Bezpečnost informací Oborové normy
V Brně dne 24. června 2014
Oborové normy Státní správa Zdravotnictví ISP Energetika
Akademické a univerzitní prostředí
Normy ISO/IEC 27xxx – Systém managementu bezpečnosti informací
2
Státní správa
Státní správa
3
ISMS ve státní správě Pojmy: ISVS – Informační I f č í systémy té veřejné ř j é správy á MIČR – Ministerstvo Informatiky ČR – zrušeno v roce 2007 NSIB – Národní strategie informační bezpečnosti ČR Č - Zajištění informační bezpečnosti veřejnou správou - Strategie předpokládá spolupráci orgánů veřejné správy s národní normalizační institucí (tj. Českým normalizačním institutem) při tvorbě norem z oblasti informační bezpečnosti. NCKB – Národní centrum kybernetické bezpečnosti CERT – Computer Emergency Response Team je vládní pracoviště zřízeno jako součást NCKB a značí tým pro řešení bezpečnostních počítačových incidentů Státní správa je z pohledu ISMS a jeho zavádění nejpotřebnější a nejkritičtější oblast z pohledu množství a členitosti zpracovávaných údajů. ISVS
4
ISMS ve státní správě Specifika zavádění ISMS ve státní správě - převážná část dokumentů existuje v papírové formě - komplikované hodnocení dopadů při analýze rizik - komplikovaná mezirezortní komunikace V dokumentu Bezpečnostní strategie ČR z roku 2011 zmiňuje v seznamu bezpečnostních hrozeb kybernetické útoky a ohrožení funkčnosti kritické infrastruktury. Ve vztahu k bezpečnostním požadavkům jsou v ČR nejvýznamnějšími: - zákon č. 365/2000 Sb., o informačních systémech veřejné správy - zákon č. 81/2012 Sb., je poslední novela předchozího - zákon č č. 499/2004 Sb Sb., o archivnictví a spisové službě - zákon č. 167/2012 Sb., je poslední novela předchozího - vyhláška č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy - vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb
ISVS
5
ISMS ve státní správě V České republice byl v prosinci roku 2002 vydán Standard ISVS 005/02.1 pro náležitosti životního cyklu informačního systému (vydal Úřad pro veřejné informační v Praze). i f č í systémy té P ) Národní digitální archiv P íh ččervence roku k 2012 nabyla b l úči lší novela l zákona ák č Prvního účinnostiti d další č. 499/2004 Sb., o archivnictví a spisové službě. Otevřela se tím legislativní cesta k vybudování Národního digitálního archivu, který bude specializovaným i li ý servisním i í pracovištěm iště a bude b d zajišťovat jišť t trvale t l udržitelné d žit l é a bezpečné uchování digitálních dokumentů vybraných za digitální archiválie. Národní portál Součástí realizace Národního digitálního archivu bude tzv. Národní portál, který bude mít celou řadu zásadních funkcí, a to nejen pro vlastní původce, ale také pro badatele badatele. Půjde o informační systém veřejné správy správy, který bude spravovat Národní archiv. V rámci EU je funkční model zvaný „Úřední věstník Evropské unie“, který f formou prováděcích ádě í h nařízení ří í komise k i EU stanovuje t j například říkl d ttechnické h i ké specifikaci pro zabezpečení systémů ICT v rámci ISMS. ISVS
6
ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých ý útoků ((20 Critical Securityy Controls): ) 1. inventář autorizovaných a neautorizovaných zařízení (HW audit) 2. inventář autorizovaného a neautorizovaného SW (SW audit) 3. bezpečné konfigurace HW a SW na pracovních stanicích a serverech 4. p průběžná kontrola zranitelnosti a jjejí j odstranění 5. ochrana před škodlivým SW 6 bezpečnost aplikačního SW 6. 7. opatření pro bezdrátová zařízení 8 schopnost obnovy dat (manuální ověření) 8. 9. posouzení bezpečnostních schopností a vhodné školení (manuální ověření) 10 b 10. bezpečná č á kkonfigurace fi síťových íť ý h zařízení ří í (fireally, (fi ll routery t a switche) it h ) ISVS
7
ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých ý útoků (20 ( Critical Securityy Controls)) - pokračování: 11. omezení a opatření pro síťové porty, protokoly a služby 12. řízení administrativních privilégií 13. ochrana perimetru 14. údržba,, sledování a analýza ý bezpečnostních p log g záznamů 15. kontrola přístupu založený na principu „need to know“ 16 sledování a řízení uživatelských účtů 16. 17. předcházení ztrátám dat (Data Loss Prevention) 18 schopnost reakce na incidenty (manuální ověření) 18. 19. bezpečný síťový inženýring 20 penetrační 20. t č í testy t t ISVS
8
4 fáze penetračních testů
Planning Discovery Attack Reporting Mngr ISMS
– pouze příprava na testování – (2 části – start testování a analýza hrozeb ‐ Vulnerabilities) – základní a individuální fáze dle analýzy hrozeb se zpětnou vazbou základní a individuální fáze dle analýzy hrozeb se zpětnou vazbou – průběžné dokumentování testů 9
Zdravotnické prostředí
Zdravotnictví
10
ISMS ve zdravotnictví Zdravotnická informatika (Health informatics) – je vědecká disciplína, která se zabývá ý poznávacími, informačně-zpracovatelskými ý a komunikačními úkolyy zdravotnické praxe, vzděláním a výzkumem včetně informační vědy a technologií na podporu těchto úkolů. (Definováno v ISO/TR 18307:2001, definice 3.73) Zdravotnický informační systém (Health informatik system) – je úložiště (repositář) informací týkajících se zdravotního stavu subjektu péče v počítačově zpracovatelné formě formě, uložených a přeníášených bezpečně bezpečně, a přístupných více autorizovaným uživatelům. (Definováno v ISO/TR 20514:2005, definice 2.25) Osobní zdravotní informace (Personal health information) – jsou informace o identifikovatelné osobě, které se vztahují na fyzické nebo duševní zdraví jedince, nebo na poskytování zdravotních služeb jednotlivé osobě. Z pohledu provozního prostředí je třeba vnímat zdravotnictví jako specifikum, které je řešeno odlišnými požadavky na informační systémy.
Oborové ISMS
11
ISMS ve zdravotnictví - prostředí Aktiva z pohledu bezpečnosti zdravotních informací zahrnují: - Lékařské informace - Služby IT - HW - SW - Komunikační zařízení - Média (nosiče dat) - IT zařízení - Lékařská zařízení, která zaznamenávají nebo poskytují data Organizace, které zpracovávají zdravotnické informace, včetně osobních údajů, musí mít politiku bezpečnosti informací, která je schválena vedením, publikována a sdělena všem zaměstnancům a příslušným vnějším stranám.
Oborové ISMS
12
ISMS ve zdravotnictví - zařízení Specifické požadavky na bezpečnost zdravotnických elektronických přístrojů -
Elektrická zdravotnická zařízení (MED) -
dva prostředky ochrany MED:
- Prostředek ochrany obsluhy - MOOP (MEANS OF OPERATOR PROTECTION) Prostředek ochrany pro snížení rizika úrazu elektrickým proudem osob jiných, než pacienta. - Prostředek ochrany pacienta – MOPP (MEANS OF PATIENT PROTECTION)
-
Zdravotnický elektrický systém (definice a popis v ČSN EN 60601-1 edice 2 kapitola 16)
-
ČSN EN 60601 (ed. 2) – Zdravotnické elektrické přístroje – Část 1: Všeobecné požadavky na základní bezpečnost a nezbytnou funkčnost (36 4801).
Specifické požadavky na redundanci v napájení zařízení ICT - napájení standardními okruhy s UPS - záložní motorgenerátor (týdenní test s přepojením okruhů okruhů,…)) - Specifické okruhy pro MED s bezpečným napětím Oborové ISMS
13
Medicínská zařízení EU direktiva 93/42/EEC z roku 1993 - definuje medicínská zařízení a jejich řazení do tříd
EU direktiva 93/68/EEC -
Definuje podmínky pro udělení certifikátu CE
-
Označení CE potvrzuje tzv. shodu produktu s požadavky předpisů EU.
-
v ČR Č tzv. prohlášení o shodě dle zákona č. 22/1997 Sb. (Zákon o technických požadavcích na výrobky)
Oborové ISMS
14
ISO/IEC 27799:2008 ISO/IEC 27799:2008 – Zdravotnická informatika – Systémy řízení bezpečnosti informací ve y j ISO/IEC 27002 zdravotnictví využívající Tato mezinárodní norma definuje obecné zásady pro podporu interpretace a implementace zdravotnické informatiky ISO/IEC 27002 a je doprovodem této normy. T t norma specifikuje Tato ifik j soubor b podrobných d b ý h kkontrol t l pro ří řízeníí bezpečnosti b č ti zdravotnických d t i ký h informací a poskytuje směrnice pro prověřené postupy v oblasti bezpečnosti zdravotnických informací. Tato norma se vztahuje na zdravotnické informace ve všech aspektech aspektech, bez ohledu na jejich formu (slovní a číselnou, zvukové nahrávky, kresby, video a lékařské snímky), na prostředky k jejich ukládání (tisk, zápis na papíře nebo elektronické uložení) a na prostředky využívané k jejich přenosu (ručně, faxem, přes počítačové sítě či poštou), protože tyto údaje musí být vždy náležitě chráněny. Normy ISO/IEC 27002 a ISO/IEC 27799 společně určují, jaké jsou požadavky na bezpečnost informací ve zdravotnictví. T t mezinárodní Tuto i á d í normu uzavírají í jí tři iinformační f č í přílohy. říl h - Příloha A – popisuje obecné hrozby pro zdravotnické informace - Příloha B – stručně popisuje úkoly a související dokumenty systému řízení b bezpečnosti č ti zdravotnických d t i ký h iinformací f í - Příloha C – popisuje výhody podpůrných nástrojů jako pomoc při implementaci Oborové ISMS
15
KI a zdravotnictví Pojem Krizová infrastruktura ve zdravotnictví je vyčleněná část zdravotnického segmentu zajišťující základní a existenčně nezbytné funkce systému poskytování zdravotnických služeb a zdravotní péče v podmínkách nouzových až kritických situací Výběrovým kritériem prvků krizové infrastruktury resortu je legitimní ukazatel „druh, rozsah a místo“ poskytování služeb.
P j Pojem K iti ká iinfrastruktura Kritická f t kt ve zdravotnictví d t i t íje vybraná soustava klíčových prvků krizové infrastruktury, které jsou určující pro zabezpečení p p základní,, existenčně nezbytné y funkce systému y Kritériem je odborně posouzená role prvku z hlediska „rozsahu, závažnosti a času“. Rozsah – místní, regionální, vnitrostátní, mezinárodní. Závažnost – dle dopadu na obyvatele, hospodářství, životní prostředí, veřejné zdraví, psychiku a politiku. Čas – určuje závažnost dopadu okamžitě, do 24, 48, 72 hodin, 7 dnů, atd.
KI
16
ISP
ISP
17
ISMS a ISP Pojmy: ISP (Internet Service Provider) - je poskytovatel telekomunikačních a datových služeb. ISMS-T - je označení pro problematiku ISMS v telekomunikačním prostředí. JTC1/SC27 – jje technická p podkomise ISO/IEC zabývající ý j se standardizací IT bezpečnosti. ITU - (International Telecommunication Union) - Mezinárodní telekomunikační unie Problematika bezpečnosti je řešena dvojí cestou. První je IT, druhá ryze telekomunikační (ISMS-T). Ta je řešena normativně organizací ITU-T. ITU-T - ITU-T připravuje technické specifikace pro telekomunikační systémy, sítě a služby, včetně jejich provozu, fungování a údržbu. V rámci ITU-T jsou vytvářeny pracovní skupiny SG (Study Group) s určenými aktivitami. Telekomunikační bezpečnost p – jje bezpečnost p ICT technologií g v telekomunikačních aplikacích (ISMS-T). Konvergence telekomunikačních sítí – je technologické přibližování či přechod k jednotnému síťovému řešení. NGN – Next N t Generation G ti Network N t k jsou j konvergované k é ttelekomunikační l k ik č í sítě ítě poskytující k t jí í komplexní služby koncovým uživatelům. Oborové ISMS
18
ISMS a ISP Bezpečnost komunikačních služeb lze schématicky znázornit na příkladu blokového zapojení a vzájemných vazeb dle Q9/17 - Secure Communication Services:
Oborové ISMS
19
ISP – odpovědnost a kybernetická kriminalita
Management informační bezpečnosti
20
ISP Odpovědnost ISP dle platné legislativy - pojem ISP (vymezení dle zákona čč. 480/2004 Sb Sb., dělení dle typu poskytovaných služeb – hosting, caching, přenos dat) - pojem odpovědnosti z pohledu práva - odpovědnost ISP za obsah přenášených a ukládaných informací informací, koncepce „safe harbor“ - předpoklady, podmínky a limitace vzniku odpovědnosti ISP - filehostingové služby – boj autorských svazů proti těmto modelům podnikání, - žaloby na zákaz poskytování služeb, které mohou vést k porušování autorských práv - blokace webových stránek ze strany poskytovatelů připojení Praktické zkušenosti očima p poskytovatelů y služeb - odpovědnost za obsah poskytnutý uživateli a za obsah nelegálně získaný a umístěný na server poskytovatele - odpovědnost d ěd t za uveřejněné ř j ě é iinformace f Management informační bezpečnosti
21
Internetové služby Rozhodovací praxe soudů v oblasti internetových služeb - služby poskytující autorsky chráněný obsah v judikatuře - žaloby na blokaci webových stránek ze strany poskytovatelů připojení právo a jjurisdikce v p prostředí internetu ((řízení vztahů na internetu)) - rozhodné p
Kybernetické útoky a kybernetická trestná činnost - současné č é aspekty kt kkybernetické b ti ké kkriminality i i lit - pojem kybernetických útoků - postup orgánů činných v trestním řízení při odhalování kybernetické trestné činnosti
Management informační bezpečnosti
22
ISO/IEC 27011:2008 ISO/IEC 27011:2008 – Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 Norma ISO/IEC 27011 je přizpůsobena telekomunikačnímu prostředí a je postavena na bázi všeobecné normy ISO/IEC 27002. Norma řeší následující témata: - Obecné pokyny pro informační bezpečnost - Organizační struktury - Odpovědnost Od ěd t a kl klasifikaci ifik i informačních i f č í h aktiv kti - Bezpečnostní opatření pro zaměstnance - Fyzickou ochranu a veřejné služby - Sítě a p provozní bezpečnost p - Řízení přístupu - Systém vývoje a údržby - Bezpečnostními incidenty - Plánování Plá á íh havarijní ij í připravenost ři t - Dodržování vnitřních a regulačních požadavků ITU-T Recommendation X.1051 Information security management system – Requirements for telecommunications (ISMS-T) Doporučení X.1051 platí pro ISMS v telekomunikačním prostředí (ISMS-T). Oborové ISMS
23
NGN Pro NGN (Next Generation Networks) platí norma ve formě ITU-T následující bezpečnostní doporučení: ITU-T Recommendation X.800 Security architecture for Open Systems Interconnection for CCITT applications ITU-T Recommendation X.805 Security Architecture for Systems Providing End-to-End C Communications i ti NGN (Next Generation Networks) – sítě následující generace jsou konvergované sítě poskytující komplexní síťové služby na úrovni dat dat, komunikací a multimediálních aplikací. aplikací Jsou postaveny na přenosu paketů a určeny k poskytování telekomunikačních služeb uživatelům. Doporučení ITU-T ITU T Y.2001 Y 2001 definuje NGN jako síť založenou na přepojování paketů paketů. Dodatek k doporučení ITU-T Y.2011 doporučuje vhodný model OSI pro NGN. Doporučení ITU-T Y.120 definuje model konvergence sítě. Doporučení ITU-T ITU T Y.2701 Y 2701 Security requirements for NGN Doporučení ITU-T Y.2704 Security mechanisms and procedures for NGN Konvergencii z pohledu K hl d b bezpečnosti č ti b bude d řešit ř šit připravovaná ři á norma ISO/IEC 27033 27033-6 6– IP konvergence. Oborové ISMS
24
NGN Konvergenční model NGN je řešen ve třech aplikačních vrstvách (data, vysílání, telekomunikace). Rozfázování konvergence lze provést v následných krocích: Obsah –> Služby –> Infrastruktura –> Koncový uživatel
Oborové ISMS
25
IMS IMS (IP Multimedia Subsystem) jako součást NGN
Oborové ISMS
26
Energetika
Energetika
27
Distribuce elektřiny Kolem připravované novely energetického zákona (č. 458/2000 Sb.) je rušno. Za dobu platnosti zákona je již jednadvacátá! Příklad: Současná platba za elektřinu se skládá z několika složek složek. U elektřiny jsou prakticky významné tři složky ceny: - Platba za distribuci elektřiny distributorovi - Platba za odebrané množství elektřiny - Příspěvek na obnovitelné zdroje Přičemž platba za odebranou elektřinu je jedinou složkou ceny ceny, kterou stanovuje trh trh. Je závislá na množství odebraných kilowatthodin (kWh). Platba za distribuci je regulovaná a její výše je každoročně stanovována vyhláškou Energetického regulačního úřadu. Tato platba tvoří téměř polovinu celkové ceny a má dvě složky: - pe pevnou ou p platbu a bu za ap přípojné poj é místo s o (jejíž (jej výše ýše je závislá á s á na a velikosti e os hlavního a o jjističe) s če) - platbu za odebrané kWh. Energetika
28
Energetika ISO/IEC TR 27019:2013 – Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control t l systems t specific ifi tto th the energy utility tilit industry i d t Poskytuje hlavní zásady postavené na ISO/IEC 27002 aplikované na systémy řízení procesů používaných v energetickém průmyslu. Cílem ISO/IEC TR 27019:2013 je rozšířit ISO/IEC 27000 soubor norem na oblast procesních řídicích systémů a automatizační techniky, což umožňuje energetickému rozvodnému průmyslu implementovat standardizovaný systém řízení informační bezpečnosti (ISMS) v souladu s normou ISO/IEC 27001 se záběrem až na úroveň řízení procesů . Rozsah ISO/IEC TR 27019:2013 se vztahuje na systémy řízení procesů používaných v energetice pro řízení a monitorování výroby, přenosu , skladování a distribuci elektrické energie , plynu a tepla v kombinaci s kontrolou podpůrných procesů. Mimo záběr ISO/IEC TR 27019:2013 je konvenční nebo klasické ovládací zařízení, které není postaveno na digitálním principu, tedy je čistě elektromechanické nebo je postaveno na analogovém principu. Energetické systémy řízení technologických procesů v domácnostech a jiných srovnatelných obytných budovách nespadají do působnosti ISO/IEC TR 27019:2013. Oborové ISMS
29
Energetika Působnost normy se týká především následujících systémů, aplikací a komponentů: - obecně IT technologií podporující centrální a distribuované řízení procesů, monitorování a automatizační techniky, včetně IT systémů používané pro jejich provoz - číslicových čí li ý h regulátorů lát ů a automatizačních t ti č í h kkomponentů, tů jjako k jje ří řízeníí a periferie if i nebo b PLC , včetně digitálních prvků pro snímače a pohony - všech dalších podpůrných IT systémů používaných v oblasti řízení procesů, např. pro sběr doplňujících údajů údajů, vizualizační úlohy a pro řízení, řízení monitorování monitorování, archivaci dat a k dokumentačním účelům - komunikačních technologií používaných v oblasti řízení technologických procesů, např. sítí, telemetrii, dálkové aplikace a dálkové ovládání technologií - digitálního měření a měřících přístrojů (pro měření spotřeby energie nebo mezních hodnot emisí) - digitální ochrany a bezpečnostních systémů, systémů např např. ochranná relé nebo bezpečnostní PLC měření a měřicí zařízení (měření spotřeby energie nebo mezních hodnot emisí) - distribuovaných komponentů prostředí budoucích inteligentních sítí - veškerého softwaru softwaru, firmwaru a aplikací nainstalovaných ve výše zmíněných systémech Oborové ISMS
30
SCADA – dohledové systémy SCADA (Supervisory Control and Data Acquisition) ICS (Industrial Control System)
Dohled nad KI
31
SCADA/HMI Profesionální SCADA/HMI systém určený pro monitorování a ovládání průmyslových y ý procesů a automatizaci budov. Základní atributy SW SCADA: - intuitivní, p přehledné a moderní vývojové ý j p prostředí - rychlý vývoj aplikací (RAD) - vizualizace pro PC, web, tablety a chytré telefony - rozsáhlá knihovna grafických objektů - rychlá a kvalitní technická podpora
SCADA není plnohodnotným řídicím systémem, ale zaměřuje se spíše na úroveň supervizora (např. dispečera). Zpravidla je to software fungující nad skutečným ý řídicím systémem y založeným ý např. p na PLC (p (programovatelný g ý logický automat) nebo jiných HW zařízeních. HMI je zkratka pro Human Machine Interface, tzn. rozhraní mezi člověkem a strojem. t j Atributy
32
Akademické prostředí
Akademické prostředí
33
Campus – optická páteř
Oborové ISMS
34
Akademické a univerzitní prostředí Akademickým prostředím je v této souvislosti myšleno prostředí vysokoškolských zařízení. Škola Šk l kkromě ě toho, t h žže poskytuje k t j iinternet t t svým ý zaměstnancům, ě t ů ttakk se také t ké stává tá á poskytovatelem internetu pro své studenty (zpravidla formou WiFi). Je tedy nutné zdůraznit následující: – řádné oddělení sítí (síť pro zaměstnance, síť v počítačových učebnách, WiFi síť) a s tím související přístupová práva (nejen 802.1x) a QoS (přidělení priorit jednotlivým typům služeb)) – dodržování IT standardů (umožnění funkčního připojení zařízení od různých výrobců, zejména v případě wifi sítě a notebooků studentů) – AAA ((autentizace a autorizace jjednotlivých ý uživatelů samostatně a nikoliv sdílená hesla)) – logování aktivit uživatelů (přihlášení, odhlášení, použité služby, IP adresy apod.) – adekvátní bezpečnostní politika - např. (dočasné) omezení přístupu k WiFi (nebo jiný postih)v případě potenciálního ohrožení sítě (přítomnost viru nebo červa na notebooku apod.) či jiného porušení pravidel jejího používání, znemožnění instalování dalšího software studenty na PC v počítačových učebnách atd. – zabezpečení WiFi sítě (WPA2, (WPA2 AES AES, 802 802.1x, 1x filtrace portu 25 – tj. tj používání pouze vlastního školního mail serveru, atd.) Oborové ISMS
35
Akademické a univerzitní prostředí - Campus
Oborové ISMS
36
Univerzitní prostředí a ISMS
Management informační bezpečnosti
37
Univerzity a bezpečnostní politika -1 1 1. Správa osobních dat studentů materiály související s přijímacím řízením zdravotní stav studentů hodnocení jednotlivých studijních výsledků ročníkové a diplomové práce zaměstnávání studentů na technických místech 2. Správa osobních dat zaměstnanců univerzity i t í dokumenty d k t interní správa software (licence, vlastní SW) autorská práva a ochranné známky ekonomická data To jsou dostatečné důvody pro vytvoření bezpečnostní politiky univerzity! Management informační bezpečnosti
38
Univerzity a bezpečnostní politika - 2 Objektová a přístupová bezpečnost studijní oddělení oddělení pro vědeckou činnost útvar ICT sekretariáty ústavů Zahraniční oddělení
Cíl bezpečnostní b č t í politiky litik Cíle definování zásad managementu bezpečnosti způsob řízení definováním rolí s pravomocemi a zodpovědností pojmenování východisek pro hlavní zásady a řešení informační bezpečnosti působení na zvyšování bezpečnostního povědomí zaměstnanců a studentů Management informační bezpečnosti
39
Finanční požadavky na zavedení ISMS pro univerzitu
520.000,- Kč
1 410.000,-
•Převzato Př t z příspěvku ří ě k „BEZPEČNOSTNÍ BEZPEČNOSTNÍ POLITIKA UNIVERSITY (SECURITY POLICY OF UNIVERSITY)“ autorů t ů Dagmar Brechlerové a Michala Moravce z České zemědělské univerzity, uveřejněno ve sborníku mezinárodní konference UNINFOS 2006 http://uninfos.ukf.sk/documents/zbornik_uninfos2006.pdf Univerzitné informačné systémy. Management informační bezpečnosti
40
Akademické a univerzitní prostředí - požadavky Základní požadavky na řešení: - Centralizovaný AP management (postavený na tunelování) - Kontrola Zabezpečeného přístupu - Uživatelský roaming v rámci kampusu (L2/3) - Chytrý y ý klient (IPhone, ( , iPad,, tablet…)) s kompatibilním p bezdrátovým ý FW,, blokování P2P Poznámka: P2P je síť Peer-To-Peer (což je označení pro celosvětové distribuované systémy, ve kterých může každý uzel sloužit zároveň jako klient i jako server). Tyto sítě slouží ke sdílení velkého objemu dat mezi uživateli (většinou soubory s nelegálním obsahem).
3 stupně ochrany: - ochrana studentů - ochrana objektů (školy) - ochrana zaměstnanců
Oborové ISMS
41
Ukázka řešení informační bezpečnosti v akademickém prostředí Data Security Program for Higher Education a jeho výhody: Locate and Protect Sensitive Data S á a ochrana Správa h citlivých itli ý h d datt
Meet ISO & Compliance Standards Soulad se standardy ISO 27002 a PCI DSS (PA-DSS)
Enable BYOD Správa zařízení BYOD
Achieve Simplicity Centrální řízení, automatizace a správa informační bezpečnosti Poznámka: PCI (Payment Card (P C d Industry) I d ) DSS (Data Security Standard) PA DSS (Payment Application Data Security Standard) Normy ISO/IEC 27xxx – Systém managementu bezpečnosti informací
42
Ukázka řešení informační bezpečnosti v akademickém prostředí Risk Assessment Services Helps you find, identify and prioritize threats to your organization so you can correct any deficiencies, and obtain and maintain compliance compliance. Secure Web Gateway Enables safe and productive access to Web 2.0, while ensuring compliance, minimizing data loss and eliminating malware risks. SIEM Helps you gain broad visibility of threats to your network and improve your compliance process through logging, monitoring, and analysis of events. Security Awareness Education Instructs your employees and contractors to understand the threat of social engineering and follow best practices for security, including password management and the safe use of web and social media tools.
SSL Certificates Encrypts sensitive data that you collect through your website and assures visitors visitors, including students students, faculty, alumni and benefactors, that they are accessing a trustworthy site. Secure Web communication, protect e-commerce transactions and reinforce customer trust with 256-bit SSL certificates. Data Loss Prevention Allows you to discover and classify electronic sensitive information and prevent it from leaving the network. Normy ISO/IEC 27xxx – Systém managementu bezpečnosti informací
43
pokračování Network Access Control Ensures managed and unmanaged devices connecting to the network comply with policies and do not introduce malware. Web Application Firewall Protects against external attackers using web vulnerabilities, such as SQL injection, to steal sensitive i f information. ti Two Factor Authentication Controls access to applications that contain sensitive or private student information, or intellectual property that exists on individual department p networks.
Normy ISO/IEC 27xxx – Systém managementu bezpečnosti informací
44
Akademické a univerzitní prostředí - směrnice Ilustrativní seznam platných směrnic pro univerzitní prostředí (vztahujících se k IS/IT) - Univerzitní (celoškolské) Směrnice rektora pro centrální IS Směrnice rektora - Pravidla provozu počítačové sítě Směrnice rektora - Pravidla správy počítačové sítě Organizační řád (pro výpočetní a informační služby) - Fakultní F k lt í Strategie rozvoje ICT Strategie bezpečnosti ICT S Strategie rozvoje Internet a Intranet alikacíí Směrnice správy IS - provoz elektronické pošty a diáře Směrnice správy IS - provoz Internetu Směrnice správy IS - provoz Intranetu Směrnice správy IS - zavádění a změny účtů zaměstnanců a studentů Směrnice správy IS - pravidla pro práci s elektronickou poštou zaměstnanců Směrnice správy IS - pravidla pro práci s elektronickou poštou studentů Oborové ISMS
45
Akademické a univerzitní prostředí - Fakultní (pokračování) Pravidla pro připojování a používání koncových zařízení Vnitřní předpis pro používání multimediálních učeben Vnitřní řád pro laboratoře výpočetní techniky Objektová bezpečnost – zabezpečení a řízený přístup do poslucháren Zásady přidělování práv v přístupovém systému - Útvarové (například pro útvar IS) Organizační řád útvaru IS Popisy práce jednotlivých pracovníků útvaru IS Bezpečnostní školení dle vyhlášky 50
Oborové ISMS
46
Akademické a univerzitní prostředí – zavádění ISO Fakultní – zavádění ISO 27001 (Systém managementu bezpečnosti informací) - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO 20000 na útvaru IS) - Výběr konzultanta či firmy pro zavádění ISO 27001 - Ustavení a zavedení ISMS (vyhotovení příručky ISMS, hodnocení rizik, dokumentace postupů provádění opatření ISMS, návrh záznamů k prokázání ISMS) - Ustavení a proškolení interního auditora ISMS a provedení interního auditu - Zpracování a přezkoumání ISMS vedením fakulty - Výběr ý ě akreditované é certifikační f č í autority pro ISO SO 27001 2 001 - Externí audit a certifikace ISO 27001
Útvarové – zavádění ISO 20000 ((Systém y managementu g služeb IT)) na útvaru IS - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO 27001) - Výběr konzultanta či firmy pro zavádění ISO 20000 - Ustavení a zavedení ITSM (vyhotovení příručky ITSM a katalogu služeb útvaru IS) - Ustavení a proškolení interního auditora ITSM a provedení interního auditu - Zpracování a přezkoumání ITSM vedením útvaru - Výběr akreditované certifikační autority pro ISO 20000 - Externí audit a certifikace ISO 20000 útvaru IS Oborové ISMS
47