AGENDA • Vymezení procesu informační bezpečnosti • Životní cyklus ISMS • Požadavky na dokumentaci • Požadavky na záznamy
Požadavky a principy ISMS
Gabriel Lukáč
[email protected]
Vymezení procesu řízení informační bezpečnosti
• Je kontinuální proces, v průběhu kterého dochází k: – vyhodnocování rizik, – návrhu a realizaci opatření k jejich eliminaci – kontrole aktuálnosti rizik a dodržování opatření k jejich eliminaci
ve stále měnícím se prostředí !!! • Lze jen velmi obtížně vyčíslit přimou návratnost investic • Je téma, které se dostává do popředí díky stále větší „informatizaci“ a rychlosti obchodních procesů
Vymezení procesu řízení informační bezpečnosti Východiska pro budování informační bezpečnosti
• Ochota managementu se infor. bezp. zabývat a to kontinuálně ! • Vyčlenění potřebných vnitřních lidských zdrojů • Ochota managementu investovat • Připravenost spolupracovat s externími subjekty • Připravenost managementu na možné změny, např. v interních procesech, org. struktuře, ...
Vymezení procesu řízení informační bezpečnosti Legislativní základ
• Zákony: – – – – – –
Obchodní zákoník – obchodní tajemství Zákon o ochraně utaj. skut. Zákon o ochraně osobních údajů Zákon o el. podpisu Zákon o některých službách informační společnosti …
• Normy (ČSN ISO/IEC) – 17799 IT – Code of Practice for information Security Management (resp. BS 7799) – 13335 – pojetí a modely, řízení a plánování, techniky řízení bezpečnosti IT – 15408 - Evaluation criteria for IT security – Standardy ISVS – …
Vymezení procesu řízení informační bezpečnosti Legislativní základ
• Systém řízení informační bezpečnosti „INFORMATION SECURITY MANAGEMENT SYSTEM“
(ISMS) Aplikované standardy BS-7799, resp. ISO 17799, apod.
Postup budování ISMS
Životní cyklus ISMS
Životní cyklus ISMS – fáze přípravy • • • •
Definice rozsahu systému Definice politiky řízení informační bezpečnosti Definice zodpovědností (bezp. Manager, fórum, ...) Zpracování analýzy rizik – – – –
Definice přístupu k rizikům Identifikace aktiv Identifikace hrozeb a zranitelností Vytvoření plánu eliminace/snížení/akceptace/převedení rizik
• Návrh protiopatření • Prohlášení o aplikovatelností – propojení oblastí normy část B. (controls) a dokumentace ISMS
Ukázka „controls“ řešené normou BS 7799
Životní cyklus ISMS – fáze zavedení • Formulace pravidel pro řízení rizik • Implementace jednotlivých protiopatření – Archivace, přihlašování, klasifikace, ... – Stanovení zodpovědností osob, třetích stran, ...
• Výcvik uživatelů • Zavedení procedur pro reakce na bezpečnostní incidenty
Životní cyklus ISMS – fáze monitorování a revize
• Realizace procedur pro reakce na incidenty a monitoring • Pravidelná revize stavu a aktuálnosti opatření a jejich východisek • Realizace interních auditů • Pravidelné přezkoumání ISMS vedením organizace (trendy, stav, východiska, ...) • Tvorba záznamů souvisejících s monitorováním stavu ISMS
Životní cyklus ISMS – fáze údržby a zlepšování • Implementace návrhu na zlepšování ISMS • Realizace nápravných a preventivních opatření • Komunikace těchto opatření na zainteresované strany
Požadavky na dokumentaci – I. • • • • • • •
Bezpečnostní politika Popis rozsahu ISMS Analýza rizik Plán řízení rizik Dokumentované postupy (směrnice) Záznamy (důkazy v libovolné formě) SOA – „statement of applicability“ – prohlášení o aplikovatelnosti
Požadavky na dokumentaci – II. • Dokumenty musí být: – – – –
Schváleny Pravidelně revidovány Dostupné v aktuální verzi Identifikovány – externí / interní
• Distribuce dokumentace musí být řízena • Neaktuální verze značeny / likvidovány
Požadavky na záznamy • Musí existovat důkazy, že ISMS je zavedeno a dodržováno • Jejich správa musí být řízena – Zálohování, archivace, skartace, ...
• Musí být dostupné, zvlášť při řešení bezpečnostních incidentů • Příklady záznamů: – Návštěvní kniha, provozní deníky, logy autorizačního procesu, apod..
AGENDA • Fáze budování a klíčová témata při zavádění • Certifikace
Proces zavádění ISMS
Gabriel Lukáč
[email protected]
Kroky budování informační bezpečnosti
0. (Úvodní audit) 1. Cíle a strategie řešení bezpečnosti IS 2. Analýza rizik 3. Bezpečnostní politika 4. Bezpečnostní standardy („controls“) 5. Zavádění řízení informační bezpečnosti 6. Monitoring a audit - záznamy 7. (Certifikace systému)
Cíle úvodního auditu • Zmapování stavu – – – – – – – – – –
Infrastruktury Politiky zabezpečení informací Infrastruktury zabezpečení informací Zabezpečení přístupu třetích stran Používání externích služeb (outsourcing) Odpovědnosti za majetek Klasifikace informací Zajištění odpovědnosti za práce a služby Znalostí uživatelů Reakce na události v zabezpečení informací a na nesprávné činnosti
• Výstupem je formalizovaná zpráva
Cíle a strategie řešení bezpečnosti IS - 1 • Obecný cíl: – Eliminovat přímé i nepřímé ztráty způsobené zneužitím, poškozením, zničením, nedostupností informací…vytvoření uceleného, nákladově akceptovatelného systému řízení bezpečnosti informací….
• Definice cílů by měla zahrnovat i: – – – –
Investiční možnosti Omezení z pohledu dislokace atd. Řešení aktuálních problémů (priority praxe) atd.
Cíle a strategie řešení bezpečnosti IS - 2 • Vymezení hranic řešení: – Typy informací • Která data, které informace, do jaké hloubky … – Části IS • Které aplikace či jiné části IS, které části infrastruktury, … – Organizační složky organizace • Které útvary, lokality, … – Části okolí společnosti • Dodavatelé, partneři, dceřiné společnosti, …
Cíle a strategie řešení bezpečnosti IS - 3 • Definice „standardního projektu“ řešení informační bezpečnosti – – – – – –
Co je výstupem projektu? Jaký je rozsah projektu? Co určuje úspěch projektu? Jaká jsou rizika projektu a jak je eliminovat? Jaký je rozpočet projektu? Harmonogram? Jak bude projekt řízen?
Analýza rizik - úvod • Fungující (dlouhodobě) organizace musí rizika řídit, tj. zjišťovat jaké jsou a rozhodovat se zda: – – – –
Riziko akceptovat (je-li přijatelné) Riziko snížit (ochranná opatření) Převést na někoho jiného (pojištění, outsourcing) Riziku se vyhnout (danou aktivitu nerealizovat)
• Nejdříve je nutno rizika znát – tj. provést analýzu rizik
Analýza rizik zahrnuje: – – – – – –
identifikaci aktiv identifikaci hrozeb ohodnocení aktiv určení pravděpodobnosti uplatnění hrozby určení zranitelnosti každého aktiva hrozbou výpočet hodnoty Riziko pro každou dvojici aktiva a hrozby
• Riziko = Hodnota aktiva * Pravděpodobnost uplatnění hrozby * Zranitelnost
Analýza rizik – ilustrativní příklady • Nakažení počítačovým virem = nefunkčnost X% PC: – Prostoje – jejich vyčíslení – Ztráta zakázek v souvislostí s neschopnosti reagovat na požadavky – vyčíslení dopadů – Sankce – neplnění smluv (např. JIT provozy)
• Nedostupnost systému (výpadek proudu, porucha HW, živelná katastrofa, …) • Chyba uživatele (smazání modifikace dat, snížení produktivity, ...) • Ztráta dat (HW porucha, absence zálohování, …) • Porušení důvěrnosti komunikace (email…)
Analýza rizik - výstup • Dokument (rozbor), odpovídající na otázky: – Co se stane, když nebudou informace chráněny? – Jak může být porušena bezpečnost informací? – S jakou pravděpodobností se to stane?
• Vhodná je forma tabulky s váženým ohodnocením dopadů a případně podrobnějším rozborem • Slouží ke stanovení následujících kroků, jejich priorit, odhadu rozpočtu atd. • Významným podkladem je např. ISO 13335 – – – –
Základní přístup Neformální přístup Podrobná analýza Kombinovaný přístup
Analýza rizik – základní přístup • Základní přístup – Rychlá metoda zavedení základní sady opatření – Vychází se z obecných bezpečnostní opatření – standardizovaná řešení (napájení, firewall, antivirová ochrana, hesla, …) – Výhody: Levné, rychlé – Nevýhody: přílišná obecnost – Vhodnost: organizace z menší závislosti na IT, úvodní řešení inf. bezpečnosti
Analýza rizik – neformální přístup • Neformální přístup – Pragmatický přístup k analýze – Vychází se ze zkušeností konzultantů pro bezpečnost, interních pracovníků, znalosti prostředí – Výhody: Levné, rychlé – Nevýhody: složitější obhajitelnost – nevychází z metodologie obecné analýzy rizik – Vhodnost: organizace z menší závislosti na IT, úvodní řešení inf. bezpečnosti
Analýza rizik – podrobná • Podrobná analýza rizik – Nejpřesnější, časově i finančně nejnáročnější – Vychází se z identifikace a ohodnocení aktiv, posouzení hrozeb a odhadu zranitelnosti. Následně se navrhnou bezpečnostní opatření odpovídající co nejpřesněji míře rizika, resp. jeho pravděpodobnosti a dopadu – Výhody: Přesné, úplné, umožňuje velmi přesně volit bezp. opatření – Nevýhody: Nákladné (interní/externí náklady), pomalé – Vhodnost: organizace z vysokou citlivostí na informační bezpečnost
Analýza rizik – kombinovaný přístup • Kombinovaný přístup – Jedná se o použití jednotlivých přístupů v jednotlivých částech analýzy – Výhody / nevýhody: Účelný kompromis (náklady, cena, úplnost), umožňuje v průběhu procesu jednotlivé části analýzy zdokonalovat a kontinuálně na nové skutečnosti reagovat.
Proces řízení rizik Řízení informačních rizik Četnost hrozeb a úroveň zranitelnosti
Hrozby Vliv hrozeb
Vliv hrozeb
Úroveň bezpečnosti
Indikace
Úroveň rizik
Incidenty
Preventivní opatření
Aktualizace rizik
Rizika
Potenciální přímá a nepřímá cena rizik
Návrhy na opatření
Reálné dopady
Preventivní
Učení se
Opatření
Náprava
Nápravná
Analýza rizik - nástroje • Nástroje pro provádění analýzy rizik: – Existuje řada podpůrných aplikačních řešení, které díky zabudované metodologii „automatizovaně“ zpracovávají analýzu od fundamentálních otázek až po detailní rozbory dílčích okruhů.
• Může se jednat o velmi nákladné (pořízení/provoz) aplikace – Typičtí zástupci: • CRAMM, Cobra, NetRecon, RiskPAC, …)
Ukázka kalkulace rizik
Risk Treatement Plan • Obsahuje pro jednotlivá rizika: – Opatření pro jejich řízení • Akceptace rizika (např. z finančních důvodů) • Přenos rizika (smlouvy, pojištění, apod.) • Redukovaní rizika na akceptovatelnou úrověň – Identifikace „controls“ dle normy – Časový (finanční) rámec pro jejich řízení
• Identifikace akceptovatelných rizik • Obsahuje časový, finanční rámec a zodpovědnosti
Analýza rizik – problémy a chyby • Nedokončená / neúplná analýza rizik – Investuje se do vybraných částí systému, což z pohledu celku přináší malý či žádný efekt
• Absence pravidelné aktualizace analýzy – Systém (proces infor. bezp.) pak nerespektuje změny v okolí a stává se postupně neúčinným
• Vynechaní analýzy – subjektivní výběr protiopatření – Vysoké náklady dle znalostí a doporučení správce IT, minimální dopad na celkovou bezpečnost
• Zavádění opatření proti VŠEMU
Bezpečnostní politika - úvod • Základní dokument (resp. jeho aplikace) řešení informační bezpečnosti – Závazná pro celou společnost – Většinou součást dokumentace ISO900x či jiných systémů řízení kvality, součást požadavků NBÚ – Rozdílný rozsah
• Předmětem dokumentu je: – – – –
Definovat hlavní cíle při ochraně informací Stanovit způsob, jak bezpečnost řešit Určit pravomoci a zodpovědnosti Nezávislost na technologiích
Bezpečnostní politika – stav v ČR • PSIB ´03 – (E&Y, NBÚ, DSM) – Má organizace ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku?
54% 46% Ano
Ne
Bezpečnostní politika – obsah/rozsah
Výhody Nevýhody
Krátká
Dlouhá
•Rychlá příprava •Rychlejší proces schvalování •Čitelnost a pochopitelnost pro jednotlivé zaměstnance •Díky malému rozsahu není potřeba časté aktualizace
•Komplexní kodex pro informační bezpečnost •Definice pravidel a principů na jednom místě •Vzhledem k možnosti rozpracovat jednotlivé body je menší riziko nepochopení
•Hlavní objem prací je přesunut do problematiky bezpečnostních standardů •Obtížná „čitelnost“ pro zaměstnance
•Při malých změnách v systémů řízení bezpečnosti je nutno politiku aktualizovat •Práce na zpracování mohou trvat neúměrně dlouho •Dlouhý proces schvalování politiky •Je nutno pro zaměstnance vytvořit profesně orientované extrakty = dodatečné náklady
Bezpečnostní politika - možný obsah • • • •
Úvod Cíle a rozsah bezpečnostní politiky Charakteristika IS Východiska bezpečnosti (Zákonné normy, Strategie
organizace, Interní dokumenty&předpisy, Smluvní vztahy, …)
• Pravidla a zásady bezpečnosti IS (fyzická a
personální bezpečnost, Administrativní a procedurální bezpečnost, Komunikační bezpečnost, bezpečnost IS, …)
• Řízení bezpečnosti (bezp. infrastruktura, popis rolí a
zodpovědnosti, řešení bezp. Incidentů, testování a monitoring)
• Závěr, přílohy, slovník pojmů
Bezpečnostní politika – problémy a chyby
• Přebírání politiky jiné organizace • Nereálná politika – chtít nemusí znamenat možnost/schopnost realizovat • Politika plná kompromisů • Neúčinná propagace – podcenění významu a způsobu „evangelizace“ politiky v rámci organizace
Bezpečnostní standardy - úvod • Detailní zpracování způsobů ochrany informací dle jednotlivých oblastí • Vyšší frekvence úprav – v závislosti na změnách okolí, technologií, potřeb… • Vycházejí z bezpečnostní politiky, resp. zajišťují její naplnění • Cílem je eliminovat jednotlivá rizika technickým a procedurálními prostředky
Bezpečnostní standardy - vzory • Typické standardy - možno rozdělit do tří základních oblastí: Administrativní a uživatelské směrnice – Standardy administrace – Standardy pro práci se systémem – uživatelé – Přihlašování se k systému – (silná autentizace, konstrukce hesla, …) – Přijímání a propouštění zaměstnanců – Antivirová ochrana – Pravidla pro přístup mobilních / externích uživatelů – Pravidla pro vývoj software (zabezpečení, autorský zákon, …) – Řízení rizik Monitorování – Audit a monitorování (a vedení záznamů) – Kontroly dodržování standardů a politiky Obnova procesů – DR (disaster recovery) plány – Politiky zálohování – Reakce na bezpečnostní incidenty – Atd.
Bezpečnostní standardy - poznámky • Typické problémy: – Neuplatňování celého rozsahu standardů – ulehčení práce administrátorů, snaha uživatelů o jejich obcházení – Standardy nejsou úplné – tj. existují ale jsou nepřesné či velmi povrchní – Kontrola jejich dodržování je v kompetenci těch, kteří je mají realizovat (IT ->IT)
Statement of Applicability • Prohlášení o aplikovatelnosti • Dokument v libovolné formě – Obsahuje informace, zda a jak je reagováno na jednotlivé požadavky normy části A. (odkazy na jednotlivé směrnice, politiky, provozní a technická opatření) – Klíčový dokument, vůči kterému se vymezuje úplnost a vhodnost jednotlivých opatření
Statement of Applicability - ukázka
Implementace bezpečnosti IS • Zahrnuje implementaci bezpečnostní politiky a standardů do praxe – – – –
Implementace vesměs formou projektu Výběr konkrétních způsobů zabezpečení „Evangelizace bezpečnosti“ mezi uživateli Školení !!!!!!!!!
• Výběr „integrovatelných“ a osvědčených řešení – v kontextu používaných systému, aplikací a prvků infrastruktury
Implementace bezpečnosti IS • Realizace probíhá formou: – Organizačních / procedurálních opatření – Změnou konfigurace a nastavením stávajících systémů, aplikací, … – Zakoupením nových nástrojů pro podporu bezpečnosti • !! Nehledejte vítěze testů odborných časopisů, ale řešení vyhovující kontextu vaší bezpečnostní politiky. • Sebelepší řešení, nasazené v nevhodném prostředí může znamenat „jen vyšší náklady“ – obchodní zástupci jednotlivých producentů jsou velmi dobře školeni k prodeji svého dílčího řešení
Implementace bezpečnosti IS vybrané okruhy technologických témat
• OS: Microsoft Windows / UNIX – (monitorování, auditing, centrální databáze a správa uživatelů, zálohování dat, clustering, aktualizace klientských systémů…)
• Antivirové programy – (centrální správa a distribuce, celosvětový aktualizační servis, …)
• Síťová ochrana: firewall, IDP, IDS – (jednotný management u rozsáhlých systémů, vytváření ochranných zón, funkce proaktivní ochrany, VPN, antivirová ochrana, aktivní prvky sítí, wireless sítě, …)
• Autentizace – (silná autentizace, integrace do aplikací, centrální správa uživatelů, PKI infrastruktura, …)
• Šifrování – (elektronická pošta, pevné disky přenosných počítačů, práce v interních aplikacích z prostředí Internetu, …)
• Zálohování – (vytvoření záložních/provozních kopií, šifrování – ztráta medií, …)
verifikace obnovitelnosti,
• Monitorování systému – (kontrola nastavení systémů, verifikace systémových záplat oproti centrálním databázím, …)
Monitoring a audit • Poskytuje zpětnou vazbu pro výše popsané kroky • Nejméně naplňovaná oblast procesu řízení informační bezpečnosti • Nutno definovat, co je důležité – rozsah informací poskytovaných systémy je zpravidla nekonečný • Interní & Externí audit / monitoring / testování systémů a aplikací • Jednorázový (audit) & kontinuální (monitoring)
Monitoring a audit - proces • Definice rozsahu (vesměs je součástí standardů či politiky) • Organizační zajištění & zodpovědnosti (vedení společnosti, bezpečnostní manager, „vlastníci informací“, interní auditor, …) • Realizace monitoringu – Nástroje / prostředky pro monitorování • Součást OS, sofistikované nástroje,
• Revize výsledků – Přijmutí opatření (provozních, sankčních, změnových, …)
Monitoring a audit - testování • Bezpečnostní audit – Revize shody reality s plánovými dokumenty – Ne-invazivní způsob kontroly stavu bezpečnosti, založený na sběru informací o konfiguraci systémů zakončený hodnotící zprávou
• Penetrační test – Jedná o testování možnosti průniku, možnosti poškození systému či jeho znepřístupnění – Vesměs bez přítomnosti zaměstnanců testované organizace – !?! Možnost způsobení škody – Výsledkem je zpráva o nalezených slabých místech a možnostech
Certifikace systémů • Certifikační audit je prováděn jako dvoufázový proces • Fáze certifikace – Fáze 1 – Documentation (desktop) review • Revize rozsahu a obsahu dokumentace ISMS – Fáze 2 – Implementation Audit • Revize způsobu, úplnosti a komplexnosti zavedených protiopatření
Certifikační audit – 1 fáze • Documentation review – Cca. 1 měsíc před druhou fází – Zahrnuje: • Revize rozsah ISMS • Kompletnost požadované dokumentace • Revize Statement of Applicability • Existence a úplnost bezpečnostní politiky a bezpečnostních standardů • Existence záznamů ISMS
Certifikační audit – 2 fáze • Implementation audit – Zahrnuje: • Interview s managementem • Interview s vlastníky a uživateli ISMS • Revize shody dokumentace s implementovaným systémem • Revize jednotlivých částí systému • Report jednotlivých zjištění • Vypracování zprávy včetně doporučení
Vydání certifikátu o shodě se standardy
Děkuji za pozornost. • ADRESA NeXA, s.r.o. Beranových 65 199 00, Praha 18
• SPOJENÍ Tel.: +420 234 312 962-4 Fax: +420 234 313 052 http://www.NeXA.cz