ISMS Případová studie – Uživatel jako zdroj rizik
V Brně dne 5. a 12. prosince 2013
Pojmy ICT (Information and Communication Technology) – informační a komunikační technologie IS (Information System) – informační systém ISMS (Information Security Management System) – Systém řízení bezpečnosti informací Aktiva (Asset) - Jsou zdroje (HW, SW, služby a informace), které mají být chráněny pomocí bezpečnostních opatření. PDCA (Plan-Do-Check-Act) – je metoda postupného zlepšování (například služeb procesů kvality výrobků výrobků, služeb, procesů, aplikací či dat) probíhající formou opakovaného provádění těchto čtyř základních činností.
ISMS - pojmy
2
Bezpečnostní projekt Bezpečnostní projekt zavádění ISMS
ISMS je založen na využití modelu PDCA (Demingův model) a má čtyři etapy: - Ustanovení ISMS (určuje rozsah a odpovědnosti) - Zavádění a provoz ISMS (prosazení vybraných bezpečnostních opatření) - Monitorování M it á í a přezkoumání ř k á í ISMS (zajištění ( jiště í zpětné ět é vazby b ah hodnocení d í ří řízení) í) - Údržba a zlepšování (odstraňování slabin a soustavné zlepšování)
Otázka: Do které fáze zařadíte školení uživatelů?
A.8. Bezpečnost lidských zdrojů
ISMS - PDCA
3
Struktura ISMS
Vstupy normativní - právní prostředí - regulace - společnost
- školení - detekce anomálií - audit a řízení Zpětná vazba
ISMS MNGMT Vstupy strategické - obchod - rizika obchodu
rozhodnutí
Zpětná vazba Vstupy provozní - služby (SLA) - rizika provozu
ISMS - struktura
Technologie - politiky - procedury - mechanizmy
4
Uživatel ICT Lidský faktor je problém s nejvyšší mírou rizika! y ý nejslabším j j celkovou úroveň Lidé jjsou p pomyslným článkem řetězu,, kterýý determinuje informační bezpečnosti celé organizace. Negativní jevy - lze jje rozdělit následujícím způsobem: g j y v organizacích g j p - Neformální vazby - Nekompetentnost managementu v otázkách informační bezpečnosti - Nedostatečné bezpečnostního N d t t č é pravomocii b č t íh managementu t IT - Rezistence uživatelů S á ě poučený č ý uživatel, ži t l znamená á mnohem h ší riziko i ik pro Informační I f č í Správně menší systém. Uživatelé by měli být proškoleni minimálně před vznikem pracovního poměru a v průběhu pracovního poměru. (dle dokument „Minimální bezpečnostní pravidla pro uživatele„)
Úkol: proveďte klasifikaci uživatelů pomocí grafického znázornění! Uživatelé ICT
5
Úkol Vypracování
Uživatelé ICT
6
Graf dělení uživatelů IT uživatel profesionálové
Pravidelná školení s represemi IT profesionál
Pravidelná školení
Odpovídající stupeň rizika je následující: škodiči
1.bez rizika – IT profesionál
uživatelé
Aplikační profesionál
2.minimální 2 minimální riziko – Aplikační profesionál Vyškolený uživatel
IT výzkumník ý
3.malé riziko – Vyškolený y ý uživatel 4.střední riziko – IT výzkumník
Nevyškolitelný uživatel
IT ignorant i t
5.velké 5 velké riziko – IT ignorant a nevyškolitelný uživatel 6.maximální riziko – IT rebel
IT rebel
Dělení uživatelů
7
Dělení uživatelů IT profesionál f i ál – bezproblémový b blé ý uživatel ži t l s potenciálem t iál IT administrátora d i i t át Aplikační profesionál – odborník v daném oboru využívající možnosti poskytované ICT technologiemi Vyškolený uživatel – uživatel dodržující bezvýhradne pravidla hry (IT bezpečnosti) Nevyškolitelný uživatel – IT analfabet IT výzkumník – škodič, který nevyužívá své IT schopnosti správným směrem IT ignorant – škodič s přesvědčením své nevyškolitelnosti IT rebel – škodič nejhoršího j kalibru,, na nějž j p platí p pouze IT karanténa
Dělení uživatelů
8
Standardní bezpečnostní opatření pro běžné uživatele Základní bezpečnostní opatření pro uživatele: Zákaz používání Zák ží á í soukromých k ý h prostředků tř dků ((aktuální kt ál í jjsou mobily, bil PDA PDA, tablety, t bl t notebooky t b k ale také USB zařízení a externí HDD) x BYOD Povinnost mlčenlivosti (zakotvení v pracovní smlouvě včetně rozsahu platnosti) Odpovědnost vlastníků aktiv (problematické je přidělení a ještě více přijetí odpovědnosti) P idl označování Pravidla č á í a nakládání kládá í s informacemi i f i ((souvisí i í s klasifikací kl ifik í informací) i f í) Periodické bezpečnostní školení Fyzický bezpečnostní perimetr (problematickém dodržování pravidel fyzického přístupu) Správa a likvidace výměnných médií (nejen média, ale USB zařízení a externí HDD) Pravidla používání hesel (vymáhání dodržování zásad) Pravidla opouštění pracoviště (zásada prázdného stolu a monitoru) Zabezpečení mobilních IT (i pro soukromé účely) Hlášení a řešení bezpečnostních incidentů (automaticky) - systémem Bezpečnostní opatření
9
