
kritéria
pro ohodnocování bezpečnostních rizik a systém pro reportování vzniklých bezpečnostních incidentů. V závěru mohou být uvedeny odkazy na další související dokumenty s politikou systému řízení informační bezpečnosti.
4.2. Model PDCA Podniková politika nebo také jiţ ustálené označení enterprise governance, tedy systém, v němţ podniky řídí a kontrolují, a IT governance, systém řízení IT, jsou navzájem velice provázané. Prakticky nenastane situace, kdy by oba systémy byly vzájemně oddělené. V této souvislosti došlo k zavedení tzv. PDCA cyklu, coţ je zkratka z počátečních písmen anglických slov plan-do-check-act, česky plánuj-dělej-kontroluj-jednej [7]. Tento koncept je obvykle pouţíván ve spojení se strukturovaným řešením problémů nebo neustálém zlepšování procesů. Cyklus PDCA je také označován jako Demingův cyklus. Systém řízení podniku i systém řízení IT musí být plánovány s jasně měřitelnými a konstruktivními ukazateli (P). Informace a případně informační systémy musí být dodány a vyuţívány (D), informace odebrané na výstupu je nutné zkontrolovat (C) a odchylky jsou následně přezkoumány a korigovány (A). Obrázek 8 zachycuje celý cyklus.
34
P - plánuj ustanovení ISMS
Zainteresované strany
A – jednej udržování a zlepšování ISMS
Zainteresované strany
D - dělej zavádění a provoz ISMS
C – kontroluj monitorování a přezkoumání ISMS
Požadavky Očekávání Legislativa
Řízení ISMS
Obrázek 8 PDCA cyklus rozšířený o prvky ISMS V případě, ţe má být celý systém řízení informační bezpečnosti správně implementován a posléze i certifikován, je moţné vycházet z doporučení a postupů navrţených ISO27k fórem. Tyto doporučení jsou součástí tzv. ISO27k toolkitu, který je moţné bezplatně získat z internetových stránek ISO27001security.com. Toolkit obsahuje více neţ 60 dokumentů zabývajících se implementací systému řízení informační bezpečnosti včetně jeho pozdější certifikace a popisuje kompletně celý PDCA cyklus.
Ustanovení ISMS
4.2.1.
Ustanovení ISMS je první fází PDCA cyklu, jejímţ úkolem je definice rozsahu, politiky a systematického přístupu k ohodnocení rizik. Obrázek 9 zachycuje celý proces ustanovení fáze systému řízení informační bezpečnosti. Vedle několika úkolů je moţné pozorovat i mnoţství dokumentů, které jsou výstupem této fáze. ISO/IEC 27001
ISO/IEC 27002
Politika ISMS
Metody hodnocení rizik
Výstup z hodnocení rizik Prohlášení o aplikovatelnosti
Získání podpory vedení
Definice rozsahu ISMS
Identifikace informačních aktiv
Definice metod hodnocení rizik
Vyhodnocení rizik
Příprava plánu zvládání rizik Rozsah ISMS CMDB
Obrázek 9 Proces ustanovení ISMS 35
Zajištění plné podpory vedení organizace často naráţí na nedostatečné povědomí o výhodách plynoucích z nasazení ISMS dle ISO/IEC 27001. V tomto kroku plánování systému řízení informační bezpečnosti je potřeba přesvědčit vedení o těchto výhodách, podpořených doporučeními a návody uvedenými v ISO/IEC 27002, následované vysvětlením analýzy rizik a vytvořením obchodního případu zavedení ISMS. Definice rozsahu ISMS ukazuje, jaká oddělení či systémy budou pokryty systémem řízení informační bezpečnosti. Výstupem této definice je politika ISMS a dokument popisující konkrétní rozsah a dosah ISMS uvnitř organizace i v rámci třetích stran. Identifikace informačních aktiv slouţí pro vytvoření seznamu sítí, databází, datových entit, dokumentů, atp. Tento seznam se zpravidla nachází i konfigurační databázi (CMDB) a bývá vyuţíván jako výchozí zdroj obsahující kompletní aktiva organizace. S tímto seznamem následně pracuje krok definice hodnocení rizik a vyhodnocení rizik. Zde je vyuţito metod hodnocení rizik, jako například CRAMM, a připraveno prohlášení o aplikovatelnosti systému řízení informační bezpečnosti a současně připraven plán zvládání v případě ohroţení informační bezpečnosti. Vyhodnocení rizik je vstupem pro vyhodnocení projektu vedením organizace a následný souhlas vedení s navrhovanými zbytkovými riziky a oprávnění k zavedení a provozu ISMS.
4.2.2.
Zavádění a provoz ISMS
Po fázi ustanovení ISMS přichází fáze zavádění a provozu systému řízení informační bezpečnosti, jejíţ součástí je vytvoření plánu implementace ISMS a vlastní implementace skládající se v implementaci dílčích projektů, vytvoření plánu interního auditu, zavedení definovaných strategií do praxe, tvorba, případně aktualizace směrnice a procesů a budování povědomí o ISMS v rámci organizační struktury a definovaných rolí uvnitř organizace. Obrázek 10 zachycuje celý proces zavádění a provozu systému řízení informační bezpečnosti.
36
Prohlášení o aplikovatelnosti
Příprava plánu zvládání rizik
Implementace ISMS Plán projektu Vytvoření plánu implementace ISMS
Projektový plán
Plán projektu Vytvoření plánu interního auditu ISMS
Projektový plán Procedury interního auditu ISMS
Metriky informační bezpečnosti
Seznam preventivních opatření
Procedury řízení provozu ISMS
Procedury nápravných opatření
Dokumentace řízení zdrojů
Systém řízení informační bezpečnosti (ISMS)
CMDB
Obrázek 10 Proces zavádění a provozu ISMS Vytvoření plánu implementace ISMS navazuje na prohlášení o aplikovatelnosti a přípravy
plánu
zvládání
rizik.
Vzhledem
k rozsahu
ISMS
je
obecně
vhodné
při implementaci ISO/IEC 27002 rozdělit části tohoto standardu na individuální projekty, kaţdý se svým vlastním projektovým plánem. Výstupem této fáze je zavedení systému řízení informační bezpečnosti, vytvoření procedur pro provádění interního auditu ISMS, definice metrik informační bezpečnosti, vytvoření seznamu nápravných opatření pro zjištěná rizika včetně seznamu preventivních opatření, procedury zabezpečující vhodné řízení provozu ISMS a dokumentace řízení zdrojů. Vlastní nasazení a spuštění systému řízení informační bezpečnosti včetně vytvoření souvisejících politik, standardů, procedur a doporučení není jednorázová aktivita, ale je nutné zavést soustavné vyhodnocování relevantních aktivit. Informační bezpečnost se musí stát částí pracovní rutiny kaţdého zaměstnance. O prohloubení a udrţování povědomí o informační bezpečnosti a systému řízení informační bezpečnosti ve vztahu k podnikání organizace je potřeba zaměstnance vést, a to jak odbornými kurzy, tak i jinými firemními aktivitami.
37
Monitorování a přezkoumání ISMS
4.2.3.
Pro vyhodnocení shody s poţadavky při zavedení systému řízení informační bezpečnosti je nutné zajistit monitorování systému a provádění dalších souvisejících kontrol. Tyto kontroly jsou prováděny interními nebo externími auditory na přesně definované časové bázi.
Součástí
hodnocení
shody
implementace
je
přehodnocení
zbytkového
a akceptovatelného rizika s ohledem na změny týkající se změn v organizaci, legislativní změny nebo změny v poţadavcích regulačních orgánů. Obrázek 11 zobrazuje proces monitorování a přezkoumávání systému řízení informační bezpečnosti z pohledu PDCA modelu. K této fázi se vztahují úkoly hodnocení shody, předcertifikační hodnocení a certifikační audit. Systém řízení informační bezpečnosti (ISMS)
Provozní zaležitosti Hodnocení shody
Bezpečnostní logy
Výsledky auditů
IS politiky Standardy Procedury Doporučení
Náprava nesrovnalostí
Seznam preventivních opatření
Předcertifikační hodnocení
ISO/IEC 27001
Certifikační audit
Certifikát ISO/IEC 27001
Obrázek 11 Proces monitorování a přezkoumávání ISMS Pro účely provádění kontrol a auditů musí být o ISMS k dispozici dostatek informací. Tyto informace jsou získány na základě politik, standardů, procedur a doporučení, následně zpracovány a vyhodnoceny. Provozní informace mohou tvořit bezpečnostní logy z přístupových systémů, firewallů, konfigurační soubory ze získané síťové infrastruktury a výstupy z procesu hodnocení rizik. Ve stručnosti se jedná o evidenci všech činností a událostí, které mohou mít dopad na ISMS. Hodnocení shody má za úkol ověřit, zda je systém řízení informační bezpečnosti implementován dle původních propozic a návrhů a zajišťuje shodu jak s interními, tak i externími poţadavky. Tento úkol je zakotven v sekci 15 standardu ISO/IEC 27002.
38
Předcertifikační hodnocení, nebo také první úroveň certifikace systému řízení informační bezpečnosti se provádí po stabilizaci systému a poskytuje nezávislý pohled na fungování ISMS a pokrytí rozsahu definovaného v etapě plánovaní. Certifikační audit je nejpečlivější ověření ISMS s poţadavky ISO/IEC 27001. Výsledkem je výrok, který (a) potvrdí, ţe systém řízení informační bezpečnosti je implementován ve shodě s ISO/IEC 27001 v teoretické rovině a (b) systém je ve shodě s aktuálními praktickými poţadavky a pracuje dle definovaných poţadavků. Pokud dojde při kontrole shody ke zjištění jakýchkoli nedostatků, jsou tyto nedostatky následně odstraněny ve fázi udrţování a zlepšování ISMS.
4.2.4.
Udrţování a zlepšování ISMS
Poslední fází v celém cyklu PDCA je udrţování a zlepšování ISMS. Významem této fáze je vyhodnotit jak výsledky auditu a kontrol funkčnosti implementovaných bezpečnostních opatření, tak i samotného ISMS a dát podnět k nastartování dalšího cyklu PDCA, ve kterém budou naplánovány, implementovány, zkontrolovány a opět vyhodnoceny všechna
nápravná
a
preventivní
opatření.
Obrázek
12
obsahuje
poslední
fázi,
která je navázána na veškerá hodnocení systému řízení informační bezpečnosti. Systém řízení informační bezpečnosti (ISMS)
Hodnocení shody
Náprava nesrovnalostí
Seznam preventivních opatření
Předcertifikační hodnocení
Certifikační audit
Obrázek 12 Proces udrţování a zlepšování ISMS Proces udrţování a zlepšování ISMS pokračuje ve sladění mezi obchodními poţadavky, riziky a moţnostmi informační bezpečnosti. Společně se systémy řízení kvality přináší vedení organizací moţnost systematicky řídit procesy informační bezpečnosti.
39
Kromě zavádění identifikovaných moţností vylepšení ISMS obsahuje také provádění odpovídajících nápravných a preventivních opatření a slouţí k projednávání činností a výsledků se všemi zainteresovanými stranami.
4.3. Odpovědnosti, úlohy managementu a zaměstnanců Jak jiţ bylo několikrát zmíněno, systém řízení informační bezpečnosti musí mít rozsáhlou podporu vrcholového managementu, který má za úkol nejenom podporovat zavedení systému informační bezpečnosti, ale také spolupracovat na bezpečnostní politice organizace, zajišťování vytvoření bezpečnostních cílů, principů a plánů a v neposlední řadě musí být schopen vysvětlit základní principy informační bezpečnosti a zajistit správnou komunikaci a rozšiřování povědomí o informační bezpečnosti v rámci konkrétní organizace s ohledem na vytyčené strategické cíle v rámci řízení celé organizace. Naproti tomu zaměstnanci a osoby s přidělenými konkrétními rolemi, kteří se podílí na informační bezpečnosti, musí mít alespoň základní povědomí o politice systému řízení informační bezpečnosti a příslušných pravidel týkajících se procesů a úkolů, které jsou jim svěřeny. Dodrţování interních pravidel a nařízení je jedním z nejčastějších problémů organizací mající vlastní systém řízení informační bezpečnosti. Z tohoto pohledu je moţné v krátkosti zviditelnit některá hlavní pravidla dodrţování informační bezpečnosti, které jsou více či méně poplatné ve všech organizacích. Ať se jedná o soukromé, státní, neziskové, malé i velké. Těmito pravidly jsou:
pravidelná změna a ochrana hesel pro přístup do interních informačních systémů a aplikací;
nepouţívat soukromých IT prostředků pro přístup k informačním zdrojům organizace;
nepouţívat firemních IT prostředků v rozporu s definovanými pravidly a předpisy;
chovat se dle principu „need-to-know― při poskytování důvěrných informací;
poskytovat součinnost při auditech ISMS;
neprodleně hlásit incidenty či rizika v oblasti bezpečnosti informací.
4.4. Metriky ISMS Pro zajištění efektivity bezpečnostních opatření a jejich účinnost je důleţité definovat vhodné metriky, provádět měření a náleţitě vyhodnocovat. Metrikou je jakýkoli ukazatel nebo kritérium, které se pouţívá pro hodnocení efektivity v oblasti řízení výkonu. V případě informační bezpečnosti se pojem metrika vztahuje k měření efektivity atributů informační
40
bezpečnosti, tedy důvěrnosti, integritě a dostupnosti. Obrázek 13 zobrazuje ţivotní cyklus vývoje metrik v oblasti informační bezpečnosti. Prevence
Obnova
Bezpečnost
Detekce
Reakce
Obrázek 13 Ţivotní cyklus vývoje metrik Při hodnocení informační bezpečnosti je potřeba brát v úvahu různá hodnotící kritéria, která se projevují při následném rozhodování. Tato kritéria mohou být vztaţeny podpoře strategického rozhodování, hodnocení kvality nebo taktickému a operativnímu nadhledu. V případě podpory strategického rozhodování se jedná například o plánování, alokaci zdrojů nebo výběru vhodných produktů a sluţeb. Hodnocení kvality vyţaduje soulad s bezpečnostními standardy, měření a identifikaci zranitelností a analýzu známých bezpečnostních hrozeb. Taktický a operativní nadhled je zaloţen na monitorování a reportování bezpečnosti a její soulad s příslušnými poţadavky. Současně identifikuje specifické oblasti, které je potřeba zlepšit. Organizační úroveň
Možné metriky
Strategické požadavky
Program informační bezpečnosti Rozpočet informační bezpečnosti % rozpočtu na informační bezpečnost Referenční měření v rámci odvětví
Strategie a řízení Hodnocení kvality
Taktické a operativní požadavky
Vývoj aplikací a systémů Hodnocení projektů Akceptace rizik
# napsaných řádků kódu Hodnocení probíhajícího projektu # akceptovaných rizik
Zabezpečení provozu Monitoring průniků Řízení incidentů Řízení konfigurací
Frekvence hodnocení zranitelností # nalezených zranitelností # zaznamenaných incidentů # provedených změn na neinf. aktivech
Obrázek 14 Měření specifických poţadavků Pro systém řízení informační bezpečnosti je tedy vhodné zvolit takové metriky, které poskytnou co nejvíce relevantních informací pro další fáze řízení, udrţování a zlepšování ISMS. 41
5. Metodiky a pracovní rámce Kaţdá organizace musí přizpůsobit pouţívání norem a postupů tak, aby vyhovovaly jejich specifickým poţadavkům. A právě v tomto případě je místo na vyuţití nejrůznějších ověřených praktik a metod, které jsou po dlouhá léta vyvíjeny a navrţený tak, aby byly aplikovatelné ve stále se měnícím podnikovém klimatu, ale i s ohledem na okolní dění. Pravděpodobně nejpouţívanějšími metodikami a nejlepšími praktikami jsou CRAMM, jeţ je metodikou a současně nástrojem pro analýzu a řízení rizik, CobiT, obsahující praktiky vyuţívané při auditu informačních technologií a ITIL, knihovna nejlepších praktik popisující kompletní vývojový cyklus sluţeb.
5.1. CRAMM Metodika CRAMM je pravděpodobně nejpouţívanější komplexní metodikou analýzy rizik v systému řízení informační bezpečnosti, která je plně v souladu se specifikacemi ISO/IEC 27001 a ISO/IEC 27002. CRAMM není pouze metodikou pro analýzu rizik, ale také sadou nástrojů slouţící k provedení analýzy informačního systému umoţňující kontrolu souladu s bezpečnostními standardy včetně přípravy na následnou certifikaci systému řízení informační bezpečnosti. CRAMM díky své jednoduchosti dokáţe při auditech ISMS poskytnout jednoduchou kontrolu, ţe byla příslušná metodika správně aplikována a ţe byla přijata vhodná protiopatření. V ČR existuje modifikovaná verze, která poskytuje vhodné návaznosti na lokální ekonomické prostředí, která je označována jako CRAMM CZ. Tato verze také obsahuje databázi veškerých hrozeb přizpůsobenou české legislativě. Tato verze bude vyuţita v následujících kapitolách pro příklad analýzy a hodnocení rizik v telekomunikačním prostředí.
5.2. CobiT CobiT poskytuje návody a praktiky pro řízení informačních a souvisejících technologií. Jedná se o nejlepší praktiky pro řízení příslušných procesů informačních technologií. CobiT je vydáván pod záštitou IT Governance Institute. První verze se datuje na rok 1996. Jako reakce na krizi dotCOM vznikla poptávka po nástroji řízení informační technologie v souladu se SOX, kde se ukázal CobiT díky přístupu TOP>DOWN jako nejlepší volba. CobiT nemá za úkol, v kontrastu s například ITIL, řešit jak se má postupovat, ale co se má v konkrétním případě udělat. Z toho důvodu je CobiT vyuţíván jako nástroj 42
auditu informačních technologií a strategického řízení. CobiT poskytuje osvědčené postupy a nástroje pro sledování a řízení aktivit v informačních technologiích. Vyuţívání IT je významná investice, která musí být náleţitě řízena. CobiT pomáhá vedení organizace pochopit a řídit investice do informačních technologií v průběhu jejich ţivotního cyklu a poskytuje metody pro posouzení, zda sluţby a aktivity splňují obchodní poţadavky a očekávané výnosy. Díky zavedení CobiT budou zaměstnanci IT oddělení a vedoucí pracovníci lépe rozumět podnikání a aktivně spolupracovat při dodávání poţadovaných iniciativ IT. Vedoucí pracovníci během celého ţivotního cyklu IT uvidí transparentní a předvídatelné výdaje do informačních technologií a současně se stane efektivnější i proces řízení rizik. Nespornou výhodou zavedení CobiT je i hledisko auditů, které se stanou efektivnějšími a úspěšnějšími. Soulad IT s regulačními poţadavky se stane běţnou praxí při řízení organizace. Aktuální verze 4.1 obsahuje 34 procesů, 4 domény: plánování a organizace, pořízení a implementace, dodávka a podpora a monitorování a hodnocení, 214 cílů kontrol.
5.3. ITIL S rostoucí sloţitostí a závislostí na informačních technologiích, stále více nabývá na důleţitosti potřeba koncepce osvědčených postupů. A právě ITIL se stal onou sadou nejlepších praktik správy sluţeb informačních technologií. Tato knihovna se skládá z celé řady publikací poskytujících návody pro zajištění kvality ve sluţbách informačních technologií. Součástí je i definice procesů a prostředků potřebných k jejich poskytování. V průběhu doby prošla tato knihovna mnoţstvím revizí s cílem začlenit nové myšlenky a postupy a plynně tak reaguje na nové obchodní podmínky a poţadavky, které se stále objevují. Jedním z důleţitých faktorů je, ţe ITIL není formálním standardem. S tím souvisí i fakt, ţe ţádná organizace nemůţe vlastnit podnikové procesy ve shodě s ITIL. Zatímco informace prezentované v knihovně ITIL pochází z mnoha zdrojů, nemusí být vţdy platné pro konkrétně řešenou situaci. ITIL však není jedinou dostupnou knihovnou poskytující nejlepší praxi. Je zde například jiţ zmíněný CobiT nebo eTOM. Původně byla tato knihovna ve verzi 2 vytvořena ve Velké Británii agenturou CCTA na začátku roku 1990. V současné době je knihovna ITIL vlastněna organizací OGC, která jí dále rozvíjí a prosazuje. ITILv2 poskytuje praktické návody na provoz ITSM, řešení incidentů, vedení evidence a plánování. Velká část práce byla později převedena do ISO/IEC 20000. Roku 2007 však byla knihovna revidována a vydána aktuální verze ITILv3, která řeší procesně orientované řízení sluţeb poskytovaných prostřednictvím nejen 43
informačních, ale i komunikačních technologií. ITILv3 poukazuje na ţivotní cyklus kaţdé sluţby a identifikuje jej jako 5 vzájemně navazujících fází nezávislých na dodavateli a vyuţité infrastruktuře, které jsou rozděleny do pěti knih:
strategie sluţeb;
návrh sluţeb;
přechod sluţeb;
provoz sluţeb;
neustálé zlepšování sluţeb. Aby byla v rámci knihovny ITIL zajištěna informační bezpečnost, je vytvořena jako
komplexní rámec opírající se o standardy ISO/IEC 27001 a ISO/IEC 27002. Obrázek 15 zachycuje pyramidu návaznosti ITILv3 na ISO/IEC 27000 vztahující se k řízení sluţeb informační technologie. Požadavky
ISO/IEC 27001 Soubor postupů ISO/IEC 27002 Best practice framework ITIL Implementace a zlepšování
Politiky, procesy a pravidla v organizaci
Obrázek 15 Návaznosti ITIL na ISO/IEC 27000 v ITSM ITIL obecně je obvykle vyuţíván ve spojení nejenom s ISO/IEC 27000, ale i s jinými osvědčenými postupy, jako například CobiT, Six Sigma nebo TOGAF. ITIL se stává stále více přínosem pro podnikání, kde je schopen aktivně doporučit řešení na základě poţadavku jedné nebo více obchodních potřeb.
6. Audit informační bezpečnosti Audit informační bezpečnosti zkoumá, identifikuje a porovnává shodu skutečného aktuálního stavu procesů a opatření z pohledu informační bezpečnosti nebo systému řízení informační bezpečnosti. Jeho cílem je posouzení míry dosaţené shody informační bezpečnosti vhledem k plánu implementace, nebo nápravných opatření. Dalším cílem je zdokumentování nalezených rozdílů a případných nedostatků a upozornění na potenciální rizika. 44
Audit informační bezpečnosti můţeme rozdělit na certifikační audit informační bezpečnosti a obecný audit informační bezpečnosti. Rozdíl mezi těmito typy auditu je v zásadě propozice, ţe certifikační audit je zaloţen na shodě s příslušnými standardy týkající se informační bezpečnosti, kdeţto obecný audit kontroluje shodu s bezpečnostní politikou dané organizace. Tato bezpečností politika ale můţe být vypracována na příslušném normativním základě. zahájení
analýza dokumentů
příprava na audit
provedení auditu
závěrečná zpráva
ukončení
kontrola plnění
Obrázek 16 Fáze auditu informační bezpečnosti Obrázek 16 ukazuje jednotlivé fáze auditu systému řízení informační bezpečnosti, jak jsou definovány v ISO/IEC 27007 aţ ISO/IEC 27009. Fáze zahájení auditu obsahuje zformování projektového týmu, definice rozsahu a cílů a vyhodnocení proveditelnosti auditu. Tato fáze je pouze přípravná a nejsou zde prováděny ţádné přímé kroky s prováděním auditu. Ve fázi analýzy dokumentace se tým jiţ zaobírá specifickou dokumentaci vytvořenou během zavádění systému řízení informační bezpečnosti a provádí hodnocení definovaných kritérií. Fáze přípravy na audit jiţ probíhá v místě, kde je systém řízení bezpečnosti informací nasazen a obsahuje detailní přípravu plánu auditu. Fáze provedení auditu spočívá v testování kontrol, které byly identifikovány a analyzovány jako efektivní. O veškerých výsledcích realizovaných testů je vedena podrobná dokumentace. Výsledek auditu obsahuje závěrečná zpráva nebo také auditorský výrok. Tato zpráva je nejčastěji určena vedení organizace, které provede následné kroky. Ve fázi plnění kontroly je vytvořen plán sledování a ten následně pravidelně realizován. Auditorská zpráva, která je výsledkem auditu je formální písemná komunikace mezi auditorem a vedením organizace. Je základním výstupem auditora a má za cíl:
informovat management;
zdůraznit dodrţování politik;
definovat rozsah a omezení závěrů;
ukázat na zjištěné nedostatky.
45
7. Vyuţití softwarových nástrojů Pro audit informační bezpečnosti a analýzu rizik lze softwarové nástroje rozdělit do několika kategorií. Jedním typem nástrojů jsou běţné kancelářské aplikace slouţící pro analýzu dat (Microsoft Excel), vizualizaci (Microsoft Visio), plánování projektů (Microsoft Project) a tvorbu dokumentů a prezentací (Microsoft Word a Microsoft PowerPoint). Existuje samozřejmě nepřeberné mnoţství open source projektů, mezi které patří například rodina kancelářských aplikací OpenOffice. Další skupinou softwarových nástrojů jsou nástroje slouţící pro forenzní audit informačních systémů, penetrační testování a jako sondy přímo umisťované mezi aktivní prvky IT infrastruktury. Třetí skupinou jsou specializované nástroje vytvořené s cílem pomoci například při analýze a řízení rizik. Tyto nástroje zpravidla podporují potřebné standardy, kterými je například rodina norem ISO/IEC 27000, metodiky (CobiT) a pracovní rámce (ITIL). Jednotlivé organizace musí aplikovat rozdílné přístupy pro řešení různých aspektů analýzy rizik. Metody jako FIRM a FRAP, stejně jako například nástroj RiskPAC, se pouţívají pro vytvoření high-level pohledu na analýzu rizik. Detailní analýzu identifikující specifická měření s následným zmírněním rizik a analýzu pravděpodobnosti ohroţení nejlépe podporují metody jako OCTAVE a Fault Tree Analysis, anebo nástroje typu RiskWatch, CRAMM a COBRA. Tabulka 1 obsahuje se seznam nejpouţívanějších metod a nástrojů vyuţívaných pro audit informační bezpečnosti a řízení rizik.
FRAP FIRM Citicus OCTAVE Fault Tree Analysis Securtree
RiskWatch RiskPAC COBRA CRAMM Buddy System
Formální Automatický Kvalitativní Kvantitativní Popis model model analýza analýza x Podnikové procesy x Autorizováno ISF x x Zjednodušený FIRM x x Autorizováno SEI x Intuitivní, pragmatický x x Automatizovaná metoda Fault Tree Analysis x x x ISO/IEC 27000 x x x ISO/IEC 27000 x x x ISO/IEC 27000 x x x x ISO/IEC 27000 x x x Řízení rizik Tabulka 1 Metody a nástroje pro analýzu rizik 46
Posledním typem softwarových nástrojů jsou aplikace a systémy slouţící pro správu informační technologie se zabudovanou podporou compliance managementu. Zástupci jsou například EMC eGRC, rodina IBM Tivoli či VMware vSphere. Tyto nástroje se pouţívají zejména ve spojení s IaaS, PaaS a SaaS. Cílovou skupinou jsou bankovní a státní organizace mající tuto povinnost danou legislativou či mezinárodními dohodami (SOX, HIPAA, DISA, ISO, BASEL II, PCI DSS, NIST). Neslouţí přímo pro audit informační bezpečnosti, ale pro jeho podporu a automatickou kontrolu.
8. Telekomunikační systém Telekomunikační systémy představují velkou moţnost komunikace mezi účastníky prakticky po celém světě. Ať v Evropě, Americe, Asii, Africe či na pólech, všude je moţné vyuţít moderní technologie a připojit se na internet, zavolat známým, vyřídit obchodní záleţitosti nebo jen poslat krátkou textovou zprávu. Takové jsou moţnosti dnešní moderní doby. Současně však tyto globální technologie přináší mnoţství rizik, která je při výstavbě systémů, ale i běţné komunikaci prostřednictvím těchto technologií brát v úvahu. Tato rizika jsou dána především snahou zajistit standardizovaný přístup všech zúčastněných, a také poţadovaná otevřenost dříve uzavřených proprietárních systémů. Cílem další části této práce je popsat telekomunikační systém a provést základní interní audit informační bezpečnosti. Vzhledem k citlivosti této problematiky nebudou v práci zveřejněny jakékoli detailní informace, které by mohli vést ke kompromitaci nebo porušení obchodního tajemství. Bude se tedy jednat pouze o popsání obecně známé topologie telekomunikačního systému s příslušnými vazbami a obecnými riziky, které se v těchto systémech objevují a souvisejícími modelovými případy.
8.1. Schéma telekomunikačního systému Vlastní telekomunikační systém je moţné rozdělit na několik částí. První z těchto částí je rádiová přístupová síť, dále část označovaná jako core network a část IT vybavení, kam spadá i obsluha infolinek a odhalování podvodů. Obrázek 17 ukazuje schéma běţného telekomunikačního systému vyuţívaného pro síť GSM.
47
Radio Access Network
CORE Network
A B
C
Abis
Asub
ME BSC
BTS
D
TRAU
A
HLR A
B
F
D
C Abis
IN
E
A
Asub
G
ME BSC
BTS Medium
Bearer
PDH SDH
SMS
SRP
MSC/VLR
TRAU
SMSC
H I
other
Other PLMN
wire
GMSC
OMC
ETH J air
N
M
IT Assets
O K L
N Billing
Customers DB
Customer Care Portal
Fraud Detection System
Customer Care staff
Fraud Detection staff
Obrázek 17 Schéma telekomunikačního systému Rádiová přístupová síť je jediný bod, kde je telekomunikační účastník v přímém kontaktu s celou telekomunikační sítí, a to prostřednictvím svého mobilního telefonu (ME). V tomto místě je přenos dat k vysílací stanici (BTS) prováděn pomocí rádiového přenosu. Tento přenos je zabezpečení díky algoritmu A5/3. Tento algoritmus je proudovou šifrou vyuţívající kombinaci třech lineárních registrů dovolující vyuţívat aţ 348 bitů dlouhé rámce. Celý přenos zabezpečují tzv. bursty, coţ je obdoba packetu v IP sítích. V této fázi přenosu je šifrována pouze část dat. Z návrhu systému GSM se šifrování vyuţívá u hovorů a volitelně pro data. Signalizace, která je potřeba pro komunikaci mezi mobilním telefonem a zbytkem rádiové sítě šifrována není. Po tomto signalizačním kanálu jsou přenášeny i krátké textové zprávy (SMS). Datový přenos (GPRS/EDGE) nebývá zpravidla šifrován, místo toho se doporučuje
vyuţívat
technologií
jako
je 48
VPN
nebo
SSL
přímo
uţivatelem
telekomunikačních sluţeb. Na BTS se provede dešifrování signálu, který je dále směrován do řadiče základnových stanic (BSC). Tento prvek slouţí pro řízení BTS a komunikace telekomunikačního systému a ME. Na vlastních datech, hovorech nebo SMS se jiţ neúčastní. Hovory jsou dále zpracovávány aţ elementem TRAU, který provádí kódování hovorových kanálů systémy HR, FR a AMR tak, aby byla efektivně vyuţita drahá přenosová kapacita mezi TRAU a BTS. Další zastávkou je ústředna (MSC), kde jsou hovorové kanály směrovány přes další ústředny správnému adresátovi ve stejné mobilní síti, nebo přes hraniční ústřednu (GMSC) síti jiného operátora (PLMN). V ústředně také dochází k oddělení signalizace (SS7#7) a směrování do centra krátkých textových zpráv (SMSC). V dnešní době je signalizace směrována přes elementy SRP. Následující generace mobilních sítí jiţ nebudou obsahovat tyto prvky, ale budou postaveny kompletně na technologii IP. Dohled nad všemi elementy systému GSM má za úkol OMC, coţ je skupina serverů starající se o event management, state management a configuration management2. Dohledový systém OMC je v reţii oddělení označovaného jako OMC, NOC případně SMC či FMC. Poslední část telekomunikační sítě tvoří IT systémy, kde následně probíhá účtování sluţeb (Billing), řízení zákaznických potřeb (Customer Care) a odhalování podvodného jednání (Fraud Detection). Z hlediska informační bezpečnosti je na celý telekomunikační systém včetně IT části nahlíţeno jednotně, byť je zaloţen na standardech ITU-T. Z pohledu ISMS existuje jiţ zmíněný standard ISO/IEC 27011, který se přímo zabývá telekomunikačními sítěmi a je navrţen právě ve spolupráci ITU.
8.2. Řízení rizik Analýza rizik informační bezpečnosti byla provedena pomocí metody CRAMM (CCTA Risk Analysis and Management Method) s vyuţitím softwarového nástroje CRAMM.
8.2.1.
Východiska
Východiskem pro provedení detailní analýzy rizik a řízení rizik je záměr implementovat ISMS v souladu s normou ISO/IEC 27001:2005 [6].
2
Jelikoţ telekomunikační systém není zaloţen na IT/IS, vyuţívané standardy vydává pouze organizace ITU jako ITU-T. Proto je i pouţívaná terminologie odlišná od terminologie IT/IS.
49
8.2.2.
Cíle analýzy a řízení rizik
Cílem detailní analýzy rizik je identifikovat a ohodnotit aktiva a na základě odhadu hrozeb a zranitelností stanovit míru rizika. Cílem řízení rizik je stanovit vhodná protiopatření k identifikovaným rizikům a priority těchto protiopatření.
8.2.3.
Rozsah analýzy a řízení rizik
Rozsah analýzy rizik a řízení rizik byl stanoven na všechny úseky a informační systémy včetně telekomunikačních technologií (GSM, UMTS).
8.2.4.
Pouţitá metodika
Metodika CRAMM obsahuje tři fáze a kaţdá z fází nabízí řadu výstupních zpráv/přehledů. Některé z nich tvoří pracovní výstupy pro analyzujícího, zatímco jiné mohou být určeny pro management. Míra rizika byla určena na základě:
hodnoty aktiv;
úrovně hrozeb ve vztahu k uvedeným aktivům;
úrovně zranitelností uvedených aktiv. Hodnota identifikovaných datových aktiv (datových skupin) byla určována
při dotazování respondentů – ředitelů jednotlivých útvarů, kteří se odpovědně vyjádřili k účelu pouţití těchto aktiv. Při hodnocení hrozeb a zranitelností bylo zvaţováno mnoţství problematických oblastí, které mohou mít vliv na bezpečnost informací v organizaci. Kategorie hrozeb relevantních pro organizaci jsou následující:
logické hrozby;
komunikační hrozby;
Závady zařízení;
chyby;
fyzické hrozby. Úroveň hrozeb a zranitelností, které ohroţují informační bezpečnost, byla zjišťována
sadou objektivizovaných dotazníků, které byly po zpracování předány respondentům k odsouhlasení. Úrovně hrozeb a zranitelností společně s hodnotou aktiv byly základem pro stanovení míry rizika. Vysoká hodnota aktiv společně s vysokou mírou hrozby a velkou
50
zranitelností vedla k vysoké hodnotě rizika. Cílem fáze řízení rizik bylo stanovit sadu doporučených bezpečnostních protiopatření pro zvládání rizik.
8.2.5.
Hodnocení aktiv
Pro hodnocení rizik je, jak jiţ bylo zmíněno, důleţitým úkolem ohodnotit veškerá aktiva, která se účastní systému řízení informační bezpečnosti.
8.2.5.1.
Datová aktiva a sluţby koncovému uţivateli
Datová aktiva a sluţby koncovému uţivateli byly hodnoceny dotazníkovým systémem se zaměstnanci (respondenty), kteří se hodnověrně vyjádřili ke způsobu pouţití dat. Respondenti byli dotazováni na reálně nejhorší situace – scénáře, které mohou nastat v následujících případech:
nedostupnost dat;
zničení dat;
prozrazení dat;
úmyslná nebo neúmyslná modifikace a narušení dat při komunikaci nebo pří přenosu dat. Dle moţností byla v průběhu hodnocení aktiv ignorována jiţ existující protiopatření,
aby se zabránilo nesprávné interpretaci jejich efektivity. Pro určení závaţnosti dopadů nabízí CRAMM sadu vodítek, která jsou v rozsahu 1 (velmi nízký dopad) aţ 10 (velmi vysoký dopad). Situace zjištěné podle dotazníků byly srovnávány s těmito vodítky. V organizaci bylo identifikováno 7 datových aktiv, jejichţ pojmenování vychází z názvů úseků organizace. Tím bylo zohledněno jejich organizační zařazení, které je účelné pro zpracování informací. Dále bylo identifikováno 43 důleţitých sluţeb poskytovaných koncovému uţivateli (reprezentovanému osobou nebo automatizovaným procesem), které spadají do činností úseků. Z hodnocení vyplývá, ţe nejdůleţitější datová aktiva z hlediska informační bezpečnosti jsou následující:
DA C700 Customer services data
DA F400 Finance data
DA M500 Marketing data
DA T300 Technology data
51
Příklad datového aktiva: Datové aktivum
DA T300 Technology data
Kategorie aktiva
Finanční, Jiná, Komerčně citlivá, Osobní, S vlivem na bezpečnost osob Vodítko hodnocení
Nedostupnost - menší neţ 15 minut Narušení činností Finanční ztráta Obchodní a ekonomické zájmy Ztráta důvěryhodnosti Řízení a provoz organizace Řízení a provoz organizace
Nedostupnost - 1 hodina Nedostupnost - 1 den
Nedostupnost - 2 dny Nedostupnost - 1 týden Ztráta dat od posledního zálohování Úplná ztráta všech dat Řízení a provoz organizace Neoprávněné prozrazení smluvním Finanční ztráta třetím stranám Neoprávněné prozrazení cizím Finanční ztráta osobám Chyby menšího rozsahu Řízení a provoz organizace Chyby širšího rozsahu v přenosu Řízení a provoz organizace Úmyslná modifikace přenášených Řízení a provoz organizace dat Nedoručení Finanční ztráta Chyba směrování Narušení činností Chybná posloupnost Narušení činností Tabulka 2 Datové aktivum
8.2.5.2.
Hodnota Finanční ve škále hodnota 9 7 5 7 7 5 7 5 5 3 3 3 3 2 2
Aplikační aktiva
Aplikační
programová
aktiva
jsou
aplikačním
programovým
vybavením,
které podporuje práci s datovými aktivy. Aplikační programová aktiva byla hodnocena náklady na jejich znovu pořízení nebo rekonstrukci. Celkem bylo identifikováno 67 typů aplikačních programových aktiv. Hodnota aplikačních programových aktiv byla stanovena na základě provedených interview. Mezi aplikační programová aktiva s největší hodnotou patří:
ISS
SAP R3
ICOS
Aplikace pro správu a infrastruktury
Clarify
FileNet 52
Geobáze
IKOS
Interconnect
Intranet
Příklad aplikačního aktiva: Datové aktivum
ISS
Kategorie aktiva
Citlivá aplikace na zakázku - Obecná aplikace Vodítko hodnocení
Fyzické zničení
Finanční ztráta
Hodnota Finanční hodnota ve škále 4 8 000 000,00 Kč
Tabulka 3 Aplikační aktivum
8.2.5.3.
Fyzická aktiva
Fyzická aktiva zahrnují technické vybavení, zařízení pro komunikaci, klimatizační systémy, dokumentaci apod. Fyzická aktiva byla hodnocena podle finanční částky potřebné na jejich obnovu nebo rekonstrukci. Mezi fyzická aktiva s největší hodnotou patří:
Technologie BTS
Technologie BSC
Technologie MSC
Notebook
PC
Server Databázový W2K/NT
Server Databázový UNIX
Příklad fyzického aktiva: Datové aktivum
Technologie BTS
Kategorie aktiva
Síťový distribuční prvek, Jiný síťový distribuční prvek Počet
Technologie BTS
Cena náhrady
Hodnota ve škále
2500 Tabulka 4 Fyzické aktivum
53
10
3 320 000 000,00 Kč
8.2.6.
Modely aktiv
Datová aktiva, aplikační programová aktiva a fyzická aktiva mají mezi sebou určitý vztah. Například data jsou zpracovávána aplikačním programovým vybavením, jehoţ fungování umoţňují fyzická aktiva, jako jsou hostitelské servery nebo prvky sítě. Aby bylo moţné ochránit data, musí být chráněno také aplikační programové vybavení a fyzická aktiva. Vztahy, kterými jsou jednotlivá aktiva vázána, jsou v CRAMM definovány pomocí modelů aktiv. V rámci detailní analýzy bylo vytvořeno 37 modelů aktiv. Zpracované modely aktiv lze vyuţít při provádění následných rizikových analýz.
8.2.7.
Popis aktiv uţívaných v prostředí telekomunikací
Obrázek 17 zachycuje schéma telekomunikačního systému. Pro bliţší pochopení vztahu technologických elementů a moţných oblastí rizik slouţí
Tabulka 5. Technologie
Lokality
Přístup/ochrana
Rizika Interface (A) je nešifrovaný a
ME
signál z ME lze zachytit i několik km. Odchycení provozu vyţaduje kvalitní technické vybavení. BTS
Zařízení
Fyzická ochrana – uvnitř
Připojení zařízení k analýze
rozmístěna budovy (indoor provedení)
provozu (Tektronix K1205) přímo
po celé
nebo ocelový plášť (outdoor
na interface pro připojení
ČR.
provedení), nutný vhodný klíč.
přenosové technologie (B).
Přístup k zařízení se hlásí
Přenosové médium vlastní nebo
telefonicky nebo pomocí SMS. pronajaté (PDH, SDH). Přenášená K zařízení mají přístup
data nejsou šifrována a datový tok
zaměstnanci (Field Service),
je 2Mbps na interface. Zachytit
dodavatelé (dodavatelé
přenášená data ve vzduchu je
technologie, údrţba budov,
technicky sloţité.
údrţba greenů, natěrači, ...)
Moţnost sledovat pouze malou
a na některých lokalitách cizí
lokalitu (o velikosti GSM buňky).
operátoři. 54
Čidla pohybu, otevření dveří místnosti a BTS.
BSC
Zařízení
Fyzická ochrana – uvnitř
Připojení zařízení k analýze
rozmístěna budovy, ocelový plášť, nutný
provozu (Tektronix K1205) přímo
po celé
vhodný klíč.
na interface pro připojení
ČR.
Přístup k zařízení se hlásí
přenosové technologie (B), (C).
telefonicky nebo pomocí SMS, Přenosové médium vlastní nebo dodavatelé na předchozí
pronajaté. Přenášená data nejsou
povolení – povoluje
šifrována a datový tok je 2Mbps
Dispatching, SMC.
na interface. Při přenosu jsou
K zařízení mají přístup
datové toky z několika interfaců
zaměstnanci (Field Service) a
slučovány a přenášeny přes SDH.
dodavatelé (dodavatelé
Zachytit přenášená data ve vzduchu
technologie, údrţba budov, ...). je technicky sloţité. Čidla pohybu, otevření dveří
Moţnost sledovat část území
místnosti a BSC, na některých
(o velikosti desítek GSM buňek).
lokalitách kamerový systém a připojení k PCO. TRAU
Zařízení
Fyzický přístup k systému
Připojení zařízení k analýze
umístěna
zabezpečen identifikací ID
provozu (Tektronix K1205) přímo
poblíţ
kartou (Altex).
na interface pro připojení
MSC.
Čidla otevření místnosti
přenosové technologie (C), (D).
a technologie, kamerový
Pro přenos dat na A interface (D)
systém.
se pouţívá metalické přenosové
Přístup k zařízení se hlásí
médium.
telefonicky nebo pomocí SMS, Moţnost sledovat část území
55
dodavatelé na předchozí
(o velikosti stovek aţ tisíců GSM
povolení – povoluje
buňek) – nutná znalost naplánované
Dispatching, SMC.
oblasti a připojení datových
K zařízení mají přístup
interfaců.
zaměstnanci (Field Service,
Přístup k systému INET.
Service Support, SMC) a dodavatelé (dodavatelé technologie, údrţba budov, ...). MSC
Několik
Fyzický přístup k systému
Připojení zařízení k analýze
lokalit po
zabezpečen identifikací ID
provozu (Tektronix K1205) přímo
celé ČR.
kartou (Altex).
na interface pro připojení
Čidla otevření místnosti
přenosové technologie obsahující
a technologie, kamerový
signalizaci SS7 (D), (E).
systém.
Pro přenos dat na A interface (D)
Přístup k zařízení by se měl
se pouţívá metalické přenosové
hlásit telefonicky nebo pomocí
médium. Připojení (E) je metalické
SMS, dodavatelé na předchozí
nebo SDH (vlastní nebo pronajaté).
povolení – povoluje
Moţnost sledovat část území
Dispatching, SMC.
(o velikosti tisíců GSM buňek) –
K zařízení mají přístup
nutná znalost naplánované oblasti
zaměstnanci (Field Service,
a připojení datových interfaců při
Service Support, SMC)
monitoringu interface (D) nebo
a dodavatelé (dodavatelé
znalost připojení signalizačních
technologie, údrţba budov, ...). interfaců při monitoringu interface (E). Přístup k systému INET. Zařízení je součástí MSC.
VLR
Signalizace obsahující SMS
HLR
neprochází zařízením. SRP
A, B
Fyzický přístup k systému
Připojení zařízení k analýze
zabezpečen identifikací ID
provozu (Tektronix K1205) přímo
kartou (Altex).
na interface pro připojení
Čidla otevření místnosti
přenosové technologie obsahující
56
a technologie, kamerový
signalizaci SS7 (E), (F), (H).
systém.
Připojení je metalické nebo SDH
Přístup k zařízení by se měl
(vlastní nebo pronajaté).
hlásit telefonicky nebo pomocí
Moţnost sledovat velkou část
SMS, dodavatelé na předchozí
území (pouze 2 SRP pro ČR).
povolení – povoluje
Přístup k systému INET.
Dispatching, SMC. K zařízení mají přístup zaměstnanci (Field Service, Service Support, SMC) a dodavatelé (dodavatelé technologie, údrţba budov, ...). Signalizace obsahující SMS
IN
neprochází zařízením. SMSC
A, B
Fyzický přístup k systému
Připojení zařízení k analýze
zabezpečen identifikací ID
provozu (Tektronix K1205) přímo
kartou (Altex).
na interface pro připojení
Čidla otevření místnosti
přenosové technologie obsahující
a technologie, kamerový
signalizaci SS7 (F), (G).
systém.
Připojení je metalické nebo SDH
Přístup k zařízení by se měl
(vlastní nebo pronajaté).
hlásit telefonicky nebo pomocí
Moţnost sledovat velkou část
SMS, dodavatelé na předchozí
území (pouze 2 SMSC pro ČR).
povolení – povoluje
Přístup k systému INET.
Dispatching, SMC.
Moţný přístup do systému
K zařízení mají přístup
narušením pomocí IT prostředků
zaměstnanci (Field Service,
(technologická LAN).
Service Support, SMC) a dodavatelé (dodavatelé technologie, údrţba budov, ...). Připojení zařízení k analýze
GMSC
provozu (Tektronix K1205) přímo na interface pro připojení
57
přenosové technologie obsahující signalizaci SS7 (E), (F), (H). Připojení je metalické nebo SDH (vlastní nebo pronajaté). Moţnost sledovat velkou část území (pouze 2 SRP pro ČR). Přístup k systému INET. OMC
A
Fyzický přístup k systému
Jelikoţ se jedná o IT vybavení
zabezpečen identifikací ID
určené k dohledu a správy SMSC,
kartou (Altex).
je zde přímá kontrola nad
K systému má přístup uzavřená systémem. skupina zaměstnanců,
Moţný přístup do systému
dodavatelé systému.
narušením pomocí IT prostředků (technologická LAN).
PLMN
Obecně
Připojení zařízení k analýze
jakákoliv
provozu (Tektronix K1205) přímo
mobilní
na interface pro připojení
síť.
přenosové technologie obsahující signalizaci SS7 (I), (H). Interface (I) a (H) jsou z jedné strany pod správou cizího operátora. Přístup k systému INET.
Tabulka 5 Vztah telekomunikačních entit a rizik Z důvodu bezpečnosti informací o uţivatelích telekomunikačních sluţeb nejsou veškerá data uloţena v jediné databázi, ale jsou rozdělena a uloţena zvlášť. Současně jsou definována přísná pravidla pro přístup k jednotlivým databázím a moţnosti spojování datových zdrojů za účelem jejich zkombinování a získání kompletních informací o uţivatelích. Pokud tedy narušitel vyuţije zranitelnosti systému, nezíská kompletní informace, ale pouze jejich určitý fragment. 58
Sumarizace hodnocení aktiv
8.2.8.
Přehled o velikosti následků obsahuje hodnoty následků pro všechny skupiny aktiv a uvádí přehled míry dopadů na datová aktiva podle metodiky CRAMM. Představuje, ve stupnici od 1 (nejmenší dopad) do 10 (největší dopad), míru potenciálních škod, které mohou organizaci způsobit jednotlivé dopady.
Skupina aktiv
Technologie BTS
Aktivum
Technologie BTS Nedostupnost Zničení P 15M 1H 3H 12H 1D 2D 1W 2W 1M 2M B T 10 9 7 7 7 5 7 7 7 7 7 5 7 Prozrazení Modifikace Narušení komunikace I C O S E W E D M In Or Rc Nd Rp Mr Tm Os 5 5 3 3 3 3 2 2 Tabulka 6 Sumarizace hodnoceni aktiv pro technologii BTS
8.2.9.
Hodnocení hrozeb a zranitelností
Aktiva byla pro potřeby posouzení hrozeb a zranitelností sdruţena do skupin. Hrozby a zranitelnosti byly posuzovány ve vztahu k jedné nebo více skupinám aktiv. První fáze analýzy rizik CRAMM zjistila míru dopadů pro aktiva. Druhá fáze hodnotila pravděpodobnost výskytu potenciálních hrozeb, které mohou uvedené dopady způsobit, a zranitelnost systémů k těmto hrozbám. Zhodnocení těchto hrozeb a dopadů, společně s hodnocením aktiv, umoţnilo stanovení míry rizik působících na hodnocené systémy. Analýza hrozeb a zranitelností probíhala v mnoha oblastech, kdy kaţdá z těchto oblastí mohla mít vliv na různé části systémů. Jednotlivé hrozby byly rozděleny do následujících kategorií:
logické hrozby;
komunikační hrozby;
závady zařízení;
chyby;
fyzické hrozby.
59
Míra působení kaţdé hrozby na jednotlivé skupiny aktiv byla ohodnocena podle následující škály:
velmi nízká – výskyt incidentu se nepředpokládá častěji neţ jednou za 10 let;
nízká – výskyt incidentu se předpokládá v průměru jednou za 3 roky;
střední – výskyt incidentu se předpokládá v průměru jednou za rok;
vysoká – výskyt incidentu se předpokládá v průměru jednou za 4 měsíce;
velmi vysoká – výskyt incidentu se předpokládá v průměru jednou měsíčně. Podobně byla určena míra zranitelností jednotlivých skupin aktiv k jednotlivým
hrozbám. Tato míra byla stanovována podle následující škály:
nízká – v případě incidentu, by nebyla pravděpodobnost nejhoršího moţného scénáře (stanoveného v průběhu ohodnocení aktiv) vyšší neţ 33%;
střední – v případě incidentu, by byla pravděpodobnost nejhoršího moţného scénáře (stanoveného v průběhu hodnocení aktiv) 33% aţ 66%;
vysoká – v případě incidentu, by byla pravděpodobnost nejhoršího moţného scénáře (stanoveného v průběhu hodnocení aktiv) vyšší neţ 66%. Ze shrnutí analýzy hrozeb a zranitelností týkajících se aktiv vyplývá, ţe mezi vysoké
hrozby patří:
provozní chyba – chyba zapříčiňující poruchu provozu zařízení;
chyba údrţby technického vybavení – chyba zapříčiněna nedostatečnou údrţbou;
chyba úpravy programového vybavení – chyba zapříčiněna chybně provedenou úpravou;
zavedení destruktivních a škodlivých programů – viry, trojské koně, spyware atd.;
zneuţití systémových prostředků – pouţití systémových prostředků pro jiné účely, neţ ke kterým jsou určeny;
selhání komunikace – chyba v přenosu informací;
začlenění škodlivých programů – v rámci vývoje sw doplnění nebezpečných a škodlivých funkcí;
technická závada počítače – selhání technického vybavení počítače jako celku;
technická závada paměťového zařízení – selhání technického vybavení pro uloţení dat;
technická závada síťového distribučního prvku – selhání aktivního síťového distribučního prvku; 60
technická závada síťové brány – selhání technického vybavení potřebného pro propojení sítí;
technická závada počítače pro řízení / správu sítě – selhání technického vybavení serveru;
technická závada síťového rozhraní – selhání komunikačního rozhraní;
selhání napájení – výpadek zdroje napájení;
selhání systémového nebo síťového programového vybavení – porucha software;
selhání aplikačního programového vybavení – porucha software;
přírodní katastrofa – nepředvídatelná přírodní událost s velkými následky;
krádeţ
provedená
cizími
osobami
–
krádeţ
provedená
jinou
osobou
neţ zaměstnancem;
úmyslné poškození cizími osobami – poškození provedené jinou osobou neţ zaměstnancem.
Technologie BTS Zavedení destruktivních a škodlivých programů Zneuţití systémových prostředků Zachycení komunikace Manipulace komunikace Selhání komunikace Chybné směrování Technická závada počítače Technická závada síťového distribučního prvku Selhání napájení Selhání klimatizace Selhání systémového nebo síťového programového vybavení Provozní chyba Chyba údrţby technického vybavení Chyba úpravy programového vybavení Poţár Poškození vodou Přírodní katastrofa Nedostatek personálu Krádeţ provedená
Max. Max. Hrozba úroveň úroveň (rychlé hrozby zranitelnosti hodnocení)
61
Zranitelnost (rychlé hodnocení)
Střední Střední Nízká Velmi nízká Střední Nízká Střední
Vysoká Střední Střední Střední Vysoká Střední Vysoká
Střední Nízká Velmi nízká
Vysoká Vysoká Vysoká
Střední Vysoká
Vysoká Vysoká
Střední
Střední
Střední Velmi nízká Velmi nízká Velmi nízká Velmi nízká Velmi nízká
Střední Střední Střední Vysoká Nízká Nízká
identifikovatelnými osobami Krádeţ provedená cizími osobami Střední Nízká Úmyslné poškození identifikovatelnými osobami Velmi nízká Střední Úmyslné poškození cizími osobami Nízká Střední Terorismus Velmi nízká Střední Tabulka 7 Hodnocení hrozeb a zranitelností technologie BTS
8.2.10.
Výpočet míry rizik
Výpočet míry rizika pro kaţdou skupinu aktiv vychází z kombinace hodnoty aktiva, úrovně hrozby a míry zranitelnosti. V CRAMM je míra rizika vyjádřena pomocí stupnice od 1 do 7. Vypočtená míra rizika je pouţita k optimálnímu výběru protiopatření, která proti tomuto riziku působí. Při hodnotách rizika 1 – 2 je postačující přijmout pouze základní protiopatření, naproti tomu při míře rizika 7 je nutné přijmout ta nejvyšší bezpečnostní protiopatření. Většina rizik se pohybuje v rozmezí 2 aţ 5. Nejvyšší vypočtená míra rizika 7 byla zjištěna pro hrozbu „Provozní chyby― u následujících skupin aktiv:
Síťový distribuční prvek
Technologie MSC
Technologie BTS
Technologie BSC
Síťová kabeláţ
Servery LINUX, UNIX, W2K/NT
Další vypočtená vysoká míra rizika s hodnotou 6 u GSM technologií byla identifikována u hrozeb „Chyba údrţby technického vybavení― a „Chyba úpravy programového vybavení―, které mohou výrazně narušit chod a bezpečnost informací zpracovávaných a přenášených GSM technologií. Vysoké hodnocení míry rizika je dáno velmi vysokou souhrnnou hodnotou zkoumaných aktiv, klíčovou úlohou těchto aktiv v poskytování sluţeb zákazníkům a sloţitým zajištěním bezpečnosti informací. Míra rizika 6 byla dále vypočítána pro následující hrozby:
zavedení destruktivních a škodlivých programů; 62
zneuţití systémových prostředků;
selhání komunikace;
začlenění škodlivých programů;
technická závada počítače;
technická závada paměťového zařízení;
technická závada síťového distribučního prvku;
technická závada síťové brány;
technická závada počítače pro řízení / správu sítě;
technická závada síťového rozhraní;
selhání napájení;
selhání systémového nebo síťového programového vybavení;
selhání aplikačního programového vybavení;
přírodní katastrofa;
krádeţ provedená cizími osobami;
úmyslné poškození cizími osobami.
Také pro výše uvedené hrozby je vysoká míra rizika dána vysokou hodnotou příslušných aktiv.
Řízení rizik
8.2.11.
Třetí fáze analýzy rizik CRAMM – fáze řízení rizik se zaměřuje na zvládnutí rizik stanovených v předchozí fázi. Cílem fáze řízení rizik je stanovit sadu doporučených bezpečnostních protiopatření pro zvládání rizik. Protiopatření, jeţ rámcově splňují podobný účel, jsou společně řazena do „skupin protiopatření―. Kaţdá skupina protiopatření se dělí na „podskupiny protiopatření―. V rámci identifikace stavu protiopatření byly označeny stavy protiopatření následovně:
zavedeno – protiopatření je zavedeno;
v realizaci – byla zahájena práce na realizaci protiopatření, avšak nebyla dosud dokončena;
diskutováno – dosud je třeba učinit rozhodnutí o tom, zda protiopatření implementovat či nikoliv. Nebo jestliţe současná realizace protiopatření je v nějakém ohledu slabá;
63
není zavedeno - protiopatření není implementováno, není známo, v jakém se nachází stavu nebo zda vůbec existuje toto protiopatření.
Pro navrţená protiopatření byly stanoveny priority opět nástrojem CRAMM. Vyšší priorita je protiopatření přiřazena, jestliţe:
chrání proti více hrozbám;
chrání vysoce rizikový systém;
neexistují ţádná jiţ zavedená alternativní protiopatření.
Čím vyšší je hodnota priority, tím větší je potřeba implementace tohoto protiopatření.
8.2.12.
Protiopatření pro zvládání rizik
Pro všechna aktiva bylo v rámci určení priorit protiopatření identifikováno rozpětí hodnot priorit od 9 do 82. Protiopatření s nejvyšší prioritou 82 jsou ve stavu „Zavedeno― nebo „V realizaci―. Jedná se o následující protiopatření:
má být udrţována více neţ jediná generace záloh;
mají být pravidelně testovány postupy zálohování a obnovování záloh;
zálohování dat má být prováděno s četností, která odpovídá závaţnosti dopadů, které můţe jejich ztráta způsobit;
zálohy musí zahrnovat programové vybavení všech aplikací;
záloţní kopie aplikací mají být uloţeny na takovém místě, ţe není moţné, aby záloha i originál byly poškozeny stejnou událostí;
pro zálohu mají být vyuţita výměnná média.
Pro hodnotu priority 54 aţ 82 nejsou identifikována protiopatření ve stavu „Není zavedeno―. Vybraná protiopatření s vysokými prioritami ve stavu „Není zavedeno― jsou uvedeny v následující tabulce: Skupina protiopatření
Podskupina Bezpečnostní Číslo protiopatření aspekt úrovně
100. Distribuce 200. Příjem programového programového Procedurální vybavení vybavení
64
1,4
Text protiopatření 1. Veškeré příchozí programové vybavení musí být zkontrolováno, aby bylo zajištěno, ţe v něm během přepravy nebyly provedeny ţádné neautorizované změny. Integrita programového vybavení má být chráněna kontrolními součty.
70. Integrita programového vybavení
165. Kontroly integrity Software programového vybavení
1
Výskyt narušení integrity programového vybavení musí být zaznamenán jako incident.
20. Řízení logického přístupu
50. Povinná kontrola přístupu
Software
1,3
20. Řízení logického přístupu
50. Povinná kontrola přístupu
Software
1,2
40. Audit
140. Vyšetřování incidentu
Procedurální
1,5
Komunikace
1,1
38. Autentizace 10. Identifikace uţivatelů pro a autentizace vnější připojení
Integrita programového vybavení má být chráněna kontrolními součty, aby bylo zajištěno, ţe v něm nebyly během distribuce provedeny ţádné neautorizované změny. Musí se předcházet narušení integrity programového vybavení a případný výskyt narušení musí být detekován.
65
1. Přístup k datům musí být přidělován na základě centrálně stanovených směrnic. K souboru nemá být dovolen přístup, dokud není opatřen návěštím. Návěští (atribut) souboru určuje, kdo je oprávněn k přístupu. 1. Přístup k datům musí být přidělován na základě centrálně stanovených směrnic. Systém má porovnávat návěští dat s návěštím uţivatelského ID, aby zjistil, zda uţivatel můţe pracovat s těmito daty. Návěští (atribut) dat určuje, kdo je oprávněn k přístupu k datům. 1. Musí být vyšetřeny všechny podezřelé incidenty a zjištěné pokusy o narušení bezpečnosti. Kopie auditního deníku mají být uchovávány způsobem, který znemoţňuje měnit jejich obsah. Auditní deník obsahuje evidenci o incidentech. Evidence incidentů musí být uchovávána způsobem, který znemoţňuje zpětně měnit její obsah. 1. Vzdálení uţivatelé musí být autentizováni silnějšími prostředky neţ lokální uţivatelé. Identita vzdálených uţivatelů má být ověřována pomocí karty. Zde se jedná o pouţití čipové karty.
20. Řízení logického přístupu
102. Bezpečnost systémů elektronické kanceláře
Procedurální
20. Identifikace uţivatele 10. Identifikace fyzickým Software a autentizace identifikátorem nebo biometrickým zařízením 20. Identifikace uţivatele 10. Identifikace fyzickým Software a autentizace identifikátorem nebo biometrickým zařízením
1,7
2
1. Musí být připraveny pokyny pokrývající podnikatelská a bezpečnostní rizika spojená s elektronickými kancelářskými systémy. Pokyny mají určovat všechny funkce, jejichţ pouţití je vyhrazeno jen pro určitou kategorii uţivatelů. Pokyny, pokrývající podnikatelská a bezpečnostní rizika spojená s elektronickými kancelářskými systémy, mají určovat všechny funkce systémů (tj. aplikační funkce), jejichţ pouţití je vyhrazeno jen pro určitou kategorii uţivatelů. Uţivatelé musí být identifikováni nejen podle toho, co znají (heslem), ale také podle jejich specifických fyzických charakteristik. Lze pouţít i sloţitá biometrická zařízení.
2. Uţivatelé musí být identifikováni nejenom podle toho, co znají (heslem), ale také podle jejich specifických fyzických 2,1 charakteristik. Pro identifikaci uţivatele mají mít pracovní stanice připojena jednoduchá biometrická zařízení. 1. Při distribuci hesel musí být zajištěna jejich důvěrnost. 10. Identifikace 30. Distribuce Procedurální 1,4 a autentizace hesla Uţivatelé mají potvrdit příjem hesla. Tabulka 8 Protiopatření s vysokými prioritami ve stavu „Není zavedeno―
8.2.13.
Cíle pro zvládání rizik
Pro cíle zvládání rizik byla zvolena dosud nerealizovaná protiopatření v intervalu priorit od 40 do 52. Cíle zvládání rizik jsou následující:
provést vyhodnocení realizovatelnosti dosud nerealizovaných protiopatření pro hodnotu priority 40 aţ 52;
projednat a schválit realizovatelná protiopatření; 66
vytvořit plán zvládání rizik a implementovat schválená protiopatření;
provést vyhodnocení stavu a realizovatelnosti pro zbývající protiopatření.
9. Politiky a směrnice 9.1. Bezpečnostní politika Bezpečnostní politika stanovuje základní principy a východiska pro řízení bezpečnosti v organizaci. Dokument vymezuje oblasti ochrany, způsob ochrany jednotlivých oblastí (bezpečnostní nástroje) a osoby odpovědné za ochranu jednotlivých oblastí (bezpečnostní management). Principy a cíle uvedené v bezpečnostní politice jsou závazné pro tvorbu všech korporátních pravidel, směrnic, instrukcí a procesů. Východiskem pro tvorbu a aktualizaci bezpečnostní politiky jsou studie bezpečnosti a závěry z detailních rizikových analýz provedených v rámci ISMS (Information Security Management System), které obsahují přehled dosaţeného stavu bezpečnosti v organizaci a vytyčují hlavní směry, ve kterých je třeba řízení bezpečnosti dále rozvíjet. Bezpečnostní politika souvisí s dokumentem Politika ISMS, který vznikl na základě poţadavků normy ISO/IEC 27001:2005 a stanovuje strategii v oblasti řízení informační bezpečnosti v organizaci.
9.1.1.
Rozsah a cíle bezpečnostní politiky
Organizace je společností s poměrně velkým mnoţstvím zaměstnanců, rozsáhlým investičním majetkem, rozsáhlým know-how a širokou oblastí poskytovaných sluţeb, kterých vyuţívá velké mnoţství zákazníků. Organizace je typickou informační společností s rozsáhlými informačními toky. Cílem bezpečnostní politiky je vymezit ochranu následujících oblastí:
provoz;
majetek (hmotný i nehmotný);
zaměstnanci;
produkty a sluţby.
67
V uvedených oblastech ochrany budou bezpečnostní nástroje a pravidla orientována na jednotlivé předměty ochrany. Předmětem ochrany jsou míněny zvláště osoby, věci a jiné majetkové hodnoty.
9.1.2.
Obsah bezpečnostní politiky
Obsahem dokumentu bezpečnostní politika je kompletní zajištění bezpečnosti organizace v následujícím rozsahu:
Oblasti ochrany (popis, cíle, odpovědnost) o Ochrana provozu – kontinuita provozu
Ochrana provozu mobilní telekomunikační sítě
Ochrana provozu IT
Ochrana provozu zákaznického centra
Ochrana vnitřního provozu organizace
o Ochrana hmotného majetku
Zabezpečení budov – administrativní a technologické prostory
Zabezpečení prodejních míst
Zabezpečení staveb mobilní telekomunikační sítě
Zabezpečení vozového parku
Ochrana zboţí (sklady, prodejní místa)
Ochrana skladů technologie
Ochrana hmotného majetku evidovaného na zaměstnance
Ochrana nehmotného majetku
Ochrana software
Ochrana informací
Ochrana přenosu dat a důvěrnosti komunikací
Ochrana know-how
o Ochrana zaměstnanců
Bezpečnost práce zaměstnanců
Ochrana práv zaměstnanců dle pracovněprávních předpisů
Identifikace zaměstnanců
Ochrana zaměstnanců při styku s veřejností
Ochrana
zaměstnanců
pracovištích) 68
před
škodlivými
událostmi
(na
všech
o Ochrana produktů a sluţeb
Ochrana před zneuţitím telekomunikačních sluţeb
Ochrana dobíjecích kódů
Ochrana před zneuţitím odcizených nebo ztracených SIM karet
Ochrana před zneuţitím odcizených nebo ztracených mobilních zařízení
Ochrana před obtěţujícím voláním, SMS
Zabezpečení zaváděných produktů a sluţeb
o Bezpečnostní nástroje
Klasifikace informací
Fraud Management
Hlášení bezpečnostních událostí, incidentů a rizik
Ochrana výnosů
Zabezpečení zaváděných produktů a sluţeb
IT ochrana
Fyzická ochrana
Personální ochrana
Krizové řízení
Firemní kultura z pohledu bezpečnosti
Auditní a kontrolní činnost v rámci ISMS
Personální zajištění o Bezpečnostní management a jeho sloţení
Bezpečnostní management
Členové Bezpečnostního managementu a jejich role
Jmenování bezpečnostních konzultantů
Kaţdý z výše uvedených bodů dále obsahuje stručnou charakteristiku oblasti, strategický cíl, odpovědnosti a relevantní odkazy na další související interní normy a směrnice.
9.2. Příručka ISMS Organizace má vybudovaný, zavedený, udrţovaný a soustavně zlepšovaný dokumentovaný ISMS, a to v kontextu všech činností a rizik. Ţivotní cyklus ISMS je zaloţen na modelu PDCA. 69
Příručka ISMS obsahuje detailně popsaný PDCA cyklus se všemi aspekty týkajícími se telekomunikační techniky a s ní spojené administrativy.
9.2.1.
Ustanovení ISMS
Fáze ustanovením je první fází, kde se definují poţadavky na systém řízení informační bezpečnosti.
9.2.1.1.
Politika ISMS
Politika ISMS je z pohledu interní dokumentace vrcholovým dokumentem v oblasti informační bezpečnosti. Je definována s ohledem na obchodní aktivity organizace, organizační strukturu a umístění aktiv a technologií. Politika ISMS dále:
definuje rámec pro stanovení cílů v oblasti ISMS a celkový směr řízení v oblasti bezpečnosti informací;
zohledňuje poţadavky organizace a zákonné, regulatorní a smluvní poţadavky;
pro zavedení a provoz ISMS vytváří potřebné vazby na prostředí, tedy na strategii organizace, její organizační strukturu a proces řízení rizik;
stanovuje kritéria, kterými budou hodnocena rizika;
je schválena vedením organizace.
9.2.1.2.
Rozsah a hranice ISMS
Rozsah a hranice ISMS jsou určeny následujícími interními dokumenty organizace:
organizační struktura;
popisy procesů;
umístění;
aktiva.
ISMS je uplatněn vůči všem aktivům organizace a jsou uplatněny všechny poţadavky příslušných norem, legislativních opatření a regulačních poţadavků.
9.2.1.3.
Přístup k hodnocení rizik
Pro analýzu a hodnocení rizik je vyuţívána metodika CRAMM, která vyhovuje jak z pohledu ISMS, tak i z pohledu legislativních a regulačních poţadavků. V CRAMM je míra rizika vyjádřena pomocí stupnice od 1 do 7. Vypočtená míra rizika je pouţita k optimálnímu výběru protiopatření pro sníţení daného rizika. Kritéria pro akceptaci rizik a jejich akceptační úrovně jsou při vypočtených hodnotách míry rizika následující: 70
1 a 2 – akceptovatelné riziko, není třeba přijímat protiopatření;
3 aţ 5 – střední riziko, je postačující přijmout pouze základní protiopatření;
6 a 7 – vysoké riziko, je nutné přijmout protiopatření. Kombinací hodnoty aktiv, úrovní hrozeb a úrovní zranitelností je zjištěna míra rizika,
na jejímţ základě jsou potom s pouţitím CRAMM určena vhodná protiopatření. Metodika CRAMM zajišťuje, ţe výsledky analýzy a hodnocení rizik jsou porovnatelné.
9.2.1.4.
Schválení ISMS vedením organizace
Vedení organizace odsouhlasilo:
zavedení a provoz ISMS v organizaci;
navrţená zbytková rizika;
prohlášení o aplikovatelnosti.
9.2.2.
Zavádění a provoz ISMS
V rámci zavádění ISMS byla provedena analýza rizik dle metodiky CRAMM. Na základě provedené analýzy a vyhodnocení rizik byl zpracován plán zvládání rizik, který vymezil odpovídající činnost vedení, zdroje, odpovědnosti a priority pro management rizik bezpečnosti informací. Současně byla zavedena a ověřena bezpečnostní opatření (postupy, procesy) dle prohlášení o aplikovatelnosti pro naplnění cílů těchto opatření a byly zavedeny nebo aktualizovány postupy a další opatření pro rychlou detekci a reakci na bezpečnostní události a postupy reakce na bezpečnostní incidenty. Pravidelně je v rámci fáze plánování ISMS 1 x ročně ověřována aktuálnost politiky ISMS z pohledu bezpečnostní politiky organizace a legislativních a regulačních poţadavků. Plány, cíle, programy, procesy a postupy souvisejících s řízením rizik a zlepšováním bezpečnosti informací jsou zpracovány tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace. V rámci plánování jsou útvarem sluţeb firemní bezpečnosti a správy majetku určeny a zajištěny zdroje potřebné pro provoz, monitorování, přezkoumání, udrţování a zlepšování ISMS.
9.2.2.1.
Provoz ISMS
V rámci provozu ISMS jsou prováděny následující činnosti:
plán zvládání rizik je vytvářen tak, aby bylo dosaţeno identifikovaných cílů protiopatření, přičemţ jsou vzaty v úvahu finanční zdroje, přiřazení rolí a odpovědností; 71
u vybraných protiopatření (případně u skupin protiopatření) je určeno, jakým způsobem bude měřena jejich účinnost a jakým způsobem budou tato měření pouţita k vyhodnocení účinnosti, aby byly závěry hodnocení porovnatelné a opakovatelné. Měření účinnosti protiopatření poskytuje vedení organizace a zaměstnancům
informaci o tom, jak jednotlivá protiopatření naplňují plánované cíle protiopatření.
útvar sluţeb firemní bezpečnosti a správy majetku sleduje plnění politik, cílů a programů ISMS, a realizaci protiopatření a měření jejich účinnosti;
řízení zdrojů ISMS.
9.2.3.
Monitorování a přezkoumání ISMS
Monitorování a přezkoumání ISMS spočívá v posouzení funkčnosti a efektivnosti zavedených postupů a procesů vůči bezpečnostní politice organizace, stanoveným cílům, praktickým zkušenostem a závěrům z minulých přezkoumání ISMS. V organizaci jsou prováděny v rámci ISMS následující činnosti:
zaváděna, monitorována a přezkoumávána opatření (postupy, protiopatření): o pro včasnou detekci chyb zpracování; o pro včasnou identifikaci úspěšných i neúspěšných pokusů o narušení bezpečnosti a detekci bezpečnostních incidentů; o umoţňující vedení určit, zda bezpečnostní aktivity prováděné pověřenými osobami fungují podle očekávání; o umoţňující detekci bezpečnostních událostí a zabránění tak vzniku bezpečnostních incidentů; o umoţňující vyhodnocení účinnosti aktivit podniknutých při narušení bezpečnosti;
jedenkrát ročně do konce 2. čtvrtletí je přezkoumána účinnost ISMS (včetně splnění politiky ISMS, cílů a přezkoumání bezpečnostních protiopatření) s ohledem na výsledky
bezpečnostních
auditů,
incidentů,
výsledků
měření
účinnosti
protiopatření, návrhů a podnětů všech zainteresovaných stran;
účinnost zavedených protiopatření je posuzována v rámci analýzy rizik, kontrolních auditů, process review a jednorázových kontrol, aby se ověřilo, ţe byly naplněny poţadavky na bezpečnost;
72
jedenkrát ročně do konce 2. čtvrtletí je prováděno přezkoumání hodnocení rizik, přezkoumání zbytkových rizik a úrovně akceptovatelného rizika s ohledem na změny: o organizační struktury; o technologii; o cílů činností a procesů organizace; o identifikovaných hrozeb; o účinnosti zavedených protiopatření; o regulatorního a právního prostředí, změny vyplývající ze smluvních závazků, změny sociálního klimatu;
jsou prováděny interní audity ISMS v plánovaných intervalech.
9.2.3.1.
Metriky ISMS
Měření účinnosti u daných vybraných opatření probíhá jednou ročně, případně častěji dle potřeby organizace. Měření probíhá v rámci plánovaných interních auditů ISMS, proces review, případně v rámci jednorázových (předem neplánovaných) kontrol. Za koordinaci měření účinnosti opatření a za tvorbu záznamů o výsledcích měření odpovídá oddělení sluţeb firemní bezpečnosti a BCM. Na měření účinnosti spolupracují specialisté za danou oblast a interní auditoři ISMS, případně interní auditoři kvality. Příklady definovaných metrik:
počet bezpečnostních incidentů v dané oblasti za určité období;
výskyt nesouladu po implementaci daného opatření;
existence záznamů/dokumentů dokládajících splnění stanovených činností;
ukazatele vázané na výsledky testů či namátkových kontrol (např. penetrační testy, testy znalosti bezpečnostních pravidel apod.).
9.2.4.
Udrţování a zlepšování ISMS
V organizaci jsou pravidelně prováděny v rámci ISMS následující činnosti:
jsou zaváděna identifikovaná zlepšení ISMS;
jsou prováděny odpovídající nápravné a preventivní činnosti s vyuţitím jak vlastních zkušeností v oblasti bezpečnosti, tak i zkušeností jiných organizací;
jsou projednávány činnosti a návrhy na zlepšení na poţadované úrovni detailu se všemi zainteresovanými stranami.
73
Řízení dokumentů
9.2.5.
V rámci systému řízení informační bezpečnosti jsou vytvořeny dokumentované postupy pro:
schvalování obsahu dokumentů před jejich vydáním;
revizi dokumentů, jejich případnou aktualizaci a schvalování revidovaných verzí;
zajištění identifikace změn dokumentů a aktuálního stavu revize dokumentů;
zajištění dostupnosti příslušných verzí aplikovatelných dokumentů v místech jejich pouţívání;
zajištění čitelnosti a snadné identifikovatelnosti dokumentů;
zajištění dostupnosti dokumentů pro všechny, kteří je potřebují;
zajištění přenášení, ukládání a likvidace dokumentů v souladu s postupy odpovídajícími jejich klasifikaci;
zajištění identifikace dokumentů externího původu;
zajištění řízené distribuce dokumentů;
zabránění neúmyslnému pouţití zastaralých dokumentů;
aplikování jejich vhodné identifikace pro případ dalšího pouţití.
Odpovědnost vedení
9.2.6. Vedení
organizace
vyjadřuje
svoji
podporu
zavedení,
provozu,
monitorování,
přezkoumávání, udrţování a zlepšování ISMS tak, ţe:
zajišťuje stanovení cílů ISMS a plánu jejich dosaţení;
stanovuje role, povinnosti a odpovědnosti v oblasti informační bezpečnosti;
propaguje v rámci organizace význam plnění cílů informační bezpečnosti, jejich souladu s politikou ISMS, odpovědností vyplývajících ze zákona a potřebu soustavného zlepšování;
zajišťuje dostatečné zdroje pro vybudování, zavedení, provoz, monitorování, přezkoumání, údrţbu a zlepšování ISMS;
stanoví svým rozhodnutím kritéria pro akceptaci rizik a akceptovatelnou úroveň rizika;
zajišťuje provádění interních auditů ISMS;
provádí přezkoumání ISMS.
74
9.2.7.
Interní audity
Interní audity ISMS pro příslušný rok jsou naplánovány s ohledem na stav a význam auditovaných procesů a oblastí a s ohledem na výsledky předchozích interních auditů. Jsou definovány cíle auditů, jejich rozsah, četnost a metody. Výběr auditorů a vlastní provedení auditů musí zajistit objektivitu a nestrannost procesu auditu. Aby byla zajištěna nezávislost, auditoři nesmí provádět kontrolu svojí vlastní práce. Vedoucí zaměstnanci odpovědní za auditovanou oblast zajišťují, aby byly kroky vedoucí k odstranění zjištěných nedostatků a jejich příčin prováděny bez zbytečného odkladu. Tyto kroky obsahují zpětnou kontrolu a hlášení o výsledcích této kontroly. Interní audity ISMS se dělí na plánované a neplánované a jsou prováděny vyškolenými interními auditory z řad zaměstnanců organizace nebo pracovníky externí společnosti. Poţadovaná kvalifikace interního auditora ISMS je vysokoškolské vzdělání, absolvované školení v oblasti bezpečnosti informací a normy ISO/IEC 27001, minimálně rok praxe v organizaci. Po ukončení kaţdého interního auditu provede manaţer sluţeb firemní bezpečnosti kontrolu plnění ročního plánu auditů a v případě potřeby zajistí jeho aktualizaci.
9.2.8.
Přezkoumávání ISMS vedením organizace
Vedení organizace provádí přezkoumání ISMS 1x za rok, aby zajistilo jeho přiměřenost, adekvátnost a účinnost. Tato přezkoumání hodnotí moţnosti zlepšení a potřebu změn v ISMS, včetně bezpečnostní politiky a cílů bezpečnosti. Výsledky přezkoumání jsou zdokumentovány a jsou o nich udrţovány záznamy.
75
10. Výsledky Na základě výše provedené analýzy systému řízení informační bezpečnosti ve zkoumané organizaci, jsem došel k výsledkům detailněji popsaným v následujících kapitolách, týkajících se zásad budování ISMS, zvyšování povědomí o informační bezpečnosti a dále manaţerskému shrnutí auditu a zejména deklarace bezpečnostní politiky, kterou na základě výsledků poskytuje vedení společnosti a bývá součástí výročních zpráv.
10.1. Zásady pro budování a provoz systému Kaţdé řešení systému řízení informační bezpečnosti s sebou nese řadu úskalí nelze předem přesně vyhodnotit, jakým způsobem se bude systém v konkrétní organizaci nasazovat. Vţdy je potřeba zohlednit aktuální i budoucí klima v organizaci i vzhledem k platné legislativě i regulačním úřadům. Obecné zásady budování informační bezpečnosti jiţ byly několikrát zmíněny v předcházejících kapitolách, ale vţdy je potřeba si uvědomit, ţe se informační bezpečnost musí stát součástí běţného dne kaţdého zaměstnance organizace a kaţdý zaměstnanec musí mít o informační bezpečnosti povědomí náleţící své zastávané pozici.
10.2. Zvyšování bezpečnostního povědomí v organizaci V rámci organizace je prováděno pravidelné prohlubování povědomí o informační bezpečnosti v rámci rolí definovaných k příslušným kompetencím zaměstnanců pomocí mnoţství e-learningových kurzů. Kaţdoročně také probíhají akce věnované fyzické a informační bezpečnosti a komunikace návazných strategických cílů, včetně podpory národní a mezinárodní spolupráce v oblasti informační bezpečnosti. Povědomí o informační bezpečnosti je zavedeno i jako součást pravidelných hodnocení zaměstnanců, které probíhají jednou za šest měsíců. V tomto případě jsou stanovené hodnotící cíle mezi měkkými body. V ohledu udrţování nebo zvyšování povědomí o informační bezpečnosti nelze organizaci nic ani v nejmenším vytknout.
10.3. Manaţerské shrnutí Tato část obsahuje manaţerské shrnutí detailní analýzy rizik a etapy řízení rizik v oblasti informační bezpečnosti včetně protiopatření pro zvládání rizik.
76
Výsledky uváděné v manaţerském shrnutí jsou však uvedeny v předchozích kapitolách a z důvodu duplicity jiţ nebudou uváděny. Dalším obsahem je shrnutí nákladů na implementaci a provoz systému řízení informační bezpečnosti a predikce nákladů na příští tři roky. Je nezbytné, aby byla určená protiopatření prověřena osobou odpovědnou za jejich implementaci a priority byly schváleny. Konečné rozhodnutí o implementaci protiopatření zůstává na vedení organizace. Vzhledem k velkému rozsahu je třeba projednat a implementovat protiopatření od nejvyšších hodnot priorit k nejniţším. Pokud cena nebo jiné faktory ovlivní nebo znemoţní implementaci určitého protiopatření tak, ţe převáţí nad bezpečnostními aspekty, můţe být riziko akceptováno. Kaţdé takovéto rozhodnutí musí být zdokumentováno a zdůvodněno.
10.4. Deklarace bezpečnostní politiky Cílem informační bezpečnosti je zajištění kontinuity provozu modelové organizace a minimalizovat rizika pomocí jejich předcházení a sniţování případného vlivu na organizaci. Implementovaná politika systému řízení informační bezpečnosti si klade za cíl ochránit podniková aktiva proti všem interním a externím, úmyslným i neúmyslným hrozbám. Generální ředitel organizace stvrzuje, ţe:
informační aktiva jsou dostatečně ochráněna před neautorizovaným přístupem;
je zajištěna důvěrnost informačních aktiv;
je zajištěna a udrţována integrita informačních aktiv;
je zajištěna a udrţována dostupnost informačních aktiv pro účely obchodních procesů;
jsou vytvořeny plány zachování kontinuity provozu;
povědomí zaměstnanců o informační bezpečnosti je náleţitě prohlubováno.
Všichni vedoucí jsou zodpovědní za implementaci informační bezpečnosti Je zajištěna shoda s deklarovanou politikou informační bezpečnosti.
77
Závěr Organizace má systém řízení informační bezpečnosti implementován na velmi vysoké úrovni, o čemţ svědčí získaná certifikace v rozsahu „Vývoj, prodej a poskytování mobilních telekomunikačních sluţeb v souladu s platným prohlášením o aplikovatelnosti―. ISMS je v organizaci součástí integrovaného systému řízení, a proto se tyto systémy řízení projevují ve všech procesech a úkonech. Provedená analýza rizik identifikuje seznam zranitelností, které mohou být v budoucnu vyuţity, nicméně tyto zranitelnosti nepředstavují váţnou hrozbu pro nasazení a udrţovaný systém řízení informační bezpečnosti. Za několik let jeho fungování, prosazování a zdůrazňování informační bezpečnosti spolu s pravidelnými audity a reflexí lze poznamenat, ţe je tento systém doveden přímo aţ k dokonalosti a ochrana investic a informačních aktiv včetně informací o účastnících telekomunikačního provozu je beze zbytku splněna.
78
Seznam pouţité literatury [1]
DOSEDĚL , Tomáš. Počítačová bezpečnost a ochrana dat. Libor Pácl. Brno : Computer press, c2004. 187 s. ISBN 80-251-0106-1.
[2]
DOUCEK, P., NOVOTNÝ, O.: Standardy řízení podnikové informatiky, Standardy řízení podnikové informatiky. E+M. Ekonomie a Management, 2007, roč. X, č. 3, s. 132–146. ISSN 1212-3609
[3]
DOUCEK, P.: Bezpečnost informační systémů a její prosazování v České republice, In: Informatika 2003, pp. 141 – 146, Bratislava 2003, ISBN 80-233-0491-7.
[4]
HANÁČEK, Petr a STAUDEK, Jan. Bezpečnost informačních systémů, Úřad pro státní bezpečnostní systém 2000
[5]
ISO/IEC 27000:2009 Information security management systems - Overview and vocabulary, ISO
[6]
ISO/IEC 27001:2005 Information security management systems - Requirements, ISO
[7]
ISO/IEC 27002:2005 Info Code of practice for information security management, ISO
[8]
ISO/IEC 27003:2010 Information security management system implementation guidance, ISO
[9] [10]
ISO/IEC 27005:2008 Information security risk management, ISO ISO/IEC 27011:2008 Info Information security management guidelines for telecommunications organizations based on ISO/IEC 27002, ISO
[11]
ISO/IEC 27035 Security incident management, ISO
[12]
ISO/IEC 9001:2004 Quality management systems - Requirements, ISO
[13]
KOPÁČIK, Ivan, et al. Management and audit of Information security : Manual for Manager. Brtatislava, Slovensko : Sineal s.r.o., 2007. 322 s. ISBN 978-80-9697470-2.
[14]
Management sluţeb IT Komentované vydání souboru ISO/IEC/DIS 20000:2004 (Ing. Marie Šebestová, Ing. Vladimír Váňa, Mgr. Miroslav Sedláček), Český normalizační institut
[15]
ŠABATOVÁ, I.: Systémy správy identity a řízení přístupu, In: VOŘÍŠEK, Jiří (ed.). Systems
79
Seznam zkratek BSI BSC BSI BTS CRAMM CMDB CobiT CVE ČSN DISA eTOM FMC HIPAA HLR IaaS ICT IS ISMS ISO IT ITIL ITU MSC NBÚ NIST NOC OMC PaaS PCI DSS PDCA SaaS SMC SMSC SOX TRAU VLR
The British Standards Institution Base Station Controller Bundesamt für Sicherheit in der Informationstechnik Base Transceiver Station CCTA Risk Analysis and Management Method Configuration Management Database Control Objectives for Information and related Technology Common Vulnerability and Exposures Česká státní norma Defense Information Systems Agency enhanced Telecom Operations Map Fault Monitoring Center Health Insurance Portability and Accountability Act Home Location Register Infrastructure as a service Information and Communication Technology Information System Information Security Management System International Organization for Standardization Information Technology Information Technology Infrastructure Library International Telecommunication Union Mobile Switching Center Národní bezpečnostní úřad National Institute of Standards and Technology Network Operations Center Operations and Maintenance Center Platform as a service Payment Card Industry Data Security Standard Plan-Do-Check-Act Software as a service Service Monitoring Center Short Text Messaging Center Sarbanes–Oxley Act Transcoder and Rate Adaptation Unit Visitor Location Register
80
Seznam obrázků Obrázek 1 Návaznosti v informační bezpečnosti
10
Obrázek 2 Proces systému řízení informační bezpečnosti
10
Obrázek 3 Příklad kompletního souboru politik v organizaci
14
Obrázek 4 Nakládání s aktivy
17
Obrázek 5 Rodina norem pro řízení informační bezpečnosti [5]
25
Obrázek 6 Zjednodušený proces řízení rizik
31
Obrázek 7 Vyhodnocení rizik
32
Obrázek 8 PDCA cyklus rozšířený o prvky ISMS
35
Obrázek 9 Proces ustanovení ISMS
35
Obrázek 10 Proces zavádění a provozu ISMS
37
Obrázek 11 Proces monitorování a přezkoumávání ISMS
38
Obrázek 12 Proces udrţování a zlepšování ISMS
39
Obrázek 13 Ţivotní cyklus vývoje metrik
41
Obrázek 14 Měření specifických poţadavků
41
Obrázek 15 Návaznosti ITIL na ISO/IEC 27000 v ITSM
44
Obrázek 16 Fáze auditu informační bezpečnosti
45
Obrázek 17 Schéma telekomunikačního systému
48
Seznam tabulek Tabulka 1 Metody a nástroje pro analýzu rizik
46
Tabulka 2 Datové aktivum
52
Tabulka 3 Aplikační aktivum
53
Tabulka 4 Fyzické aktivum
53
Tabulka 5 Vztah telekomunikačních entit a rizik
58
Tabulka 6 Sumarizace hodnoceni aktiv pro technologii BTS
59
Tabulka 7 Hodnocení hrozeb a zranitelností technologie BTS
62
Tabulka 8 Protiopatření s vysokými prioritami ve stavu „Není zavedeno―
66
81
Přílohy A. Plán implementace ISMS dle ISO/IEC 27001 Clarify priorities to develop an ISMS Initial scoping meeting Determine the objectives of ISMS implementation Document objectives Define the preliminary ISMS scope Develop the preliminary ISMS scope Define roles & responsibilities Document the preliminary ISMS scope Document roles & responsibilities Create Business Case for PRB submission Draft Business Case Draft ISO 27001 ISMS Project proposal Internal Review Conduct Business Case review Conduct ISMS Project proposal review Incorporate comments and update documents Executive Sponsor Review Conduct Business Case review Conduct ISMS Project proposal review Incorporate comments and update documents PRB Submission Finalise documents for PRB submission Submit documents to Project Review Board PRB project approval
ESTABLISH THE ISMS (PLAN) ISMS Scope and Boundaries Define organisational scope and boundaries Define ICT scope and boundaries Define Physical scope and boundaries 82
Integrate each scope & boundary Develop ISMS scope and boundaries document ISMS Scope document review ISMS Scope published ISMS Information Security Requirements Analysis Define information security requirements for the ISMS process Conduct preliminary Gap Analysis Produce preliminary Gap Anlaysis Report ISMS MISF Develop TOR's for MISF Convene MISF/Cross-functional group ISMS Information Security Policy documents set Define procedures & controls in support of the ISMS Define information security procedures Define control documentation Define an ISMS Policy Identify framework for setting objectives Identify information security compliance obligations Align with the strategic approach to risk management Establish risk appetite (information security risk evaluation criteria) Release draft ISMS Policy for review Release information security policy set for review Review information security policy document set Information Security Policy set published & approved by Management ISMS Risk Assessment Approach Define the risk assessment approach Identify the risk assessment methodoly Develop the criteria for accepting risks Identify the acceptable levels of risk Asset Classification Identify assets within the scope of the ISMS Develop procedure for Asset Classification Risk Assessment Plan Prepare Risk Assessment Plan 83
Publish Risk Assessment Plan Conduct Information Security assessment Publish Information Security assessment report ISMS Risk Assessment Information security Risk Assessment Identify the risks - workshop/brainstorm Analyse and evaluate the risks Identify and evaluate the options for the treatment of risks Publish Risk Assessment report Control Objectives and Controls Select control objectives and controls for risk treatment Draft the ISMS Risk Treatment Plan Inform Management of the proposed residual risks Management acceptance of residual risks Obtain Management authorisation to implement & operate the ISMS Document management approval to implement & operate the ISMS ISMS Statement of Applicability Prepare the ISMS Statement of Applicability (SoA) Publish the ISMS SoA ISO 27003 Checklist Validate stage tasks complete from ISO 27003 checklist
IMPLEMENT AND OPERATE THE ISMS (DO) ISMS Operational Window Risk Treatment Formulate the ISMS Risk Treatment Plan (RTP) Implement ISMS RTP Control Implementation Implement selected controls to meet control objectives Define how to measure the effectiveness of selected controls Organisational information security Design final organisational structure for information security Input roles, responsibilities, reporting lines Publish final org structure for ISMS 84
ISMS Documentation Framework Identify requirements for ISMS records and document control Design documentation requirements Design recording requirements Publish Document Control procedure Publish Records Control procedure Informaiton Security Policy Manual Collate/input required information Publish ISMS Information Security Policy Manual Develop information security standards and procedures Workshop to develop information security standards Publish organisational security implementation plan Training and Awareness Design information security awareness, training and education program Launch information security awareness program Manage operation and resources of the ISMS Design ICT and Physical information security Design ISMS specific information security Plan for management reviews Publish procedure for management reviews ISO 27003 Checklist Validate stage tasks complete from ISO 27003 checklist
MONITOR AND REVIEW THE ISMS (CHECK) Monitoring and reviewing procedures Execute monitoring and reviewing procedures Internal Audits Audit Planning Preparation Auditors Selection and Training Internal Audit Execution Internal Audit Documentation Corrective and Preventive Actions Report External Audit Contact external auditor 85
Arrange external audit Control measurement Measure control effectiveness to verify security requirements are met Risk Assessment Reviews Plan Risk assessment reviews Conduct initial risk assessment review Management Reviews Plan management reviews Undertake management review of the ISMS Security plans Update security plans to take account of monitoring and reviewing Record actions & events that impact ISMS ISO 27003 Checklist Validate stage tasks complete from ISO 27003 checklist
MAINTAIN AND IMPROVE THE ISMS (ACT) ISMS Improvement Implement identified improvements to ISMS Develop corrective actions procedure Develop preventative actions procedure Publish corrective actions procedure Publish preventative actions procedure Take appropriate corrective and preventation actions Communicate actions and improvements to interested parties Ensure improvements achieve intended objectives Final Corrections Compliance review Complete conformity with ISO 27003 checklist - Compliance Review Non-conformities corrections
External Audit of ISMS Arrange final audit paperwork Convene pre-audit MISF Audit (Final Assessment) 86
