Vzdělávání v IT bezpečnosti Program č. 1 Studijní opory

Vzdělávání v IT bezpečnosti Program č. 1 Studijní opory datum

2013/2014

zpracoval

COMGUARD s.r.o. Sochorova 38 CZ 616 00 Brno tel. +420 513 035 400 www.comguard.cz

Vzdělávání v IT bezpečnosti Program č. 1 Studijní opory 2013/2014

Obsah

1 Úvod ................................................................................................................. 4 2 Vzorové formuláře a dokumenty ISMS ............................................................ 4 2.1 Smlouva o zpracování osobních údajů při ……… ................................................................... 4 2.2 Stupně důvěrnosti informací ................................................................................................. 6 2.3 Výstupní list ........................................................................................................................... 8 2.4 Kniha evidence elektronických klíčů ...................................................................................... 9 2.5 Politika vzdáleného přístupu k IS firmy............................................................................... 10 2.6 Způsob ukládání dokumentace ............................................................................................ 12 2.7 Fyzické prostředí pro ukládání nosičů informací ................................................................. 14 2.8 Zmapování rizik bezpečnosti informací ............................................................................... 15

3 Metodika analýzy rizik ................................................................................... 18 3.1 Předmět analýzy rizik IS ...................................................................................................... 18 3.1.1

Pro účely analýzy rizik se rozumí ................................................................................................. 18

3.2 Předmět dokumentu ............................................................................................................ 18 3.2.1

Práce s dokumentem ................................................................................................................. 18

3.3 Cíle analýzy rizik .................................................................................................................. 19 3.4 Metodika řízení bezpečnostních rizik................................................................................... 19 3.4.1

Cíle řízení rizik ........................................................................................................................... 19

3.4.2

Postup provádění analýzy rizik - RANIT ....................................................................................... 21

3.5 Interpretace rizika ............................................................................................................... 27

4 Zpráva z analýzy rizik .................................................................................... 28 4.1 Analýza rizik by neměla být jednorázový projekt ................................................................ 28

strana 2/67


4.2 Předmět analýzy rizik IS ...................................................................................................... 28 4.3 Předmět dokumentu ............................................................................................................ 29 4.4 Práce s dokumentem ........................................................................................................... 29 4.4.1

Přístup k dokumentu .................................................................................................................. 29

4.4.2

Aktualizace dokumentu .............................................................................................................. 29

4.4.3

Vstupy analýzy rizik ................................................................................................................... 30

4.4.4

Model informačního systému ...................................................................................................... 52

4.4.5

Identifikace aktiv a komponent ................................................................................................... 53

4.4.6

Hodnocení dopadů incidentu (BIA) .............................................................................................. 53

4.4.7

Hodnocení hrozeb ...................................................................................................................... 53

4.5 Výstupy analýzy rizik ........................................................................................................... 53

5 Vymezení pojmu aktiva, kategorizace aktiv .................................................. 55 5.1 Vlastnosti aktiv z hlediska bezpečnosti ............................................................................... 57 5.1.1

Fyzická aktiva ............................................................................................................................ 57

5.1.2

Softwarová aktiva ...................................................................................................................... 61

5.1.3

Personální aktiva ....................................................................................................................... 62

6 Vzorový projekt implementace ISMS ............................................................ 64 6.1 Etapy projektu, výstupy, součinnost ................................................................................... 64 6.1.1

Analýza stavu managementu informační bezpečnosti a technické infrastruktury ............................. 64

6.1.2

Identifikace a vyhodnocení bezpečnostních rizik........................................................................... 65

6.1.3

Návrh úpravy stávající a tvorba nové interní dokumentace ........................................................... 66

6.1.4

Příprava na certifikaci dle ISO/IEC 27001 .................................................................................... 66

6.2 Možný časový harmonogram ............................................................................................... 67

strana 3/67


1

Úvod

Tyto studijní opory slouží jako doplněk prezenční nebo vzdálené výuky a e-learningu.

2

Vzorové formuláře a dokumenty ISMS

2.1

Smlouva o zpracování osobních údajů při ………

XY a.s. se sídlem: …………………………, zastoupená: …………………………., IČ:……………………., (dále jen „správce“) a ……………….., se sídlem: …………………….., zastoupená: …………………………….., IČ: ……………………, (dále jen „zpracovatel“) uzavírají podle ustanovení § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, tuto smlouvu o zpracování osobních údajů: Článek I Předmět smlouvy Tato smlouva upravuje vztahy mezi správcem osobních údajů a zpracovatelem osobních údajů, zejména pak vymezuje rozsah osobních údajů, které budou zpracovávány, účel pro který budou osobní údaje zpracovávány a podmínky a záruky zpracovatele osobních údajů z hlediska technického a organizačního zabezpečení ochrany osobních údajů. Článek II Účel smlouvy Účelem této smlouvy je zajištění ……………………, do které je zapojen jako zprostředkující subjekt také zpracovatel. V průběhu ……………… dochází ke shromažďování a zpracovávání osobních údajů ve smyslu

strana 4/67


zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen “Zákon“). Článek III Rozsah údajů 1. Osobním údajem se pro účely této smlouvy rozumí jakákoliv informace týkající se subjektu údaje, která podléhá ochraně dle Zákona. 2. Zpracovatel osobních údajů zpracovává podle této smlouvy osobní údaje v tomto rozsahu: a) jméno a příjmení fyzické osoby; b) datum narození fyzické osoby; c) ????? d) ????? e) ????? f) ????? Článek IV Práva a povinnosti smluvních stran 1. Na základě této smlouvy zmocňuje správce osobních údajů zpracovatele osobních údajů ke zpracování osobních údajů potřebných k zajištění procesu ………………. 2. Správce osobních údajů zajistí písemný souhlas subjektů údajů se zpracováním osobních údajů. 3. Správce osobních údajů určuje pro zpracovatele osobních údajů tento způsob a tyto prostředky zpracování: a) osobní údaje ve fyzické (listinné a na nosičích dat) podobě jsou zpracovatelem zpracovávány ve smyslu Zákona v písemné a elektronické podobě v …………………., a dále jsou archivovány a likvidovány po uplynutí doby archivace; b) ???????? 4. Zpracovatel bude osobní údaje v listinné podobě a na nosičích údajů (např. CD, DVD) uchovávat v uzamykatelných schránkách. 5. Zpracovatel zajistí informovanost svých zaměstnanců o tom, že příslušné přístupové údaje do elektronických systémů (např. hesla) pro zpracovávání osobních údajů je třeba uchovávat v tajnosti a neposkytovat je třetím osobám. 6. Zpracovatel zajistí, aby jeho zaměstnanci pracující osobními údaji byli v souladu s platnými právními předpisy vázáni povinností mlčenlivosti ve smyslu Zákona a poučeni o možných následcích pro případ porušení této povinnosti. 7. Zpracovatel postupuje při své činnosti dotýkající se nakládání s osobními údaji v souladu se Zákonem. Článek VI Doba trvání smlouvy Tato smlouva se uzavírá na dobu určitou. Její platnost a účinnost nastává dnem jejího podpisu oprávněnými zástupci obou smluvních stran a končí dne ………………... Článek VII Zvláštní ujednání Z této smlouvy nevyplývají pro smluvní strany žádné finanční závazky.

strana 5/67


Článek VIII Závěrečné ustanovení 1. Tato smlouva je vyhotovena ve dvou stejnopisech, z nichž každý má platnost originálu. Po podpisu této smlouvy obdrží správce jedno a zpracovatel jedno vyhotovení smlouvy. 2. Otázky touto smlouvou výslovně neupravené se řídí zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů a dalšími obecně závaznými právními předpisy České republiky. V ……… dne …………………

V ………… dne……………

……………………………

………….……………………

za správce

2.2

za zpracovatele

Stupně důvěrnosti informací

Stupeň důvěrnosti

Definice Informace, které mohou být sdíleny s kýmkoliv na světě. Typicky se jedná o informace

Public

jako jsou veřejné tiskové zprávy, již zveřejněná výroční zpráva, informace z externího webu, marketingové informace a informace o produktech, Code of Conduct, veřejné informace o akcionářích. Informace, které mohou být sdíleny jen s těmi, kteří mají obchodní vztah s organizací (investoři, obchodní partneři, subdodavatelé, partneři ve sdružení apod.) a všemi

Open

zaměstnanci organizace. Typicky se jedná o informace jako je část projektové dokumentace (výkresová dokumentace, harmonogramy, politika jakosti, dokumentace rizikových analýz, dokumentace BOZP a další podobné informace), všeobecné informace o projektech a zázemí a obecné interní předpisy (např. grafický manuál) Informace, které mohou být sdíleny jen interně mezi zaměstnanci organizace. Typicky se

Internal

jedná o informace, jako jsou interní předpisy pro zaměstnance, část projektové dokumentace (odhady, detailní popisy, popisy pracovních postupů - metodické pokyny) a podobné typy informací Informace, které mohou být sdíleny jen ve skupině osob (interních a/nebo externích) určené podle principu „jen kdo to potřebuje vědět“. Typicky se jedná o informace, jako

Restricted

jsou finanční informace (účetní informace, plány), informace o společnosti (podnikatelské záměry, strategické plány apod.), část projektové dokumentace (výběrová řízení, smlouvy, jiná smluvní ujednání, reporty jakosti, kalkulace, rozpočty a podobné typy informací.

Confidential

Informace, které mohou být sdíleny je s osobami (interními a/nebo externími) určenými podle principu „jen kdo to potřebuje vědět“. Typicky se jedná o informace, jako jsou

strana 6/67


strukturované finanční informace před zveřejněním, výroční zpráva před zveřejněním, dokumentace orgánů společností, přehledy výkonnosti - reporty, divestice společnosti, zaměstnanecké údaje a podmínky včetně osobních údajů, informace o mzdách, utajované informace dle zákona 412/2005 Sb. a další podobné typy informací

Stupeň důvěrnosti Oblast

Public

Open

Kdo stanoví stupeň důvěrnosti

Vlastník dokumentu

Internal

Restricted

Confidential

Nesmí být distribuováno mimo organizaci

Nesmí být distribuováno mimo organizaci bez prokazatelného souhlasu vlastníka dokumentu

Nesmí být distribuováno komukoliv bez prokazatelného souhlasu vlastníka dokumentu

Musí být uloženo v trezoru

Kdo rozhoduje o distribuci dokumentu

Žádné omezení

Uložení nebo archivace listinné nebo elektronické formy na nešifrovaném nosiči

Žádné omezení

Musí být uloženo v ocelové skříni

Uložení elektronické na pevném disku v PC nebo notebooku

Žádné omezení

Pouze zašifrovaně.

Uložení nebo archivace elektronické formy na centrálním datovém úložišti

Žádné omezení

Přísné omezení přístupových oprávnění na serveru jen pro oprávněné osoby

Kopírování a tisk

Žádné omezení

Možno jen pro vlastní potřebu. Pro ostatní jen s prokazatelným souhlasem vlastníka dokumentu

Email

Žádné omezení

Nesmí být zasíláno e-mailem

Pouze zašifrovaně.

A. Nikdy nenechávat bez dozoru na veřejných prostranstvích Vynášení mimo „území“ organizace

Žádné omezení

B. Na hotelech nechávat uzamčené v bezpečnostních schránkách nebo nenechávat bez dozoru. C. Při cestování vždy přenášeny jako příruční zavazadlo D. Datová média musí být zašifrována

strana 7/67


Fax

Žádné omezení

Jen pokud adresát stojí po celou dobu příjmu u přijímacího faxu.

Likvidace listinných nosičů (papíru)

Tříděný odpad, bez omezení

Rozřezat skartovacím strojem

Likvidace elektronických nosičů (médií)

Data musí být smazána specializovaným softwarem nebo musí být nosiče fyzicky zničeny

Označení

PUBLIC

OPEN

INTERNAL

Ruční označování

P

O

I

2.3

RESTRICTED

Zakázáno

CONFIDENTIAL

R

C

Výstupní list

Příjmení, jméno, titul.................................................................................... útvar..................................................... Datum skončení pracovního poměru:................................ Důvod skončení pracovního poměru.................................

......................................... podpis zaměstnance

............................................... přímý nadřízený

************************************************************************* vyrovnáno ano - ne

podpis odpovědného zaměstnance

Mzdová účtárna (náhrady škody, srážky za jízdenky MHD)

...............

..........................

Půjčky, SF, os.účet

...............

..........................

Pokladna

...............

..........................

Technická knihovna

...............

..........................

strana 8/67


Razítka

………… …………………

Archív

...............

DDHM

………… …………………

DHM

………… ………………….

Doprava (osobní auto,CCS příp Benzina karta)

...............

...........................

...........................

Odbor IT potvrzuje, že: -nemá vůči odcházejícímu zaměstnanci žádné pohledávky (hardware,software, instalační media, manuály aj..)

...............

...........................

- zaměstnanci byla zrušena uživatelská práva k informačnímu systému

...............

...........................

zrušit – ponechat poštovní schránku (jak dlouho)……….měsíců ……………………..... přímý nadřízený schránku bude vybírat…………………………………….. zrušit – zálohovat data uživatele (adresář HOME, lokální data) nadřízený

.............................. přímý

Personální odbor – osoba určená – prověřená NBÚ

………… ………………….

Podepsaný výstupní list z p ě t na personální odbor Vrácení karty ke vstupu do budovy

……………………………………………….

Zápočtový list převzal(a) dne......................podpis.............................

2.4

Kniha evidence elektronických klíčů

Objekt: Budova ústředí skupiny FIRMA XY „Centrum Háje“ Svým podpisem potvrzuji převzetí 

osobní přístupovou kartu ACS s oprávněním pro vstup do budovy o některých zón budovy

a zavazuji se dodržovat tato pravidla:   

chránit kartu před ztrátou, odcizením nebo kompromitací nezapůjčit kartu jiným zaměstnancům vedoucí zaměstnance nevyjímaje ztrátu nebo odcizení karty neprodleně nahlásit na recepci budovy.

Dále beru na vědomí, že v případě ztráty karty z nedbalosti či jiným zaviněním mohu být požádán o uhrazení části nákladů spojených s vystavením nové karty ve výši do 200,-Kč.

strana 9/67


Předání karty osobě Poř. č. Datum

Vrácení – převzetí karty zpět

Příjmení a jméno

Os.číslo/číslo

(hůlkově)

dokladu

Podpis

Datum

Přebírající

Podpis

(př. a jm.)

1 2 3 4 5

2.5

Politika vzdáleného přístupu k IS firmy Externí Uživatel zaměstnanec FIRMA XY nebo externí uživatel uživatel systémů FIRMA XY pouze systému B2B

Uživatel vzdálená podpora systému

PC/ notebook vlastní OK

PC/ notebook vlastní neaktualizovaný

Jakékoli Smartphone PC/notebook

Ošetřená smlouva s firmou*

x

x

x

x

x

Závazek o mlčenlivosti uživatele**

x

x

x

x

x

Předání přihlašovacích údajů a tokenů proti podpisu

x

x

x

x

x

PC/ PC/ notebook notebook partnera partnera

Ošetření smlouvy

Ověření klienta Přihlášení smatphone (???)

x

Přihlášení do AD x (user+password+token)

x

Přihlášení do MOSS (user+password+SMS)

x

x

x

x x

strana 10/67


Doména (FIRMA XY.cz)

x

x

Klíč v registru

x

x

Aktualizovaný SW (Windows+Antivir)

x

Oprávnění přístup k update

x

x

Citrix Desktop

x

x

přístup z Citrixu k lokálním diskům READ ONLY

x

x

přístup z Citrixu k lokálním diskům READ/WRITE

x

časově neomezený účet x

x

x

přístup z Citrixu přes RDP k podporovaným zařízením

x

clipboard (Ctrl+C, Xtrvl+X, Ctrl+V)

x

tisk na lokální tiskárně

x

plnohodnotný VPN

x

x

x

B2B aplikace Synchronizace MS Exchange

x x

strana 11/67


2.6

Způsob ukládání dokumentace

A) Dokumentace listinná

Doba uchovávání v příručním úložišti

Celk. doba archiva ce

Příruční úložiště

Zdůvodnění ochrany

Strategické a citlivé dokumenty topmanagementu

Trezor

Požadavek topmanažerů

Strategická právní dokumentace (např. akcie, zástavní smlouvy, směnky, ručení, dokumentace ke klíčovým právním sporům)

Trezor

Klíčové pro business

Trezor

Požadavek zákona ČR č.412/2005 Sb.

Originály dokumentace stavby (stavební deníky, předávací protokoly, ostatní dokumenty s originály podpisů, apod.)

Ocelová skříň


Originály smluvní dokumentace

Ocelová skříň


Originály právní dokumentace ke kauzám

Ocelová skříň


Nabídková dokumentace v období přípravy nabídky až do ukončení soutěže – pouze ta část dokumentace, která obsahuje kumulované nabídkové ceny.

Ocelová skříň

Ochrana nabídkových cen

Originály dokumentace interního auditu – jen citlivá část

Ocelová skříň

Originály dokumentace majetkoprávní

Ocelová skříň


Originály dokumentace ekonomické (účetní, daňové, financování) – např. daňová přiznání, účetní závěrky, apod.

Ocelová skříň

Klíčové pro business Povinnost ze zákona

Originály korporátní dokumentace (živnostenské listy, koncesní listiny, zápisy do obchodních rejstříků, zápisy z valných hromad, klíčových představenstev, dozorčích rad)

Ocelová skříň


Dokumentace vozového parku (předávací protokoly k vozidlům, technické průkazy, platební karty, dálniční známky, náhradní klíče k vozidlům)

Ocelová skříň


Aktivum

Utajované informace dle legislativy ČR

trvale

Dle zadání

strana 12/67


Dokumentace k evidenci mobilních telefonů (mobilní přístroje a příslušenství k mobilním telefonům)

Ocelová skříň

Originály projektové dokumentace

Uzamykatel ný nábytek

Originály dokumentace vlastníka nemovitostí


Originály mzdové nebo personálně-právní agendy obsahující osobní údaje


Dokumentace vozového parku (výzvy a usnesení od policie, doklady o předání platebních karet, kopie smluv rámcových i na užívání vozidel, záznamy o provozu vozidla, kopie faktur)


Dokumentace k evidenci mobilních telefonů (předávací protokoly, kopie dohod o srážkách, kopie faktur, dohody o převodech účastnických smluv)


Dokumenty ORA

1 rok


Dokumentace k výběrovým řízením, která vyhlašuje FIRMA XY

Do vyhlášení výsledků soutěže


Ostatní neveřejná dokumentace


Literatura


Prospekty, letáky, tiskoviny

Neuzamyka telný nábytek

Kopie originálů

Stejně jako originál, max. ocelová skříň


Požadavek zákona ČR č.101/2000 Sb.

strana 13/67


B) Dokumentace elektronická a audiovizuální

Aktivum

Doba

Celk.

uchovávání

doba

Příruční

Zdůvodnění

v příručním

archiva

úložiště

ochrany

úložišti

ce Klíčové pro

Zálohy serverů IS/ICT na záložních médiích

12 měsíců

1 rok

Trezor

business Povinnost ze zákona

Obdobně jako

Originály na médiu

listinné

Kopie na médiu – bez ochrany šifrováním

Kopie na médiu – s ochranou šifrováním

2.7

Po nezbytnou dobu

Obdobn

Obdobně

ě jako

jako

listinné

listinné Obdobně

Ne

jako listinné

Po nezbytnou dobu

Klíčové pro business Povinnost ze zákona Klíčové pro business Povinnost ze zákona

Neuzamyka Ne

telný nábytek

Fyzické prostředí pro ukládání nosičů informací

A) Nábytek

Úložiště

Odolnost proti

Název

Popis

Trezor

 Nábytkový nebo vestavný trezor  Odolnost proti požáru po dobu 60 minut (třída S 60 P ve smyslu EN 1047-1)

Ocelová skříň

 Plášť skříně a dveří je zhotoven z plechu tl. 3 mm

ohni

60 minut

Ne

Zajištění

násilnému

Dostupn

Integr

Důvěrn

otevření

osti

ity

osti

Ano

Ano

strana 14/67


 Třístranný zámkový mechanismus osazený trezorovým zámkem nebo zámkem a vložkou bezpečnostní třídy 5 nebo 6 dle ČSN P ENV 1627  S možností vnitřní skříňky s vyšším stupněm ochrany

Uzamykatelný nábytek

Neuzamykatelný nábytek

 Pevná konstrukce všech stěn nábytku  Standardní uzamykání skříněk

Ne

Malá

 Bez specifikace

Ne

Ne

Poznámka: Nábytek je seřazen od nejvyššího stupně poskytované ochrany k nejnižšímu.

B) Prostory (podatelny, archivy, spisovny, apod.)

Prostory musí být zabezpečeny tak, aby podle charakteru uložených dokumentů zaručovaly obdobnou míru ochrany, jako příslušný typ nábytku (viz výše).

2.8

Zmapování rizik bezpečnosti informací

Účel: shromáždit podklady nezbytné k posouzení vlivu požadované změny na bezpečnost informací a navržení odpovídajících bezpečnostních opatření

Otázka 1

Pokryje funkcionalita IS některou z povinností, které pro FIRMA XY vyplývají z legislativy?

Očekávaná odpověď ANO/NE Výčet povinností s odkazem na

1a

1b

O které povinnosti se konkrétně jedná? Jaké nejvyšší sankce z neplnění těchto povinností pro FIRMA XY hrozí?

normu/zákon/vyhlášku a příslušný §. Finanční částka vyjádřená Kč.

strana 15/67


Budou v IS zpracovávány osobní údaje1 2

zaměstnanců, nebo jiných osob (zákazníků,

ANO/NE

partnerů, apod.)? Uvést tyto informace: Rozsah2, 2a

Jaké osobní údaje?

účel, doba uchovávání, registrace ÚOOÚ

Budou v IS zpracovávány informace, které jsou 3

klasifikovány jako CONFIDENTIAL (podle Spisového řádu) a tedy nesmí být dostupné všem zaměstnancům FIRMA XY?

ANO/NE

Popis, důvod pro ochranu, jaký 3a

O jaké informace se konkrétně jedná?

4

Vznikla by FIRMA XY škoda, pokud by se informace v IS dostaly k neoprávněné osoby (konkurenci,

logický klíč má být použit pro nastavení přístupu k IS ANO/NE

mediální kauza apod.) 4a 5

Jaká by byla maximální výše této škody? Požadujete, aby bylo z IS možné zpětně dohledat co kdy který uživatel v IS prováděl?

Částka v Kč ANO/NE Čtení, úpravy, zápis (vybrané

5a

Které všechny činnosti chcete sledovat?

5b

Jak dlouho mají být tyto záznamy uchovávány?

6/12/24 měsíců nebo jiná lhůta

6

Kolik uživatelů bude IS využívat?

Počet

6a

Kolik uživatelů bude IS využívat současně?

Počet

Mají mít k IS přístup i uživatelé mimo FIRMA XY,

ANO/NE (standard ve FIRMA XY je

kteří se budou připojovat z internetu?

NE)

7

zakroužkujte)

1

tj. jakékoli z těchto údajů o osobách: příjmení, jméno, fotografie, kontaktní údaje (telefon, adresa), datum narození, rodné číslo, bankovní spojení, členství v odborových organizacích, zdravotní stav, vzdělání, náboženské vyznání atd.) 2

tj. které všechny osobní údaje jsou zpracovávány. Např. příjmení, jméno, fotografie

strana 16/67


Dny v týdnu a hodiny (standard ve 8

Jaká je požadovaná provozní doba IS?

FIRMA XY jsou pracovní dny 8:00 – 17:00 SEČ, CET)

9

Jak dlouhý výpadek provozu IS jste ochotni akceptovat v případě havárie IS (RTO3)?

počet hodin/dnů/týdnů

9a

Jaká by vznikla FIRMA XY maximální škoda v případě výpadku systému po dobu 1 dne?

Částka v Kč

9b

Jaká by vznikla FIRMA XY maximální škoda v případě výpadku systému po dobu 1 týdne?

Částka v Kč

9c 10

Jaká by vznikla FIRMA XY maximální škoda v případě výpadku systému po dobu 1 měsíce?

Částka v Kč

Jakou největší ztrátu dat jste ochotni akceptovat v

počet hodin/dnů/týdnů (standard

případě havárie datového úložiště (RPO)?

ve FIRMA XY je 24 hodin)

Bude využit jen „krabicový“ IS bez nutnosti 11

11a

3

rozšiřování jeho funkcí vytvářením programovacího kódu? Bude vývoj programovacího kódu zajišťován výhradně vlastními silami FIRMA XY?

ANO/NE

ANO/NE

Recovery Time Objective – viz.např. http://en.wikipedia.org/wiki/Recovery_Time_Objective

strana 17/67


3

Metodika analýzy rizik

3.1

Předmět analýzy rizik IS

3.1.1

Pro účely analýzy rizik se rozumí

          

  

informačním systémem – systém jako celek, jehož účelem je podpora životního cyklu všech informací (Pojmem informační systém může být nazváno i konkrétní aktivum.), spolehlivostí – vlastnost zajišťující konzistentní zamýšlené chování a jeho výsledky, zbytkovým rizikem – riziko, které zůstává po implementaci ochranných opatření, rizikem – potenciální možnost, že daná hrozba využije zranitelnosti aktiv nebo skupiny aktiv a způsobí tak ztrátu nebo zničení aktiv. Jedná se tedy o souběh několika faktorů v čase, analýzou rizik – proces identifikování bezpečnostních rizik stanovující jejich závažnost a identifikující oblasti vyžadující ochranná opatření, managementem rizik – celkový proces identifikování, kontrolování a eliminování nebo minimalizování nepředvídaných událostí, které mohou ohrozit aktiva, bezpečnostním protiopatřením – praxe, postup nebo mechanismus, který snižuje riziko, hrozbou – potenciální příčina nežádoucího incidentu, který může mít za následek poškození systému nebo organizace, zranitelností – zahrnuje slabé místo aktiva nebo skupiny aktiv, které může být využito hrozbou, modelem IT/IS – vymezení hranic revize (výčtu aktiv) v rámci organizace pro účely analýzy rizik, komponentou – prvek modelu IT/IS (služba), jehož součástí jsou relevantní aktiva (Prostředí informačních a komunikačních technologií a informačních systémů je na základě stanovení hranic revize pro účely analýzy rizik rozděleno na komponenty – je vytvořen tzv. model IT/IS.), aktivem – je všechno, co má pro organizaci nějakou hodnotu a je to třeba chránit. Podrobnější členění informačních aktiv je součást tohoto dokumentu ISO 27002 - Mezinárodní norma - Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací ISO 27005 - Mezinárodní norma - Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací

3.2

Předmět dokumentu

Tato Metodika analýzy rizik IS je interním dokumentem pro vyjmenované pracovníky organizace, který zejména stanovuje metodiku analýzy rizik IS.

3.2.1

Práce s dokumentem

3.2.1.1

Přístup k dokumentu

Oprávnění přístupu k dokumentu mají všichni jmenovaní pracovníci pro odpovídající činnost v rámci organizace. Povinností každého z těchto pracovníků je prostudování dokumentu a bezchybné dodržování veškerých ujednání.

strana 18/67


3.2.1.2

Aktualizace dokumentu

Aktualizace dokumentu je obecně řízena dokumentem Celková bezpečnostní politika. Za přijetí nové úpravy dokumentu je odpovědný Manažer bezpečnosti. Důvodem k aktualizaci je změna podmínek zabezpečení IS, změna vnějších a vnitřních hrozeb, změna, doplnění nebo zrušení aktiv organizace. Změny se musí projevit buďto přímo v Celkové bezpečnostní politice, nebo v přílohách tohoto dokumentu, které se zabývají konkrétními a aktuálně užívanými prostředky. Dalším důvodem změny může být přijetí námětů od pracovníků organizace, závěry bezpečnostního auditu, rozhodnutí Bezpečnostního fóra a další.

3.3

Cíle analýzy rizik

Cílem analýzy rizik je identifikovat aktiva a komponenty (služby a základní procesy a jejich provázanost na jednotlivé organizační celky) organizace, určit jejich hodnotu, identifikovat odpovědné osoby za jejich ochranu. Dalšími cíli jsou:    

identifikovat potenciální hrozby, kterým jsou tato aktiva vystavena, identifikovat zranitelnosti jednotlivých aktiv, identifikovat možná protiopatření, prostřednictvím kterých budeme hrozbám a zranitelnostem čelit, vypočítat míru rizik aktiv a komponent dle postupu níže.

3.4

Metodika řízení bezpečnostních rizik

3.4.1

Cíle řízení rizik

Cílem organizace je minimalizace, případně eliminace rizik v celém rozsahu její činnosti. Organizace si je vědoma faktu, že eliminace rizika není likvidací hrozby, hrozby proto neustále sleduje a vyhodnocuje. Zvláštní pozornost je věnována hrozbám, jejichž projevem by byl skrytý únik citlivých aktiv/dat/informací. Organizace vychází z úvahy, že zjevný únik či zničení citlivého aktiva způsobí poškození dobrého jména organizace. Skrytý únik může znamenat možnost útoku na identitu fyzických a právnických osob, což je zásadním narušením jejich práv. Takový útok znamená také možný zásah do existujících právních vztahů. Proto má zásadní význam personální bezpečnost.

3.4.1.1

Model řízení rizik

Management rizik v organizaci vychází z modelu popsaného v ISO/IEC 27005:2011, Informační technologie Bezpečnostní techniky - Řízení rizik bezpečnosti informací.

strana 19/67


3.4.1.2

Matematická rovnice rizika

Výše uvedený model sice naznačuje směr uvažování o bezpečnostních rizicích, neumožňuje ale provést přesnější analýzu rizika samotného. Organizace proto na tento model navazuje užíváním rovnice rizika, která svou konstrukcí umožňuje provádět analýzu hrozeb pocházejících od subjektů aktivních i pasivních a je užívána bezpečnostními analytiky v euroatlantickém prostoru. Ústřední bod modelu – „riziko“ organizace kvantifikuje primárně jako součin velikosti (mohutnosti) hrozby a předpokládané maximální výše ztráty na ohrožené hodnotě. Základním a obecným tvarem užívané rovnice rizika je formule: hodnota aktiva x hrozba x zranitelnost riziko =

----------------------------- -----------------účinnost protiopatření

kde hrozba není přímo definována, ale jde o nezávisle proměnnou související s aktuální či potenciální činnosti určitého subjektu, vědomě jednajícího i neživého. Zranitelnost je inherentní míra ohrozitelnosti hodnoty. Protiopatření jsou procedury a nástroje, jimiž je omezována zranitelnost hodnoty hodnota je důležitost/cennost chráněného objektu či zájmu. Organizace pro zmenšení velikosti rizika provádí protiopatření (uplatňování personální, fyzické a systémové bezpečnosti), která jsou podrobněji definována v příslušných kapitolách souvisejících dokumentů.

3.4.1.3

Použitý vzorec pro výpočet rizika aktiva

Pro výpočet rizika aktiva je použit upravený vzorec, do kterého je zavedena pravděpodobnost události. hrozba x pravděpodobnost x hodnota aktiva riziko = -----------------------------------------------------účinnost protiopatření Pravděpodobnost je inicializována nějakým průměrem pravděpodobnosti, která vychází z expertního odhadu. Následně je tato pravděpodobnost aktualizována dle analýzy bezpečnostních incidentů.

3.4.1.4

Použitý vzorec pro výpočet rizika komponenty

Do vzorce je zavedena ještě analýza dopadů incidentu (Business Impact Analysis), která navyšuje cenu aktiva definovanou primárně nákladem na její obnovu o důsledky narušení dostupnosti, integrity a důvěrnosti daného aktiva. Dalším proměnou je závislost komponenty na daném aktivu (ZKA).

strana 20/67


(hodnota aktiva + dopad) x úroveň hrozby x pravděpodobnost x ZKA riziko = --------------------------------------------------------------------------------------účinnost protiopatření Analýza dopadů incidentu je uplatňována na komponentách (klíčových procesech/organizačních celcích), kdy je na základě odhadu managementu společnosti vyjádřena škoda vzniklá v důsledku incidentu, který naruší standardní funkčnost komponenty. Závislost komponenty na aktivu vyjadřuje míru nezbytnosti fungování aktiva pro fungování komponenty.

3.4.2

Postup provádění analýzy rizik - RANIT

Organizace zvolila pro realizaci analýzy rizik expertní nástroj RANIT, který vychází z norem ISO/IEC 27005 a ISO/IEC 27002 (protiopatření).

3.4.2.1

Krok 1 - komponenty

Prostředí informačních a komunikačních technologií a informačních systémů (dále též jen IT/IS) je na základě stanovení hranic revize pro účely analýzy rizik rozděleno na komponenty – je vytvořen tzv. model IT/IS. Evidence komponent a určení jejich vlastníků je realizováno prostřednictvím aplikace RANIT. Data evidence komponent jsou součástí databáze aplikace RANIT. Vlastník komponenty: Osoba, která je odpovědná za komponentu v rámci procesu analýzy rizik. Vlastník musí být schopen posuzovat relevantně komponentu, nemusí být fyzickým či organizačním vlastníkem aktiv komponenty. Vlastník komponenty odpovídá zejména za:   

identifikaci všech relevantních aktiv ke komponentě, určení vlastníků aktiv. hodnocení v rámci analýzy dopadů incidentu.

Analýza dopadů incidentu (BIA) Analýza dopadů incidentu (Business Impact Analysis) je hodnocením dopadů bezpečnostních incidentů, které se projeví ztrátou dostupnosti, integrity či důvěrnosti do fungování organizace. Je realizována s využitím aplikace RANIT.

3.4.2.2

Krok 2 - aktiva

V tomto kroku jsou identifikována aktiva dle doporučení normy ISO 27005, jejich příslušnost ke komponentám a jejich vlastníci. Hodnota aktiv je stanovována v relativní stupnici, kde slovně vyjádřená hodnota aktiva je uvedena v následující tabulce. A00 Bez dopadu

strana 21/67


Kód v aplikaci RANIT

Slovní označení

Finanční / slovní vyjádření

A00

Bez dopadu

(nulová hodnota)

A01

Velmi malá

(do 50 tis. Kč)

A02

Malá

(50 tis. Kč - 250 tis. Kč)

A03

Střední

(250 tis. Kč - 1 mil. Kč)

A04

Vysoká

(1 mil. Kč - 10 mil. Kč)

A05

Kritická

(10 mil. Kč - 100 mil. Kč)

Slovní vyjádření typu/kategorizace aktiva je uvedeno v následující tabulce. TA01 DAT-Data/Informace TA02 SW-Software TA03 MD-Elektronické médium TA04 MD-Neelektronické médium TA05 HW-PC/NTB/Tablet/Smartphone TA06 HW-PC/NTB-Terminál TA07 HW-Server TA08 HW-Paměťové zařízení TA09 LAN-Aktivní prvky/Firewall/proxy TA10 LAN-Pevná infrastruktura TA11 PER-Tiskárny/Multifunkce TA12 PER-Fax/telefony TA13 PBX-Telefonní ústředna TA14 LID-Zaměstnanci TA15 OUT-Externí služby TA16 LOK-Budovy/místnosti

Evidence aktiv, určení jejich vlastníků a určení hodnoty aktiva je realizováno prostřednictvím aplikace RANIT. Data evidence aktiv jsou součástí databáze aplikace RANIT.

strana 22/67


Vlastník aktiva: Osoba, která je odpovědná za aktivum v rámci procesu analýzy rizik. Vlastník musí být schopen posuzovat relevantně aktivum, nemusí být fyzickým či organizačním vlastníkem aktiva. Vlastník aktiva odpovídá zejména za:      

ocenění aktiva, odhad hrozeb příslušných k danému aktivu, odhad frekvence hrozeb, odhad zranitelnosti aktiva, identifikaci stávajících protiopatření, odhad účinnosti protiopatření.

3.4.2.3

Krok 3 - hrozby

Hrozby mohou být přírodního nebo lidského původu, a mohou být náhodné nebo úmyslné. Měly by být identifikovány zdroje jak náhodných tak úmyslných hrozeb a měla by být odhadnuta pravděpodobnost jejich výskytu. Podstatné je, aby nebyla přehlédnuta žádná relevantní hrozba, protože by to mohlo mít za následek selhání nebo oslabení bezpečnosti systému IT. Po identifikaci zdroje hrozby (kdo a co bylo příčinou hrozby) a cíle hrozby (tj. které prvky systému mohou být hrozbou ovlivněny), je nutné odhadnout parametry hrozby. Přitom by se mělo přihlédnout k:     

motivaci, vědomým a nutným možnostem, zdrojům, které jsou dostupné pro možné útočníky, atraktivnosti a zranitelnosti aktiv systému IT pro možné útočníky, jako zdroji záměrných hrozeb, možným následkům (dopadům) v případě výskytu hrozby, geografickým faktorům jako je např. blízkost chemických továren nebo továren na zpracování nafty, možnosti extrémních povětrnostních podmínek, faktorům, které by mohly ovlivnit lidské chyby a chybné funkce zařízení, jako zdroji náhodných hrozeb.

Odhad hrozeb a jejich hodnocení je realizováno prostřednictvím aplikace RANIT. Hrozby jsou vybírány z číselníku, který je součástí databáze aplikace RANIT. Číselník je vypracován v souladu se standardem ISO/IEC 27005 a je uveden v následující tabulce.

Kód v

Slovní vyjádření

Úmysl

Náhoda

Vyšší moc /

aplikaci

environ.

RANIT

původ

TH01

Chyba provozu („univerzální hrozba“)

x

TH02

Chyba přenosu

x

TH03

Chyba údržby technického vybavení

x

TH04

Chyba údržby/úpravy programového vybavení

x

TH05

Chybné směrování zpráv

x

TH06

Chyby uživatele

x

x

strana 23/67


TH07

Infiltrace komunikací

x

TH08

Krádež provedená cizími osobami

x

TH09

Krádež provedená identifikovatelnými osobami

x

TH10

Nedostatek zaměstnanců

TH11

Negativní vlivy prostředí

TH12

x

x

x

x

x

Neoprávněné použití aplikačního software

x

x

TH13

Popření

x

TH14

Poškození paměťového média

x

x

x

TH15

Poškození vedení

x

x

x

TH16

Poškození vodou

x

x

x

TH17

Požár

x

x

x

TH18

Předstírání identity uživatele cizími osobami

x

TH19

Předstírání identity uživatele identifikovatelnými osobami

x

TH20

Předstírání identity uživatele smluvními partnery

x

TH21

Přesměrování zpráv

TH22

Přírodní katastrofa

TH23

Selhání aplikačního software

x

x

TH24

Selhání dodávky energie

x

x

TH25

Selhání klimatizace

TH26

Selhání systémového software

TH27

Škodlivý software

TH28

Technické selhání hardware počítačů

TH29

Technické selhání komunikačních služeb

x x x

x x

x x

x

x

(síťových služeb)

x

TH30

Technické selhání periferního zařízení

x

TH31

Technické selhání síťového rozhraní

x

TH32

Technické selhání síťových komponent A

x

TH33

Terorismus, extremismus

x

x

x

strana 24/67


TH34

Úmyslná škoda způsobená cizími osobami

TH35

Úmyslná škoda způsobená identifikovatelnými

x

osobami

x

TH36

Zachycení komunikace

x

TH37

Zneužití systémových zdrojů

3.4.2.4

x

x

x

Úroveň hrozby

Úroveň hrozby pro každé aktivum vyjadřuje „mohutnost“ hrozby, resp. důsledek incidentu způsobeného danou hrozbou ve vztahu k danému aktivu. Úroveň hrozeb je vybírána z číselníku, který je součástí databáze aplikace RANIT. Číselník je uveden v následující tabulce.


Slovní označení

Z01

Nedostupnost 15 min

Z02

Nedostupnost 30 min

Z03

Nedostupnost 1 h

Z04

Nedostupnost 8 h

Z06

Nedostupnost 1 d

Z08

Nedostupnost 1 T +

Z11

Ztráta dat od poslední zálohy

Z12

Úplná ztráta dat

Z13

Prozrazení interním subjektům

Z14

Prozrazení smluvním subjektům

Z15

Prozrazení cizím subjektům

Obsahuje také

Fyzické zničení

Monitorování komunikačního provozu, Z16

Narušení komunikačního provozu

Úmyslná modifikace přenášených zpráv, Vložení falešné zprávy, Popření původu, Popření přijetí

Z17

Z18

Chyby menšího rozsahu v databázi

Chybná posloupnost, Opakování, Chyba

/ v přenosu

směrování, Nedoručení

Chyby širšího rozsahu v databázi /

Chybná posloupnost, Opakování, Chyba

v přenosu

směrování, Nedoručení

strana 25/67


3.4.2.5

Krok 4 - pravděpodobnost

V tomto kroku je nutno provést odhad pravděpodobnosti (frekvence výskytu) hrozeb. Odhad frekvence hrozby je dle typu hrozby proveden na základě zkušeností, statistik, nebo expertního odhadu. Odhad frekvence hrozeb je realizován prostřednictvím aplikace RANIT. Frekvence hrozeb jsou vybírány z číselníku, který je součástí databáze aplikace RANIT. Číselník je uveden v následující tabulce.


Slovní označení

Časové vymezení

F1

Občasná

jednou za více let

F2

Nízká

jednou ročně

F3

Střední

několikrát za rok

F4

Vysoká

několikrát za měsíc

F5

Mimořádně vysoká

několikrát za týden

3.4.2.6

Krok 5 - protiopatření

Ochranná opatření nebo protiopatření jsou praktiky, postupy nebo mechanismy, které mohou poskytnout ochranu před hrozbou, snížit zranitelnost, omezit dopad nežádoucího incidentu, detekovat nežádoucí incidenty a usnadnit obnovu. Účinná bezpečnost obvykle vyžaduje kombinaci různých ochranných opatření, aby poskytla aktivům různé stupně bezpečnosti. Ochranná opatření mohou vykonávat jednu nebo více následujících funkcí: detekci, odstrašovací funkci, prevenci, omezení, korekci, obnovu, monitorování a povědomí o problému. Pro korektně implementovaný bezpečnostní program je podstatný vhodný výběr ochranných opatření. Mnoho ochranných opatření může plnit vícenásobné funkce. Příklady ochranných opatření jsou:        

síťové firewally, monitorování a analýza sítě, šifrování k zajištění důvěrnosti, digitální podpisy, antivirový software, záložní kopie informací, rezervní zdroje energie, mechanismy řízení přístupu.

Součástí hodnocení je jednak identifikace existujících protiopatření, jednak odhad jejich účinnosti jako funkce snižující míru zranitelnosti aktiva. Po dokončení odhadu existuje seznam identifikovaných protiopatření, které mohou ovlivnit (snížit) zranitelnost danou hroznou a míra předpokládané účinnosti protiopatření. Identifikace protiopatření a odhad jejich účinnosti je realizován prostřednictvím aplikace RANIT. Protiopatření a jejich účinnost jsou vybírána z číselníků, které jsou součástí databáze aplikace RANIT. Číselník protiopatření je vypracován dle standardu ISO/IEC 27002, resp. je ekvivalentem kapitol 5 – 15. Číselníky účinnosti protiopatření je uveden v následující tabulce.

strana 26/67



Slovní označení

Vyjádření v %

C1

Nízká

méně než 30%

C2

Částečná

asi 50%

C3

Dobrá

asi 70%

C4

Výborná

asi 90%

C5

Vynikající

téměř 100 %

3.4.2.7

Krok 6 – míra rizika

Míra rizika pro jednotlivé hrozby je kalkulována aplikací RANIT dle výše uvedených vzorců. Míra rizika může být v této aplikaci stanovena jako:   

hrubá míra rizika – počítána bez zohlednění účinnosti protiopatření, aktuální míra rizika – počítána se zohledněním účinnosti stávajících protiopatření, míra rizika v následujícím kroku – počítána se zohledněním účinnosti uvažovaných protiopatření.

Míra rizika aktiva je dána mírou rizika hrozby s nejvyšší hodnotou v rámci daného aktiva. Míra rizika komponenty je dána mírou rizika aktiva, dopadu a závislosti komponenty na aktivu s nejvyšší hodnotou.

3.5

Interpretace rizika

Je zvoleno bodové ohodnocení zbytkového rizika, které dle níže uvedených úrovní rozděleno dle předpokládané závažnosti rizika. Slovní označení

Barevný příznak

Akceptovatelné Nízké Střední Vysoké Kritické

strana 27/67


4

Zpráva z analýzy rizik

Před vlastním provedením analýzy rizik byla projednána Metodika analýzy rizik, která je samostatným dokumentem. Jedná se o vlastní metodiku, která je založena na expertním systému RANIT vycházejícího z normy ISO 27005 s podporou normy ISO 27002 (katalog opatření). V prostředí systému RANIT byla analýza rizik provedena, a tudíž jsou v něm uložena veškerá vstupní (modelování systému, identifikace aktiv, přenesené výsledky záznamů o aplikovaných opatřeních procesních i technických a jejich účinnosti na základě interview se zaměstnanci) i výstupní data. Systém RANIT umožňuje podrobný a komplexní náhled a reportování dat v textové i grafické podobě. Instalace systému RANIT a databáze s těmito daty jsou nedílnou součástí provedené analýzy rizik, která doplňuje tento dokument.

4.1

Analýza rizik by neměla být jednorázový projekt

Tato analýza rizik byla provedena na „zelené louce“ a je tedy třeba k tomuto faktu přihlédnout při posuzování míry přesnosti modelu vzhledem k realitě, tj. k míře přesnosti výsledků, kterých je možné objektivně dosahovat při první analýze a za daných podmínek. U systémového řízení informačních rizik dle ISO 27001 (smyčka P-D-C-A) je vysoké přesnosti dosahováno zejména tím, že se proces analýzy rizik a následné snižování zjištěných neakceptovatelných rizik dlouhodobě opakuje a zpřesňuje. Neznamená to ale, že vypočtené výsledky jsou a priori nepřesné a nemají reálnou vypovídací hodnotu. Pouze chceme zdůraznit nutnost opakování projektu a tím další zhodnocení práce zaměstnanců organizace, kteří tomuto projektu věnovali nemalé množství času a energie. Nejcennějšími daty budou informace o trendu, ne stavu. Dalším důležitým faktem je, že užitý systém odhaluje pouze „špičky ledovců“, což je dáno způsobem identifikace hrozeb, rizik, resp. jejich výpočtu. Tento fakt je ale plně v souladu s tím, jak je dlouhodobý proces managementu rizik chápán v ISMS del norem skupiny ISO 27000. V každém sledovaném období se odhalí největší rizika, které jsou ošetřeny některou z přípustných metod (eliminace, akceptace, přenesení, …) a toto by se mělo projevit v dalším opakování analýzy rizik.

4.2

Předmět analýzy rizik IS

Pro účely analýzy rizik se rozumí • • • • •

zbytkovým rizikem – riziko, které zůstává po implementaci ochranných opatření rizikem – potenciální možnost, že daná hrozba využije zranitelnosti aktiv nebo skupiny aktiv a způsobí tak ztrátu nebo zničení aktiv. Jedná se tedy o souběh několika faktorů v čase analýzou rizik – proces identifikování bezpečnostních rizik stanovující jejich závažnost a identifikující oblasti vyžadující ochranná opatření managementem rizik – celkový proces identifikování, kontrolování a eliminování nebo minimalizování nepředvídaných událostí, které mohou ohrozit aktiva bezpečnostním protiopatřením – praxe, postup nebo mechanismus, který snižuje riziko

strana 28/67


• • • • • • • • •

4.3

hrozbou – potenciální příčina nežádoucího incidentu, který může mít za následek poškození systému nebo organizace zranitelností – zahrnuje slabé místo aktiva nebo skupiny aktiv, které může být využito hrozbou aktivem – je všechno, co má pro organizaci nějakou hodnotu a je to třeba chránit. Podrobnější členění informačních aktiv je součást tohoto dokumentu ISO 27002 - Mezinárodní norma - Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací ISO 27005 - Mezinárodní norma - Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací ISO 25999-1 - Mezinárodní norma - Management kontinuity činností organizace - Část 1: Soubor zásad COBIT 5 – Metodika poskytující byznys pohled na řízení IT, pracuje s tím, že informace i technologie hrají významnou roli při tvorbě přidané hodnoty v roganizaci. ITSM – IT Service Management - Metodika pro řízení IT služeb ITIL – IT Infrastructure Library - sbírka nejlepších zkušeností z oboru ITSM

Předmět dokumentu

Tato Analýzy rizik je interním dokumentem pro vyjmenované pracovníky organizace, který zejména poskytuje hlavní výstupy analýzy rizik včetně doporučení dalších protiopatření pro eliminaci přetrvávajících rizik.

4.4

Práce s dokumentem

4.4.1

Přístup k dokumentu

Oprávnění přístupu k dokumentu mají všichni jmenovaní pracovníci pro odpovídající činnost v rámci organizace. Povinností každého z těchto pracovníků je prostudování dokumentu a bezchybné dodržování veškerých závěrů. Povinností osoby odpovědné za řízení bezpečnosti informací je provádění úvodních a průběžných školení pro jmenované pracovníky o bezpečnostních cílech organizace a organizační jednotky organizace, vyjádřené tímto dokumentem.

4.4.2

Aktualizace dokumentu

Aktualizace dokumentu je obecně řízena dokumentem Celková bezpečnostní politika. Za přijetí nové úpravy dokumentu je vždy odpovědná osoba zodpovědná za řízení bezpečnosti informací. Důvodem k aktualizaci je změna podmínek zabezpečení IS, změna vnějších a vnitřních hrozeb, změna, doplnění nebo zrušení aktiv organizace. Aktualizace tohoto dokumentu se provádí minimálně jedenkrát ročně. Změny se musí projevit buďto přímo v Celkové bezpečnostní politice, nebo v přílohách tohoto dokumentu, které se zabývají konkrétními a aktuálně užívanými prostředky. Dalším důvodem změny může být přijetí námětů od pracovníků organizace, závěry bezpečnostního auditu, rozhodnutí Bezpečnostního fóra a další (viz dokument Celková bezpečnostní politika). Za předložení aktualizovaného návrhu dokumentu je odpovědný

strana 29/67


Bezpečnostní manažer. Schválení aktualizace musí proběhnout na úrovni Bezpečnostního fóra, následně jej schvaluje vedení organizace.

4.4.3

Vstupy analýzy rizik

4.4.3.1

Sběr dat

Vstupní údaje jsou reprezentovány těmito dokumenty: • #

Rozdílová analýza stávající situace u objednatele oproti normou definovaným požadavkům; Název

Dotaz

Je opatření … … neformálně prováděno?

A.5 A.5.1 A.5.1.1

Bezpečnostní politika Bezpečnostní politika informací Dokument bezpečnostní politiky informací

… formalizováno a prováděno dle plánů?

… kontrolováno a zlepšováno?

… plánovano k zavedení?

Existuje nějaká formální dokumentace týkající se bezpečnosti informací a informačních a komunikačních technologií? Obsahuje definici bezpečnosti informací, její cíle, rozsah a její důležitost – mechanizmus umožňující sdílení informací? Obsahuje prohlášení vedení organizace o záměru podporovat cíle a principy bezpečnosti informací? Obsahuje stručný výklad bezpečnostních zásad, principů a norem a požadavky zvláštní důležitosti pro organizaci? Například: 1. dodržování zákonných, regulatorních a smluvních požadavků; 2. požadavky na vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti; 3. zásady plánování kontinuity činností organizace; 4. důsledky porušení bezpečnostních zásad; Obsahuje stanovení obecných a konkrétních odpovědností pro oblast řízení bezpečnosti informací včetně hlášení bezpečnostních incident? Obsahuje odkazy na dokumentaci, která může bezpečnostní politiku podporovat, například na detailnější bezpečnostní politiky a postupy zaměřené na konkrétní informační systémy (systémové bezpečnostní politiky) nebo bezpečnostní pravidla, která by měli uživatelé dodržovat? Je tato dokumentace řízena?

strana 30/67


Kdo je správcem dokumentace? Kdo ji schvaluje?

A.5.1.2

A.6 A.6.1 A.6.1.1

Přezkoumání a aktualizace bezpečnostní politiky informací Organizace bezpečnosti informací Interní organizace Závazek vedení směrem k bezpečnosti informací

A.6.1.2

Koordinace bezpečnosti informací

A.6.1.3

Přidělení odpovědností v oblasti bezpečnosti informací Schvalovací proces prostředků pro zpracování informací Dohody o ochraně důvěrných informací

A.6.1.4

A.6.1.5

Existuje hierarchická struktura vnitřních směrnic, do které politika bezpečnosti informací zapadá? Jak často jsou interní směrnice týkající se bezpečnosti informací aktualizovány?

Existuje formální nebo neformální deklarace o přímé angažovanosti vrcholového vedení na řízení bezpečnosti informací? Jsou jednoznačně vymezeny a přiřazeny role v oblasti bezpečnosti informací? Jsou činnosti v oblasti bezpečnosti informací koordinovány prostřednictvím zástupců různých útvarů z celé organizace? Jsou jednoznačně určeny odpovědnosti konkrétních osob / funkcí v oblasti řízení bezpečnosti informací? Existuje formální proces, kterým se schvaluje používání nových prostředků pro zpracování informací z pohledu bezpečnosti? Existují pravidla pro zajištění ochrany důvěrných informací v rámci interních smluv (např. se zaměstnanci)? Jsou smlouvy obsahující NDA pravidelně přezkoumávány?

A.6.1.6

A.6.1.7

A.6.1.8

A.6.2 A.6.2.1

Kontakt s orgány Jsou zavedeny postupy pro kontakty s veřejné správy orgány veřejné správy? (policie, hasiči, záchranná služba, státní správa (kvůli shodě s legislativou)….) Kontakt se Jsou udržovány kontakty v rámci zájmovými "zájmových skupin" (např. setkávání skupinami CIO / vedoucích pracovníků oddělení informatiky v rámci skupiny příbuzných/sesterských organizací), které se mohou týkat řízení bezpečnosti informací? Nezávislá Je řízení bezpečnosti informací přezkoumání (pravidelně / nepravidelně) nezávisle bezpečnosti přezkoumáváno (někým mimo proces informací řízení bezpečnosti)? Externí subjekty Identifikace rizik Provádí se identifikace rizik a plynoucích z implementace opatření v rámci přístupu spolupráce s externími subjekty? externích subjektů

strana 31/67


A.6.2.2 A.6.2.3

A.7 A.7.1

Bezpečnostní požadavky pro přístup klientů Bezpečnostní požadavky v dohodách se třetí stranou Řízení aktiv

Jsou definovány bezpečnostní požadavky na přístup klientů k aktivům organizace? Existují pravidla pro zajištění ochrany důvěrných informací v rámci smluv s externími subjekty?

A.7.1.1

Odpovědnost za aktiva Evidence aktiv

A.7.1.2

Vlastnictví aktiv

A.7.1.3

Přípustné použití Jsou u aktiv definována pravidla pro aktiv jejich přípustné použití?

A.7.2

Klasifikace informací Doporučení pro klasifikaci

A.7.2.1 A.7.2.2 A.8 A.8.1 A.8.1.1

Označování a nakládání s informacemi Bezpečnost lidských zdrojů Před vznikem pracovního vztahu Role a odpovědnosti

A.8.1.2

Prověřování

A.8.1.3

Podmínky výkonu pracovní činnosti

A.8.2

Během pracovního vztahu Odpovědnosti vedoucích zaměstnanců Informovanost, vzdělávání a školení v oblasti bezpečnosti informací Disciplinární řízení

A.8.2.1 A.8.2.2

A.8.2.3 A.8.3

Je udržován aktuální seznam aktiv organizace? Mají aktiva přiřazena konkrétní vlastníky (osoby/funkce zodpovědné za aktiva)?

Jsou informace klasifikovány s ohledem na jejich hodnotu / právní požadavky / citlivost / kritičnost? Jsou definovány postupy pro označování informací?

Jsou stanoveny a zdokumentovány role a odpovědnosti zaměstnanců, smluvních a třetích stran v souladu s bezpečnostní politikou organizace? Jsou uchazeči o zaměstnání prověřování dle požadavků stanovených organizací, dále s ohledem na klasifikaci informací, ke kterým by měli získat přístup, ale také z hlediska spolehlivosti a potencionálních rizik? Obsahují pracovní smlouvy uzavřené se zaměstnanci, smluvními a třetími stranami ustanovení o jejich odpovědnosti za bezpečnost informací?

Vynucují vedoucí zaměstnanci dodržování bezpečnostních politik u svých podřízených? Jsou všichni zaměstnanci pravidelně vzděláváni v oblasti bezpečnosti informací? Existují pravidla pro formální disciplinární řízení vůči zaměstnancům, kteří dopustili narušení bezpečnosti?

Ukončení nebo změna pracovního vztahu

strana 32/67


A.8.3.1

Odpovědnosti při ukončení pracovního vztahu

A.8.3.2

Navrácení zapůjčených prostředků

A.8.3.3

Odebrání přístupových práv

A.9

Fyzická bezpečnost a bezpečnost prostředí Zabezpečené oblasti Fyzický bezpečnostní perimetr

A.9.1 A.9.1.1

A.9.1.2

Fyzické kontroly vstupu osob

A.9.1.3

Zabezpečení kanceláří, místností a prostředků Ochrana před hrozbami vnějšku a prostředí

A.9.1.4

A.9.1.5 A.9.1.6

A.9.2 A.9.2.1

A.9.2.2

Práce v zabezpečených oblastech Veřejný přístup, prostory pro nakládku a vykládku

Bezpečnost zařízení Umístění zařízení a jeho ochrana

Podpůrná zařízení

Jsou ve smlouvách uzavřených se zaměstnanci, smluvními a třetími stranami obsaženy odpovědnosti a povinnosti platné i po skončení pracovního vztahu? Je zajištěno, že při ukončení pracovního vztahu musí zaměstnanci, pracovníci smluvních a třetích stran odevzdat veškeré jim svěřené předměty, které jsou majetkem organizace? Je zajištěno, že při ukončení pracovního vztahu musí být uživatelům, smluvním a třetím stranám odejmuta nebo pozměněna přístupová práva k informacím a prostředkům pro zpracování informací?

Jsou v prostorách, ve kterých se nacházejí informace nebo prostředky pro zpracování informací používány bezpečnostní perimetry (bariéry jako například zdi, vstupní turniket na karty nebo recepce)? Je zajištěno, že je přístup do zabezpečených oblastí (oblasti s nadstandardní potřebou zabezpečení) povolen pouze oprávněným osobám? Jsou tyto oblasti chráněny vhodným systémem kontrol vstupu? Je aplikováno zabezpečení kanceláří, místností, zařízení? Jsou navrženy a aplikovány prvky fyzické ochrany proti škodám způsobených požárem, povodní, zemětřesením, výbuchem, civilními nepokoji a jinými přírodními nebo lidmi zapříčiněnými katastrofami? Jsou pro práci v zabezpečených oblastech navrženy a aplikovány prvky fyzické ochrany? Jsou prostory pro nakládku a vykládku a další místa, kudy se mohou neoprávněné osoby dostat do prostor organizace, kontrolována a pokud možno izolována od prostředků pro zpracování informací tak, aby se zabránilo neoprávněnému přístupu?

Jsou zařízení pro zpracování informací umístěna a chráněna tak, aby se snížila rizika hrozeb a nebezpečí daná prostředím a aby se omezily příležitosti pro neoprávněný přístup? Jsou zařízení pro zpracování informací umístěna přiměřeně chráněna podpůrnými prostředky (UPS, klimatizace, generátor, …)?

strana 33/67


A.9.2.3

Bezpečnost kabelových rozvodů

A.9.2.4

Údržba zařízení

A.9.2.5

Bezpečnost zařízení mimo prostory organizace Bezpečná likvidace nebo opakované použití zařízení

Jsou zařízení používaná mimo prostory organizace zabezpečena s přihlédnutím k různým rizikům, vyplývajících z jejich použití mimo organizaci? Jsou zařízení obsahující paměťová média kontrolována tak, aby bylo možné zajistit, že před jejich likvidací nebo opakovaným použitím budou citlivá data a licencované programové vybavení odstraněny nebo přepsány?

A.9.2.7

Přemístění majetku

Podléhá přemístění zařízení, informací nebo programového vybavení schválení?

A.10

Řízení komunikací a řízení provozu Provozní postupy a odpovědnosti Dokumentace provozních postupů Řízení změn

A.9.2.6

A.10.1 A.10.1.1 A.10.1.2 A.10.1.3

Oddělení povinností

A.10.1.4

Oddělení vývoje, testování a provozu

A.10.2

Řízení dodávek služeb třetích stran Dodávky služeb

A.10.2.1

A.10.2.2

A.10.2.3

A.10.3 A.10.3.1

Monitorování a přezkoumávání služeb třetích stran Řízení změn služeb poskytovaných třetími stranami Plánování a přejímání systémů Řízení kapacit

Jsou silové a telekomunikační kabelové rozvody, které jsou určeny pro přenos dat a podporu informačních služeb chráněny před poškozením či odposlechem? Jsou zařízení správně udržována pro zajištění jeho dostupnosti a integrity?

Jsou provozní postupy zdokumentovány, udržovány a dostupné všem uživatelům dle potřeby? Jsou změny ve vybavení a prostředcích pro zpracování informacemi řízeny? Je zvažováno oddělení jednotlivých povinností a odpovědností pro snížení příležitostí k neoprávněné modifikaci nebo zneužití aktiv organizace? Je zvažováno oddělení procesů vývoje, testování a provozu pro snížení rizika neoprávněného přístupu k provozním systémům a nebo jeho změn?

Je zajištěno, aby úroveň služeb týkajících se bezpečnosti informací poskytovaných třetí stranou byla v souladu se smluvními podmínkami? Jsou služby, zprávy a záznamy poskytované třetí stranou monitorovány a pravidelně přezkoumávány? Jsou změny v poskytování služeb třetími stranami řízeny?

Je pro zajištění požadovaného výkonu informačního systému, s ohledem na budoucí kapacitní požadavky, monitorováno, nastaveno a projektováno využití zdrojů?

strana 34/67


A.10.3.2

Přejímání systémů

A.10.4

Ochrana proti škodlivým programům a mobilním kódům Opatření na ochranu proti škodlivým programům

A.10.4.1

A.10.4.2

Opatření na ochranu proti mobilním kódům

A.10.5

Zálohování

A.10.5.1

Zálohování informací

A.10.6

Správa bezpečnosti sítě Síťová opatření

A.10.6.1

A.10.6.2

Bezpečnost síťových služeb

A.10.7

Bezpečnost při zacházení s médii Správa výměnných počítačových médií Likvidace médií

A.10.7.1

A.10.7.2 A.10.7.3

Postupy pro manipulaci s informacemi

A.10.7.4

Bezpečnost systémové dokumentace Výměna informací

A.10.8

Jsou nastavena kritéria pro přejímání nových informačních systémů, jejich aktualizaci a zavádění nových verzí a vhodný způsob testování systému v průběhu vývoje a před zavedením do ostrého provozu?

Jsou na ochranu proti škodlivým programům a nepovoleným mobilním kódům implementována opatření na jejich detekci, prevenci a nápravu a zvyšováno odpovídající bezpečnostní povědomí uživatelů? Je použití povolených mobilních kódů (např. middleware) nastaveno v souladu s bezpečnostní politikou? Je zabráněno spuštění nepovolených mobilních kódů?

Jsou záložní kopie důležitých informací a programového vybavení organizace pořizovány a testovány v pravidelných intervalech?

Je pro zajištění ochrany před možnými hrozbami, pro zaručení bezpečnosti systémů a aplikací využívajících sítí a pro zajištění bezpečnosti informací při přenosu počítačové sítě vhodným způsobem spravovány a kontrolovány? Jsou identifikovány a do dohod o poskytování síťových služeb zahrnuty bezpečnostní prvky, úroveň poskytovaných služeb a požadavky na správu všech síťových služeb a to jak v případech, kdy jsou tyto služby zajišťovány interně, tak i v případech, kdy jsou zajišťovány cestou outsourcingu?

Jsou vytvořeny postupy pro správu vyměnitelných počítačových médií? Jestliže jsou média dále provozně neupotřebitelná, jsou bezpečně a spolehlivě zlikvidována? Jsou pro zabránění neautorizovanému přístupu nebo zneužití informací stanovena pravidla pro manipulaci s nimi a jejich ukládání na vyměnitelná počítačová média? Je systémová dokumentace chráněna proti neoprávněnému přístupu?

strana 35/67


A.10.8.1

Postupy při výměně informací a programů

Jsou ustanoveny a do praxe zavedeny formální postupy, politiky a opatření na ochranu informací při jejich výměně pro všechny typy používaných komunikačních zařízení?

A.10.8.2

Dohody o výměně informací a programů Bezpečnost médií při přepravě

Je výměna informací a programů mezi organizací a externími subjekty založena na uzavřených dohodách?

A.10.8.3

A.10.8.4

Elektronické zasílání zpráv

A.10.8.5

Informační systémy organizace

A.10.9

Služby elektronického obchodu Elektronický obchod

A.10.9.1

A.10.9.2

On-line transakce

A.10.9.3

Veřejně přístupné informace Monitorování

A.10.10 A.10.10.1

A.10.10.2

A.10.10.3

A.10.10.4 A.10.10.5

Jsou média obsahující informace během přepravy mimo organizaci chráněna proti neoprávněnému přístupu, zneužití nebo narušení? Jsou elektronicky přenášené informace vhodným způsobem chráněny? Je na ochranu informací v propojených podnikových systémech vytvořena a do praxe zavedena politika a odpovídající směrnice?

Jsou informace přenášené ve veřejných sítích v rámci elektronického obchodování chráněny před podvodnými aktivitami, před zpochybňováním smluv, prozrazením či modifikací? Je zajištěna ochrana informací přenášených při on-line transakcích tak, aby byl zajištěn úplný přenos informací a zamezilo se špatnému směrování, neoprávněné změně práv, neoprávněnému prozrazení, neoprávněné duplikaci nebo opakování zpráv? Jsou informace publikované na veřejně přístupných systémech chráněny proti neoprávněné modifikaci?

Pořizování auditních záznamů

Jsou auditní záznamy, obsahující chybová hlášení a jiné bezpečnostně významné události, pořizovány a uchovávány po stanovené období tak, aby se daly použít pro budoucí vyšetřování a pro účely monitorování řízení přístupu? Monitorování Jsou stanovena pravidla pro používání monitorování použití prostředků pro systému zpracování informací? Jsou výsledky těchto monitorování pravidelně přezkoumávány? Ochrana Jsou prostředky pro zaznamenávání vytvořených informací a vytvořené záznamy musí být záznamů vhodným způsobem chráněny proti neoprávněnému přístupu a zfalšování? Administrátorský Jsou aktivity správce systému a a operátorský systémového operátora deník zaznamenávány? Záznam selhání Jsou zaznamenány a analyzovány chyby systémů pro zpracování nebo výměnu informací a prováděna opatření k nápravě?

strana 36/67


A.10.10.6

Synchronizace hodin

A.11

Řízení přístupu

A.11.1

Požadavky na řízení přístupu Politika řízení přístupu

A.11.1.1

A.11.2 A.11.2.1

A.11.2.2 A.11.2.3 A.11.2.4

A.11.3 A.11.3.1

A.11.3.2 A.11.3.3

A.11.4 A.11.4.1

A.11.4.2 A.11.4.3

A.11.4.4

A.11.4.5

Řízení přístupu uživatelů Registrace uživatele

Řízení privilegovaného přístupu Správa uživatelských hesel Přezkoumání přístupových práv uživatelů Odpovědnosti uživatelů Používání hesel

Neobsluhovaná uživatelská zařízení Zásada prázdného stolu a prázdné obrazovky monitoru Řízení přístupu k síti Politika užívání síťových služeb Autentizace uživatele pro externí připojení Identifikace zařízení v sítích Ochrana portů pro vzdálenou diagnostiku a konfiguraci Princip oddělení v sítích

Jsou hodiny všech důležitých systémů pro zpracování informací v rámci organizace nebo domény synchronizovány se schváleným zdrojem přesného času?

Je vytvořena, dokumentována a v závislosti na aktuálních bezpečnostních požadavcích přezkoumávána politika řízení přístupu k aktivům organizace?

Existuje postup pro formální registraci uživatele včetně jejího zrušení, který zajistí autorizovaný přístup ke všem víceuživatelským informačním systémům a službám? Je přidělování a používání privilegií omezeno a řízeno? Je přidělování hesel řízeno formálním procesem? Provádí vedení organizace v pravidelných intervalech formální přezkoumání přístupových práv uživatelů?

Je při výběru a používání hesel po uživatelích požadováno, aby dodržovali stanovené bezpečnostní postupy? Jsou uživatelé povinni zajistit přiměřenou ochranu neobsluhovaných zařízení? Je přijata zásada prázdného stolu ve vztahu k dokumentům a vyměnitelným médiím a zásada prázdné obrazovky monitoru u prostředků pro zpracování informací?

Je zajištěno, že uživatelé mají přímý přístup pouze k těm síťovým službám, pro jejichž použití byli zvlášť oprávněni? Podléhá přístup vzdálených uživatelů autentizaci? Je pro autentizaci připojení z vybraných lokalit a připojení přenosných zařízení v síti zváženo použití automatické identifikace zařízení? Je bezpečně řízen fyzický i logický přístup k diagnostickým a konfiguračním portům? Jsou skupiny informačních služeb, uživatelů a informačních systémů v sítích odděleny?

strana 37/67


A.11.4.6

Řízení síťových spojení

A.11.4.7

Řízení směrování Je zavedeno řízení směrování sítě pro sítě zajišťování toho, aby počítačová spojení a informační toky nenarušovaly politiku řízení přístupu aplikací organizace? Řízení přístupu k operačnímu systému Bezpečné Je přístup k operačnímu systému řízen postupy postupy bezpečného přihlášení? přihlášení Identifikace a Mají všichni uživatelé pro výhradní autentizace osobní použití jedinečný identifikátor uživatelů (uživatelské ID)? Je zvolen vhodný způsob autentizace k ověření jejich identity? Systém správy Je systém správy hesel interaktivní a hesel zajišťuje použití kvalitních hesel?

A.11.5 A.11.5.1 A.11.5.2

A.11.5.3 A.11.5.4

Použití systémových nástrojů

A.11.5.5

Časové omezení relace

A.11.5.6

Časové omezení spojení

A.11.6

Řízení přístupu k aplikacím a informacím Omezení přístupu k informacím

A.11.6.1

A.11.6.2 A.11.7

A.11.7.1

A.11.7.2 A.12

A.12.1

Oddělení citlivých systémů Mobilní výpočetní zařízení a práce na dálku Mobilní výpočetní zařízení a sdělovací technika Práce na dálku

Jsou omezeny možnosti připojení uživatelů u sdílených sítí, zejména těch, které přesahují hranice organizace? Je omezení v souladu s politikou řízení přístupu a s požadavky aplikací?

Je omezeno a přísně kontrolováno použití systémových nástrojů, které jsou schopné překonat systémové nebo aplikační kontroly? Jsou neaktivní relace po stanovené době nečinnosti ukončeny? Je u rizikových aplikací pro zajištění dodatečné bezpečnosti použito omezení doby spojení?

Mají uživatelé aplikačních systémů, včetně pracovníků podpory, přístup k informacím a funkcím aplikačních systémů omezen v souladu s definovanou politikou řízení přístupu? Mají citlivé aplikační systémy oddělené (izolované) počítačové prostředí?

Jsou ustanovena formální pravidla a přijata opatření na ochranu proti rizikům použití mobilních výpočetních a komunikačních zařízení? Jsou organizací vytvořeny a do praxe zavedeny zásady, operativní plány a postupy pro práci na dálku?

Akvizice, vývoj a údržba informačních systémů Bezpečnostní požadavky informačních systémů

strana 38/67


A.12.1.1

Analýza a specifikace bezpečnostních požadavků Správné zpracování v aplikacích Validace vstupních dat

Obsahují požadavky organizace na nové informační systémy nebo na rozšíření existujících systémů také požadavky na bezpečnostní opatření?

A.12.2.2

Kontrola vnitřního zpracování

Je zváženo začlenění kontroly platnosti dat pro detekci jakéhokoliv poškození nebo modifikace informací vzniklého chybami při zpracování nebo úmyslnými zásahy?

A.12.2.3

Integrita zpráv

A.12.2.4

Validace výstupních dat

Jsou u jednotlivých aplikací stanoveny bezpečnostní požadavky na zajištění autentizace a integrity zpráv a dle potřeby určena a zavedena vhodná opatření? Provádí se ověření platnosti výstupních dat pro zajištění toho, že zpracování uložených informací je bezchybné a odpovídající dané situaci?

A.12.3

Kryptografická opatření Politika pro použití kryptografických opatření Správa klíčů

A.12.2 A.12.2.1

A.12.3.1

A.12.3.2 A.12.4 A.12.4.1

A.12.4.2

A.12.4.3 A.12.5 A.12.5.1 A.12.5.2

A.12.5.3 A.12.5.4

Bezpečnost systémových souborů Správa provozního programového vybavení Ochrana systémových testovacích údajů Řízení přístupu ke knihovně zdrojových kódů Bezpečnost procesů vývoje a podpory Postupy řízení změn Technické přezkoumání aplikací po změnách operačního systému Omezení změn programových balíků Únik informací

Jsou vstupní data aplikací kontrolována z hlediska správnosti a adekvátnosti?

Jsou vytvořena a zavedena pravidla pro používání kryptografických opatření na ochranu informací? Existuje na podporu používání kryptografických technik systém správy klíčů?

Jsou zavedeny postupy kontroly instalace programového vybavení na provozních systémech? Jsou testovací data musí být pečlivě vybrána, chráněna a kontrolována? Je omezen přístup ke knihovně zdrojových kódů?

Jsou zavedeny formální postupy řízení změn? Jsou v případě změny operačního systému přezkoumány a otestovány kritické aplikace, aby bylo zajištěno, že změny nemají nepříznivý dopad na provoz nebo bezpečnost informace? Jsou modifikace programových balíků omezeny pouze na nezbytné změny? Jsou tyto změny řízeny? Jsou aplikována opatření pro zamezení úniku informací?

strana 39/67


A.12.5.5

A.12.6 A.12.6.1

A.13 A.13.1 A.13.1.1 A.13.1.2

A.13.2

A.13.2.1

Programové vybavení vyvíjené externím dodavatelem Řízení technických zranitelností Řízení, správa a kontrola technických zranitelností

Zvládání bezpečnostních incidentů Hlášení bezpečnostních událostí a slabin Hlášení bezpečnostních událostí Hlášení bezpečnostních slabin

Zvládání bezpečnostních incidentů a kroky k nápravě Odpovědnosti a postupy

A.13.2.2

Ponaučení z bezpečnostních incidentů

A.13.2.3

Shromažďování důkazů

A.14

Řízení kontinuity činností organizace Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací Zahrnutí bezpečnosti informací do procesu řízení kontinuity

A.14.1

A.14.1.1

Je vývoj programového vybavení externím dodavatelem organizací dohlížen a monitorován?

Je zajištěno včasné získání informace o existenci technické zranitelnosti v provozovaném informačním systému, vyhodnocena úroveň ohrožení organizace vůči této zranitelnosti a přijata příslušná opatření na pokrytí souvisejících rizik?

Jsou bezpečnostní události hlášeny příslušnými řídícími cestami tak rychle, jak je to jen možné? Jsou všichni zaměstnanci, smluvní strany a další nespecifikovaní uživatelé informačního systému a služeb povinni zaznamenat a hlásit jakékoliv bezpečnostní slabiny nebo podezření na bezpečnostní slabiny systémech nebo službách?

Jsou pro zajištění rychlé, účinné a systematické reakce na bezpečnostní incidenty zavedeny odpovědnosti a postupy pro zvládání bezpečnostních incidentů? Existují mechanizmy, které by umožňovaly kvantifikovat a monitorovat typy, rozsah a náklady bezpečnostních incidentů? Jsou v případech, kdy vyústění bezpečnostního incidentu směřuje k právnímu řízení (dle práva občanského nebo trestního) vůči osobě nebo organizaci sbírány, uchovávány a soudu předkládány v důkazy?

Existuje v rámci organizace řízený proces pro rozvoj a udržování kontinuity činností organizace, který zahrnuje i informační bezpečnost?

strana 40/67


činností organizace A.14.1.2

Kontinuita činností organizace a hodnocení rizik

Jsou pravidelně identifikovány možné příčiny přerušení činností organizace, včetně jejich pravděpodobnosti, velikosti dopadu a možných následků na bezpečnost informací?

A.14.1.3

Vytváření a implementace plánů kontinuity

A.14.1.4

Systém plánování kontinuity činností organizace Testování, udržování a přezkoumávání plánů kontinuity Soulad s požadavky Soulad s právními normami Identifikace odpovídajících předpisů

Jsou pro udržení nebo obnovení provozních činností organizace po přerušení nebo selhání kritických procesů a pro zajištění dostupnosti informací v požadovaném čase a na požadovanou úroveň vytvořeny plány kontinuity? Existuje jednotný systém plánů kontinuity činností organizace pro zajištění konzistentnosti plánů a pro určení priorit testování a údržby?

A.14.1.5

A.15 A.15.1 A.15.1.1

A.15.1.2

Ochrana duševního vlastnictví

A.15.1.3

Ochrana záznamů organizace

A.15.1.4

Ochrana dat a soukromí osobních informací Prevence zneužití prostředků pro zpracování informací Regulace kryptografických opatření Soulad s bezpečnostními politikami,

A.15.1.5

A.15.1.6 A.15.2

Jsou plány kontinuity činností pravidelně testovány a aktualizovány, aby se zajistila jejich aktuálnost a efektivnost?

Jsou pro každý informační systém jednoznačně definovány, zdokumentovány a udržovány aktuální veškeré relevantní zákonné, podzákonné, smluvní a interní požadavky a způsob jakým je organizace dodržuje? Jsou zavedeny vhodné postupy pro zajištění souladu se zákonnými, podzákonnými a smluvními požadavky na použití materiálů a aplikačního programového vybavení, které mohou být chráněny zákony na ochranu duševního vlastnictví? Jsou důležité záznamy organizace chráněny proti ztrátě, zničení a padělání a to v souladu se zákonnými, podzákonnými a smluvními požadavky a požadavky organizace? Je zajištěna ochrana osobních údajů a soukromí v souladu s odpovídající legislativou, předpisy a pokud je to relevantní, se smlouvami? Je zakázáno používat prostředky pro zpracování informací jiným než autorizovaným způsobem? Jsou kryptografická opatření musí být používána v souladu s příslušnými úmluvami, zákony a předpisy?

strana 41/67


normami a technická shoda A.15.2.1

Shoda s bezpečnostními politikami a normami

Jsou vedoucí zaměstnanci povinni zajistit, aby všechny bezpečnostní postupy v rozsahu jejich odpovědnosti byly prováděny správně, v souladu s bezpečnostními politikami a normami?

A.15.2.2

Kontrola technické shody

Jsou informační systémy pravidelně kontrolovány, zda jsou v souladu s bezpečnostními politikami a standardy?

A.15.3

Hlediska auditu informačních systémů Opatření k auditu informačních systémů

A.15.3.1

A.15.3.2

Ochrana nástrojů pro audit informačních systémů

Jsou požadavky auditu a činností zahrnující kontrolu provozních systémů pečlivě naplánovány a schváleny, aby se minimalizovalo riziko narušení činností organizace? Je přístup k nástrojům určeným pro audit informačních systémů chráněn, aby se předešlo jejich možnému zneužití nebo ohrožení?

Zdroj: ČSN ISO/IEC 27001/2006

•

Popis technické infrastruktury

Dotaz:

Stručná odpověď / popis stavu a plánu změn



je aktuálně zavedena segmentace sítě dle rizikovosti jednotlivých oblastí (např.: LAN, WAN, int DMZ, ext DMZ, VPN, WiFi, …), pokud ANO, tak ji blíže popište např. formou výkladu – používáme VPN, používáme firewall CISCO ASA, používáme routery CISCO, používáme šifrování pomocí IPSEC, používáme IPS/IDS atd.



jaká technologie je využita jako perimetrový firewall o



pokud se jedná o UTM řešení, uveďte, zda v rámci tohoto firewallu využíváte i bezpečnostní moduly (např.: IPS, URL filtrace, AntiMalware, Detekce aplikací, AntiSpam, …)

způsoby propojení centrály s jednotlivými pobočkami/lokalitami (definujte způsob zabezpečení přenosu mezi centrálou a pobočkami/lokalitami)

strana 42/67


o

jsou veškeré systémy dostupné pouze z centrály případně datových center, nebo naopak pobočky/lokality musí být funkční i v případě výpadku WAN propoje, z toho důvodu jsou některé systémy dostupné přímo na pobočkách 

o







strategie do budoucna v tomto ohledu

provázání poboček/lokalit s centrálou/datovým centrem 

pomocí IPsec



formou MPLS poskytované providerem datových služeb



jinou formou (prosím uveďte)

uveďte aplikace/služby dostupné z internetu (např.: web organizace, portály pro výměnu dat, vzdálené přístupy uživatelů) o

stávající zabezpečení těchto aplikací (IPS, WAF (Web Application Firewall), DoS/DDoS, jednorázová hesla, certifikáty,…))

o

u každé z aplikací uveďte, zda je dostupná z celého internetu, nebo pouze z definovaných IP adres

emailová komunikace o

jaká technologie je využita pro kontrolu emailové komunikace (např.: AntiSpam, DLP (Data Loss Prevention,), AntiMalware)

o

jaké využíváte protokoly pro emailovou komunikaci (např.: SMTP/S, POP3/S, IMAP/S, MAPI, … )

o

jaký využíváte poštovní server (MS Exchange, OpenSource SMTP server, ….)

o

mohou uživatelé přijímat/odesílat emailovou komunikaci mimo interní poštovní server

přístup uživatelů k internetu o

jaké služby a aplikace uživatelé využívají směrem do internetu (např.: HTTP, HTTPS, ICQ, Skype, RDP, FTP, …)

o

jsou integrované nějaké bezpečnostní technologie pro webovou komunikaci (např.: proxy, URL filtrace, AntiMalware, SSL skener, DLP (Data Loss Prevention), …), pokud ANO, uveďte jaké

strana 43/67




využíváte v rámci organizace WiFi (pokud ANO, na jaké technologii, a jaké služby jsou z WiFi dostupné, zda pouze internet nebo i interní služby/aplikace)



je v rámci stávající IT infrastruktury implementována Active Directory, nebo jiná adresářová služba?

Definujte zásady práce s koncovými zařízeními: 

pokud pořizujete novou pracovní stanici/notebook, vycházíte z nějakého připraveného firemního image, nebo vždy instalujete čistý OS a následně konkrétní aplikace



máte v rámci organizace jasně definované, jaké aplikace mohou uživatelé na pracovních stanicích využívat (např.: Word, Excel, Outlook, Internet Explorer, Informační systém, VPN, …)



nebo mají uživatelé na pracovních stanicích administrátorská práva a každá pracovní stanice/notebook je z pohledu aplikací/konfigurace specifická



pracují uživatelé s klasifikovanými nebo jinak „citlivými“ daty o

pokud ANO, kde se tato data vyskytují (např.: síťová úložiště, pevné disky na stanicích/noteboocích, informační systémy, mobilní zařízení (např.: chytré telefony a tablety na platformě Android, iOS, Windows Phone, …))

o

existuje klasifikace těchto dat s příslušnou politikou jak s těmito daty zacházet

o

jsou implementovány technologie pro monitoring pohybu těchto citlivých dat a možností zabránění zcizení těchto dat (ukládání na USB flash, tisk na síťových tiskárnách atd.), pokud ANO, uveďte jaké

o

jsou tato citlivá data šifrována, pokud ANO, uveďte jakou formou

o

jsou koncové body, kde se tato citlivá data vyskytují pokryty technologií pro vzdálené smazání dat v případě zcizení koncového bodu (např.: technologie Anti-Theft)



jakým způsobem se uživatelé autentizují v rámci organizace (např.: statické heslo, certifikát, jednorázové heslo, …)



je integrován systém pro řízení fyzických přístupů (např.: čtečky na dveřích (kanceláře, serverovny, …), vjezd do garáží, …)

strana 44/67




jaké bezpečnostní technologie jsou aktuálně využívány na koncových stanicích/noteboocích (např.: Antivir, AntiMalware, IPS, FW, URL filter, Šifrování, DLP (Data Loss Prevention), NAC, ...)



jaké bezpečnostní technologie jsou aktuálně využívány na mobilních zařízeních (chytré telefony a tablety na platformě Android, iOS, Windows Phone, …)



jaké platformy využíváte pro desktopy/notebooky (např.: Windows 7,8, Mac OS X, Linux, …)



jaké platformy využíváte pro mobilní zařízení (např.: Andriod, iOS, Windows Phone, …)

Definujte zásady práce se servery: 

jaké bezpečnostní technologie jsou aktuálně využívány na serverech (např.: AntiMalware, IPS, FW, URL filter, Šifrování, DLP (Data Loss Prevention), NAC, Application Control, ...)



pokud pořizujete nový server, vycházíte z nějakého připraveného firemního image, nebo vždy instalujete čistý OS a následně konkrétní aplikace



jaké platformy využíváte pro servery (např.: Windows Server, RHEL, AIX, Solaris, Linux, …)



virtualizace o

o

využití virtualizace pro servery (ANO/NE, pokud ANO, na jaké platformě [např.: VMware, Hyper-V, …]) 

jaký je aktuálně poměr mezi fyzickými a virtuálními servery (jaká je strategie do budoucna)



jsou v rámci stávající virtualizace integrovány nějaké bezpečnostní technologie (offload AntiMalware, IPS, FW, Application control, …)

využití virtualizace pro desktopy (ANO/NE, pokud ANO, na jaké platformě [např.: VMware, Hyper-V, …]) 

jaký je aktuálně poměr mezi fyzickými a virtuálními desktopy (jaká je strategie do budoucna)



jsou v rámci stávající virtualizace integrovány nějaké bezpečnostní technologie (např.: offload AntiMalware, IPS, FW, Application control, …)

strana 45/67




jsou aktuálně využity nějaké technologie na sběr, filtrování a vyhodnocení logů ze všech systémů (pokud ANO, uveďte jaká technologie je využita). Je zajištěno odesílání logů mimo místo pořízení.



kolik má aktuálně organizace uživatelů: o



kolik má aktuálně organizace pracovních stanic: o



výhled na 3 roky:

kolik má aktuálně organizace fyzických a virtuálních serverů: o



výhled na 3 roky:

kolik má aktuálně organizace mobilních zařízení (chytré telefony a tablety na platformě Android, iOS, Windows Phone, …): o



výhled na 3 roky:

výhled na 3 roky:

kolik IT administrátorů se aktuálně o celou infrastrukturu stará: o

výhled na 3 roky:



mají IT administrátoři aktuálně definované role (podpora koncovým uživatelům, správce serverů, správce sítě, správce bezpečnostních technologií, …)



je řešena podpora koncových uživatelů formou HelpDesku nebo ServiceDesku



plánujete nebo máte pozici bezpečnostního manažera



o

pokud ne, kdo (funkce) je zodpovědný za řízení bezpečnosti informací:

o

předběžný termín zřízení a obsazení této pozice:

je některá z IT oblastí aktuálně pokryta outsourcingem (pokud ANO, uveďte konkrétní oblast IT, případně řešení) o



veškeré systémy provozujete v rámci centrály nebo máte pronajaté datové centrum o



výhled na 3 roky:

využíváte aktuálně plnou zálohou datového centra, ať již v rámci některé z poboček nebo pronajatého datového centra v jiné lokalitě o



výhled na 3 roky:

výhled na 3 roky:

poskytnutí stávající topologie pokud je k dispozici

strana 46/67




jaký je roční rozpočet pro oblast bezpečnosti IT a celkový rozpočet na IT



uveďte z vašeho pohledu podstatné body, které tento dotazník nepokrývá a považujete je z pohledu auditu bezpečnosti IT za důležité



jaké priority v oblasti IT nebo IT projekty v současnosti řešíte nebo plánujete.

•

Incidenty Typ

Hrozba

Stručný popis incidentů Datum

Popis

Zdroj

Kvantifikace Popis

N – náhodný

škody a

přijatého

U – úmyslný

nákladů na

opatření

E–

obnovu

environment.

Fyzické

Požár

poškození Poškození vodou Znečištění Závažná nehoda Zničení zařízení nebo médií Prach, koroze, zamrznutí, Jiné Přírodní

Klimatický jev

události Meteorologický jev Povodeň Jiné Selhání klimatizace nebo dodávky vody

strana 47/67


Ztráta

Přerušení dodávky

základních

elektřiny

služeb Selhání telekomunikačního zařízení Jiné Poruchy

Elektromagnetické

způsobené

záření / impulzy

zářením Jiné Ohrožení

Zachycení

informací

kompromitujících interferenčních signálů Vzdálená špionáž Odposlech Krádež médií nebo dokumentů Krádež zařízení Zprovoznění recyklovaných nebo vyřazených médií Vyzrazení Data pocházející z nedůvěryhodných zdrojů Falšování pomocí technického vybavení Falšování pomocí aplikačního programového vybavení Odhalení pozice Jiné

strana 48/67


Technická

Selhání zařízení

selhání Chybné fungování zařízení Přetížení informačního systému Chybné fungování aplikačního programového vybavení Chyby údržby Jiné Neoprávněné Neoprávněné použití činnosti

zařízení nebo aplikace Podvodné kopírování aplikačního programového vybavení Použití padělaného nebo zkopírovaného aplikačního programového vybavení Poškození dat Nezákonné zpracování dat Jiné

Ohrožení

Chyba v používání

funkčnosti Zneužití oprávnění Falšování zpráv Odepření činností Nedostatek personálu

strana 49/67


Jiné

•

BIA

DOTAZNÍK-VOZR-BI A.xlsx •

AKTIVA-KOMPONENTY

DOTAZNÍK-VZOR-AK TIVA-KOMPONENTY.xlsx

strana 50/67


4.4.3.2

Číselníky pro výpočet míry rizika

4.4.3.2.1 Hodnota aktiva Kód v aplikaci RANIT

Slovní označení

Finanční vyjádření

Koeficient

A00

Bez dopadu

(nulová hodnota)

0

A01

Velmi malá

(do 50 tis. Kč)

1

A02

Malá

(50 tis. Kč - 250 tis. Kč)

3

A03

Střední

(250 tis. Kč - 1 mil. Kč)

6

A04

Vysoká

(1 mil. Kč - 10 mil. Kč)

12

A05

Kritická

(10 mil. Kč - 100 mil. Kč)

24

4.4.3.2.2 Úroveň hrozby Kód v aplikaci RANIT

Slovní označení

Koeficient

Z01

Nedostupnost 15 min

0,01

Z02

Nedostupnost 30 min

0,02

Z03

Nedostupnost 1 h

0,05

Z04

Nedostupnost 8 h

0,1

Z06

Nedostupnost 1 d

0,2

Z08

Nedostupnost 1 T +

0,95

Z11

Ztráta dat od poslední zálohy

0,2

Z12

Úplná ztráta dat

0,9

Z13

Prozrazení interním subjektům

0,2

Z14

Prozrazení smluvním subjektům

0,4

Z15

Prozrazení cizím subjektům

0,9

Z16

Narušení komunikačního provozu

0,25

Z17

Chyby menšího rozsahu v databázi / v přenosu

0,2

Z18

Chyby širšího rozsahu v databázi / v přenosu

0,8

strana 51/67


4.4.3.2.3 Frekvence hrozby (četnost) Kód v aplikaci RANIT

Slovní označení

Časové vymezení

Koeficient

F1

Občasná

jednou za více let

0,1

F2

Nízká

jednou ročně

1

F3

Střední

několikrát za rok

5

F4

Vysoká

několikrát za měsíc

30

F5

Mimořádně vysoká

několikrát za týden

100

4.4.3.2.4 Účinnost protiopatření Kód v aplikaci RANIT

Slovní označení

Vyjádření v %

Koeficient

C1

nízká

do 30%

100

C2

Částečná

asi 50%

300

C3

Dobrá

asi 70%

600

C4

Výborná

asi 90%

900

C5

Vynikající

více než 90%

1000

4.4.3.2.5 Míra rizika Od hodnoty

Slovní označení

0

Akceptovatelné

1

Nízké

3

Střední

6

Vysoké

00

Kritické

4.4.4

Barevné rozlišení

Model informačního systému

Základním kamenem analýzy rizik je modelování informačního systému jako celku, který následně definuje rámec, v němž se projekt jako takový pohybuje. Je také základem pro interpretaci vypočtených hodnot rizik pro jednotlivá aktiva a komponenty. Byly vydefinovány zásadní služby (v RANITu jsou to Komponenty), které tvoří ucelené portfolio služeb podporující životní cyklus informací uvnitř organizace.

strana 52/67


• • • • • • •

4.4.5

Web organizace.cz Email Intranet Internet IS 1 IS 2 …

Identifikace aktiv a komponent

Aktiva, hodnota aktiv, typ aktiv, příslušnost aktiv k jednotlivým komponentám (službám) a závislost komponent na jednotlivých aktivech byly identifikovány pomocí excelovské tabulky, jejíž kopie je vložena níže. Takto získaná data byla importována do prostředí aplikace RANIT, kde následně proběhla korekce vstupních dat. Finální verze vstupních dat jsou k dispozici v databázi RANIT.

4.4.6

Hodnocení dopadů incidentu (BIA)

Vstupní informace pro hodnocení dopadů incidentu byly získány pomocí excelovské tabulky. Kopie tabulky je vložena níže. Tato data byla následně přenesena do systému RANIT.

4.4.7

Hodnocení hrozeb

Hodnocení hrozeb bylo provedeno v prostředí systému RANIT ke každému aktivu zvlášť a to na základě seznamu hrozeb uvedených v dokumentu Metodika analýzy rizik. Následně byly k hrozbám přiděleny hodnoty dle číselníku Úroveň hrozby a Frekvence hrozby. Postup ilustruje obrázek níže.

4.4.7.1

Hodnocení protiopatření

U každého aktiva ve spojení s jednotlivou identifikovanou hrozbou byla zjišťována existence stávajícího protiopatření. Protiopatření byla dosazována na základě dokumentu Metodika analýzy rizik, což představuje ekvivalent normy ISO 27002. Po identifikaci protiopatření byla stanovena v každém konkrétním případě účinnost protiopatření na základě příslušného číselníku. Tento proces byl proveden v prostředí systému RANIT. Postup ilustruje obrázek níže.

4.5

Výstupy analýzy rizik

Snahou u první analýzy je zejména žádné riziko nepodcenit i za cenu možného zkreslení rizik směrem vzhůru. Není chybou u vysokého rizika zjistit, že bylo mírně nadhodnoceno, jelikož je to snadno opravitelné při kontrole výsledků a dalším opakování analýzy rizik. Naopak podcenění procesu vyhodnocování rizik by mohlo vést k falešnému pocitu existence vyhovující úrovně zabezpečení. U první analýzy rizik má také větší

strana 53/67


vypovídací hodnotu poměr mezi zjištěnými riziky, než jejich vypočtená absolutní hodnota. Z této perspektivy je třeba nahlížet na slovní vyjádření míry rizik „Nízké“, „Střední“, „Vysoké“, „Kritické“. Analýza rizik byla následně na základě takto získaných odhadů spočítána dle vzorce definovaného v Metodice analýzy rizik. Výpočty byly provedeny jednak pro situaci bez aplikace protiopatření a posléze s aplikací existujících protiopatření. Podrobné informace jsou k dispozici v prostředí aplikace RANIT. Následující přehledy, které jsou exporty ze softwarového nástroje RANIT, dávající základní přehled o aktivech a hrozbách z pohledu výše odhadovaného rizika. Obecně jsme nikde nepoužily účinnost opatření na nejvyšší úrovni (Vynikající) a to zejména z důvodu absence dokumentace u valné většiny procesů definovaných normou ISO 27001. Velká část procesů (viz dokument „Rozdílová analýza stávající situace u objednatele oproti normou definovaným požadavkům“) je prováděna bez opory v interní dokumentaci organizace, bez procesu monitorovaní a kontroly, bez řízeného neustálého zlepšování, tedy bez aplikace smyčky Plánuj-Dělej-Kontroluj-Jednej (PDCA). Hrozby, které způsobují neakceptovatelná rizika, jsou: • • • • •

TH07 Infiltrace komunikací TH08 Krádež provedená cizími osobami TH10 Nedostatek zaměstnanců TH27 Škodlivý software TH36 Zachycení komunikace

Příčiny, proč tyto hrozby dle názoru týmu COMGUARD způsobují neakceptovatelná rizika, jsou uvedena v těchto dokumentech: • •

Dokument: Rozdílová analýza stávající situace u objednatele oproti normou definovaným požadavkům; Dokument: Úplný popis technické infrastruktury, která zpracovává určené neutajované informace.

strana 54/67


5

Vymezení pojmu aktiva, kategorizace aktiv

Pod pojem „aktivum“ rozumíme (v tomto materiálu) vše, co představuje v rámci informačních systémů nebo v souvislosti s využívanými informačními technologiemi určitou hodnotu (zakoupenou, převzatou, vytvořenou), která může být zmenšena působením hrozby. Aktivum tedy musí být předmětem ochrany, tj. představuje chráněný zájem. Dále navržená kategorizace aktiv je určena pro účely identifikace a popisu aktiv ve smyslu výše uvedeného vymezení. Je proto na místě zdůraznit, že nezahrnuje takové předměty chráněného zájmu, které s problematikou IS nesouvisejí (nebo jen velmi vzdáleně), jako: 

hmotná aktiva – veškerý fyzický inventář a spotřební materiál (ostatní technika a zařízení jako automobily, kancelářský materiál, finanční hotovost, ostatní písemnosti a dokumentace atd.)



nehmotný majetek mimo SW - autorská práva, licence apod.



jiné technické i netechnické služby - topení, dopravní obslužnost, pošta, policie, hasiči apod.

Některé skupiny aktiv jsou významné nejen z hlediska IS, ale mají širší význam pro spolehlivý provoz (např. budovy a s nimi spojená zařízení, jako elektroinstalace, EZS apod.). Jiná aktiva vztahující se k IS představují naopak pouze určitou podmnožinu širší skupiny aktiv analogického charakteru (zejména se jedná o písemnosti a personální aktiva). Taková aktiva jsou tedy pro úplnost zahrnuta do navrhované kategorizace, ale jsou případně blíže zkoumána nebo zmíněna pouze v souvislostech s bezpečnostními aspekty IS. Aplikovaná kategorizace aktiv v oblasti IS: Hmotná (fyzická) aktiva tvořící součást IS 

Bez trvalého informačního obsahu 

hardware počítačů (serverů, klientských stanic), jsou-li bez médií a pevných pamětí s uživatelskými a administračními daty





periferní zařízení



kabeláž, fyzické přenosové linky, pasivní prvky sítě



ostatní elektronická zařízení pro IS (UPS, měřící technika, …)



spotřební materiál pro IS (prázdné datové nosiče, náhradní díly, nekonfigurovaná zařízení,…)

Obsahující trvalé informace (nosiče) 

zařízení (PC, servery) s vestavěnými nosiči (interní i externí HD, FLASH-EPROM)



datová média s elektromagnetickým nebo optickým záznamem (FD, CD, pásky apod.)



aktivní síťové prvky (modemy, routery, …)



jiná zařízení s dlouhodobou pamětí (čipové karty, USB disky…)

strana 55/67




papírová dokumentace - příručky, provozní záznamy, vstupní doklady, tiskové výstupy, projektová dokumentace, analytické podklady, dodavatelské smlouvy, apod.



Jiná hmotná aktiva se vztahem k IS (budovy, elektroinstalace, bezpečnostní a signalizační zařízení, klimatizace apod.)

Nehmotná aktiva IS 



softwarová aktiva 

operační systémy



databázové systémy



aplikační programy a systémy komerční („krabicový SW“)



aplikační programy a systémy speciální – vlastní vývoj



aplikační programy a systémy speciální - řešené dodavatelsky



speciální programy a nástroje pro údržbu aplikací (konverzní programy,..)



vývojové nástroje



speciální utility, bezpečnostní programy apod.



firmware (BIOS) počítačů, modemů, routerů ...

datová aktiva (v digitální - elektronické formě) 

aplikační data



databáze a jiné trvalé soubory s uživatelskými daty



vstupní / výstupní data v elektronickém tvaru



pracovní (dočasné) soubory



archivní a záložní kopie



zkušební (testovací) aplikační data



soubory obsahující aplikační dokumentaci včetně nápovědy, provozních pokynů a instalačních postupů



soubory obsahující administrační dokumentaci (systémovou, bezpečnostní)



autentizační a autorizační soubory, hesla, klíče



záznamové soubory (logy), auditní protokoly apod.



soubory statických systémových a aplikačních parametrů (konfigurace apod.)

Personální aktiva - znalosti, schopnosti a osobní předpoklady pracovníků v oblasti IS Do této oblasti byla zařazena aktiva také poskytovaná prostřednictvím pracovníků třetích stran formou služby. Nejedná se zde tedy o služby typu zapůjčení zařízení apod. 

know-how pracovníků provozujících a využívajících IS o

poznatky získané školením

strana 56/67




o

provozní zkušenosti uživatelů a administrátorů

o

znalosti systémových a aplikačních dat

o

know-how a pracovní postupy vývojových týmů

služby externích dodavatelů v oblasti IS

5.1

o

vývoj a údržba speciálních informačních a technologických systémů

o

další specializované smluvní servisní a dodavatelské služby

o

služby podmiňující provoz IS

Vlastnosti aktiv z hlediska bezpečnosti

V rámci IS je nezbytně nutné zajišťovat nepřetržitou ochranu aktiv. Všechna aktiva IS, resp. společnosti musí být evidována. Evidence aktiv následně napomáhá stanovení adekvátních bezpečnostních opatření. Součástí evidence aktiv musí být základní specifikace vlastností aktiv, rovněž stanovení odpovědného správce a oprávněných uživatelů aktiv. Evidence dále musí obsahovat kategorizaci aktiv dle míry utajení. Správce aktiv musí podniknout patřičné kroky, které zajistí, že bude užit přiměřený dozor při uložení, manipulaci, distribuci a užití aktiva. Tyto kroky jsou dle charakteru aktiva řešeny tímto dokumentem nebo dokumentem Celkové bezpečnostní politiky. Správce aktiv je osoba definovaná vedením společnosti pro disponování aktivem dle pravidel společnosti. Správce aktiva zodpovídá za jeho stav, za jeho použití a ochranu. Každé aktivum musí mít jednoznačně definovaného správce. Pro sestavování evidencí aktiv z hlediska bezpečnosti slouží následující přehled.

5.1.1

Fyzická aktiva

Význam fyzických aktiv pro bezpečnost informačních systémů, které jsou pomocí nich implementované lze rozdělit do dvou oblastí: 

zajištění spolehlivosti provozu (tedy funkce, dostupnosti dat a služeb)



zajištění bezpečnosti informací (tedy integrity a důvěrnosti)

V prvním případě je nezbytné zajistit zejména vhodné provozní resp. skladovací podmínky a odpovídající údržbu, což je řešeno zabezpečenou oblastí IS řízenou dle Celkové bezpečnostní politiky. V druhém případě je nutné zajistit, aby přístup k aktivům měly pouze oprávněné osoby. Toto je řešeno interní směrnicí a podřízenými pracovními instrukcemi. Počítače Počítače vždy představují základní fyzické aktivum v každém informačním systému. Jejich hodnota spočívá především ve schopnosti poskytovat výpočetní výkon a paměťovou kapacitu (jak dočasné paměti, tak permanentní paměti), které jsou nezbytné pro běh užívaného softwaru.

strana 57/67


Proto, aby počítače mohly toto poskytovat, potřebují (na fyzické úrovni v rámci společnosti): 

redundantní zdroje elektrické energie



klimatické podmínky v rámci stanoveného rozsahu teplot, vlhkosti a prašnosti



řešení uživatelského přístupu na úrovni fyzické i virtuální bezpečnosti



pravidelnou údržbu

Proto, aby bylo znemožněno jejich zneužití je (mimo jiné) nezbytné zajistit, že fyzický přístup k nim mají pouze oprávněné osoby. V případě jejich přemístění mimo chráněný prostor (např. za účelem opravy) je nutné zajistit, aby informační obsah na nosičích schopných permanentního záznamu byl buď zničen anebo zabezpečen tak, aby nebyl přístupný nepovolaným osobám. Charakteristiky z hlediska bezpečnosti a spolehlivosti jsou nejdůležitější servery: 

disponují velkým výpočetním výkonem



typicky jejich permanentní paměti (disky) obsahují velké množství (potenciálně) citlivých informací



data z disků se obvykle zálohují na přenosná média (pásky, DVD, externí HDD)



často k nim má přístup velký počet oprávněných uživatelů a to přes různé služby



jsou (mají být) spravovány odborníky



typicky jsou implementovány na výkonném a spolehlivém hardwaru



na jejich správné funkci efektivně závisí přístup k informacím řady pracovníků



jsou provozovány nepřetržitě až na dobu výpadků plánovaných nebo neplánovaných



hardwarové komponenty jsou hůře zastupitelné komponenty jiných výrobců



originální komponenty jsou hůře dostupné a zajištění jejich dostupnosti v definovaném čase obvykle vyžaduje speciální smlouvu s výrobcem, což je v rámci IS řešeno záložním serverovým hardware, který není do doby nasazení plně konfigurován (z bezpečnostních důvodů)



relativně vysoká pořizovací cena



jsou obvykle hůře přemístitelné (a tudíž i odcizitelné)



mechanické provedení skříně obvykle zahrnuje prvky nezbytné pro fyzickou ochranu zařízení

Externí periferní zařízení Základní charakteristikou periferních zařízení je, že proto, aby mohla být využívána, musí být spojena s některým počítačem. V rámci IS jsou povolena připojení pouze zařízení typu síťových tiskáren, skenerů, USB disky. Toto připojení se provádí řízeným způsobem, dohled je zajištěn správcem sítě. Výměnná média Charakteristiky z hlediska bezpečnosti a spolehlivosti: 

v závislosti na typu média mohou obsahovat velký objem informací

strana 58/67




fyzicky malé rozměry (snadná zcizitelnost)



informační obsah lze fyzicky zabezpečit proti neoprávněnému přístupu (dle úrovně užitého zašifrování)



jsou citlivá na klimatické podmínky a fyzikální podmínky (obzvláště magnetická média)

V rámci IS jsou užity zálohovací nástroje pro automatizované zálohy na externí úložiště (jiné servery). Metodika zálohování je řešena dle interní pracovní instrukce. Komunikační zařízení Základní charakteristiky z hlediska bezpečnosti a spolehlivosti: 

na jejich správné funkci obvykle závisí možnost komunikace mnoha pracovníků



představují vstupní bod pro odposlouchávání komunikace v síti (nemusí platit u všech zařízení)



změnou jejich konfigurace lze dosáhnout, že komunikace v síti může být monitorována i vzdáleně, respektive přesměrována jinam (takto mohou být i podvrhována falešná data)



jsou ve většině případů konfigurována odborníky



ve svých permanentních pamětech mohou obsahovat citlivá data (např. hesla)



obvykle jsou relativně spolehlivá, konstruovaná pro nepřetržitý provoz

Instalační a podpůrná zařízení Tato zařízení nejsou z hlediska informační bezpečnosti významná. Z hlediska spolehlivosti jsou významná „aktivní“ zařízení (např. zdroje záložního napájení). Jejich základní charakteristikou je, že nemají žádné paměťové kapacity a tudíž nemohou nést ani žádný informační obsah. Datová aktiva Datová aktiva bývají typicky základním předmětem ochrany. Jejich charakteristiky z hlediska bezpečnosti jsou následující: 

obvykle špatně vyčíslitelná cena



snadná replikovatelnost, jejímž důsledkem je i možnost odcizení bez viditelných stop a nutnosti fyzického přístupu



obtížné řízení přístupu k nim (závisí na povaze dat a aplikacích, kterými jsou zpracovávány)

Datová aktiva je dále možné rozdělit do několika skupin s odlišnými charakteristikami. Aplikační data Aplikační data představují obvykle primární cíl ochrany v informačních systémech. Jedná se o data, která jsou vstupem, mezi produktem nebo výstupem informačních systémů (konkrétně aplikací, ze kterých se informační systémy skládají). Aplikační data se mohou vyskytovat v různých stavech s ohledem na místo uložení: 

v databázích - v tomto stavu mohou být data relativně dobře chráněna a to i s velmi jemnou granularitou přístupových práv (závisí na použité databázi a aplikaci)

strana 59/67




v dočasných souborech (tzv. „unloady“) - v tomto stavu jsou možnosti ochrany dat silně závislé na vlastnostech a konfiguraci operačního systému počítače, na jehož disku se soubor nachází. Granularita přístupových práv je omezena na úroveň přístupu k celému souboru



v operační paměti - úroveň ochrany dat nacházejících se v operační paměti počítače (během zpracování) závisí na vlastnostech a konfiguraci operačního systému. Obecně lze říci, že v tomto stavu jsou data, díky převažujícímu využívání virtuálního paměťového prostoru, relativně špatně dostupná pro případného neoprávněného uživatele



tiskové sestavy - v tomto stavu jsou možnosti ochrany dat na úrovni ochrany jiných tiskovin a z tohoto důvodu nebudeme tento případ dále zvažovat



při transportu 

po síti - možnosti ochrany dat při transportu po síti jsou dány bezpečnostními mechanismy dostupnými v daném síťovém prostředí. Obecně lze říci, že tyto možnosti jsou determinovány vlastnostmi operačního systému a použité aplikace na zdrojovém a cílovém počítači a vlastnostmi aktivních prvků na přenosové trase. V menší míře jsou ovlivňovány vlastnostmi pasivních prvků (kabeláž, konektory atd.)



na výměnném médiu - možnosti ochrany dat v tomto stavu jsou v podstatě srovnatelné s možnostmi ochrany tiskovin.

Bezpečnostní charakteristiky aplikačních dat jsou následující: 

mohou obsahovat citlivé informace



mají (v závislosti na aplikaci) relativně dobře predikovatelný objem



jsou obvykle vytvářena resp. zpracovávána specializovanými aplikacemi, které řídí přístup k nim



mohou být špatně rekonstruovatelná v případě totálního zničení (závisí na aplikaci)

Konfigurační data Mezi konfigurační data se řadí záznamy v permanentních pamětech (soubory na disku, záznamy ve Flash EPROM atd.) operačních systémů serverů a klientských stanic a aktivních síťových prvků. Jejich charakteristiky z hlediska bezpečnosti jsou následující: 

mohou obsahovat citlivé informace (např. hesla)



jejich modifikace může mít za následek nefunkčnost systému, jehož konfiguraci popisují



jsou relativně zřídka modifikována



lze je (za ceny jistého úsilí) rekonstruovat v případě jejich totální ztráty



přístup k nim může být omezen na relativně úzkou skupinu uživatelů (existují i výjimky, kdy přístup musí mít všichni uživatelé)

Záznamové soubory Záznamové (auditní, logové) soubory obsahují záznamy událostí v systému. Jsou významná především pro sledování běhu systému za účelem kontroly dodržování pravidel jeho používání a také pro analýzu chování

strana 60/67


systému v různých situacích, případně pro analýzu míry zasažení v důsledku bezpečnostního incidentu. Jejich bezpečnostní charakteristiky jsou následující: 

ztracené záznamy nemohou být žádným způsobem rekonstruovány



přístup k datům lze omezit na relativně úzkou skupinu uživatelů



jejich objem (ve zvláštních opatřeních) kontinuálně narůstá a rychlost růstu je špatně predikovatelná a navíc ovlivnitelná okolním prostředím



5.1.2

mohou obsahovat citlivé informace (např. hesla)

Softwarová aktiva

Základní charakteristikou softwarových aktiv je jejich relativně snadná obnovitelnost v případě totální ztráty. To vede často k podceňování jejich významu a přehlížení dalších aspektů, zejména kritičnosti správné funkce softwaru. Operační systémy Operační systém je základním softwarovým aktivem umožňujícím provoz ostatních aktiv, tedy aplikací. Kromě výše uváděných společných charakteristik lze u operačních systémů pozorovat tyto charakteristiky: 

na správné funkci OS závisí správná funkce všech aplikací nad ním provozovaných



OS představují velmi lákavý cíl pro útočníky zvnějšku, protože úspěšné subvertování OS znamená obvykle kompletní přístup k datům v aplikacích, které jsou v systému provozovány



OS bývají často cílem útoků typu narušování chodu (denial-of-service, tj. DoS)



obvykle vyžaduje relativně odbornou obsluhu a trvalou údržbu. Zcela vždy vyžaduje odbornou instalaci



nahraditelnost OS může být ztížena existencí oprav, které je (v nejhorším případě) nezbytné instalovat v definovaném pořadí



(neuvažujeme-li obnovení systému ze zálohy) kompletní reinstalace systému je relativně náročná jak na požadavky a odbornost, tak dobou trvání

Databázové systémy Databázové systémy v podstatě vytváří nezbytné pracovní prostředí pro aplikace nad nimi napsané. Jejich charakteristiky z hlediska bezpečnosti a spolehlivosti jsou následující: 

velký rozsah kódu



vysoká pořizovací cena



(v závislosti na produktu) poměrně vysoké nároky na odbornost obsluhy a správy



na jejich správné funkci závisí dostupnost a správnost dat v aplikacích pomocí nich provozovaných.



obnovitelnost v případě totálního zničení může být obdobně jako u OS ztížena existencí oprav

strana 61/67


Programy speciálně vyvíjené Základní charakteristikou speciálně vyvíjených aplikací je jejich unikátnost a optimalizace pro prostředí zadavatele. V důsledku toho jsou tyto aplikace hůře použitelné jinde a tudíž ve srovnání s běžně dostupnými programy i méně vyzkoušené (odladěné). To může mít negativní vliv na jejich spolehlivost. Za významné považujeme tyto charakteristiky: 

významná závislost na dodavateli a obtížná nahraditelnost aplikací jiného původu



(obvykle) závislost kritických funkcí organizace na správnosti fungování aplikace



vyšší nároky na údržbu ze strany externích dodavatelů, požadavky na rozsáhlé možnosti přístupu a s tím spojená rizika

Programy běžně dostupné Jejich základní charakteristikou je právě snadná dostupnost a obvykle i možnost výběru mezi několika dodavateli. Typicky se jedná i rozšířené a tudíž i relativně dobře vyzkoušené programy. U kancelářských balíků, které typicky tvoří podstatnou část používaných produktů v této kategorii, není jejich správná funkce obvykle kritická pro fungování organizace. Jejich provoz není (obvykle) náročný na odbornou obsluhu nebo správu.

5.1.3

Personální aktiva

Mezi personální aktiva patří především znalosti pracovníků spravujících informační systémy, respektive podílejících se na jejich vývoji. Částečně do této kategorie patří i znalosti uživatelů informačních systémů týkající se právě metodiky jejich využívání. Základním parametrem je nahraditelnost pracovníka v dané funkci v daném časovém horizontu. Ta je dána jednak dostupností osob s odpovídající kvalifikací na trhu práce a za druhé objemem speciálních znalostí, které nově nastoupený pracovník musí získat, aby mohl vykonávat danou funkci. K hodnocení personálních aktiv jistě přispívá i platová úroveň pro to které pracovní zařazení a náklady spojené s vyškolením pracovníka. Znalost používaných operačních systémů Tato znalost je nezbytná pro úspěšný výkon funkce správce IS. Pro operační systémy firmy Microsoft je tato znalost relativně dobře získatelná a uplatnitelná i mimo organizaci. Pro ostatní operační systémy (OS firewallu, Linux, Solaris, OS směrovačů) je tato znalost získatelná za cenu vyšších nákladů, avšak je velmi dobře uplatnitelná i mimo organizaci. Znalost používaných IS Tato speciální znalost je nezbytná pro úspěšný výkon funkce správce IS. Je téměř nevyužitelná (neuvažujemeli nelegální resp. kriminální využití) mimo organizaci. Výjimku tvoří firmy vyvíjející tyto systémy a standardní IS, např. SAP. Znalost je získatelná za cenu vysokých nákladů, z větší části pouze uvnitř organizace.

strana 62/67


Znalost topologie sítě, konfigurace síťových služeb a souvisejících zařízení Tato znalost je důležitá, ale ne nezbytná pro správce IS. Je zcela nezískatelná mimo organizaci a je taktéž i nevyužitelná (s výjimkou firem provádějících svěřenou správu sítě nebo síťových služeb pro organizaci). Obecná znalost problematiky počítačových sítí (lokálních i jiných) Tato znalost je nezbytná pro správce IS. Je získatelná, ale mnohem lépe uplatnitelná i mimo organizaci.

strana 63/67


6

Vzorový projekt implementace ISMS

6.1 Etapy projektu, výstupy, součinnost 6.1.1

Analýza stavu managementu informační bezpečnosti a technické infrastruktury

Popis etapy 

Zhodnocení stávající situace v oblasti správy informačních rizik a ICT bezpečnosti



Existence a úrovně rámce pro řízení informačních rizik



Existence a úrovně závazných pravidel pro řízení informační bezpečnosti



Existence a úrovně závazné prováděcí dokumentace, předpisů



Analýza kladných a záporných stránek aktuální řídící dokumentace. Sledování konzistence odpovědností a pravomocí v oblasti informační bezpečnosti.



Definice hranic zkoumané infrastruktury, pro kterou bude zpracována analýza rizik a bezpečnostní politiky.



Popis stávající ICT infrastruktury, včetně komunikační infrastruktury, na úrovni přehledových schémat s vyznačením hranic zkoumané infrastruktury.



Analýza technické infrastruktury z pohledu bezpečnosti informací



Penetrační testování



Posouzení stávající topologie – komunikační infrastruktury a jejího zabezpečení.



Posouzení zabezpečení stanic.



Audit lokalit dle ISO/IEC 27001.

Výstup 

Gap analýza oproti ISO/IEC 27001



Seznam informačních aktiv - přesná definice hranic zkoumané ICT infrastruktury v jednotlivých společnostech a lokalitách



Mapa hlavních procesů



Topologie IT se specifikací, kde se vyskytují osobní údaje a jiná citlivá data



Analýza dopadů – Business Impact Analysis (BIA) – vyhodnocení narušení důvěrnosti/ integrity/ dostupnosti informací a informačních systémů



Vyhodnocení stávající technické infrastruktury



Výstupy z penetračních testů (volitelně, viz samostatná kapitola)



Prezentace a odsouhlasení výsledků etapy

strana 64/67


Součinnost objednatele Dodavatel plánuje udělat 5 1denních workshopů (WS) se zástupci objednatele. Na těchto WS bude probíhat sběr informací pro účely projektu dle zadání. Bude vyžadováno, aby se účastnili zástupci objednatele s kompetencí pro: 

top management



IT + IT Security



personální oblast



právní oblast



fyzickou bezpečnost



popř. další záležitosti jako kontrolní činnosti, aj.



Bude vyžadováno poskytnutí veškeré dostupné relevantní interní dokumentace.



Bude vyžadována podpora při koordinaci termínů auditů lokalit.



Telefonická a emailová komunikace s projektovým týmem objednatele.

6.1.2

Identifikace a vyhodnocení bezpečnostních rizik

Popis etapy 

Odsouhlasení metodiky analýzy rizik dle návrhu dodavatele, vč. stanovení akceptační úrovně



Identifikace informačních rizik.



Struktura provedených prací bude pokrývat o

Seznam aktiv společnosti včetně jejich kategorizace

o

Identifikaci hrozeb a zranitelností

o

Pravděpodobnost výskytu hrozby

o

Seznam a popis rizik, jejich ocenění

o

Aplikace výsledků předešlé etapy vč. BIA

Výstup 

Metodika analýzy rizik



Zpráva z analýzy rizik jako podklad pro tvorbu politik informační bezpečnosti



Návrh plánu zvládání rizik jako podklad pro tvorbu politik informační bezpečnosti. Bude vytvořen dokument, jehož obsahem bude popis navrhovaných procesních, provozních a technických opatření pro snížení identifikovaných rizik na akceptovatelnou úroveň.



Prezentace a odsouhlasení výsledků etapy

strana 65/67


Součinnost objednatele 




5x 1denní WS – schválení metodiky a konzultace hrubé analýzy rizik. Bude vyžadováno, aby se účastnili zástupci objednatele s kompetencí pro: o

management

o

IT

o

pracovně-právní oblast, popř. další záležitosti jako řízení kvality, kontrolu, fyzickou bezpečnost aj.



6.1.3

1denní WS – prezentace výsledků etapy

Návrh úpravy stávající a tvorba nové interní dokumentace

Popis etapy 

Úprava a tvorba politik informační bezpečnosti v tomto minimálním rozsahu: o

Návrh základních závazných pravidel informační bezpečnosti

o

Návrh způsobů ochrany citlivým informací pro správce a uživatele

o

Návrh způsobů ochrany systémů a aplikací spravujících citlivé pro správce a uživatele

o

Návrh prováděcích směrnic pro řízení informační bezpečnosti

o

Návrh informačního memoranda pro zaměstnance

o

Návrh rozvoje mechanismů správy informačních rizik

Výstup 

Příslušná dokumentace dle zadání - projektu



Prezentace výsledků etapy





3x 1denní WS

6.1.4

Příprava na certifikaci dle ISO/IEC 27001

Popis etapy 

Využití výstupů minulých etap

strana 66/67




Stanovení rozsahu procesů/společností, které se zahrnou do certifikace



Příprava specifických povinných dokumentů o

Prohlášení o aplikovatelnosti

o

Politika ISMS

o

a další dokumenty, evidence, plány, …



Případná integrace s dalšími systémy řízení dle ISO standardů



Školení zaměstnanců v rozsahu 3 dnů



Provedení interního auditu dle ISO/IEC 27001



Prověření připravenosti na certifikační audit

Výstup 

Povinné dokumenty



Zpráva z interního auditu



Prezentace výsledků etapy





1denní WS – Příprava k auditu



2denní WS – Interní audit



1denní WS – prezentace výsledků etapy – zprávy z interního auditu.

6.2 Možný časový harmonogram

Uvedené etapy se mohou prolínat.

strana 67/67

Vzdělávání v IT bezpečnosti Program č. 1 Studijní opory

Recommend Documents