Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc

31.10.2011

Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc.

Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze © Igor Čermák, 2011

Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 7 MI-POA

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

Igor Čermák (ČVUT FIT)

Fyzická bezpečnost, org. opatření

MI-IBE 2011, Přednáška 7

Informační bezpečnost (MI-IBE)

7.přednáška Fyzická bezpečnost, organizační opatření




1

31.10.2011

Struktura normy ISO/IEC 17799 (ISO 27002) •

„11 oblastí (clauses), 39 kategorií (objectives), 133 opatření (controls) včetně popisu způsobu implementace“ – – – – – – – – – – –

Bezpečnostní politika (1) Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Nákup, vývoj a údržba informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s požadavky (3)




Fyzická bezpečnost •Doporučení specifikována v normě ISO/IEC 27002; •Požadavky specifikovány v normě ISO/IEC 27001: – kapitola A.9 Fyzická bezpečnost a bezpečnost prostředí –Kapitola A.9.1 Zabezpečené oblasti –Kapitola A.9.2 Bezpečnost zařízení




2

31.10.2011

A.9 Fyzická bezpečnost a bezpečnost prostředí • A.9.1 Zabezpečené oblasti • Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace. • Prostředky IT, zpracovávající kritické nebo citlivé informace organizace, by měly být umístěny v zabezpečených zónách chráněných definovaným bezpečnostním perimetrem s odpovídajícími bezpečnostními bariérami a vstupními kontrolami. Tyto prostředky by měly být fyzicky chráněny proti neautorizovanému přístupu, poškození a narušení. • Jejich ochrana by měla odpovídat zjištěným rizikům. Igor Čermák (ČVUT FIT)



A.9.1 Zabezpečené oblasti • A.9.1.1 Fyzický bezpečnostní perimetr – Při ochraně prostor, ve kterých se nachází informace nebo zařízení pro zpracování informací, by měly být používány bezpečnostní perimetry (bariéry jako například zdi, vstupní turniket na karty nebo recepce).

• A.9.1.2 Kontroly vstupu osob – Aby bylo zajištěno, že je přístup do zabezpečených oblastí povolen pouze oprávněným osobám, měly by být tyto oblasti chráněny vhodným systémem kontrol vstupu.

• A.9.1.3 Zabezpečení kanceláří, místností a zařízení – Mělo by být navrženo a aplikováno fyzické zabezpečení kanceláří, místností a zařízení. Igor Čermák (ČVUT FIT)



3

31.10.2011

A.9.1 Zabezpečené oblasti • A.9.1.4 Ochrana před hrozbami vnějšího prostředí – Na ochranu proti škodám způsobeným požárem, povodní, zemětřesením, výbuchem, civilními nepokoji a jinými přírodními nebo lidmi zapříčiněnými katastrofami by měly být navrženy a aplikovány prvky fyzické ochrany.

• A.9.1.5 Práce v zabezpečených oblastech – Pro práci v zabezpečených oblastech by měly být navrženy a aplikovány prvky fyzické ochrany.

• A.9.1.6 Veřejný přístup, prostory pro nakládku a vykládku – Prostory pro nakládku a vykládku a další místa, kudy se mohou neoprávněné osoby dostat do prostor organizace, by měla být kontrolována a pokud možno by měla být izolována od zařízení pro zpracování informací tak, aby se zabránilo neoprávněnému přístupu. Igor Čermák (ČVUT FIT)



A.9 Fyzická bezpečnost a bezpečnost prostředí • A.9.2 Bezpečnost zařízení •

•

•

Cíl: Předcházet ztrátě, poškození nebo kompromitaci aktiv a přerušení činnosti organizace. Zařízení by měla být fyzicky chráněna proti bezpečnostním hrozbám a působení vnějších vlivů. Ochrana zařízení (včetně těch, která se používají mimo hlavní lokalitu) je nezbytná jak pro snížení rizika neautorizovaného přístupu k datům, tak k zajištění ochrany proti ztrátě nebo poškození. Pozornost by měla být věnována také jejich umístění a likvidaci. Na ochranu proti možnému ohrožení nebo neautorizovanému přístupu a na ochranu podpůrných prostředků, jako například dodávky elektrické energie a struktury kabelových rozvodů, mohou být požadována zvláštní opatření.




4

31.10.2011

A.9.2 Bezpečnost zařízení • A.9.2.1 Umístění zařízení a jeho ochrana – Zařízení by měla být umístěna a chráněna tak, aby se snížila rizika hrozeb a nebezpečí daná prostředím a aby se omezily příležitosti pro neoprávněný přístup.

• A.9.2.2 Podpůrná zařízení – Zařízení by mělo být chráněno před selháním napájení a před dalšími výpadky způsobenými selháním podpůrných služeb.

• A.9.2.3 Bezpečnost kabelových rozvodů – Silové a telekomunikační kabelové rozvody, které jsou určeny pro přenos dat a podporu informačních služeb, by měly být chráněny před poškozením či odposlechem.




A.9.2 Bezpečnost zařízení • A.9.2.4 Údržba zařízení – Zařízení by mělo být správně udržováno pro zajištění jeho stálé dostupnosti a integrity.

• A.9.2.5 Bezpečnost zařízení mimo prostory organizace – Zařízení používané mimo prostory organizace by mělo být zabezpečeno s přihlédnutím k různým rizikům vyplývajících z jejich činnosti mimo organizaci.

• A.9.2.6 Bezpečné zničení nebo opakované použití zařízení – Všechna zařízení obsahující paměťová média by měla být kontrolována, aby se zajistilo, že před jejich likvidací budou citlivá data a licencované programové vybavení odstraněna nebo přepsána. Igor Čermák (ČVUT FIT)



5

31.10.2011

A.9.2 Bezpečnost zařízení • A.9.2.7 Přemístění majetku – Zařízení, informace nebo programové vybavení by bez schválení neměly být přemisťovány.










6

31.10.2011

Organizační opatření •Doporučení specifikována v normě ISO/IEC 27002; •Požadavky specifikovány v normě ISO/IEC 27001: – Příloha A: kapitola A.5 Bezpečnostní politika – Příloha A: Kapitola A.6 organizace bezpečnosti informací – Příloha A: Kapitola A.7 Řízení aktiv – Příloha A: Kapitola A.8 Bezpečnost lidských zdrojů Igor Čermák (ČVUT FIT)



A.5 Bezpečnostní politika • A.5.1 Bezpečnostní politika informací •

•

Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky organice, příslušnými zákony a regulatorními požadavky. Vedení organizace by mělo stanovit jasný směr postupu v oblasti bezpečnosti informací, ukázat její podporu vydáním a aktualizací bezpečnostní politiky informací platné v celé organizaci.




7

31.10.2011

A.5.1 Bezpečnostní politika informací • A.5.1.1 Dokument bezpečnostní politiky informací – Dokument bezpečnostní politiky informací by měl být schválen vedením organizace, vydán a být dán na vědomí všem zaměstnancům a relevantním třetím stranám.

• A.5.1.2 Přezkoumání a aktualizace bezpečnostní politiky informací – Pro zajištění její neustálé použitelnosti, přiměřenosti a účinnosti by bezpečnostní politika informací měla být přezkoumávána v plánovaných intervalech a v případech, kdy nastane významná změna.










8

31.10.2011

A.6 Organizace bezpečnosti informací • A.6.1 Vnitřní organizace • • •

Cíl: Řídit bezpečnost informací v organizaci. Měl by být vytvořen řídící rámec pro zahájení a řízení implementace bezpečnosti informací v organizaci. Vedení organizace by mělo schválit politiku bezpečnosti informací, přiřadit role v oblasti bezpečnosti informací a koordinovat implementaci bezpečnosti v organizaci.




A.6 Organizace bezpečnosti informací • A.6.1 Vnitřní organizace • •

Cíl: Řídit bezpečnost informací v organizaci. Jestliže je to nutné, pak by měl být v organizaci vytvořen specializovaný zdroj pro oblast bezpečnosti informací a měl by být dostupný pro celou organizaci. Aby bylo možné udržovat krok s posledními trendy v odvětví bezpečnosti informací, sledovat standardy, vybírat nejvhodnější metody a zajistit vhodné styčné body v případech bezpečnostních incidentů, měly by být uzavřeny smlouvy s externími odborníky v oboru bezpečnosti informací. Měl by být podporován multi-disciplinární přístup k bezpečnosti informací.




9

31.10.2011

A.6.1 Vnitřní organizace • A.6.1.1 Závazek vedení – Vedení organizace by mělo stanovit jasný směr a aktivně podporovat bezpečnost v rámci organizace. Mělo by demonstrovat svůj závazek a jednoznačně přiřadit a vymezit role v oblasti bezpečnosti informací.

• A.6.1.2 Koordinace bezpečnosti informací – Činnosti v oblasti bezpečnosti informací by měly být koordinovány prostřednictvím zástupců různých útvarů z celé organizace.

• A.6.1.3 Přidělení odpovědností v oblasti bezpečnosti informací – Měly by být jednoznačně určeny odpovědnosti v oblasti bezpečnosti informací. Igor Čermák (ČVUT FIT)



A.6.1 Vnitřní organizace • A.6.1.4 Schvalovací proces pro prostředky zpracování informací – Měl by být ustaven a zaveden postup schvalování (vedoucími zaměstnanci) nových prostředků pro zpracování informací.

• A.6.1.5 Dohody o ochraně důvěrných informací – Měly by být určeny a v pravidelných intervalech přezkoumávány dohody s požadavky na ochranu důvěrnosti nebo povinnost zachovávat mlčenlivost, reflektující potřeby organizace na ochranu informací.

• A.6.1.6 Kontakt s orgány veřejné správy – Měly by být udržovány přiměřené vztahy s orgány veřejné správy.




10

31.10.2011

A.6.1 Vnitřní organizace • A.6.1.7 Kontakt se zájmovými skupinami – Měly by být udržovány přiměřené vztahy se zájmovými skupinami nebo speciálními fóry na bezpečnost a profesními sdruženími.

• A.6.1.8 Nezávislá přezkoumání bezpečnosti informací – Přístup organizace k řízení a implementaci bezpečnosti informací (tj. cíle opatření, jednotlivá opatření, politiky, směrnice a postupy) by měly být v pravidelných intervalech (a nebo v případě jakékoliv významné změny ve vztahu k bezpečnosti) nezávisle přezkoumávány.




A.6 Organizace bezpečnosti informací • A.6.2 Externí partneři •

• • •

Cíl: Zachovat bezpečnost informací organizace a zařízení pro zpracování informací, které jsou přístupné zpracovávané sdělované nebo spravované externími subjekty. Bezpečnost informací a zařízení pro zpracování informací by neměla být snížena při zavedení produktů a služeb třetích stran. Přístup externích subjektů k zařízení pro zpracování informací a k informacím by měl být kontrolován. Tam, kde z činností organizace vyplývá potřeba přístupu externích subjektů, by mělo být provedeno hodnocení rizik plynoucích z tohoto přístupu tak, aby se zjistily důsledky z hlediska bezpečnosti a aby se definovaly požadavky na opatření. Opatření by měla být schválena a definována ve smlouvě se třetí stranou.




11

31.10.2011

A.6. Externí partneři • A.6.2.1 Identifikace rizik plynoucích z přístupu externích subjektů – Předtím než je externím subjektům povolen přístup k informacím organizace a prostředkům pro zpracování informací, by měla být identifikována rizika a implementována vhodná opatření na jejich pokrytí.

• A.6.2.2 Bezpečnostní požadavky pro přístup zákazníků – Předtím, než je zákazníkům umožněn přístup k informací a aktivům organizace, by měly být zjištěny veškeré požadavky na bezpečnost. • A.6.2.3 Bezpečnostní požadavky v dohodách se třetí stranou – Dohody uzavřené s třetími stranami zahrnující přístup, zpracování, šíření nebo správu informací organizace nebo správu zařízení pro zpracování informací (případně dodávku produktů nebo služeb k zařízení pro zpracování informací) by měly pokrývat veškeré Igor Čermákrelevantní (ČVUT FIT) bezpečnostní Fyzická bezpečnost, org. opatření MI-IBE 2011, Přednáška 7 požadavky.

A.6. Externí partneři • A.6.2.3 Bezpečnostní požadavky v dohodách se třetí stranou – Dohody uzavřené s třetími stranami zahrnující přístup, zpracování, šíření nebo správu informací organizace nebo správu zařízení pro zpracování informací (případně dodávku produktů nebo služeb k zařízení pro zpracování informací) by měly pokrývat veškeré relevantní bezpečnostní požadavky.




12

31.10.2011

Fyzická bezpečnost •Doporučení specifikována v normě ISO/IEC 27002; •Požadavky specifikovány v normě ISO/IEC 27001;




Fyzická bezpečnost a bezpečnost prostředí •Zabezpečené oblasti –Fyzický bezpečnostní perimetr –Fyzické kontroly vstupu osob –Zabezpečení kanceláře, místnosti a prostředků –Ochrana proti vnějším a vnitřním hrozbám –Práce v zabezpečených oblastech –Veřejný přístup, prostory pro nakládku a vykládku –Bezpečnost zařízení




13

31.10.2011

Fyzická bezpečnost a bezpečnost prostředí •Bezpečnost zařízení –Umístění zařízení a jeho ochrana –Podpůrná zařízení –Bezpečnost kabelových rozvodů –Údržba zařízení –Bezpečnost zařízení mimo prostory organizace –Bezpečná likvidace nebo opakované použití zařízení –Přemístění majetku




Organizační opatření •Doporučení specifikována v normě ISO/IEC 27002; •Požadavky specifikovány v normě ISO/IEC 27001;




14

31.10.2011

Bezpečnostní politika •Politika bezpečnosti informací –Dokument bezpečnostní politiky informací –Přezkoumání bezpečnostní politiky informací •Vlastník procesu (vytvoření, přezkoumání a aktualizace; možnosti pro zlepšení •Při přezkoumání vedením organizace následující vstupy: –Zpětná vazba –Výsledky nezávislých přezkoumánáí –Stav preventivních a nápravných opatření –Výsledky z předchozích přezkoumání –Výkonnost procesu a soulad s bezpečnostní politikou –Změny, které by mohly mít vliv (organizační, technické, smlouvy, legislativa) –Trendy v oblasti hrozeb a zranitelností –Hlášení bezpečnostních incidentů –Doporučení orgánů veřejné správy

•Výstupy: rozhodnutí a činnosti (zdroje, odpovědnosti, cíle opatření a opatření)




Organizace bezpečnosti informací •Interní organizace –Závazek vedení směrem k bezpečnosti informací –Koordinace bezpečnosti informací –Přidělení odpovědnosti v oblasti bezpečnosti informací –Schvalovací proces prostředků pro zpracování informací –Dohody o ochraně důvěrných informací –Kontakt s orgány veřejné správy –Kontakt se zájmovými skupinami –Nezávislé přezkoumání bezpečnosti informací




15

31.10.2011

Organizace bezpečnosti informací •Externí subjekty –Identifikace rizik vyplývajících z přístupu externích subjektů –Bezpečnostní požadavky pro přístup klientů –Bezpečnostní požadavky v dohodách s třetí stranou




Otázky ?

Děkuji za pozornost RNDr. Igor Čermák, CSc.

[email protected]




16

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc

Recommend Documents