1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 PŘÍLOHA Č. 2 OVĚŘENÍ STAVU INFORMAČNÍ BEZPEČNOSTI Řízení bezpečnosti ICT Centra pro regionální rozvoj ČR Ověření s...
Řízení kontinuity činností organizace ........................................................................................22
3.12
Soulad s požadavky ....................................................................................................................23
3.13
Závěrečné hodnocení podle ISO 27001 .....................................................................................23
Hlavní nálezy.......................................................................................................................................25 4.1
Certifikace dle ISO 27001...........................................................................................................25
4.2
Hodnota informací .....................................................................................................................25
4.3
Procesní řízení IT ........................................................................................................................26
4.4
Kontinuita provozu a odolnost proti chybám ............................................................................28
4.5
Organizační členění, pracovní role.............................................................................................28
Seznam obrázků Obrázek č. 1 – Cyklus PDCA............................................................................................................. 9 Obrázek č. 2 – Míra souladu s definovaným PDCA cyklem........................................................... 27
Seznam tabulek Tabulka č. 1 – Stupnice výsledných hodnot rizik........................................................................... 12 Tabulka č. 2 – Interpretace jednotlivých úrovní rizik .................................................................... 13 Tabulka č. 3 – Seznam posuzovaných aktiv................................................................................... 16 Tabulka č. 4 – Nálezy penetračních testů...................................................................................... 20 Tabulka č. 5 – Shrnutí nálezů dle hlavních kapitol ........................................................................ 24 Tabulka č. 6 – Popis procesů ......................................................................................................... 51 Tabulka č. 7 – Rejstřík základních pojmů ...................................................................................... 54
4/54
1 ÚVOD 1.1
HLAVNÍ OČEKÁVÁNÍ ZADAVATELE
Z povahy činností zadavatele - Centra pro regionální rozvoj ČR - je zřejmé, že zadavatel plní významnou úlohu v rámci pomoci cílovým skupinám při úspěšné realizaci projektů schválených k spolufinancování z prostředků EU a zásadním způsobem tak přispívá k čerpání finančních prostředků z fondů EU. Politikou zadavatele je poskytovat vysoce kvalitní služby, kde kvalita bude garantována kombinací nastavených procesů a kompetentních pracovníků. Informace, které zadavatel v rámci svých činností zprostředkovává cílovým skupinám, jsou uloženy v elektronické podobě v informačních systémech. Kvalita poskytovaných služeb je tak do značné míry ovlivněna kvalitou příslušných IT procesů a bezpečností zpracovávaných informací. Vzhledem k poměrně vysoké vyzrálosti zadavatele v procesní rovině (dosažení certifikace ISO dle EN ISO 9001:2008) je nyní hlavní očekávání zadavatele směřováno k zajištění odpovídajícího stavu vyzrálosti i v oblasti bezpečnosti informací. Tento stav by měl být dokumentován získáním mezinárodního certifikátu ISO 27001. Zadavatel očekává, že v rámci tohoto dokumentu získá:
•
Celkový pohled na stav bezpečnosti v organizaci (v porovnání vůči příslušným mezinárodně uznávaným normativům, a to jak z pohledu provozovaných technologií, organizačního zajištění, tak i z hlediska systematizace řízení), který bude dále objektivizován a kvantifikován dle míry odpovídajícího rizika.
•
Strategii a taktiku dalšího postupu pro získání odpovídající bezpečnostní certifikace (nadefinování příslušných protiopatření, stanovení jejich priorit, hrubého finančního rámce a časové posloupnosti).
1.2
KLÍČOVÁ ZJIŠTĚNÍ - PŘEHLED
Celkově je možno konstatovat, že procesní vyspělost zadavatele pozitivně ovlivňuje i jeho vyspělost v oblasti bezpečnosti informací. V porovnání s organizacemi podobného typu lze říci, že úroveň péče o bezpečnost informací je u zadavatele nadprůměrná. Dosažení příslušného certifikátu po odstranění zjištěných nedostatků by tudíž neměl být pro zadavatele v horizontu roku 2010 zásadní problém. Detailní analýzu jednotlivých neshod včetně popisu dopadů a příslušné míry neshody naleznete v kapitole 4. Pro potřeby rychlé prezentace výstupů v rámci tohoto Management Summary kategorizujeme příslušná zjištění dle jejich dopadu do oblastí:
•
nástrojů pro řízení bezpečnosti (procesy),
•
dopadů na pracovníky, případně na organizační strukturu,
•
IT technologie.
5/54
1.2.1 Procesní oblast
V procesní rovině byl identifikován nesoulad v důsledné dokumentaci realizovaných aktivit a vyhodnocení naplnění cílů, pro které byly tyto aktivity konány. Toto se týká plošně prakticky všech postupů, které jsou v rámci bezpečnosti realizovány. Neexistují plány pro zachování business kontinuity a disaster recovery. V případě vzniku nepředvídané události se organizace musí spolehnout na morálku, svědomí a znalosti pracovníků, což není z pohledu řiditelnosti procesu žádoucí stav. V rámci řízení bezpečnosti informací chybí klasifikace informací, informace nemají přiřazeny své vlastníky, kteří by za ně měli odpovědnost. Tato skutečnost znamená, že zadavatel pečuje o všechny informace se stejným nasazením, což nemusí být z pohledu nákladů optimální. Chybí dokumentace změnových procesů na straně zadavatele. Tento fakt prohlubuje závislost na jednotlivých dodavatelích a představuje riziko. 1.2.2 Oblast personalistiky
Absentuje definice rolí a s nimi spojených kompetencí a odpovědností pro jednotlivé bezpečnostní procesy. Tento stav vede k snížení řiditelné zastupitelnosti. 1.2.3 Oblast technologií
Současný systém logování a bezpečnostního monitoringu neposkytuje nezpochybnitelné údaje pro následné vyšetření incidentů a forenzní audit. Informace mohou být na úrovni správců zpětně modifikovány. V rámci provozní infrastruktury chybí systém pro detekci nežádoucích aktivit. Tato skutečnost znamená neschopnost zadavatele včasně reagovat na nežádoucí aktivity, případně zpětně vyšetřit bezpečnostní incidenty. Odpovídající návrh protiopatření – projektových aktivit naleznete v kapitole Navrhovaná opatření. Tento návrh vychází z doporučení příslušných ISO norem a je parametrizován pro podmínky zadavatele.
Závěrem tohoto rychlého přehledu si dovolíme upozornit, že celý proces certifikace ISO 27001 je poměrně náročný z hlediska disponibilních kapacit uchazeče a odborné zdatnosti při komunikaci s auditorem.
6/54
1.3
ZADÁNÍ PROJEKTU
V období od září do listopadu 2009 prováděla externí společnost průzkum stavu řízení informační bezpečnosti v Centru pro regionální rozvoj České republiky. Cílem bylo prověřit stav zabezpečení klíčových informačních systémů, nalézt bezpečnostní slabiny a potenciální místa vzniku bezpečnostních incidentů. Zakázka byla specifikována podle výsledků veřejného výběrového řízení podle Výzvy k podání nabídky ze dne 15.7.2009. Hranice projektu byly definovány následovně:
•
v rámci prověřování stavu řízení informační bezpečnosti nebyla prováděna detailní analýza samotných informačních aktiv, aktiva byla posuzována výhradně z hlediska bezpečnosti informací,
•
nebyla prověřována bezpečnost informací uchovávaných v jiné než v elektronické podobě,
•
nebyly prověřovány smluvní vztahy s dodavateli klíčových informačních systémů,
•
nebyla prověřována softwarová licenční politika,
•
do analýzy nebyly zahrnuty archivy a jejich IT prostředky,
•
hardwarové vybavení je vnímáno především jako podpůrný prostředek, detailnější pohled bude uplatněn v místech, kde vzniknou pochybnosti,
•
do analýzy nebyly zahrnuty koncové stanice pracovníků (běžná PC) a uživatelský software.
1.4
CÍLE PROJEKTU
Hlavním cílem projektu je prověřit stav řízení informační bezpečnosti v členění dle ČSN ISO/IEC 27001 v rámci organizace Centra pro regionální rozvoj ČR. V jednotlivých oblastech bylo identifikováno pokrytí procesů, dostupnost dokumentace a dále organizační a technická opatření. Dále byl v rámci projektu proveden externí penetrační test k prověření internetového připojení a zabezpečení infrastruktury ICT v organizaci. Výstupem práce je souhrn identifikovaných nedostatků týkajících se bezpečnosti informací v Centru pro regionální rozvoj ČR s ohodnocením jejich významu formou bezpečnostního rizika a návrh
opatření doporučených k nápravě.
7/54
2 POPIS UŽITÉHO METODICKÉHO RÁMCE 2.1
ÚVOD DO PROBLEMATIKY
V dnešním světě je informace považována za velmi cenné aktivum. Informační bezpečnost si klade za cíl postihnout všechny fáze životního cyklu informace a zajistit, aby nedošlo k narušení její důvěryhodnosti, integrity nebo dostupnosti. Je pak odpovědností každé organizace tyto cíle naplnit. Klíčem k úspěchu je koncepční řízení informační bezpečnosti, které je zakotvené v procesech v rámci celé organizace, a to i těch přímo nesouvisejících s IT. Pro organizaci, která chce naplňovat cíle informační bezpečnosti a zároveň účelně a efektivně vynakládat své prostředky, je nezbytné vybudovat sofistikovaný systém řízení bezpečnosti informací (ISMS – information security management system). Toho je možné dosáhnout hlavně řízením aktivit na základě analýzy rizik, které ohrožují bezproblémový chod organizace a její snahu o naplňování strategických cílů. K správnému nastavení systému řízení rizik ve společnosti velmi napomáhá rodina norem ISO/IEC 27000. A to hlavně tyto dokumenty:
Definice systému řízení bezpečnosti informací, odpovědnosti za jeho ustavení a řízení a pokrytí jeho životního cyklu, opatření pro shodu (controls)
ISO/IEC 27002:2005 (Information security management system – code of practice) ○
Praktické informace ve formě doporučení, jak dosáhnout žádoucího (nutného pro certifikaci) stavu nastavení procesů a aktivit organizace k podpoře efektivního ISMS
Tyto normy původně vzešly z britského standardu pokrývajícího bezpečnost informačních systémů (BS17799). Díky rozsáhlému připomínkování a následné standardizaci organizací ISO tyto standardy nabízejí prvotřídní a v praxi velmi použitelné postupy.
8/54
ISMS (definovaný v ISO/IEC 27001:2005) využívá pro nastavení a provoz podpůrných procesů implementační a provozní model PDCA (Plan – plánuj, Do – dělej, Check – kontroluj, Act – jednej). Ten pokrývá životní cyklus systému následujícím způsobem:
•
Plánuj: V této fázi se definují cíle ISMS a nastavují procesy, které mají k uskutečnění cílů vést.
•
Dělej: V této fázi se naplánované procesy implementují.
•
Kontroluj: V této fázi se hodnotí efektivita výstupu implementovaných procesů a protiopatření, ideálně s nasazením systému monitorování
•
Jednej: Tato fáze zahrnuje hlavně zpětnou vazbu zjištění neefektivního fungování některých procesů nebo opatření z fáze kontroly. Tato zjištění pak slouží k další optimalizaci v předešlých krocích.
Obrázek č. 1 – Cyklus PDCA
Správně nastavený ISMS využívající tento model je potom schopen v rámci správného fungování komplexně řešit informační bezpečnost organizace jako celku za efektivního vynaložení finančních prostředků a zajistit tak kontinuální shodu se současným standardem. Pro organizace, které vyžadují vysokou úroveň zabezpečení z důvodu vysoce hodnotných aktiv (z hlediska důvěrnosti, integrity nebo dostupnosti) je velmi žádoucí udržovat tento systém v souladu s normou v celém životním období. K tomu výrazně napomáhá certifikace systému podle normy ISO/IEC
9/54
27001. Systém je pak auditorem kompletně prověřen z pohledu třetí strany. Více o certifikaci v kapitole 2.3.
2.2
ROZDÍLOVÁ ANALÝZA ISO27001
Pro správné definování nápravných opatření a kroků vedoucích k nápravě je nutné zajistit objektivní hodnocení fungování a stavu vyspělosti vlastního systému řízení bezpečnosti. V tomto případě je vhodné začít s rozdílovou analýzu oproti normě. Tato analýza si klade následující cíle:
•
Zmapovat stávající funkci organizace bezpečnosti a zastoupení informační bezpečnosti v procesech organizace.
•
Identifikovat případné nedostatky v jednotlivých kapitolách ISO dokumentu, které brání shodě s normou a ohodnotit jejich závažnost (z pohledu míry neshody s normou).
•
Stanovit cestu k nápravě u jednotlivých nedostatků v rámci hodnocení požadavků normy.
•
Uvažovat rizika pro informační aktiva a identifikovat je v relevantních kapitolách dle ISO (To poslouží k vyhodnocení závažných nedostatků v informační bezpečnosti společnosti a doporučí urgentní nápravné opatření).
Rozdílová analýza vychází z rozboru podkladů dodaných zadavatelem (dokumentace), šetření v prostředí zadavatele (obvykle forma interview) a následného expertního vyhodnocení konzultanty dodavatele. Informace procházejí cykly validace a doplňování dle aktuálních zjištění a konfirmace zadavatelem. Zadavatel je průběžně informován o stavu zjištění a v případě identifikace nedostatku zásadního rozsahu, které přímo ohrožuje provoz, je ihned notifikován zabezpečeným komunikačním kanálem.
2.3
CERTIFIKACE ISO/IEC 27001
Certifikace ISMS oproti normě ISO/IEC 27001 je iniciována na požadavek zadavatele, v momentě kdy jsou nedostatky identifikované při rozdílové analýze vyřešeny. Tohoto stavu bude dosaženo po úspěšné realizaci projektů identifikovaných touto studií. Tyto projekty budou mít za cíl odstranit všechny nedostatky a neshody s normou a formou nápravných opatření zajistit shodu s normou v závislosti na stanovené hranici působnosti. Proces certifikace je iniciován organizací (zadavatelem) požadavkem o certifikaci informačního systému řízení bezpečnosti autorizovanému auditorovi (certifikační orgán). Ten musí být registrován a autorizován u národního certifikačního orgánu a autorizován k provedení nezávislé analýzy. Tato analýza obvykle probíhá v těchto krocích:
Setkání s auditorem a základní seznámení s organizací žadatele (případné předání dokumentace pro další fáze auditu).
•
Audit relevantní procesní a organizační dokumentace ISMS, které organizace vlastní (tento audit probíhá bez přítomnosti auditora v prostorách žadatele). ○
•
Je zkoumána shoda formy a obsahu dokumentace s normou.
Audit v prostorách žadatele (‚on-site’)
10/54
○ •
Je zkoumána implementace a míra efektivity procesů prověřených v předchozí fázi (‚odpovídá realita dokumentaci?’).
Seznámení žadatele s výsledky auditu a vyvození závěru. ○
Pro drobné nedostatky může auditor udělit dobu odkladu při doložení plánu nápravy.
○
Zásadní nedostatky mohou vést k neudělení certifikace.
○
Audit pro obhájení certifikace probíhá každé tři roky.
Certifikace systému řízení bezpečnosti informací má pro organizaci nesporné výhody:
•
Záruka správného řízení informační bezpečnosti (díky nastavením interním kontrolám i pravidelným externím auditům). To jak pro organizaci samotnou, tak pro externí partnery. Certifikace je celosvětově uznávaná.
•
Umožnění bezproblémové výměny informací s třetími stranami vyžadujícími certifikaci ISO/IEC 27001
•
Efektivní a systémové vynakládání finančních prostředků díky koncepčnímu plánování
V případě, že organizace uvažuje o certifikaci ISMS akreditovaným auditorem třetí strany, je nutné adresovat všechny nedostatky v stávajícím systému řízení informační bezpečnosti. U méně závažných nedostatků může auditor udělit dobu odkladu při doložení konkrétního plánu nápravy.
2.4
HODNOCENÍ BEZPEČNOSTNÍCH RIZIK
Hodnocení rizik jednotlivých procesů je exaktně vztaženo ke znění normy ISO/IEC 27001, která má obecnou platnost pro organizace různého zaměření a obchodní činnosti. Nevyhovění liteře normy tak z faktického pohledu nemusí mít vliv na samotný výkon (zajištění provozu, správy atd.) a nemusí nutně znamenat nedostatečnou ochranu aktiv. Z pohledu rozdílové analýzy je největší riziko neshoda systému řízení bezpečnosti informací s normou ISO/IEC 27001. Reálná rizika, která ohrožují bezproblémový chod organizace a proces naplňování jejích cílů, jsou adresována součástí ISMS zabývající se řízením informačně bezpečnostních rizik (Risk management). Tato součást využívá kvalitativní analýzy rizik, pracující s relací informačními aktiv a hrozeb. Ve studii jsou tyto poznatky sloučeny v hodnocení jednotlivých složek normy ISO a zároveň adresovány v kapitole vyvozující nápravná opatření. Vyhodnocení rizik v sobě proto spojuje obě tyto složky. Metody použité v rámci studie stanovení rizik pro bezproblémový chod organizace jsou v souladu s ISO/IEC 1335-3 (Metodické pokyny pro řízení informační bezpečnosti). Primárně jsou na základě získaných údajů definována informační aktiva (assets) a jejich význam pro bezproblémové fungování organizace nutné k naplnění jejích strategických cílů. Dále jsou definovány hrozby (threats), které potenciálně negativně působí na informační aktiva (jedno či více). Vztah závažnosti hrozby s klasifikací informačního aktiva (podle dopadu důvěrnosti, integrity a dostupnosti) udává celkový dopad na informační bezpečnost daného aktiva. Jako poslední faktor je nutné stanovit pravděpodobnost, s jakou se může hrozba materializovat a tím fakticky ohrozit informační aktivum a tak narušit informační bezpečnost organizace. Posouzení těchto
11/54
veličin vychází z obdržených informací aktualizovaných s konkrétními zaměstnanci klienta a z expertního posouzení konzultanta. Vzájemný vztah těchto veličin vyjadřuje míra rizika, která vychází ze vztahu: Míra rizika = Pravděpodobnost * Celkový dopad na aktivum Rizika jsou poté pojmenována a popsána. Výsledná hodnota rizika je znázorněna na následující stupnici:
Dopad
Vysoký
3
4
5
Střední
2
3
4
Nízký
1
2
3
Nízká
Střední
Vysoká
Pravděpodobnost
Tabulka č. 1 – Stupnice výsledných hodnot rizik
12/54
Jednotlivým stupňům pak připadá tato interpretace: Stupeň rizika 1 2 3
4
5
Interpretace Aktuální stav je plně v souladu s normou a neohrožuje informační bezpečnost uvažovaných aktiv organizace klienta. Stav je ve shodě s normou s výjimkou drobných nedostatků (v procesní nebo implementační části), které mohou představovat minoritní ohrožení informačních aktiv. Existuje dílčí nesoulad (ne zásadního rázu) aktuálního stavu ve shodě s normou; absence takových opatření může uvádět informační aktiva organizace v ohrožení. Tuto oblast je doporučeno podrobněji analyzovat v rámci nápravných projektů. V současném stavu byly identifikovány nedostatky či jejich skupiny, které nejsou v souladu s normou a absence těchto opatření může ohrozit získání certifikace. Tuto oblast je nutné podrobněji analyzovat v rámci nápravných projektů. Existuje nesoulad mezi nastavením kontrolního mechanismu, který je v rámci uvažované certifikace nutné řešit (případně doplnit). Tuto oblast je nutné detailně analyzovat v rámci nápravných projektů s vysokou prioritou.
Tabulka č. 2 – Interpretace jednotlivých úrovní rizik
Pro každou klauzuli (vyžadované opatření) ISO/IEC 27001 normy je stanoveno riziko dle výše zmíněné metodiky a ohodnoceno příslušným stupněm rizika. Ke každému bodu je k dispozici rovněž dílčí nápravné opatření, které reaguje na aktuální stav požadovaného opatření. Tato dílčí rizika jsou sdružena dle příslušných kapitol ISO normy. Abstrahovaná míra rizika pro jednotlivé kapitoly je pak uvažována při návrhu koncepčních nápravných řešení. Dílčí rizika mohou být seskupena do větších logických celků, na základě kterých je pak možné stanovit efektivní nápravná opatření, která budou koncepčně řešit jejich odstranění nebo zmírnění dopadů. Více o odvození nápravných opatření v kapitole 5.
2.5
PRIORITA RIZIK A ODVOZENÍ NÁPRAVNÝCH OPATŘENÍ
Analyzovaná rizika jsou ohodnocena v závislosti na míře neshody s normou a míře ohrožení informačních aktiv na základě informací čerpaných z primárních (pohovory) a sekundárních (dodané a referenční dokumenty). Pro každý požadavek normy je slovně zhodnocen aktuální stav dané problematiky v organizaci klienta, který vyzdvihuje v čem je proces s normou ve shodě a kde jsou identifikovány nedostatky. Dílčí nápravné opatření potom reaguje na část popisující nedostatky v souladu s normou, které by mohly být problematické při certifikaci a jejich stav se musí aktivně řešit. Detailní tabulkový zápis je možné nalézt v podkapitole 6.1. Obecné závěry hodnotící aktuální stav jsou rozebírány v kapitole 3 (a podkapitolách). Ty jsou tvořeny jako abstrakt detailních zjištění u klienta. Výsledky rozdílové analýzy sloučené s výstupy analýzy rizik jsou rozebírány v kapitole 4. Ty představují hlavní výstup studie a na jejich základě jsou konstruována nápravná opatření. Dílčí nápravná opatření jsou strukturována do bloků, které adresují související skupiny spolu souvisejících nálezů a koncepčně řeší danou situaci. Při návrhu těchto bloků bylo využito interní know-how
13/54
společnosti, které reflektuje současné best-practices (technologie, metodologie, koncepty a modely) a zejména těchto zdrojů:
•
Rodina norem ISO27000 ○
•
COBIT ○
•
praxe s jejich implementací v různých prostředích
Metodologie zabývající se procesním modelem fungování organizace, optimalizací, řízením a modelem hodnocení vyspělosti procesů
ITIL ○
Báze znalostí fungování IT procesů a jejich implementací používaná předními IT společnostmi.
Pro usnadnění nastavení postupu při adresování příslušných opatřením jsme ohodnotili jednotlivé bloky agregovanou mírou rizika, která zahrnuje všechny výše popsané aspekty (neshoda s normou, analýza rizik) a říká organizaci v jakém pořadí se nápravě nedostatků věnovat.
14/54
3 ZHODNOCENÍ STÁVAJÍCÍHO STAVU 3.1
POSUZOVANÁ INFORMAČNÍ AKTIVA
Rozsah posuzování platnosti bezpečnostní normy ISO byl omezen na informační aktiva, která jsou nezbytná pro chod společnosti. Za informační aktivum je považována komponenta nebo určitá část celého sytému, které organizace přikládá určitou hodnotu. Aktiva byla rozdělena do dvou významových kategorií:
•
Hlavní
•
Podpůrná
U těchto aktiv byla ohodnocena úroveň uplatnění kontrolních mechanismů na dané IT procesy pomocí metodiky definované rodinou norem ISO 27000. Pro eliminaci klíčových rizik byla navržena odpovídající protiopatření mající ve většině případů vliv na více procesů (oblastí) najednou. V řadě případů tak řeší ochranu bezpečnosti informačních aktiv komplexně napříč systémy CRR.
15/54
V rámci zkoumání byla posuzována následující informační aktiva:
Podpůrná
Hlavní
Sekce
Název
Funkce
Klasifikace
Odůvodnění
Popis
Monit
Centrální monitorovací systém
vysoká
Přímý vliv na zachování kontinuity hlavní obchodní činnosti organizace.
Benefit
Webová front-end aplikace
vysoká
Moutlook
Správa korporátní agendy
střední
Mitis
Řízení přístupu Identity management
střední
Helios
Informační systém organizace
střední
Přímý vliv na zachování kontinuity hlavní obchodní činnosti organizace. Minimální dopad na hlavní obchodní činnost organizace. Obsahuje citlivé interní údaje. Centrální řízení úrovně přístupu do jednotlivých informačních systémů. Informační systém organizace, účetnictví.
Slouží k automatizovanému zpracování evidence a vyhodnocení námětů projektů, sledování finančního a věcného plnění projektů v průběhu jejich životního cyklu. Podávání žádostí a podpora projektů, slouží jako základní komunikační nástroj. Smlouvy, docházka, cestovní příkazy, dovolené atd.
Pracovní stanice
Uživatelské počítače
střední
RIS
Regionální informační servis a mapový server
nízká
Připojení do internetu
Zajištění trvalého a plnohodnotného připojení na internet
vysoká
Infrastruktura
Správa HW aktiv
vysoká
Na uživatelských stanicích se mohou nacházet citlivé informace. Zpracování veřejných zdrojů informací a publikace na veřejně přístupných místech. Působí jako nedílná součást dostupnosti a poskytování služeb, které jsou hlavní obchodní činnosti organizace. Zajišťuje dostupnosti a důvěrnost poskytováných dat a služeb, které jsou hlavní obchodní činnosti organizace.
Tabulka č. 3 – Seznam posuzovaných aktiv
16/54
Zadávání a přidělování přístupových oprávnění.
Informační systém organizace. Koncové uživatelské počítače.
Agreguje veřejně dostupné regionální informace a je veřejně dostupný krajským úřadům, starostům atd. Zajištění trvalého a plnohodnotného připojení na Internet.
Správa HW aktiv a zajištění jejich dostupnosti, důvěrnosti a integrity.
3.2
BEZPEČNOSTNÍ POLITIKA
Podpora systematického prosazování bezpečnosti informací je obecně zastřešena předpisy OS-08 Informační systém a MP-11 Bezpečnostní politika IT. Dokumenty jsou schváleny vedením organizace a určují tak směr řízení bezpečnosti a soulad s požadavky, příslušnými zákony a směrnicemi. Bezpečnostní politika vychází z obecných zásad a požadavků organizace, obsahuje povinnosti pro realizaci, speciální postupy bezpečnosti a je dostupná všem zaměstnancům na interním datovém úložišti. Pro zajištění neustálé použitelnosti, přiměřenosti a účinnosti je doporučeno politiku přezkoumávat v plánovaných intervalech a to vždy minimálně jednou ročně nebo když nastane významná změna v systému. Přezkoumání a kontrola dodržování zásad definovaných bezpečnostní politikou v praxi probíhá kontinuálně interním (RD-06 Interní audit) a externím auditem.
3.3
ORGANIZACE BEZPEČNOSTI INFORMACÍ
Vedení organizace vyjadřuje podporu systematického řízení bezpečnosti informací v organizaci vydáním a podpisem metodických pokynů MP-11 Bezpečnostní politika IT a MP-13 Provozní řád bezpečnosti IS. Závazek vedení organizace implementovat systém řízení bezpečnosti ISMS nebyl deklarován. Strategie a prostředky pro zpracování informací jsou dlouhodobě plánovány. Na začátku roku je požadavkem odsouhlasen cílový stav, který projde procesem vnitřních kontrol a schvalování. Zajištění bezpečného provozu a administraci klíčových systémů provádí dodavatel systémové integrace. Bezpečnostní požadavky jsou zahrnuty do pracovních povinností, doporučuje se však ověření jejich aplikace v praxi. Vzdělávání o bezpečnosti a aktuální hrozby jsou aktivně sledovány pouze na straně dodavatele systémové integrace a bezpečnostní infrastruktury. Rizika jsou obecně identifikována v MP-21 Rizika a jejich řízení. Bezpečnostní požadavky pro přístup klientů jsou nastaveny genericky a relevantní bezpečnostní požadavky jsou do znění smluv aplikovány jednotlivě podle předmětu dané smlouvy. Míra naplnění požadavků bezpečnosti je v periodických intervalech nezávisle přezkoumávána jak interním oddělěením interního auditu (činnosti a působnost dle RD-06 Interní audit, MP-RD06-001 Metodika auditorské činnosti) tak kontrolami daného řídícího orgánu a různými druhy auditu (např. NKÚ, EU). Kontakt s profesními sdruženími či speciálními fóry pro informační bezpečnost není interně udržován.
3.4
ŘÍZENÍ AKTIV
Cílem řízení informačních aktiv je nastavit a přiměřeně udržovat jejich ochranu, tudíž je nutné definovat signifikantní informační aktiva a rizika na ně působící. Za tímto účelem je zpracován dokument obecného pojetí rizik MP-21 Rizika a jejich řízení. Informační aktiva organizace však nejsou identifikována ani jinak systematicky evidována, klasifikována s ohledem na jejich hodnotu, důvěrnost, právní požadavky, citlivost a kritičnost. Vlastnictví je přiřazeno vedoucímu daného útvaru. Pravidla pro přípustné použití informací a prostředků pro zpracování informací jsou obsažena v předpisech MP-11 Bezpečnostní politika IT a MP-13 Provozní řád bezpečnosti IS. Povinnosti
17/54
a odpovědnosti zaměstnanců jsou definovány popisem pracovních pozic v RD-01 Organizační řád a RD01 SP Popisy pracovních míst.
3.5
BEZPEČNOST LIDSKÝCH ZDROJŮ
Povinnosti a odpovědnosti zaměstnanců jsou definovány v MP-11 Bezpečnostní politice IT, personální bezpečnost je pak definována popisem pracovního místa a působnosti útvaru v předpisech MP-13 Provozní řád bezpečnosti IS, RD-01 Organizační řád, RD-01 SP Popisy pracovních míst a popisem povinností vyplývajících z pracovního poměru v RD-02 Pracovní řád. Odpovědnosti vedoucích zaměstnanců v oblasti dodržování bezpečnosti informací jsou definovány ve vnitřní řízené dokumentaci (ČSN 9001/2008). Proces zahájení nebo změny pracovního poměru zaměstnanců, smluvních a třetích stran probíhá formálním procesem. V praxi je nastaveno prověření nových zaměstnanců podle interních a zákonných požadavků. Při ukončení pracovního nebo smluvního vztahu je zpracován výstupní list, proti podpisu vedoucího útvaru jsou vráceny svěřené prostředky a zadán požadavek na zrušení uživatelského účtu. Proces disciplinárního řízení proti zaměstnanci či smluvní straně porušující předepsaná bezpečnostní pravidla je popsán v RD-02 Pracovní řád. Vzdělávání a školení v oblasti bezpečnosti informací je zaměřeno na bezpečnostní postupy a správné používaní informací. Nutno ověřit úroveň povědomí mezi zaměstnanci, smluvními a třetími stranami o bezpečnostních hrozbách a problémech s nimi spojených, jejich odpovědností a povinností a připravenosti podílet se na dodržování politiky bezpečnosti informací během své běžné práce.
3.6
FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ
Pro zajištění odpovídající úrovně fyzické bezpečnosti je nutné předcházet neautorizovanému fyzickému přístupu do vymezených prostor, poškození a zásahům do provozních budov a informací organizace. Za tímto účelem jsou přístupy do místnosti se síťovým rozvodem ve 4.NP a do datového centra v 1.PP zajištěny pomocí PIN kódu na klávesnici zabezpečovacího zařízení při vstupu do místnosti a je ověřena vstupní karta, která je vydávána pouze povolaným osobám. Přístup k zařízením v serverových skříních je přidělen pouze držitelům rackové vstupní karty. Datové centrum je před hrozbami ztráty, poškození, krádeže nebo kompromitace aktiv chráněno fyzickým perimetrem. Signifikantní výpočetní prostředky jsou umístěny v prostoru datového centra, kde jsou chráněna proti výpadku napájení elektrické energie, poruše klimatizace, poplachovému hlášení, záplavě či požáru. Kabelové rozvody jsou chráněny proti úmyslnému poškození. Není známa úroveň ochrany komunikačních kanálů proti odposlechu. Zařízení zabezpečující provoz datového centra jsou pravidelně kontrolována a udržována. Identifikace návštěv a kontrola totožnosti je prováděna při vstupu do budovy organizace. Fyzické zabezpečení kanceláří a místností volně přístupných během pracovní doby není vynuceno technickými prostředky. Přístup dodavatelů do datového centra je řešen asistovaně a záznam o návštěvě je veden v návštěvní knize. Zařízení obsahující paměťová media nejsou evidována a jejich použití není omezeno, použití tiskáren a obsah tisku není kontrolován.
18/54
3.7
ŘÍZENÍ KOMUNIKACÍ A ŘÍZENÍ PROVOZU
Pro zajištění správného a bezpečného provozu výpočetních prostředků jsou zpracovány zásady a postupy bezpečného zacházení s informacemi, které jsou obecně popsány v MP-11 Bezpečnostní politika IT a MP13 Provozní řád bezpečnosti IS. Veškeré hlavní dokumenty bezpečnosti a předpisy jsou v elektronické podobě umístěny na sdílených discích. Řízení informačních zdrojů a služeb probíhá podle každoročně vypracovaného plánu pořízení informačních technologií. Rozsah kapacit je průběžně sledován dodavatelem systémové integrace (monitorovací systém) a IT manažerem (interní síť). Požadavky na správu a provoz síťových služeb, ochranu infrastruktury pomocí síťových bezpečnostních prvků jsou řízeny a plánovány vedením organizace a realizovány dodavatelem systémové integrace a síťové bezpečnostních prvků. Bezpečnostní požadavky na dodávky služeb třetích stran a úroveň poskytovaných služeb jsou nastaveny případ od případu. Plnění nastavených požadavků je monitorováno neformální cestou a o tomto monitoringu není veden záznam. Při změnovém řízení jsou nejprve na straně CRR sumarizovány požadavky za řídící orgány a odeslány do Národního orgánu pro koordinaci (MMR) na schvalovací řízení. Po specifikaci a vyjasnění požadavku mezi řídícím orgánem a dodavatelem je požadavek předán do realizace. Existují dva druhy změn: vázané na instalaci, tzv. velké opravy (nahlášen požadavek, obdržení nabídek, výběrové řízení, realizace, předání s předávacím protokolem) a nevázané na instalaci, tzv. menší opravy (schválení emailového požadavku odpovědným vedoucím). Testování změnových požadavků je v některých případech zajišťováno pouze dodavatelem. Zálohování je řešeno v rámci centrálního zálohovacího plánu MP-11 SP Bezpečnostní politika IT - Zálohový plán v režimu cluster, na jednom diskovém poli. Je zavedena rotace zálohovacích pásek. Nouzové řešení zálohy provede NT backup na druhé diskové pole. Vytvoření záznamu o selhání či incidentu je nařízeno v předpisu MP-13 Provozní řád bezpečnosti informačního systému. Pro udržení integrity a dostupnosti informací a prostředků pro jejich zpracování je prostředí odděleno na vývojové a testovací. Mimo testování existují případy, kdy jsou úpravy po instalaci prováděny přímo v produkčním prostředí a testování změn je v některých případech z důvodu časové náročnosti pouze v kompetenci dodavatele. Ochrana informací je v emailových zprávách řešena úrovní přístupových oprávnění. Práva na přidělení čtení emailu má skupina doménových administrátorů. Ochrana proti škodlivým programům je pro klientské i serverové OS zajišťována pomocí Symantec Endpoint Protection. Monitoring použití výpočetních prostředků je předepsán v MP-11 Bezpečnostní politika IT. Monitorován je provoz z/do internetu a prováděné aktivity. Záznam o aktivitách správce systému a systémového operátora existuje v centrální evidenci logů a v některých případech také přímo v aplikaci. Auditní záznamy v podobě těchto logů jsou uchovávány půl roku a obsahují informace o veškerých incidentech a přístupech. Uchovávané záznamy jsou proti zfalšování chráněny pomocí nastavené úrovně oprávnění k přístupu. Synchronizace zařízení je prováděna ve vztahu k centrálnímu prvku, který je synchronizován proti přesnému času v internetu.
19/54
Zacházení s výměnnými počítačovými médii není omezeno a pravidla pro spolehlivou likvidaci médií nejsou zavedeny. Není řešena ochrana informací během přepravy. 3.7.1 Bezpečnost komunikačního provozu V rámci ověření stavu informační bezpečnosti byly provedeny externí penetrační testy, jejichž účelem bylo podepřít zjištění z prováděných interview tzv. „tvrdými“ daty. Prověřeno bylo zabezpečení zařízení zajišťujících internetové připojení a internetové služby poskytované CRR.
Následující tabulka shrnuje testované služby a učiněné nálezy: Označení MAIL
drobné nedostatky méně vážné slabiny vážnější slabiny zásadní slabiny
Nalezené nedostatky v zásadě poukazují na oblast konfigurace síťových služeb, jako např. existence nadbytečných souborů, podpora slabých šifrovacích algoritmů, podpora starší verze 2 protokolu SSL. Výhrady byly také vzneseny vůči některým reakcím aplikací na chybový stav.
20/54
Existuje podezření na neaktivní rozhraní Citrix MetaFrameXP náchylné na Cross-Site Scripting (XSS), možnost realizace tzv. "phishing" útoků a také nestandardní chování aplikace při neočekávaném vstupu uživatele. Byly také realizovány omezené slovníkové testy hádaní hesel, které nebyly úspěšné. Během prováděných zkoumání nebyly testovány konkrétní uživatelské účty jednotlivých pracovníků, aby bylo zamezeno jejich zamykání po neúspěšných pokusech. Na tuto skutečnost je reagováno doporučením nasazení systému pro bezpečný vzdálený přístup uživatelů, viz. kapitola 5. Rozhraní samotného firewallu byla identifikována pouze na základě DNS záznamů, nebyly nalezeny žádné otevřené porty, které by mohly být cílem potenciálních útoků. Takto nastavenému zařízení není možné z pohledu bezpečnosti cokoli vytknout. V rámci testu nedošlo k úspěšnému průniku do zařízení, čí vnitřní sítě organizace.
3.8
ŘÍZENÍ PŘÍSTUPU
Politika pro řízení přístupu je obsahem předpisu MP-12 Provozní řád bezpečnosti informačního systému. Zakládání, změna, zrušení a kontrola nastavení uživatelských účtů je předepsána předpisem MP-13 Provozní řád bezpečnosti IS. Přezkoumání platnosti přístupových oprávnění bylo provedeno v rámci implementace systému pro řízení přístupu Mitis, není však prováděno a vyhodnocováno periodicky. Pro zajištění autorizovaného přístupu uživatelů k informačním systémům je zavedeno přidělování rolí na pracovní pozici, na základě požadavku vedoucího útvaru. Nejsou genericky definovány role na určitou pracovní pozici, stejná pozice tak může mít ve více odděleních nastaveny různé role. Přístup k informacím uloženým v počítačových systémech je řízen autentizací uživatelského jména a hesla, které je vynuceno pomocí systému pro správu přístupových oprávnění Mitis. Přidělování hesel je řízeno formálním procesem, při kterém o přístup žádá uživatel, schvaluje vedoucí útvaru a do systému nastavuje správce. Po uživatelích je požadováno heslo o síle 6 a více znaků, je doporučeno zahrnout čislice a speciální znaky. Nelze použít posledních 6 hesel, frekvence vynucené změny je jednou za 3 měsíce. Existuje tak možnost použití slabého slovníkového hesla. Přístup na úrovni čtení dokumentace žádostí OP je nastaven pro určené pracovníky i mimo daný pracovní tým. Centrální switch CISCO zajišťuje routing na lokality uspořádané do hvězdy pomocí tunelového spojení. Fyzický přístup k portům zařízení je zabezpečen umístěním prostředků do místnosti datového centra. Ochrana logického přístupu k portům, např. firewallu je zabezpečena pomocí povolených IP adres pro konfiguraci zařízení. Uživatelé mají přístup pouze k síťovým službám a do demilitarizovaných zón, na které mají nastaveno oprávnění. Při práci na dálku je možné pomocí připojení na portál využít služeb elektronické pošty, přístup na sdílené disky a do aplikací je podle individuálního nastavení uživatelského účtu. Nejsou uplatněny předpisy upravující zásady a postupy pro připojení na dálku. Ukončení doby relace je po 15 minutách nečinnosti, aktivní doba Citrix spojení je omezena na 30 minut. Zásada prázdného stolu není vyžadována a je ponechána na zvážení pracovníka.
21/54
3.9
AKVIZICE, VÝVOJ A ÚDRŽBA INFORMAČNÍCH SYSTÉMŮ
Dodavatelem programového vybavení a systémové integrace je společnost Tesco SW. Zajišťuje konzultace a vývoj SW, správu a kontrolu technických zranitelností, systémového prostředí, databázových služeb a dohled nad provozem. Změny programového vybavení jsou řízeny nastaveným procesem s podmínkami podle OS-07 Hodnocení a výběr dodavatelů, nákup. Pracovní skupina pro jednotný monitorovací systém (PSJMS) a zástupce řídícího orgánu přijímají souhrnné informace o změnách. Změnový požadavek, který projde schvalovacím procesem, je předán do realizace dodavateli. Po realizaci a testování je vypracován protokol o testování, který je podepsán zástupci CRR, zhotovitele a řídícího orgánu. Testování je v některých případech z časového důvodu prováděno pouze na straně dodavatele nebo přímo v produkčním prostředí. Informace a data v produkčním i testovacím prostředí nejsou klasifikovány a není tudíž znám požadovaný stupeň jejich ochrany. Historie provozních či programových nedostatků předaných do realizace je udržována pomocí emailového účtu. Požadavky na dodržování bezpečnostních opatření jsou ke každé dodavatelské smlouvě aplikovány v závislosti na jejím obsahu. Validace vstupních a výstupních dat je zajištěna pomocí kontrolních součtů a formální kontrolou správnosti elektronických dat proti podkladům v papírové dokumentaci a je upravena předpisem OS-09 Vnitřní kontrolní systém. Výstupní data ze signifikantních systémů prochází vnitřní kontrolou formálních náležitostí a následně kontrolou přejímajícího subjektu. Operační systém koncových stanic je pravidelně aktualizován, případné negativní dopady aktualizace jsou odhaleny až po instalaci upgradu.
3.10 ZVLÁDÁNÍ BEZPEČNOSTNÍCH INCIDENTŮ Cílem efektivního procesu řízení incidentů je zajistit nahlášení bezpečnostních událostí a slabin a umožnit včasné zahájení kroků vedoucích k nápravě. Proces řízení bezpečnostních incidentů je popsán v předpisu MP-13 Provozní řád bezpečnosti IS a popis činností v předpisu MP-11 Bezpečnostní politika IT. Za účelem detekce bezpečnostních incidentů je nastaveno centrální zaznamenávání činností a jejich vyhodnocování. Bezpečnostní událost je okamžitě hlášena elektronickou poštou kompetentním osobám IT manažera a dodavatele systémové integrace. Historie provozních či programových nedostatků je dohledatelná v účtu elektronické pošty sloužícím pro tento účel.
3.11 ŘÍZENÍ KONTINUITY ČINNOSTÍ ORGANIZACE Pro minimalizaci dopadů způsobených přerušením provozních činností a pro ochranu kritických procesů organizace před následky závažných selhání nebo katastrof je včasná obnova činností zajištěna pomocí pokynu MP-12 Havarijní plán IT. Obsahuje strategii plánování obnovy, organizační zabezpečení, předpisy pro správu a testování plánu. Plánování kontinuity a doporučené postupy jsou pro dílčí oblasti IS/IT řešeny programovými manuály. Aktualizace a testování plánu kontinuity podléhá centrálnímu řízení vedoucím krizového týmu, v minimálním intervalu jednou ročně. Výsledky testování a jejich pravidelnost nebyla zkoumána.
22/54
Analýza rizik je prováděna kontinuálně, například v rámci auditu kvality. Rizika řídících pracovníků jsou popsána v MP-21 Rizika a jejich řízení. Rizika přerušení činnosti jsou identifikována a pravidelně vyhodnocována v rámci pravidelného auditu.
3.12 SOULAD S POŽADAVKY Cílem nastavení souladu s požadavky je vyvarovat se porušení norem trestního nebo občanského práva, jiných zákonných nebo smluvních povinností a bezpečnostních požadavků. Za tímto účelem jsou vypracovány operační a programové manuály a změny legislativy a novel právního řádu jsou aktivně sledovány. Shoda s normami je zajišťována periodickými audity, které probíhají na kontinuální bázi.. Soulad informačních systémů je pravidelně kontrolován interním a externím auditem. Opatření auditu a činnosti zahrnující kontrolu provozních systémů jsou dlouhodobě plánována a probíhají kontinuálně. Auditní nástroje jsou chráněny nastavením oprávnění k přístupu a jejich použití je logováno.
3.13 ZÁVĚREČNÉ HODNOCENÍ PODLE ISO 27001 Tato kapitola si klade za cíl poskytnout zhodnocení provedené rozdílové analýzy oproti normě ISO/IEC 27001. Tento pohled poskytne obecný pohled na klauzule ISO normy, které byly dle použité metodiky hodnoceny stupněm 3 a horším (více informací o metodice v kapitole 2). Takto hodnocené nedostatky představují velké riziko nezískání zamýšlené certifikace systému řízení bezpečnosti informací (ISMS). Je proto nutné na tyto zjištění patřičně reagovat. Více o navrhovaných nápravných opatřeních v kapitole 5.
23/54
Tato tabulka představuje identifikované nálezy seskupené dle hlavních kapitol ISO normy: Členění dle ISO/IEC 27001
Průměr hodnocení kapitol
Počet sig. nedostatků
A.7 Řízení aktiv
4,0
4
A.9 Fyzická bezpečnost a bezpečnost prostředí
3,7
3
A.15 Soulad s požadavky
3,3
3
A.10 Řízení komunikací a řízení provozu
3,2
9
A.11 Řízení přístupu
3,2
5
A.6 Organizace bezpečnosti informací
3,2
5
A.12 Akvizice,vývoj a údržba informačních systémů
3,0
4
A.8 Bezpečnost lidských zdrojů
3,0
2
A.13 Zvládání bezpečnostních incidentů
3,0
2
A.14 Řízení kontinuity činností organizace
3,0
3
Celkový součet
3,3
40
Tabulka č. 5 – Shrnutí nálezů dle hlavních kapitol
Jednotlivá zjištění a zhodnocení aktuálního stavu je rozebíráno v kapitole 4. Nápravná opatření jsou potom adresována v kapitole 5. Při jejich realizaci a patřičné úpravě v implementačním a řídícím modelu ISMS organizace klienta, který zahrnuje plánování, implementaci, kontrolu a zpětnou vazbu, by měla být výše zmíněné nesoulady s normou odstraněny. Při odstranění výše zmírněných nedostatků a sladění dokumentů s normou (což je jedno z nápravných opatření) je certifikace s ISO/IEC 27000 možná.
24/54
4 HLAVNÍ NÁLEZY V rámci zpracování rozdílové analýzy byly identifikovány dílčí oblasti nesouladu se zněním normy, které byly sumarizovány do vyšších logických celků v podobě hlavních nálezů. Celkové hodnocení hlavních nálezů je následující:
•
PROSPĚL VÝBORNĚ – nastavení kontrolních mechanismů plně odpovídá požadavkům normy
•
PROSPĚL VELMI DOBŘE – nastavení kontrolních mechanismů je řízeno požadavky normy, existují však drobné nedostatky ohrožující informační aktiva organizace.
•
PROSPĚL DOBŘE – nastavení kontrolních mechanismů je řízeno požadavky normy, existují však dílčí nedostatky ohrožující informační aktiva organizace
•
NEPROSPĚL - nastavení kontrolních mechanismů není v souladu s požadavky normy a jejich řešení je nutné zabezpečení informačních aktiv organizace, je doporučeno tyto oblasti řešit prioritně.
4.1
CERTIFIKACE DLE ISO 27001
4.1.1 Analýza Vycházíme ze zkušenosti, že „ostrým“ auditem vykonávaným certifikovaným auditorem neprojdou ustanovení, která jsou v použité stupnici známkována hůře než „2“. Množství jednotlivých podkapitol hodnocených jako potenciálně nezpůsobilých a jejich popis je uveden v kapitole 3.13. Stav můžeme hodnotit jako „nezpůsobilý, avšak opravitelný“. Lze předpokládat, že cíleným tlakem na odstranění identifikovaných neshod lze organizaci přivést do certifikovatelného stavu. V porovnání s jinými organizacemi obdobného typu je celkové hodnocení lepší, než je průměrně dosahováno. 4.1.2 Dopady Pokud nebudou nalezené neshody oproti normě odstraněny, je pravděpodobnost úspěšného získání auditního nálezu opravňujícího k certifikaci podle ISO 27001 velmi nízká. Kategorie dopadu: faktická, administrativní 4.1.3 Celkové hodnocení: PROSPĚL DOBŘE Vycházíme z faktu, že získání certifikace organizace podle norem řízení informační bezpečnosti je deklarovaným cílem vedení organizace. Jelikož finální certifikace je očekávána v horizontu 15 měsíců a množství nalezených neshod není zanedbatelné, je nutné se tomuto tématu začít věnovat bez zbytečného odkladu.
4.2
HODNOTA INFORMACÍ
4.2.1 Analýza Stávající předpisová základna a analýza rizik předpokládají zavedení systému „Řízené dokumentace“ ve smyslu ISO 9000. Tento princip je naplňován v oblasti tvorby předpisů, i když také zde nachází analýza rizik prostor k zlepšení. Ve smyslu řízení informační bezpečnosti je potřebné princip „Řízeného
25/54
dokumentu“ vztáhnout nejen na předpisovou základnu, ale aplikovat jej na veškeré informace (rozuměj zpracovávané dokumenty, agendy apod.) související s výkonem funkce organizace. Pro zavedení řízeného oběhu informací je potřebný zavést systém klasifikace informací. Každý dokument, nebo informace v jiné podobě, s sebou musí nést příznak toho, jak je s ním potřeba zacházet. Vedle klasifikace informací je potřebné, aby každý dokument (kategorie dokumentů) měl svého vlastníka, tj. osobu, která je adresně odpovědná za životní cyklus informace. Realizovaná zjištění ukazují, že princip řízení přístupu je zaveden pouze v oblasti předpisů, a částečně je přítomen v práci s aplikací mOutlook. Každopádně však nelze identifikovat přiřazení vlastníků informací, neboť takovou roli organizační předpisy neznají. 4.2.2 Dopady Výsledným dopadem je stav oběhu informací, ve kterém není zaručena jejich dostatečná klasifikace, respektive úroveň zabezpečení potřebná pro jejich ochranu. Výsledným dopadem může být únik citlivých informací, zpřístupnění informace nežádoucí osobě, ztráta informace z důvodu její špatné kategorizace (smazání jako nepodstatná). V případě takového incidentu není možné adresně vyvozovat odpovědnost, z důvodu neexistence institutu „vlastnictví“ informace. Kategorie dopadu: faktická, administrativní 4.2.3 Celkové hodnocení: PROSPĚL DOBŘE Klasifikace informací a jejich adresné vlastnictví jsou základními předpoklady kvalitního řízení informační bezpečnosti. Jejich nenaplnění má zásadní dopad do všech ostatních aktivit v této oblasti.
4.3
PROCESNÍ ŘÍZENÍ IT
4.3.1 Analýza V rámci CRR je vhodné fáze cyklu PDCA (Plan-Do-Check-Act) upřesnit (česky pojmenovat) takto:
•
Cíl – určení, co dělat, jaká činnost a v jakém rozsahu má být vykonávána
•
Předpis – formalizace určení činnosti formou interního předpisu, směrnice
•
Výkon – samotné provádění aktivit
•
Kontrola – prověření, zda předchozí body jsou v realitě v souladu s úkoly organizace, a též zda jsou v souladu s ustanovením norem, které se na činnosti vztahují
Cíle organizace jsou v rámci CRR odvozovány od stávajících předpisů ISO 9000. Hlavním nálezem v této oblasti je fakt, že cyklus PDCA není formálně ustanoven a není definována osoba (role), která by se výkon tohoto cyklu starala. Jednotlivé fáze pak jsou hodnoceny takto:
•
Cíl – cíle bezpečnosti jsou stanovovány podle aktuálních provozních potřeb. Některé cíle jsou definovány v předpisech ISO 9000, ale nejsou pokryty všechny potřebné oblasti. Cíle jsou určovány především v oblasti krátkodobých zásahů s minimální vazbou na dlouhodobé plánování. Není nástroj pro řízení cílů. 26/54
•
Předpis – předpisy existují v neustálém procesu evoluce. Lze identifikovat oblasti pokryté dostatečně, a také oblasti zcela nedotčené. Celkově lze hodnotit stav podchycení cílů organizace v podobě formálního předpisu jako roztříštěný a nezpůsobilý splnění podmínek certifikace podle ISO 27001.
•
Výkon – zcela v souladu se stavem, který lze vysledovat i v ostatních organizacích stejného charakteru a velikosti, je samotný výkon potřebných činností převážně uspokojivý.
•
Kontrola – v rámci provedeného prověřování nebyl prvek cílevědomé kontroly identifikován. V ojedinělých případech lze případy zpětné vazby registrovat. Vždy však šlo o případy související s ad-hoc řešením nastalých problémů (incidentů). Cílevědomá kontrola za účelem zpětné vazby řízení činností není definována a prováděna.
Pro ilustraci uvádíme grafické znázornění:
Obrázek č. 2 – Míra souladu s definovaným PDCA cyklem
4.3.2 Dopady Cyklus řízeného zlepšování kvality „řízení informační bezpečnosti“ není uzavřený. Bez zavedení institutu uzavřeného cyklu, a především fáze kontroly se zpětnou vazbou na redefinici cílů, bude cesta organizace k certifikovatelnému stavu řízení informační bezpečnosti dlouhá, nespolehlivá, až nereálná. Kategorie dopadu: faktická 4.3.3 Celkové hodnocení: PROSPĚL VELMI DOBŘE Přestože výše uvedené hodnocení vyznívá negativně, je nutno přihlížet k faktu, že v rámci fáze „Výkon“ nejsou nedostatky zásadní. Ačkoli celkově je stav neuspokojivý, je ostatní stav řízení organizace a vyspělost zúčastněných osob na takové úrovni, že (v případě cíleného záměru) s jeho zavedením a formalizací by neměly vyvstat neřešitelné překážky.
27/54
4.4
KONTINUITA PROVOZU A ODOLNOST PROTI CHYBÁM
4.4.1 Analýza Oblast zajištění kontinuity provozu již byla částečně zmíněna v popisu naplnění požadavků norem ISO 27000. Hlavní závěr analýzy odpovídá celkovému vyznění zprávy. V organizaci je nepřerušitelnost provozu správně aplikována pro jednotlivé prvky infrastruktury (zálohy, redundance) chybí však pohled do budoucnosti v podobě detailního a uceleného Plánu zachování kontinuity a Obnovy signifikantních činností a provozu po havárii napříč různými funkcemi organizace. V tomto případě by měly být zodpovězeny otázky zajištění fungování i v případě působení vnitřních i vnějších nežádoucích jevů. Mělo by jít o soubor praktických návodů, jak reagovat na neočekávané situace systematickým způsobem a napříč činnostmi celé organizace. Tyto návody podle definice obsahují plány obnovy provozu, postupy řešení situací a rozdělení odpovědností, jsou pravidelně testovány a tomto testování je veden záznam. Přesto, že zadáním této studie bylo hodnocení rizik informační bezpečnosti především v prostředí IT, v této kapitole není možno IT vyjmout z kontextu celé organizace a řešit jednotlivě.
4.4.2 Dopady V současném stavu je organizace schopna reagovat na nepředvídané negativní události hlavně formou řešení zachování kontinuity a obnovy dílčích prvků a osobního nasazení. Řešení se budou hledat ad-hoc podle vývoje situace, což může vést k neřízenému procesu obnovy, ztrátě koordinace a prodloužení doby obnovení provozu. Kategorie dopadu: faktická 4.4.3 Celkové hodnocení: PROSPĚL DOBŘE Hodnocení v této kapitole je dáno kombinací faktorů:
•
Oblast není řešena komplexně plány Zachování kontinuity a Obnovy po havárii
•
Dopady selhání v této oblasti mohou mít na organizaci kritický dopad
•
Jde o jednu z klíčových kapitol pro certifikaci podle ISO 27001
4.5
ORGANIZAČNÍ ČLENĚNÍ, PRACOVNÍ ROLE
4.5.1 Analýza Tato kapitola úzce souvisí s kapitolou předcházející. Řízení informační bezpečnosti, péče o informační aktiva a odpovědnost za výkon potřebných aktivit spojených s realizací systému řízení je nutné vázat na osobní odpovědnost konkrétních osob. Metodiky procesního řízení doporučují vytvořit neosobní strukturu tzv. „rolí“, které nesou potřebné odpovědnosti a vykonávají potřebné aktivity. Tyto role jsou pak v druhé vrstvě přiřazeny konkrétním fyzickým pracovníkům. Tím je možno systém udržovat konzistentní i v případě, kdy klíčový pracovník není nadále k dispozici prostým přenesením jeho role na jinou fyzickou osobu.
28/54
4.5.2 Dopady Bez osobní odpovědnosti není možné adresné vynucování výkonu a také případné následné přiřazení viny za selhání. Bez adresného přiřazení role a odpovědnosti je možný alibistický přístup zainteresovaných osob („to není moje odpovědnost“). Je prokázáno, že kvalita výkonu je vždy vyšší, pokud je výkon personifikován (není anonymní). Kategorie dopadu: faktická 4.5.3 Celkové hodnocení: PROSPĚL VELMI DOBŘE Z pohledu čistého hodnocení podle ISO 27001 by přiřazená hodnota rizika měla být vyšší. Zde je hodnocení sníženo o fakt, že stávající organizační struktura již částečně potřebné stanovení osobní odpovědnosti umožňuje. Chybí explicitní definice rolí v systému řízení informační bezpečnosti a jejich přiřazení konkrétním osobám.
4.6
FYZICKÁ BEZPEČNOST
4.6.1 Analýza Oblast fyzického zabezpečení lze rozdělit do dvou oblastí: infrastruktura a kanceláře. 4.6.1.1 Fyzická bezpečnost infrastruktury Prvky infrastruktury jsou umístěny v odděleném zabezpečeném prostoru s řízeným pohybem osob, kvalitním protipožárním obsloužením, systémem detekce záplavy a elektronicko-mechanickým systémem řízení vstupu. Systém zamezení neoprávněného fyzického přístupu k infrastruktuře lze považovat adekvátní a vyhovující. Slabinou by mohl být proces udělování nástrojů ke vstupu (karta, klíč, kód), jeho posuzování však nespadá do kapitoly fyzické bezpečnosti. 4.6.1.2 Fyzická bezpečnost kanceláří Jediným bodem kontroly fyzického přístupu je vstupní hala s ostrahou (dále vrátnice). Dále je pohyb vpuštěné osoby po prostorách celé organizace neřízený a nehlídaný. Zamykání kanceláří v průběhu pracovní doby je dáno odpovědností jednotlivých pracovníků (a jejich povinností dle RD-02 pracovního řádu), při případném opomenutí však již žádné další systémové omezení případného vniknutí neoprávněné osoby zavedeno není. V souvislosti s tímto zjištěním lze považovat dobu automatického uzamčení pracovních stanic (screensaver po 15 minutách) za neadekvátně dlouhou. 4.6.2 Dopady Volný pohyb osob, které projdou vrátnicí v kombinaci s otevřenými kancelářemi a přítomnost důvěrných dokumentů na pracovišti mohou vést k rizikům, která jsou genericky spojená s oběhem dokumentů. V kombinaci s tímto faktem je ovlivněno též riziko řízení neautorizovaného přístupu k počítačům (zamykání heslem při odchodu z kanceláře) a rizika spojená s reprodukční technikou, např. tiskárny, kopírky ve sdílených prostorách (přístup pomocí PIN kódu. Kategorie dopadu: faktická
29/54
Praktický případ útoku: Osoba, která prošla vrátnicí (třeba i s uvedení smyšlené schůzky) si vyčíhá okamžik opuštění kanceláře pracovníky CRR, a zcizí fyzické dokumenty. Jelikož dokumenty nejsou kategorizovány a hlídány podle důležitosti, bude následné odhalení takového incidentu a stanovení jeho dopadů obtížné, ne-li nemožné. 4.6.3 Celkové hodnocení: PROSPĚL VELMI DOBŘE Zdůvodnění hodnocení: Pravděpodobnost úspěšné realizace výše uvedeného útoku není velká. I přes neexistenci formálního zakotvení, byl pohyb našich pracovníků v prostorách CRR místními pracovníky registrován a sledován. Mimo to, je pravděpodobnost výskytu potenciálně citlivých informací v náhodně získaném vytištěném dokumentu nízká.
4.7
ZÁKONY O SPISOVÉ SLUŽBĚ A ARCHIVNICTVÍ
4.7.1 Analýza CRR je organizací, která vede spisovou službu podle zákona č. 499/2004 Sb „O archivnictví a spisové službě“. Z dikce zákona vyplývá mimo jiné povinnost řešit otázky archivace uzavřených spisů a přizpůsobit od 1.7.2012 fungování systémů elektronického vedení spisové služby „Národnímu standardu pro spisové služby“. 4.7.2 Dopady CRR je organizace cíleně vedená k naplňování požadavků zákonů, předpisů a norem. Vedení organizace předpokládá vysokou kvalitu výkonu funkcí organizace tak, aby nebyla její kompetence zpochybnitelná z pohledu orgánů Evropské Unie. V takovém případě lze riziko nenaplnění dikce zákona a na něj navázaných standardů pokládat za nepřijatelné. Kategorie dopadu: faktická, administrativní 4.7.3 Celkové hodnocení: PROSPĚL VELMI DOBŘE Aktuálně situace není velkým problémem. Nicméně je potřebné mít zákonnou povinnost naplnit k polovině roku 2012 požadavků „Národního standardu“ pro spisové služby. Situaci je nutné projednat s dodavatelem aplikace spisové služby a připravit opatření k převedení stávající spisové služby do souladu s „Národním standardem“.
4.8
DOHLED INFRASTRUKTURY
4.8.1 Důvěryhodné logování Aktivity uživatelů a především administrátorů (tj. osob, které mají přístup k jakékoliv informaci „uvnitř IT“) jsou v současném stavu technologií neevidované, anonymní a zpětně neprokazatelné. Existuje systém částečného sběru logů, avšak z pohledu efektivity má slabiny. Systém neumožňuje efektivní vyhledávání a uložené logy může správce modifikovat, a tím skrýt stopy své škodlivé aktivity. 4.8.2 Dohled nad nežádoucími aktivitami Pohyb elektronické komunikace (tzv. provoz na datové síti) je v současné době nesledovaný a nevyhodnocovaný. Případné škodlivé aktivity vnitřního i vnějšího nepřítele lze odhalit až podle jejich
30/54
rozpoznatelných důsledků. Je pravděpodobné, že mnohé nežádoucí aktivity budou v rámci datových síti vykonány, aniž by je kdokoliv (kromě útočníka) zaznamenal. 4.8.3 Dopady Organizace nemá přehled o výskytu potenciálně nebezpečných aktivit v rámci IT. Neexistuje ani okamžitá detekce škodlivé aktivity ani důvěryhodně vedený a analyzovaný důkazní materiál pro zpětné vyhodnocování incidentů a dokazování příčin. Kategorie dopadu: faktická, administrativní 4.8.4 Celkové hodnocení: PROSPĚL DOBŘE Provozování systémů pro detekci útoků a evidenci důkazního materiálu je jednou z podmínek úspěšného zachycení a vyhodnocení narušení informační bezpečnosti.
4.9
VZTAHY S DODAVATELI
4.9.1 Analýza Správa klíčových technologií informačních systémů je svěřena do rukou třetích stran, podnikatelských subjektů. Řízení informační bezpečnosti musí zahrnovat všechny subjekty, které mohou jeho kvalitu ovlivnit. Je proto nutné kompletně přenášet dopady odpovídajících ustanovení řízení bezpečnosti do smluvních vztahů s externími dodavateli. 4.9.2 Dopady Dopady činnosti dodavatelů na celkovou funkčnost CRR mohou být zásadní. Přitom některé z rizikových oblastí a jejich obsloužení jsou nechány na úvaze a profesionalitě práce dodavatelů. V případě řešení incidentů nejsou odpovědnosti dodavatelů dostatečně ustanoveny v podobě klauzulí o přenosu rizika, dodavatelé však mají ve smlouvě uvedeno opatření směřující k ochraně dat a informací ve vztahu mandant – mandatář a povinnost respektovat a řídit se dle vnitřní dokumentace CRR ČR (viz. Právní služby, administrátor výběrových řízení atd.) Kategorie dopadu: faktická, administrativní 4.9.3 Celkové hodnocení: PROSPĚL VELMI DOBŘE Průzkum ukázal, že i přes nedostatky ve smluvních závazcích dodavatelé vykonávají svěřené kompetence s péčí a odpovědností, která je ve většině případů dostatečná. Hlavním nedostatkem tedy není riziko spojené s činnostmi dodavatelů, ale potenciální nejasnosti a spory v případě výskytu problematických incidentů.
31/54
5 NAVRHOVANÁ OPATŘENÍ 5.1
ŘÍZENÍ NÁPRAVY NESHOD DLE ISO 27001
Tento proces (projekt) je navrhován jako hlavní aktivita nutná pro úspěšné přiblížení organizace do stavu potřebného pro zahájení certifikačního auditu naplnění norem řízení informační bezpečnosti. Tento projekt sám přímo žádná konkrétní opatření neřeší, je nutno jej vnímat jako zastřešující aktivitu pro koordinaci všech následujících projektů.
5.2
ANALÝZA INFORMAČNÍCH AKTIV, PŘIŘAZENÍ VLASTNÍKŮ DAT
V rámci studie byl sestaven soupis informačních aktiv (viz. 4.2) se signifikantním vlivem na činnost organizace. Identifikovaná aktiva musí být v rámci kategorizace roztříděna do vyšších logických celků a tyto celky přiřazeny odpovědným osobám, resp. konkrétním vlastníkům aktiv.
5.3
ÚPRAVA PROCESŮ ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI A IT
Většina zde uvedených nápravných opatření směřuje k naplnění požadavků úspěšného absolvování certifikace podle ISO 27001. Doporučujeme tyto projekty koordinovat s celkovou revizí a nápravou neshod podle kapitoly Chyba! Nenalezen zdroj odkazů.. Projekty však mohou být realizovány souběžně, pokud bude zachována vzájemná informovanost realizačních týmů.
5.4
REVIZE DODAVATELSKÝCH SMLUV
Po zmapování detailních potřeb dostupnosti, důvěrnosti, integrity dat zpracovávaných externě podporovanými systémy odvodit požadavky na parametry služeb těchto systémů. Dodavatele smluvně zavázat k plnění požadovaných parametrů. Pro nově uzavírané smlouvy doporučujeme přezkoumat, případně doplnit stávající vzory smluv od řídících orgánů o bezpečnostní aspekty v závislosti na typových oblastech.
5.5
ZAVEDENÍ SYSTÉMU PRO BEZPEČNÝ VZDÁLENÝ PŘÍSTUP UŽIVATELŮ
Zavést technologii pro bezpečný vzdálený přístup uživatelů k poskytovaným službám, které pro autorizaci přístupů využívají autentizaci uživatelů vůči doméně.
5.6
ZAVEDENÍ SYSTÉMU DETEKCE NEŽÁDOUCÍ AKTIVITY
Zavedení technologie pro monitorování nežádoucí aktivity na datové síti. Sondy systému musí monitorovat:
32/54
5.7
ZAVEDENÍ SYSTÉMU DETEKCE ÚNIKU DAT
Zavést systém, který monitoruje pohyb elektronických dokumentů. Kontrolované oblasti:
•
Odchozí komunikace do veřejných sítí (Internet, e-mail)
•
Dokumenty uložené v kategorizovaných úložištích
•
Výměnná média obsluhovaná koncovými uživateli
5.8
SYSTÉM DŮVĚRYHODNÉHO LOGOVÁNÍ
Stávající systém sběru logů převést do stavu důvěryhodného ukládání a zřídit nadstavbové služby pro snadné vyhledávání událostí s možností analýzy. Na začátku projektu bude nutné učinit rozhodnutí, zda je stávající systém modifikovatelný do cílové podoby, či zda je vhodnější použít nové integrované řešení.
33/54
6 PŘÍLOHY 6.1
POPIS KLÍČOVÝCH PROCESŮ
Kategorie
Subkategorie
Popis
A.5 Bezpečnostní politika
A.5.1 Bezpečnostní politika informací
Dokument bezpečnostní politiky informací
A.5 Bezpečnostní politika
A.5.1 Bezpečnostní politika informací
A.6 Organizace bezpečnosti informací
Hodnoce ní
Stávající stav
Žádoucí stav
1
Bezpečnostní politika informací je schválena vedením organizace, vychází z obecných zásad a bezpečnostních požadavků organizace, obsahuje povinnosti pro realizaci, speciální postupy bezpečnosti a je publikována všem zaměstnancům a externím subjektům.
Dokument bezpečnostní politiky informací je schválen vedením organizace, publikován a dán na vědomí všem zaměstnancům a relevantním externím stranám.
Přezkoumání bezpečnostní politiky informací
2
Přezkoumání politiky je nastaveno v intervalu jednou ročně. V praxi je politika přezkoumávána minimálně jednou ročně v průběhu auditu.
A.6.1 Interní organizace
Závazek vedení směrem k bezpečnosti informací
3
A.6 Organizace bezpečnosti informací A.6 Organizace bezpečnosti informací
A.6.1 Interní organizace
Koordinace bezpečnosti informací
2
A.6.1 Interní organizace
Přidělení odpovědností v oblasti bezpečnosti informací
3
Vedení organizace vyjadřuje podporu informační bezpečnosti vydáním a podpisem metodických pokynů: MP-11 Bezpečnostní politika IT a MP-13 Provozní řád bezpečnosti informačního systému. Činnosti jsou neformálně koordinovány odpovědnou osobou oddělení ÚRIMS a zahrnují opatření různých útvarů organizace a externích dodavatelů. Zajištění bezpečného provozu a administrace klíčových systémů má na starosti dodavatel Tesco SW. Bezpečnostní požadavky jsou zahrnuty do pracovních povinností.
Pro zajištění její neustálé použitelnosti, přiměřenosti a účinnosti je bezpečnostní politika informací přezkoumávána v plánovaných intervalech a vždy když nastane významná změna. Vedení organizace stanovilo jasný směr a aktivně podporuje bezpečnost v rámci organizace. Prokazuje svůj závazek a jednoznačně přiřazuje a vymezuje role v oblasti bezpečnosti informací. Činnosti v oblasti bezpečnosti informací jsou koordinovány prostřednictvím zástupců různých útvarů z celé organizace s odpovídajícími rolemi a pracovním zařazením Jsou jasně definovány odpovědnosti v oblasti bezpečnosti informací.
A.6 Organizace bezpečnosti informací
A.6.1 Interní organizace
Schvalovací proces prostředků pro zpracování informací
1
Prostředky pro zpracování informací jsou dlouhodobě plánovány. Na začátku roku je požadavkem určen cílový stav, který probíhá procesem vnitřních kontrol a schvalování.
Je stanoven a zaveden postup schvalování nových prostředků pro zpracování informací vedoucími zaměstnanci.
Kategorie
Subkategorie
Popis
A.6 Organizace bezpečnosti informací
A.6.1 Interní organizace
Dohody o ochraně důvěrných informací
A.6 Organizace bezpečnosti informací A.6 Organizace bezpečnosti informací
A.6.1 Interní organizace
Hodnoce ní
Stávající stav
Žádoucí stav
2
Požadavky na ochranu důvěrnosti nebo povinnost zachování mlčenlivosti jsou aplikovány v relevantních případech.
Kontakt s orgány veřejné správy
1
Kontakty a vztahy s orgány veřejné správy jsou udržovány na denní bázi..
Jsou vytvořeny a v pravidelných intervalech přezkoumávány dohody obsahující požadavky na ochranu důvěrnosti nebo povinnost zachovávat mlčenlivost, reflektující potřeby organizace na ochranu informací. Jsou udržovány přiměřené vztahy s orgány veřejné správy.
A.6.1 Interní organizace
Kontakt se zájmovými skupinami
3
Kontakt s profesními sdruženími či speciálními fóry pro informační bezpečnost není interně udržován. Vzdělávání o bezpečnosti a aktuální hrozby informačního systému jsou udržovány na straně dodavatele systémové integrace.
Musí být udržovány přiměřené vztahy se zájmovými skupinami nebo speciálními fóry na bezpečnost a profesními sdruženími.
A.6 Organizace bezpečnosti informací
A.6.1 Interní organizace
Nezávislá přezkoumání bezpečnosti informací
2
Míra naplnění požadavků bezpečnosti je v plánovaných intervalech nezávisle přezkoumávána, např. audity.
A.6 Organizace bezpečnosti informací
A.6.2 Externí subjekty
Identifikace rizik plynoucích z přístupu externích subjektů
4
Rizika plynoucí z přístupu externích subjektů nejsou systematicky identifikována.
A.6 Organizace bezpečnosti informací A.6 Organizace bezpečnosti informací
A.6.2 Externí subjekty
Bezpečnostní požadavky pro přístup klientů
3
Bezpečnostní požadavky pro přístup klientů jsou nastaveny genericky.
A.6.2 Externí subjekty
Bezpečnostní požadavky v dohodách se třetí stranou
2
Relevantní bezpečnostní požadavky v dohodách se třetími stranami jsou aplikovány do znění smluv jednotlivě podle předmětu dané smlouvy.
Přístup organizace k řízení a implementaci bezpečnosti informací (tj. cíle opatření, jednotlivá opatření, politiky,směrnice a postupy) je v plánovaných intervalech (anebo v případě jakékoliv významné změny ve vztahu k implementaci bezpečnosti) nezávisle přezkoumáván. Předtím, než je externím subjektům povolen přístup k informacím organizace a prostředkům pro zpracování informací, jsou identifikována rizika a implementována vhodná opatření na jejich pokrytí. Předtím, než je klientům umožněn přístup k informacím nebo aktivům organizace, jsou identifikované všechny požadavky na bezpečnost. Dohody uzavřené s třetími stranami zahrnující přístup, zpracování, sdělování nebo správu informací organizace nebo prostředků pro zpracování informací, případně dodávku produktů nebo služeb k zařízení pro zpracování informací, musí pokrývat veškeré relevantní bezpečnostní požadavky.
35/54
Kategorie
Subkategorie
Popis
A.7 Řízení aktiv
A.7.1 Odpovědnost za aktiva
Evidence aktiv
A.7 Řízení aktiv
A.7.1 Odpovědnost za aktiva
A.7 Řízení aktiv
Hodnoce ní
Stávající stav
Žádoucí stav
4
Signifikantní informační aktiva organizace nejsou identifikována ani jinak evidována.
Vlastnictví aktiv
4
Vlastnictví informačních aktiv není přiřazeno.
A.7.1 Odpovědnost za aktiva
Přípustné použití aktiv
2
A.7 Řízení aktiv
A.7.2 Klasifikace informací
Doporučení pro klasifikaci
4
A.7 Řízení aktiv
A.7.2 Klasifikace informací
Označování a nakládání s informacemi
4
Pravidla pro přípustné použití informací a aktiv souvisejících s prostředky pro zpracování informací jsou obsažena v bezpečnostní politice IT. Povinnosti a odpovědnosti zaměstnanců jsou definovány popisem pracovních pozic. Informace nejsou klasifikovány s ohledem na jejich hodnotu, právní požadavky, citlivost a kritičnost. Schema pro kategorizaci a klasifikaci informací není aplikováno.
Musí být jasně identifikována všechna aktiva organizace, všechna důležitá aktiva musí být evidována a jejich seznam udržován aktuální. Veškeré informace a aktiva související s prostředky pro zpracování informací musí mít určeného vlastníka Musí by být určena,dokumentována a do praxe zavedena pravidla pro přípustné použití informací a aktiv souvisejících s prostředky pro zpracování informací
A.8 Bezpečnost lidských zdrojů A.8 Bezpečnost lidských zdrojů
A.8.1 Před vznikem pracovního vztahu
Role a odpovědnosti
1
Role a odpovědnosti zaměstnanců a smluvních stran jsou definovány popisem pracovního místa a působnosti útvaru.
A.8.1 Před vznikem pracovního vztahu
Prověřování
3
Prověření nových zaměstnanců probíhá podle požadavků na danou pracovní pozici. V praxi není nastaven rámec pro prověřování smluvních stran.
A.8 Bezpečnost lidských zdrojů
A.8.1 Před vznikem pracovního vztahu
Podmínky výkonu pracovní činnosti
2
Podmínky výkonu pracovní činnosti zaměstnanců jsou definovány popisem pracovního místa a působnosti útvaru. Povinnosti a odpovědnosti jsou defoinovány v MP-11 Bezpečnostní politice IT.
36/54
Informace musí být klasifikovány a to s ohledem na jejich hodnotu, právní požadavky, citlivost a kritičnost. Pro označování informací a zacházení s nimi musí být vytvořeny a do praxe zavedeny postupy, které jsou v souladu s klasifikačním schématem přijatým organizací. Role a odpovědnosti zaměstnanců, smluvních a třetích stran v oblasti bezpečnosti informací musí být definovány a dokumentovány v souladu s bezpečnostní politikou organizace Všichni uchazeči o zaměstnání, smluvní a třetí strany musí být prověřeni podle platných zákonů, předpisů a v souladu s etikou. Prověření musí být prováděna na základě požadavků stanovených organizací, dále s ohledem na klasifikaci informací, ke kterým by měli získat přístup, ale také z hlediska jejich spolehlivosti a potenciálních rizik. Pracovní smlouvy uzavřené se zaměstnanci, smluvními a třetími stranami musí obsahovat ustanovení o jejich odpovědnostech za bezpečnost informací.
Kategorie
Subkategorie
Popis
A.8 Bezpečnost lidských zdrojů A.8 Bezpečnost lidských zdrojů
A.8.2 Během pracovního vztahu
Odpovědnosti vedoucích zaměstnanců
A.8.2 Během pracovního vztahu
A.8 Bezpečnost lidských zdrojů A.8 Bezpečnost lidských zdrojů A.8 Bezpečnost lidských zdrojů
Hodnoce ní
Stávající stav
Žádoucí stav
2
Odpovědnosti vedoucích zaměstnanců a požadavky na dodržování bezpečnosti nejsou definovány.
Informovanost, vzdělávání a školení v oblasti bezpečnosti informací
2
Vzdělávání a školení v oblasti bezpečnosti informací je zaměřeno na bezpečnostní postupy a správné používaní informací.
A.8.2 Během pracovního vztahu
Disciplinární řízení
3
Disciplinární řízení není nastaveno.
Vedoucí zaměstnanci musí po uživatelích, smluvních a třetích stranách požadovat dodržování bezpečnosti v souladu se zavedenými politikami a postupy. Všichni zaměstnanci organizace, a je-li to důležité i pracovníci smluvních a třetích stran musí, s ohledem na svou pracovní náplň absolvovat odpovídající a pravidelně se opakující školení v oblasti bezpečnosti informací, bezpečnostní politiky a směrnic organizace. Musí existovat formalizované disciplinární řízení vůči zaměstnancům, kteří se dopustili narušení bezpečnosti.
A.8.3 Ukončení nebo změna pracovního vztahu
Odpovědnosti při ukončení pracovního vztahu
2
Při ukončení nebo změně pracovního vztahu zaměstnanců,smluvních a třetích stran jsou
Musí být jasně určeny a přiděleny odpovědnosti pro případ ukončení nebo změny pracovního vztahu.
A.8.3 Ukončení nebo změna pracovního vztahu
Navrácení zapůjčených prostředků
2
A.8 Bezpečnost lidských zdrojů
A.8.3 Ukončení nebo změna pracovního vztahu
Odebrání přístupových práv
2
Při ukončení pracovního nebo smluvního vztahu je zpracován výstupní list, proti podpisu vedoucího útvaru jsou vráceny svěřené prostředky a zadán požadavek na zrušení uživatelského účtu. Při ukončení pracovního nebo smluvního vztahu je zpracován výstupní list a proti podpisu vedoucího útvaru je zadán požadavek na odebrání přístupových oprávnění uživatele.
A.9 Fyzická bezpečnost a bezpečnost prostředí
A.9.1 Zabezpečené oblasti
Fyzický bezpečnostní perimetr
1
Při ukončení pracovního vztahu,smluvního vztahu nebo dohody musí zaměstnanci, pracovníci smluvních a třetích stran odevzdat veškeré jim svěřené prostředky, které jsou majetkem organizace. Při ukončení pracovního vztahu, smluvního vztahu nebo dohody musí být uživatelům, smluvním a třetím stranám odejmut přístup anebo pozměněna přístupová práva k informacím a prostředkům pro zpracování informací. Při ochraně prostor, ve kterých se nachází informace nebo prostředky pro zpracování informací, musí být používány bezpečnostní perimetry (bariéry jako například zdi,vstupní turniket na karty nebo recepce).
Prostory datového centra v 1.PP a síťového rozvodu ve 4.NP jsou fyzicky oddělené místnosti se zabezpečeným vstupem pouze pro povolané osoby.
37/54
Kategorie
Subkategorie
Popis
A.9 Fyzická bezpečnost a bezpečnost prostředí
A.9.1 Zabezpečené oblasti
Fyzické kontroly vstupu osob
A.9 Fyzická bezpečnost a bezpečnost prostředí A.9 Fyzická bezpečnost a bezpečnost prostředí
A.9.1 Zabezpečené oblasti
Hodnoce ní
Stávající stav
Žádoucí stav
2
Přístup do místnosti se síťovým rozvodem ve 4.NP do datového centra v 1.PP je pomocí PIN kódu na klávesnici zabezpečovacího zařízení při vstupu do místnosti a je ověřen pomocí vstupní karty. Přístup k zařízením v serverových skříních je přidělen pouze držitelů rackové vstupní karty. Pro přístup dodavatelů je aplikován asistovaný přístup. Je vedena návštěvní kniha.
Aby bylo zajištěno, že je přístup do zabezpečených oblastí povolen pouze oprávněným osobám,musí být tyto oblasti chráněny vhodným systémem vstupních kontrol.
Zabezpečení kanceláří, místností a prostředků
4
Musí být navrženo a aplikováno fyzické zabezpečení kanceláří, místností a prostředků.
A.9.1 Zabezpečené oblasti
Ochrana před hrozbami vnějšku a prostředí
1
Identifikace návštěv a kontrola totožnosti je prováděna při vstupu do budovy organizace. Fyzické zabezpečení kanceláří a místností není zavedeno. Datové centrum je před hrozbami vnějšku a prostředí chráněno chráněno fyzickým perimetrem.
A.9 Fyzická bezpečnost a bezpečnost prostředí A.9 Fyzická bezpečnost a bezpečnost prostředí
A.9.1 Zabezpečené oblasti
Práce v zabezpečených oblastech
2
A.9.1 Zabezpečené oblasti
Veřejný přístup, prostory pro nakládku a vykládku
A.9 Fyzická bezpečnost a bezpečnost prostředí
A.9.2 Bezpečnost zařízení
Umístění zařízení a jeho ochrana
n/a
1
Pro přístup dodavatelů je aplikován asistovaný přístup. Je vedena návštěvní kniha.
n/a
Signifikantní výpočetní prostředky jsou umístěny v prostoru datového centra. Zařízení umístěná v datovém centru jsou chráněna proti výpadku napájení elektrické energie, poruše klimatizace, poplachovému hlášení, záplavě či požáru.
38/54
Na ochranu proti škodám způsobeným požárem, povodní, zemětřesením, výbuchem, civilními nepokoji a jinými přírodními nebo lidmi zapříčiněnými katastrofami, musí být navrženy a aplikovány prvky fyzické ochrany. Pro práci v zabezpečených oblastech musí být navrženy a aplikovány prvky fyzické ochrany.
Prostory pro nakládku a vykládku a další místa kudy se mohou neoprávněné osoby dostat do prostor organizace, musí být kontrolovány a pokud možno by měly být izolovány od prostředků pro zpracování informací tak, aby se zabránilo neoprávněnému přístupu k nim. Zařízení musí být umístěna a chráněna tak, aby se snížila rizika hrozeb a nebezpečí daná prostředím a aby se omezily příležitosti pro neoprávněný přístup.
Kategorie
Subkategorie
Popis
Hodnoce ní
Stávající stav
Žádoucí stav
A.9 Fyzická bezpečnost a bezpečnost prostředí A.9 Fyzická bezpečnost a bezpečnost prostředí A.9 Fyzická bezpečnost a bezpečnost prostředí A.9 Fyzická bezpečnost a bezpečnost prostředí A.9 Fyzická bezpečnost a bezpečnost prostředí
A.9.2 Bezpečnost zařízení
Podpůrná zařízení
1
Zařízení umístěná v datovém centru jsou chráněna proti výpadku napájení elektrické energie, poruše klimatizace, poplachovému hlášení, záplavě či požáru. Kabelové rozvody jsou v datovém centru chráněny proti úmyslnému poškození. Není známa zjištěna úroveň ochrany proti odposlechu. Zařízení zabezpečující provoz datového centra jsou pravidelně kontrolována a udržována.
Zařízení musí být chráněno před selháním napájení a před dalšími výpadky způsobenými selháním podpůrných služeb.
A.9.2 Bezpečnost zařízení
Bezpečnost kabelových rozvodů
2
A.9.2 Bezpečnost zařízení
Údržba zařízení
1
A.9.2 Bezpečnost zařízení
Bezpečnost zařízení mimo prostory organizace
n/a
A.9.2 Bezpečnost zařízení
Bezpečná likvidace nebo opakované použití zařízení
4
Zařízení obsahující paměťová media nejsou evidována a jejich použití není omezeno. Použití tiskáren a obsah tisku není kontrolován.
A.9 Fyzická bezpečnost a bezpečnost prostředí A.10 Řízení komunikací a řízení provozu A.10 Řízení komunikací a řízení provozu
A.9.2 Bezpečnost zařízení
Přemístění majetku
3
A.10.1 Provozní postupy a odpovědnosti A.10.1 Provozní postupy a odpovědnosti
Dokumentace provozních postupů
2
Řízení změn
2
Přemístění majetku není systematicky řešeno nicméně veškeré výpočetní zařízení je umístěno v místnosti s omezeným a kontrolovaným přístupem. Jsou zpracovány zásady a postupy pro bezpečné zacházení s informacemi a informačními aktivy. Pro změnové řízení jsou nastavena pravidla. Existují dva druhy změn: vázané na instalaci a velké opravy mají nahlášen požadavek, je vypracována nabídka, předání s předávacím protokolem; nevázané na instalaci a menší opravy jsou řešeny schváleným emailovým požadavkem.
n/a
39/54
Silové a telekomunikační kabelové rozvody,které jsou určeny pro přenos dat nebo podporu informačních služeb musí být chráněny před odposlechem či poškozením. Zařízení musí být správně udržováno pro zajištění jeho stálé dostupnosti a integrity.
Zařízení používané mimo prostory organizace musí být zabezpečeno s přihlédnutím k různým rizikům, která vyplývají z jeho použití mimo organizaci. Všechna zařízení obsahující paměťová média musí být kontrolována tak, aby bylo možné zajistit, že před jejich likvidací nebo opakovaným použitím budou citlivá data a licencované programové vybavení odstraněna nebo bezpečně přepsána. Zařízení, informace nebo programové vybavení nesmí být bez předchozího schválení přemisťováno. Provozní postupy musí být zdokumentovány a udržovány a musí být dostupné všem uživatelům podle potřeby. Změny systémů a prostředků pro zpracování informací musí být řízeny.
Kategorie
Subkategorie
Popis
A.10 Řízení komunikací a řízení provozu
A.10.1 Provozní postupy a odpovědnosti
Oddělení povinností
A.10 Řízení komunikací a řízení provozu
A.10.1 Provozní postupy a odpovědnosti
A.10 Řízení komunikací a řízení provozu
Hodnoce ní
Stávající stav
Žádoucí stav
2
Oddělení povinností je obecně nastaveno.
Oddělení vývoje, testování a provozu
3
A.10.2 Řízení dodávek služeb třetích stran
Dodávky služeb
3
Oddělení prostředí na vývojové a testovací je nastaveno nicméně existují případy kdy jsou úpravy po instalaci prováděny přímo v produkčním prostředí. Testování změn je z důvodu časové náročnosti v některých případech pouze v kompetenci dodavatele. Bezpečnostní požadavky na dodávky služeb a úroveň poskytovaných služeb jsou smluvně nastaveny. Vynucení požadavků a shoda s uzavřenými dohodami není kontrolována.
Pro snížení příležitostí k neoprávněné modifikaci nebo zneužití aktiv organizace musí být zajištěno oddělení jednotlivých povinností a odpovědností. Pro snížení rizika neoprávněného přístupu k provoznímu systému anebo jeho změn musí být zajištěno oddělení prostředků vývoje, testování a provozu
A.10 Řízení komunikací a řízení provozu
A.10.2 Řízení dodávek služeb třetích stran
Monitorování a přezkoumávání služeb třetích stran
2
Služby třetích stran jsou průběžně monitorovány neformální cestou, není veden záznam o monitoringu.
A.10 Řízení komunikací a řízení provozu
A.10.2 Řízení dodávek služeb třetích stran
Řízení změn služeb poskytovaných třetími stranami
2
Řízení změn je řešeno následovně: CRR sumarizuje požadavky za řídící orgány a odešle na posouzení do Národního orgánu pro koordinaci (MMR) kde proběhne schvalovací řízení. Po specifikaci a vyjasnění požadavku mezi řídícím orgánem a dodavatelem je požadavek předán do realizace a následně testován.
A.10 Řízení komunikací a řízení provozu
A.10.3 Plánování a přejímání systémů
Řízení kapacit
1
A.10 Řízení komunikací a řízení provozu
A.10.3 Plánování a přejímání systémů
Přejímání systémů
2
Pro řízení informačních zdrojů je každoročně vypracován plán pořízení informačních technologií. Rozsah kapacit monitorovacího systému je průběžně sledován systemovým integrátorem, interní síť IT managerem. Přejímání systémů se řídí pravidly pro vývoj informačních systémů, aktualizace OS probíhá pravidelně, AV pravidelně aktualizuje databázi, implementace servicepacku je prioritizována v závislosti na výkonu daného výpočetního prostředku.
40/54
Musí být zajištěno, aby bezpečnostní opatření, definice a úroveň poskytovaných služeb,byly třetí stranou implementovány, provozovány a udržovány ve shodě s uzavřenými dohodami. Služby, zprávy a záznamy poskytované třetí stranou musí být pravidelně monitorovány a přezkoumávány, audity musí být opakovány v pravidelných intervalech. Změny v poskytování služeb, včetně udržování a zlepšování existujících bezpečnostních politik, postupů a bezpečnostních opatření musí být řízeny s ohledem na kritičnost systémů a procesů organizace, které jsou součástí opakovaného hodnocení rizik.
Pro zajištění požadovaného výkonu systému, s ohledem na budoucí kapacitní požadavky, musí být monitorováno, nastaveno a předvídáno využití zdrojů. Musí být určena kritéria pro přejímání nových informačních systémů, jejich aktualizaci a zavádění nových verzí a vhodný způsob testování systému v průběhu vývoje a před zavedením do ostrého provozu.
Kategorie
Subkategorie
Popis
A.10 Řízení komunikací a řízení provozu
A.10.4 Ochrana proti škodlivým programům a mobilním kódům
Opatření na ochranu proti škodlivým programům
A.10 Řízení komunikací a řízení provozu
A.10.4 Ochrana proti škodlivým programům a mobilním kódům A.10.5 Zálohování
A.10 Řízení komunikací a řízení provozu
Hodnoce ní
Stávající stav
Žádoucí stav
3
Ochrana proti škodlivým programům je zajišťováno pomocí Symantec Endpoint Protection (SEP11), ve verzi 11.0.4000.2295. a chrání klientské i serverové OS.
Opatření na ochranu proti mobilním kódům
2
Přenosná zařízení nejsou využívána s vyjímkou sdíleného notebooku. Opatření proti mobilnímu kódu není aplikováno.
Zálohování informací
2
Zálohování je řešeno v rámci centrálního zálohovacího plánu v režimu cluster, na jednom diskovém poli. Je zavedena rotace zálohovacích pásek. Nouzové řešení provede NT backup na druhé diskové pole. Zjištění ochrany pomocí síťových opatření je řízeno požadavky organizace a realizováno dodavateli systémové integrace a síťových bezpečnostních prvků.
Na ochranu proti škodlivým programům a nepovoleným mobilním kódům musí být implementována opatření na jejich detekci, prevenci a obnovu a zvyšováno odpovídající bezpečnostní povědomí uživatelů. Použití povolených mobilních kódů musí být nastaveno v souladu s bezpečnostní politikou, musí být zabráněno spuštění nepovolených mobilních kódů. Záložní kopie informací a programového vybavení organizace musí být pořizovány a testovány v pravidelných intervalech.
A.10 Řízení komunikací a řízení provozu
A.10.6 Správa bezpečnosti sítě
Síťová opatření
2
A.10 Řízení komunikací a řízení provozu
A.10.6 Správa bezpečnosti sítě
Bezpečnost síťových služeb
2
Požadavky na správu a provoz síťových služeb jsou vyhodnocovány systémovým integrátorem.
A.10 Řízení komunikací a řízení provozu A.10 Řízení komunikací a řízení provozu A.10 Řízení komunikací a řízení provozu A.10 Řízení komunikací a řízení provozu
A.10.7 Bezpečnost při zacházení s médii
Správa výměnných počítačových médií
4
Práce a zacházení s výměnnými počítačovými médii není omezena.
A.10.7 Bezpečnost při zacházení s médii
Likvidace médií
4
Postupy a pravidla pro bezpečnou a spolehlivou likvidaci médií nejsou zavedeny.
A.10.7 Bezpečnost při zacházení s médii
Postupy pro manipulaci s informacemi
2
A.10.7 Bezpečnost při zacházení s médii
Bezpečnost systémové dokumentace
2
Postupy pro manipulaci s informacemi jsou obecně uvedeny v MP-11 Bezpečnostní politika IT. Veškeré hlavní dokumenty jsou umístěny na sdílených discich. Pro jednotlivé složky jsou nastavena přistupová práva.
41/54
Pro zajištění ochrany před možnými hrozbami, pro zaručení bezpečnosti systémů a aplikací využívajících sítí a pro zajištění bezpečnosti informací při přenosu musí být počítačové sítě vhodným způsobem spravovány a kontrolovány Musí být identifikovány a do dohod o poskytování síťových služeb zahrnuty bezpečnostní prvky, úroveň poskytovaných služeb a požadavky na správu všech síťových služeb a to jak v případech, kdy jsou tyto služby zajišťovány interně,tak i v případech,kdy jsou zajišťovány cestou outsourcingu. Musí být vytvořeny postupy pro správu výměnných počítačových médií. Jestliže jsou média dále provozně neupotřebitelná musí být bezpečně a spolehlivě zlikvidována v souladu se schválenými postupy. Pro zabránění neautorizovanému přístupu nebo zneužití informací musí být stanoveny postupy pro manipulaci s nimi a pro jejich ukládání. Systémová dokumentace musí být chráněna proti neoprávněnému přístupu.
Kategorie
Subkategorie
Popis
A.10 Řízení komunikací a řízení provozu
A.10.8 Výměna informací
Postupy a politiky při výměně informací
A.10 Řízení komunikací a řízení provozu
A.10.8 Výměna informací
A.10 Řízení komunikací a řízení provozu
Hodnoce ní
Stávající stav
Žádoucí stav
3
Jsou vytvořeny postupy pro výměnu informací a jejich ochranu.
Bezpečnost médií při přepravě
3
Ochrana informací během přepravy není řešena.
A.10.8 Výměna informací
Elektronické zasílání zpráv
2
A.10 Řízení komunikací a řízení provozu
A.10.8 Výměna informací
Informační systémy organizace
2
Elektronické zprávy jsou přístupné pro uživatelle s příslušným oprávnění. Práva na přidělení čtení emailu má skupina doménových administrátorů. Integrita informací je v IS chráněna systémem vnitřních kontrol popsaném v OS09-Interní kontroly.
Musí být ustaveny a do praxe zavedeny formální politiky, postupy a opatření na ochranu informací při jejich výměně pro všechny typy komunikačních zařízení. Média obsahující informace musí být během přepravy mimo organizaci chráněna proti neoprávněnému přístupu, zneužití nebo narušení. Elektronicky přenášené informace musí být vhodným způsobem chráněny.
A.10 Řízení komunikací a řízení provozu
A.10.8 Výměna informací
Elektronický obchod
n/a
n/a
A.10 Řízení komunikací a řízení provozu
A.10.8 Výměna informací
On-line transakce
n/a
n/a
A.10 Řízení komunikací a řízení provozu A.10 Řízení komunikací a řízení provozu
A.10.8 Výměna informací
Veřejně přístupné informace
3
A.10.10 Monitorování
Pořizování auditních záznamů
3
Informace přístupné na veřejných portálech jsou proti neopravněné modifikaci chráněny pomocí HW ochran povoleného přístupu. Auditní záznamy v podobě logů jsou uchovávány půl roku a obsahují informace o veškerých incidentech, přístupech, logy antivirového řešení. Není dostatečně zaznamenávána a vyhodnocována ochrana proti napadení.
42/54
Na ochranu informací v propojených podnikových informačních systémech musí být vytvořeny a do praxe zavedeny politiky a postupy. Informace přenášené ve veřejných sítích v rámci elektronického obchodování musí být chráněny před podvodnými aktivitami,před zpochybňováním smluv, neoprávněným vyzrazením či modifikací. Musí být zajištěna ochrana informací přenášených při on-line transakcích tak, aby byl zajištěn úplný přenos informací a zamezilo se chybnému směrování, neoprávněné změně zpráv, neoprávněnému vyzrazení, neoprávněné duplikaci nebo opakování zpráv. Informace publikované na veřejně přístupných systémech musí být chráněny proti neoprávněné modifikaci. Auditní záznamy, obsahující chybová hlášení a jiné bezpečnostně významné události, musí být pořizovány a uchovány po stanovené období tak, aby se daly použít pro budoucí vyšetřování a pro účely monitorování řízení přístupu.
Kategorie
Subkategorie
Popis
A.10 Řízení komunikací a řízení provozu
A.10.10 Monitorování
Monitorování používání systému
A.10 Řízení komunikací a řízení provozu
A.10.10 Monitorování
A.10 Řízení komunikací a řízení provozu
Hodnoce ní
Stávající stav
Žádoucí stav
2
Monitoring použití výpočetních prostředků je předepsán politikou. Monitorování podléhá provoz z/do internetu a provedené aktivity.
Ochrana vytvořených záznamů
2
A.10.10 Monitorování
Administrátorský a operátorský deník
2
A.10 Řízení komunikací a řízení provozu A.10 Řízení komunikací a řízení provozu
A.10.10 Monitorování
Záznam selhání
2
A.10.10 Monitorování
Synchronizace hodin
1
Vytvořené a uchovávané záznamy jsou proti zfalšování a neoprávněnému přístupu k datovému úložišti chráněny pomocí nastavené úrovně oprávnění k přístupu jednotlivých uživatelů. Záznam o aktivitách správce systému a systémového operátora existuje v centrální evidenci logů a v některých případech také přímo v záznamu programu. Vytvoření záznamu o selhání či incidentu je nařízeno v MP-13 Provozní řád bezpečnosti informačního systému. Synchronizace zařízení je prováděna ve vztahu k centrálnímu prvku, který je synchronizován proti přesnému času v síti internet.
Musí být stanovena pravidla pro monitorování použití prostředků pro zpracování informací; výsledky těchto monitorování musí být pravidelně přezkoumávány. Prostředky pro zaznamenávání informací a vytvořené záznamy musí být vhodným způsobem chráněny proti zfalšování a neoprávněnému přístupu.
A.11 Řízení přístupu
A.11.1 Požadavky na řízení přístupu
Politika řízení přístupu
1
Politika pro řízení přístupu je obsahem MP-12 Provozní řád bezpečnosti informačního systému.
A.11 Řízení přístupu
A.11.2 Řízení přístupu uživatelů
Registrace uživatele
2
Přidělování a odebírání rolí je na základě požadavku vedoucího. Nejsou definovány role na pracovní pozici, stejná pozice tak může mít ve více odděleních nastaveny různé role.
A.11 Řízení přístupu A.11 Řízení přístupu
A.11.2 Řízení přístupu uživatelů A.11.2 Řízení přístupu uživatelů
Řízení privilegovaného přístupu
2
Správa uživatelských hesel
1
Řešeno neformálně v omezené skupině vedoucí, IT manager a systémový integrátor. Přidělování hesel je řízeno formálním procesem. Žádá uživatel, schvaluje vedoucí útvaru, do systému nastavuje správce.
43/54
Aktivity správce systému a systémového operátora musí být zaznamenávány.
Musí být zaznamenány a analyzovány chyby a přijata příslušná opatření. Hodiny všech důležitých systémů pro zpracování informací musí být v rámci organizace nebo bezpečnostní domény synchronizovány se schváleným zdrojem přesného času. Musí být vytvořena, zdokumentována a v závislosti na aktuálních bezpečnostních požadavcích přezkoumávána politika řízení přístupu Musí existovat postup pro formální registraci uživatele včetně jejího zrušení, který zajistí autorizovaný přístup ke všem víceuživatelským informačním systémům a službám. Přidělování a používání privilegií musí být omezeno a řízeno. Přidělování hesel musí být řízeno formálním procesem.
Kategorie
Subkategorie
Popis
A.11 Řízení přístupu
A.11.2 Řízení přístupu uživatelů
Přezkoumání přístupových práv uživatelů
A.11 Řízení přístupu
A.11.3 Odpovědnosti uživatelů
A.11 Řízení přístupu A.11 Řízení přístupu
Hodnoce ní
Stávající stav
Žádoucí stav
3
Odpovědnost za přidělení přístupových práv nese vedoucí pracovník útvaru. Přezkoumání platnosti přístupových oprávnění není periodicky prováděno a vyhodnocováno.
Vedení organizace musí v pravidelných intervalech provádět přezkoumání přístupových práv uživatelů.
Používání hesel
2
Používání hesel je vynuceno pomocí systému pro správu hesel Mitis.
Zásada prázdného stolu a prázdné obrazovky monitoru
3
A.11 Řízení přístupu
A.11.4 Řízení přístupu k síti
Politika užívání síťových služeb
1
Neobsluhovaná zařízení jsou unístěna v chráněném prostoru datového centra. Zásada prázdného stolu není uplatněna a je ponechána na zvážení pracovníka. Obrazovky monitoru mají nastaven bezpečnostní zámek na 15 min. Povinnost zamezit neoprávněnému použití výpočetních prostředků je zavedena do bezpečnostních předpisů. Uživatelé mají přístup pouze k síťovým službám, na které mají nastaveno oprávnění.
Při výběru a používání hesel musí být po uživatelích požadováno, aby dodržovali stanovené bezpečnostní postupy. Uživatelé musí zajistit přiměřenou ochranu neobsluhovaných zařízení. Musí být přijata zásada prázdného stolu ve vztahu k dokumentům a výměnným médiím a zásada prázdné obrazovky monitoru u prostředků pro zpracování informací.
A.11 Řízení přístupu A.11 Řízení přístupu
A.11.4 Řízení přístupu k síti A.11.4 Řízení přístupu k síti
Autentizace uživatele pro externí připojení Identifikace zařízení v sítích
2
A.11 Řízení přístupu
A.11.4 Řízení přístupu k síti
Ochrana portů pro vzdálenou diagnostiku a konfiguraci
2
Fyzický přístup k portům zařízení je zajištěn umístěním v zabezpečené místnosti datového centra. Ochrana logického přístupu k portům je zabezpečena pomocí povolených IP adres pro konfiguraci zařízení (FW), ostatní prvky navazují spojení pomocí VPN IPSEC/IKE C2S.
A.11 Řízení přístupu
A.11.4 Řízení přístupu k síti
Princip oddělení v sítích
2
Jednotlivé informační systémy jsou odděleny do demilitarizovaných zón.
2
Autentizace nastavena pomocí ověření uživatelského jména a hesla. Zařízení jsou ověřeny na doméně.
44/54
Uživatelé musí mít přístup pouze k těm síťovým službám, pro jejichž použití byli zvlášť oprávněni. Přístup vzdálených uživatelů musí být odpovídajícím způsobem autentizován. Pro autentizaci připojení z vybraných lokalit a zařízení musí být zváženo použití automatické identifikace zařízení. Fyzický i logický přístup k diagnostickým a konfiguračním portům musí být řízen.
Skupiny informačních služeb, uživatelů a informačních systémů musí být v sítích odděleny.
Kategorie
Subkategorie
Popis
A.11 Řízení přístupu
A.11.4 Řízení přístupu k síti
Řízení síťových spojení
A.11 Řízení přístupu
A.11.4 Řízení přístupu k síti
A.11 Řízení přístupu
A.11 Řízení přístupu
A.11 Řízení přístupu
A.11 Řízení přístupu
A.11 Řízení přístupu
A.11 Řízení přístupu
Hodnoce ní
Stávající stav
Žádoucí stav
2
Možnost připojení k informačním aktivům je omezena použitím povolením uživatelského účtu.
Řízení směrování sítě
2
Centrální switch CISCO zajišťuje routing na IP adrese 10.168.1.1., lokality jsou připojeny IPSEC/IKE ESP VPN S2S tunely.
A.11.5 Řízení přístupu k operačnímu systému A.11.5 Řízení přístupu k operačnímu systému A.11.5 Řízení přístupu k operačnímu systému
Bezpečné postupy přihlášení
1
Postupy bezpečného přihlášení jsou nastaveny pomocí systému Mitis.
U sdílených sítí, zejména těch, které přesahují hranice organizace, musí být omezeny možnosti připojení uživatelů. Omezení musí být v souladu s politikou řízení přístupu a s požadavky aplikací (viz 11.1). Pro zajištění toho, aby počítačová spojení a informační toky nenarušovaly politiku řízení přístupu aplikací organizace, musí být zavedeno řízení směrování sítě. Přístup k operačnímu systému musí být řízen postupy bezpečného přihlášení.
Identifikace a autentizace uživatelů
2
Identifikace a autentizace je nastavena pomocí ověření uživatelského jména a hesla v systému Mitis.
Systém správy hesel
4
Správa přístupových údajů je řešena systémem Mitis. Po uživatelích je požadováno heslo o síle 6 a více znaků, je doporučeno zahrnout čislice a speciální znaky. Nelze použít posledních 6 hesel, frekvence vynucené změny je jednou za 3 měsíce. Existuje možnost použití slabého slovníkového hesla.
A.11.5 Řízení přístupu k operačnímu systému A.11.5 Řízení přístupu k operačnímu systému A.11.5 Řízení přístupu k operačnímu systému
Použití systémových nástrojů
2
Omezeno pro definovanou skupinu administrátorů. Zákroky podléhají schválení ze strany kompetentní osoby.
Časové omezení relace
1
Relace je ukončena po 15 minutách nečinnosti.
Časové omezení spojení
2
Doba spojení pomocí Citrix je omezena na 30 minut, relace je uzamčena za 15 min.
45/54
Všichni uživatelé musí mít pro výhradní osobní použití jedinečný identifikátor (uživatelské ID), musí být také zvolen vhodný způsob autentizace k ověření jejich identity Systém správy hesel musí být interaktivní a musí zajišťovat použití kvalitních hesel.
Použití systémových nástrojů, které jsou schopné překonat systémové nebo aplikační kontroly musí být omezeno a přísně kontrolováno. Neaktivní relace se musí po stanovené době nečinnosti ukončit.
U vysoce rizikových aplikací musí být pro zajištění dodatečné bezpečnosti použito omezení doby spojení.
Kategorie
Subkategorie
Popis
A.11 Řízení přístupu
A.11.6 Řízení přístupu k aplikacím a informacím
Omezení přístupu k informacím
3
A.11 Řízení přístupu
A.11.6 Řízení přístupu k aplikacím a informacím A.11.7 Mobilní výpočetní zařízení a práce na dálku
Oddělení citlivých systémů
1
Mobilní výpočetní zařízení a sdělovací technika
A.11 Řízení přístupu
A.11.7 Mobilní výpočetní zařízení a práce na dálku
A.12 Akvizice,vývoj a údržba informačních systémů A.12 Akvizice,vývoj a údržba informačních systémů A.12 Akvizice,vývoj a údržba informačních systémů
A.11 Řízení přístupu
Hodnoce ní
Stávající stav
Žádoucí stav
Přístup k informacím je řízen přidělováním roli a oprávnění, která jsou přidělována na základě rozhodnutí vedoucího útvaru. Na stejnou pracovní pozici v jiném oddělení tedy mohou být nastavena odlišná oprávnění. Aplikační systémy jsou odděleny.
Uživatelé aplikačních systémů, včetně pracovníků podpory,musí mít přístup k informacím a funkcím aplikačních systémů omezen v souladu s definovanou politikou řízení přístupu. Citlivé aplikační systémy musí mít oddělené (izolované) počítačové prostředí.
2
V případě potřeby je vydáván k zapůjčení sdílený notebook. Příjemce potvrzuje podpisem převzetí.
Práce na dálku
3
A.12.1 Bezpečnostní požadavky informačních systémů
Analýza a specifikace bezpečnostních požadavků
2
Při práci na dálku je možné pomocí připojení na portál využít služeb elektronické pošty, přístup na sdílené disky a jiné aplikace dle individuálního nastavení. Nejsou uplpatněny předpisy upravující zásady a postupy pro připojení na dálku. Požadavky na bezpečnostní opatření jsou aplikovány ke každé smlouvě podle jejího obsahu.
Musí být ustavena formální pravidla a přijata bezpečnostní opatření na ochranu proti rizikům používání mobilních výpočetních a komunikačních zařízení. Organizace musí vytvořit a do praxe zavést zásady, operativní plány a postupy pro práci na dálku.
A.12.2 Správné zpracování v aplikacích
Validace vstupních dat
1
Validace vstupních dat je zajištěna formální kontrolou správnosti elektronických dat proti podkladům v papírové dokumentaci a je upravena v OS09-Interní kontroly.
Vstupní data aplikací musí být kontrolována z hlediska správnosti a adekvátnosti.
A.12.2 Správné zpracování v aplikacích
Kontrola/řízení vnitřního zpracování
2
Kontrola validace je prováděna pomocí kontrolních součtů, proti papírové dokumentaci a je upravena v OS09-Interní kontroly.
Pro detekci jakéhokoliv poškození informací vzniklého chybami při zpracování nebo úmyslnými zásahy musí být začleněny kontroly validace dat do aplikace.
46/54
Požadavky organizace na nové informační systémy nebo na rozšíření existujících systémů musí obsahovat také požadavky na bezpečnostní opatření.
Kategorie
Subkategorie
Popis
A.12 Akvizice,vývoj a údržba informačních systémů
A.12.2 Správné zpracování v aplikacích
Integrita zpráv
A.12 Akvizice,vývoj a údržba informačních systémů A.12 Akvizice,vývoj a údržba informačních systémů A.12 Akvizice,vývoj a údržba informačních systémů A.12 Akvizice,vývoj a údržba informačních systémů
A.12.2 Správné zpracování v aplikacích
A.12 Akvizice,vývoj a údržba informačních systémů
Hodnoce ní
Stávající stav
Žádoucí stav
2
Autentizace je zajištěna pomocí systému Mitis pro přidělování uživatelských oprávnění. Help adresa obsahuje historii provozních či programových nedostatků, které jsou předávány do realizace dodavateli Tesco SW.
U jednotlivých aplikací musí být stanoveny požadavky na zajištění autentizace a integrity zpráv a podle potřeby identifikována a zavedena vhodná opatření.
Validace výstupních dat
2
Výstupní data ze signifikantních systémů prochází vnitřní kontrolou formálních náležitostí a kontrolou přejímajícího subjektu.
Pro zajištění toho, že zpracování uložených informací je bezchybné a odpovídající dané situaci, musí být provedeno ověření platnosti výstupních dat z aplikace.
A.12.3 Kryptografická opatření
Politika pro použití kryptografických opatření
3
Šifrování informací není nastaveno.
Musí být vytvořena a zavedena politika pro používání kryptografických opatření na ochranu informací.
A.12.4 Bezpečnost systémových souborů
Správa provozního programového vybavení
2
Správa systémového prostředí, databázových služeb, dohled nad provozem, správa aplikací zajištěna dodavatelem Tesco SW; jsou zavedeny postupy správy.
Musí být zavedeny postupy pro kontrolu instalace programového vybavení na provozních systémech.
A.12.4 Bezpečnost systémových souborů
Ochrana systémových testovacích údajů
2
Testovací data musí být pečlivě vybrána,chráněna a kontrolována/řízena.
A.12.4 Bezpečnost systémových souborů
Řízení přístupu ke knihovně zdrojových kódů
3
Testování je z časového hlediska prováděno pouze na straně realizace dodavatelem, po instalaci testovací stanici. Protokol o testování je podepsán zástupcem CRR, zhotovitelem a řídícím orgánem. Testovací data nejsou klasifikována. Umístění zdrojových kódů je řízeno a definováno systémovým integrátorem a je odděleno od ostaních systémů.
47/54
Přístup ke knihovně zdrojových kódů musí být omezen.
Kategorie
Subkategorie
Popis
A.12 Akvizice,vývoj a údržba informačních systémů
A.12.5 Bezpečnost procesů vývoje a podpory
Postupy řízení změn
A.12 Akvizice,vývoj a údržba informačních systémů A.12 Akvizice,vývoj a údržba informačních systémů A.12 Akvizice,vývoj a údržba informačních systémů A.12 Akvizice,vývoj a údržba informačních systémů A.12 Akvizice,vývoj a údržba informačních systémů A.13 Zvládání bezpečnostní ch incidentů
A.12.5 Bezpečnost procesů vývoje a podpory
Hodnoce ní
Stávající stav
Žádoucí stav
2
Změny programového vybavení jsou systematicky řízeny nastaveným procesem. Na portálu je seznam změn. Existuje pracovní skupina pro jednotný monitorovací systém PSJMS a zástupce řídícího orgánu přijímá souhrnné informace o provedených změnách. Nasazení některých změnových požadavků je prováděno přímo v produkčním prostředí.
Musí být zavedeny formální postupy řízení změn.
Technické přezkoumání aplikací po změnách operačního systému
3
Operační systém koncových stanic je pravidelně aktualizován. Případné negativní dopady aktualizace jsou odhaleny po instalaci upgradu.
V případě změny operačního systému musí být přezkoumány a otestovány kritické aplikace, aby bylo zajištěno, že změny nemají nepříznivý dopad na provoz nebo bezpečnost organizace.
A.12.5 Bezpečnost procesů vývoje a podpory
Omezení změn programových balíků
1
Změnový požadavek, který projde schvalovacím procesem a předán do realizaci dodavateli Tesco SW.
Modifikace programových balíků musí být omezeny na nezbytné změny, veškeré prováděné změny musí být řízeny.
A.12.5 Bezpečnost procesů vývoje a podpory
Únik informací
3
Informace nejsou klasifikovány, není znám stupeň jejich ochrany. Předpokládá se zavedení řízené dokumentace.
Musí být zabráněno příležitostem k úniku informací.
A.12.5 Bezpečnost procesů vývoje a podpory
Programové vybavení vyvíjené externím dodavatelem
2
Dodavatelem programového vybavení je Tesco SW, které zajišťuje konzultace a vývoj. Existuje systém kontrolních mechanismů.
Organizace musí dohlížet a monitorovat vývoj programového vybavení externím dodavatelem.
A.12.6 Řízení technických zranitelností
Řízení, správa a kontrola technických zranitelností
2
Správa a kontrola technických zranitelností je prováděna dodavatelem systémové integrace Tesco SW.
Musí být zajištěno včasné získání informací o existenci technických zranitelností v provozovaném systému.
A.13.1 Hlášení bezpečnostních událostí a slabin
Hlášení bezpečnostních událostí
2
Proces řízení bezpečnostních incidentů je uveden v MP-13 Provozní řád bezpečnosti inf.systému. Historie je dohledatelná v helpové elektronické poště.
Bezpečnostní události musí být co nejrychleji hlášeny příslušnými řídícími kanály.
48/54
Kategorie
Subkategorie
Popis
A.13 Zvládání bezpečnostní ch incidentů
A.13.1 Hlášení bezpečnostních událostí a slabin
Hlášení bezpečnostních slabin
A.13 Zvládání bezpečnostní ch incidentů
A.13.2 Zvládání bezpečnostních incidentů a kroky k nápravě A.13.2 Zvládání bezpečnostních incidentů a kroky k nápravě
A.13 Zvládání bezpečnostní ch incidentů
A.14 Řízení kontinuity činností organizace
A.13 Zvládání bezpečnostní ch incidentů
A.14 Řízení kontinuity činností organizace A.14 Řízení kontinuity činností organizace
Hodnoce ní
Stávající stav
Žádoucí stav
3
Helpová elektronická adresa obsahuje historii provozních či programových nedostatků. Událost je okamžitě hlášena elektronickou zprávou kompetentním osobám dodavatele Tesco SW.
Odpovědnosti a postupy
2
Ponaučení z bezpečnostních incidentů
3
A.13.2 Zvládání bezpečnostních incidentů a kroky k nápravě
Shromažďování důkazů
2
Odpovědnosti a postupy pro řešení bezpečnostních jsou stanoveny v MP-13 Provozní řád bezpečnosti informačního systému. Nálezy z identifikovaných bezpečnostních událostí a incidentů jsou ohodnoceny, analyzovány a řešeny. Ponaučení z opravených nedostatků není systematicky zavedeno. Nastaveno je centrální vyhodnocování zaznamenávaných činností.
Všichni zaměstnanci,smluvní strany a ostatní uživatelé informačního systému a služeb musí být povinni zaznamenat a hlásit jakékoliv bezpečnostní slabiny nebo podezření na bezpečnostní slabiny v systémech nebo službách. Pro zajištění rychlé, účinné a systematické reakce na bezpečnostní incidenty musí být zavedeny odpovědnosti a postupy pro zvládání bezpečnostních incidentů. Musí existovat mechanizmy, které by umožňovaly kvantifikovat a monitorovat typy, rozsah a náklady bezpečnostních incidentů.
A.14.1 Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací A.14.1 Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací A.14.1 Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací
Zahrnutí bezpečnosti informací do procesu řízení kontinuity činností organizace
3
Je vypracován pokyn MP-12 Havarijní plán. Bezpečnost informací není řešena.
Kontinuita činností organizace a hodnocení rizik
3
V rámci auditu kvality byla provedena analýza business rizik.
Musí být identifikovány možné příčiny přerušení činností organizace,včetně jejich pravděpodobnosti, velikosti dopadu a možných následků na bezpečnost informací.
Vytváření a implementace plánů kontinuity
2
V metodickém pokynu MP-12 Havarijní plán, je uvedena strategie plánování obnovy, organizační zabezpečení, správa a testování plánu.
Pro udržení nebo obnovu provozních činností organizace po přerušení nebo selhání kritických procesů a pro zajištění dostupnosti informací v požadovaném čase a na požadovanou úroveň musí být vytvořeny a implementovány plány.
49/54
V případech, kdy vyústění bezpečnostního incidentu směřuje k právnímu řízení (podle práva občanského nebo trestního) vůči sobě a nebo organizaci, musí být sbírány, uchovávány a soudu předkládány důkazy v souladu s pravidly příslušné jurisdikce, kde se bude případ projednávat. V rámci organizace musí existovat řízený proces pro rozvoj a udržování kontinuity činností organizace.
Kategorie
Subkategorie
Popis
A.14 Řízení kontinuity činností organizace
Systém plánování kontinuity činností organizace
A.15 Soulad s požadavky
A.14.1 Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací A.14.1 Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací A.15.1 Soulad s právními normami
Stávající stav
Žádoucí stav
3
Plánování kontinuity je řešeno pro dílčí oblasti.
Pro zajištění konzistence plánů kontinuity činností a pro určení priorit testování a údržby musí být k dispozici jednotný systém plánů kontinuity činností organizace.
Testování, udržování a přezkoumávání plánů kontinuity
2
Aktualizace a testování plánu je řízeno centrálně vedoucím krizového týmu. Aktualizace je nastavena minimálně jednou ročně.
Plány kontinuity činností organizace musí být pravidelně testovány a aktualizovány, aby se zajistila jejich aktuálnost a efektivnost.
Identifikace odpovídajících předpisů
3
Odpovídající předpisy nejsou systematicky identifikovány a aktualizovány, pokud ano tak pouze v rámci dílčích projektů.
A.15.1 Soulad s právními normami
Ochrana duševního vlastnictví
4
Přístup na úrovni čtení dokumentace je nastaven i pro jiné pracovníky než pro daný pracovní tým do různých OP.
A.15 Soulad s požadavky
A.15.1 Soulad s právními normami
Ochrana záznamů organizace
1
Kritické záznamy jsou umístěny v uzamčené skříni kanceláře vedoucího.
A.15 Soulad s požadavky
A.15.1 Soulad s právními normami
Ochrana dat a soukromí osobních informací
2
A.15 Soulad s požadavky
A.15.1 Soulad s právními normami
Prevence zneužití prostředků pro zpracování informací
2
A.15 Soulad s požadavky
A.15.1 Soulad s právními normami
Regulace kryptografických opatření
Ochrana osobních dat v personálním sytému je řešena pomocí nastavení úrovně přístupových oprávnění k citlivým datům, např údaje o mzdách pouze mzdová účetní. Ochrana dat je ve smlouvách nastavena podle aktuální potřeby. Řádné způsoby zacházení s výpočetními prostředky jsou popsány v MP-12 Bezpečnostní politika IT. n/a
Pro každý informační systém musí být jednoznačně definovány, dokumentovány a udržovány aktuální veškeré relevantní zákonné, regulatorní a smluvní požadavky a způsob jakým je organizace dodržuje. Pro zajištění souladu se zákonnými, regulatorními a smluvními požadavky na použití materiálů a aplikačního programového vybavení, které mohou být chráněny zákony na ochranu duševního vlastnictví musí být zavedeny vhodné postupy. Důležité záznamy organizace musí být chráněny proti ztrátě, zničení a padělání a to v souladu se zákonnými, podzákonnými a smluvními požadavky a požadavky organizace. Ochrana dat a soukromí musí být zajištěna v souladu s odpovídající legislativou, předpisy, a pokud je to relevantní, se smlouvami.
A.15 Soulad s požadavky
A.14 Řízení kontinuity činností organizace
Hodnoce ní
n/a
50/54
Musí být zakázáno používat prostředky pro zpracování informací jiným než autorizovaným způsobem. Kryptografická opatření musí být používána v souladu s příslušnými úmluvami, zákony a předpisy.
Kategorie
Subkategorie
Popis
A.15 Soulad s požadavky
A.15.2 Soulad s bezpečnostními politikami,normami a technická shoda
Shoda s bezpečnostními politikami a normami
3
A.15 Soulad s požadavky
A.15.2 Soulad s bezpečnostními politikami,normami a technická shoda A.15.3 Hlediska auditu informačních systémů
Kontrola technické shody
2
Opatření k auditu informačních systémů
1
A.15.3 Hlediska auditu informačních systémů
Ochrana nástrojů pro audit informačních systémů
2
A.15 Soulad s požadavky
A.15 Soulad s požadavky
Hodnoce ní
Stávající stav
Žádoucí stav
Shoda s normami je zajišťována periodickými audity, které probíhají na kontinuální bázi. Nebyl identifikován úplný seznam platné legislativy a aktualizace zákonných požadavků.. Informační systémy jsou pravidelně kontrolovány externími audity a soulad s bezpečnostními politikami a standardy je kontrolován interním a externím auditem. Opatření auditu a činnosti zahrnující kontrolu provozních systémů jsou dlouhodobě plánována a probíhají kontinuálně.
Vedoucí zaměstnanci musí zajistit, aby všechny bezpečnostní postupy v rozsahu jejich odpovědnosti byly prováděny správně, v souladu s bezpečnostními politikami a normami Informační systémy musí být pravidelně kontrolovány, zda jsou v souladu s bezpečnostními politikami a standardy.
Auditní nástroje jsou chráněny nastavení úrovně oprávnění a monitorovány pomocí vyhodnocování logů.
Tabulka č. 6 – Popis procesů
51/54
Požadavky auditu a činnosti zahrnující kontrolu provozních systémů musí být pečlivě naplánovány a schváleny,aby se minimalizovalo riziko narušení činností organizace. Přístup k nástrojům určeným pro audit informačních systémů musí být chráněn,aby se předešlo jejich možnému zneužití nebo ohrožení.
6.2
REJSTŘÍK POUŽITÝCH POJMŮ
Rejstřík základních pojmů je uveden v následující tabulce: Pojem
Vysvětlení
akceptace rizik
rozhodnutí přijmout riziko
aktivum
cokoli, co má pro organizaci nějakou hodnotu
analýza rizik
systematické používání informací k odhadu rizika a k identifikaci jeho zdrojů
autenticita
vlastnost zajišťující, že identita subjektu nebo zdroje je taková, za kterou je prohlašována. Autenticita je aplikována na entity, jako jsou uživatelé, procesy, systémy a informace
bezpečnost informací
zachování důvěrnosti, integrity a dostupnosti informací a dalších vlastností jako např. autentičnost, odpovědnost, nepopiratelnost a spolehlivost
bezpečnost IT
všechny aspekty souvisící s definováním, dosažením a udržováním důvěrnosti, integrity, dostupnosti, individuální zodpovědnosti, autenticity a spolehlivosti
bezpečnostní incident
jedna nebo více nechtěných nebo neočekávaných bezpečnostních událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace a ohrožení bezpečnosti informací
bezpečnostní opatření
praxe, postup nebo mechanismus, který snižuje riziko
bezpečnostní událost
identifikovaný stav systému, služby nebo sítě, ukazující na možné porušení bezpečnostní politiky nebo selhání bezpečnostních opatření. Může se také jednat o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti informací
dopad
výsledek nežádoucího incidentu
dostupnost
zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby
důvěrnost
zajištění, že informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni
hodnocení rizik
celkový proces analýzy a vyhodnocení rizik
hrozba
potenciální příčina nežádoucího incidentu, který může mít za následek poškození informačního systému nebo zájmů organizace
individuální zodpovědnost
vlastnost zajišťující, že činnosti určité entity mohou být sledovány jedinečně pro tuto entitu (nepopiratelnost zodpovědností)
integrita
vlastnost, že data nebudou změněna nebo zničena neautorizovaným způsobem
integrita systému
vlastnost, že systém vykonává svou zamýšlenou funkci nenarušeným způsobem, bez záměrné nebo náhodné neautorizované manipulace se systémem
management rizik
koordinované činnosti sloužící k řízení a kontrole organizace s ohledem na rizika
nepopiratelnost informací
Je-li zajištěna nepopiratelnost, pak v případě sporu dvou stran může nezávislá třetí strana rozhodnout, zda daný úkon proběhl nebo ne. Jde např. o nepopiratelnost vytvoření zprávy, odeslání, podání, přenosu a příjmu zprávy.
52/54
Pojem
Vysvětlení
politika bezpečnosti IT
pravidla, směrnice a praktiky, které rozhodují o tom, jak jsou aktiva včetně citlivých informací spravovány, chráněny a distribuovány uvnitř organizace a jejích systémů IT
prohlášení o aplikovatelnosti
dokumentované prohlášení popisující cíle opatření a jednotlivá bezpečnostní opatření, která jsou relevantní a aplikovatelná v rámci ISMS organizace
spolehlivost
vlastnost, zajišťující konzistentní zamýšlené chování a jeho výsledky
systém managementu bezpečnosti informací ISMS
část celkového systému managementu organizace založená na přístupu (organizace) k rizikům činností, která je zaměřena na ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací.
vyhodnocení rizik
proces porovnávání odhadnutého rizika vůči daným kritériím pro určení jeho významu
základní opatření
minimální soubor ochranných opatření ustavených pro určitý systém nebo organizaci
zbytkové riziko
riziko zbývající po uplatnění zvládání rizik
zranitelnost
slabé místo aktiva nebo skupiny aktiv, které může být využito hrozbou
zvládání rizik
proces výběru a přijímání opatření ke změně rizika
Rodina norem ISO 27000
Souhrn norem pokrývajících problematiku systému řízení bezpečnosti informací a jeho implementaci a certifikace v organizacích
PDCA
Implementačně řídící model použitý normami rodiny ISO/IEC 27000. Tento model zajišťuje kontinuální rozvoj systému řízení díky cyklickému propojení a zpětné vazbě těchto dílčích kroků: Plánuj (plan), Dělej (do), Kontroluj (Check), Jednej (Act)
Best-practices
Souhrn technologií, postupů a praktik, které jsou všeobecně považovány za nejlepší možné k řešení dané problematiky.
Perimetr
V oblasti fyzické bezpečnosti tento pojem vyznačuje prostor, který dělí nezabezpečený (vnější) prostor od zabezpečeného (vnitřního). Důležitá je pak ochrana perimetru.
Firewall
Bezpečnostní prvek infrastruktury zajišťující ochranu sítě nebo aplikací na určitých úrovních (záleží na typu firewallu). Většinou se jedná o předěl mezi dvěma a více bezpečnostními zónami.
DMZ
Demilitarizovaná zóna je technický termín pro oblast počítačové sítě, která je přístupná z internetu. V této části sítě jsou prezentována veřejná rozhranní aplikací organizace, která mají být sdílena s internetem. DMZ je obyčejně oddělena od vnitřní sítě sadou firewallů
Bezpečnostní incident
Událost, která má negativní dopad na fungování organizace tím, že ohrožuje informační bezpečnost některého z informačních aktiv, je bezpečnostní incident. Jeho dopady je nutné analyzovat.
Auditní log (záznam, žurnál)
Je to kompletní seznam operací určité aplikace nebo osoby. Dle názvu je evidentní, že je tento záznam používán hlavně pro potřebu auditu – tj. pro sledování kompletních operací prováděných nad určitým systémem, případně sadou dat.
COBIT
Metodologie zabývající se procesním modelem fungování organizace, optimalizací, řízením a modelem hodnocení vyspělosti procesů. (‘Control objectives in IT‘)
53/54
Pojem
Vysvětlení
ITIL
Báze znalostí fungování IT procesů a jejich implementací používaná předními IT společnostmi (‚IT infrastructure library’).
Externí audit
Audit prováděný třetí osobou vně organizace. Tato osoba (auditor) poskytuje objektivní zhodnocení situace fungování organizace v daném rozsahu.
Certifikace ISMS
Informační systém řízení bezpečnosti informací, jak je definovaný normou ISO/IEC 27001, může být certifikován oproti této normě. V případě, že organizace projeví zájem, certifikační autorita (příslušná auditorská společnost registrovaná s národním certifikačním orgánem) zajistí externí audit pro zjištění shody s normou. Na základě auditu je (případně není) udělena certifikace.
Tabulka č. 7 – Rejstřík základních pojmů
6.3
REFERENCE
Reference na další dokumenty (citace, doplňující, atd.)
Organizační struktura k 20.8.09. Praha : Centrum pro regionální rozvoj ČR 2009. Provozní předpisy nového datového centra. Praha : Centrum pro regionální rozvoj ČR 2009. MP-11 Bezpečnostní politika IT. Praha : Centrum pro regionální rozvoj ČR 2009. MP-11 SP Bezpečnostní politika IT - Zálohový plán. Praha : Centrum pro regionální rozvoj ČR 2009. MP-12 Havarijní plán IT. Praha : Centrum pro regionální rozvoj ČR 2009. MP-12 SP Havarijní plán aktualizace. Praha : Centrum pro regionální rozvoj ČR 2009. MP-13 Provozní řád bezpečnosti IS. Praha : Centrum pro regionální rozvoj ČR 2009. MP-21 Rizika a jejich řízení. Praha : Centrum pro regionální rozvoj ČR 2009. MP-RD-06 Metodika interního auditu Praha : Centrum pro regionální rozvoj ČR 2009 OS-07 Výběr a hodnocení dodavatelů, nákup. Praha : Centrum pro regionální rozvoj ČR 2009 OS-08 Informační systém. Praha : Centrum pro regionální rozvoj ČR 2009. OS-09 Vnitřní kontrolní systém. Praha : Centrum pro regionální rozvoj ČR 2009. OS-11 Řízení neshod, opatření k nápravě. Praha : Centrum pro regionální rozvoj ČR 2009. RD-01 Organizační řád. Praha : Centrum pro regionální rozvoj ČR 2009. RD-01 SP Popisy pracovních míst. Praha : Centrum pro regionální rozvoj ČR 2009. RD-02 Pracovní řád. Praha : Centrum pro regionální rozvoj ČR 2009 RD-06 Interní audit Praha : Centrum pro regionální rozvoj ČR 2009
