Požadavky a principy ISMS

AGENDA • Vymezení procesu informační bezpečnosti • Životní cyklus ISMS • Požadavky na dokumentaci • Požadavky na záznamy

Požadavky a principy ISMS

Gabriel Lukáč [email protected]

Vymezení procesu řízení informační bezpečnosti

• Je kontinuální proces, v průběhu kterého dochází k: – vyhodnocování rizik, – návrhu a realizaci opatření k jejich eliminaci – kontrole aktuálnosti rizik a dodržování opatření k jejich eliminaci

ve stále měnícím se prostředí !!! • Lze jen velmi obtížně vyčíslit přimou návratnost investic • Je téma, které se dostává do popředí díky stále větší „informatizaci“ a rychlosti obchodních procesů

Vymezení procesu řízení informační bezpečnosti Východiska pro budování informační bezpečnosti

• Ochota managementu se infor. bezp. zabývat a to kontinuálně ! • Vyčlenění potřebných vnitřních lidských zdrojů • Ochota managementu investovat • Připravenost spolupracovat s externími subjekty • Připravenost managementu na možné změny, např. v interních procesech, org. struktuře, ...

Vymezení procesu řízení informační bezpečnosti Legislativní základ

• Zákony: – – – – – –

Obchodní zákoník – obchodní tajemství Zákon o ochraně utaj. skut. Zákon o ochraně osobních údajů Zákon o el. podpisu Zákon o některých službách informační společnosti …

• Normy (ČSN ISO/IEC) – 17799 IT – Code of Practice for information Security Management (resp. BS 7799) – 13335 – pojetí a modely, řízení a plánování, techniky řízení bezpečnosti IT – 15408 - Evaluation criteria for IT security – Standardy ISVS – …

Vymezení procesu řízení informační bezpečnosti Legislativní základ

• Systém řízení informační bezpečnosti „INFORMATION SECURITY MANAGEMENT SYSTEM“

(ISMS) Aplikované standardy BS-7799, resp. ISO 17799, apod.

Postup budování ISMS

Životní cyklus ISMS

Životní cyklus ISMS – fáze přípravy • • • •

Definice rozsahu systému Definice politiky řízení informační bezpečnosti Definice zodpovědností (bezp. Manager, fórum, ...) Zpracování analýzy rizik – – – –

Definice přístupu k rizikům Identifikace aktiv Identifikace hrozeb a zranitelností Vytvoření plánu eliminace/snížení/akceptace/převedení rizik

• Návrh protiopatření • Prohlášení o aplikovatelností – propojení oblastí normy část B. (controls) a dokumentace ISMS

Ukázka „controls“ řešené normou BS 7799

Životní cyklus ISMS – fáze zavedení • Formulace pravidel pro řízení rizik • Implementace jednotlivých protiopatření – Archivace, přihlašování, klasifikace, ... – Stanovení zodpovědností osob, třetích stran, ...

• Výcvik uživatelů • Zavedení procedur pro reakce na bezpečnostní incidenty

Životní cyklus ISMS – fáze monitorování a revize

• Realizace procedur pro reakce na incidenty a monitoring • Pravidelná revize stavu a aktuálnosti opatření a jejich východisek • Realizace interních auditů • Pravidelné přezkoumání ISMS vedením organizace (trendy, stav, východiska, ...) • Tvorba záznamů souvisejících s monitorováním stavu ISMS

Životní cyklus ISMS – fáze údržby a zlepšování • Implementace návrhu na zlepšování ISMS • Realizace nápravných a preventivních opatření • Komunikace těchto opatření na zainteresované strany

Požadavky na dokumentaci – I. • • • • • • •

Bezpečnostní politika Popis rozsahu ISMS Analýza rizik Plán řízení rizik Dokumentované postupy (směrnice) Záznamy (důkazy v libovolné formě) SOA – „statement of applicability“ – prohlášení o aplikovatelnosti

Požadavky na dokumentaci – II. • Dokumenty musí být: – – – –

Schváleny Pravidelně revidovány Dostupné v aktuální verzi Identifikovány – externí / interní

• Distribuce dokumentace musí být řízena • Neaktuální verze značeny / likvidovány

Požadavky na záznamy • Musí existovat důkazy, že ISMS je zavedeno a dodržováno • Jejich správa musí být řízena – Zálohování, archivace, skartace, ...

• Musí být dostupné, zvlášť při řešení bezpečnostních incidentů • Příklady záznamů: – Návštěvní kniha, provozní deníky, logy autorizačního procesu, apod..

AGENDA • Fáze budování a klíčová témata při zavádění • Certifikace

Proces zavádění ISMS

Gabriel Lukáč [email protected]

Kroky budování informační bezpečnosti

0. (Úvodní audit) 1. Cíle a strategie řešení bezpečnosti IS 2. Analýza rizik 3. Bezpečnostní politika 4. Bezpečnostní standardy („controls“) 5. Zavádění řízení informační bezpečnosti 6. Monitoring a audit - záznamy 7. (Certifikace systému)

Cíle úvodního auditu • Zmapování stavu – – – – – – – – – –

Infrastruktury Politiky zabezpečení informací Infrastruktury zabezpečení informací Zabezpečení přístupu třetích stran Používání externích služeb (outsourcing) Odpovědnosti za majetek Klasifikace informací Zajištění odpovědnosti za práce a služby Znalostí uživatelů Reakce na události v zabezpečení informací a na nesprávné činnosti

• Výstupem je formalizovaná zpráva

Cíle a strategie řešení bezpečnosti IS - 1 • Obecný cíl: – Eliminovat přímé i nepřímé ztráty způsobené zneužitím, poškozením, zničením, nedostupností informací…vytvoření uceleného, nákladově akceptovatelného systému řízení bezpečnosti informací….

• Definice cílů by měla zahrnovat i: – – – –

Investiční možnosti Omezení z pohledu dislokace atd. Řešení aktuálních problémů (priority praxe) atd.

Cíle a strategie řešení bezpečnosti IS - 2 • Vymezení hranic řešení: – Typy informací • Která data, které informace, do jaké hloubky … – Části IS • Které aplikace či jiné části IS, které části infrastruktury, … – Organizační složky organizace • Které útvary, lokality, … – Části okolí společnosti • Dodavatelé, partneři, dceřiné společnosti, …

Cíle a strategie řešení bezpečnosti IS - 3 • Definice „standardního projektu“ řešení informační bezpečnosti – – – – – –

Co je výstupem projektu? Jaký je rozsah projektu? Co určuje úspěch projektu? Jaká jsou rizika projektu a jak je eliminovat? Jaký je rozpočet projektu? Harmonogram? Jak bude projekt řízen?

Analýza rizik - úvod • Fungující (dlouhodobě) organizace musí rizika řídit, tj. zjišťovat jaké jsou a rozhodovat se zda: – – – –

Riziko akceptovat (je-li přijatelné) Riziko snížit (ochranná opatření) Převést na někoho jiného (pojištění, outsourcing) Riziku se vyhnout (danou aktivitu nerealizovat)

• Nejdříve je nutno rizika znát – tj. provést analýzu rizik

Analýza rizik zahrnuje: – – – – – –

identifikaci aktiv identifikaci hrozeb ohodnocení aktiv určení pravděpodobnosti uplatnění hrozby určení zranitelnosti každého aktiva hrozbou výpočet hodnoty Riziko pro každou dvojici aktiva a hrozby

• Riziko = Hodnota aktiva * Pravděpodobnost uplatnění hrozby * Zranitelnost

Analýza rizik – ilustrativní příklady • Nakažení počítačovým virem = nefunkčnost X% PC: – Prostoje – jejich vyčíslení – Ztráta zakázek v souvislostí s neschopnosti reagovat na požadavky – vyčíslení dopadů – Sankce – neplnění smluv (např. JIT provozy)

• Nedostupnost systému (výpadek proudu, porucha HW, živelná katastrofa, …) • Chyba uživatele (smazání modifikace dat, snížení produktivity, ...) • Ztráta dat (HW porucha, absence zálohování, …) • Porušení důvěrnosti komunikace (email…)

Analýza rizik - výstup • Dokument (rozbor), odpovídající na otázky: – Co se stane, když nebudou informace chráněny? – Jak může být porušena bezpečnost informací? – S jakou pravděpodobností se to stane?

• Vhodná je forma tabulky s váženým ohodnocením dopadů a případně podrobnějším rozborem • Slouží ke stanovení následujících kroků, jejich priorit, odhadu rozpočtu atd. • Významným podkladem je např. ISO 13335 – – – –

Základní přístup Neformální přístup Podrobná analýza Kombinovaný přístup

Analýza rizik – základní přístup • Základní přístup – Rychlá metoda zavedení základní sady opatření – Vychází se z obecných bezpečnostní opatření – standardizovaná řešení (napájení, firewall, antivirová ochrana, hesla, …) – Výhody: Levné, rychlé – Nevýhody: přílišná obecnost – Vhodnost: organizace z menší závislosti na IT, úvodní řešení inf. bezpečnosti

Analýza rizik – neformální přístup • Neformální přístup – Pragmatický přístup k analýze – Vychází se ze zkušeností konzultantů pro bezpečnost, interních pracovníků, znalosti prostředí – Výhody: Levné, rychlé – Nevýhody: složitější obhajitelnost – nevychází z metodologie obecné analýzy rizik – Vhodnost: organizace z menší závislosti na IT, úvodní řešení inf. bezpečnosti

Analýza rizik – podrobná • Podrobná analýza rizik – Nejpřesnější, časově i finančně nejnáročnější – Vychází se z identifikace a ohodnocení aktiv, posouzení hrozeb a odhadu zranitelnosti. Následně se navrhnou bezpečnostní opatření odpovídající co nejpřesněji míře rizika, resp. jeho pravděpodobnosti a dopadu – Výhody: Přesné, úplné, umožňuje velmi přesně volit bezp. opatření – Nevýhody: Nákladné (interní/externí náklady), pomalé – Vhodnost: organizace z vysokou citlivostí na informační bezpečnost

Analýza rizik – kombinovaný přístup • Kombinovaný přístup – Jedná se o použití jednotlivých přístupů v jednotlivých částech analýzy – Výhody / nevýhody: Účelný kompromis (náklady, cena, úplnost), umožňuje v průběhu procesu jednotlivé části analýzy zdokonalovat a kontinuálně na nové skutečnosti reagovat.

Proces řízení rizik Řízení informačních rizik Četnost hrozeb a úroveň zranitelnosti

Hrozby Vliv hrozeb

Vliv hrozeb

Úroveň bezpečnosti

Indikace

Úroveň rizik

Incidenty

Preventivní opatření

Aktualizace rizik

Rizika

Potenciální přímá a nepřímá cena rizik

Návrhy na opatření

Reálné dopady

Preventivní

Učení se

Opatření

Náprava

Nápravná

Analýza rizik - nástroje • Nástroje pro provádění analýzy rizik: – Existuje řada podpůrných aplikačních řešení, které díky zabudované metodologii „automatizovaně“ zpracovávají analýzu od fundamentálních otázek až po detailní rozbory dílčích okruhů.

• Může se jednat o velmi nákladné (pořízení/provoz) aplikace – Typičtí zástupci: • CRAMM, Cobra, NetRecon, RiskPAC, …)

Ukázka kalkulace rizik

Risk Treatement Plan • Obsahuje pro jednotlivá rizika: – Opatření pro jejich řízení • Akceptace rizika (např. z finančních důvodů) • Přenos rizika (smlouvy, pojištění, apod.) • Redukovaní rizika na akceptovatelnou úrověň – Identifikace „controls“ dle normy – Časový (finanční) rámec pro jejich řízení

• Identifikace akceptovatelných rizik • Obsahuje časový, finanční rámec a zodpovědnosti

Analýza rizik – problémy a chyby • Nedokončená / neúplná analýza rizik – Investuje se do vybraných částí systému, což z pohledu celku přináší malý či žádný efekt

• Absence pravidelné aktualizace analýzy – Systém (proces infor. bezp.) pak nerespektuje změny v okolí a stává se postupně neúčinným

• Vynechaní analýzy – subjektivní výběr protiopatření – Vysoké náklady dle znalostí a doporučení správce IT, minimální dopad na celkovou bezpečnost

• Zavádění opatření proti VŠEMU

Bezpečnostní politika - úvod • Základní dokument (resp. jeho aplikace) řešení informační bezpečnosti – Závazná pro celou společnost – Většinou součást dokumentace ISO900x či jiných systémů řízení kvality, součást požadavků NBÚ – Rozdílný rozsah

• Předmětem dokumentu je: – – – –

Definovat hlavní cíle při ochraně informací Stanovit způsob, jak bezpečnost řešit Určit pravomoci a zodpovědnosti Nezávislost na technologiích

Bezpečnostní politika – stav v ČR • PSIB ´03 – (E&Y, NBÚ, DSM) – Má organizace ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku?

54% 46% Ano

Ne

Bezpečnostní politika – obsah/rozsah

Výhody Nevýhody

Krátká

Dlouhá

•Rychlá příprava •Rychlejší proces schvalování •Čitelnost a pochopitelnost pro jednotlivé zaměstnance •Díky malému rozsahu není potřeba časté aktualizace

•Komplexní kodex pro informační bezpečnost •Definice pravidel a principů na jednom místě •Vzhledem k možnosti rozpracovat jednotlivé body je menší riziko nepochopení

•Hlavní objem prací je přesunut do problematiky bezpečnostních standardů •Obtížná „čitelnost“ pro zaměstnance

•Při malých změnách v systémů řízení bezpečnosti je nutno politiku aktualizovat •Práce na zpracování mohou trvat neúměrně dlouho •Dlouhý proces schvalování politiky •Je nutno pro zaměstnance vytvořit profesně orientované extrakty = dodatečné náklady

Bezpečnostní politika - možný obsah • • • •

Úvod Cíle a rozsah bezpečnostní politiky Charakteristika IS Východiska bezpečnosti (Zákonné normy, Strategie

organizace, Interní dokumenty&předpisy, Smluvní vztahy, …)

• Pravidla a zásady bezpečnosti IS (fyzická a

personální bezpečnost, Administrativní a procedurální bezpečnost, Komunikační bezpečnost, bezpečnost IS, …)

• Řízení bezpečnosti (bezp. infrastruktura, popis rolí a

zodpovědnosti, řešení bezp. Incidentů, testování a monitoring)

• Závěr, přílohy, slovník pojmů

Bezpečnostní politika – problémy a chyby

• Přebírání politiky jiné organizace • Nereálná politika – chtít nemusí znamenat možnost/schopnost realizovat • Politika plná kompromisů • Neúčinná propagace – podcenění významu a způsobu „evangelizace“ politiky v rámci organizace

Bezpečnostní standardy - úvod • Detailní zpracování způsobů ochrany informací dle jednotlivých oblastí • Vyšší frekvence úprav – v závislosti na změnách okolí, technologií, potřeb… • Vycházejí z bezpečnostní politiky, resp. zajišťují její naplnění • Cílem je eliminovat jednotlivá rizika technickým a procedurálními prostředky

Bezpečnostní standardy - vzory • Typické standardy - možno rozdělit do tří základních oblastí: Administrativní a uživatelské směrnice – Standardy administrace – Standardy pro práci se systémem – uživatelé – Přihlašování se k systému – (silná autentizace, konstrukce hesla, …) – Přijímání a propouštění zaměstnanců – Antivirová ochrana – Pravidla pro přístup mobilních / externích uživatelů – Pravidla pro vývoj software (zabezpečení, autorský zákon, …) – Řízení rizik Monitorování – Audit a monitorování (a vedení záznamů) – Kontroly dodržování standardů a politiky Obnova procesů – DR (disaster recovery) plány – Politiky zálohování – Reakce na bezpečnostní incidenty – Atd.

Bezpečnostní standardy - poznámky • Typické problémy: – Neuplatňování celého rozsahu standardů – ulehčení práce administrátorů, snaha uživatelů o jejich obcházení – Standardy nejsou úplné – tj. existují ale jsou nepřesné či velmi povrchní – Kontrola jejich dodržování je v kompetenci těch, kteří je mají realizovat (IT ->IT)

Statement of Applicability • Prohlášení o aplikovatelnosti • Dokument v libovolné formě – Obsahuje informace, zda a jak je reagováno na jednotlivé požadavky normy části A. (odkazy na jednotlivé směrnice, politiky, provozní a technická opatření) – Klíčový dokument, vůči kterému se vymezuje úplnost a vhodnost jednotlivých opatření

Statement of Applicability - ukázka

Implementace bezpečnosti IS • Zahrnuje implementaci bezpečnostní politiky a standardů do praxe – – – –

Implementace vesměs formou projektu Výběr konkrétních způsobů zabezpečení „Evangelizace bezpečnosti“ mezi uživateli Školení !!!!!!!!!

• Výběr „integrovatelných“ a osvědčených řešení – v kontextu používaných systému, aplikací a prvků infrastruktury

Implementace bezpečnosti IS • Realizace probíhá formou: – Organizačních / procedurálních opatření – Změnou konfigurace a nastavením stávajících systémů, aplikací, … – Zakoupením nových nástrojů pro podporu bezpečnosti • !! Nehledejte vítěze testů odborných časopisů, ale řešení vyhovující kontextu vaší bezpečnostní politiky. • Sebelepší řešení, nasazené v nevhodném prostředí může znamenat „jen vyšší náklady“ – obchodní zástupci jednotlivých producentů jsou velmi dobře školeni k prodeji svého dílčího řešení

Implementace bezpečnosti IS vybrané okruhy technologických témat

• OS: Microsoft Windows / UNIX – (monitorování, auditing, centrální databáze a správa uživatelů, zálohování dat, clustering, aktualizace klientských systémů…)

• Antivirové programy – (centrální správa a distribuce, celosvětový aktualizační servis, …)

• Síťová ochrana: firewall, IDP, IDS – (jednotný management u rozsáhlých systémů, vytváření ochranných zón, funkce proaktivní ochrany, VPN, antivirová ochrana, aktivní prvky sítí, wireless sítě, …)

• Autentizace – (silná autentizace, integrace do aplikací, centrální správa uživatelů, PKI infrastruktura, …)

• Šifrování – (elektronická pošta, pevné disky přenosných počítačů, práce v interních aplikacích z prostředí Internetu, …)

• Zálohování – (vytvoření záložních/provozních kopií, šifrování – ztráta medií, …)

verifikace obnovitelnosti,

• Monitorování systému – (kontrola nastavení systémů, verifikace systémových záplat oproti centrálním databázím, …)

Monitoring a audit • Poskytuje zpětnou vazbu pro výše popsané kroky • Nejméně naplňovaná oblast procesu řízení informační bezpečnosti • Nutno definovat, co je důležité – rozsah informací poskytovaných systémy je zpravidla nekonečný • Interní & Externí audit / monitoring / testování systémů a aplikací • Jednorázový (audit) & kontinuální (monitoring)

Monitoring a audit - proces • Definice rozsahu (vesměs je součástí standardů či politiky) • Organizační zajištění & zodpovědnosti (vedení společnosti, bezpečnostní manager, „vlastníci informací“, interní auditor, …) • Realizace monitoringu – Nástroje / prostředky pro monitorování • Součást OS, sofistikované nástroje,

• Revize výsledků – Přijmutí opatření (provozních, sankčních, změnových, …)

Monitoring a audit - testování • Bezpečnostní audit – Revize shody reality s plánovými dokumenty – Ne-invazivní způsob kontroly stavu bezpečnosti, založený na sběru informací o konfiguraci systémů zakončený hodnotící zprávou

• Penetrační test – Jedná o testování možnosti průniku, možnosti poškození systému či jeho znepřístupnění – Vesměs bez přítomnosti zaměstnanců testované organizace – !?! Možnost způsobení škody – Výsledkem je zpráva o nalezených slabých místech a možnostech

Certifikace systémů • Certifikační audit je prováděn jako dvoufázový proces • Fáze certifikace – Fáze 1 – Documentation (desktop) review • Revize rozsahu a obsahu dokumentace ISMS – Fáze 2 – Implementation Audit • Revize způsobu, úplnosti a komplexnosti zavedených protiopatření

Certifikační audit – 1 fáze • Documentation review – Cca. 1 měsíc před druhou fází – Zahrnuje: • Revize rozsah ISMS • Kompletnost požadované dokumentace • Revize Statement of Applicability • Existence a úplnost bezpečnostní politiky a bezpečnostních standardů • Existence záznamů ISMS

Certifikační audit – 2 fáze • Implementation audit – Zahrnuje: • Interview s managementem • Interview s vlastníky a uživateli ISMS • Revize shody dokumentace s implementovaným systémem • Revize jednotlivých částí systému • Report jednotlivých zjištění • Vypracování zprávy včetně doporučení

Vydání certifikátu o shodě se standardy

Děkuji za pozornost. • ADRESA NeXA, s.r.o. Beranových 65 199 00, Praha 18

• SPOJENÍ Tel.: +420 234 312 962-4 Fax: +420 234 313 052 http://www.NeXA.cz