Koncepce informační bezpečnosti

Koncepce informační bezpečnosti Bezpečnost informačních systémů

Luděk Mandok CISA, CRISC

Program  Znáte povinnosti spojené s plněním zákonných požadavků?  Víte, jak vyhovět zákonným požadavkům na ochranu informací?  Víte, jak splnit zákonné požadavky na dlouhodobé řízení ISVS?  Víte, jak dosáhnout atestace/certifikace?  Znáte normy ISO řady 2700x?  Víte, jakou dokumentaci vyžaduje ČSN ISO/IEC 27001?

2

Zavádíme a provozujeme užitečné informační technologie v organizacích.

Úvodem něco o informační bezpečnosti Tři základní požadavky na zajištění:  důvěrnosti  dostupnosti  integrity rozšířeny o:  autentizaci  odpovědnost

3


Čtyři základní oblasti bezpečnosti  Netechnická bezpečnost:  Administrativní/organizační bezpečnost  systém a hierarchie řízení, bezpečnostní struktura organizace, dokumentace...

 Personální bezpečnost  nástup, průběh a ukončení PP, školení a vzdělávání, dohody o mlčenlivosti, odpovědnosti...

 Fyzická/objektová bezpečnost  ochrana perimetru, fyzického vstupu...

 Technická/technologická bezpečnost  počítačová a komunikační bezpečnost  HW, SW, programové vybavení, aplikace, databáze, OS, komunikace, počítačová síť... 4


Zákony

5


Jaké jsou povinnosti ze zákona?  Ochrana dat včetně osobních údajů  Ochrana utajovaných informací  Svobodný přístup k povinně zveřejňovaným informacím  Funkčnost e-Podatelny, resp. Spisové služby a komunikace prostřednictvím datových schránek  Ochrana a dodržování autorských práv  Dlouhodobé řízení informačních systémů veřejné správy (ISVS)  Propojení agendových informačních systémů (se základními registry) 6


Ochrana osobních údajů  Zákon č. 101/2000 Sb., o ochraně osobních údajů  Oznamovací povinnost  Povinnost ochrany OÚ a citlivých OÚ správcem /zpracovatelem  Informování a poučení subjektů při shromažďování OÚ

7


Řešení pro ochranu osobních údajů:  Implementace opatření k ochraně důvěrných (nejen osobních údajů)  Audit výskytu osobních údajů/plnění povinností  Analýza rizik

 Opatření pro zabezpečení dat:     

šifrování, elektronický podpis, bezpečný tisk, zálohování, bezpečná skartace

 Zpracování předpisové základny (politika, směrnice,

havarijní plán) 8


Ochrana utajovaných informací  Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti  Nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací, ve znění nařízení vlády č. 240/2008 Sb.  Povinnosti ochrany utajovaných dat dle klasifikace NBÚ:

„Vyhrazené“, „Důvěrné“, „Tajné“ a „Přísně tajné“

9


Seznamy certifikovaných technických prostředků:  http://www.nbu.cz/cs/informacnicentrum/seznamy/seznam-certifikovanych-technickychprostredku/  Elektrická zámková zařízení a systémy pro kontrolu vstupů  Mechanické zábranné prostředky  Speciální televizní systémy

 Zařízení elektrické požární signalizace  Zařízení elektrické zabezpečovací signalizace a tísňové systémy  Zařízení fyzického ničení nosičů informací  Zařízení proti pasivnímu a aktivnímu odposlechu utajované

informace  Zařízení sloužící k vyhledávání nebezpečných látek nebo předmětů 10


Řešení pro přípravu na prověrku systému:  Analýza rizik IS  Implementace opatření k ochraně utajovaných informací ze zákona  bezpečnost informačních systémů

 bezpečnost komunikačních systémů  objektová bezpečnost  personální bezpečnost  administrativní bezpečnost  kryptografická ochrana

 Zpracování požadované dokumentace, vč. testů

11


Svobodný přístup k informacím  Zákon č. 106/1999 Sb., o svobodném přístupu k informacím  Vyhláška č. 442/2006 Sb., kterou se stanoví struktura informací zveřejňovaných o povinném subjektu způsobem umožňujícím dálkový přístup  Povinně zveřejňované informace dle § 5 zákona a dále:  právní předpisy vydávané v rámci jejich působnosti  seznamy hlavních dokumentů, zejména koncepční, strategické

a programové povahy  registry, evidence, seznamy nebo rejstříky obsahující informace, které jsou na základě zvláštního zákona každému přístupné, zveřejňovat v přehledné formě způsobem umožňujícím i dálkový přístup 12


§ 5 zákona:  důvod a způsob založení povinného subjektu, podmínky a principy činnosti  organizační strukturu, místo a způsob, jak získat informace, kde lze podat žádost, stížnost, návrh, podnět či jiné dožádání  místo, lhůtu a způsob, kde lze podat opravný prostředek proti rozhodnutím povinného subjektu o právech a povinnostech osob  postup při vyřizování všech žádostí, návrhů i jiných dožádání, včetně příslušných lhůt  přehled nejdůležitějších předpisů, podle nichž povinný subjekt zejména jedná a rozhoduje, včetně informace, kde a kdy jsou tyto předpisy poskytnuty k nahlédnutí  sazebník úhrad za poskytování informací  výroční zprávu za předcházející kalendářní rok o své činnosti v oblasti poskytování informací (§ 18)  výhradní licence poskytnuté podle § 14a odst. 4  usnesení nadřízeného orgánu o výši úhrad vydaná podle § 16a odst. 7  adresu elektronické podatelny 13


Řešení pro zveřejňování údajů:  Audit povinně zveřejňovaných údajů (OVS)  Návrh a implementace DMS a publikačních nástrojů (www portály, správa dokumentů)  Návrh a implementace prostředků pro ochranu zveřejňovaných údajů před neoprávněným pozměněním, zničením, znepřístupněním...  Penetrační testy

14


Elektronický podpis  Zákon č. 227/2000 Sb., o elektronickém podpisu  Zákon č. 127/2005 Sb., o elektronických komunikacích  Vyhláška 496/2004 Sb., o elektronických podatelnách  Povinnosti:  ověření platnosti a náležitostí uznávaného elektronického

podpisu  kontrola výskytu škodlivého kódu v datové zprávě

15


Řešení pro elektronický podpis:  Analýza rizik elektronické komunikace  Návrh a implementace PKI  Návrh a implementace antivirové/antispamové ochrany  Zpracování dokumentace (CP, CPS, příručky pro uživatele)

16


Spisová služba, archivnictví  Zákon č. 499/2004 Sb., o archivnictví a spisové službě  Vyhláška č. 645/2004 Sb., kterou se provádějí některá ustanovení zákona o archivnictví a spisové službě  Povinně spisová služba v elektronické podobě (dle Národního standardu) do 1. 7. 2012

17


Řešení pro spisovou službu:  Realizace bezpečnostního auditu  Návrh a implementace opatření:  spisová služba v souladu s NS  CA – PKI (certifikáty k elektronickému podpisu, příp.

autentizaci uživatelů)  zpracování dokumentace

18


eGovernment  Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů  požadavky a povinnosti při provádění elektronických úkonů OVM a při práci s DS a ISDS  Povinnosti:  využívat datovou schránku způsobem, který neohrožuje

bezpečnost ISDS  uvědomit neprodleně MV o tom, že hrozí nebezpečí zneužití datové schránky  zacházet s přístupovými údaji tak, aby nemohlo dojít k jejich zneužití

19


Řešení pro eGovernment:  Bezpečnostní audit IS + ochrany dat  Zpracování dokumentace (vč. havarijních plánů)  Konektor do datové schránky

20


Autorská práva  Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským  Usnesení vlády č. 58 z 13. 1. 2003 o kontrole a evidenci počítačových programů  Usnesení vlády č. 624 z 20. 6. 2001 o pravidlech, zásadách a způsobu zabezpečování kontroly užívání počítačových programů  Povinnost:  používat pouze legální SW v souladu s licenčním ujednáním

 Odpovědnost:  za nelegální SW nainstalovaný na počítačích firmy nese fyzická

osoba – statutární orgán organizace 21


Řešení pro dodržování autorských práv:  Kontrola legálnosti používaného SW:  Realizace SW auditu

 Implementace nástrojů pro SW/HW audit  Opatření na ochranu výkonu autorských práv v pracovních smlouvách a dokumentaci

22


Informační systémy veřejné správy (ISVS)  Zákon č. 365/2000 Sb., o informačních systémech veřejné správy (novelizován Zákonem č. 81/2006 Sb.):  např.: AIS, systém datových schránek, e-podatelna, spisová

služba atd.

 Vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS o požadavcích na strukturu a obsah informační koncepce (IK) a provozní dokumentace, a na řízení bezpečnosti a kvality ISVS  Povinnosti OVS – správce ISVS:  zajistit atestaci dlouhodobého řízení ISVS do 1. 1. 2010  mít zpracovánu informační koncepci a provozní dokumentaci

do 1. 1. 2009 23


Řešení pro dlouhodobé řízení ISVS:

24


Základní registry  Zákon č. 111/2009 Sb., Zákon o základních registrech:  registr obyvatel (MV)  registr osob (ČSÚ)  registr územní identifikace, adres a nemovitostí (ČÚZK)

 registr práv a povinností (MV)  + ORG (ÚOOÚ)

 Povinnosti:  konkrétní lhůty týkající se poskytování potřebných údajů  oznamování výkonu své působnosti v agendě  uvedení AIS do souladu s požadavky zákona

25


Normy

26


Jak na certifikace/atestace?  Atest dlouhodobého řízení ISVS  povinně předkládaná dokumentace k atestaci  informační koncepce  provozní dokumentace

 Certifikace dle normy (ISO)  certifikační orgán na základě splnění požadavků

normy  ISMS (informační bezpečnost) = řada norem ISO 2700x

27


Normy ISO k informační bezpečnosti

28


Normy řady 2700x  ISO 27001 - ISMS – Požadavky (2006)  požadavky, podle kterých jsou systémy certifikovány:     

systém řízení (managementu) bezpečnosti informací odpovědnost vedení interní audity ISMS zlepšování ISMS přílohy  cíle opatření a jednotlivá bezp. opatření, vztah mezi ISO 9001, 14001 a 27002)

29


Normy řady 2700x  ISO 27002 - ISMS – Soubor postupů (2006)  soubor postupů pro řízení informační bezpečnosti:            

30

hodnocení a zvládání rizik bezpečnostní politika organizace bezpečnosti informací řízení aktiv bezpečnost lidských zdrojů fyzická bezpečnost a bezpečnost prostředí řízení komunikací a řízení provozu řízení přístupu akvizice, vývoj a údržba informačních systémů zvládání bezpečnostních incidentů řízení kontinuity činností organizace soulad s požadavky


Co s tím vším?

31


ISMS – Systém řízení informační bezpečnosti  Příprava na certifikaci: I.

Procesní shoda  audit zaměřený na prověření shody interních procesů s požadavky ISMS

II.

Technická shoda  technicky zaměřený audit s bezpečnostními požadavky, realizace penetračních testů (externí - zvenčí, interní),

III. Řízení rizik IS  metodika analýzy rizik, identifikace aktiv, katalog hrozeb, identifikace a ohodnocení rizik, akceptace zbytkového rizika

IV. Plán bezpečnosti  zpracování harmonogramu realizace přijatých bezpečnostních opatření implementace bezpečnosti do praxe)

32


... ISMS – pokračování... Bezpečnostní dokumentace

V.    

bezpečnostní politika ICT bezpečnostní směrnice (bezp. manažer, správce IS) směrnice příručky, postupy a manuály (pro správu IT a uživatele) havarijní plán, plán obnovy a plán zajištění kontinuity

VI. Příprava na ISMS  prohlášení o aplikovatelnosti  plány přezkoumání shody  záznamy o přezkoumání (vč. zprávy z analýzy rizik, penetračních testů atd.)

VII. Bezpečnostní školení  zajištění úvodního bezpečnostního školení a průběžného vzdělávání zaměstnanců v informační bezpečnosti

33


I. Procesní shoda  Splnění zákonných požadavků?  vypracujeme pro vás detailní přehled zákonných povinností  zpracujeme informační koncepci a provozní dokumentaci k ISVS

dle požadavků zákona, resp. vyhlášky (vč. bezpečnostní politiky, směrnic a příruček)  poskytneme vám metodické vedení, podporu a zkušenosti při řízení rizik, tvorbě plánů a metrik pro měření bezpečnosti, havarijních plánů (vč. kontinuity a obnovy)

 Splnění požadavků na ICT a ochranu dat?  zpracujeme dlouhodobou informační strategii, včetně

aktualizace/tvorby veškeré potřebné dokumentace  vytvoříme bezpečnostní plán, navrhneme řešení a zajistíme implementaci opatření ve všech oblastech informační bezpečnosti  zajistíme školení a vzdělávání v ochraně ICT a dat 34


II. Technická shoda  Technická (počítačová a komunikační) oblast bezpečnosti:  „řízení komunikací a řízení provozu“  „řízení přístupu“  HW, SW, OS, technika a technologie:  Důvěrnost:  šifrování  přístupová práva

 Integrita:  šifrování, elektronický podpis  přístupová práva

 Dostupnost:  High Availability/Load Balancing  Business Continuity Management (BCM), Disaster Recovery Planning (DRP)  Zálohování 35


II. Technická shoda (...pokračování)              36

optimalizace bezpečnostní infrastruktury návrh a doporučení vhodných a účinných opatření ochrana informací v elektronické podobě vhodný způsob šifrování citlivých informací bezpečný tisk citlivých informací antispamová ochrana elektronické pošty ochrana poštovních zpráv (e-mailů s citlivým obsahem) možnost využití PKI (Public Key Infrastructure) ochrana sítě před nežádoucím přístupem zvenčí i zevnitř (IDS, IPS) ochrana před škodlivými kódy a programy kontrola fyzického přístupu k systémům a zařízením bezpečnost mobilních zařízení (vč. nosičů dat) bezpečná likvidace dat v elektronické podobě Zavádíme a provozujeme užitečné informační technologie v organizacích.

III. Řízení rizik IS  Analýza rizik, audit shody s požadavky  analýza rizik IS za použití vhodné metodiky  identifikace hrozeb, zranitelností a rizik  odhad pravděpodobnosti a dopadů na systém a data

 stanovení míry jednotlivých rizik  otestování možnosti průniku do počítačové sítě zvenčí nebo

zevnitř  skenování systémů  návrhy a doporučení opatření eliminujících bezpečnostní rizika

 Realizace certifikovanými odborníky (CISA, „etický hacker“) 37


IV. Plán bezpečnosti  Návrh komplexního projektu řízení bezpečnosti informací nebo vybraných částí  Vytvoření harmonogramu implementace jednotlivých opatření – plán bezpečnosti

38


V. Bezpečnostní dokumentace      

39

Strategie/koncepce řízení bezpečnosti informací a IS Metodika, plány a metriky pro měření bezpečnosti Bezpečnostní politika Bezpečnostní směrnice Příručky a postupy Havarijní plán, plán zajištění kontinuity a plán obnovy


VI. Příprava na ISMS  Schválení plánu bezpečnosti vč. přidělení kapacit, lhůt, odpovědností, financí...  Implementace opatření  Vybudování systému řízení bezpečnosti informací (prohlášení vedení, ustavení ISMS, rolí a odpovědností)  Příprava na předcertifikační audit ISMS dle normy ISO 27001 (metodika, realizace)  Prohlášení o aplikovatelnosti  Plány ověřování shody (přezkoumání)

40


VII. Bezpečnostní školení  Rozsah požadovaného školení:  jednorázové školení  opakované kurzy  průběžné vzdělávání

 Specifikace dle požadavků:  trénink pro management  školení pro uživatele  speciální kurzy pro správce

41


Resumé:

100% bezpečnost neexistuje, lze ji však mít pod kontrolou.

42


Děkuji Vám za pozornost.

Luděk Mandok CISA, CRISC IT Security konzultant 724 289 323 [email protected]

Zapomenutý server

44


Historie malware           45

1949 – Cellular automata 1959 – Core Wars – války o jádro 1960 – Králičí (Rabbit) programy 1971 – První červ - Creeper 1978 – červ Wampire 1982 – virus pro Apple s efekty – Elk Cloner 1985 – Trojský kůň - EGABTR 1986 – Brain – první virus pro PC 1987 – červ Christmas tree (Vánoční stromeček) 1988 – Morrisův červ (někdy označován za první internetový červ)


Historie malware 2.         

46

1989 – AIDS - trojský kůň vyděrač 1991 – Tequila – první polymorfní virus 1992 – Michelangelo panika 1994 – Good Times – první emailem šířený hoax 1995 – Concept – první makro virus 1999 – virusy v emailech – Mellisa, Bubbleboy 1999/2000 – Y2K panika 2000 – DoS útoky a I love You 2001 – virusy a červi se šíří prostřednictvím webových stránek a síťových sdílených adresářů Nimda a Sircam


Historie malware 3.  2003 – první zombie (červ Sobig) a rybaření/phishing (červ Mimail)  2004 – IRC boty  2005 – nastupují rootkity  2006 – vyděračský software se začíná šířit a dostává jméno Ransomware – Zippo a Archiveus  2008 – falešný antivirový program - AntiVirus 2008.  2009 – Conficker jako mediální hvězda, nová vlna polymorfů  2010 – červ Stuxnet

47


Koncepce informační bezpečnosti

Recommend Documents