Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008
Doc.RNDr. Milan BERKA, CSc.
Systém řízení informační bezpečnosti
Různé certifikace bezpečnosti a jejich význam – NBÚ, ISO, Objekty a zařízení – IS Normy BS 7799, ČSN ISO/IEC 17799 , ISO ISO/IEC 27000, ČSN ISO/IEC 25000, ČSN ISO TR 13335 , ISO TR 14516 ČSN ISO/IEC 15408 , ČSN ISO/IEC 19000, … Legislativa - dopady – Zákon 128, 129, 365 o informačních systémech ve veřejné správě – Zákon o elektronických komunikacích – SPAM – pokuta 10 mil.Kč – Autorský zákon – nelegální SW – milionové pokuty – Zákon o ochraně osobních údajů – pokuta 10-50 mil. Kč – Vyhláška 529 k zákonu 365 –dnes - ISMS rok 2011 Organizace zavádění do praxe – organizační zastřešení – rozhodnutí vedení organizace, role – stanovení priorit atd.
Neřešení bezpečnosti
• Nesete následky – Napadení telefonních ústředen – 9 mil. Neoprávněné volání přes GSM bránu. – Napadení VoIP služeb přes SIP – 100 000 Euro škoda neoprávněná zahraniční volání, jiný operátor 600 000 škoda. – Nelegální SW – nejmenovaná organizace 8 mil. škoda a povinnost dokoupit SW, soudní řízení s managementem – Rozesílání nevyžádaných e-mailů – zaměstnanec rozesílal nabídky z firemního mailu, UOOU 10 mil. Pokuta – Únik osobních dat zaměstnance – nejmenovaná organizace 7 mil. Pokuta
• Vše za posledních 6 měsíců. Za rok předtím jsem registroval pouze jednu kauzu. • Roční nárůst o 1 000 %.
Postup při implementaci • Rozhodnutí vedení o zavádění ISMS - existuje • Stanovení rozsahu a struktury ISMS – Politika ISMS – schválení vedením (jedna strana A4) • Zavedení systematického řízení rizik – AR - IT • Stanovení bezpečnostních politik – CBP – schválí vedení (pět stran A4), ostatní vydá a schválí IT • Implementace a provoz ISMS – IT nebo dle návrhu org.struktury • Monitorování a přezkoumávání ISMS – audity, zprávy IT schvaluje vedení • Údržba a zlepšování ISMS – rutinní provoz té věci
Postup při implementaci
Analýza a řízení rizik
•
• • • • • • • •
Metodika (mnoho možných metodik…) – CRAMM – ALE – CORAX – COBIT Určení aktiv Určení hrozeb Určení zranitelností Výpočet rizika a následků Určení možných protiopatření (z normy 136, technických, organizačních a dalších) Modelování změny rizik Výběr vhodných – maximální efekt s minimálními náklady Opakování cyklu…
Analýza rizik •
Aktiva – Stanovit přesně čím se budeme zabývat – seznam aktiv – HW – evidence, nákup, inventarizace – SW – evidence, licence, nákupy, inventarizace – Aplikace – Lidé – Informace – ve všech formách (včetně papíru, medií, systémů) – Odpovědnost – vlastník / správce – Správa – Hodnota aktiva – cena, ztráta z výpadku, nedostupnosti, zničení – Návaznosti mezi aktivy – Výše ohodnocení aktiva zvyšuje riziko
Analýza rizik
•
•
Hrozby – Co kterému aktivu hrozí – část obecně z normy ISO 13335 – Hrozby ze zkušenosti – Klasifikace hrozeb • Statistika incidentů • Obecné tabulky – Ohodnocení hrozeb – Výše hrozby zvyšuje riziko Zranitelnosti – Možnost uplatnění hrozby – Ohodnocení – Výše zranitelnosti zvyšuje riziko
Analýza rizik
•
•
•
Opatření (protiopatření) – Ochrana aktiva proti hrozbě – Ohodnocení vyjadřuje účinnost – Snižuje riziko Riziko – Závisle proměnná, přímo úměrná hodnotě aktiva, přímo úměrná velikosti hrozby, přímo úměrná zranitelnosti a nepřímo úměrná přijatým opatřením – Parametr – pravděpodobnost – charakterizuje to, že se hrozba na aktivum skutečně uplatní, jde o výskyt dané události Řešení rizika – Přijetí rizika – Přenesení na dodavatele nebo pojišťovnu – Plán snižování rizik
Snižování maximálních rizik Snižování rizik maximální rizika na aktivech
40
35
30
hodnota rizika
25 Řada3 Řada2
20
Řada1 15
10
5
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 hrozba
Snižování sumárních rizik Snižov ání rizik hrozby sumárně
3000
2500
sumární riziko
2000 Řada3 Řada2
1500
Řada1 1000
500
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 hrozba
Snižování rizik po aktivech Rizika po aktiv ech
50 45 40
maximální riziko
35 30 Řada3 Řada2
25
Řada1 20 15 10 5 0 1
6 11 16 21 26 31 36 41 46 51 56 61 66 71 76 81 86 91 96 101 106 111 116 121 126 131 136 141 146 151 156 161 166 171 aktiva
Plán snižování rizik
Opatření
Odpovědnost, termín, zdroje
Politika ISMS – vytvoření a schválení politiky ISO/IEC 27001 Kap.4-8
leden, únor 2008 20 000,50 hodin
Bezpečnostní politiky – vytvoření a schválení struktury politik a předpisů ISO/IEC 27001 Kap.4-8 ISO/IEC 17799 Kap.5
březen – duben 2008 80 000,200 hodin
Definice PoA – Prohlášení o aplikovatelnosti (specifikuje schválené opatření k realizaci dle opatření ISO) Křížová kontrola vůči příloze A normy ISO/IEC 27001, aby nebyly opomenuté žádné cíle či opatření potřebné pro ISMS organizace. ISO/IEC 27001 Kap.4-8
Duben 2008 interně 30 hodin
Politika ISMS a Bezpečnostní politika informací •
• •
Bezpečnostní politika, jak vyplývá z požadavku normy je povinný dokument. Vychází ze specifických podmínek organizace, jejich procesů, struktury a používaných aktiv. Tento povinný dokument musí být schválen vrcholovým vedením organizace a musí s ním seznámeni všichni zaměstnanci organizace. Minimální obsah politiky ISMS je následující: – cíle v oblasti ISMS, celková strategie a rámec zásad ISMS – požadavky vyplývající z hlavních činností organizace, legislativní, normativní požadavky a smluvní závazky, – organizační a odpovědnostní strukturu a vazby informační bezpečnosti v systému řízení organizace – stanovení kritérií a způsobu řízení rizik a základní bezpečnostní opatření
Organizace dokumentace
Směrnice, předpisy, postupy, řády, .. Celková bezpečnostní politika Bezpečnostní politika informací Bezpečnostní politika systému XYZ - RAS, Autentizace, Autorizace, Účetnictví, Přístup do objektů, Utajované skutečnosti, ... Bezpečnostní projekty / Plány zvládání rizik Podřízenost a nadřízenost předpisů Co kde uvádět?
Obsah dokumentů
Jeden velký dokument / mnoho menších? Strategie Taktické cíle Postupné upřesňování pravidel Implementace opatření – Např. politika přístupu k informacím, zálohování dat, různé systémy různá pravidla, technické prostředky atd.
Požadavky na dokumentaci Rozsah a předmět ISMS Kvalifikace informací z hlediska citlivosti k ISMS Seznam aktiv Řízení dokumentů Řízení záznamů Řízení neshod Řízení nápravných opatření Řízení preventivních opatření Interní audity ISMS Analýza a hodnocení rizik Zpráva o hodnocení rizik Plán řízení rizik ( cíle a programy řízení rizik) Prohlášení o aplikovatelnosti ( POA) Dokumentované postupy nezbytné pro zajištění efektivního fungování a provozu ISMS Plány havárie a obnovy ( Disaster Recovery Plan – DRP) Plány kontinuity podnikání ( Business Continuity Planning – BCP)
Popisy procesů • řízení dokumentace ISMS – pravidla jsou stejná jako u dokumentace systému jakosti dle ISO 9001 • zacházení s informacemi ve všech jejich formách, včetně klasifikace informací a výměny s jinými organizacemi, • řízení přístupů do ISMS • správa počítačové sítě, zejména ve vztahu k bezpečnosti používaných síťových služeb, • fyzická bezpečnost, práce v bezpečnostních zónách a ochrana zařízení a médií, • šifrování, nasazování šifrovacích prostředků a správa klíčů, • management bezpečnostních incidentů, rozpoznávání incidentů, slabin a selhání, ohlašování, vyšetřování, informování, vyhodnocování, poučení z chyb a disciplinární proces, • řízení změn, schvalování prostředků k nasazení, iniciování, řešení, testování a realizace velkých a malých změn, • kontrolní činnost, protokolování užití systému a monitoring, ověřování technické shody, • řízení kontinuity činností, plánování, formulace a dokumentace havarijních plánů a plánů obnovy funkčnosti, testování plánů
Vedení záznamů - doložení fungování pravidel Záznamy mohou být vedeny libovolnou formou – písemně, elektronicky, v textovém, databázovém, tabulkovém nebo jiném formátu za podmínky že jsou: • identifikovatelné • umožňují v předem stanoveném rozsahu vyhledávání • jsou přístupné autorizovaným osobám, resp. procesům • jejich identifikace, uložení, ochrana, vyhledávání a přístupnost je dokumentována • vedení každého záznamu musí být definováno v příslušné směrnici, resp. popisu procesu
Plány v rámci bezpečnosti IS Plán zachování kontinuity (hlavních činností) BCP Plán zálohování a obnovy - DRP Havarijní plány (pro jednotlivé IS) a seznam všech havarijních plánů Plán testování havarijních plánů. Plán bezpečnostní výchovy a školení. Plán auditů ISMS
Zásady pro implementaci ISMS
• Bezpečnost informací „něco stojí“ investované prostředky by měly produkovat výsledek a ne pouze nákladný konzultační proces • Bezpečnost informací se musí stát prioritou vrcholového vedení • Míra bezpečnosti by měla být úměrná škodě, která může být způsobena • Bezpečnost informací není jednorázový akt, ale nikdy nekončící řízený proces • Přehnané nároky na bezpečnost jdou na úkor funkcionality • Nejúčinnější je bezpečnost, která se řeší od začátku implementace integrovaného systému a je jeho integrální součástí • Prolomení bezpečnosti může zabránit kombinace opatření na několika vrstvách (organizační, personální, objektová, technická, komunikační, provozní, programová) • Bezpečnost informací je multioborová problematika, kterou nezvládne běžný správce IS, administrátor ani programátor • Bez důkladného a kontinuálního vzdělávání zaměstnanců v oblasti ISMS nelze provozovat sebelépe implementovaný systém • Bezpečnost informací nesmí být překážkou podnikání, úspěšné podnikání není možné bez zajištění bezpečnosti informací • Bezpečnostní manažer musí být podřízen pouze vrcholovému vedení nebo musí být nezávislý • Vyvarovat se firem nebo jednotlivců, kteří o sobě prohlašují, že ISMS rozumí • Implementace technologických prostředků není implementací ISMS • Nikdy nevyloučíte škody a rizika zcela, můžete je pouze minimalizovat
Děkuji za pozornost
[email protected]
