Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií
Přístup k řízení informační bezpečnosti ve standardech ITIL, COBIT, ISO 27002
Bakalářská práce
Autor:
Luděk Veselý Informační technologie, manaţer projektů
Vedoucí práce:
Praha
doc. Ing. Vlasta Svatá, CSc.
1.2012
Prohlášení: Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Roudné, 7.1.2012
Luděk Veselý
Děkuji vedoucímu bakalářské práce doc. Ing. Vlastě Svaté, CSc. za cenné rady, připomínky a pomoc při zpracování praktické části.
Anotace V bakalářské práci jsou objasněny hlavní koncepty informační bezpečnosti. V práci jsou důkladně popsané vybrané standardy jako Cobit, ITIL a bezpečnostní norma ISO/IEC 27002 a teoreticky popsán jejich přístup k řízení informační bezpečnosti. Součástí jsou i další neopomenutelné doporučující dokumenty pro IT management, IT Governance a Business Security. Druhá část je věnována vybrané studii, která je zaměřena především na prevenci úniku informací (s důrazem na lidský faktor). Z uvedené normy a metodik jsou vybrána relevantní doporučení, cíle a metriky podle kterých je určována jejich účinnost. Závěrem je zhodnoceno zda nastavená opatření jsou vyuţitelná v reálném prostředí.
Annotation The bachelor thesis clarifies the elementary concepts of the Information Security. The paper deals with a detailed description of standards as Cobit, ITIL, the security standard ISO/IEC 27002 and its approach to the Information Security management. Another relevant documents concerning IT management, IT Governance and Business Security make part of this thesis. The second part is dedicated to the paper that is focused on the prevention of information leak with a special emphasis on human error. The cited standards sets the relevant recommendations, goals and metrics that determine its efficiency. The conclusion evaluates the applicability of these measures in the real environment.
Obsah 1.
2.
3.
4.
Data a informace, základy informační a komunikační technologie ............................. 8 1.1
Data .............................................................................................................................. 8
1.2
Informace ..................................................................................................................... 8
1.3
Znalost ......................................................................................................................... 9
1.4
Informační systém...................................................................................................... 10
Informační bezpečnost .................................................................................................... 10 2.1
Bezpečnostní politika v organizaci ............................................................................ 11
2.2
Bezpečnostní hrozby a rizika ..................................................................................... 12
2.3
Bezpečnostní incidenty a jejich prevence .................................................................. 15
2.4
Informační bezpečnost jako jeden z atributů kvality informací................................. 16
Kategorie standardů informační bezpečnosti ............................................................... 17 3.1
Information Security Governance: Guidance for Information Security Managers ... 17
3.2
Business Model for Information Security .................................................................. 17
3.3
Cobit Security Baseline.............................................................................................. 18
3.4
Mezinárodní normy ISMS řady ISO/IEC 27xxx ....................................................... 19
3.5
Charakteristika normy ISO/IEN 27002: 2005 ........................................................... 21
3.6
Metodický rámec ITIL ............................................................................................... 22
3.6.1
ITIL V2 vs. ITIL V3 ........................................................................................... 23
3.6.2
Charakteristika ITIL V2 ..................................................................................... 23
3.6.3
Aktuální verze ITIL V3 ...................................................................................... 24
3.7
Metodika COBIT ....................................................................................................... 25
3.8
Cobit 4.1..................................................................................................................... 26
Přístup ke správě informační bezpečnosti .................................................................... 27 4.1
Přístup k řízení informační bezpečnosti v ITIL ......................................................... 28
4.1.1
Cíle bezpečnosti dle metodiky ITIL ................................................................... 28
4.1.2
Proces ISM ......................................................................................................... 29
4.1.3
Systém řízení bezpečnosti informací (ISMS) ..................................................... 30
4.2
Řízení informační bezpečnosti ve metodice COBIT ................................................. 36
4.2.1
Plánování a organizace ....................................................................................... 37
4.2.2
Akvizice a implementace.................................................................................... 39 5
4.2.3
Dodávka sluţeb a podpora .................................................................................. 40
4.2.4
Monitorování a hodnocení .................................................................................. 43
4.3
Přístup k řízení k informační bezpečnosti v metodice ISO/IEC 27002 ..................... 44
4.3.1
Bezpečnostní politika ......................................................................................... 45
4.3.2
Organizace bezpečnosti informací...................................................................... 45
4.3.3
Řízení aktiv ......................................................................................................... 46
4.3.4
Bezpečnost lidských zdrojů ................................................................................ 46
4.3.5
Fyzická bezpečnost a bezpečnost prostředí ........................................................ 47
4.3.6
Řízení komunikací a řízení provozu ................................................................... 48
4.3.7
Řízení přístupu.................................................................................................... 50
4.3.8
Vývoj a údrţba IS ............................................................................................... 51
4.3.9
Zvládání bezpečnostních incidentů .................................................................... 52
4.3.10
Řízení kontinuity činností organizace ................................................................ 53
4.3.11
Soulad s poţadavky ............................................................................................ 54
5.
Srovnání ITIL, Cobit a ISO/IEC 27002 ........................................................................ 55
6.
Případová Studie ............................................................................................................. 57 6.1
Zabezpečení úniku informací z organizace (s důrazem na lidský faktor) ................. 57
6.2
Řízení bezpečnosti přístupu ....................................................................................... 60
6.2.1
Doporučené metriky pro řízení bezpečného přístupu ......................................... 63
6.3
Řízení bezpečnosti komunikace................................................................................. 64
6.4
Řízení lidských zdrojů ............................................................................................... 65
6.5
Testování, dozor a monitorování bezpečnosti ........................................................... 67
7.
Závěr................................................................................................................................. 68
8.
Použitá literatura ............................................................................................................ 69
9.
Seznam obrázků .............................................................................................................. 71
10. Seznam tabulek................................................................................................................ 72 11. Přílohy .............................................................................................................................. 73
6
Úvod Problematika řízení informační bezpečnosti se stává nedílnou součástí v řízení malých, ale i velkých firem. Důvěrnost, integrita a dostupnost informací se v dnešní době jeví jako samozřejmost ve firmách, které zpracovávají citlivá data a informace. Myslím, ţe nejlepším příkladem je banka, která střeţí nejen vaše peníze při transakčních procesech, ale i vaší osobní identifikaci. Je dobře, ţe organizace si uvědomují moţná rizika a snaţí se aplikovat správné komplexní zabezpečení. Na druhé straně jsou náklady, které jsou spojené s náročnou a drahou implementací. Cílem práce je analýza doporučení, opatření a kontrolní mechanizmy pro řešení stanoveného problému za pouţití metodik Cobit, ITIL a normy ISO/IEC 27002. V závěru
práce je praktický návrh aplikace uvedených norem v rámci případové studie. Teoretická část je zaměřena na problematiku řízení informační bezpečnosti. Popisuje hlavní koncepci informační bezpečnosti jako jsou data, informace, znalost atd. Druhá část, praktická je zaměřena na případovou studii. Organizace řeší problém s únikem informací s podezřením na lidský faktor.
Klíčová slova Informační bezpečnost, standardy bezpečnosti, ISO/IEC 27002, lidské zdroje.
7
1. Data a informace, základy informační a komunikační technologie Globální zkratka informační a komunikační technologie (dále jen ICT) vznikla z pojmu informační techniky (dále jen IT), kdy se začaly silně rozvíjet počítačové sítě a začalo se komunikovat ve velkém. Tato tři slovíčka jako informace, komunikace a technologie pod svými významy ukrývají kompletně veškeré získávání, ukládání, zpracování přenosy informací. ICT nejsou jen stroje (hardware počítačů či serverů), ale i programy a aplikace (software), které strojům říkají, jak pracovat či zpracovávat informace podle potřeb a přání lidí. ICT se opírá o několik nosných pojmů, kterým se věnuje následující text.
1.1
Data Data jsou zaznamenané údaje o nějakých skutečnostech světa (fakta), které jsou
schopná přenosu, uchování, interpretace či zpracování. [1] Data mohou mít různou formu: celá nebo reálná čísla, binární hodnoty, nominální (nečíselné, vyjmenované hodnoty), texty, obrázky, grafy, mapy, zvuky, videa atd.
1.2
Informace Pojem informace je definován v normě ISO/IEC 2382-1:1993: „Informační
technologie – Slovník - Část 1: Základní pojmy―, jako ―Poznatek (znalost) týkající se jakýchkoliv objektů, např. faktů, událostí, věcí, procesů nebo myšlenek včetně pojmů, které mají v daném kontextu specifický význam―. V nejobecnějším slova smyslu se informací chápe údaj o reálném prostředí, o jeho stavu a procesech v něm probíhajících. Informace sniţuje nebo odstraňuje neurčitost systému (např. příjemce informace); mnoţství informace je dáno rozdílem mezi stavem neurčitosti systému (entropie1), kterou měl systém před přijetím informace a stavem neurčitosti, která se přijetím informace odstranila. Mezi informacemi a daty existuje úzká spojitost. Z našeho pohledu informace je taková část dat, která je z hlediska uţivatele relevantní pro řešení specifického problému. V datech mohou být zjevné i zcela skryté nějaké spojitosti (resp. závislosti, pravidelnosti) mezi určitými hodnotami a objevením těchto spojitostí jsou nalezeny specifické vzory, které mohou dále vést k získání nové, v datech doposud ukryté znalosti. Obecně data 1
Entropie - veličina udávající míru neuspořádanosti.
8
ukrývají velké mnoţství nejrůznějších, potenciálně uţitečných informací. Objevení správné informace je převáţně obtíţný úkol, který nemá jednoznačné standardní řešení. Různé specifické problémy mohou pouţívat jako zdroj tatáţ data, ale relevantní části mohou být zcela (nebo částečně) odlišné [2] – různé problémy mohou vyţadovat různou informaci pro řešení. Pojem informace lze lépe pochopit ve třech základních významech: Syntaktický význam, říká jaký je strukturní vztah mezi symboly, aniţ by přihlíţela k tomu, co jazykové výrazy znamenají. Sémantický význam, spojuje vztahy mezi symboly ve zprávě a významem přiřazeným k těmto symbolům. Sémantika je nauka o významu slov, morfémů2 a znaků popř. jejích vztahů ke skutečnosti kterou označují. Pragmatický význam, vztah mezi symboly a okolním světem omezeně na uţitek uţivatele. Význam dat je ovlivňován záměrem strategií a kontextem výpovědi. Pragmatická informace je pro kaţdého příjemce a v kaţdé situaci jiná, je objektivně neměřitelná.
1.3
Znalost Znalost je schopnost člověka nebo jakéhokoli jiného inteligentního systému
uchovávat, komunikovat a zpracovávat informace do systematicky a hierarchicky uspořádaných znalostních struktur. Znalost je charakterizována schopností abstrakce a generalizace dat a informací. Znalost je rovněţ to, co jednotlivec vlastní (ví) po osvojení dat a informací a po jejich začlenění do souvislostí, tj. znalost je získána zobecněním nalezené informace. Znalost je výsledek poznávacího procesu, předpoklad uvědomělé činnosti. Kvalitní znalost umoţňuje například přesné předpovědi týkající se vlastností dosud neznámých, v budoucnu teprve získaných či očekávaných dat (predikce), nebo zpětného doplnění chybějících hodnot (regrese). Automatizované získávání znalosti z rozsáhlých dat patří k velmi důleţitému a potřebnému odvětví informatiky. Získaná znalost můţe mít velmi odlišnou formu, která se liší také ve srozumitelnosti. Stroj můţe z dat vydolovat správnou znalost, která pak velmi dobře funguje např. pro predikci, ale nemusí být zřejmé, proč stroj konkrétním způsobem odpovídá – typickým příkladem jsou umělé neuronové sítě. Naopak pravidla představují formu mnohem srozumitelnější. [2]
2
Morfém - nejmenší vydělitelná část slova, která je nositelem věcného nebo gramatického významu.
9
1.4
Informační systém Informační systém je soubor lidí, prostředků a metod, které zabezpečují sběr, přenos
zpracování a uchovávání dat za účelem prezentace informací pro potřeby uţivatele. [2] Příkladem informačního systému můţe být kartotéka, telefonní seznam, kniha došlé pošty nebo účetnictví. Systém nemusí být nutně automatizovaný pomocí počítačů a můţe být i v papírové podobě. Dle metodiky ITIL Soubor nástrojů, dat a informací uţívaných pro podporu procesu nebo funkce. Příkladem můţe být informační systém správy dostupnosti a informační systém správy dodavatelů a smluv. [4]
2. Informační bezpečnost Informační bezpečnost je chápána tak, jako součást celkové bezpečnosti podniku s jednotným řízením a koordinací. Bezpečnost dat, informací a IS v organizaci je preventivního charakteru, nepřináší okamţitý zisk a uţitek, ale naopak vyţaduje jisté náklady. A to zatím odporuje představám současného managementu o rozvoji firmy vzhledem k jejím ekonomickým moţnostem. Manaţeři a další odpovědní pracovníci předpokládají, ţe se jich problém ztráty informací nedotýká, a proto z toho důvodu také nemají jasnou představu o tom, jak by takovou ochranu měli realizovat. Bezpečnostní management organizace musí mít postavení nezávislého organizačního celku, např. odboru, oddělení, který je podřízený vrcholovému vedení. Souvisí to i přesným vymezením jeho odpovědnosti a pravomocí, které by mu měly poskytovat dostatečně silné kompetence jako například právo nařizovat, doporučovat a především kontrolovat vše, co se týká bezpečnosti a v přesně vymezených případech třeba i právo veta. Kromě činností vyhrazených bezprostředně manaţerům a záleţitostí spadajících do schvalovací pravomoci vedení organizace by činnost bezpečnostního managementu nemela podléhat schvalování dalších osob. [3] Informační bezpečnost provází informace celým ţivotním cyklem. Představuje ochranu informací při jejich vzniku, zpracování, přenosu, ukládání a likvidaci. Základy informační bezpečnosti:
10
důvěrnost (informace jsou určená výhradně oprávněnému uţivateli, např. certifikace dokumentů), integrita (zajištění informace před úpravou či zničením), dostupnost (zajištění odpovídajícího přístupu a ochrana před neoprávněným zabráněním). Význam slova informační bezpečnost dle normy ISO/IEC 27002 Informační bezpečnost je ochrana informací v širokém spektru hrozeb s cílem je identifikovat. V business kontinuitě je poţadováno minimalizovat business rizika a maximalizovat návratnost investic do podnikání. Informační bezpečnost je o zachování důvěrnosti, integrity a dostupnosti informací. Navíc dalšími vlastnostmi jsou autentičnost, odpovědnost, nepopiratelnost, a spolehlivost. Informační bezpečnosti je dosaţeno zavedením vhodné sady řídících prvků, včetně bezpečnostní politiky, procesů, organizační struktury a funkce softwaru a hardwaru. [6]
2.1
Bezpečnostní politika v organizaci Představuje pravidla, směrnice a zvyklosti určující způsoby, pomocí kterých jsou v
dané organizaci a jejích systémech řízena, chráněna a distribuována aktiva, včetně citlivých informací. [6] Měla by obsahovat principy, poţadavky, pravidla, postupy a omezení, která určují způsob správy, ochrany a distribuce informací a jiných zdrojů. Jedná se o soubor kritérií pro aplikaci bezpečnostních sluţeb. [7] Nezbytnou součástí základních manaţerských plánů jsou proto i úvahy o tom, jak pracovníky a aktiva organizace chránit. Často se objevuje poţadavek na vytvoření systému řízení bezpečnosti organizace. Organizace v něm pomocí stanovených cílů, strategií a politik hierarchicky rozvrhuje oblast řešení bezpečnosti od úrovně celé společnosti aţ po jednotlivé chráněné oblasti - personální, informační a fyzickou. Aktiva organizace mají svoji hodnotu, která je v absolutní většině případů pro organizaci z hlediska jejího fungování kritická. V případě ztráty nebo závaţného poškození některých aktiv tak můţe dojít i k ukončení činnosti organizace, a tím ke značným finančním ztrátám majitele nebo akcionářů, nemluvě o obchodních partnerech, zákaznících i zaměstnancích. [4] Následující obrázek udává vzájemné vztahy bezpečnosti ve firmě či organizaci.
11
Obr. 1 Vztah úrovní bezpečnosti v organizaci [3]
Bezpečnost organizace nebo firmy je nejvyšší kategorií bezpečnosti. Její součástí je zajištění bezpečnosti objektu, majetku organizace jako ostraha přístupu apod. Některé její činnosti napomáhají zároveň i k zajištění bezpečnosti IS/ICT jako např. kontrola oprávnění fyzického přístupu do budov. Informační bezpečnost je součástí bezpečnosti organizace (kromě jiných). Cílem a úkolem řízení informační bezpečnosti je shrnout v sobě zásady bezpečné práce s informacemi všeho druhu a všech typů. Informační bezpečnost zahrnuje navíc proti bezpečnosti IS/ICT i způsob zpracování uloţení a správy archivu nedigitálních dat, zásady skartace materiálu, nakládání s informacemi během transportu na jiná místa, zásady pro poskytování informací novinářům, zásady pro veřejná vystupování pracovníků organizace apod. Bezpečnost IS/ICT má za úkol chránit pouze ta aktiva, která jsou součástí IS organizace podporovaného ICT. Proto je bezpečnost IS/ICT relativně nejuţší a komplikovanou oblastí řízení bezpečnosti, protoţe pracuje s „neviditelnými" daty, informacemi a sluţbami. [3]
2.2
Bezpečnostní hrozby a rizika Existence zranitelných míst v IS představuje pro IS hrozby. Pojmem hrozba se
označuje jakákoliv okolnost či událost působící na zranitelné místo aktiva, která můţe způsobit potenciální škodu na aktivu.
12
Hrozby lze dělit na: Objektivní přírodní, fyzické jako např. poţár, povodeň, výpadek napětí, poruchy apod., u kterých je prevence obtíţná a u kterých je třeba řešit spíše minimalizaci dopadu vhodným plánem obnovy. V tomto případě je třeba vypracovat tzv. havarijní plán, fyzikální např. elektromagnetické vyzařování, technické nebo logické, porucha paměti, softwarová „zadní vrátka", krádeţ, resp. zničení paměťového média, nebo nedokonalé zrušení informace na něm. Subjektivní, tj. hrozby plynoucí z lidského faktoru, které jsou: neúmyslné např. působení nevyškoleného uţivatele či správce IS, úmyslné, které je představováno potenciální existencí vnějších útočníku, např. špióni, teroristé, konkurenti, hackeři, ale i vnitrních útočníku. Odhaduje se, ţe 80 % útoků na ICT je vedeno zevnitř organizace, útočníkem, kterým muţe být propuštěný, rozzlobený, vydíraný, chamtivý zaměstnanec). Základní schéma zajištění bezpečnosti IS/ICT je uvedeno na obrázku č. 2., který znázorňuje vztahy mezi aktivy organizace, hrozbami, moţnou zranitelností aktiv reálnými hrozbami, dopady reálných hrozeb na tato aktiva a moţnostmi ochrany aktiv organizace formou protiopatření. [3]
Obr. 2 Schéma zajištění bezpečnosti IS/IT- aktiva a hrozby [3]
13
Při zavádění a provozu IS v organizaci je nutné vyjádřit riziko narušení činnosti organizace
a
jejího
IS
pomocí
rizikového
faktoru.
Pojmem
riziko
chápeme
pravděpodobnost, ţe nastane určitá událost. Hrozba je skutečnost moţného ohroţení, kdy se zatím nic nestalo, ale stát se můţe. Aţ tato událost nastane, pak hovoříme o bezpečnostním incidentu. Riziko se zjišťuje pomocí analýzy rizik. Spočívá v identifikaci a definici potencionálních hrozeb a v určení pravděpodobnosti, ţe určitá hrozba bude prostřednictvím nějakých slabin uskutečněna. Výsledkem je souhrn doporučených protiopatření k sníţení rizika na minimum. Nepodchycené riziko, které přijímáme, se nazývá zbytkové riziko, které se nevyplatí odstínit, protoţe můţe způsobit jen velmi malou škodu nebo se vyskytuje v dostatečně dlouhých intervalech. Ochrana proti riziku je otázkou nákladu, čím vyšší míra zabezpečení, tím jsou vyšší náklady. Při návrhu vhodných protiopatření je třeba stanovit, zda náklady na protiopatření na ochranu aktiv nejsou vyšší neţ rizika. Bavíme-li se o ochraně informací, pak svou roli hraje právě jejich cena. Nejrozumnější je dosáhnout takové úrovně zabezpečení, kde se vynaloţené náklady vyrovnají případné ztrátě při události, protoţe součet obou poloţek je zde menší. [3]
Obr. 3 Průběh nákladů a přínosů protiopatření [3]
Informační bezpečnost informačního systému lze posuzovat následující hledisek a to podle: úrovně fyzické a technické spolehlivosti prostředí, v němţ funguje IS, stavu technické spolehlivosti prvku IS, náhodného působení přírodních sil v daném prostoru dislokace objektu s IS (působení vyšší moci), neúmyslného působení lidského faktoru, 14
úmyslné škodlivé činnosti osob, a to z vnějšku i zevnitř. V současnosti mohou hrozby přicházet především z Internetu. Jsou to zejména tyto rizika: Hackeři, kteří způsobují jen 15-20% prokázaných útoku na Internetu. [5] Snadná moţnost odposlechu, tj. napíchnutí (wiretapping) na přenos a zneuţití obsahu zprávy. Falšování identity, adresy odesilatele, který se vydává někoho jiného. Neautorizované programy a moţnost jejich modifikace, tzv. cracking. Distribuce viru a červu. Odmítnutí sluţby např. zahlcení elektronickou poštou, kdy je zahlcena sluţba či disková kapacita. Hoaxy a spamy. Spyware aj.
2.3
Bezpečnostní incidenty a jejich prevence
Poškození či ztráta datových souboru, delší vyřazení systému z provozu, rozšíření počítačových viru v síti nebo průnik do IS je třeba povaţovat za bezpečnostní incident. Po zjištění bezpečnostního incidentu je třeba vyšetřit jeho příčinu, podrobně analyzovat situaci s cílem zjištění zdrojů infiltrace a uvedení informačního systému do důvěryhodného stavu. Současně s odstraněním důsledku je třeba uskutečnit i opatření zamezující moţností opakování tohoto jevu. Bezpečnostní incidenty mohou být bud způsobené uţivatelem, případně jinak provozem IS, viz. obr. č. 4.. [3]
Obr. 4Bezpečnostní incidenty [3]
15
2.4
Informační bezpečnost jako jeden z atributů kvality informací Na začátku této kapitoly si odcitujeme pojem kvalita3. Tento termín se pouţíval jiţ ve středověku. Nejstarší definice se přisuzuje
Aristotelovi. Ten chápal kvalitu jako jednu z deseti kategorií chápání jsoucna (podstata, kvantita, kvalita, vztah, místo, čas, poloha, mít, činnost, trpnost). Kvalitu definoval jako „to, při čemţ je něco nějaké―. Rozlišovat různé druhy kvality: stav a dispozice, přirozená schopnost a neschopnost trpné kvality a citové vzruchy, podoba a tvar. [9] Tak to chápali naši předchůdci pojem kvalita, a tak to jí v současné době vykládá norma EN ISO 9000:2005: Jakost je stupeň splnění poţadavků souborem inherentních charakteristik, přičemţ: poţadavek je potřeba, která je stanovena buď spotřebitelem, závazným předpisem, nebo se obvykle předpokládá, Inherentní charakteristiky jsou vnitřní vlastnosti produktu/procesu kvality, které k němu existenčně patří, tyto charakteristiky mohou být měřitelné (kvantitativní), nebo neměřitelné (kvalitativní). Na kvalitu informací v oboru IT, nahlíţí IT Governance (především Cobit) jako na souhrn následujících atributů: účelnost (Effestiveness), účinnost (Efficiency), důvěrnost (Confidentiality), správnost a úplnost (Integrity), dostupnost (Availability), soulad s normami (Compliance), spolehlivost (Reliability). [9]
3
Pojem kvalita, je jednoducho odpovědí na otázku "JAKÝ"?
16
3. Kategorie standardů informační bezpečnosti Standardů či doporučení pro řízení bezpečnosti informací existuje v dnešní době dostatek. Tato kapitola povrchově popisuje vybrané nástroje v oblastech norem, IT managementu, IT Governance a Business Security. Zaměřuje se především na základní popis těch nejznámějších a nejpouţívanějších, jako jsou Cobit, ITIL a ISO/IEC 27002.
3.1
Information Security Governance: Guidance for Information Security Managers Popisuje jak vytvořit strategii informační bezpečnosti v rámci řízení organizace. Jak
řídit strategii programu informační bezpečnosti. Poskytuje návod na stanovení cílů a jak postupovat k jejich naplnění. Jedná se o metodiku, která je zaměřena pro vyšší management a vyšší organizační úroveň.
3.2
Business Model for Information Security Je to jeden z prvních dokumentů, které se zabývají plánováním informační bezpečnosti
komplexně z pohledu celé organizace. Tento business dokument poskytuje pohled na informační bezpečnost v širším kontextu větších organizací, které by se měly integrovat různé bezpečnostní systémy do jednoho komplexního systému ochrany informací. Dokument představuje model, který je určen zejména pro: vedoucí pracovníky, manaţery informační bezpečnosti, těm, kteří mají odpovědnost za řízení obchodních rizik, jednotlivce, kteří mají odpovědnost za návrh, implementaci, monitorování a zlepšování systému řízení informační bezpečnosti. Následující obrázek zobrazuje představu, jak je struktura business modelu tvořena. Hlavními elementy jsou procesy, lidé, technologie a organizace. Prvky v modulu jsou na sobě vzájemně závislé, proto kdyţ dojde ke změně jednoho z nich, postihne to celý modul.
17
Obr. 5 Základní schéma BMIS
3.3
Cobit Security Baseline Tato příručka je zaloţená na metodice Cobit 4.1, kterou podrobněji líčí kapitola 3.7.
Dokument popisuje různá rizika specifická pro informační bezpečnost jednoduchou formou, která je snadno srozumitelná, realizovatelná a kontrolovatelná jak v domácím prostředí, tak i v prostředí malých nebo středně velkých firem. Obsahuje: 20 bezpečnostních procesů, které jsou provázány na domény Cobit 4.1, 44 kontrolních kroků, vazby na obsah ISO/IEC 27002 a procesy Cobit 4.1 . Skupiny vyuţití: domácí uţivatelé, profesionální uţivatelé, manaţeři, výkonní ředitelé, vyšší výkonní ředitelé a členové představenstva Pro kaţdou tuto skupinu uţivatelů příručka nabízí přehled rizik spojených s danou skupinou uţivatelů. Kromě toho obsahuje dotazník, který má pomoci dané skupině uţivatelů zhodnotit, zda dodrţují pravidla ISG (řídicí komise IT) a seznam doporučených akcí, které by měly být realizovány v organizaci. Bezpečnostní rizika rozděluje do 3 kategorií: 18
Rizika záměrného zneuţití počítače (trojský kůň, DOS, Email spoofing, spamming atd.). Rizika plynoucí z porušení pravidel, norem (porušení autorského práva, nepřiměřené vyuţívání internetu, průmyslová špionáţ, nesoulad s pravidly a regulacemi). Havárie (porucha disku, porucha dodávky elektřiny, problémy softwaru). [11]
3.4
Mezinárodní normy ISMS řady ISO/IEC 27xxx Před vznikem sady ISO/IEN 27000 existovala celá řada různých norem, které se
týkaly řízení informační bezpečnosti, ale pouţívaly jinou terminologii a vzájemně se nepřekrývaly. Uţivatelům tato nesystémová řešení způsobovala problémy a vedla k neefektivnímu řešení. Z toho důvodu ISO (International Organization for Standardization) podobně, jako tomu bylo u norem pro řízení kvality série ISO 9000, rezervovala sérii ISO 27000 pro normy z oblasti bezpečnosti informací. [5] Systém řízení bezpečnosti informací (dále jen ISMS) je efektivní dokumentovaný systém řízení a správy informačních aktiv4 s cílem eliminovat jejich moţnou ztrátu nebo poškození tím, ţe jsou určena aktiva, která se mají chránit, jsou zvolena a řízena moţná rizika bezpečnosti informací, jsou zavedena opatření s poţadovanou úrovní záruk a ta jsou kontrolována. [5] Sada norem se stále utváří a doplňuje. Do této doby publikovány následující normy: ISO 27000 - definice pojmů a terminologický slovník pro všechny ostatní normy z této série byl vydán v květnu 2009. ISO 27001 (BS7799-2) - hlavní norma pro Systém řízení bezpečnosti informací (ISMS), dříve známá jako BS7799 část 2, podle které jsou systémy certifikovány. Norma byla publikována koncem října 2005. ISO 27002 (ISO/IEC 17799 & BS7799-1) - aktuální verze normy byla prvně publikována v červnu 2005 jako ISO/IEC 17799:2005. V červenci 2007 došlo k přejmenování ISO/IEC 17799:2005 na ISO/IEC 27002:2005, obsahově se normy neliší. ISO 27003 - návod pro návrh a zavedení ISMS v souladu s ISO 27001.
4
Aktiva představují všechno,co organizace vlastní a v budoucnu jí to přinese ekonomický prospěch (tj. například majetek, zásoby, peníze, licence, ...).
19
ISO 27004 - norma byla publikována v prosinci 2009 pod názvem "Information technology - Security techniques - Information security management - Measurement". Normu přeloţila společnost Risk Analysis Consultants. ISO 27005 - norma byla publikována v červnu 2008 pod názvem "Information technology - Security techniques - Information security risk management". Normu přeloţila společnost Risk Analysis Consultants. Český překlad je k dispozici na stránkách ÚNMZ. ISO 27006 - norma byla publikována v březnu 2007 pod názvem ―Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems‖. Normu přeloţila společnost Risk Analysis Consultants. Český překlad je k dispozici na stránkách ÚNMZ. ISO 27011 - doporučení a poţadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů. ISO 27799 - doporučení a poţadavky na řízení bezpečnosti informací ve zdravotnických zařízeních. ISO 27007 - Information technology - Security techniques - Guidelines for information security management systems auditing Information technology - Security techniques Guidelines for information security management systems auditing. Norma obsahuje doporučení pro auditování ISMS ISO 27008 - 2011 Information technology — Security techniques — Guidelines for auditors on information security management systems controls norma obsahuje doporučení auditorům ISMS a bude doplňovat ISO 27007. ISO 27009 - norma byla nahrazena normou ISO/IEC DIS 27013 Information technology -- Security techniques -- Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 Ukázky připravovaných norem: ISO 27010 - norma by měla poskytovat doporučení pro vzájemnou komunikaci organizací a komunikaci organizací s vládou nejen v době krize. ISO 27012 - projekt pro tvorbu normy, která měla poskytovat bezpečnostní doporučení pro státní správu při elektronické komunikaci s občany, byl zrušen. 20
ISO 27013 - norma by měla poskytovat doporučení pro implementaci ISO/IEC 20000 a ISO/IEC 27001. [6]
Obr. 6 Sada norem 27000 a jejich vzájemné vazby [6]
Představa co je a co definuje soubor norem ISO/IEN 27000 nám pro představu postačí, v další podkapitole se zaměříme na vybranou normu ISO/IEC 27002:2005, která pojednává o informační bezpečnosti hlouběji.
3.5
Charakteristika normy ISO/IEN 27002: 2005 ISO/IEC 27002:2005 je sbírka nejlepších bezpečnostních praktik a můţe být vyuţita
jako kontrolní seznam všeho správného, co je nutno pro bezpečnost informací v organizaci udělat. Aktuální verze normy "ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management" je mezinárodně přijatý standard, který doporučuje nejlepší praktiky v oblasti bezpečnosti informací. Norma obsahuje 11 hlavních oddílů, které definují 39 cílů (kontrolních) opatření pro ochranu informačních aktiv proti narušení jejich důvěrnosti, dostupnosti a integrity. V podstatě tyto cíle opatření zahrnují funkční poţadavky pro architekturu bezpečnosti informací organizace. Bezpečnostní politika (1) 21
Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Vývoj, údrţba a rozšíření informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s poţadavky (3) Cíle opatření poskytují kvalitní základ pro definici sady "axiomů5" pro bezpečnostní politiku. Ne všechny jsou aplikovatelné v kaţdé organizaci a mohou se objevit poţadavky na jejich přeformulování či přizpůsobení podle aktuálních potřeb organizace. Nicméně většina z nich je obecně pouţitelná.
3.6
Metodický rámec ITIL ITIL je zkratkou pro "Information Technology Infrastructure Library", "knihovna
infrastruktury informačních technologií". Metodický rámec vznikl ve Velké Británii v 80. letech, o několik let později byla vydána první verze, píše se rok 2000, komplex čítá 30 knih. O čtyři roky později tj. rok 2004 rámec přepracován a zhuštěn do 7 knih, ITIL verze 2. V roce 2007 vzniká rozšířená verze (ITIL verze 3). ITIL je veřejně dostupný rámec, jenţ popisuje nejlepší praktiky ve správě sluţeb IT. Poskytuje rámec pro zvládnutí IT v organizaci, pojednává komplexně o sluţbách a zaměřuje se na neustálé měření a zlepšování kvality dodávaných sluţeb IT, a to jak z pohledu businessu, tak z pohledu zákazníka [7]
5
Axiom je tvrzení, které se předem pokládá za platné a tudíţ se nedokazuje. [2]
22
3.6.1
ITIL V2 vs. ITIL V3 Je ovšem nutno poznamenat, ţe předchozí verze ITIL V2 nebyla třetí verzí ITIL V3
zcela potlačena. Většina nových procesů ITIL V3 je obsahem ostatních šesti knih ITIL V2, které však na rozdíl od publikací Service Support a Service Delivery nejsou procesně strukturovány a proto praktická výtěţnost informací z těchto knih je poněkud problematická. Některé nové procesy ITIL V3 vznikly rozloţením procesů z předchozí verze knihovny ITIL V2 a proto nová verze knihovny ITIL V3 nabízí procesním specialistům a architektům detailnější pohled na strukturu, obsah a rozsah popsaných procesů. [7]
3.6.2
Charakteristika ITIL V2
ITIL V2 je v praxi stále rozšířená a mnoho organizací jí implementuje6 do svých systémů. Proto si zde uvedeme základní charakteristiku této verze. Jak jste jiţ z předešlých odstavců vyčetli ITIL V2 je vypracována v 7 knihách, jsou to: Podpora IT sluţeb (Service Support) Dodávka IT sluţeb (Service Delivery) Plánování implementace správy sluţeb (Planning to Implement Service Management) Správa infrastruktury ICT (ICT Infrastructure Management) Správa aplikací (Applications Management) Správa bezpečnosti (Security Management) Obchodní pohled (The Business Perspective)
6Implementace je proces uskutečňování teoreticky stanovené myšlenky nebo projektu za účelem jejího dalšího pouţití. [2]
23
Obr. 7 Vzájemné vztahy publikací ITIL V2 [7]
3.6.3
Aktuální verze ITIL V3 Je orientovaná na IT sluţby a obsahuje konceptuální referenční modely (jak mají
procesy řízení IT sluţeb vypadat) a doporučení, jak sluţby a procesy řídit. Aktuální ITIL verze 3 se na rozdíl od předchozích verzí zaobírá uţ jenom ITSM – řízením IT sluţeb (řízení infrastruktury IT je redukováno na minimum) a na IT sluţbu se dívá z nového pohledu – z pohledu jejího ţivotního cyklu (Service Lifecycle). Knihovna ITIL V3 je popsaná v pěti základních publikacích: Strategie sluţeb (Service Strategy) – v první fázi ţivotního cyklu proběhne výběr sluţby, kterou bude organizace poskytovat. Je vybrána taková sluţba, která přinese zisk a vyplatí se ji provozovat. Návrh sluţeb (Service Design) – zde je navrţeno, jak bude vybraná sluţba vypadat a z jakých technologií se bude skládat. Přechod sluţeb (Service Transition) – v této fázi je navrţená sluţba fyzicky vytvořena, coţ například znamená, ţe je naprogramována a ţe je zakoupen hardware. Proběhne zde i její přesun do provozu. Provoz sluţeb (Service Operation) – v jejím rámci je sluţba provozována a podléhá běţné podpoře IT. Neustálé zlepšování sluţeb (Continual Service Improvement) – sluţba je průběţně monitorována a zlepšována. 24
Obr. 8 Archytektura ITIL V3 [7]
3.7
Metodika COBIT Metodika Cobit (Control Objectives for Information and Related Technology) je
pevně spojena s organizacemi ISACA a IT Governance Institute. Jedná se o sadu všeobecně přijímaných procesů, návodů pro hodnocení, ukazatelů a nejlepších praktických zkušeností, která má za cíl pomoci organici maximalizovat uţitek, plynoucí z informačních technologií. První verze byla vytvořena organizací Information Systems Audit and Control Foundation v roce 1996. O dva roky později ba byla metodika doplněna o manaţerské návody (Management Guidelines), které se staly nedílnou součástí metodiky. Vydání druhé verze předcházel analytický výzkum, jehoţ cílem bylo shromáţdit materiály analyzovat je a začlenit do nich poznatky a zkušenosti z praxe. V roce 2000 byla vydána třetí verze COBIT 3rd Edition. Do současné doby byla vydána v roce 2007 verze čtvrtá, který doplňuje a rozšiřuje některé oblasti předešlé verze. V polovině roku je plánováno vydání jiţ páté verze metodiky označované COBIT 5. Připravovaná verze je největší změnou v celé historii metodiky.
25
3.8
Cobit 4.1 Základní princip metodiky COBIT integruje tří různé aspekty řízení informační
technologie v organizacích. Jsou jimi: cíle organizací ve formě nároků na vlastnosti (kritéria) dodávaných informací, jsou na mysli následující informační kritéria: efektivnost, výkonnost, důvěryhodnost, integrita, dostupnost, shoda, hodnověrnost, zdroje informační technologií, za základní zdroje se povaţují aplikace, informace, infrastruktura a lidé, poslední aspekty jsou procesy, mapa procesů vychází ze čtyř domén, které kopírují ţivotní cyklus řízení IT. Jsou jimi: PO: Plánování a organizace (Plan and Organice) AI: Akvizice a plánování (Acquire and Implement) DS: Dodávka a podpora (Deliver and Support) MI: Sledování a hodnocení (Monitor and Evaluate) Základní filozofie metodiky Cobit předpokládá, ţe business manaţeři jsou odpovědni za plnění strategických cílů, které musejí mít vazbu na strategické cíle IT. K naplnění strategických síle potřebují informace, na které jsou kladeny (podle povahy business procesů) různé nároky, týkající se jejich kvality ve formě poţadavků (kritérií) informací. Kvalitou informací ovlivňují IT procesy, které je moţné uspořádat do uzavřeného ţivotního cyklu (PO, AI, DS a MI). Při realizaci IT procesů se vyuţívají IT zdroje (aplikace, informace, infrastruktura a lidé) viz obr.8.. [5] Princip metodiky, který je zaloţený na uvedených aspektech řízení IT je často zobrazován formou tzv. multidimenzionální kostky Cobit. viz následující obrázek.
26
Obr. 9 Multidimenzionální kostka Cobit [7]
4. Přístup ke správě informační bezpečnosti Správa bezpečnosti IT (IT Security Management) je procesem správy definované úrovně bezpečnosti týkající se informací, sluţeb IT a infrastruktury. IT Security Management umoţňuje a zajišťuje, ţe: jsou implementovány a udrţovány bezpečnostní kontroly, které se zaměřují na změněné poměry, jako je změna businessu a poţadavků na sluţby IT, prvků architektury IT, ohroţení atd. jsou spravovány bezpečnostní incidenty, výsledky auditu ukazují adekvátnost bezpečnostních kontrol a přijatých opatření, jsou produkovány reporty, které prezentují stav informační bezpečnosti. Proces IT Security Management by měl být součástí popisu práce kaţdého manaţera IT. Management je odpovědný za přijetí příslušných kroků pro omezení rizik vzniklého bezpečnostního incidentu na přijatelnou úroveň. Toto je proces posouzení a správy rizik. Výkonný management společnosti je odpovědný vůči investorům a akcionářům za bezpečnost a je odpovědný za definování bezpečnostní politiky společnosti. Proces IT Security Management je kontrolován v duchu této politiky. Existence politiky zaznamenává a upevňuje rozhodnutí společnosti investovat do bezpečnosti informací a do zpracování informací. Poskytuje managementu návody a směrnice týkající se relativní významnosti různých aspektů organizace, toho, co je přípustné a co nikoli při pouţívání systémů a dat ICT. [8] 27
Obrázek č. 9 ilustruje proces informační bezpečnosti, jak je chápán businessem. Pokrývá všechny stavy, od nastavení politiky a počátečního posouzení rizik přes plánování, implementaci a provoz aţ po vyhodnocení a audit. [8]
Obr. 10 Model informační bezpečnosti (Information Security Model/ISM) [8]
4.1
Přístup k řízení informační bezpečnosti v ITIL Řešení řízení informační bezpečnosti je uvedeno především v knize Návrh sluţeb
(Service Design), kapitole 4.6 Řízení informační bezpečnosti. Podle metodiky ITIL je cílem Řízení informační bezpečnosti (dále „ISM― – Information Security Management) sladění zabezpečení informačních technologií a obchodních procesů, tak aby byla zajištěna bezpečnost ve všech aktivitách Řízení sluţeb. [9]
4.1.1
Cíle bezpečnosti dle metodiky ITIL Cíle bezpečnosti jsou dle ITIL chápány následovně: Informace jsou dostupné a pouţitelné v případě potřeby. Systémy, které to zajišťují, mohou přiměřeně odolávat útokům a obnovovat případné poruchy, nebo jim předcházet (dostupnost informací), informace jsou sledovány nebo sděleny pouze těm, kteří mají patřičné právo (důvěrnost informací), 28
informace jsou úplné, přesné a chráněné před neoprávněnými úpravami (integrita informací), obchodní transakce, jakoţ i výměny informací mezi podniky nebo partnery, jsou důvěryhodné (autenticita, nepopiratelnost informací). Priority důvěrnosti, integrity a dostupnosti je třeba posuzovat v souvislosti obchodních procesů. Primární postup k vymezení toho, co musí být chráněno a stupeň této ochrany by měl pocházet z obchodních cílů. Pokud chce být organizace efektivní, mělo by bezpečnostní řešení zahrnovat obchodní procesy od začátku do konce a neopomíjet fyzické a technické aspekty. Pouze v souvislosti obchodních potřeb a souvisejících rizik lze definovat bezpečnostní management. [9]
4.1.2
Proces ISM ISM proces by měl být kontaktním místem pro všechny problémy informační
bezpečnosti. Měl by zajistit, aby se politika informační bezpečnosti vytvářela, udrţovala a prosazovala tak, aby zahrnovala postupy správného a nesprávného vyuţívání všech IT systémů a sluţeb. ISM podle ITIL potřebuje pochopit celkové IT a business bezpečnostní prostředí, včetně: obchodních bezpečnostních politik a plánů, současného obchodního provozu a jeho bezpečnostních poţadavků, budoucích podnikatelských plánů a poţadavků, legislativních poţadavků, povinností a odpovědností s ohledem na zabezpečení obsaţené v Dohodě o úrovni poskytovaných sluţeb (Service Level Agreement), podnikatelských a IT rizik a jejich řízení. Pochopení výše uvedeného umoţňuje ISM, aby zajistilo, ţe všechny současné i budoucí bezpečnostní aspekty a rizika podnikání jsou řízeny ekonomicky. ISM proces by měl zahrnovat: tvorbu, údrţbu, distribuce a prosazování bezpečnostní politiky informačních a podpůrných bezpečnostních politik, porozumění dohodnutých současných a budoucích bezpečnostních poţadavků organizace a stávajících obchodních bezpečnostních politik a plánů, 29
implementaci bezpečnostních kontrol, které podporují informační bezpečnostní politiky a řízení rizik spojených s přístupem ke sluţbám, informacím a systémům, dokumentace všech bezpečnostních kontrol, spolu s provozem a údrţbou kontrol a s nimi spojených rizik, řízení vztahů s dodavateli a smlouvami týkající se přístupu k systémů a sluţbám, správa všech bezpečnostních incidentů a mimořádných událostí v souvislosti se všemi systémy a sluţbami, aktivní zlepšení bezpečnostních kontrol, bezpečnosti a řízení rizik a také snaha o sníţení bezpečnostních rizik, integrace bezpečnostních hledisek do všech dalších IT procesů. Pro dosaţení účinné správy informační bezpečnosti, musí management vytvořit a udrţovat systém řízení bezpečnosti informací (ISMS). Tento systém je provozován za účelem vývoje a řízení celého programu informační bezpečnosti, který podporuje cíle organizace. [9]
4.1.3
Systém řízení bezpečnosti informací (ISMS) ISMS dle ITIL poskytuje základ pro vývoj nákladově efektivního programu
informační bezpečnosti, který podporuje obchodní cíle organizace. Zahrnuje ―Osoby‖, ―Procesy‖, ―Produkty a technologie‖ a ―Partnery a dodavatele‖ pro zajištění vysoké úrovně bezpečnosti. [9] Obrázek č. 10 ukazuje přístup, který je pouţíván a zaloţen na praktikách popsaných v mnoha zdrojích.
30
Obr. 11 Základní rámec pro řízení bezpečnosti informací dle ITIL [9]
V tomto rámci je definováno následujících pět prvků: Kontrola Cílem tohoto prvku v rámci ISMS je: vytvoření řídícího rámce k zahájení procesu informační bezpečnosti v organizaci vytvoření organizační struktury pro přípravu, schvalování a realizaci informační bezpečnostní politiky přidělení odpovědností vytvoření a kontrola potřebné dokumentace Plánování Cílem tohoto prvku je navrhnout a doporučit relevantní bezpečnostní opatření, která vychází z poţadavků organizace. Poţadavky jsou získávány z takových zdrojů, jako obchodní a servisní rizika, plány a strategie, SLA a OLA (dohody o kvalitě práce) a právní, morální a etická zodpovědnost za zabezpečení informací. Je třeba také zvaţovat další faktory, jako je například výše disponibilních finančních prostředků, podniková kultura či dosavadní postoje k bezpečnosti. [9] Bezpečnostní politika definuje postoj organizace v bezpečnostních otázkách. Měla by platit pro celou organizaci, nejen pro IT sluţby. Odpovědnost za udrţování dokumentu spočívá na bezpečnostním manaţerovi. [9] 31
Implementace Cílem implementace ISMS je zajistit, aby příslušné postupy, nástroje a kontrolní mechanismy jsou správně aplikovány a dostatečně podporují bezpečnostní politiku. Mezi tato opatření patří především: odpovědnost za aktiva – podpůrnými prostředky jsou Management konfigurace a Systém pro správu obsahu (CMS) klasifikace aktiv - informace a zdroje by měly být klasifikovány podle citlivosti a dopadu prozrazení, Úspěšná implementace bezpečnostních kontrol a opatření je závislá na mnoha faktorech: stanovení jasné a odsouhlasené politiky, integrované s potřebami podniku, bezpečnostní postupy, které jsou odůvodněné, přiměřené a podpořené exekutivou organizace, efektivní marketing a vzdělávání v bezpečnostní poţadavcích, mechanismus pro neustálé zlepšování. Hodnocení Cílem tohoto prvku ISMS je následující: dohled a kontrola dodrţování bezpečnostní politiky a bezpečnostních poţadavků, provádění pravidelných auditů technického zabezpečení IT systémů, v případě potřeby poskytování informací externím auditorům a regulačním orgánům. Údržba Cílem údrţby v rámci ISMS je: zlepšování bezpečnostních dohody, jak je uvedeno například ve SLA a OLA dohodách, zlepšování implementace bezpečnostních opatření a kontrol. Správa bezpečnosti Pokud je správa informační bezpečnosti správně implementována, měla by poskytovat těchto šest základních výstupů: Strategic Alignment (Strategické směřování) 32
o bezpečnostní poţadavky by měly být řízeny poţadavky organizace o bezpečnostní řešení se musí přizpůsobit procesům organizace o investice do informační bezpečnosti by měly být v souladu s podnikovou strategií Value Delivery System (Systém poskytování hodnot) o standardní sada bezpečnostních postupů, tj. základní poţadavky na bezpečnost vycházející z ―best practices‖ (nejlepší postupy), o správně nastavené priority na oblasti s největším dopadem a obchodním uţitkem, o institucionalizovaná řešení, o kompletní řešení, zahrnující organizaci, procesy i technologie, o kultura neustálého zlepšování. Risk management (Řízení rizik) o odsouhlasený rizikový profil, o pochopení přijatých rizik, o povědomí o prioritách řízení rizik, o zmírňování rizika. Performance management (Řízení výkonu) o definovaná, odsouhlasená a smysluplná sada metrik, o proces měření, který pomáhá zjistit nedostatky a poskytovat zpětnou vazbu o pokroku v řešení problémů, o nezávislá bezpečnost. Resource management (Řízení zdrojů) o informace jsou chráněny, ale oprávněným osobám jsou k dispozici, o procesy a praktiky bezpečnosti jsou zdokumentovány, o vyspělá bezpečnostní infrastruktura slouţí k efektivnímu vyuţívání zdrojů organizace. Business Process Assurance (Bezpečnost obchodních procesů)
33
Účelem ISMS dle ITIL je zajistit, aby bezpečnostní aspekty s ohledem na veškeré aktivity správy sluţeb byly řádně spravovány a kontrolovány v souladu s potřebami podniku a rizik. Klíčovými aktivitami v rámci ISMS dle ITIL jsou: tvorba, kontrolu a revize celkové bezpečnostní politiky a soubor podpůrných specifických politik, komunikace, implementace a prosazování bezpečnostní politiky, ohodnocení a klasifikace všech informačních aktiv a jejich dokumentace, implementace, přezkoumání, revize a zlepšování sady bezpečnostních kontrol a posouzení rizik a odezev, monitoring a řízení všech narušení bezpečnosti a hlavních bezpečnostních incidentů, analýzy, hlášení a snahy o sníţení objemu a dopadu narušení bezpečnosti a bezpečnostních incidentů, plán a uskutečnění bezpečnostních kontrol, audity a penetrační testy. ITIL definuje bezpečnostní strategii jako soubor kvalitně vyvinutého ISMS, spolu s metodami, nástroji a technikami. Při vytváření bezpečnostní strategie je také třeba zváţit, jak ověřené bezpečnostní postupy implementovat do kaţdé sféry činnosti organizace. Vzdělávání a zvyšování povědomí mají zásadní význam v celkové strategii, protoţe zabezpečení bývá často nejslabší u koncového uţivatele. Strategie by měla obsahovat potřebu vyvíjet metody a procesy, které umoţní snáze dodrţovat a provádět zvolené politiky a standardy. [9] Bezpečnostní kontroly ITIL popisuje informační bezpečnost jako nedílnou součástí všech sluţeb a systémů, jako průběţný proces, který je třeba neustále spravovat pomocí souboru bezpečnostních kontrol. Zavrhuje myšlenku, ţe je to krok v ţivotním cyklu sluţeb a systémů, který lze vyřešit
pomocí
nějaké
technologie.
Pomocné
bezpečnostních kontrol je na obrázku č. 11. [9]
34
schéma
doporučeného
postupu
Obr. 12 Základní schéma bezpečnostních kontrol dle ITIL [9]
Sada bezpečnostních kontrol by měla být navrţena tak, aby podporovala bezpečnostní politiky organizace, minimalizovala všechny rozpoznané a identifikované hrozby. Kontroly jsou ekonomičtější, pokud jsou zahrnuty do návrhu všech sluţeb. Tím je zajištěna trvalá ochrana všech stávajících sluţeb a také to, ţe nové sluţby a přístup k nim budou v souladu s politikou. Na začátku existuje riziko, které se zhmotní v důsledku hrozby. Hrozba můţe být cokoli, co narušuje obchodní proces, nebo má negativní dopad na podnikání. Kdyţ se hrozba vyplní, hovoříme o bezpečnostním incidentu. Tento bezpečnostní incident můţe mít za následek poškození (informace nebo aktiva), které musí být napraveno. ITIL nabízí následující klasifikaci opatření. Volba opatření je závislá na důleţitosti informací. [9] Preventivní - bezpečnostní opatření mají slouţit k prevenci výskytu bezpečnostních incidentů. Klasickým příkladem je přidělování přístupových práv omezené skupině oprávněných osob. Dalšími poţadavky spojenými s tímto opatřením jsou: [9] kontrola přístupových práv (přidělení, zachování a odejmutí práv), autorizace (zjišťování, kdo má přístup ke kterým informacím a nástrojům), identifikace a autentizace (potvrzuje, který poţaduje přístup) řízení přístupu (zajištění toho, aby jen oprávnění pracovníci mohli získatpřístup)
35
Redukční - další opatření mohou být přijata v předstihu, aby minimalizovali případné škody, které mohou nastat. Patří mezi ně například pravidelné zálohování nebo vývoj, testování a údrţba plánů pro řízení kontinuity organizace. [9] Detekční - pokud dojde k bezpečnostnímu incidentu, je důleţité odhalit tuto skutečnost co nejdříve – detekovat. Známým příkladem je monitoring napojený na poplach nebo antivirový program. [9] Represivní - opatření jsou pouţívána k boji proti jakémukoli pokračování nebo opakování bezpečnostního incidentu. Například jde o dočasnou blokaci účtu či síťové adresy, po četných neúspěšných pokusech o přihlášení, nebo o zadrţení karty, po několikanásobných pokusech s nesprávným PIN kódem. [9] Nápravná – tato opatření slouţí k co moţná nejkvalitnější nápravě vzniklé škody. Příkladem můţe být obnovení dat ze zálohy nebo návrat systému do poslední stabilní verze. [9] Řízení bezpečnostních incidentů a narušování bezpečnosti V případě závaţného porušení bezpečnosti a bezpečnostního incidentu radí ITIL rychlé a včasné vyhodnocení, aby se zjistilo, v čem je problém, co to způsobilo a jak tomu můţe být v budoucnu zabráněno. Nicméně, tento proces by neměl být omezen na závaţné bezpečnostní incidenty. Všechna narušení bezpečnosti a bezpečnostní incidenty by měly být zkoumány s cílem získat úplnou představu o účinnosti bezpečnostních opatření jako celku. [9]
4.2
Řízení informační bezpečnosti ve metodice COBIT Cobit sice není primárně určen pouze pro správu informační bezpečnosti v organizaci,
ale řešení této problematiky je obsahem téměř všech definovaných procesů Cobit. Následující popis shrnuje nejdůleţitější oblasti informační bezpečnosti dle Cobit a definuje klíčové cíle a úkoly, které je nutné naplnit pro správné fungování systému řízení informační bezpečnosti v podniku. Kaţdá z klíčových oblasti bezpečnosti spadá vţdy do některé ze čtyř hlavních domén: [9] Plánování a organizace Pořízení a implementace Dodávka sluţeb a podpora Monitorování a hodnocení 36
4.2.1
Plánování a organizace
Definice informační architektury (PO2 - Define the Information Architecture) Prioritním cílem dle COBIT je identifikace informací a sluţeb, která jsou rozhodující pro fungování organizace a určení jejich bezpečnostních poţadavků, tzn.: [9] informace, které nesmí být zneuţity nebo ztraceny, sluţby, které musí být za kaţdou cenu dostupné, transakce, které musí být důvěryhodné, tzn. splňují podmínky autentičnosti a integrity Dále je důleţité rozhodnout: kdo má přístup k citlivým informacím a kdo je můţe upravovat jaká data je nutné archivovat a zálohovat jaká bude úroveň dostupnosti důleţitých informací jak bude řešena autorizace a ověřování elektronických transakcí Definice organizace a odpovědností v rámci IT (PO4 - Define the IT Processes, Organisation and Relationships) Pro úspěch celého procesu řízení bezpečnosti je důleţité definovat vztahy klíčových aktiv k jednotlivým pracovníkům a nastavit, kdo je za co odpovědný. Pro uskutečnění tohoto cíle je dle Cobit vhodné: [9] ujistit se, ţe odpovědnosti byly řádně přiděleny, správně pochopeny a mezi podřízenými a nadřízenými probíhá patřičná komunikace, vyvarovat se přidělení příliš mnoha bezpečnostních rolí a odpovědností jedné osobě, poskytovat potřebné zdroje, nezbytné pro efektivní plnění bezpečnostních rolí Povědomí o cílech a směřování organizace s ohledem na bezpečnost (PO6 Communicate Management Aims and Direction) Pokud má být systém řízení bezpečnosti informací funkční, je nezbytné aby cíle a směřování firmy byly šířeny s ohledem na bezpečnost. COBIT v tomto směru doporučuje: [9] důsledně komunikovat a pravidelně projednávat základní pravidla pro provádění bezpečnostních poţadavků a způsoby, jak reagovat na vzniklé bezpečnostní incidenty, 37
pravidelně upozorňovat zaměstnance na bezpečnostní rizika a jejich osobní odpovědnosti. Řízení lidských zdrojů (PO7 - Manage IT Human Resources) Jako základní oblast této problematiky vidí také Cobit řízení lidských zdrojů. Je nutné, aby jednotlivé funkce v organizační struktuře organizace byly obsazovány lidmi s potřebnými schopnostmi pro plnění patřičných úloh také s ohledem na poţadovanou bezpečnostní odpovědnost. Jsou zde k dispozici následující pokyny: [9] při přijímání nových pracovníků věnovat zvýšenou pozornost hodnocení z předchozích zaměstnání, zajistit novým zaměstnancům v rámci přijímacího řízení nebo následného školení dovednosti a znalosti potřebné k jejich podpoře firemního systému informační bezpečnosti a pravidelně prověřovat, zda jsou tyto kvalifikace aktuální a případně je doplňovat, nedovolit, aby ţádný z klíčových bezpečnostních úkolů byl závislý pouze na jednom zaměstnanci. Určení a Řízení rizik (PO9 - Assess and Manage IT Risks) Nezbytným procesem řízení bezpečnosti je odhalit rizika, která ohroţují citlivá aktiva organizace, nastavit jejich priority a stanovit, která rizika se budou potlačovat a která se přijmou. Mimo jiné je potřeba zváţit a provést: [9] diskutovat s odpovědnými zaměstnanci na téma moţných hrozeb, které by mohly mít zásadní dopad na podnikatelské cíle, rozhodnout, jak nejlépe zabezpečit sluţby, informace a transakce, které jsou rozhodující pro úspěch podniku, připravit plán pro řízení rizik pro řešení těch nejvýznamnějších, sestavit tým, jehoţ členové budou zasvěceni do připravované koncepce a najít efektivní prostředky pro řízení zjištěných bezpečnostních rizik prostřednictvím bezpečnostních postupů (např. efektivní zálohování, základní kontrola přístupu, antivirová ochrana, firewally) nebo pojištění.
38
4.2.2
Akvizice a implementace
Řízení automatizovaných řešení (AI1 - Identify automated solutions) Pokud se organizace rozhodne k nasazení nějakého automatizovaného řešení, Cobit nabízí provést následující bezpečnostní opatření: [9] získat jistotu pokud jde o důvěryhodnost vybrané bezpečnostní technologie, prostřednictvím referencí, externího poradenství, atd., zváţit, jak automatizovaná řešení mohou do organizace vnést bezpečnostní rizika a které podpůrné procesy bude nutné měnit, ujistit se, ţe řešení je funkční, kompatibilní se současnými systémy a splňuje provozní bezpečnostní poţadavky. Pořizování a údržba technologického vybavení (AI2 - Acquire and maintain application software) Podobně jako v předchozím bodě následuje seznam nejdůleţitějších opatření, která se týkají pořizování a údrţby technologického vybavení organizace. Doporučeny jsou následující kroky: [9] přesvědčit se, zda technologické vybavení je v souladu s automatizovanými bezpečnostními postupy organizace, zváţit, jak se zvýší bezpečnostní poţadavky nutné k ochraně pořizované technologie, zabezpečit technologie sledováním aktuálních dostupných bezpečnostních záplat a implementovat takové, které jsou vhodné vzhledem k infrastruktuře organizace. Vývoj a údržba pracovních procesů (AI3 - Acquire and maintain technology infrastructure) Řízení informační bezpečnosti se také týká vývoje a údrţby pracovních procesů. Cobit v tomto bodě nabízí tyto postupy: [9] zajistit, aby zaměstnanci byli schopni integrovat bezpečnostní opatření do kaţdodenních pracovních procesů zdokumentovat všechny tyto procesy a zabezpečit pravidelná školení všech zainteresovaných pracovníků. Instalace a akceptace systémů (AI4 -Enable operation and use) 39
Jestliţe dochází k instalaci nebo aktualizace informačního systému organizace, je nutné přijmout taková opatření a provést bezpodmínečně takové procedury, aby nedošlo k ohroţení bezpečnosti stávajícího nastavení. Nejdůleţitější je provést tato doporučení: [9] testovat systém nebo tu část, kde byla provedena změna dle platných bezpečnostních poţadavků na reprezentativním vzorku funkcí tak, aby výsledky byly spolehlivé a relevantní, nikdy netestovat na běţícím systému, před akceptací mít na paměti všechny zaměstnance, kteří se systémem budou pracovat, vyuţívat ho a udrţovat, provést finální akceptaci systému vyhodnocením všech proběhlých testů v souvislosti s obchodními cíli organizace. Řízení změn (AI6 - Manage changes) V této oblasti je klíčové, aby všechny změny, včetně záplat, podporovaly stanovené cíle podnikání a byly prováděny bezpečným způsobem. Kaţdodenní pracovní procesy by plánovanými změnami neměly být ovlivněny. Z navrhovaných postupů povaţuji za důleţité tyto: [9] vyhodnotit všechny změny, stanovit vliv na integritu, ohroţení nebo ztrátu citlivých dat, dostupnost kritických sluţeb, a validitu významných transakcí, na základě tohoto vyhodnocení, provést odpovídající testování před provedením plánovaných změn, zaznamenat a schválit všechny změny.
4.2.3
Dodávka sluţeb a podpora
Řízení služeb (DS1- Define and manage service levels) Při definování a řízení úrovní jednotlivých sluţeb poskytovaných organizací nebo těch, které zajišťují pro organizaci externí subjekty, je také potřeba vzít v úvahu bezpečnostní aspekty. Především se to týká následujících: [9] zajistit, aby management stanovil bezpečnostní poţadavky a pravidelně kontroloval dodrţování interních dohod o úrovni poskytovaných sluţeb a smluv se jejími externími dodavateli, 40
posoudit odbornou způsobilost externích dodavatelů sluţeb tak v oblasti dodrţování bezpečnostních poţadavků a zájmů organizace, zváţit závislost na externích dodavatelích sluţeb kvůli bezpečnostním poţadavkům a nástroji jako je právní odpovědnost nebo sankce sníţit rizika organizace, která se týkají duševního vlastnictví, řízení kontinuity nebo ztráty důvěrnosti informací. Řízení kontinuity (DS4 - Ensure continous service) Pro organizaci je v oblasti řízení informační bezpečnosti esenciálním úkolem zajistit, aby byla schopna provozovat svoje běţné obchodní aktivity s minimálním dopadem případných bezpečnostních incidentů. Cobit v této souvislosti doporučuje provést následující kroky: [9] identifikovat důleţité obchodní informace a funkce a zdroje (např. aplikace, sluţby třetích stran, materiál, datové soubory), které jsou rozhodující pro jejich podporu, zajistit dostupnost klíčových zdrojů v případě bezpečnostního incidentu pro udrţení kontinuity provozu, ujistit se, ţe významné incidenty jsou identifikovány a včas vyřešeny, stanovit základní principy k ochraně a obnově IT sluţeb, včetně alternativních postupů, jak získat materiál a sluţby v nouzi, jak se vrátit do normálního reţimu po bezpečnostním incidentu a jak komunikovat se zákazníky a dodavateli, spolu s klíčovými zaměstnanci určit, jaké informace musí být zálohovány a uloţeny mimo podnik a odpovídajícím způsobem zajištěny, aby byly k dispozici při obnově po bezpečnostním incidentu, jednat se můţe např. o důleţité datové soubory, dokumentace a další IT zdroje, kontrolovat v pravidelných intervalech, ţe záloţní zdroje jsou pouţitelné a kompletní. Řízení bezpečnosti systémů (DS5 - Ensure systems security) Aby byla dosaţena odpovídající úroveň informační bezpečnosti, je nutné zajistit, aby všechny prostředky automatizovaného zpracování v podniku byly pouţívány pouze oprávněnými osobami / systémy pro obchodní účely. Je třeba dodrţovat následující podmínky: [9]
41
implementovat pravidla pro řízení přístupu ke sluţbám na základě individuálních potřeb zobrazit, přidat, změnit nebo odstranit informace a transakce; především je nutné správně nastavit práva přístupu poskytovatelům sluţeb, dodavatelům a zákazníkům, ujistit se, ţe jsou přiděleny odpovídající odpovědnosti pro správu všech uţivatelských účtů a prostředků zabezpečení (např. hesel, karet a dalších zařízení) a kontrolu všech těchto zařízení, která mají nějakou finanční hodnotu, pravidelně kontrolovat / potvrzovat jednání a oprávněnost těch, kteří spravují uţivatelské účty; zajistit, aby tyto odpovědnosti nebyly přiděleny jedné osobě, zaznamenávat důleţitá porušení bezpečnostní (např. systému a přístupu k síti, virů, zneuţití a nelegálního software); zajistit, aby byly neprodleně hlášeny a včas se vyřešili, k zajištění důvěryhodnosti smluvních stran a k jistotě, ţe při pouţití elektronických transakčních systémů jsou obchodní ujednání platná, nastavit bezpečnostní pokyny tak, aby byly přiměřené a v souladu se smluvními závazky, prosazovat pouţívání antivirové ochrany v rámci celé podnikové infrastruktury a zajistit pravidelnou aktualizaci pouţívaného software na všech stanicích, pouţívat pouze legální software, definovat politiku, která určuje, jaké informace mohou opustit systém organizace a které naopak mohou do systému vstoupit; v souvislosti s tím konfigurovat systémy síťové bezpečnosti (firewally); monitorovat výjimky a sledovat závaţné incidenty, zváţit, jak chránit mobilní výpočetní prostředky a zařízení. Řízení IT aktiv Prvořadým zájmem kaţdé organizace by mělo být řádné zabezpečení veškerých aktiv a snaha o minimalizaci bezpečnostních rizik tím, ţe podnik udrţuje řádné povědomí o svých klíčových aktivech a licencích. K tomuto stavu vede splnění těchto podmínek: [9] zajistit existenci pravidelně aktualizovaného a kompletního soupisu hardware a software organizace, pravidelně přezkoumávat, zda je veškerý nainstalovaný software autorizován a řádně licencován.
42
Řízení dat (DS11 - Manage data) Standardním poţadavkem jakéhokoliv systému řízení informační bezpečnosti je snaha o to, aby všechna data byla úplná, přesná a platná při vstupu, zpracování, uloţení a distribuci. Cobit v tomto směru není výjimkou. Přidává tato doporučení: [9] vystavit data různým kontrolám k ověření jejich integrity (přesnost, úplnost a platnost) při vstupu, zpracování, ukládání a distribuci, kontrolovat transakce, aby byla zajištěna jejich pravost a nemohli být odmítnuty, poskytovat důvěrné výstupy pouze oprávněným osobám, vymezit a dodrţovat lhůty pro uchovávání údajů, archivní poţadavky a podmínky pro uloţení vstupních a výstupních dokumentů, dat a software; ujistit se, ţe jsou v souladu s uţivatelskými a právními poţadavky, zajistit, ţe uloţená data nepozbývají svou integritu nemohou být zcizena. Řízení fyzické bezpečnosti (prostředí) Důleţitým faktorem bezpečnosti informací je také ochrana všech IT zařízení před poškozením. Je vhodné dodrţovat tyto zásady: [9] fyzicky zabezpečit IT vybavení a aktiva, zejména ta, která jsou nejvíce ohroţena bezpečnostními hrozbami; pokud je to dostupné a vhodné, získat odborné poradenství, fyzicky chránit počítačové vybavení, včetně mobilních a úloţných zařízení před jejich poškozením, odcizením nebo náhodnou ztrátou.
4.2.4
Monitorování a hodnocení
Řízení vnitřní kontroly Kaţdý efektivní systém je nutné monitorovat a kontrolovat, aby byla zjištěna jeho výkonnost. Cobit v této problematice navrhuje provádět následující kroky: [9] posoudit přiměřenost bezpečnostních kontrol, v porovnání s definovanými poţadavky a s ohledem na současnou zranitelnost, přehodnotit, jaké bezpečnostní výjimky je nutné pravidelně monitorovat, vyhodnotit funkčnost bezpečnostních mechanismů a kontrolovat jejich nedostatky při detekcích narušení, penetračních a zátěţových testech a testování krizových plánů, 43
monitorovat dodrţování klíčových kontrol. Řízení souladu s externími požadavky Aby vedení organizace získalo důvěru v aplikovaný systém bezpečnost řízení informací, je vhodné získat externí poradenství prostřednictvím spolehlivých a nezávislých zdrojů. Postupy, které jsou v této oblasti doporučeny, jsou tyto: [9] získat v případě potřeby příslušné externí zdroje informací k přezkoumání bezpečnostních kontrolních mechanizmů a posouzení souladu s právními předpisy a smluvními závazky ve vztahu k informační bezpečnosti, vyuţívat jejich znalostí a zkušeností pro vnitřní pouţití.
4.3
Přístup k řízení k informační bezpečnosti v metodice ISO/IEC 27002 ISO/IEC 27002 popisuje nejlepší praktiky pro zajištění bezpečnosti informací, které
by organizace měla vzít v úvahu pro zajištění kontrolních cílů. Norma popisuje 133 "základních" opatření, které se ale dále rozpadají na stovky specifických bezpečnostních opatření. Následující obrázek představuje oblasti, kterých se bude tato kapitola týkat.
Obr. 13 Oblasti bezpečnosti informací [ISO27002]
Norma nepřikazuje, která opatření musí být bezpodmínečně aplikována, ale ponechává rozhodnutí na organizaci. Vhodná opatření jsou vybírána na základě hodnocení rizik a jejich implementace je závislá na konkrétní situaci. Cílem není implementovat vše, co norma popisuje, ale spíše naplnit všechny aplikovatelné cíle opatření. [9]
44
4.3.1
Bezpečnostní politika O bezpečnostní politice pojednává odstavec 2.1. Tato oblast vyjadřuje zájem managementu společnosti na podpoře bezpečnosti
informací a zabývá se jasnou formulací, kam má řízení bezpečnosti informací směřovat. Jsou k tomu definovány dvě opatření: Formulace dokumentu „bezpečnostní politika“, který: vyjadřuje cíle a význam bezpečnosti informací, vyjadřuje zájem managementu o řešení bezpečnostních rizik, upřesňuje výklad základních bezpečnostních zásad a pravidel, určuje odpovědnosti a pravomoci v této oblasti. Revize bezpečnostní politiky, která by měla: být pravidelná, pověřit a určit manaţera bezpečnostní politiky, posuzovat vhodnost, přiměřenost a efektivnost stanovených opatření, přizpůsobovat definovaná pravidla současným potřebám organizace.
4.3.2
Organizace bezpečnosti informací Tato oblast bezpečnostních opatření, která popisuje poţadavky na organizaci
bezpečnosti dat, je rozdělena na dva boky: Interní organizace závazek vedení směrem k bezpečnosti informací – zajištění podpory managementu pro prosazování bezpečnosti informací. Vedení nejen ţe vydává postupy a pravidla, ale také je povinné se jimi řídit, harmonický výklad bezpečnostních pravidel – platí pro velké organizace, znamená ustanovení kontrolních orgánů pro koordinaci postupů a činností, upřesnění rolí, odpovědností a pravomocí spojených s řízením bezpečnosti informací, uzavírání dohod o ochraně důvěrných informací se spolupracujícími subjekty – upřesnění věcného obsahu takovýchto smluv, 45
udrţování kontakty na orgány veřejné moci a poskytovatele telekomunikačních sluţeb k rychlé nápravě vzniklých incidentů a sběru důkazních materiálů, začlenění interního auditu, který provádí nezávislá přezkoumání bezpečnosti a hodnocení účinnosti a spolehlivosti nastavených bezpečnostních opatření. Externí organizace určování pravidel pro zajištění bezpečnosti u externích subjektů – identifikace rizik při kontaktu s externím subjektem, uzavření formálních postupů pro přístup klientů nebo třetích stran.
4.3.3
Řízení aktiv
Cílem této oblasti je identifikace a udrţení vyváţené ochrany všech aktiv, která jsou součástí informačního systému. Jsou zde pojmenovány dvě skupiny bezpečnostních opatření: [9] Vymezení odpovědnosti za aktiva evidence aktiv – základní přehled o aktivech a určení důleţitých a nedůleţitých aktiv, vlastník aktiva – opatření, které stanovuje vlastníka, který je zároveň za aktivum odpovědný, pouţití aktiv – pro aktiva jsou určena pravidla jejich pouţívání, např. některá aktiva se nesmí přenášet přes externí média nebo posílat po síti bez šifrování. Klasifikace informací vytvoření klasifikačního schématu – třídění informací podle důleţitosti a významu pro hlavní procesy organizace, pravidla a postupy pro označení a ochranu jednotlivých typů informací.
4.3.4
Bezpečnost lidských zdrojů Tato oblast je povaţována za velmi důleţitou, protoţe mnoho incidentů vzniká z
nedůsledného dodrţování bezpečnosti zaměstnanci nebo pracovníky smluvních stran. Oblast pracuje s ţivotním cyklem zaměstnance a rozděluje opatření na ta, která jsou aplikována před vznikem, během a při ukončení smluvního vztahu. [9] Opatření před vznikem pracovního vztahu 46
určení a následná dokumentace bezpečnostních rolí a odpovědnosti dle stanovené bezpečnostní politiky, prověrky nových pracovníků – ověření identity, ţivotopis, reference, prokázání bezúhonnosti, stanovení přesných podmínek výkonu práce – zahrnuje odpovědnost pracovníka s ohledem na zajištění bezpečnosti informací. Opatření během pracovního vztahu odpovědnost vedoucích zaměstnanců – seznámení podřízených s bezpečnostními pravidly a motivace k jejich dodrţování, prohlubování bezpečnostního povědomí – semináře či jiné vzdělávací aktivity vedoucí k praktickým ukázkám jednotlivých pravidel bezpečnosti, disciplinární řízení – v situaci porušení pravidel. Dochází ke sjednání, nápravy a stanovení trestu – výtka či napomenutí nebo při závaţnějších, případech finanční postih, změna pozice či ukončení pracovního vztahu. Opatření po ukončení pracovního vztahu stanovení odpovědnosti spojené s ukončením vztahu – upozornění na případné závazky o mlčenlivosti platící po skončení poměru, navrácení zapůjčených prostředků – problém nastává s vymazáním dat na soukromých médiích zaměstnance (mělo by být zakázáno pouţívat), uzamčení přístupových účtů pro odcházejícího zaměstnance.
4.3.5
Fyzická bezpečnost a bezpečnost prostředí Do této oblasti patří opatření, která se snaţí chránit prostředí organizace jako celek –
skupina zabezpečení oblasti a opatření, která chrání jednotlivé prvky infrastruktury ICT – skupina bezpečnost zařízení. Organizace by měla dosáhnout přiměřené kombinace obou skupin, aby byla bezpečnost efektivní. [9] Zabezpečení oblasti vytvoření fyzické bezpečnostní hranice, která je určena zdmi, ploty, mříţemi, atd., kontrola fyzického vstupu – označení osob, identifikace, návštěvy, atd., 47
zvláštní opatření pro místnosti s koncentrací prostředků ICT – serverovny, archivy datových médií, apod., zabezpečení před externími hrozbami – poţár, výbuch, povodeň, atd., pravidla pro zaměstnance, kteří v těchto prostorech pracují – zákaz pouţívání záznamových zařízení, opatření pro veřejně přístupné prostory a místa pro nakládku a vykládku zboţí či materiálu. Bezpečnost zařízení stanovení pravidel pro bezpečná umísťování pouţívaných zařízení – minimalizace přístupu,
omezení
moţnosti
neoprávněného
sledování
informací,
zajištění
odpovídajících bezpečných provozních podmínek, zabezpečení ochrany podpůrných zařízení – zajištění nepřetrţité dodávky elektrické energie (UPS) nebo chladícího média, zabezpečení ochrany kabelových rozvodů – ochrana linek, která přenášejí data tím, ţe nejsou vedeny společně se silnoproudem a jsou fyzicky zabezpečeny, pravidelná údrţba jednotlivých zařízení – prodlouţení spolehlivosti a funkčnosti zařízen, ochrana zařízení mimo prostory organizace – pravidla spojená s přemísťováním majetku, pravidla pro bezpečnou likvidaci datových médií – na těchto nosičích nesmí být uchována data po jejich vyřazení, o fyzická likvidace, o vymazání dat pomocí zařízení se silným elektromagnetickým impulsem, o vymazání dat pomocí několikanásobného přehrání obsahu tak, aby původní data uţ nebylo moţné obnovit.
4.3.6
Řízení komunikací a řízení provozu Tato oblast obsahuje deset skupin bezpečnostních opatření, která se vztahují k
bezpečnému provozu ICT. [9] 48
Stanovení rozumných provozních procesů, postupů, odpovědností a pravomocí dokumentace důleţitých provozních procesů – start, zastavení, přerušení či obnovení chodu systému, zálohování či archivace, řízení provozních změn – posouzení moţných dopadů na chod organizace a rizika s tím spojená, postup odsouhlasení případné změny a pravidla pro zavedení změny odpovědnými osobami. Opatření k řízení dodávek služeb třetích stran – outsourcing Organizace vyuţívá ke své činnosti zdroje, které na základě své potřeby a legislativy obhospodařuje tak, aby poskytovaly vstupy včas a v takové kvalitě i kvantitě, jaká je poţadována pro plnění cílů organizace. Outsourcing je takový stav, kdy vstup, který by organizace jinak získala z takového zdroje, koupí od jiného subjektu jako sluţbu nebo zboţí. [12] specifikace dodávky sluţeb ve smyslu stanovení parametrů bezpečnosti a dostupnosti, kontrola a monitoring těchto závazků – získání jistoty, ţe nedochází k odchylkám, které by mohly vést k riziku vzniku incidentu, řízení změn v informačních systémech v okamţiku poskytování sluţeb outsourcingu. Opatření pro plánování a přejímání informačních systémů sledování míry vyuţívání stávajících prostředků IS s cílem včas odhalovat kapacitní nedostatky a reagovat na ně, postupy při přejímání nových IS nebo jejich částí do běţného provozu – důleţité je předání dokumentů umoţňující efektivní provoz týmu, který je za to odpovědný. Ochrana proti škodlivým programům a mobilním kódům pouţívání kvalitního antivirového softwaru, pravidelná aktualizace, pravidelná školení v tomto směru všech koncových uţivatelů. Pravidelné pořizování kopií všech dat a programového vybavení sestavení a dodrţování plánu zálohování, 49
testování úspěšného provedení zálohy, uloţení záloţních nosičů. Správa bezpečnosti komunikační sítě definice pravidel pro správu sítě a koordinace s tím spojených činností, vyuţívání kvalitních technologií – bezpečnostní brány, šifrované sítě, detekce průniku, atd.. Bezpečnost při zacházení s médii evidence a sledování ţivotnosti vyměnitelných médií (externích hard či flash disků), důsledná likvidace nepotřebných médií, zajištění bezpečnosti systémové dokumentace IS. Elektronická výměna dat mezi organizací a jejími partnery Jedná se o postupy a pravidla přenosu dat mezi podnikem a partnery, kteří jí dodávají např. programové vybavení, nebo dodávají či odebírají jiná data. stanovení smluvního vztahu, podle kterého bude výměna dat probíhat, při fyzické výměně dat stanovení pravidel spojených s bezpečností této výměny – např. ochrana médií během přepravy, při elektronické výměně dat sledování IS pověřenými pracovníky a odstraňování slabých či zranitelných míst, která by mohla ohrozit bezpečnost dat při jejich přenosu k partnerovi nebo opačným směrem a včasná reakce při zjištění incidentu – omezení přístupových moţností, upravení softwaru, atd.. Monitorování provozu informačních systémů včetně chování uživatelů a správců sběr a vyhodnocení informací o fungování systému a chování uţivatelů a správců, zjištění, zda IS je schopen odhalit moţná rizika a ohroţení systému ze strany uţivatelů a správců, zajištění důkazů o případných hrozbách pro účely auditu nebo proces řízení incidentů.
4.3.7
Řízení přístupu Řízení přístupu je rozděleno do tří základních částí: 50
Postup je většinou takový, ţe uţivatel snaţící se přistoupit do systému, se identifikuje, tzn. sdělí svoje jméno (login, ID). Systém informaci ověří, tzv. autentizací, jejíţ nejčastější formo bývá heslo. Moţností je také vyuţít biometriky, která spojuje procesy identifikace a autentizace v jeden. Poslední fází přístupu je autorizace, která na základě zadaného loginu a hesla ověří, zda má daný uţivatel k poţadované operaci oprávnění. [9] Tato oblast se zabývá sledováním poţadavků na přístup do systému a stanovení správné politiky, řízením identity uţivatelů, jejich odpovědností a různým přístupovým pravidlům. [9] Sledování požadavků na řízení přístupu stanovení pravidel pro přistupování k datům v IS, vázání přístupových práv k pracovním pozicím ne k fyzickým osobám. Řízení identity uživatelů v informačním prostředí Kaţdý uţivatel má jedinečnou identitu. Odpovědnost uživatelů zahrnuje povinnosti uţivatelů související s ochranou přístupových údajů, přikazuje zaměstnancům zajišťovat ochranu zařízení, se kterými nepracují – odhlášení po skončení práce, zásada prázdného stolu a černé obrazovky monitoru. Přístupová pravidla v různých částech IS Řízení přístupu k síti, operačnímu systému a ostatním aplikacím a datům.
4.3.8
Vývoj a údrţba IS Bezpečnostní oblast je spojena se softwarovými aplikacemi, jejich rozvojem,
správným nasazením a systematickou údrţbou. Zahrnuje opatření, která jsou účelná při prosazování bezpečnosti související s rozvojem informačních systémů. Následuje několik skupin moţných opatření: [9] Definice bezpečnostních požadavků informačních systémů Je potřeba provést analýzu a specifikovat bezpečnostní poţadavky v okamţiku, kdy se organizace chystá ke koupi nebo úpravě informačního systému. [9] 51
Zajištění správného zpracování dat v IS Je vhodné spustit mechanismy, které kontrolují smysluplnost vstupních i výstupních dat a nastaví ochranu dat, která se předávají mezi jednotlivými aplikacemi IS – tzv. kvalita dat. [9] Kryptografická opatření definice pravidel uţívání kryptografie, stanovení vhodných metod a rozdělení rolí a odpovědností, správa šifrovacích klíčů – generování, distribuce, ukládání, aktualizace, archivace, ničení. Bezpečnost systémových souborů Navrhuje, jak chránit provozované programové vybavení. Patří sem: evidence programového vybavení, kontrola původu a neţádoucích sluţeb (virová infiltrace), ochrana dat, která jsou určena pro testování. Bezpečnost procesů vývoje a podpory Opatření prosazující bezpečnostní pravidla při vývoji. Jsou určena pro řízení vývojových změn a prověrku aplikací po úpravách operačních systémů. [9] Řízení technických zranitelností Týká se včasné a pravidelné instalaci všech bezpečnostních záplat. Důleţité je ověření jejich funkčnosti v programovém prostředí organizace. [9]
4.3.9
Zvládání bezpečnostních incidentů Součástí ţivota manaţera bezpečnosti IS/ICT jsou bezpečnostní incidenty a jejich
řešení. Zavedením libovolné bezpečnostní politiky není garantována absolutní bezpečnost IS. Pro zajištění bezpečnosti je implementováno mnoho různých bezpečnostních funkcí a opatření, přesto v IS vţdy zůstávají zranitelná místa a ta představují někdy významná rizika. Právě existence slabých míst představuje hrozbu vzniku bezpečnostního incidentu a s negativními vlivy na chod organizace. [13]
52
Nasazení a provoz systému zvládání bezpečnostních incidentů sestává zpravidla z těchto fází: Detekce události, identifikace a rozhodnutí, jak situaci řešit, řešení incidentu. Tato bezpečnostní oblast by měla obsahovat následující opatření: Motivace uživatelů ke hlášení všech bezpečnostních událostí a podezřelých situací Pravidla pro pracovníky bezpečnostních útvarů pro zvládání incidentů definice odpovědnosti, postupy k rychlému řešení hlášených bezpečnostních událostí, vyhodnocování a rozbor proběhlých bezpečnostních incidentů a návrhy na zlepšení, sběr důkazů pro audit, příp. orgány činné v trestním řízení.
4.3.10 Řízení kontinuity činností organizace V této oblasti bezpečnosti informací existuje skupina opatření, která popisuje oblast řízení procesů organizace v případě výpadku jejich podpory ze strany IS/ICT. Základní kostrou jsou tato opatření: [9] zahrnutí bezpečnosti informací do procesu řízení kontinuity činností organizace kontinuita činností organizace a hodnocení rizik, vytváření a implementace plánů kontinuity, systém plánování kontinuity činností organizace, testování, údrţba a přezkoumávání kontinuity. Řízení kontinuity organizace (Business Continuity Management) Je řídící proces podporovaný vedením společnosti, který identifikuje potenciální dopady ztrát a jehoţ cílem je vytvořit takové postupy a prostředí, které umoţní zajistit kontinuitu a obnovu klíčových procesů a činností organizace, na předem stanovené minimální úrovni, v případě jejich narušení nebo ztráty. Business Continuity Management
53
(dále jen BCM) ochraňuje zájmy klíčových podílníků, akcionářů a dalších zájmových skupin, dobrou pověst a značku společnosti. [2] Systém řízení kontinuity organizace (Business Continuity Management System) Je to část celkového systému řízení organizace, která ustanovuje, zavádí, provozuje, monitoruje, přezkoumává, udrţuje a zlepšuje kontinuitu činností. [2] Business Continuity Management System (dále jen BCMS) je systém řízení kontinuity činností organizace, který zahrnuje organizační strukturu, politiky, plánovací činnosti, odpovědnosti, praktiky, postupy, procesy a zdroje k dosaţení stanovených cílů organizace. Kontinuita činností je chápána jako strategická a taktická způsobilost organizace ve smyslu přípravy a reakce na incidenty a narušení činností za účelem jejich obnovy na předem stanovené úrovni. [2]
4.3.11 Soulad s poţadavky Tato oblast zajišťuje soulad se zákony, právními normami a povinnostmi vyplývající ze smluv. Je moţné ji rozdělit do tří skupin: [9] Soulad s právními normami identifikace odpovídajících předpisů souvisejících s bezpečnostní politikou dané organizace – přehled o předpisech, sledování změn a případných dopadů na chod organizace v oblasti bezpečnosti informací, ochrana duševního vlastnictví – autorský zákon č. 121/2000 Sb., podnik musí respektovat licenční podmínky stanovené výrobci softwaru, ochrana záznamů organizace – zákon č. 499/2004 Sb., o archivnictví a spisové sluţbě, kde jsou poţadavky na archivaci dat a délky období, ochrana osobních údajů – zákon č. 101/2000 Sb., o ochraně osobních údajů, obsahuje popis údajů, které jsou zpracovávány a za jakým účelem, prevence zneuţití prostředků pro zpracování informací – regulace spojené s IS/ICT a monitoringem jejich provozu, např. listovní tajemství, zákon č. 127/2005 Sb., o elektronických komunikacích, regulace kryptografických opatření – zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.
54
Hodnocení souladu s bezpečnostními pravidly pravidelné ověřování, zda pracovníci dodrţují pravidla, která jsou jim předepsána v rámci bezpečnostní politiky, posuzování, zda jsou bezpečnostní pravidla prosazována i na technické úrovni – testování zranitelnosti prvků infrastruktury, bezpečnostní či penetrační testy. Provádění auditu IS pravidla pro provádění auditu IS v organizaci – souhlas vedení s prováděním auditu, auditoři by neměli mít oprávnění k zápisu (maximálně v testovacím prostředí), ochrana nástrojů, které jsou při auditu vyuţívány, změna přístupových údajů vyuţívaných auditory po ukončení auditu.
5. Srovnání ITIL, Cobit a ISO/IEC 27002 Pouţívání norem a doporučených postupů, jako je ITIL, CobiT a ISO/IEC 27002, je nejčastěji motivováno poţadavky a touhou organizace po lepším výkonu, průhlednosti a zvýšené kontrole nad IT činnostmi. Kaţdá z těchto metodik se snaţí pomoci organizacím získat co největší kontrolu nad IT oblastí řízením stále sloţitějšího pole IT rizik. Efektivní vyuţívání doporučených postupů můţe pomoci vyhnout se stále opakujícím pokusům o nalezení vlastních strategií a postupů, optimalizovat vyuţití omezených prostředků na tuto oblast a sníţit výskyt závaţných IT rizik jako jsou: [9] promarněné investice, narušení bezpečnosti, pády systému atd. ITIL je zaloţen na vymezení doporučených procesních postupů pro správu a podporu IT sluţeb, spíše neţ na definování nějakého širokého kontrolního rámce. Zaměřuje se na způsob a definování ucelenějšího soubor procesů. Další materiál v poslední verzi V3 poskytuje obchodní a strategický rámec pro IT rozhodování a poprvé popisuje neustálé zlepšování sluţeb jako komplexní činnost, která přináší hodnotu zákazníkům. [9] Cobit je postaven na základě zavedených rámců jako CMM Software Engineering Institute, ISO 9000, ITIL a ISO/IEC 27002. I kdyţ je zaměřen na IT procesy, Cobit nezahrnuje procesní kroky a úkoly, jde spíše o kontrolní a řídící rámec neţ rámec procesní. 55
Cobit se zaměřuje na to, co organizace musí udělat, ne uţ jak je to potřeba udělat, a cílovými skupinami jsou vrchní obchodní management, vrchní IT management a auditoři. [9] Cílem normy ISO/IEC 27002:2005 je poskytnout informace osobám odpovědným za řízení informační bezpečnosti v rámci organizace. Můţe být vnímána jako doporučený postup pro rozvoj a udrţování bezpečnostních standardů a postupů řízení v rámci organizace. Dokáţe zlepšit spolehlivost informační bezpečnosti v meziorganizačních vztazích. [9]
Tab. 1 Srovnání normy a standardů [9]
Stanovení parametrů, pomocí kterých by bylo moţné srovnávat standardy Správy sluţeb IT, IT Governance a systémů řízení informační bezpečnosti není jednoduché. Protoţe ITIL a COBIT jsou nástroje pro komplexní řízení IT, srovnání je zaměřeno na parametry týkající se převáţně řízení bezpečnosti informací. Základní parametry jsou sestaveny v tabulce 1. [9]
56
6. Případová Studie 6.1
Zabezpečení úniku informací z organizace (s důrazem na lidský faktor) Všechny státní organizace i soukromé podniky musí budovat a neustále inovovat svou
informační bezpečnost. Proto také nejvíce ohroţenou oblastí úniku a ztrát dat a informací jsou jednak uţívané informační a komunikační technologie a jednak lidské zdroje, tedy lidé, zaměstnanci organizace. Odhaduje se, ţe aţ 80 % případů porušení ochrany informací je
způsobeno interními zaměstnanci, kteří vyzradí, poškodí, modifikují nebo zničí citlivá data a informace pro organizaci. V případě jejich nespokojenosti, zloby nebo pomstychtivosti se
riziko ještě zvyšuje. Riziko rovněţ narůstá s koncentrováním pravomocí zaměstnanců. Ve většině případech, je správce IS současně bezpečnostním manaţerem. Jiným rizikovým faktorem jsou bývalí zaměstnanci, jejichţ funkce souvisela s provozem informačního systému. Praktickou částí této bakalářské práce je vytvořit návod, jaké kontrolní mechanismy, procesy, nástroje, metriky, odpovědnosti je potřeba nastavit, aby byl ošetřen tento problém zabezpečení úniku informací (s důrazem na lidský faktor). Předpokládáme, ţe proběhla analýza rizik, která nám vyfiltroval tento problém. Organizace má stanovenou bezpečností politiku, která je schválena vedením organizace a informativně publikována všem zaměstnancům. Výběr relevantních procesů Před začátkem samotného výběru procesů nebo doporučení, je nutné analyzovat problém/cíl. Výběr adekvátních procesů, které mají návaznost na lidské zdroje, jsem provedl z metodiky Cobit 4.1 z tabulky LINKING IT GOALS TO IT PROCESSES (propojení cílu, IT procesů) viz příloha č. 1. Samotný výběr relevantních procesů lze provést dvěma způsoby: Aplikace vertikálního postupu: V této aplikaci je nezbytné jako první vybrat z několika IT (Goals) IT Cílů ten příslušný vašemu problému. Cíle jsou uvedeny v tabulce v příloze č. 1. U cíle jsou doporučené procesy, které by bylo dobré implementovat. Přesto bych upřednostnil postup výběru procesu druhým způsobem.
57
Aplikace horizontálního postupu: V tomto případě je nutné zvolit informační kritérium, ze kterého v horizontálním postupu vybíráme adekvátní procesy. Výběr z následujících kritérií: Effeciveness (účinnost), Efficiency (výkonnost), Confidentiality (důvěrnost), Integrity (integrita), Availability (dostupnost), Compliance (soulad), Reliability (spolehlivost). Z důvodu zvoleného problému, který řeší tato studie jsem vybral Confidentiality (důvěrnost), protoţe data nebo informace mohou být důvěrná aktiva pro podnik. Za další vybereme všechna IT cíle, která mají u daného informačního kritéria P- primární vazbu (viz příloha č. 1). V mém případě se jedná o: IT14 – Zavést odpovědnost za ochranu celého majetku IT. IT18 - Ujasnit
dopad podnikatelských rizik na cíle a prostředky informačních
technologií IT19 – Zajistit, ţe důleţité a důvěrné informace jsou zpřístupněny jen těm, kteří na ně mají právo. V příloze č. 1 jsou vyznačeny všechny procesy, na které odkazují tyto IT cíle. Vyberme ty, které jsou uvedeny opakovaně. Je mezi nimi například i proces DS12 Manage the physical environment (Řízení fyzické prostředí). Tento proces je moţné vynechat, protoţe nemá primární vazbu na lidi (viz příloha č. 2). Jako klíčové se po tomto zúţení jeví procesy PO9 a DS5. Dále podle materiálu Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002, který mapuje Cobit procesy na ITIL a ISO, je moţné vybrat relevantní procesy v tomto dokumentu. Vybrané procesy, které dokument doporučuje jsou uvedeny v příloze č. 3, 4, 5, 6, 7. Z těchto vybraných procesů jsem analyzoval několik doporučujících opatření,
58
mechanizmů, odpovědností, metrik, které jsou třeba nastavit pro řešení zvoleného cíle/problému. Řešený problém jsem rozdělil na čtyři části: Řízení bezpečnosti přístupu. Řízení bezpečnosti komunikace. Řízení liských zdorjů. Testování, dozor a monitorování bezpečnosti. Následující tabulka znázorňuje moţnosti implementovaných doporučení do organizace za účelem minimalizovat, nebo úplně zamezit úniku informací. Dále jsou v tabulce vyobrazeny vybrané metodiky, ze kterých se navrhovaná opatření, metriky, doporučení filtrují. Tabulka tedy naznačuje, které metodiky obsahují jaké aplikované doporučení.
Aplikované doporučení Řízení bezpečného přístupu
Cobit 4.1
(Access control policy) Politika řízení přístupu
ITIL V3
ISO/IEC 27002
●
●
Identyty Management (Správa identity (totoţnosti))
●
●
●
User Account Management) (Správa uţivatelských účtů)
●
●
●
Secure log-on procedures (Řízení bezpečného přihlašování)
●
●
●
Password management (Správa hesel)
●
●
Clear desk and clear screen policy (Politika čistého stolu a prázdné obrazovky) Řízení bezpečnosti komunikace
Řízení lidských zdrojů
Testování, dozor a monitorování bezpečnosti
●
Policy on use of network service (Zásady zabezpečení sítových sluţeb)
●
●
●
Cryptographic controls (Kontrola kryptografie)
●
●
●
Prior to employment (Před zahájením pracovního poměru)
●
During employment (V průběhu pracovního poměru)
●
Termination or change of employment (Při ukončení nebo změně pracovního poměru)
●
Monitoring system use (Pouţití monitorovací systému) Tab. 2Vazby mezi Cobit, ITIL, ISO/IEC 27002
59
●
●
●
6.2
Řízení bezpečnosti přístupu Bezpečnost přístupu by měla zajišťovat taková opatření, která zaručí odpovídající
přístup k informacím a zařízením pro zpracování informací tzn. serverům, klientským stanicím a přenosným klientům, mobilním zařízením, aplikacím, operačním systémům a síťovým sluţbám. Politika řízení přístupu Organizace by měla ustanovit a zdokumentovat a pravidelně kontrolovat nastavenou politiku řízení přístupu na základě obchodních potřeb a externích poţadavků. Při tvorbě politiky a ustanovení souvisejících kontrol je moţné vzít v úvahu následující doporučení: je vhodné politiku konkretizovat pro podnikové aplikace, při tvorbě politiky je vhodné neopomenout vliv právních nebo certifikačních poţadavků, je důleţité, aby tato politika byla v základních principech spojitá s ostatními politikami řízení bezpečnosti informací. kaţdá politika by měla obsahovat: o jasně stanovená pravidla a práva na základě profilů jednotlivých uţivatelů, o jednotnou správu přístupových práv v celém prostředí organizace, o vhodnou kombinaci administrativních, technických a fyzických kontrol, o rozlišování jednotlivých sloţky řízení přístupu – identifikace, autentizace a autorizace, Správa identity (totožnosti) V organizaci by měla být zabezpečen identifikační přístup. Důleţité, aby zaměstnanci měli zpřístupněna jen taková aktiva, která potřebují ke své práci. Navrţená doporučení pro správu identity: Ujistěte se, ţe všichni uţivatelé (interní, externí a dočasné) a jejich přidělená aktiva v IT systémech (business aplikace, IT prostředky, systémové operace, vývoj a údrţba) jsou jednoznačně identifikovatelné. Přidělování uţivatelských identit je dobré provádět prostřednictvím autentizační mechanismů. 60
Ujistěte se, ţe práva uţivatelů přístupu k systémům a aktivům jsou přidělena oprávněným osobám, které s nimi umí zacházet. Ujistěte se, ţe přístupová práva uţivatelů jsou vţdy vyţadována. Je dobré, aby identifikační práva přidělovala odpovědná osoba. Nasazení efektivních technických a procesních opatření, aby udrţovaly aktuální identifikaci uţivatele. Doporučené identifikační prvky: o název, o adresa, o kontaktní údaje, např. telefon, e-mail, atd., o fyzické dokumentace, např. řidičský průkaz, cestovní pas, oddací list apod., o čísla, které se vztahují k dokumentu nebo zápisu v databázi, např. číslo zaměstnance, DIČ, číslo občanského průkazu, číslo řidičského průkazu, atd., o biometrické údaje, např. otisky prstů, otisk sítnice, rozpoznávání hlasu, DNA atd., o další prvky (musí být relevantní). Správa uživatelských účtů Organizace by měla aplikovat prostředky pro zajištění autorizace přístupu všech uţivatelů a zamezení neoprávněných přístupů k citlivým informacím. Zajištění takového stavu zahrnuje: stanovení formálních procedur pro kontrolu přidělování přístupových práv, věnování zvláštní pozornosti kontrole privilegovaných přístupových práv, nastavení procedur zahrnujících všechny fáze ţivotního cyklu uţivatelského přístupu od přidělení po odebrání práv, provádět pravidelné prohlídky všech účtů a souvisejících práv, procesy jednotlivých fází ţivotního cyklu přístupových práv by měly obsahovat: o dokumentaci o souhlasu odpovědné osoby o přidělení přístupu pro kaţdého uţivatele, 61
o písemné prohlášení pro kaţdého uţivatele s přístupovými údaji a jeho právy a povinnostmi ve dvou kopiích, jedna z nich je uloţena odpovědným pracovníkem a opatřena podpisem uţivatele, o procedury, které nepovolí přístup, dokud není dokončen proces autorizace uţivatele, o údrţbu aktuálních záznamů o všech uţivatelů oprávněných přistupovat ke konkrétnímu systému nebo sluţbě, o neprodlenou změnu / zrušení přístupových práv pro uţivatele, kterým se změnila pozice v organizaci, nebo ji opustili, o kontrolu a odstranění nadbytečných nebo zjevně nepouţívaných uţivatelských účtů. Řízení bezpečného přihlašování Organizace by měla zajistit, ţe přístup k systému je řízen bezpečnými přihlašovacími procedurami. Tuto skutečnost lze zaručit pomocí těchto opatření: na obrazovce zobrazit varování o úskalích neoprávněného přístupu, moţnost jakékoliv manipulace se systémem nebo aplikací je moţná aţ po úspěšném přihlášení uţivatele, heslo by se mělo zobrazovat na displeji vţdy pouze prostřednictvím zástupných symbolů, heslo v zástupných symbolech není moţné převést na běţný text, je vhodné stanovit limity na počet neúspěšných pokusů o přihlášení (celkem nebo v určitém časovém úseku), je vhodné stanovit limity pro maximální a minimální dobu jednoho pokusu o přihlášení, je nezbytné, aby byly protokolovány veškeré úspěšné i neúspěšné pokusy o přihlášení. Správa hesel Organizace a zaměstnanci by měly věnovat zvýšenou opatrnost při výběru a pouţívání hesel. K tomu je moţné vyuţít následujících opatření: zaměstnanci musí získat vysoké povědomí o důleţitosti zachování důvěrnosti jejich osobních hesel,
62
pokud organizace vyuţívá tvorbu tzv. dočasných hesel, je vhodné, aby byla stanovena politika pro jejich správu, je vhodné, aby uţivatelé pravidelně měnili svá hesla a pouţívali tzv. silná hesla při kaţdé změně, v případě, ţe chce uţivatel změnit heslo, je vhodné, aby to bylo umoţněno aţ po jeho identifikaci, je nutné zakázat uţivatelům ukládat hesla v systémech v nechráněné podobě a pouţívat tzv. defaultní hesla výrobců. Politika čistého stolu a prázdné obrazovky Známá politika, která nesmí chybět v ţádném bezpečnostním systému. Zásady, které jsou v politice poţadovány: je důleţité, aby všechna média a dokumenty byly nejen sklizeny ze stolu, ale aby byly v nepřítomnosti oprávněného zaměstnance uloţeny v uzamykatelných bezpečných prostředcích, počítače nebo terminály by měly být odhlášené, nebo blokovat přístup ke klávesnici a monitoru nějakým blokovacím mechanizmem, je třeba zabránit neoprávněnému vyuţívání kopírování nebo jiné reprodukční technologii (např. skenování, digitální fotoaparáty), dokumenty, které jsou citlivé by měly být okamţitě z tiskáren odstraněny.
6.2.1
Doporučené metriky pro řízení bezpečného přístupu
Metriky, které lze pouţít k měření účinnosti řízení přístupu: Počet ţádostí o přístup (servisní poţadavek, atd.). Výskyt přístupu do spisů (poskytovatelem sluţby, uţivatelem, pracovním oddělením). Udělení přístupu organizací nebo individuální udělení práv. Počet případů, které vyţadují reset systému přístupových práv. Počet nehod způsobených nesprávným přístupem. Počet případů poškození dobrého jména organizace.
63
Počet systémů, kde nejsou splněny bezpečnostní poţadavky. Počet porušení rozdělení povinností.
6.3
Řízení bezpečnosti komunikace Většina organizací ať IT či nikoliv, jsou v dnešní době bezesporu závislé na síťovém
připojení, přes které komunikují se zákazníky, dodavateli a třetími stranami. Zásady zabezpečení síťových služeb Moţnost připojení k firemní síti by měla být odpovídajícím způsobem dle moţnosti omezena a to v souladu s definovanou politikou řízení a poţadavcích jednotlivých aplikací. Moţnost pouţití zabezpečovacích metod: pouţít zabezpečovací technologie, jako např. autentizace, šifrování, kontrola připojení do sítě, jasně definované přístupy, kdo má povolení k vstupu kterých síťových sluţeb, kontrola vstupů sítového připojení, technologie vyuţívané pro kontrolu přístupu do sítě (např. podmínky pro povolení dialup, poskytování internetových sluţeb nebo vzdáleného systému). Kontrola kryptografie Pro zachování dostupnosti, důvěrnosti a integrity informací je vhodné vyuţívat kryptografické prostředky. Principy jejich aplikace jsou následující: je vhodné, aby byly vypracovány obecné postupy pro pouţívání kryptografických prostředků, na základě analýzy rizik je důleţité správně zvolit šifrovací algoritmus, správu klíčů a další základní prvky implementace, důleţité je neopomenout posouzení právních omezení pro nasazení zvolené technologie, je nutné zvolit kdo, která data budou na kterých zařízeních pomocí kryptografických prostředků chráněna, důleţité je zvolit specifické role a odpovědnosti za realizaci a kontrolu dodrţování stanovené politiky.
64
6.4
Řízení lidských zdrojů Řízení lidských zdrojů je proces, jehoţ předmětem je rozhodování v oblasti
zaměstnaneckých vztahů. Ovlivňuje organizaci i lidské zdroje a měl by být součástí práce a zájmu kaţdého vlastníka i manaţera podniku. [14] Doporučená opatření jsou rozdělena do tří fází: před, v rámci a po skončení nebo změně pracovního poměru jak zobrazuje následující obrázek.
Obr. 14 Lidské zdroje - diagram průběhu [9]
Před zahájením pracovního poměru Před přijetím nového zaměstnance se doporučuje: definice bezpečnostních odpovědností pro kaţdou pracovní pozici by měli být zpracovány ve formální dokumentaci s jasnými definicemi, kaţdý uchazeč o zaměstnání by měl v ţivotopisu uvádět seznam referencí z minulých zaměstnání, na základě těchto referencí by měla být u dřívějších zaměstnavatelů kontrolována mj. spolehlivost a odpovědnost uchazeče, kromě testů odbornosti by při přijímacím pohovoru měli být prakticky ověřeny uchazečovi schopnosti zvládat pracovní roli také s ohledem na odpovědnosti týkající se bezpečnosti informací, v pracovní smlouvě by mělo být uvedeno, jaká aktiva bude mít nový zaměstnanec na starosti, nebo by měl být její součástí odkaz na dokument bezpečnostní politiky, který odpovědnosti pro danou pracovní pozici jasně formuluje, součástí přijímacího řízení by mělo být úvodní školení, které uvede zaměstnance do systému řízení informační bezpečnosti.
65
V průběhu pracovního poměru Pro kaţdou organizaci je dobře přijatý pracovník velkým přínosem. Proto je třeba jejich kvalifikace patřičně chránit, neustále zvyšovat a také adekvátně hodnotit. Nástrojem pro zvyšování kvality lidských zdrojů je profesionální a pravidelné vzdělávání. Školení by mělo také probíhat v oblasti informační bezpečnosti. Doporučená opatření v této oblasti: kaţdý pracovník má stanovenu bezpečnostní zkušební lhůtu, během níţ nemá přístup ke klíčovým informacím organizace, u kaţdého pracovníka je vedena evidence, se kterými aktivy můţe disponovat a především o těch, se kterými tak můţe disponovat i mimo firmu, vedení firmy klade důraz na zvyšování povědomí o důleţitosti dodrţování bezpečnostních opatření organizací profesionálních a pravidelných školení pro zaměstnance a případně zástupce třetích stran, organizace má definovaný a zpracovaný dokument, který stanovuje konkrétní přísné postihy zaměstnanců a zástupců třetích stran při nedodrţování bezpečnostních opatření, organizace shromaţďuje a uchovává důkazy o pochybeních zaměstnanců popř. zástupců třetích stran pro orgány činné v trestním řízení. Při ukončení nebo změně pracovního poměru Organizace by měla definovat jasná pravidla, která se týkají ukončení nebo změny pracovního poměru svých zaměstnanců nebo ukončení spolupráce se smluvními partnery či jinými subjekty, které mají přístup k některým citlivým informacím. V těchto situacích je třeba přicházet obezřetně a zacházet s pracovníkem opatrně, je totiţ moţné, ţe bývalí zaměstnanec můţe být budoucím zdrojem hrozby pro organizaci. Souhrn doporučených bezpečnostních opatření v této oblasti: kaţdý odcházející pracovník by měl odevzdat veškerá aktiva, se kterými mohl v průběhu pracovního poměru disponovat, kaţdý odcházející pracovník by měl odevzdat veškeré prostředky (klíče, čipové karty, aj.), které slouţí k přístupu do jednotlivých prostor organizace, kaţdý odcházející pracovník ztrácí přístupová práva do informačních systémů organizace,
66
kaţdý odcházející pracovník je jednoznačně informován o svých povinnostech a závazcích vzhledem k opouštějící organizaci a o tomto jednání je vypracován dokument se zaměstnancovým podpisem.
6.5
Testování, dozor a monitorování bezpečnosti Testování a sledování IT implementace bezpečnosti probíhá aktivním způsobem. IT
bezpečnost by měla včas reagovat, aby se zachovala základní informační bezpečnost. Záznamy a monitorovací funkce umoţní prevenci nebo detekci abnormálních činností, které je třeba řešit. Použití monitorovací systému Postupy pro vyuţití monitorovacího sytému by měla mít organizace nastavené a výsledky kontrolní činnosti pravidelně přezkoumávat. Doporučené oblasti monitorování jsou: oprávněné přístupy, včetně detailů přístupu: o uţivatelské jméno, o datum a čas klíčové události, o typy událostí, o přístupové soubory, o programy / pouţité nástroje. všechny upřednostňované operace, jako například: o vyuţití privilegovaných účtů, např. Vedoucí, správce, o systém start-up a zastavení; o I / O zařízení, připojení / odpojení neoprávněné pokusy o přístup, jako například: o zamítnutí, nebo nepodaření připojení uţivatele, o zamítnutí, nebo selhání práce s daty či dalšími zdroji, o porušení zásad pro síťovou bezpečnost (síťové brány, firewally), o záznamy z autorizovaných systémů, detekce narušení bezpečnosti, 67
systémové výstrahy nebo poruchy: o konzole výstrah a zpráv o systém výjimek přihlášení, o alarm pro správu sítě, o alarmy vyplývající z přístupového systému; o změny, nebo pokusy o změnu nastavení zabezpečení a kontroly. Jak často se výsledky kontrolní činnosti kontrolují, by mělo záviset na rizicích. Za rizikové faktory by měly být povaţovány: kritičnosti aplikovaných procesů, hodnot, citlivost a kritičnost vyuţívaných informací, dosavadní zkušenosti s pronikáním a zneuţívání informací ze systému, rozsah systému propojení (zejména veřejné sítě),
7. Závěr Informační bezpečnost se nachází v době, kdy se více firem či organizací stává závislých na informačních a komunikačních technologiích. Důleţitá aktiva se mohou stát obětí útoku z různých zdrojů a příčin. Proto organizace, která zpracovává, uchovává, modifikuje a chce uspět v dnešním silně konkurenčním prostředí, musí umět těmto hrozbám efektivně čelit a důleţitá aktiva bezpečně uchovávat a chránit. Práce je zaměřena na řízení informační bezpečnosti v organizaci, kde je potřeba vyfiltrovat moţná rizika a hrozby a adekvátně přistoupit k jejím řešením. Stanovené téma studie tj. zabezpečení úniku informací (s důrazem na lidský faktor) je právě vyfiltrované riziko, na které se tato práce zaměřuje. Tento cíl je nastíněn prostřednictvím analýzy dostupných bezpečnostní metodik. Analýza přináší vymezení klíčových oblastí, které mají zásadní vliv na řízení informační bezpečnosti v oblasti lidských zdrojů. Navrţená doporučení jsou vybrána pochopitelně na důraz lidského faktoru, který jak je jiţ v práci zmiňován problémový. Praktickou část jsem zaplnil postupy a opatřeními základního charakteru. Naznačení informační bezpečnosti by se mohlo stát alternativou ke stávající bezpečnostní politice, která je jiţ v podniku aplikována. Doporučení jsou vybrána pro implementaci do malé aţ střední organizace, ve které se řeší tento problém. 68
8. Pouţitá literatura [1] SKLENÁK, Vilém. Data, informace, znalosti a internet.1. vydání : Praha, C. H. Beck, 2001, 507 s. ISBN 8071794090 [2] Prof. RNDr. HŘEBÍČEK, Jiří, CSc., Doc. Ing. ŢIŢKA, Jan, Vědecké výpočty v biologii a biomedicíně [Online]. 2007, 2007 [20-12-2011]. Dostupnéna:
[3] wikipedia [Online]. 2011, 2011 [20-12-2011]. Dostupné na: [4] ITIL – výkladový slovník a zkratky v češtině, 2011, Dostupný na: [5] Ing. MINISTR, Jan Ph.D,Inforamtika-Informační bezpečnost [Online]. 2001, 2001 [1712-2011]. Dostupné na: [6] ČSN ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information security management [7] ČSN ISO/IEC 21827:2003, Informační technologie - Inţenýrství zabezpečení systémů Model vyzrálosti způsobilosti. [8] DOUCEK, P., Dokumentace, kontrola a audit bezpečnosti IS/ICT - Jak bezpečnost kontrolovat?, AT&P Journal [Online]. 2005, č. 3, [22-12-2011]. Dostupné na: . [9] Ing. MAREK, Rudolf. Ing. DASTYCH, Jiří. Bezpečnostní politika v organizaci. 4/2003, příloha č. 2, 2003 [20-12-2011]. Dostupné na: [10] Doc. Ing. SVATÁ, Vlasta, CSc., Audit informačního systému. 1. vydání, Praha : Profesional publishing, 2011, ISBN 978-80-7431-034-8. [11] Doc. Ing. SVATÁ, Vlasta, CSc., Standardy/praktiky pro řízení služeb informační bezpečnosti [online prezentace]. Praha : Vysoká škola ekonomická, [12.1.2012]. Dostupný na: . [12] Risk Analysis Consultants [Online]. 2001, 2001 [21-12-2011]. Dostupné na: [13] ITIL [Online]. 2007, 2007 [21-12-2011]. Dostupné na: 69
[14] RUDD, Colin. Úvodní přehled ITIL. Wokingham,itSMF Ltd, Wokingham, 2004 [21-12-2011]. Dostupné na : < http://www.itsmf.cz> [15] Ing. KRÁL, David. Informační bezpečnost podniku. Dizertační práce. Brno : Vysoké učení technické v Brně, Fakulta podnikatelská ústav informatiky, 2010, Vedoucí dizertační práce doc. Ing. Miloš Koch, CSc. Dostupné na: [16] BRUCKENR, T., VOŘÍŠEK, J.,Outsourcing informačních systémů, Praha : Ekopress, 1998 [21-12-2011]. ISNB 80-86119-07-6. Dostupné na: [17] Mgr. BRAUCHLI, G., Řízení lidských zdrojů, [Online]. Dostupné na: . [18] COBIT® 4.1, 2007, IT Governance Institute [19] Aligning CobiT® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit, IT Governance Institute, 2008 [20] DOUCEK, P., NOVÁK, L., SVATÁ, V. Řízení bezpečnosti informací. 1.vyd. Praha: Professional Press, 2008. 240 s. ISBN 978-80-86946-88-7.
70
9. Seznam obrázků Obr. 1 Vztah úrovní bezpečnosti v organizaci [3] .................................................................... 12 Obr. 2 Schéma zajištění bezpečnosti IS/IT- aktiva a hrozby [3] .............................................. 13 Obr. 3 Průběh nákladů a přínosů protiopatření [3] ................................................................... 14 Obr. 4Bezpečnostní incidenty [3] ............................................................................................. 15 Obr. 5 Základní schéma BMIS ................................................................................................. 18 Obr. 6 Sada norem 27000 a jejich vzájemné vazby [6] ............................................................ 21 Obr. 7 Vzájemné vztahy publikací ITIL V2 [7] ....................................................................... 24 Obr. 8 Archytektura ITIL V3 [7] .............................................................................................. 25 Obr. 9 Multidimenzionální kostka Cobit [7] ............................................................................ 27 Obr. 10 Model informační bezpečnosti (Information Security Model/ISM) [8] ...................... 28 Obr. 11 Základní rámec pro řízení bezpečnosti informací dle ITIL [9] ................................... 31 Obr. 12 Základní schéma bezpečnostních kontrol dle ITIL [9] ............................................... 35 Obr. 13 Oblasti bezpečnosti informací [ISO27002] ................................................................. 44 Obr. 14 Lidské zdroje - diagram průběhu [9] ........................................................................... 65
71
10. Seznam tabulek Tab. 1 Srovnání normy a standardů [9] .................................................................................... 56 Tab. 2Vazby mezi Cobit, ITIL, ISO/IEC 27002 ...................................................................... 59
72
11. Přílohy Příloha č. 1
LINKING IT GOALS TO IT PROCESSES (Propojení cílu, IT procesů)
Příloha č. 2
MAPPING IT PROCESSES (Mapování IT procesů)
Příloha č. 3
Proces PO9 - Assess and Manage IT Risks (Hodnocení a řízení IT rizik)
Příloha č. 4
Proces DS5 - Ensure Systems Security (Zajištění systému ochrany).
Příloha č. 5
Proces DS5 - Ensure Systems Security (Zajištění systému ochrany).
Příloha č. 6
Proces DS5 - Ensure Systems Security (Zajištění systému ochrany).
Příloha č. 7
Proces DS5 - Ensure Systems Security (Zajištění systému ochrany).
Příloha č. 8
Proces DS5 - Ensure Systems Security (Zajištění systému ochrany).
73
Příloha č. 1 LINKING IT GOALS TO IT PROCESSES (Propojení cílu, IT procesů). Zdroj [15]
74
Příloha č. 2 MAPPING IT PROCESSES (Mapování IT procesů). Zdroj [15]
75
Příloha č. 3 Proces PO9 - Assess and Manage IT Risks (Hodnocení a řízení IT rizik). Zdroj [16]
76
Příloha č. 4 Proces DS5 - Ensure Systems Security (Zajištění systému ochrany). Zdroj [16]
77
Příloha č. 5 Proces DS5 - Ensure Systems Security (Zajištění systému ochrany). Zdroj [16]
78
Příloha č. 6 Proces DS5 - Ensure Systems Security (Zajištění systému ochrany). Zdroj [16]
79
Příloha č. 7 Proces DS5 - Ensure Systems Security (Zajištění systému ochrany). Zdroj [16]
80
Příloha č. 8 Proces DS5 - Ensure Systems Security (Zajištění systému ochrany). Zdroj [16]
81
