Management bezpečnosti informací dle ISO 27001:2006 Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
1
O autorovi • Ing. Jaroslav Březina – Pracuje ve společnosti SYSCOM SOFTWARE • • • •
Představitel vedení pro systém jakosti Manažer jakosti Manažer bezpečnosti informací Bezpečnostní ředitel pro řízení utajovaných informací
– Je certifikován jako manažer jakosti a auditor QMS společností CERT Kladno
ENVIRO 15.4.2010
Ing. Jaroslav Březina
2
Představení společnosti Společnost SYSCOM Software s.r.o. vznikla v roce 1994. Sídlo firmy je v Praze, provozovnu má v Hradci Králové. Zaměřujeme se na dodávky komplexních řešení v oblasti informačních systémů a dalších IT služeb. Hlavní činností společnosti je vývoj software na zakázku, jak na významných zakázkách pro státní a veřejnou správu (např. AVISME, EDS/SMVS), tak i pro komerční organizace (např. v minulosti software pro CK Čedok a QUELLE). Společnost SYSCOM SOFTWARE s.r.o. disponuje vynikajícím know-how v oblasti legislativy a metodiky ve státní správě České republiky. ENVIRO 15.4.2010
Ing. Jaroslav Březina
3
Představení společnosti Hlavní produkty společnosti: Pro státní správu - AVISME Informační systémy vyvinuté společností SSW podle potřeb rozpočtových organizací. Při vývoji produktů firma respektuje nejen potřeby zákazníka, ale i platnou legislativu, jejíž změny neustále plynule promítá do systémů a jejich aplikací.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
4
Představení společnosti Pro státní správu - EDS/SMVS Evidenčně Dotační Systém / Správa Majetku ve Vlastnictví Státu Systém je určen pro vstup a zpracování dat části státního rozpočtu. Je využíván na jednotlivých ministerstvech s přímým napojením na Ministerstvo financí ČR, kde slouží k centrálnímu zpracování podkladů pro tvorbu plánu výdajů státního rozpočtu. Systém je zaměřen na zkvalitnění, zpřehlednění a usnadnění rozhodovacích, řídících a kontrolních procesů programového financování. ENVIRO 15.4.2010
Ing. Jaroslav Březina
5
Představení společnosti EDS/SMVS je více úrovňový systém, jehož činnost spočívá v propojení všech jednotlivých složek dané organizace a ve vzájemné výměně dat mezi rezortem a MF. Řešení v současné době předpokládá tři úrovně (Ministerstvo financí ČR – kapitoly (rezorty) – organizační složky státu, nebo právní subjekt), je však možné jej aplikovat na libovolnou organizační strukturu. Hlavní cíle systému EDS/SMVS • •
• • •
Jednoznačně vymezit typy výdajů, které musí být vedeny v programovém financování. Sjednotit procesy řízení projektů (akcí) v programovém financování se zákonem o finanční kontrole. Úprava metodiky umožňující bezproblémové uvolňování finančních prostředků na projekty kofinancované z fondů EU. Úprava metodiky a systému týkající se rezervních fondů. Příprava modulů Integrovaného informačního systému Státní pokladny - IISSP.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
6
Představení společnosti Pro komerční organizace: QUELLE Schikedanz AG & Co. - systém LAWIS pro významný evropský zásilkový dům je určen pro řízení logistiky velkoskladu v dceřiných společnostech a představuje komplexní řešení problematiky zásilkového obchodu. V současné době je jednání se skupinou Halens & Cellbes, Consortio Fashion Group s.r.o. (Švédsko) ENVIRO 15.4.2010
Ing. Jaroslav Březina
7
Představení společnosti Další služby: • Návrh systémového SW, HW, komunikací a dalších technologií • Konzultační činnost a analýza • Zaškolení obsluhy a technického personálu • Zabezpečení zkušebního provozu v místě instalace • Technická podpora • Záruční servis na celý systém • Pozáruční konzultační a servisní činnost • Provozování aplikací v prostředí Internetu • Fulltextové nadstavby pro WWW servery ENVIRO 15.4.2010
Ing. Jaroslav Březina
8
Představení společnosti Společnost SYSCOM Software s.r.o. vlastní následující certifikáty: certifikát ISO 9001:2009 do 14.10.2014 certifikát ISO/IEC 27001:2006 do 23.07.2015 Osvědčení NBÚ na stupeň utajení „Důvěrné“ do 18.4.2015 profesní certifikáty Microsoft a Oracle
ENVIRO 15.4.2010
Ing. Jaroslav Březina
9
ČSN ISO/IEC 27001:2006 Systémy bezp. informací - Požadavky • Tato norma nahrazuje ČSN BS 7799-2 (2004) • Vazba na ČSN ISO/IEC 13335-3:2000 – Techniky řízení bezpečnosti IT
• Vazba na ČSN ISO/IEC 17799:2006 – Oprava 1 , změna na ČSN ISO/IEC 27002:2008 – Soubor postupů pro management bezp. informací
• Vazba na ČSN ISO 90003:2005 – Směrnice pro použití ISO 9001 na počítačový SW ENVIRO 15.4.2010
Ing. Jaroslav Březina
10
Vazba na ISO 9001:2008 • Většina požadavků se kryje s ISO 9001:2008 • Rozdíl je položen na – Ustavení ISMS – Rozsah ISMS – Zavádění, řízení a provozování ISMS Zde je základní deklarace (přihlášení se) k principům ISMS – detaily k zavedení jsou uvedeny v Příloze A: Cíle, opatření a jednotlivá bezpečnostní opatření. ENVIRO 15.4.2010
Ing. Jaroslav Březina
11
Vazba na ISO 9001:2008 • Stejně jako v ISO 9001:2008 je nutné stanovit: – Bezpečnostní politiku ISMS – Vyloučené oblasti z ISMS – Hlavní cíle k zajištění bezpečnostní politiky ISMS a zvlášť uvedené specifické požadavky – Právní zajištění ISMS (legislativa ČR i EU)
ENVIRO 15.4.2010
Ing. Jaroslav Březina
12
Aktiva a rizika • Norma požaduje klasifikaci informačních aktiv – tzn. rozdělení aktiv na jednotlivé kategorie např.: • Kategorie U: Pokrývá účetní a platební informace • Kategorie O: Pokrývá osobní údaje • Kategorie I: Pokrývá interní informace • Kategorie P: Pokrývá informace o výzvách a projektech • atd. Seznam informačních aktiv jsem uvedl pro přehlednost a další návaznosti v samostatné příloze ke směrnici „Směrnice pro řízení bezpečnosti informací „ ENVIRO 15.4.2010
Ing. Jaroslav Březina
13
Aktiva a rizika • Řízení informačních rizik jsem rozdělil do následujících podkapitol, a to: – Identifikace a hodnocení rizik – Zvládání rizik – Kontroly zvládání rizik – Zbytková rizika V samostatné příloze se seznamem informačních aktiv jsem doplnil rizika a jejich klasifikaci k jednotlivým aktivům. Nástin tabulky viz dále. ENVIRO 15.4.2010
Ing. Jaroslav Březina
14
Seznam klasifikovaných informačních aktiv a jejich rizik Zkratka
Projekty
Věcný obsah Informace o vyhlášených a předložených projektech
Specifikace. Internetové stránky, Intranet, Vnitřní informační systém
Kategorie aktiva P
Odpovědnost VP TVP
Riziko
Zvládání rizika
Střední: a) ztráta dokumentu b) nesoulad elektronického a papírového záznamu
Stanovení úložného místa a důsledná kontrola spisu a jeho elektronické verze
Atd.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
15
Analýza rizik na základě rozlišení typů hrozeb a obecných zranitelností • Kategorie hrozby: –A náhodná –E přírodního charakteru –D úmyslná Ke kategorizaci jsem využil ČSN ISO/IEC TR 133353:2000 – Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 3: Techniky pro řízení bezpečnosti IT , příloha „C“ Seznam možných typů hrozeb a přílohu „E“ Typy metod analýzy rizik. ENVIRO 15.4.2010
Ing. Jaroslav Březina
16
Analýza rizik • Stupeň rizika určuje příslušný expert (viz ČSN ISO/IEC 13335-3, příloha E, příklad 3 – Odhad hodnoty četnosti a možné změny rizik). Hrozba/Incident Zranitelnost
Riziko Příčina
Zvládání rizika
Kat.
Software Nejasné nebo neúplné specifikace pro vývojáře; nedostatek efektivního řízení změn
ENVIRO 15.4.2010
Selhání software
D, A
střední
Proškolený personál, specifikace SW pro jednotlivé PC – viz M 07-07
Ing. Jaroslav Březina
17
Postup zavedení v SSW - 1 • • • • •
Rozhodnutí vedení Jmenování MBI (manažera bezpečnosti informací) Stanovení etap zavádění ISMS Zpracování hmg zavádění ISMS Zpracovávání dokumentace dle hmg – – – –
Doplnění stávající dokumentace QMS Zpracování zastřěšující směrnice pro ISMS Zapracování do integrované PK Provedení interního auditu
ENVIRO 15.4.2010
Ing. Jaroslav Březina
18
Postup zavedení v SSW - 2 • Projednání závěrů interního auditu • Zpracování nápravných opatření a sledování jejich plnění a zapracování závěrů do dokumentace. • Ověření zavedených opatření a zpracování zprávy o zavádění ISMS • Rozhodnutí vedení k provedení certifikace dle ISO 27001:2006 ENVIRO 15.4.2010
Ing. Jaroslav Březina
19
Problematické oblasti při zavádění • Přístup na řešení problematických oblastí je nejlépe předvést na jednotlivých cílech, které jsou rozpracovány v normě v příloze A – Cíle, opatření a jednotlivá bezpečnostní opatření. Příloha A je rozdělena na 11 doporučení a návodů pro zavedení nejlepších praktik pro podporu těchto opatření (A5 – A 15).
ENVIRO 15.4.2010
Ing. Jaroslav Březina
20
Opatření A 5 • Bezpečnostní politika informací – Je nutné stanovit: • Bezpečnostní politiku ISMS • Přezkoumání vedením organizace
ENVIRO 15.4.2010
Ing. Jaroslav Březina
21
Opatření A 6 • Organizace bezpečnosti informací – Interní organizace • Závazek vedení • Přidělení odpovědnosti v oblasti ISMS • Dohody o ochraně důvěrných informací
– Externí subjekty • Identifikace rizik plynoucích z přístupu ext. subjektů • Bezpečnostní požadavky pro přístup klientů • Bezpečnostní požadavky v dohodách s třetí stranou
ENVIRO 15.4.2010
Ing. Jaroslav Březina
22
Opatření A 7 • Řízení aktiv – Odpovědnost za aktiva • Evidence aktiv • Vlastnictví aktiv
– Klasifikace informací • Doporučení pro klasifikaci • Označování a nakládání s informacemi
ENVIRO 15.4.2010
Ing. Jaroslav Březina
23
Opatření A 8 • Bezpečnost lidských zdrojů – Před vznikem pracovního poměru • Role a odpovědnosti, Prověřování • Podmínky výkonu pracovní činnosti
– Během pracovního poměru • Odpovědnost vedoucích zaměstnanců • Informovanost, vzdělávání a školení v oblasti ISMS
– Ukončení nebo změna pracovního poměru • Odpovědnosti při ukončení pracovního poměru • Odebrání přístupových práv
ENVIRO 15.4.2010
Ing. Jaroslav Březina
24
Opatření A 9 • Fyzická bezpečnost a bezpečnost prostředí – Zabezpečené oblasti • Fyzický bezpečnostní perimetr • Kontroly vstupu osob • Ochrana před hrozbami zvnějšku a prostředí
– Bezpečnost zařízení • • • •
ENVIRO 15.4.2010
Umístění zařízení a jeho ochrana Bezpečnost kabeláže Bezpečnost zařízení mimo objekt Bezpečná likvidace nebo opakované použití zařízení
Ing. Jaroslav Březina
25
Opatření A 10 • Řízení komunikací a provozu – Provozní postupy a odpovědnosti • Dokumentace provozních postupů • Řízení změn
– Řízení dodávek služeb třetích stran • Dodávky služeb • Monitorování a přezkoumání služeb třetích stran
– Plánování a přejímání systému • Řízení kapacit • Přejímání systémů
ENVIRO 15.4.2010
Ing. Jaroslav Březina
26
Opatření A 10 - pokračování – Ochrana proti škodlivým programům a mobilním kódům • Opatření na ochranu proti škodlivým programům
– Zálohování – Správa bezpečnosti sítě • Síťová opatření • Bezpečnost síťových služeb
ENVIRO 15.4.2010
Ing. Jaroslav Březina
27
Opatření A 10 - pokračování - Bezpečnost při zacházení s médii • Správa výměnných počítačových médií • Postupy pro manipulaci s informacemi • Bezpečnost systémové dokumentace
- Výměna informací - Postupy a politiky při výměně informací - Elektronické zasílání zpráv - Informační systémy organizace
ENVIRO 15.4.2010
Ing. Jaroslav Březina
28
Opatření A 10 - pokračování - Služby elektronického obchodu • On-line transakce • Veřejně přístupné systémy
- Monitorování • Pořizování auditních záznamů • Administrátorský a operátorský deník • Synchronizace hodin
ENVIRO 15.4.2010
Ing. Jaroslav Březina
29
Opatření A 11 • Řízení přístupu – Požadavky na řízení přístupu • Politika řízení přístupu
– Řízení přístupu uživatelů • Registrace uživatele • Řízení privilegovaného přístupu
– Odpovědnosti uživatelů • Používání hesel • Zásada prázdného stolu a prázdné obrazovky monitoru ENVIRO 15.4.2010
Ing. Jaroslav Březina
30
Opatření A 11 - pokračování - Řízení přístupu k síti • Politika užívání síťových služeb • Ochrana portů pro vzdálenou diagnostiku a konfiguraci
- Řízení přístupu k operačnímu systému • Bezpečné postupy přihlášení
- Řízení přístupu k aplikacím a informacím • Oddělení citlivých systémů
- Mobilní výpočetní zařízení a práce na dálku • Mobilní výpočetní prostředky
ENVIRO 15.4.2010
Ing. Jaroslav Březina
31
Opatření A 12 • Akvizice, vývoj a údržba systémů – Bezpečnostní požadavky informačních systémů • Analýza a specifikace bezpečnostních požadavků
– Správné zpracování v aplikacích • Validace vstupních dat • Kontrola vnitřního zpracování
– Kryptografická opatření • Politika pro použití kryptografických opatření • Správa klíčů ENVIRO 15.4.2010
Ing. Jaroslav Březina
32
Opatření A 12 - pokračování • Bezpečnost systémových souborů – Správa provozního programového vybavení – Řízení přístupu ke knihovně zdrojových kódů
• Bezpečnost procesů vývoje a podpory – Postupy řízení změn – Programové vybavení vyvíjené ext. dodavatelem
• Řízení technických zranitelností – Řízení, správa a kontrola technických zranitelností ENVIRO 15.4.2010
Ing. Jaroslav Březina
33
Opatření A 13 • Zvládání bezpečnostních incidentů – Hlášení bezpečnostních událostí a slabin • Hlášení bezpečnostních událostí a slabin
– Zvládání bezpečnostních incidentů a kroky k nápravě • Odpovědnosti a postupy • Ponaučení z bezpečnostních incidentů • Shromažďování důkazů
ENVIRO 15.4.2010
Ing. Jaroslav Březina
34
Opatření A 14 • Řízení kontinuity činnosti společnosti – Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací • Zahrnutí bezpečnosti informací do procesu řízení kontinuity činnosti organizace • Vytváření a implementace plánů kontinuity • Testování, udržování a přezkoumání plánů kontinuity
ENVIRO 15.4.2010
Ing. Jaroslav Březina
35
Opatření A 15 • Soulad s požadavky – Soulad s právními požadavky • Identifikace odp. předpisů • Ochrana duševního vlastnictví, záznamů organizace
– Soulad s bezpečnostními politikami, normami a technická shoda • Shoda s bezpečnostními politikami a normami • Kontrola technické shody
– Hlediska auditu informačních systémů • Opatření k auditu informačních systémů
ENVIRO 10.9.2012
Ing. Jaroslav Březina
36
Závěr
Děkuji za pozornost.
Jaroslav Březina - Manažer jakosti SYSCOM Software spol. s r. o.
Kytlická 818/21a, 190 00, Praha 9 e-mail:
[email protected] tel: 286 000 628; fax: 286 892 961 http://www.ssw.cz
ENVIRO 15.4.2010
Ing. Jaroslav Březina
37
