1 table
Sem vložte zadání Vaší práce.
České vysoké učení technické v Praze Fakulta informačních technologií Katedra teoretické informatiky
Bakalářská práce
Metodika zavádění ISMS do malých a středních firem Pavel Procházka
Vedoucí práce: Ing. Jiří Buček
11. května 2014
Poděkování Děkuji Ing. Jiřímu Bučkovi za cenné rady a návrhy při vedení bakalářské práce, Ing. Martině Čelikovské a Ing. Petru Prokůpkovi za cenné rady z oblasti managementu bezpečnosti informací a Mgr. Evě Prokůpkové za trpělivost při opravování mých gramatických chyb.
Prohlášení Prohlašuji, že jsem předloženou práci vypracoval(a) samostatně a že jsem uvedl(a) veškeré použité informační zdroje v souladu s Metodickým pokynem o etické přípravě vysokoškolských závěrečných prací. Beru na vědomí, že se na moji práci vztahují práva a povinnosti vyplývající ze zákona č. 121/2000 Sb., autorského zákona, ve znění pozdějších předpisů, zejména skutečnost, že České vysoké učení technické v Praze má právo na uzavření licenční smlouvy o užití této práce jako školního díla podle § 60 odst. 1 autorského zákona.
V Praze dne 11. května 2014
.....................
České vysoké učení technické v Praze Fakulta informačních technologií c 2014 Pavel Procházka. Všechna práva vyhrazena.
Tato práce vznikla jako školní dílo na Českém vysokém učení technickém v Praze, Fakultě informačních technologií. Práce je chráněna právními předpisy a mezinárodními úmluvami o právu autorském a právech souvisejících s právem autorským. K jejímu užití, s výjimkou bezúplatných zákonných licencí, je nezbytný souhlas autora.
Odkaz na tuto práci Procházka, Pavel. Metodika zavádění ISMS do malých a středních firem. Bakalářská práce. Praha: České vysoké učení technické v Praze, Fakulta informačních technologií, 2014.
Abstract The first part of this thesis is an overview of available information about Information Security Management System (the essential norms and procedures). Therefore the thesis provides a framework manual for the implementation of Information Security Management System into various businesses and other organisations. The second (implementation) part describes ISMS implementation procedure in real, however anonymised company. This part refers to the information mentioned in the first (research) part. Keywords ISMS, Information Security, ISO 27001, risk management
Abstrakt Práce v první části shrnuje informace z oblasti systému managementu bezpečnosti informací (základní normy a postupy). Práce tak vytváří rámcovou příručku pro zavádění systému managementu bezpečnosti informací do společností. V druhé (implementační) části je popsán konkrétní postup implementace ISMS v reálné, ale anonymizované, firmě. V této části práce se odkazuji k poznatkům uvedeným v první (rešeršní) části. Klíčová slova ISMS, bezpečnost informací, ISO 27001, řízení rizik ix
Obsah Úvod
1
I Rešeršní část
3
1 Norma ČSN ISO/IEC 27001:2006 1.1 PDCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5 10
2 Význam a určení aktiv 13 2.1 Identifikace aktiv . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.2 Ocenění aktiv . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.3 Pojmy hrozba, zranitelnost, dopad, riziko protiopatření . . . . . 15 3 Analýza rizik 19 3.1 Typy analýzy rizik . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.2 Metody analýzy rizik . . . . . . . . . . . . . . . . . . . . . . . . 20 4 Řízení rizik bezpečnosti informací 4.1 Stanovení kontextu . . . . . . . . . . . 4.2 Posouzení rizik bezpečnosti informací . 4.3 Ošetření rizik . . . . . . . . . . . . . . 4.4 Akceptace rizik . . . . . . . . . . . . . 4.5 Komunikace rizik . . . . . . . . . . . . 4.6 Monitorování a přezkoumání rizik . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
25 25 26 28 29 30 30
5 Tvorba prohlášení o aplikovatelnosti
33
6 Postup zavádění ISMS do firmy
35
xi
II Implementační část
37
7 Popis organizace
39
8 Rozhodnutí managementu
41
9 Stanovení rozsahu a hranic ISMS 43 9.1 Centrála AlenkaSoftware . . . . . . . . . . . . . . . . . . . . . . 43 9.2 Pobočky AlenkaSoftware . . . . . . . . . . . . . . . . . . . . . . 44 10 Stanovení bezpečnostní politiky 47 10.1 Politika bezpečnosti AlenkaSoftware s.r.o. . . . . . . . . . . . . 47 11 Management rizik 11.1 Stanovení kontextu 11.2 Posouzení rizik . . 11.3 Ošetření rizik . . . 11.4 Akceptace rizik . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
51 51 52 67 69
12 Implementace ISMS 71 12.1 Vytvoření dokumentace . . . . . . . . . . . . . . . . . . . . . . 71 12.2 Vytvoření formulářů . . . . . . . . . . . . . . . . . . . . . . . . 73 12.3 Vytvoření prohlášení o aplikovatelnosti . . . . . . . . . . . . . . 73 13 Provoz ISMS 75 13.1 Přezkoumání vedením . . . . . . . . . . . . . . . . . . . . . . . 75 13.2 Certifikační audit ISMS . . . . . . . . . . . . . . . . . . . . . . 77 Závěr
79
Literatura
81
A Seznam použitých zkratek
85
B Normy pro systémy managementu bezpečnosti informací 87 B.1 Další normy řady ISO 27000 . . . . . . . . . . . . . . . . . . . . 87 B.2 Výběr norem související s ISMS mimo řadu ISO 27000 . . . . . 89 C PDCA cyklus použitý v ISMS
91
D Proces řízení rizik
93
E Havarijní plán a plán kontinuity 95 E.1 Havarijní plán . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 E.2 Plán kontinuity . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 xii
F Prohlášení o aplikovatelnosti
97
G Obsah přiloženého CD
121
xiii
Seznam obrázků 1.1
PDCA v ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.1
Vztahy aktivum–riziko–hrozba . . . . . . . . . . . . . . . . . . . .
16
3.1 3.2
Management rizik zahrnující podrobnou analýzu rizik . . . . . . . SWOT analýza . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21 23
4.1
Vztahy: riziko, zranitelnost, hrozba a aktivum . . . . . . . . . . . .
27
6.1
Zavádění ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
11.1 Organizační struktura firmy . . . . . . . . . . . . . . . . . . . . . .
52
C.1 PDCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
D.1 Proces řízení rizik bezpečnosti informací . . . . . . . . . . . . . . .
94
xv
Seznam tabulek 11.1 Hodnocení aktiv – Lidí . . . . . . . . . . . . . 11.2 Hodnocení aktiv – Procesy a služby . . . . . 11.3 Hodnocení aktiv – Software . . . . . . . . . . 11.4 Hodnocení aktiv – Fyzické položky . . . . . . 11.5 FMEA–opatření . . . . . . . . . . . . . . . . 11.6 FMEA–aktiva . . . . . . . . . . . . . . . . . . 11.7 FMEA–Závažnost hrozby . . . . . . . . . . . 11.8 Hodnocení rizik – Data zákazníků . . . . . . 11.9 Hodnocení rizik – Osobní údaje zaměstnanců 11.10Hodnocení rizik – Linux . . . . . . . . . . . . 11.11Hodnocení rizik – Databáze . . . . . . . . . . 11.12Hodnocení rizik – Vstupní karta . . . . . . . 11.13Hodnocení rizik – PC . . . . . . . . . . . . . 11.14Hodnocení rizik – Konzultant . . . . . . . . . 11.15Hodnocení rizik – Vývojář . . . . . . . . . . .
. . . . . . . . . . . . . . .
52 53 53 54 59 59 59 61 62 63 64 64 65 66 66
12.1 Prohlášení o aplikovatelnosti–ukázka . . . . . . . . . . . . . . . . .
74
F.1 Prohlášení o aplikovatelnosti . . . . . . . . . . . . . . . . . . . . .
97
xvii
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
Úvod Práci o managementu bezpečnosti informací jsem si vybral z toho důvodu, že bezpečnost informací je velmi aktuální téma. Bezpečnost informací řeší jak velké, nadnárodní společnosti, tak malé a střední firmy a ve svém důsledku se dotýká každého z nás. Požadavky na bezpečnost informací, případně na zavedení a certifikace systému managementu bezpečnosti informací, přicházejí jak od zákazníků, tak od externích autorit. Vedení některých společností se pro tyto systémy rozhodují i bez vnějších tlaků, protože chtějí, aby firma působila důvěryhodně. Zatímco dříve byl pojem bezpečnost informací chápán jako synonymum k pojmu důvěrnost informací a řešení se omezovalo na technickou stránku, na zabránění nepovoleného přístupu k informacím, současný přístup bere v úvahu nejen důvěrnost, ale především dostupnost, integritu a důvěryhodnost informací a zabývá se více organizační než technickou stránkou věci. Cílem této rešeršně–implementační bakalářské práce je v první, rešeršní, části přiblížit základní normy a postupy při zavádění systému managementu bezpečnosti informací a poskytnout tak představu o komplexnosti tohoto systému. První část lze použít i jako rámcovou metodiku zavádění systému managementu informační bezpečnosti a lze podle ní přibližně odhadnout náročnost zavedení tohoto systému do konkrétní firmy. V druhé, implementační, části bude popsán konkrétní postup implementace systému managementu bezpečnosti informací do IT firmy. V této části práce budu využívat poznatky nashromážděné a popsané v rešeršní části práce. Implementace byla provedena v reálné firmě, na přání jejího vedení je tato firma v práci anonymizována.
1
Část I
Rešeršní část
3
Kapitola
Norma ČSN ISO/IEC 27001:2006 V této kapitole se budu zabývat normou ČSN ISO/IEC 27001:2006, která stanovuje kritéria, podle kterých lze určit, zda byl nebo nebyl systém managementu bezpečnosti informací zaveden správně. V současné době již vyšla nová verze ISO/IEC této normy (27001:2013). Tato norma nebyla zatím přeložena do češtiny ani nebyla včleněna do systému ČSN. Další normy související se systémy managementu bezpečnosti informací jsou uvedeny v příloze B. Norma ČSN ISO/IEC 27001:2006 je rozdělena, včetně úvodu, do devíti částí a obsahuje jednu normativní a dvě informativní přílohy. Popisu těchto částí a příloh se věnuji v následujícím textu. Kapitoly 0 a 1 V části 0 normy je vysvětlen důvod jejího vzniku, procesní přístup a kompatibilita s jinými systémy managementu. Důvodem vzniku normy je poskytnutí podpory pro ustavení, zavádění, provozování, monitorování, udržování a zlepšování systému managementu bezpečnosti informací (Information Security Management System, dále ISMS) [1]. V rámci procesního přístupu je kladen důraz na pochopení požadavků na bezpečnost informací organizace a potřebu stanovení politiky a cílů bezpečnosti informací; na zavedení a provozování opatření ISMS v kontextu s řízením celkových rizik (nejen informačních) činnosti organizace; na monitorování a přezkoumání výkonnosti a účinnosti ISMS a na neustálé zlepšování založené na objektivním měření [1]. Norma pracuje s modelem „Plánuj–Dělej– Kontroluj–Jednej“ (Plan–Do–Check–Act, dále PDCA), který je popsán v části 1.1 této bakalářské práce. Tato norma je propojena s normami ISO 9001:20001 a ISO 14001:2004 tak, 1 v současné době platí revize 2008, v roce 2015 je očekávaná revize nová, ve které bude zajištěná plná kompatibilita norem managementu mezi sebou
5
1
1. Norma ČSN ISO/IEC 27001:2006 aby bylo podpořeno jejich konzistentní a jednotné zavedení a provoz. Jeden vhodně navržený systém managementu tak může naplnit požadavky všech těchto norem [1] a zároveň je tato norma navržena tak, aby umožnila propojit nebo integrovat ISMS do stávajícího systému managementu používaného v organizaci. V části 1 je definován předmět normy a jeho použití. Norma specifikuje požadavky na ISMS v kontextu celkových rizik činností organizace a také specifikuje požadavky na zavedení bezpečnostních opatření. ISMS je navržen tak, aby zajistil přiměřená a odpovídající bezpečnostní opatření chránící informační aktiva a poskytující odpovídající jistotu všem zainteresovaným stranám [1]. Určení a význam určení aktiv organizací je popsán v kapitole 2 této bakalářské práce. Norma je použitelná pro všechny typy organizací, komerční, neziskové nebo státní [1]. Kapitoly 2 a 3 Ve druhé části normy nazvané Citované normativní dokumenty je uveden odkaz na jedinou normu, a to ISO/IEC 17799:2005. Ve třetí části je uvedeno 16 termínů a jejich definic (aktivum, bezpečnostní událost, hodnocení rizik, prohlášení o aplikovatelnosti aj.) Kapitola 4 Tato část normy popisuje všeobecné požadavky na ISMS, ustavení a řízení ISMS a požadavky na dokumentaci. Budování a řízení ISMS Mezi všeobecnými požadavky norma uvádí, že organizace musí ustavit, zavést, provozovat, monitorovat, přezkoumávat, udržovat a soustavně zlepšovat dokumentovaný ISMS organizace, a to v kontextu všech činností a rizik. Použitý proces je pro účely této normy založený na modelu PDCA [1]. Tato část normy je pro zavádění ISMS klíčová. Pomáhá vymezit rizika, stanovit největší ohrožení a nejvýznamnější zranitelnosti. Zabývá se analýzou, zpracováním návrhu opatření a pravidelným přezkoumáváním účinnosti opatření [2], což vede k neustálému zlepšování ISMS. Požadavky na dokumentaci Cílem řízení dokumentace je zajistit zpětnou dohledatelnost dokumentů a záznamů tak, aby se zajistila kontinuita a opakovatelnost jednotlivých činností [1]. Dokument (specifikace) popisuje, jak má probíhat činnost, záznam je dokladem o tom, zda a jak činnost proběhla. Dokumenty musí být chráněny a řízeny [1], tj. musí: mít název nebo číslo (nebo obojí), být určen jeho autor, být známá verze nebo datum vydání, být znám rozdělovník (musí být jasné, kdo dokument má) [3]. 6
Obrázek 1.1: Aplikace PDCA cyklu v ISMS
Záznamy jsou dokumenty uvádějící dosažené výsledky nebo poskytující důkaz o vykonaných aktivitách [4] a musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě s požadavky a o efektivním fungování ISMS. Záznamy musí být chráněny a řízeny. Záznamy musí zůstat čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Také musí být udržovány záznamy o všech výskytech bezpečnostních incidentů, vztahujících se k ISMS [1]. Organizace musí být schopna prokázat vazbu mezi zvolenými opatřeními a zpět k výsledkům analýzy rizik a procesu zvládání rizik a následně zpět k politice ISMS a cílům [2], tedy aplikaci PDCA cyklu, viz obrázek 1.1. Dokumentace musí obsahovat celkem 9 položek (např. politiku ISMS, zprávu o hodnocení rizik, prohlášení o aplikovatelnosti aj.) [1]. Kapitola 5 V této části norma pracuje s odpovědností vedení organizace při zavádění ISMS, řízením zdrojů a školením a odbornou způsobilostí. Zapojení managementu do procesu implementace ISMS je zásadní krok, na kterém záleží, zda implementace ISMS bude nebo nebude úspěšná. Management musí stanovit smysluplnou strategii v oblasti bezpečnosti informací [2]. Norma požaduje, aby vedení organizace poskytlo důkazy o své vůli k ustavení, zavedení, provozu, monitorování, přezkoumání, udržování a zlepšování ISMS tak, že provede osm kroků (např. ustanoví politiku ISMS, zajistí dostatečné zdroje, zajistí provádění interních auditů aj.) [1]. 7
1. Norma ČSN ISO/IEC 27001:2006 Organizace musí být schopná určit a zajistit zdroje pro činnosti související s ustavením, řízením a zlepšováním ISMS. Dále musí zajistit (pomocí školení apod.), aby zaměstnanci, kterých se týkají povinnosti definované v ISMS, byli odborně způsobilí k výkonu požadovaných úkolů. Příslušný personál by si měl být vědom závažnosti a významu svých činností v rámci bezpečnosti informací a svého přínosu k dosažení cílů ISMS [1]. Kapitola 6 Tato kapitola popisuje interní audity ISMS. Norma stanovuje, že organizace musí provádět interní audity ISMS v plánovaných intervalech tak, aby určila, zda cíle opatření, jednotlivá bezpečnostní opatření a postupy ISMS: a) vyhovují požadavkům normy ČSN ISO/IEC 27001:2006 a zároveň odpovídajícím zákonným nebo regulatorním požadavkům b) vyhovují identifikovaným požadavkům na bezpečnost informací c) jsou zavedeny a efektivně udržovány d) fungují tak, jak se očekává [1]. Interval vhodný pro provádění interních auditů je obvykle 1x za dvanáct měsíců na celý systém. Důležité je při plánování auditů vycházet z rizik, která byla v rámci zavádění ISMS identifikována, a přezkoumávat je. Součástí auditů by mělo být i technické odzkoušení zranitelnosti a ošetření slabých míst pomocí testů. Při zavádění ISMS může být výhodnější provádět interní audity častěji, aby si zaměstnanci zvykli na pravidelnou kontrolu a aby se co nejdříve odstranila slabá místa v daných procesech [2]. Program auditů musí být plánovaný s ohledem na význam auditovaných procesů a oblastí a také s ohledem na výsledky předchozích auditů. Výběr auditorů a vlastní provedení auditů musí zajistit objektivitu a nestrannost procesu auditu. Auditoři nesmějí auditovat svoji vlastní práci [1]. Pro organizaci může být vhodné, aby interní audit ISMS provedla "druhá strana", např. konzultační firma, z důvodu větší objektivity výsledků auditu [2]. Zaměstnanci, kteří jsou odpovědní za auditovanou oblast, musejí zajistit, že kroky na odstranění zjištěných nedostatků a jejich příčin jsou prováděny bez zbytečného odkladu. Tyto kroky musejí obsahovat zpětnou kontrolu a hlášení o výsledcích této kontroly [1]. Podrobnější a konkrétnější informace o provádění interních (i externích) auditů ISMS poskytuje norma ČSN ISO/IEC 27007 (Směrnice pro audit systémů řízení bezpečnosti informací), která je popsána v příloze B.1. Kapitola 7 Tato část popisuje přezkoumání ISMS vedením organizace, včetně vstupů a výstupů tohoto přezkoumání. Vedení organizace musí provádět přezkoumání 8
ISMS v plánovaných intervalech, aby zajistilo jeho permanentní přiměřenost, adekvátnost a účinnost. Tato přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS a aktuálnost bezpečnostní politiky a cílů bezpečnosti [1]. Při přezkoumání by mělo vrcholové vedení získat nezkreslený obraz o skutečném stavu a případně znovu přehodnotit rizika, která byla při předchozím přezkoumání akceptována. Obvyklý interval přezkoumání je 1x ročně, při zavádění systému častěji [2]. Kapitola 8 Osmá část se věnuje zlepšování ISMS, opatřením k nápravě a preventivním opatřením. Organizace musí neustále zvyšovat účinnost ISMS s využitím politiky bezpečnosti informací, cílů bezpečnosti informací, výsledků auditů, analýz monitorovaných událostí, nápravných a preventivních opatření a přezkoumání prováděných vedením organizace [1]. Důraz je kladen na to, aby nápravná a preventivní opatření nebyla jen formální, ale aby byla skutečně používána. Je tedy důležité sledovat nedostatky a neshody zjištěné jak externími, tak interními pracovníky, a reagovat na ně přijetím opatření k nápravě2 a preventivních opatření3 tak, aby byl uzavřen PDCA cyklus [2]. Organizace musí identifikovat změny rizik a požadavky na opatření k nápravě, zejména pak u těch rizik, jejichž změna byla významná. Priorita opatření k nápravě bude určena na základě výsledků hodnocení rizik [1]. 27001 – přílohy 27001 – příloha A – normativní Cíle opatření a jednotlivá bezpečnostní opatření uvádí norma v tabulce; podrobněji viz kapitola 5. Cíle opatření a jednotlivá opatření musí být vybrána v rámci procesu zavádění ISMS [1]. Cíle opatření a bezpečnostní opatření se zabývají následujícími tématy: bezpečnostní politikou, organizací bezpečnosti informací, řízením aktiv, bezpečností lidských zdrojů, fyzickou bezpečností a bezpečností prostředí, řízením komunikací a řízením provozu, řízením přístupu, akvizicí, vývojem a údržbou informačních systémů, zvládáním bezpečnostních incidentů, řízením kontinuity činností organizace, souladem s požadavky (právní normy, technické shody apod.) [1]. Dokument, který popisuje plnění požadavků uvedených v této příloze, tvoří základ prohlášení o aplikovatelnost.
2
také opravné nebo nápravné opatření je činnost sloužící k eliminaci příčin zjištěného nesouladu nebo jiné nežádoucí situace [4] 3 činnost vedoucí k eliminaci příčin možného nesouladu nebo jiné nežádoucí potenciální situace [4]
9
1. Norma ČSN ISO/IEC 27001:2006 27001 – příloha B Tato příloha se zabývá principy směrnice OECD ve vztahu k normě ISO/IEC 27001. Principy dané směrnicí OECD pro bezpečnost informačních systémů a sítí se vztahují jak na úroveň politik, tak na provozní úroveň, které řídí bezpečnost informačních systémů a sítí. Norma 27001 poskytuje rámec systému managementu bezpečnosti informací pro zavedení některých principů OECD využitím modelu PDCA [1]. V normě je tento vztah popsán v tabulce. 27001 – příloha C Tato příloha ukazuje v tabulce (viz příloha 3) vztah mezi normami ISO 9001, ISO 14001 a normou 27001 [1].
1.1
PDCA
PDCA cyklus, někdy také Demingův cyklus nebo Demingův kruh, sestává ze čtyř kroků (viz příloha C) Název pochází z anglických názvů jednotlivých kroků: Plan–Do–Check–Act, tedy Plánuj–Dělej–Kontroluj–Jednej. Jedná se o iterační metodu řízení používanou pro řízení a neustálé zlepšování procesů. Variantou PDCA cyklu je OPDCA cyklus, kde o značí observation, tedy pozorování, ve smyslu uchopení stávajícího stavu [5]. PDCA cyklus je použitelný pro řízení procesů obecně, pro účely této práce však budeme mluvit o jeho použití pro ISMS. V prvním kroku, „plan“ (plánuj) vymezíme a definujeme určité oblasti, zvláště co se týká politiky, plánů, cílů, procesů a postupů souvisejících s řízením ISMS [6]. Prověříme současnou výkonnost systému a posoudíme případné problémy a omezení procesů. V tomto kroku shromáždíme data o hlavních problémech a zaměříme se na jejich příčiny; zároveň navrhneme možná řešení a naplánujeme provedení nejvhodnějšího řešení [7]. Ustavíme politiku ISMS, cíle, procesy a postupy související s managementem rizik a zlepšováním bezpečnosti informací [1]. Vše plánujeme tak, aby výsledky odpovídaly celkové politice a cílům organizace [6] [1]. V kroku „do“ (dělej) realizujeme zamýšlené řešení [7]. Zavádíme a využíváme politiku ISMS a zavádíme i opatření, procesy a postupy řízení ISMS [6] [1]. Zároveň sbíráme data pro zmapování a analýzu v krocích „kontroluj“ a „jednej“ [5]. Ve třetím kroku, „check“ (kontroluj) hodnotíme výsledky a posuzujeme, zda bylo dosaženo plánovaných výsledků [7]. Sledujeme odchylky v provedení od původního plánu a také vhodnost a úplnost plánu. Pro hodnocení výsledků používáme i data získaná v kroku „dělej“ [5]. Ve vztahu k politice ISMS, plánům, cílům a zkušenostem posuzujeme a měříme (je-li to možné) jednotlivé procesy, jejich funkčnost a efektivnost. Předáváme také získané výsledky managementu organizace k celkovému vyhodnocení a přezkoumání [6] [1]. 10
1.1. PDCA V posledním kroku cyklu, „act“ (jednej) na základě informací ze třetího kroku, informací z vyhodnocení provedeného vedením organizace a interního auditu ISMS provádíme nápravná opatření a preventivní činnost tak, aby bylo dosaženo neustálého zlepšování ISMS [6] [1]. Pokud tyto čtyři kroky nevedou ke zlepšení, je možné se zlepšit v další iteraci (otočení) PDCA cyklu [5].
11
Kapitola
Význam a určení aktiv Za aktivum považujeme vše, co má nějakou hodnotu [1] nebo užitek pro organizaci, její procesy byznysu a jejich kontinuitu [8], a jehož hodnota může být zmenšena působením hrozby [9]. Aktiva můžeme rozdělit do tří skupin na aktiva • nehmotná: finanční a personální informace, obchodně citlivé informace, nahrávky z kamer, software, image organizace, dobré jméno organizace, know-how [10], předměty průmyslového a autorského práva, morálka pracovníků [9] apod. • hmotná: nemovitý a movitý majetek (cenné papíry, peníze, hardwarové vybavení) • lidé: vlastní personál organizace i outsourcing [10].
2.1
Identifikace aktiv
Aktiva by měla být identifikována v rámci rozsahu ISMS a ke každému aktivu by měl být přidělen vlastník [1]. Vlastník je jedinec nebo entita, která má potvrzenou manažerskou odpovědnost za řízení výroby, vývoje, udržování, používání a bezpečnost aktiv [8]. Vlastník aktiva k němu nemusí mít vlastnická práva, ale má přiměřenou odpovědnost za jeho produkci, vývoj, údržbu, používání a bezpečnost [11]. Odpovědnost za implementaci nástrojů řízení bezpečnosti může být delegována, avšak zodpovědnost by měla zůstat u určeného vlastníka aktiva [8]. Důležitá aktiva by měla být jasně identifikována a náležitě oceněna (viz část 2.2) a měl by být vytvořen a udržován inventář těchto aktiv. Aby bylo zajištěno, že se nepřehlédne nebo nezapomene na nějaké aktivum, měl by být uvažovaný rozsah ISMS definovaný s ohledem na charakter podnikání, organizace, její umístění, aktiva a technologie [8]. Identifikaci aktiv je potřeba provést tak, aby poskytoval dostatek informací pro posouzení rizik. Vlastník aktiva často bývá nejvhodnější osobou pro určení hodnoty aktiva. 13
2
2. Význam a určení aktiv Analýza rizik je vymezena okruhem aktiv organizace, která mají být zvládána procesem řízení rizik bezpečnosti informací [11]. Pro potřeby identifikace aktiv můžeme aktiva rozdělit na primární a podpůrná.
2.1.1
Primární aktiva
Mezi primární aktiva patří obchodní procesy a činnosti a informace z nich plynoucí. Na identifikaci primárních aktiv by se měli podílet vedoucí pracovníci, odborníci v oblasti informačních systémů, ale i samotní uživatelé [11]. V následujícím seznamu je příklad procesů, které jsou obvykle řazeny mezi primární aktiva: • procesy, jejichž ztráta nebo omezení zabraňuje plnit poslání organizace • procesy, které obsahují know-how nebo procesy, které zahrnují patentové nebo jinak chráněné technologie • procesy, které jsou nutné, aby organizace splňovala právní a smluvní podmínky [11]. Dále jsou uvedeny typy informací, které jsou zpravidla považovány za primární aktiva: • životně důležité informace pro plnění poslání organizace • osobní údaje, jak je lze chápat ve smyslu národních zákonů • strategické informace pro dosažení cílů společnosti • velmi nákladné informace, a to jak z hlediska času získávání, tak z finančního hlediska [11].
2.1.2
Podpůrná aktiva
Podpůrná aktiva jsou určena na podporu realizace primárních aktiv [12]. Tato aktiva mají zranitelnost, která je zneužitelná hrozbami s cílem poškodit primární aktiva [11]. Příklady některých podpůrných aktiv: • technické vybavení • komunikační vybavení • zaměstnanci a dodavatelé • informační systémy [12]. 14
2.2. Ocenění aktiv
2.2
Ocenění aktiv
Ocenění aktiv musí být založené na potřebách byznysu organizace, a je pro posouzení rizika nezbytné. Aby bylo možné identifikovat vhodnou ochranu aktiva, je potřeba určit jeho hodnotu pro organizaci. Je důležité brát v úvahu i právní prostředí a výsledné dopady při ztrátě důvěrnosti, integrity nebo dostupnosti aktiv [8]. U hodnocení aktiv si obvykle klademe otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv [9], jejichž hodnota může být vyjádřena kvantitativně nebo kvalitativně [2]. Hodnota aktiva by měla být posuzována individuálně pro každou z vlastností: důvěrnost, integrita, dostupnost nebo jiné důležité vlastnosti pro organizaci, protože tyto jsou nezávislé a mohou se u různých aktiv lišit [8]. Kritéria pro posuzování hodnot aktiv by měla jednoznačně definována, protože některé aspekty aktiv jsou určeny subjektivně a určení hodnoty aktiv provádí více různých jedinců. Je nezbytné stanovit, jakým způsobem se určí celková hodnota aktiva, jestli je to hodnota vlastnosti s nejvyšší hodnotou nebo součet (části) hodnot nebo jiná kombinace. Také je potřeba počítat se vzájemnou závislostí aktiv a případně upravit hodnotu aktiv, na kterých jsou závislá vysoko hodnocená aktiva. [11] Aby bylo možné posoudit hodnotu aktiva v rámci společnosti, je vhodné pro aktiva definovat kategorie ocenění. Hranice těchto kategorií si volí společnost sama podle toho, co považuje za nízkou nebo vysokou škodu [8]. Tato hodnotící škála by se měla používat napříč celou organizací. [11]. Společnost si také volí, jak podrobnou škálu použije; nejčastěji se používá tři až deset kategorií [8] [11].
2.3
Pojmy hrozba, zranitelnost, dopad, riziko protiopatření
Vztahy mezi výše uvedenými pojmy ukazuje obrázek 2.1 Hrozba Hrozba má potenciální schopnost způsobit nežádoucí bezpečnostní incident4 [2] nebo škodu na aktivech [9]. Škoda se může vyskytnout jako důsledek přímého nebo nepřímého útoku na aktiva. Pro způsobení škody využívá hrozba existující (stávající) zranitelnost aktiv [2]. Hrozby mohou být přírodní (objektivní) nebo lidské (subjektivní). Mezi přírodní hrozby řadíme např. povodeň, požár, poruchu HW. Lidské hrozby 4
Bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných bezpečnostních událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace a ohrožení bezpečnosti informací [1].
15
2. Význam a určení aktiv
Obrázek 2.1: Vztahy při managementu rizik [2]
můžeme rozdělit na neúmyslné (chyba obsluhy ) a úmyslné (vynesení informací zaměstnancem, hacking, odposlech). Z hlediska řízení bezpečnosti informací je nutné identifikovat jak náhodné, tak i úmyslné hrozby [2]. Základní charakteristikou hrozby je její úroveň. Úroveň hrozby se hodnotí podle nebezpečnosti, tj. schopnosti hrozby způsobit škodu, přístupu, tj. pravděpodobnosti, že se hrozba svým působením dostane k aktivu, a motivace, tj. zájmu iniciovat hrozbu vůči aktivu [9]. Zranitelnost Zranitelnost je nedostatek, slabina nebo stav analyzovaného aktiva (případně subjektu nebo jeho části), který může hrozba využít pro uplatnění svého nežádoucího vlivu. Jedná se o vlastnost aktiva a vyjadřuje, jak citlivé je aktivum na působení dané hrozby [9]. Jedná se o slabá místa na úrovni fyzické, organizační, procedurální, personální, řídící, administrativní, hardwaru, softwaru nebo informací [10]. Zranitelnost sama o sobě není příčinou škody [2]. Dopad Dopad je důsledek nežádoucího incidentu, způsobeného buď náhodně nebo úmyslně, který má vliv na aktiva. Následky mohou mít podobu zničení určitých aktiv, poškození systému informačních technologií (IT), nebo narušení bezpečnosti informací [2]. Riziko Riziko je potenciální možnost, že daná hrozba využije zranitelností [2]. Riziko vyjadřuje míru ohrožení aktiva, míru nebezpečí, že se uplatní hrozba a dojde k nežádoucímu výsledku vedoucímu ke vzniku škody. Velikost rizika je vyjádřena jeho úrovní. Riziko vzniká vzájemným působením hrozby a aktiva [9]. Riziko je charakterizováno jako kombinace dvou faktorů, pravděpodobnosti 16
2.3. Pojmy hrozba, zranitelnost, dopad, riziko protiopatření výskytu nežádoucího incidentu a jeho dopadu. Jakákoliv změna aktiv, hrozeb, zranitelností nebo ochranných opatření může výrazně ovlivnit míru rizika. Včasná detekce nebo znalost změn v prostředí zvyšuje příležitost realizovat vhodná opatření ke snížení rizika [2]. Protiopatření Protiopatření je cokoliv, co bylo speciálně navrženo pro zmírnění působení hrozby (její eliminaci), snížení zranitelnosti nebo dopadu hrozby. Cílem protiopatření je předejít vzniku škody anebo usnadnit překlenutí následků vzniklé škody. Protiopatření je charakterizováno efektivitou a náklady. Efektivita protiopatření vyjadřuje, nakolik protiopatření sníží účinek hrozby. Do nákladů na protiopatření se započítávají náklady na pořízení, zavedení a provozování protiopatření. Společně s efektivitou protiopatření jsou tyto náklady důležitými parametry při výběru protiopatření. Výběr vhodného protiopatření spočívá v optimalizaci, kdy se hledají nejúčinnější protiopatření, jejichž realizace přinese co nejmenší náklady [9].
17
Kapitola
Analýza rizik Analýza rizik je systematické používání informací k odhadu rizika a k identifikaci jeho zdrojů [1]. Cílem analýzy rizik je identifikace a ocenění aktiv, soupis možných rizik a zranitelnosti (zranitelných míst). Rizika jsou pak stanovena v oblastech průniku hrozeb a zranitelností. Stanovená rizika je poté nutné kontrolovat nebo akceptovat. Je důležité správně stanovit vhodnou metodu a typ analýzy rizik. Metody analýzy rizik můžeme obecně rozdělit na metody kvalitativní (viz část 3.2.1), kvantitativní (viz část 3.2.2) a expertní (viz část 3.2.3). Podle typu můžeme analýzu rizik rozdělit na: orientační analýzu rizik, elementární analýzu rizik, neformální analýzu rizik a podrobnou analýzu rizik [2].
3.1
Typy analýzy rizik
Orientační analýza rizik Výsledkem této analýzy rizik je rozhodnutí o vhodném typu analýzy rizik. Orientační analýza rizik hodnotí systémy IT z hlediska důležitosti pro činnost organizace. Pokud nedostatečné zabezpečení systému IT může způsobit významnou škodu, je nutné na daný systém aplikovat podrobnou analýzu rizik. V ostatních případech lze použít elementární analýzu rizik [2]. Elementární analýza rizik Detailní hodnocení hrozeb, zranitelností a rizik v tomto případě není nutné. Organizace v tomto případě aplikuje tzv. základní bezpečnost. Této bezpečnosti je dosaženo pomocí výběru standardních ochranných opatření. Cílem základní ochrany je proto stanovit minimální sadu ochranných opatření, která ochrání celý systém nebo případně některé jeho části. Ochranná opatření jsou vybírána z katalogů, které navrhují sadu ochranných opatření k ochraně systému IT proti nejobecnějším hrozbám [2]. Tato varianta je nejméně náročná z finančního i časového hlediska. 19
3
3. Analýza rizik Neformální analýza rizik Tento přístup není založen na strukturovaných metodách, ale využívá znalostí a zkušeností jednotlivců, což je zároveň i nevýhodou tohoto přístupu. Výhodou pak je nízká finanční náročnost a rychlost provedení [2]. Podrobná analýza rizik Tato analýza rizik zahrnuje podrobnou identifikaci a ohodnocení aktiv, odhad hrozeb pro tato aktiva a odhad zranitelností. Výsledky těchto aktivit jsou použity pro ohodnocení rizik a tedy i k identifikaci zdůvodnitelných bezpečnostních opatření. Výhodou tohoto přístupu je, že s velkou pravděpodobností budou pro každý systém identifikována vhodná ochranná opatření. Kromě toho mohou být výsledky podrobné analýzy použity pro řízení změn týkajících se bezpečnosti. Nevýhodou je potřeba značného objemu času, úsilí a expertizy pro získání výsledků. Také hrozí možnost, že bezpečnostní potřeby kritického systému budou řešeny příliš pozdě. Z tohoto důvodu není žádoucí používat podrobnou analýzu rizik u všech systémů IT [2]. Podrobná analýza začíná identifikací aktiv, dále se provádí ohodnocení aktiv a hrozeb. Při odhadu zranitelnosti se posuzují možné dopady hrozeb na jednotlivá aktiva. Dále se identifikují již existující ochranná opatření a v posledním kroku se odhaduje riziko [2]. Jednotlivé kroky podrobné analýzy rizik ukazuje obrázek 3.1. K provedení podrobné analýzy rizik existuje mnoho různých metod, včetně softwarových nástrojů. [2].
3.2
Metody analýzy rizik
V praxi se často používá nejdříve kvalitativní analýza pro získání obecné úrovně rizika a pro odhalení větších rizik. Později je možné provést kvantitativní analýzu větších rizik, která je na provádění obvykle složitější a dražší [11].
3.2.1
Kvalitativní metody
Kvalitativní metody se používají pro popis velikosti potenciálních následků a pravděpodobnosti, že se tyto následky vyskytnou, škálu kvalifikačních atributů. Výhodou tohoto typu analýzy je její snadná pochopitelnost, nevýhodou závislost na subjektvním výběru škály [11]. Kvalitativní analýzu je vhodné použít • jako úvodní přehled vedoucí k identifikaci rizik, • tam, kde tento druh analýzy je dostatečným pro další rozhodování • tam, kde číselné údaje nebo zdroje nejsou dostatečné pro provedení kvantitativní analýzy [9]. Mezi tyto metody spadá například metoda FURPS. 20
3.2. Metody analýzy rizik
Obrázek 3.1: Management rizik zahrnující podrobnou analýzu rizik [2]
21
3. Analýza rizik FURPS metoda FURPS metoda (Functionality, Usability, Reliabity, Supportability, Performance) byla původně vytvořena pro ověření kvality softwaru, ale lze ji využít i pro hodnocení informačních systémů. Ty zkoumá z pěti hledisek: funkčnosti, užitečnosti, spolehlivosti, schopnosti být udržován a výkonu. Metoda nespecifikuje, jakým způsobem mají být tyto oblasti hodnoceny, každá organizace si tedy stanovuje konkrétní metriku sama [13] .
3.2.2
Kvantitativní metody
Kvantitativní analýza rizik používá stupnici s číselnými hodnotami jak pro následky, tak pro jejich pravděpodobnost. Využívá přitom data z různých zdrojů. Kvalita této analýzy závisí na přesnosti a úplnosti číselných hodnot a platnosti použitých modelů [11]. Patří sem například tyto používané metodiky: CRAMM, @RISK, RiskPAC a RiskWatch [9]. Podrobněji se budu věnovat metodice CRAMM, z důvodu jejího častého používání. CRAMM metodika CRAMM (CCTA5 Risk Analysis and Management Method) je metodika určená pro zavádění a podporu ISMS, pro provádění analýzy rizik informačních systémů a sítí, k návrhu bezpečnostních protiopatření apod [2]. Analýza rizik v rámci této metodiky řeší ohodnocení systémových aktiv, seskupení aktiv do logických skupin a stanovení hrozeb, působících na tyto skupiny, prozkoumání zranitelnosti systému a stanovení požadavků na bezpečnost pro jednotlivé skupiny. Na základě těchto informací jsou pak navržena bezpečnostní opatření. Zkoumá se vždy model systému, nikoli systém samotný [9].
3.2.3
Expertní metody
Expertní metody vyjadřují verbální nebo numerický názor na analyzovaný problém. [14]. Stojí tedy na pomezí mezi kvalitativními a kvantitativními metodami. Mezi tyto metody patří např.: „analýza co by-kdyby“(what-if analysis), která hledá závěry (co by se stalo) k předpokládaným rizikům (kdyby), FMEA, SWOT analýza a další [14]. Posledním dvěma jmenovaným se budu věnovat podrobněji v následujícím textu. FMEA FMEA (Failure Mode and Effect Analysis, analýza možného výskytu a vlivu vad) je patrně nejrozšířenější metodou expertní analýzy rizik. Má dvě fáze, verbální a numerickou. Verbální fáze se zaměřuje na identifikaci možného vzniku poruch, možných způsobů poruch, možných následků poruch. Numerická fáze se zaměřuje na tříparametrický odhad rizik s použitím indexu RPN 5
22
Central Computer and Telecommunications Agency
3.2. Metody analýzy rizik (Risk Priority Number, v češtině uváděné i jako MRP – míra rizik a priorit) [14]. RPN lze spočítat podle vzorce: RP N = C ∗ P V ∗ P O kde C je cena, význam nebo závažnost rizika (kolik by stálo uskutečněné riziko, jak významné je), PV je pravděpodobnost výskytu rizika a PO je pravděpodobnost odhalení rizika [15]. Pro každou kategorii (cena, pravděpodobnost výskytu a odhalení) je stanovena stupnice významnosti, kde nejpříznivější situace mají nejnižší číselnou hodnotu (nepravděpodobný výskyt bude označen hodnotou 1, vysoký výskyt hodnotou 5). Obvykle se používají stupnice od 1 do 5. Nejnižší hodnota nikdy nesmí být nula [14]. SWOT SWOT analýza, z anglického Strenghts Weaknesses Opportunities Threats, je metoda, díky které můžeme identifikovat silné stránky, slabé stránky, příležitosti a hrozby [16]. Tato analýza je přínosná zvláště v začátcích [14] zavádění ISMS. Výstupem této analýzy nejsou rizika, ale spíše možné postupy[14]. Následnou práci se SWOT analýzou ukazuje obrázek 3.2 (otázky [14] analýza [16]
Obrázek 3.2: SWOT analýza
23
Kapitola
Řízení rizik bezpečnosti informací Cílem řízení rizik je chránit současná i budoucí aktiva organizace[14]. Jedná se o proces, při němž se subjekt řízení snaží zamezit působení již existujících i budoucích hrozeb a navrhuje řešení, která pomáhají eliminovat účinek nežádoucích dopadů [17]. Lze říci, že řízení rizik je souhrnem činností cílených na rozpoznávání a minimalizaci možných ztrát organizace [14]. Řízení rizik bezpečnosti informací sestává ze stanovení kontextu, posouzení rizik, ošetření rizik, akceptace rizik, komunikace rizik a monitorování a přezkoumání rizik. Jak jsou tyto činnosti propojené, ukazuje příloha D. Opakováním procesu managementu rizik dochází k upřesnění závěrů [11].
4.1
Stanovení kontextu
Stanovení kontextu zahrnuje určení základních kritérií pro řízení bezpečnosti informací, definuje rozsah a hranice a stanoví příslušnou organizační strukturu pro řízení rizik. V PDCA cyklu se jedná o proces „plánuj“ (plan)[11].
4.1.1
Určení základních kritérií
Mezi základní kritéria patří: • přístup k řízení rizik (a zajištění zdrojů) • kritéria hodnocení rizik zohledňující např. kritičnost informačních aktiv, legislativní požadavky, očekávání organizace • kritéria dopadu specifikovaná na základě stupně škod nebo ztrát organizace způsobených bezpečnostním incidentem • kritéria akceptace rizik, která tvoří organizace sama [11]. 25
4
4. Řízení rizik bezpečnosti informací
4.1.2
Rozsah a hranice
Aby bylo zajištěno, že jsou při posuzování rizik brána v úvahu všechna příslušná aktiva, musí být stanoven rozsah řízení rizik. Hranice slouží k identifikaci rizik, která by mohla hranice prolomit a způsobit tak škodu nebo ztrátu organizaci. Při definování hranic by organizace měla přihlížet např. k obchodním procesům, politice organizace týkající se bezpečnosti informací, informačním aktivům, sociálně-kulturnímu prostředí nebo celkovému přístupu organizace k řízení rizik [11].
4.1.3
Organizační struktura
Pro proces řízení rizik bezpečnosti informací by měla být stanovena a udržována organizace a odpovědnosti. Tato organizace řízení rizik by měla být schválena vedoucími pracovníky organizace. Hlavními rolemi a odpovědnostmi organizace řízení rizik jsou: • rozvoj procesu řízení rizik bezpečnosti informací vhodný pro organizaci • identifikace a analýza zainteresovaných stran • definování rolí a odpovědností všech částí organizace • stanovení požadovaných vztahů mezi organizací a zainteresovanými stranami • stanovení eskalace rozhodnutí • specifikace záznamů, které musí být uchovány [11].
4.2
Posouzení rizik bezpečnosti informací
Posouzení rizik sestává z těchto činností: identifikace rizik, analýza rizik (viz kapitola 3) a hodnocení rizik. Při posouzení rizik určujeme hodnotu informačních aktiv, identifikujeme možné hrozby a zranitelnosti, identifikujeme stávající opatření a jejich účinek na rizika, určujeme možné dopady a stanovujeme priority rizik. Posouzení rizik může provádět ve více opakováních – nejprve přehledové posouzení a následně důkladné prozkoumání vysokých rizik. V PDCA cyklu se jedná o proces „plánuj“ (plan)[11].
4.2.1
Identifikace rizik
Riziko nastává v okamžiku průniku hrozby zranitelnými místy [10]. Účelem identifikace rizik je určit, jak by mohla vzniknout potenciální ztráta a porozumět tomu, kde, jak a proč může ke ztrátě dojít. Součástí identifikace rizik tak je nutně identifikace aktiv (viz část 2.1), identifikace hrozeb, stávajících 26
4.2. Posouzení rizik bezpečnosti informací opatření, zranitelností a následků. Vztah mezi prvními čtyřmi pojmy ukazuje obrázek 4.1. Identifikace hrozeb Cílem tohoto procesu je identifikovat hrozby a jejich zdroje [11]. Sledujeme tedy jevy, které by mohly ohrozit aktiva. Při identifikaci hrozeb vycházíme z toho, které hrozby mohou působit nebo již působily v lokalitě organizace a na aktiva organizace [9]. Hrozby by se měly identifikovat obecně podle typu. V případě potřeby by se poté měly v rámci obecné třídy identifikovat jednotlivé hrozby tak, aby žádná nebyla opomenuta. Některé hrozby mohou ohrozit více aktiv. Jedna hrozba může mít na různá aktiva různý dopad [11]. Vstupní informace pro identifikaci hrozeb lze získat z přezkoumání incidentů, od vlastníků aktiv, od vlastníků aktiv, uživatelů a jiných zdrojů, například z katalogu vnějších hrozeb [11]. Hrozby mohou být posuzovány z hlediska bezpečnostních atributů a podle původce vzniku [9]. Identifikace stávajících opatření Identifikace stávajících opatření je důležitá, aby nedocházelo k duplikaci opatření, aby se odhalila stávající špatně fungující opatření a aby byla odhalena opatření bez zranitelných míst. Abychom mohli odhadnout účinnost opat-
Obrázek 4.1: Vztahy: riziko, zranitelnost, hrozba a aktivum 27
4. Řízení rizik bezpečnosti informací ření, je potřeba poznat, jakým způsobem opatření snižuje pravděpodobnost hrozby. Pro identifikaci existujících a plánovaných opatření nám může pomoci přezkoumání dokumentů, které obsahují informace o opatřeních, provedení kontrol odpovědnými pracovníky (manažer ISMS) a přezkoumání fyzických opatření na místě. Výsledkem tohoto procesu by měl být seznam existujících a plánovaných opatření, jejich zavedení a stav užívání [11]. Identifikace zranitelností V tomto procesu je potřeba identifikovat zranitelnosti, které mohou být zneužity hrozbami a může tak vzniknout škoda na aktivech [11]. Zabýváme se úrovní fyzické, logické, organizační, personální a technické bezpečnosti [9]. Výskyt zranitelnosti jako takový nezpůsobuje škodu, pokud neexistuje hrozba, která zranitelnost využije. Pokud pro danou zranitelnost neexistuje hrozba, nemusí být přijato žádné protiopatření. Přesto by zranitelnost měla být identifikována a monitorována ve vztahu k hrozbám [11], aby bylo možné včas zavést případné protiopatření. Identifikace následků Tato činnost identifikuje možné škody nebo dopady na organizaci, které by mohly vzniknout jako důsledek bezpečnostních incidentů. V tomto kroku je nutné určit následek incidentu a posuzovat přitom kritéria dopadu definovaná během stanovení kontextu. Následek může ovlivnit více aktiv, jedno aktivum nebo jen jeho část. Následky mohou být dočasné nebo trvalé. Výstupem tohoto procesu by měl být seznam scénářů možných incidentů s jejich následky [11].
4.2.2
Hodnocení rizik
Riziko vyjadřuje míru zneužití určité zranitelnosti konkrétní hrozbou [9]. Úroveň rizik se porovnává s kritérii hodnocení a s kritérii akceptace rizik. Nahromadění většího množství nízkých nebo středních rizik může vyústit ve vyšší celková rizika. Při hodnocení rizik bychom měli zvažovat vlastnosti bezpečnosti informací a důležitost procesu nebo aktiv ohrožených rizikem. Výsledkem hodnocení rizik by měl být seznam rizik se stanovenou prioritou [11].
4.3
Ošetření rizik
V tomto procesu jsou vybrána opatření k redukci, podstoupení, vyhnutí se nebo sdílení rizik. Pro ošetření rizik můžeme použít jednu z následujících čtyř voleb: modifikace rizika, podstoupení/akceptace rizika, vyhnutí se riziku a sdílení rizika. Tyto čtyži způsoby ošetření rizika se vzájemně nevylučují a vybírají se na základě informací z posouzení rizik, očekávaných nákladů na implementaci a očekávaných přínosů. Je potřeba zvážit ekonomickou únosnost jednotlivých opatření. Některé z těchto způsobů mohou řešit více než jedno riziko. 28
4.4. Akceptace rizik Výstupem procesu ošetření rizik by měl být plán ošetření rizik a zbytková rizika, která vyžadují od vedení organizace rozhodnutí o akceptaci [11].
4.3.1
Modifikace rizika
Při tomto procesu dochází k úpravě opatření tak, aby výsledné riziko bylo pro danou organizaci akceptovatelné. Může se jednat i o odstranění opatření nebo nahrazení jiným opatřením [11], jestliže původní opatření bylo vzhledem k ceně aktiva příliš drahé.
4.3.2
Podstoupení rizika
Pokud úroveň rizika splňuje kritéria pro akceptaci rizik, lze riziko podstoupit a nepřijímat žádná další opatření. Toto rozhodnutí by mělo být učiněno v závislosti na hodnocení rizik [11].
4.3.3
Vyhnutí se riziku
Pokud jsou identifikovaná rizika příliš vysoká nebo náklady na uplatnění jiných způsobů ošetření rizik převyšují přínosy, může se organizace riziku vyhnout tak, že upustí od existující nebo plánované činnosti (nebo změní podmínky provozu této činnosti) tak, aby riziko bylo eliminováno [11].
4.3.4
Sdílení rizika
Tento způsob ošetření rizik zahrnuje rozhodnutí sdílet určitá rizika s externími stranami, které mají účinné prostředky pro jeho zvládnutí. Sdílením rizik však mohou vzniknout rizika nová nebo může dojít ke změně stávajících rizik [11]. Při tomto způsobu ošetření rizik je tedy nutné provést znovu analýzu, hodnocení a případně ošetření rizik.
4.4
Akceptace rizik
Akceptace rizika je činnost, při které je posuzována hodnota aktiva, velikost zbytkového rizika, cena opatření a kritéria organizace pro akceptaci rizika. Za určitých okolností je možné akceptovat větší zbytkové riziko, než určují kritéria. Jedná se například o situace, kdy jsou velké přínosy doprovázející toto riziko. Takto akceptovaná rizika by měla být řádně okomentována odpovědnými osobami a pokud se vyskytují častěji, měla by být přezkoumána kritéria akceptace rizik [11]. 29
4. Řízení rizik bezpečnosti informací
4.5
Komunikace rizik
Proces komunikace a konzultace rizik vede k získání dohody, jak řídit rizika sdílením (nebo výměnou) informací o nich. Pro tuto část řízení rizik je nejdůležitější, aby si všechny zainteresované strany vyměňovaly informace o rizicích a/nebo je sdílely. Informace o rizicích zahrnují: existenci rizik, jejich charakter, formu, pravděpodobnost, závažnost, ošetření a přijatelnost. Měly by existovat plány komunikace jak pro běžné činnosti, tak pro nouzové situace [11]. Komunikace se provádí převážně za účelem: • poskytnout ujištění o výsledku řízení organizace rizik • shromažďování informací o rizicích • sdílení výsledků plynoucích z posouzení rizik a prezentace plánu jejich ošetření • vyhnutí se nebo snížení výskytu a následku narušení bezpečnosti informací • podpory činit rozhodnutí • získávání nových znalostí o bezpečnosti informací • koordinace zúčastněných stran • poskytování pocitu odpovědnosti za rizika • zvyšování povědomí [11].
4.6
Monitorování a přezkoumání rizik
Tento proces řízení rizik tvoří dvě činnosti: monitorování a přezkoumávání rizikových faktorů, a monitorování, přezkoumávání a zlepšování řízení rizik.
4.6.1
Monitorování a přezkoumávání rizikových faktorů
Při této činnosti jsou monitorována a přezkoumávána rizika a jejich faktory (aktiva, hrozby, dopady, zranitelnosti, pravděpodobnost výskytu) tak, aby bylo možné co nejdříve identifikovat jakékoli změny a udržovat aktuální přehled rizik [11]. Organizace musí zajistit neustálé monitorování zejména: • nových aktiv • změn hodnot aktiv • nových hrozeb • incidentů bezpečnosti informací [11]. 30
4.6. Monitorování a přezkoumání rizik Výstup této činnosti může být vstupem pro podrobnější posouzení a ošetření rizik, která se provádí pravidelně a vždy, pokud dojde k větším změnám [11].
4.6.2
Monitorování, přezkoumávání a zlepšování řízení rizika
Cílem této činnosti je zajistit, že kontext, výstupy z posouzení a ošetření rizik a plány řízení jsou v souladu a přiměřené okolnostem [11]. Organizace by měla zajistit pravidelné prověřování hlavně: • hodnoty a kategorie aktiv • kritérií dopadu • kritérií vyhodnocení rizik • kritérií akceptace rizik • nutných zdrojů [11]. Výstupem tohoto procesu je neustálá platnost procesu řízení rizik bezpečnosti informací [11].
31
Kapitola
Tvorba prohlášení o aplikovatelnosti Prohlášení o aplikovatelnosti je prohlášení vrcholného managementu, které popisuje cíle bezpečnostních opatření i jednotlivá bezpečnostní opatření, která jsou v rámci ISMS organizace aplikována. Podle ČSN ISO/IEC 27001:2006 je prohlášení o aplikovatelnosti nezbytnou součástí dokumentace ISMS. Prohlášení o aplikovatelnosti musí obsahovat: • cíle opatření a jednotlivá bezpečnostní opatření a důvody pro jejich výběr • cíle opatření a jednotlivá bezpečnostní opatření, která jsou v organizaci již implementována • vyloučené cíle opatření a jednotlivá bezpečnostní opatření (uvedená v příloze A ČSN ISO/IEC 27001:2006), včetně zdůvodnění pro jejich vyloučení [1]. Prohlášení o aplikovatelnosti by se mělo odkazovat na existující dokumentaci ISMS v organizaci. Prohlášení o aplikovatelnosti tedy představuje obdobu příručky kvality v systémech managementu kvality. Jeho struktura není normou specifikována. Je žádoucí, aby prohlášení zachovávalo strukturu normy 27001, která je obdobná jako u normy ČSN EN ISO 9001. Usnadňuje se tak případné sjednocení dokumentace obou (i dalších) systémů managementu a provádění auditů, ať už interních nebo auditů vykonávaných druhou a třetí osobou [2]. Samotné prohlášení o aplikovatelnosti má obvykle podobu tabulky, ve které jsou uvedeny jednotlivé kapitoly z přílohy A, a jejich jednotlivé články a podčlánky, ke kterým je uveden název název, cíl, opatření a aplikace, případně poznámka. Kapitol je celkem jedenáct (5 až 15). Kapitoly a jejich cíle: 33
5
5. Tvorba prohlášení o aplikovatelnosti A.5 Bezpečnostní politika cíl: určit směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky organizace, příslušnými zákony a směrnicemi A.6 Organizace bezpečnosti informací cíl: řídit bezpečnost informací v organizaci a to i v případě, kdy prostředky pro zpracování informací jsou přístupné externím subjektům A.7 Řízení aktiv cíl: nastavit a udržovat přiměřenou ochranu aktiv organizace A.8 Bezpečnost lidských zdrojů cíl: zajistit, aby zaměstnanci, smluvní a třetí strany si byli vědomi bezpečnostních hrozeb a problémů s nimi spojených, aby byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a zajistit, aby ukončení nebo změna pracovního vztahu proběhla řádným způsobem A.9 Fyzická bezpečnost a bezpečnost prostředí cíl: předcházet neautorizovanému fyzickému přístupu do vymezených prostor, poškození a zásahům do provozních budov a informací a předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činnosti organizace A.10 Řízení komunikací a řízení provozu Cíle v této kapitole jsou velmi rozsáhlé, patří mezi ně např.: zajištění, zavedení a udržování přiměřené úrovně bezpečnosti informací, minimalizace rizika selhání systémů, zajištění ochrany informací v počítačových sítích nebo předcházení neoprávněnému zacházení s aktivy. A.11 Řízení přístupu cíl: řídit přístup k informacím a předcházet neoprávněnému přístupu, vyzrazení nebo krádeži informací a prostředků pro zpracování informací A.12 Akvizice, vývoj a údržba informačních systémů Cíle v této kapitole jsou rozsáhlé a patří mezi ně zejména zajistit, aby se bezpečnost stala neoddělitelnou součástí informačních systémů a zajištění ochrany důvěrnosti, autentičnosti a integrity informací. A.13 Zvládání bezpečnostních incidentů cíl: zajistit nahlášení bezpečnostních incidentů způsobem, který umožní včas zahájit kroky vedoucí k nápravě a zajistí účinný přístup ke zvládání bezpečnostních incidentů A.14 Řízení kontinuity činnosti organizace cíl: zabránit přerušení provozních činností a ochrana kritických procesů před následky závažných selhání informačních systémů nebo katastrof a obnova činnosti A.15 Soulad s právními požadavky cíl: zajistit shodu systémů s právními normami, zákonnými a smluvními povinnostmi, bezpečnostními politikami organizace a normami 34
Kapitola
Postup zavádění ISMS do firmy V této kapitole stručně popíši metodiku zavádění ISMS do firmy. Tyto základní informace budou rozvedeny a prakticky ukázány v implementační části práce. Zavádění ISMS probíhá v 6, resp. v 7 krocích, jak ukazuje postupový diagram (viz obrázek 6.1 ). Prvním krokem je rozhodnutí managementu zavést ISMS. Jedná se o strategické rozhodnutí. Měli by o něm být informováni všichni zaměstnanci a management by měl vyjádřit jasnou podporu k realizaci ISMS. Ve druhém kroku organizace definuje rozsah a hranice ISMS. Tento krok je prováděn, aby bylo zajištěno, že budou v dalších krocích brána v úvahu všechna příslušná aktiva. Zároveň mohou být některé oblasti z ISMS vyjmuty, toto rozhodnutí však musí být zdůvodněno a zaznamenáno [11]. Třetím krokem je stanovení bezpečnostní politiky organizace. V bezpečnostní politice jsou stanovena kritéria pro hodnocení rizik, požadavky na organizace (i zákonné) a je vytvořen rámec pro stanovení cílů bezpečnosti a pro činnosti, které se informační bezpečnosti týkají [1]. Politiku bezpečnosti by měli obdržet všichni zaměstnanci a měli by ji aplikovat při každodenní praxi [11]. Ve čtvrtém kroku probíhá management rizik tak, jak je popsán v kapitole 4. Stanovuje se kontext, hodnotí, ošetřují a akceptují se rizika. V pátém kroku dochází k vlastní implementaci ISMS vytvořením příslušné dokumentace, formulářů a prohlášení o aplikovatelnosti. Šestý krok je samotný provoz ISMS, tedy přezkoumání, monitorování a údržba ISMS. Provoz probíhá v PDCA cyklu a jeho výsledkem je zlepšování celého systému. Sedmý krok není pro zavádění ISMS nutný, jedná se o certifikaci ISMS s následnými dozory a recertifikacemi.
35
6
6. Postup zavádění ISMS do firmy
Obrázek 6.1: Postup zavádění ISMS
36
Část II
Implementační část
37
Kapitola
Popis organizace V této části je popsán stav společnosti z pohledu ISMS. Protože ISMS patří mezi citlivé údaje, je společnost anonymizována a v dalším textu bude vystupovat pod pseudonymem AlenkaSoftware. AlenkaSoftware je česká firma zabývající se vývojem a správou software. Má pobočku v Severní Americe a tři virtuální kanceláře v evropských zemích. Virtuální kanceláře jsou pouze kontaktní místa, pošta je přeposílána do ČR a telefonní linky jsou přesměrovány do firemní centrály v ČR. Pobočka v Severní Americe nepracuje s daty klientů. Sídlí v kancelářské budově s trvalou ostrahou a elektronickým zabezpečovacím systémem (dále EZS). Tato pobočka má 2–5 konzultantů, kteří pomáhají klientům s implementací. Bezpečnost pobočky v Severní Americe je ošetřena výběrem pracovníků a vysokými smluvními pokutami pro případ úniku dat. Firma sídlí ve 4. patře kancelářské budovy s ostrahou 24/7. Vstup do budovy je volně otevřený v době 6–21 hodin, mimo tuto dobu je vstup umožněn pouze oprávněným osobám (vstupní dveře otevírá ostraha). Vstup do zbytku budovy je na čipové karty přes turnikety. Ty jsou umístěné proti společné vrátnici. Případné návštěvy jsou zapisovány do knihy návštěv a obdrží návštěvnickou kartu. Přístup do pater je pouze výtahy, schodiště je jen evakuační. Vstup do firemních prostor je přes dveře umístěné proti firemní recepci a to buď na kartu shodnou s kartou pro turnikety (neplatí pro návštěvnické karty) nebo elektronickým otevřením dveří z recepce. Druhý vstup do firmy je nákladním výtahem, který ani v přízemí ani v patře není v dohledu recepce. Výtah je od prostor firmy oddělen dveřmi otevíranými na kartu, na vnější straně dveří je koule, zevnitř klika. Ve firemních prostorách je nainstalováno EZS, které však obvykle není v chodu z důvodu přítomnosti některého z pracovníků. Firma sdílí prostory se svojí servisní organizací AlenkaServices. Servery a síť jsou umístěné v prostorách firmy, jejich správa je outsourcouvána a prováděna firmou AlenkaServices. AlenkaSoftware vlastní firemní síťové tiskárny. Uzavřená smlouva neobsahuje dodatek o mlčenlivosti a neuvádí jména zaměstnanců s přístupem k síťové infrastruktuře. Zaměstnanci 39
7
7. Popis organizace používají notebooky (celkem 55 ve správě AlenkaServices) bez šifrovaných disků, a vlastní mobilní telefony i pro šifrovanou komunikaci se servery. Mobilní telefony mají dálkové ovládání určené pro vymazání dat v případě jejich ztráty nebo odcizení. Konektivita je zajišťována optickým kabelem a rádiovým přenosem, vnitřní síť je realizovaná prostřednictvím chráněné wi-fi. Softwarové kódy jsou v průběhu vývoje chráněné standardním zálohováním. Kódy k programům předaným zákazníkům jsou v advokátní úschově. Jsou stanoveny podmínky pro uvolnění zákazníkovi pro případ nefunkčnosti firmy. Kódy v advokátní úschově jsou zašifrované a zákazník má kód pro rozšifrování. Firma je certifikovaná podle ISO 9001. Interní audity provádí druhá osoba (externí auditor) jednou ročně. Výchozí stav společnosti byl zjištěn při vstupním auditu ISMS.
40
Kapitola
Rozhodnutí managementu Toto rozhodnutí je vyžadováno normou a jde i o logický krok. Jedná se o samotnou inicializaci zavádění ISMS v organizaci. Při jeho přijmutí musí management počítat se změnou organizace práce, se zvýšenými časovými nároky jak na management, tak zaměstnance, na nutné práce v rámci zavádění a s finančním pokrytím akce. Mimořádně důležité je informovat zaměstnance o tomto rozhodnutí tak, aby se vůči ISMS nestavěli negativně. V AlenkaSoftware bylo přijato rozhodnutí o implementace ISMS 26. září 2013 s cílem vytvořit analýzu rizik do poloviny prosince 2013 a získat certifikaci do konce března 2014. Zaměstnanci byli o zavádění ISMS informováni pomocí e-mailu. Také byl svolán meeting, na kterém byla vysvětlena strategie firmy ohledně ISMS a zodpovězeny případné dotazy. Se zaměstnanci, kteří jsou pro zavádění a provoz ISMS klíčoví, byly vedeny další schůzky. Na těchto schůzkách byly probrány jejich nové kompetence a nové úlohy, z těchto jednání byl učiněn zápis tak, aby bylo možné doložit, že byl každý správně seznámen s novou rolí, viz kapitola 1 (požadavky na dokumentaci). Management, po vyhodnocení nákladnosti procesu závádění ISMS, rozhodl o jeho financování z operativních zdrojů bez potřeby vytváření speciálního fondu. Z hlediska organizace práce a času managementu bylo rozhodnuto o rozšíření povinností managera kvality i na zavádění a provoz ISMS. Manager kvality byl poslán na pětidenní školení managera ISMS. Toto školení bylo placeno z peněz určených na školení a vzdělávání zaměstnanců. Dále byla uzavřena smlouva s konzultační firmou zabývající se zaváděním ISMS. Při volbě konzultační firmy bylo přihlíženo k jejím zkušenostem a k finančním požadavkům.
41
8
Kapitola
Stanovení rozsahu a hranic ISMS V tomto kroku byly, ve spolupráci s konzultační firmou, určeny hranice a rozsah ISMS.
9.1
Centrála AlenkaSoftware
Fyzický perimetr Hranice fyzického perimetru centrály jsou vymezeny částečně pláštěm budovy s 26 okny a zdí oddělující firmu od zbytku budovy se dvěma vstupy. Hlavn ím vstupem jsou dveře umístěné proti recepci, vedlejší vstup do firmy je nákladním výtahem odděleným od prostor firmy dveřmi. Výtah ani dveře nejsou v dohledu recepce. V těchto hranicích sídlí také servisní organizace firmy, AlenkaServices. Ve společných prostorách jsou umístěné síťové tiskárny bez autentizace uživatele. Kódy jsou během vývoje chráněny standardním zálohováním. Kódy dokončených programů jsou v advokátní úschově s jasně definovanými podmínkami, za kterých mohou být předány zákazníkovi. Fyzické (papírové) složky s citlivými údaji (osobní údaje zaměstnanců) jsou uchovávány v dřevěné skříni. Stávající opatření fyzického perimetru • Prostory firmy jsou zabezpečené pomocí EZS, které však obvykle není v chodu z důvodu přítomnosti některého z pracovníků. • Hlavní vstup je otevíraný zaměstnaneckou kartou nebo elektronicky z firemní recepce. • Vedlejší vstup je otevírán zaměstnaneckou kartou, dveře mají zvenčí kouli, zevnitř kliku. 43
9
9. Stanovení rozsahu a hranic ISMS • Zálohování kódů u probíhajících projektů je na přenosná šifrovaná média, která jsou umisťována do bankovní úschovy. • Dokončené softwarové jednotky (kódy) jsou uložené v advokátní úschově. Jsou šifrované a zákazník má klíč pro rozšifrování. Kódy jsou zákazníkovi z advokátní úschovy vydány podle jasně definovaných pravidel (např. při insolvenci firmy). • Listiny jsou uložené v uzamykatelné dřevěné skříni. Logický perimetr Do logického perimetru patří servery a vnitřní síť firmy, zaměstnaneckými počítači a telefony. Její hranice jsou vymezeny rozhraním routeru, konektivita je zajišťována optickým kabelem a rádiovým přenosem, vnitřní síť je realizovaná prostřednictvím wi-fi (ta sahá mimo hranice fyzického perimetru). Správa serverů a sítí je řešena outsourcingem. Zaměstnanci používají notebooky (celkem 55) bez šifrovaných disků, a vlastní mobilní telefony i pro šifrovanou komunikaci se servery. Stávající opatření logického perimetru • Komunikace mobilních telefonů se serverem je šifrovaná. • Mobilní telefony mají dálkové ovládání určené pro vymazání dat v případě jejich ztráty nebo odcizení. • Wifi je chráněna pomocí WPA2-PSK. • Router je vybaven firewallem. • Servery a stanice jsou opatřeny antivirovými programy.
9.2 9.2.1
Pobočky AlenkaSoftware Virtuální kanceláře AlenkaSoftware
Fyzický perimetr Virtuální pobočky fyzický perimetr nemají. Jedná se pouze o místo pro korespondenční nebo telefonický kontakt. Korespondence je pomocí poštovních služeb přeposílána (dosílána) do centrály AlenkaSoftware a telefon je automaticky na ústředně přesměrován také do centrály. Stávající opatření fyzického perimetru Vzhledem k neexistenci hranic fyzického perimetru nebyla zavedena žádná opatření. 44
9.2. Pobočky AlenkaSoftware Logický perimetr Hranice logického perimetru je vymezena poštovními a telefonními službami. Není v silách firmy jej jakkoli ovlivnit, s výjimkou změny dodavatele. Není zde pracováno s citlivými údaji klientů. Jedná se pouze o prvotní informace v rámci navazování obchodních vztahů. Stávající opatření logického perimetru Opatření týkající se logického perimetru jsou zajišťována dodavateli služeb.
9.2.2
Pobočka AlenkaSoftware v Severní Americe
Fyzický perimetr Hranice fyzického perimetru jsou vymezeny stěnami kanceláře, která má dvě okna a jedny vstupní dveře. Kancelář je zabezpečena EZS. Dveře mají zevnitř kliku a zvenčí kouli, lze je otevřít pomocí klíče. Klíče má každý zaměstnanec této pobočky. Není zde recepce. Firemní prostory nejsou sdílené s jinou firmou. Stávající opatření fyzického perimetru • Kancelář je zabezpečena EZS. • Vstupní dveře mají zevnitř kliku a zvenčí kouli, lze je otevřít pomocí klíče. Klíče má každý zaměstnanec této pobočky. Logický perimetr Hranice logického perimetru jsou vymezeny síťovým připojením k internetu a vnitřní sítí. Konektivita je zajištěna vnitřními rozvody v budově. O jejich další konektivitu a zabezpečení se stará správa kancelářské budovy. Vnitřní síť je realizovaná pomocí wi-fi (zasahuje mimo hranice fyzického perimetru). V kanceláři není pracováno s daty klientů. Pracovníci provádějí konzultační činnost přímo u zákazníků, zde je riziko ztráty dat zákazníka a případně vyzrazení důvěrných informací (ošetřeno smluvně vysokými pokutami). Stávající opatření logického perimetru • Wi-fi je chráněna za použití stejného zabezpečení jako na centrále. • Notebooky zaměstnanců jsou vybaveny antivirovým programem. • Ztráta dat zákazníka – opatření pro tuto situaci je dvojí. Jedná se o pečlivý výběr dostatečně kvalifikovaných zaměstnanců, a při konzultaci v prostorách zákazníka tito zaměstnanci vycházejí z jeho bezpečnostních opatření. 45
9. Stanovení rozsahu a hranic ISMS • Vyzrazení důvěrných dat zákazníků je ošetřeno v první řadě pečlivým výběrem zaměstnanců. Pracovní smlouva obsahuje vysoké pokuty pro případ vyzrazení důvěrných dat.
46
Kapitola
Stanovení bezpečnostní politiky Při zavádění ISMS je třetím krokem stanovení bezpečnostní politiky. Dle kapitoly 5 normy ČSN ISO/IEC 27001:2006, viz kapitola 1 této práce, bezpečnostní politiku ustanovuje management organizace jako součást plnění závazku vedení. Vedení ustanovilo politiku ISMS, viz část 10.1. Management AlenkaSoftware určil pro zavádění ISMS tyto krátkodobé cíle: • provedení analýzy rizik • přijmutí opatření nutných pro zavedení ČSN ISO/IEC 27001:2006 • získání certifikace ISMS dle ČSN ISO/IEC 27001:2006 do konce března 2014 Kromě závazků uvedených v politice bezpečnosti se vedení zavázalo plnit také tyto činnosti: • pravidelné přezkoumávání metodiky analýzy rizik (viz část 11.2.2) • pravidelně vykonávat analýzu rizik (viz část 11.2.2) • aktualizovat kritéria akceptace rizik (viz část 11.2.2) • pravidelně přezkoumávat a přijímat bezpečnostní opatření
10.1
Politika bezpečnosti AlenkaSoftware s.r.o.
Vedení společnosti AlenkaSoftware, s.r.o., vyhlašuje tuto strategii systému řízení bezpečnosti informací: Kdo jsme a co děláme: Jsme softwarová společnost, která se specializuje na (utajeno). Společnost byla založena v roce 2010 a je součástí skupiny Alenka Group. 47
10
10. Stanovení bezpečnostní politiky Jak chápeme bezpečnost informací: Informace, které jsou majetkem společnosti nebo našich zákazníků, mají zásadní význam pro chod společnosti i pro spolupráci se zákazníky a partnery. Společnost AlenkaSoftware s.r.o. je odpovědná za jejich ochranu proti ztrátě a zneužití. Základní principy politiky: bezpečnosti informací vycházejí z deklarování společnosti jako: • Security Company – zajišťování bezpečnosti při spolupráci se zákazníky a obchodními partnery • Knowledge Company – zajišťování bezpečného přístupu a manipulace s informacemi Základní a dlouhodobé cíle politiky bezpečnosti informací zajišťují: 1. Integritu informací, majetku a procesů 2. Důvěrnost informací, majetku a procesů 3. Dostupnost informací, majetku a procesů Realizace těchto cílů je zajišťována definováním bezpečnostních standardů, norem a pravidel, jejich implementací a kontrolou. Společnost AlenkaSoftware s.r.o. a její vedení se zavazují k zavedení všech bezpečnostních opatření směřujících ke splnění cílů a principů v oblasti bezpečnosti informací. Zavedené bezpečnostní zásady, principy a požadavky pro organizaci a její zaměstnance jsou definovány v interních nařízeních a bezpečnostních směrnicích. Obsahují zejména: • Dodržování právních předpisů a smluvních požadavků • Základní znalosti o používání svěřených předmětů • Prevence a detekce programového vybavení a jeho zabezpečení • Plánování kontinuity činností organizace • Důsledky při porušení bezpečnostních zásad Základní pravidla, jejichž dodržování je striktně vyžadováno u všech pracovníků firmy jsou: • činnost nepřekračující vymezené pravomoci a odpovědnosti • politika čistého stolu a prázdné obrazovky 48
10.1. Politika bezpečnosti AlenkaSoftware s.r.o. • mlčenlivost o všem, co se ve firmě a u jejích zákazníků děje • zásada „přiznaná chyba je poloviční chyba, zatajená chyba je hrubé porušení pracovní kázně“ S plným vědomím toho, že největší nebezpečí pro ISMS představuje lidský faktor, vyžadujeme plnění těchto pravidel i od externistů, kteří se ve firmě pohybují.
49
Kapitola
Management rizik 11.1
Stanovení kontextu
Stanovení kontextu sestává ze tří kroků (viz část 4.1): z určení základních kritérií, stanovení rozsahu a hranic a ze stanovení organizační struktury. Hranice firmy byly určeny v kapitole 9.
11.1.1
Určení základních kritérií
Zavádění a provoz ISMS, včetně všech dílčích kroků, budou financovány z operativních zdrojů. Nebude vytvářen žádný nový fond. Budou identifikována všechna rizika, která mohou proniknout fyzickými a logickými hranicemi AlenkaSoftware, o jejich případné akceptaci bude rozhodovat management firmy. Rizika budou přezkoumávána v šestiměsíčních intervalech a vždy, když se změní fyzické nebo logické hranice, nebo pokud dojde k bezpečnostnímu incidentu. Rizika budou hodnocena metodou vycházející z FMEA (metoda FMEA viz část 3.2.3 a provedení viz část 11.2.2). Pro akceptaci rizika byl určen interval RPN <17, v intervalu 17–27 (včetně) musí riziko posoudit a případně akceptovat management, nad hodnotu RPN >27 nelze riziko akceptovat a musí být přijata opatření. Pro potřeby AlenkaSoftware je pravděpodobnost odhalení vady nazýváno síla opatření, pravděpodobnost výskytu vady je závažnost hrozby a význam vady je cena aktiva.
11.1.2
Organizační struktura
V čele organizační struktury stojí ředitel, pod kterého přímo spadají dva náměstci: technický a ekonomický. Pod technického náměstka spadá manažer kvality (pověřen také zaváděním a provozem ISMS), vedoucí vývoje, vedoucí servisu a vedoucí implementace. Pod ekonomického náměstka spadají zahra51
11
11. Management rizik
Gener ál níř edi t el
T echni ckýNáměst ek
Zahr ani čnípobočky
Manaž erkval i t y
Ve douc í v ýv oj e
Ekonomi ckýNáměst ek
Ve douc í serv isu
Konzultanti
Ve douc í obc hodu
Ve douc í impleme ntace
Obrázek 11.1: Organizační struktura firmy
niční pobočky jako celek, konzultanti a vedoucí obchodu. Organizační struktura je znázorněna na obrázku 11.1.
11.2
Posouzení rizik
11.2.1
Identifikace rizik
Identifikace a hodnocení aktiv Pověření pracovníci, ve spolupráci s konzultační firmou, identifikovali aktiva v kategoriích: lidé, procesy a služby, software a fyzické položky. Všem aktivům byl přiřazen vlastník. Samotné hodnocení aktviv je vidět v tabulkách 11.1, 11.2, 11.3 a 11.4.
Tabulka 11.1: Hodnocení aktiv – lidé (Lidé jako aktivum vlastní sami sebe) Aktivum a počet položek management 4 vývojáři 35 servis 17 obchod a konzultanti 13 backoffice 2 52
Hodnota 4 3 5 5 2
11.2. Posouzení rizik
Tabulka 11.2: Hodnocení aktiv – Procesy a služby Aktivum práce konzultantů práce obchodníků procesy řízení kvality a bezpečnosti informací vývoj SW servis SW obchodní informace osobní údaje zaměstnanců důvěrné údaje obchodních partnerů účetnictví dokumentace k projektům dokončené SW kódy elektronická pošta webové stránky AlenkaSoftware know-how dobré jméno AlenkaSoftware zálohy dat data zákazníků (při práci u zákazníka)
Vlastník ekonomický náměstek vedoucí obchodu manažer kvality vedoucí vývoje vedoucí servisu vedoucí obchodu ekonomický náměstek vedoucí obchodu ekonomický náměstek vedoucí vývoje technický náměstek vedoucí servisu pověřený konzultant AlenkaSoftware AlenkaSoftware vedoucí vývoje vedoucí implementace
Hodnota 5 4 3 3 4 5 5 5 5 4 4 3 3 5 5 4 5
Tabulka 11.3: Hodnocení aktiv – Software Aktivum OS – Linux OS – Windows 7 a 8 OS – Solaris Antivirový program – ESET Síťový software Kancelářský SW – Microsoft Office 2010, Enterprise Architect, Power Designer, Eclipse, Java, Adobe, Dropbox, Skype, ICQ Databáze pro testy: Oracle DB, MS SQL Aplikační SW: Sugar CRM, Google Apps
Vlastník vedoucí servisu vedoucí servisu vedoucí servisu vedoucí servisu vedoucí servisu vedoucí servisu
Hodnota 2 2 2 2 2 2
vedoucí vývoje vedoucí obchodu
2 2
53
11. Management rizik
Tabulka 11.4: Hodnocení aktiv – Fyzické položky Aktivum (centrála + pobočka v Severní Americe) 55 + 5 notebooků 5 mobilních telefonů (pobočka v SA) 1 PC (recepční) 10 + 1 serverů 4 + 1 síťové disky 55 + 5 x SIM karty 12 + 1 síťových tiskáren 3 + 1 scannery 2 + 1 kopírky 3 + 1 dataprojektory 1 interaktivní tabule 30 přenosných disků na zálohování 2 + 1 wi-fi routery Cisco kanceláře a jejich vybavení listinná dokumentace elektronické vstupní karty
54
Vlastník
Hodnota
příslušný zaměstnanec příslušný konzultant v SA
3 2
recepční technický náměstek vedoucí servisu příslušný zaměstnanec vedoucí servisu + určený konzultant vedoucí servisu + určený konzultant vedoucí servisu + určený konzultant 2 vedoucí obchodu, 1 vedoucí vývoje + 1 určený konzultant vedoucí vývoje technický náměstek
2 4 4 1 2
vedoucí servisu + pověřený konzultant vedoucí servisu + určený konzultant uživatel uživatel
2
2 3 3 4 2
3 3 3
11.2. Posouzení rizik Identifikace hrozeb Pro identifikaci hrozeb byla použita informativní příloha C normy ČSN ISO/IEC 27005:2013. U každé hrozby byl také stanoven, ve shodě s normou, její zdroj: náhodný (A – Accidental), úmyslný (D – Deliberate) a environmentální (E – environmental). Hrozby nebyly nijak rozdělovány. • požár – možné zdroje: A, D, E • poškození vodou – možné zdroje: A, D, E • znečištění – možné zdroje: A, D, E • závažná nehoda – možné zdroje: A, D, E • zničení zařízení nebo médií – možné zdroje: A, D, E • prach, koroze, zamrznutí – možné zdroje: A, D, E • povodeň – možné zdroje: E • selhání klimatizace – možné zdroje: A, D • selhání dodávky vody – možné zdroje: A, D, • přerušení dodávky elektřiny – možné zdroje: A, D, E • selhání telekomunikačních zařízení – možné zdroje: A, D • elektromagnetické záření – možné zdroje: A, D, E • termální záření – možné zdroje: A, D, E • elektromagnetické impulzy – možné zdroje: A, D, E • zachycení kompromitujících interferenčních signálů – možné zdroje: D • vzdálená špionáž – možné zdroje: D • odposlech – možné zdroje: D • krádež médií nebo dokumentů – možné zdroje: D • zprovoznění recyklovaných nebo vyřazených médií – možné zdroje: D • vyzrazení – možné zdroje: A, D • data pocházející z nedůvěryhodných zdrojů – možné zdroje: A, D • falšování pomocí technického vybavení – možné zdroje: D • falšování pomocí aplikačního programového vybavení – možné zdroje: A,D 55
11. Management rizik • odhalení pozice – možné zdroje: D • selhání zařízení – možné zdroje: A • chybné fungování zařízení – možné zdroje: A • přetížení informačního systému – možné zdroje: A, D • chybné fungování programového vybavení – možné zdroje: A • chyba údržby – možné zdroje: A, D • neoprávněné použití zařízení – možné zdroje: D • podvodné kopírování aplikačního programového vybavení – možné zdroje: D • použití padělaného nebo zkopírovaného aplikačního programového vybavení – možné zdroje: A, D • poškození dat – možné zdroje: A, D • nezákonné zpracování dat – možné zdroje: D • chyba v používání – možné zdroje: A • zneužití oprávnění – možné zdroje: A, D • falšování práv – možné zdroje: D • odepření činností – možné zdroje: D • nedostatek personálu – možné zdroje: A, D, E • nemoc – možné zdroje: A • zcizení – možné zdroje: D Identifikace stávajících opatření Stávající opatření jsou popsána v kapitole 9. Identifikace zranitelnostní V AlenkaSoftware byly, ve spolupráci s konzultační firmou, identifikovány tyto možné zranitelnosti: • možnost nesprávného pracovního postupu zaměstnanců • nedostatečná ochrana fyzických hranic – žádné zabezpečovací zařízení • nedostatečná ochrana vedlejšího vstupu 56
11.2. Posouzení rizik • nedostačující informace o vstupujících návštěvách • nedostatečně chráněný přístup k síťovým tiskárnám • nedostatečné fyzické zabezpečení fyzických (papírových) složek (data zaměstnanců, obchodní smlouvy) • citlivost HW na elektromagnetické záření • citlivost HW na vlhkost, prach, zašpinění • nedostatečná evidence zaměstnanců AlenkaServices, kteří mají k HW přístup • citlivost HW na změny napětí • citlivost HW na změny teploty • známé chyby v SW • chybné přiřazení přístupových práv • neznámé chyby v SW • nejasné/neúplné zadání pro vývojáře • onemocnění pracovníka • odchod pracovníka (výpověď) • nedostatečná kontrola mobilních zařízení mimo kancelář • nedostatečné zajištění písemných složek proti požáru • nesprávné použití zařízení • umístění v blízkosti vodovodního potrubí • nespokojený pracovník • hořlavost materiálů • závislost na elektrické energii • závislost na veřejných telekomunikačních sítích • chybné nastavení zařízení • chybné používání zařízení • neznámé chyby HW 57
11. Management rizik Identifikace následků Při působení hrozeb na zranitelná aktiva může v AlenkaSoftware dojít k těmto následkům: • zničení dat • odcizení dat • poškození dat • ztráta know-how • zničení papírové dokumentace • odcizení papírové dokumentace • poškození papírové dokumentace • poškození dobrého jména AlenkaSoftware • poškození HW • odcizení HW • zničení HW • poškození SW • podvodné jednání jménem AlenkaSoftware • vyzrazení citlivých údajů o zákaznících • ztráta důvěry zákazníků • porušení smluvních a/nebo zákonných opatření
11.2.2
Analýza a hodnocení rizik
Pro vyhodnocování a přijímání rizik byla vedením vybrána metodika vycházející z FMEA (viz část 3.2.3), s pětibodovou stupnicí. Místo „pravděpodobnosti odhalení vady“ je v AlenkaSoftware používána „síla opatření“, na hodnotící škále od žádného po „nepřekonatelné“ viz tabulka 11.5. „Význam vady“ je pro potřeby AlenkaSoftware nazýván „hodnota aktiva“. Hodnota aktiva může být vyjádřena jak v penězích, tak slovní škálou od nepatrné po velmi vysokou, viz tabulka 11.6. Místo „pravděpodobnosti výskytu vady“ je hodnocena závažnost hrozby od žádné po velmi velkou, viz tabulka 11.7. V AlenkaSoftware byla samozřejmě analýza rizik provedena pro všechna výše identifikovaná aktiva (viz část 11.2.1), jejich zranitelnosti a hrozby. Vzhledem k rozsahu této bakalářské práce zde nelze uvést kompletní analýzu rizik. Z každé skupiny aktiv jsem vybral dva zástupce a pro ně předkládám analýzu rizik. Postup analýzy je vždy shodný pro všechna aktiva. 58
11.2. Posouzení rizik Tabulka 11.5: FMEA-vyhodnocení opatření Síla opatření žádné slabé středně silné silné „nepřekonatelné“
Kategorie 5 4 3 2 1
Tabulka 11.6: FMEA-vyhonocení ceny aktiva Cena aktiva nepatrná < 5 000 Kč malá < 10 000 Kč běžná < 50 000 Kč velká < 100 000 Kč velmi vysoká > 100 000 Kč
Kategorie 1 2 3 4 5
Tabulka 11.7: FMEA-vyhodnocení závažnosti hrozby Závažnost hrozby žádná malá stření velká velmi velká
Kategorie 1 2 3 4 5
Procesy a služby Jako zástupce aktiv z kategorie procesů a služeb jsem si vybral důvěrné údaje obchodních partnerů (viz tabulka 11.8). Hodnota tohoto aktiva je 5, jeho vlastníkem je vedoucí obchodu. Druhým aktivem v této kategorii jsou osobní údaje zaměstnanců, viz tabulka 11.9. Hodnota tohoto aktiva byla stanovena také na 5, vlastníkem je ekonomický náměstek. Hodnota RPN je vypočítána vždy zvlášť pro každou hrozbu, která má svoji zranitelnost. V tabulce tedy hodnoty RPN uvádím pouze u hrozeb, které mohou proniknout konkrétní zranitelností. Software Jako zástupce aktiv z kategorie softwaru jsem si vybral operační systém Linux, viz tabulka 11.10. Hodnota tohoto aktiva je 2, jeho vlastníkem je vedoucí servisu. Druhým aktivem, které jsem si v této kategorii vybral, jsou databáze pro testy, viz tabulka 11.11. Hodnota tohoto aktiva byla stanovena také na 2, vlastníkem je vedoucí vývoje. Hodnota RPN je vypočítána vždy zvlášť pro každou hrozbu, která má svoji zranitelnost. V tabulce tedy hodnoty RPN 59
11. Management rizik uvádím pouze u hrozeb, které mohou proniknout konkrétní zranitelností. Fyzické položky Jako zástupce aktiv z kategorie fyzických položek jsem zvolil vstupní kartu (viz tabulka 11.12). Hodnota tohoto aktiva je 3, jeho vlastníkem je uživatel karty. Zranitelnosti pro kartu, kromě těch uvedených v tabulce, jsou citlivost hardware na elektromagnetické záření, odchod pracovníka, nesprávné použití zařízení, hořlavost materiálů. Hrozby pro tyto zranitelnosti jsou požár, závažná nehoda, elektromagnetické záření a elektromagnetické impulzy. Při působení těchto hrozeb má vstupní karta nižší hodnotu (pouze cenu karty, tedy hodnotu 1). Protože při působení těchto hrozeb dojde buď k plnému zničení vstupní karty, nebo k vymazání dat, důsledkem těchto rizik není narušení bezpečnosti. RPN je tedy vždy nižší nebo rovná 25 a jednotlivé výpočty zde neuvádím. Čísla uvedená v tabulce pro výpočet RPN jsou v následujícím pořadí: hodnota aktiva, vyhodnocení opatření a závažnost hrozby. Druhým aktivem, které jsem si v této kategorii vybral, je PC, viz tabulka 11.13. Hodnota tohoto aktiva byla stanovena na 2, vlastníkem jsou pracovníci back office. Z důvodu přehlednosti v této tabulce neuvádím konkrétní výpočty, ale pouze výslednou hodnotu RPN. Celé výpočty jsou uvedeny v souboru „hodnoceni-aktiv.ods“ na přiloženém CD. Hodnota RPN je vypočítána vždy zvlášť pro každou hrozbu, která má svoji zranitelnost. V tabulce tedy hodnoty RPN uvádím pouze u hrozeb, které mohou proniknout konkrétní zranitelností. Lidé Jako zástupce aktiv z kategorie lidí jsem zvolil konzultanta, viz tabulka 11.14). Hodnota tohoto aktiva je 5 a vlastní sám sebe. Druhým aktivem, které jsem si v této kategorii vybral, je vývojář, viz tabulka 11.15. Hodnota tohoto aktiva byla stanovena na 3 a vlastní sám sebe. Hodnota RPN je vypočítána vždy zvlášť pro každou hrozbu, která má svoji zranitelnost. V tabulce tedy hodnoty RPN uvádím pouze u hrozeb, které mohou proniknout konkrétní zranitelností. Čísla uvedená v tabulce pro výpočet RPN jsou v následujícím pořadí: hodnota aktiva, vyhodnocení opatření a závažnost hrozby.
60
11.2. Posouzení rizik
nesprávný pracovní postup nedostatečná ochrana fyzických hranic nedostatečně chráněný přístup k síťovým tiskárnám nedostatečné zabezpečení papírových složek nedostatečná evidence zaměstnanců AlenkaServices chybné přiřazení přístupových práv odchod pracovníka
x
nedostatečná kontrola mobilních zařízení mimo kancelář nedostatečné zajištění písemných složek proti požáru nespokojený pracovník
nezákonné zpracování dat
poškození dat
falšování
vyzrazení
krádež médií nebo dokumentů
odposlech
vzdálená špionáž
požár
Tabulka 11.8: Hodnocení rizik – Data zákazníků
5*2*2 5*2*2 5*2*3 5*2*1 x =20 =20 =30 =10 x x 5*4*2 x x =40
5*2*1 5*2*3 =10 =30 5*2*2 x =20
x
x
x
5*5*3 x =75
x
x
x
x
x
5*3*2 x =30
x
5*2*1 x =10
x
5*5*3 5*5*2 x =75 =50
x
x
x
x
x
x
x
x
x
x
5*5*2 x =50 x x
x
x
x
x
5*3*1 x =15 5*5*3 5*5*1 x x =75 =25
x
x
x
5*1*1 x =5
x
5*4*1 x =20 x
5*5*4 x =100
x x
x
x
x
x
5*4*5 5*5*4 5*4*1 5*4*4 5*5*5 =100 =100 =20 =80 =125
61
11. Management rizik
nesprávný pracovní postup nedostatečná ochrana fyzických hranic nedostatečně chráněný přístup k síťovým tiskárnám nedostatečné zabezpečení papírových složek nedostatečná evidence zaměstnanců AlenkaServices chybné přiřazení přístupových práv odchod pracovníka
x
nedostatečná kontrola mobilních zařízení mimo kancelář nedostatečné zajištění písemných složek proti požáru nespokojený pracovník
62
nezákonné zpracování dat
poškození dat
falšování
vyzrazení
krádež médií nebo dokumentů
odposlech
vzdálená špionáž
požár
Tabulka 11.9: Hodnocení rizik – Osobní údaje zaměstnanců
5*2*2 5*2*2 5*2*3 5*2*1 x =20 =20 =30 =10 x x 5*4*2 x x =40
5*2*1 5*2*3 =10 =30 5*2*2 x =20
x
x
x
5*5*3 x =75
x
x
x
x
x
5*3*2 x =30
x
5*2*1 x =10
x
5*5*3 5*5*2 x =75 =50
x
x
x
x
x
x
x
x
x
x
5*5*2 x =50 x x
x
x
x
x
5*3*1 x =15 5*5*3 5*5*1 x x =75 =25
x
x
x
5*1*1 x =5
x
5*4*1 x =20 x
5*5*4 x =100
x x
x
x
x
x
5*4*5 5*5*4 5*4*1 5*4*4 5*5*5 =100 =100 =20 =80 =125
11.2. Posouzení rizik
nespokojený pracovník neznámé chyby HW chybné nastavení zařízení chybné používání zařízení
x x
poškození dat
neoprávněné použití zařízení
2*3*4 x =24 x x
2*3*1 =6 2*2*1 =4 2*2*2 =8 2*5*1 =10 2*5*3 = 30 2*5*1 =10 2*2*1 =4 2*2*2 =8
zneužití oprávnění
chybné přiřazení přístupových práv neznámé chyby SW
2*2*2 2*3*3 x =8 =18 x x 2*4*2 =16 2*5*1 x 2*5*1 =10 =10 x x 2*5*1 =10 2*5*3 x x =30 x x x
chyba v používání
nesprávný pracovní postup známé chyby SW
chyba údržby
data z nedůvěryhodných zdrojů
Tabulka 11.10: Hodnocení rizik – Linux
2*2*4 =16 2*5*1 =10 2*5*3 =30 2*5*1 =10 x
2*4*4 =32 x
x
x x 2*5*5 =50 x
2*3*1 2*5*1 =6 =10 x x
63
11. Management rizik
nesprávný pracovní postup známé chyby SW chybné přiřazení přístupových práv neznámé chyby SW nespokojený pracovník neznámé chyby HW chybné nastavení zařízení chybné používání zařízení
2*2*2 2*3*3 x =8 =18 x x 2*4*2 =16 2*5*1 x 2*5*2 =10 =20 x x 2*5*1 =10 2*5*4 x x =40 x x x x x
2*2*4 x =16 x x
2*2*1 2*3*1 2*2*4* =4 =6 =16 x 2*2*1 2*5*1 =4 =10 x 2*2*3 2*5*3 =12 =30 x 2*5*1 2*5*1 =10 =10 2*5*4 2*5*3 x =40 =30 x 2*5*1 x =10 x 2*2*2 2*2*4 =8 =16 x 2*2*3 x =12
zcizení
Tabulka 11.12: Hodnocení rizik – Vstupní karta
nesprávný pracovní postup nespokojený zaměstnanec
64
3*2*3 =18 3*3*3 =27
použití padělaného/kopírovaného SW
zneužití oprávnění
chyba v používání
poškození dat
podvodné kopírování
neoprávněné použití zařízení
chyba údržby
data z nedůvěryhodných zdrojů
Tabulka 11.11: Hodnocení rizik – Databáze
2*4*4 2*2*3 =32 =12 x x x
x
x
x
2*5*5 2*5*2 =50 =20 x x 2*2*2 x =8 x x
11.2. Posouzení rizik
chybné fungování zařízení
chyba údržby
neoprávněné použití zařízení
x
x
x
x
10 12 20 30 x
x
x
x
x
x
x
x
x
x
x
x
x
10 x
x
x
x
x
x
x
6
12 x
x
x
x
x
x
x
x
x
x
x
8
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
40 30
10 x 6 x
x x
x x
x x 20 x
x x
x x
x x
x x
x x
x x
x x
x
x
12 x
x
x
x
x
x
x
x
x
x
x x
2 x
12 x 12 x
x x
x x
x x
x x
x x 18 12 x 10 10 x x x
x
x
x
x
x
x
x
x
x
x
x
x
20 x
65
zcizení
selhání zařízení
10 x
termální záření
10 x
elektromagnetické záření
16 32
povodeň
x
prach, koroze, zamrznutí
x
znečištění
x
poškození vodou
x
požár nedostatečná ochrana vedlejšího vstupu citlivost HW na elektromagnetické záření citlivost HW na vlhkost, prach, zašpinění citlivost HW na změny teploty nesprávné použití zařízení umístění v blízkosti vodovodního potrubí nespokojený pracovník hořlavost materiálů závislost na elektrické energii chybné používání zařízení lidský faktor neznámé chyby HW
elektromagnetické impulzy
Tabulka 11.13: Hodnocení rizik – PC – z důvodu přehlednosti jsou uvedeny pouze výsledky, výpočty jsou na přiloženém CD
11. Management rizik
chybné přiřazení práv nejasné/neúplné zadání práce možnost nesprávného prac. postupu možnost onemocnění pracovníka
5*5*1 =25 5*2*5 =50 5*2*5 =50 x
nemoc
data z nedůvěryhodných zdrojů
Tabulka 11.14: Hodnocení rizik – Konzultant
x x x 5*5*1 =25
chybné přiřazení práv nejasné/neúplné zadání práce možnost nesprávného prac. postupu možnost onemocnění pracovníka
66
3*5*1 =15 3*5*3 =45 3*5*4 =60 x
nemoc
data z nedůvěryhodných zdrojů
Tabulka 11.15: Hodnocení rizik – Vývojář
x x x 3*5*1 =15
11.3. Ošetření rizik
11.3
Ošetření rizik
Rizika byla hodnocena metodou vycházející z FMEA (metoda FMEA, viz část 3.2.3 a provedení, viz část 11.2.2 ) Pokud RPN bylo >27, riziko nebylo akceptováno a byla proti němu přijata příslušná opatření. Opatření byla přijata také, pokud RPN bylo v intervalu 17–27 včetně a vedení AlenkaSoftware tato rizika neakceptovalo.
11.3.1
Konkrétní opatření
Procesy a služby Přijatá opatření pro data zákazníků a osobní údaje zaměstnanců jsou shodná, vzhledem k tomu, že na tato aktiva působí stejné hrozby a mají shodné zranitelnosti. Data zákazníků a osobní údaje zaměstnanců Pro snížení rizika krádeže médií nebo dokumentů při nesprávném pracovním postupu bylo jako opatření zavedeno hlášení do YouTracku6 při vynášení dokumentů nebo médií (s výjimkou notebooku) mimo fyzický perimetr AlenkaSoftware. Riziko nezákonného zpracování dat při nesprávném pracovním postupu bude sníženo vysláním příslušných zaměstnanců na školení o ochraně osobních údajů. Riziko vyplývající z hrozby krádeže médií nebo dokumentů z důvodu nedostatečné ochrany fyzického perimetru navrhujeme ošetřit instalací kamer k hlavnímu i vedlejšímu vstupu a rozdělením EZS na zóny podle jednotlivých kanceláří a částí firmy tak, aby mohlo být v chodu i v přítomnosti malého počtu pracovníků. Toto opatření zároveň působí na riziko poškození dat při nedostatečné ochraně fyzických hranic. Pro snížení rizika krádeže médií nebo dokumentů nedostatečně chráněným přístupem k síťovým tiskárnám doporučujeme pořídit tiskárny s přihlášením na kartu nebo kód. Riziko krádeže papírových složek při nedostatečném zabezpečení papírových složek doporučujeme ošetřit pořízením příručního trezoru a ukládáním složek do tohoto trezoru. Pro riziko vyplývající z hrozby vzdálené špionáže a odposlechu při nedostatečné evidenci zaměstnanců AlenkaServices, kteří mají přístup k HW doporučujeme přijmout následující opatření. Změnit smlouvu s AlenkaServices tak, aby ve smlouvě byli vyjmenováni pracovníci, kteří mají přístup k HW. O každém přístupu k HW by měl být informován vedoucí servisu AlenkaSoftware nebo jím určený zástupce. Pro snížení rizika vzdálené špionáže při chybném přiřazení práv doporučujeme po přiřazení práv ke vzdálenému přístupu toto zaznamenat do systému YouTrack, který upozorní pověřeného pracovníka. Ten provede kontrolu přiřazení práv. 6
issue tracking systém, systém pro sledování problémů
67
11. Management rizik Pro snížení rizika vyplývajícího ze zranitelnosti nedostatečnou kontrolou mobilních zařízení mimo kancelář a hrozbu odposlechu byla v manuálu uživatele stanovena pravidla pro používání mobilních zařízení. Pro snížení rizika vyplývajícího ze zranitelnosti nedostatečnou kontrolou mobilních zařízení mimo kancelář a hrozbu krádeže doporučujeme nainstalovat na notebooky software určený k vymazání pevného disku v případě ztráty nebo odcizení. Pro riziko vyplývající z nespokojenosti zaměstnance byla přijata tato opatření: vstřícná politika AlenkaSoftware vůči zaměstancům (umožnění homeoffice, sick days, minimum přesčasů, volná pracovní doba, anonymní kniha přání a stížností) a vytvoření minitýmů, ve kterých si vedoucí týmu snadněji udržuje přehled o morálce pracovníků. Software Linux Pro riziko zneužití oprávnění při nesprávném pracovním postupu byla do spouštěcího skriptu při přihlašování přidána výrazná informace, o jaký se jedná server a ke kterému projektu je právě přiřazen. Pro riziko chyby v používání při chybném přiřazení přístupových práv doporučujeme po přiřazení práv ke vzdálenému přístupu toto zaznamenat do systému YouTrack, který upozorní pověřeného pracovníka. Ten provede kontrolu přiřazení práv. Opatřením pro zranitelnost ve formě nespokojeného pracovníka je vstřícná politika vůči zaměstnancům. Databáze Pro snížení rizika zneužití oprávnění při nesprávném pracovním postupu navrhujeme pracovníkovi odebrat/snížit oprávnění k přístupu k databázím, které se netýkají projektů, na kterých pracovník pracuje. Pro riziko chyby v používání při chybném přiřazení přístupových práv doporučujeme po přiřazení práv ke vzdálenému přístupu toto zaznamenat do systému YouTrack, který upozorní pověřeného pracovníka. Ten provede kontrolu přiřazení práv. Pro rizika vyplývající z nespokojenosti zaměstnance byla přijata vstřícná politika AlenkaSoftware vůči zaměstancům. Fyzické položky Vstupní karta Pro hrozbu zcizení vyplývající z nesprávného pracovního postupu byla přijata tato opatření: interní školení pracovníků o správném pracovním postupu, vytvoření manuálu uživatele a kontrola oprávněnosti vstupu (kamera k hlavnímu i vedlejšímu vstupu). 68
11.4. Akceptace rizik Pro riziko zcizení vyplývající z nespokojenosti zaměstnance byla přijata tato opatření: vstřícná politika AlenkaSoftware vůči zaměstancům (umožnění homeoffice, sick days,...) a kontrola oprávněnosti vstupu. PC Riziko vyplývající z hrozby zcizení a zranitelnosti nedostatečnou ochranou fyzického perimetru bylo řešeno změnami v EZS, pořízením kamer ke vstupům a kontrolou oprávněnosti vstupu. Pro rizika vyplývající z nespokojenosti zaměstnance byla přijata vstřícná politika AlenkaSoftware vůči zaměstancům. Pro snížení rizika z hrozeb znečištění a prachu, koroze a zamrznutí byla jako opatření zakoupena čistička vzduchu. Vzhledem k tomu, že se AlenkaSoftware nachází nad rušnou silnicí, je v kancelářích vysoká prašnost. Očekává se zlepšení po přestěhování AlenkaSoftware do nových prostor. Lidé Konzultant Hrozba použití dat z nedůvěryhodných zdrojů pro zranitelnost chybného přiřazení práv byla ošetřena zavedením elektronických podpisů vždy, když se jedná o přidělení přístupových práv. Riziko hrozby použití dat z nedůvěryhodných zdrojů pro zranitelnost nejasné/neúplné zadání práce nebo činnosti byla sníženo zavedením a používáním YouTracku pro zadávání práce. Hrozba použití dat z nedůvěryhodných zdrojů pro zranitelnost nesprávným pracovním postupem byla ošetřena interním školením konzultantů ve správných pracovních postupech. Vývojář Riziko hrozby použití dat z nedůvěryhodných zdrojů pro zranitelnost nejasné/neúplné zadání práce nebo činnosti byla sníženo zavedením a používáním YouTracku pro zadávání práce. Hrozba použití dat z nedůvěryhodných zdrojů pro zranitelnost nesprávným pracovním postupem byla ošetřena školením vývojařů v používaných konkrétních programovacích jazycích.
11.4
Akceptace rizik
Rizika byla hodnocena metodou vycházející z FMEA (metoda FMEA, viz část 3.2.3 a provedení, viz část 11.2.2). Pro akceptaci rizika byl určen interval RPN <17, v intervalu 17–27 (včetně) musí riziko posoudit a případně akceptovat management. Akceptovaná rizika s hodnotou RPN <17 jsou uvedena pouze v tabulkách v analýze rizik. Management AlenkaSoftware se dále rozhodl akceptovat tato rizika. 69
11. Management rizik Procesy a služby Data zákazníků a osobní údaje zaměstnanců Nedostatečné zajištění písemných složek proti požáru. Software Linux Vedení akceptovalo riziko chyby údržby při nesprávném pracovním postupu a při chybném nastavení zařízení. Databáze Vedení akceptovalo riziko chyby údržby při nesprávném pracovním postupu a při chybném nastavení zařízení. A také riziko neoprávněného použití zařízení při chybném přiřazení přístupových práv. Fyzické položky Vstupní karta Vedení AlenkaSoftware se rozhodlo akceptovat rizika vyplývající z těchto zranitelností: citlivost hardware na elektromagnetické záření, odchod pracovníka, nesprávné použití zařízení, hořlavost materiálu; a z těchto hrozeb: požár, závažná nehoda, elektromagnetické záření a elektromagnetické impulzy. Důvodem akceptace je, že při působení těchto hrozeb dojde buď k plnému zničení vstupní karty, nebo k vymazání dat. Důsledkem těchto rizik není narušení bezpečnosti. PC Bylo akceptováno riziko povodně. Vzhledem k charakteru dat umístěných na PC není potřeba jej zachovat v chodu během živelných pohrom. Chyba údržby způsobená lidským faktorem byla také akceptována vzhledem k ceně aktiva vs. ceně možných opatření (školení pracovníků). Lidé Konzultant Vedení akceptovalo riziko onemocnění konzultanta. Vývojář Žádná další rizika (mimo kritéria akceptace) nebyla akceptována.
70
Kapitola
Implementace ISMS 12.1
Vytvoření dokumentace
Veškerá dokumentace je v elektronické formě s výjimkou havarijního plánu a plánu kontinuity (viz příloha E, ty existují v elektronické i papírové podobě. Vznikla také příručka ISMS a manuál uživatele.
12.1.1
Příručka ISMS
V příručce ISMS je politika bezpečnosti a cíle ISMS (viz část 10.1 této práce), rozsah ISMS (viz kapitola 9 této práce), opatření podporující ISMS (viz kapitoly 9 a 11.3 této práce), popis hodnocení rizik pomocí FMEA (viz část 11.2.2 této práce), zpráva o hodnocení rizik (viz část 11.2.2 této práce). Postupy podporující ISMS a postupy nutné pro efektivní plánování, provoz a řízení ISMS jsou popsané v manuálu uživatele.
12.1.2
Manuál uživatele
Vstup do kanceláře Vstup do kancelářské budovy i do kanceláře je na elektronickou kartu. Vlastník kartu nesmí nikde zanechat bez dozoru ani ji nikomu půjčovat. Ztrátu nebo odcizení karty je třeba okamžitě hlásit technickému náměstkovi. Pokud ztratí kartu technický náměstek, oznamuje to řediteli AlenkaSoftware. Návštěvy, které přicházejí do AlenkaSoftware, se mohou v prostorách firmy pohybovat pouze s doprovodem. Provoz a využívání mobilních telefonů Pro provoz a využívání mobilních telefonů používaných pro pracovní činnost (i mimo vlastnictví AlenkaSoftware) platí tato pravidla: mobilní telefon nikomu nepůjčovat, nikdy jej nezanechat bez dozoru a jeho ztrátu nebo odcizení okamžitě hlásit technickému náměstkovi. Pokud ztratí mobilní telefon 71
12
12. Implementace ISMS technický náměstek, oznamuje to řediteli AlenkaSoftware. Chytré mobilní telefony (smartphony) musí mít nainstalovaný a pravidelně aktualizovaný antivirový software. Pokud je mobilní telefon používán pro zašifrované spojení se servery, musí být prováděna také pravidelná aktualizace programu zajišťujícího toto spojení. Vlastník telefonu musí mít přístup chráněn PINem, který nesmí nikomu sdělit. PIN nesmí být zaznamenán písemně ani jiným způsobem. Provoz a využívání počítačů (i notebooků) Veškerý software a veškeré prostředky výpočetní techniky smějí být používány pouze pro pracovní účely a způsobem, k němuž jsou určeny. Porušení tohoto pravidla je považováno za hrubé porušení pracovní kázně. Notebooky Pro provoz a využívání notebooků platí tato pravidla: notebook nikomu nepůjčovat, nikdy jej na veřejných místech nezanechat bez dozoru. Při práci na veřejném místě musí uživatel notebooku zabránit možnosti, aby byly informace odpozorovány neoprávněnými osobami. Ztrátu nebo odcizení notebooku okamžitě hlásit technickému náměstkovi. Pokud ztratí notebook technický náměstek, oznamuje to řediteli AlenkaSoftware. PC a notebooky Pro notebooky i PC (dále počítač) platí následující bezpečnostní pravidla. Vlastník počítače nesmí otevírat potenciálně nebezpečné soubory (.exe, .bat) z nedůvěryhodných zdrojů. Nesmí otevírat přílohy s neznámou příponou. Nesmí vypínat antivirový software, měnit jeho konfiguraci ani měnit konfiguraci firewallu. Musí zajistit pravidelné aktualizace antivirového sowtwaru (ESET). Při podezření na výskyt viru, při nahlášeném viru nebo pokud má vlastník počítače podezření, že antivirový software nepracuje správně, musí neprodleně informovat vedoucího servisu. V případě, že výše uvedené okolnosti zjistí vedoucí servisu, informuje technického náměstka. Nejméně 1x týdně musí proběhnout úplný sken pomocí nainstalovaného antivirového programu ESET. Vlastník nesmí na počítače instalovat jakýkoli software bez předchozího informování vedoucího servisu. Vlastník musí mít nastavena hesla pro přístup k počítači a tato hesla udržovat v tajnosti a nikam je nezaznamenávat. V případě kompromitace hesla informovat vedoucího servisu a heslo ihned změnit. V případě vytvoření dočasného hesla toto změnit po prvním přihlášení. Hesla neukládat (správce hesel apod.). Minimální požadovaná délka hesla je čtrnáct znaků. Vlastník musí provádět pravidelné zálohy na přenosná šifrovaná média alespoň 1x za den, v případě oddělení vývoje i častěji. Nejméně 3x za den jsou informace z lokálního umístění stahované a zálohované na server. Zálohy na přenosných médiích jsou pověřeným pracovníkem denně odnášeny do bankovní úschovy. Vlastník nesmí stahovat data na nešifrovaná přenosná i nepřenosná média. 72
12.2. Vytvoření formulářů Ochrana informací Pro ochranu informací je využívána zásada prázdného stolu a prázdné obrazovky. Papírové dokumenty a přenosná počítačová média obsahující citlivé informace se musí v době, kdy se nepoužívají (při opuštění pracovního místa, mimo pracovní dobu) skladovat v uzamykatelných skříních. Přihlášené počítače nelze ponechávat bez dozoru; pokud pracovník opouští své pracovní místo, musí počítač chránit uzamčením nebo odhlášením. Při opuštění pracovního místa, i krátkodobě, nenechávat žádné citlivé nebo důvěrné dokumenty na stole – tzv. politika čistého stolu (dokumenty vždy do uzamykatelné skříně).
12.2
Vytvoření formulářů
Pro účely zavádění a provozu ISMS byly beze změny použity formuláře pro ISO 9001. Formuláře pro slabá místa jsou shodné s formuláři pro nápravná a preventivní opatření, formuláře pro neshody jsou používané pro zaznamenání bezpečnostních incidentů. V rámci ISMS jsou používány také formuláře pro řízení dodavatelů. Všechny formuláře jsou vedeny elektronicky v programu MS Excel. Zvažuje se jejich převod do programu YouTrack.
12.3
Vytvoření prohlášení o aplikovatelnosti
Prohlášení o aplikovatelnosti popisuje cíle opatření a jednotlivá bezpečnostní opatření, která AlenkaSoftware aplikovala. Cíle opatření nebudu uvádět, ve zkrácené podobě jsou uvedeny v kapitole 5, v plném znění jsou uvedeny v příloze A normy ČSN ISO/IEC 27001:2006. Vzhledem k velkému rozsahu prohlášení o aplikovatelnosti zde uvádím pouze první článek, tedy článek A.5 (tabulka 12.1). Celé prohlášení o aplikovatelnosti firmy AlenkaSoftware je v příloze F.
73
12. Implementace ISMS
Tabulka 12.1: Prohlášení o aplikovatelnosti–ukázka Článek normy
A.5.1.1 Dokument bezpečnostní politiky informací
A.5.1.2 Přezkoumání bezpečnostní politiky informací
74
Opatření A.5 Bezpečnostní politika A.5.1 Bezpečnostní politika Dokument bezpečnostní politiky informací musí být schválen vedením organizace, publikován a dán na vědomí všem zaměstnancům a relevantním externím stranám. Pro zajištění její neustálé použitelnosti, přiměřenosti a účinnosti musí být bezpečnostní politika informací přezkoumávána v plánovaných intervalech a vždy když nastane významná změna.
Aplikace
politika ISMS
příručka ISMS
Kapitola
Provoz ISMS Provoz ISMS v PDCA cyklu se skládá ze čtyř kroků. V kroku „plan“ probíhá interní audit a přezkoumání vedením AlenkaSoftware. Interní audit provádí druhá osoba (externí konzultant). Přezkoumání vedením se již neúčastní. Cílem interního auditu je prověřit plnění požadavků normy ČSN ISO/IEC 27001 (v případě AlenkaSoftware 27001:2006) a nalézt případné neshody (systémové i nesystémové) a slabá místa. Z interního auditu také obvykle vyplynou doporučení pro zlepšování ISMS. Dalším cílem interního auditu je zjistit připravenost AlenkaSoftware na certifikační audit ISMS. Při zavádění ISMS v AlenkaSoftware proběhl první interní audit až po prvním přezkoumání vedením. Poslední materiál, které jsem od AlenkaSoftware a konzultační firmy dostal k dispozici, je právě přezkoumání vedením (viz část 13.1). Další provoz (kroky 2–4 PDCA cyklu) již řídí AlenkaSoftware sama, bez externího konzultanta. Pro úplnost zde uvádím pravděpodobný průběh. V kroku „do“ dochází k odstraňování neshod a nedostatků zjištěných interním auditem. Dále k aplikaci doporučení z interního auditu a k řešení požadavků vzniklých z přezkoumání vedením. V kroku „check“ probíhá monitorování celého systému. V logu některých programů (antivirové programy, firewall) se hledají pokusy o proniknutí. Při zjištění slabého místa, pokusu o průnik nebo bezpečnostního incidentů je svoláno bezpečnostní fórum AlenkaSoftware. V kroku „act“ probíhá běžná údržba nebo reakce na výsledky monitorování (např. aktualizace antivirů, správa vstupních karet).
13.1
Přezkoumání vedením
V přezkoumání vedením je konstatován záměr rozšířit stávající certifikovaný systém managementu kvality o požadavky normy ISO/IEC 27001 (tedy zavést ISMS). V této souvislosti byly rozšířeny kompetence manažera kvality ve smyslu zavádění a provozu ISMS. Byl vybrán nový spolupracovník/poradce pro normy ISO. Na začátku roku 2013 proběhl dozorový audit ISO 9001, 75
13
13. Provoz ISMS provedený společností ABC. Tento audit nezjistil žádné neshody, nebyla formulována ani žádná doporučení. Interní audit ISMS proběhne před certifikačním auditem ISMS. Z interního auditu bude zpracována samostatná zpráva. Zpětná vazba od zainteresovaných stran Ve sledovaném období nebyly zaregistrovány žádné nestandardní požadavky nebo připomínky od zákazníků AlenkaSoftware. Taktéž nebyla zaregistrována žádná reklamace ze strany zákazníků. Kontroly orgánů veřejné správy a samosprávy (zdravotní, sociální, hygiena apod.) ve sledovaném období taktéž neproběhly. Veškeré požadavky, připomínky a reklamace jsou vedeny v systému YouTrack. Výkonnost procesů Výkonnost procesů se hodnotí průběžně a dle potřeby. Stav nápravných a preventivních opatření Nápravná nebo preventivní opatření vyplývající z reklamací nebyla ve sledovaném období uplatněna. V systému YouTrack je založen projekt na evidenci bezpečnostních a jiných incidentů. Následná opatření vyplývající z předchozích Management review Jedná se o první přezkoumání vedením, neexistují tudíž žádná opatření a doporučení z předchozích přezkoumání. Informace o zranitelnosti a hrozbách Zranitelná místa a hrozby, které by mohly být využity prostřednictvím identifikovaných zranitelností, byly řešeny v rámci provedené analýzy rizik. Poslední aktualizace analýzy rizik již proběhla a je součástí dokumentace ISMS. Do ISMS byly zahrnuty stávající plány kontinuity, jejichž otestování proběhlo v rámci povodňové situace. Plány kontinuity se jeví jako dostačující a funkční. Návrhy na aktualizaci hodnocení rizik a plánu zvládání rizik Aktualizace analýzy rizik, plánů kontinuity a dalších dokumentů, souvisejících s fyzickým a logickým perimetrem, je naplánovaná na období třetího čtvrtletí roku 2014. Pokud dojde k zásadním změnám ve fyzických a logických perimetrech nebo aktivech, bude analýza rizik provedena dříve. Informace o bezpečnostních incidentech a souvisejících navrhovaných změnách Ve sledovaném období se vyskytlo několik bezpečnostních incidentů, všechny byly zaznamenány a popsány v systému YouTrack. 76
13.2. Certifikační audit ISMS Změny v regulatorních, zákonných či smluvních požadavcích V souvislosti s úpravami Občanského zákoníku k datu 1.1.2014 došlo k revizi zákonných požadavků napříč všemi odděleními společnosti – došlo k úpravě některých smluv. Doporučení pro zlepšování a zvyšování účinnosti ISMS a návrhy na zajištění zdrojů Doporučením pro zlepšování je pokračování v implementaci opatření na základě sestaveného plánu zvládání rizik a přijetí opatření v návaznosti na výstupy z auditů. Výstup z přezkoumání Zpráva byla projednána vedením dne 3. 3. 2014 – vedení souhlasí s navrženými opatřeními.
13.2
Certifikační audit ISMS
Certifikační audit AlenkaSoftware proběhl na konci března 2014 bez přítomnosti konzultantů. Audit provedla certifikační firma ABC. Nebyly zjištěny žádné systémové ani nesystémové neshody a byla formulována čtyři doporučení. Doporučení 1 „Doporučuji při bezpečnostních auditech věnovat maximální pozornost politice čistého stolu a odhlašování ze systému při krátkodobém odchodu z pracoviště.“ Politika čistého stolu a čisté obrazovky je zakotvena v manuálu uživatele. Po všech pracovnících, včetně pracovníků back office, je vyžadováno dodržování tohoto manuálu. Doporučení 2 „Vzhledem ke zvažované možnosti přemístění firmy do jiného objektu doporučuji zpracovat analýzu rizik spojených se stěhováním a k této analýze přihlédnout při organizaci případného stěhování.“ Doporučení 3 „Doporučuji zapojení do činnosti bezpečnostních fór nejen pasivně, ale i aktivně.“ Doporučení 4 „Doporučuji při nákupu nových síťových periferních zařízení preferovat periferie, které lze zajistit heslem nebo čipem.“ 77
13. Provoz ISMS Toto opatření vyplynulo z analýzy rizik, AlenkaSoftware jej patrně do termínu certifikačního auditu nestihla zavést.
78
Závěr Tato práce podává v rešeršní části přehled základních norem a postupů pro zavádění ISMS. Postupně jsem v práci popsal normu ČSN ISO/IEC 27001:2006, PDCA cyklus, význam aktiv a postup při jejich určování, některé metody analýzy rizik, postup při řízení bezpečnosti informací a v neposlední řadě jsem také nastínil samotný proces zavádění ISMS. V implementační části jsem popsal postup zavedení ISMS do konkrétní, ale anonymizované firmy, uváděné jako AlenkaSoftware. Pracoval jsem jako stážista u konzultační firmy, která ISMS v AlenkaSoftware pomáhala zavádět. Zúčastnil jsem se analýzy rizik metodou vycházející z FMEA, a byl jsem pověřen jejím následným zpracováním. Jako pozorovatel jsem se zúčastnil vstupního interního auditu a při řešení ošetření a akceptace rizik. Vytvořil jsem také základní strukturu manuálu uživatele, se kterým dále pracovali běžní zaměstnanci konzultační firmy. Firma, u níž jsem byl účasten zavádění ISMS, systém úspěšně zavedla a získala akreditovaný certifikát.
79
Literatura [1]
Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 27001. Informační technologie -– Bezpečnostní techniky – Systémy managementu bezpečnosti informací -– Požadavky. 2005.
[2]
ŠEBESTA, V.; ŠTVERKA, V.; STEINER, F.; aj.: Praktické zkušenosti z implementace systému managementu bezpečnosti informací podle ČSN BS 7799-2:2004 a komentované vydání ISO/IEC 27001:2005. Český normalizační institut, 2006, ISBN 80-7283-204-2.
[3]
Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN EN ISO 9000. Systémy managementu kvality – Základní principy a slovník. 2010.
[4]
Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 27000. Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník. 2010.
[5]
Wikimedia Foundation, 2001-: PDCA [online]. [cit. 2014-03-23]. Dostupné z: http://en.wikipedia.org/wiki/PDCA
[6]
Doucek, P.; Nedomová, L.: Nasazení integrovaného systému řízení pro získání konkurenční výhody. AT&P journal, , č. 12, 2004.
[7]
Wikimedia Foundation, 2001-: PDCA [online]. [cit. 2014-03-23]. Dostupné z: http://cs.wikipedia.org/wiki/PDCA
[8]
Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN 36 9790. Systém managementu bezpečnosti informací – Směrnice pro management rizik bezpečnosti informací. 2008.
[9]
Krajča, J.: Metody analýzy rizik podnikových informačních systémů – učební pomůcka pro předmět Bezpečnost informačních systémů. Univerzita Tomáše Bati ve Zlíně, 2011. 81
Literatura [10] Rajský, J.: Možnosti využití ISMS pro malé organizace. Vysoká škola ekonomická v Praze, 2010. [11] Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 27005- Informační technologie – Bezpečnostní techniky - Řízení rizik bezpečnosti informací. 2011. [12] Poslanecká sněmovna Parlamentu České republiky: VYHLÁŠKA o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních protiopatřeních a o stanovení náležitosti podání v oblasti kybernetické bezpečnosti. 2014. Dostupné z: http://www.psp.cz/sqw/text/ orig2.sqw?idd=90886 [13] Wikimedia Foundation, 2001-: FURPS [online]. [cit. 2014-03-25]. Dostupné z: http://cs.wikipedia.org/wiki/FURPS [14] Tichý, M.: Ovládání rizika. C.H. Beck, vyd. 1. vydání, 2006, ISBN 80717-9415-5. [15] Wikimedia Foundation, 2001-: Failure mode and effects analysis [online]. [cit. 2014-03-26]. Dostupné z: http://en.wikipedia.org/wiki/ Failure_mode_and_effects_analysis [16] Wikimedia Foundation, 2001-: SWOT [online]. [cit. 2014-03-23]. Dostupné z: http://cs.wikipedia.org/wiki/SWOT [17] Smejkal, V.: Řízení rizik ve firmách a jiných organizacích. Grada, třetí vydání, 2010, ISBN 978-80-247-3051-6. [18] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 27000|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=85169 [19] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 17799|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=75901 [20] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 27003|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=88915 [21] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 27004|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=87189 82
Literatura [22] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 27005|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=93071 [23] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 27006|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=91986 [24] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN ISO/IEC 27007|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=93072 [25] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN EN ISO 27799|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=93072 [26] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN EN ISO 9001|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=83016 [27] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN EN ISO 14001|ČSN online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/ Detailnormy.aspx?k=73439 [28] Detailní informace o produktu. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví: ČSN 36 9790| online [online]. [cit. 2014-03-26]. Dostupné z: http://seznamcsn.unmz.cz/Detailnormy.aspx?k=81079
83
Příloha
Seznam použitých zkratek CCTA Central Computer and Telecommunications Agency CD Compact disk CEO Chief executive officer – výkonný ředitel obchodní společnosti COO Chief Operations Officer – Provozní ředitel CRAMM CCTA Risk Analysis and Management Method ČSN Česká státní norma ČR Česká republika EZS Elektronické zabezpečovací zařízení FMEA Failure Mode and Effect Analysis – analýza možného výskytu a vlivu vad FURPS Functionality, Usability, Reliability, Supportability, Performace – funkčnost, vhodnost k použití, spolehlivost, schopnost být udržována, výkon HW Hardware IS Informační systém ISMS Information Security Management System – Systém managementu bezpečnosti informací IT Informační technologie MRP míra rizik a priorit OECD Organisation for Economic Co-operation and Development – Organizace pro hospodářskou spolupráci a rozvoj 85
A
A. Seznam použitých zkratek PC Personal computer – osobní počítač PDCA Plan–Do–Check–Act – Plánuj–dělej–kontroluj–jednej PIN personal identification number – osobní identifikační číslo PSK Pre-shared key RPN Risk Priority Number – míra rizik a priorit SLA service-level agreemen – Smlouva mezi konzumentem a poskytovatelem služby SW Software SWOT Strenghts, Weaknesses, Opportunities, Threats – silné (stránky), slabé (stránky), příležitosti a hrozby UPS Uninterruptible Power Supply – nepřerušitelný zdroj energie WPA Wi-Fi Protected Access
86
Příloha
Normy pro systémy managementu bezpečnosti informací B.1
Další normy řady ISO 27000
ČSN ISO/IEC 27000 – Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník Tato mezinárodní norma poskytuje přehled systémů řízení bezpečnosti informací, které tvoří předmět rodiny norem ISMS a definuje související termíny. Termíny a definice uvedené v této normě se týkají termínů a definic obecně použitých v rodině norem ISMS, nikoliv všech termínů a definic [18]. ČSN ISO/IEC 27002 (dříve ČSN ISO/IEC 17799:2006) – Informační technologie – Bezpečnostní techniky – Soubor postupů pro management bezpečnosti informací Norma vznikla jako praktická sbírka nejlepších praktik ( „best practices“) v oboru bezpečnosti informací a na jejím vzniku se podílela řada státních subjektů ve spolupráci s komerčními organizacemi. Může být využita jako kontrolní seznam všeho správného, co je nutno pro bezpečnost informací v organizaci udělat. Obsahuje celkem 11 základních oddílů bezpečnosti, které jsou dále rozděleny do 39 kategorií bezpečnosti [19]. ČSN ISO/IEC 27003 – Informační technologie – Bezpečnostní techniky – Směrnice pro implementaci systému řízení bezpečnosti informací Tato norma poskytuje doporučení pro ustanovení a implementaci systému řízení bezpečnosti informací (ISMS) v souladu s požadavky normy ISO/IEC 27001. Norma je použitelná pro všechny typy organizací, které zavádějí ISMS. Norma vysvětluje proces návrhu a implementace ISMS pomocí popisu zahájení, definování a plánování projektu implementace ISMS. Výsledkem tohoto 87
B
B. Normy pro systémy managementu bezpečnosti informací procesu je finální plán implementace projektu ISMS. Na základě tohoto plánu lze v organizaci realizovat projekt implementace ISMS. Norma popisuje proces plánování implementace ISMS v pěti etapách [20]. ČSN ISO/IEC 27004 – Informační technologie – Bezpečnostní techniky – Řízení bezpečnosti informací – Měření Tato norma poskytuje doporučení pro vývoj a používání metrik a pro měření účinnosti zavedeného systému řízení bezpečnosti informací (ISMS) a účinnosti opatření nebo skupin opatření, jak je uvedeno v ISO/IEC 27001. Implementace těchto doporučení je předmětem programu měření bezpečnosti informací [21]. ČSN ISO/IEC 27005 – Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací Tato mezinárodní norma poskytuje doporučení pro řízení rizik bezpečnosti informací v rámci organizace, podporuje obecný koncept specifikovaný v ISO/IEC 27001 a je strukturována, aby dostatečně podporovala implementaci informační bezpečnosti založené na přístupu řízení rizik. Nicméně tato mezinárodní norma nenabízí konkrétní metodiku pro řízení rizik bezpečnosti informací [22]. ČSN ISO/IEC 27006 – Informační technologie – Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací Tato norma specifikuje požadavky a poskytuje doporučení pro orgány provádějící audit a certifikaci systému řízení bezpečnosti informací (ISMS) a doplňuje tak požadavky obsažené v ČSN ISO/IEC 17021 a ISO/IEC 27001. Norma je primárně určená k podpoře procesu akreditace certifikačních orgánů poskytujících certifikace ISMS [23]. ČSN ISO/IEC 27007 – Informační technologie – Bezpečnostní techniky – Směrnice pro audit systémů řízení bezpečnosti informací Norma poskytuje doporučení pro řízení auditů systému řízení bezpečnosti informací (ISMS) a provádění interních nebo externích auditů v souladu s ISO/IEC 27001:2005. Zároveň dává návrhy na odbornou způsobilost a kvalifikaci auditorů ISMS a rozšiřuje doporučení obsažená v ISO 19011. Norma ČSN ISO/IEC 27007 neuvádí požadavky, ale doporučení pro všechny uživatele, včetně malých a středních organizací [24]. ČSN EN ISO 27799 – Zdravotnická informatika – Systémy řízení bezpečnosti informací ve zdravotnictví využívající ISO/IEC 27002 Tato mezinárodní norma definuje obecné zásady pro podporu interpretace a implementace zdravotnické informatiky ISO/IEC 27002 a je doprovodem této normy). Tato norma specifikuje soubor podrobných kontrol pro řízení bezpečnosti zdravotnických informací a poskytuje směrnice pro prověřené postupy v oblasti bezpečnosti zdravotnických informací [25]. 88
B.2. Výběr norem související s ISMS mimo řadu ISO 27000
B.2
Výběr norem související s ISMS mimo řadu ISO 27000
ČSN EN ISO 9001 – Systémy managementu kvality – Požadavky Aktuální vydání pochází z roku 2009, norma 27001:2006 se odkazuje na vydání z roku 2000. V této normě jsou specifikovány požadavky na systém managementu kvality v případech, kdy organizace potřebuje prokázat svoji schopnost trvale poskytovat produkt, který splňuje požadavky zákazníka a příslušné požadavky předpisů a kdy má v úmyslu zvyšovat spokojenost zákazníka, a to efektivní aplikací systému, včetně procesů pro jeho neustálé zlepšování [26]. ČSN EN ISO 14001 Systémy enviromentálního managementu – Požadavky s návodem pro použití Norma specifikuje požadavky na systém environmentálního managementu tak, aby organizaci umožnila vytvořit a zavést politiku a stanovit cíle, které zahrnou požadavky právních předpisů a jiné požadavky, které se na organizaci vztahují a informace o významných environmentálních aspektech. Týká se těch environmentálních aspektů, které organizace identifikovala a které může řídit a těch, na které může mít vliv. Norma sama o sobě nestanovuje specifická kritéria environmentálního profilu [27]. ČSN 36 9790 – Systém managementu bezpečnosti informací – Směrnice pro management rizik bezpečnosti informací Norma podává návod, jak splnit požadavky definované v normě ČSN ISO/IEC 27001:2006, které se týkají všech aspektů cyklu managementu rizik v ISMS. Tento cyklus zahrnuje posouzení a hodnocení rizik, implementaci opatření pro nakládání s riziky, monitorování a přezkoumání rizik, udržování a zlepšování systému opatření pro zvládání rizik. Tato norma se zaměřuje na efektivní bezpečnost informací pomocí trvalého programu managementu rizik. Toto zaměření je úkolem bezpečnosti informací v kontextu rizik byznysu organizace. Návod podaný v této publikaci je určený pro aplikaci ve všech organizacích bez ohledu na jejich typ, velikost a obor podnikání. Je určen pro ty manažery a jejich zaměstnance, kteří jsou zapojeni do činností managementu rizik v rámci ISMS [28].
89
Příloha
PDCA cyklus použitý v ISMS
Obrázek C.1: PDCA cyklus [1]
91
C
Příloha
Proces řízení rizik
93
D
D. Proces řízení rizik
Obrázek D.1: Znázornění procesu řízení rizik bezpečnosti informací [11]
94
Příloha
Havarijní plán a plán kontinuity E.1
Havarijní plán
Účel Účelem směrnice je zajistit postupy popisující chování managementu a pracovníků firmy při vzniku havarijních situací a zajistit odpovídajícím způsobem kontinuitu poskytování služeb a jejich plnou obnovu do 7 dnů.
Rozsah platnosti Postup se vztahuje na celou firmu.
Havárie Havárie je mimořádně závažné zhoršení nebo mimořádně závažné ohrožení poskytování služeb způsobené vnějšími vlivy. Ve firmě jsou identifikovány tyto havarijní situace: • požár • ohrožení bezpečnosti objektu • přerušení dodávky elektrické energie • porucha serverů • poškození vodou
Havarijní plány Pro případ požáru Postupuje se podle Požární poplachové směrnice a Evakuačního plánu (vydáno vlastníkem budovy) s grafickým znázorněním evakuačních cest. Dále se postupuje podle plánu kontinuity. 95
E
E. Havarijní plán a plán kontinuity Pro případ ohrožení bezpečnosti objektu Budova má stálou službu ve vrátnici s napojením na policii. Dojezdový čas do 10 minut. V případě vzniku škod se postupuje podle plánu kontinuity. Pro případ přerušení dodávky elektrické energie Krátkodobý výpadek je vykryt pomocí UPS (do 10 minut). Dlouhodobý výpadek: UPS umožní korektní ukončení práce. Manažer incidentů a problémů zjistí u dodavatele (ČEZ) předpokládanou dobu trvání výpadku. Pokud výpadek je plánován do 48 hodin, nepodnikají se žádná opatření. Pro výpadek nad 48 hodin se postupuje přiměřeně podle plánu kontinuity pro případ úplného poškození objektu. Pro případ poruchy serveru Dále se postupuje podle plánu kontinuity. Pro případ poškození vodou Poškození vodou je vzhledem k umístění serverů velmi nepravděpodobné. Pokud by k němu přesto došlo, postupuje se podle plánu kontinuity.
E.2
Plán kontinuity
Odpovídá: Manažer incidentů a problémů 1. Bez úplného poškození objektu a) V případě poruchy serverů dojde k jejich opravě do 4 hodin, zajišťuje servisní organizace. b) Do 8 hodin od vzniku události jsou servery zprovozněny vč. software a dat ze záloh. 2. S úplným poškozením objektu a) S ohledem na charakter služeb, které nejsou nepřetržité, dojde i. K informování klientů prostřednictvím telefonů tak, že projektoví manažeři informují své zákazníky. ii. Management firmy začne řešit zprovoznění náhradního pracoviště v jiných (dočasných) prostorech. Předpokládaná obnova činnosti je do 7 dnů od vzniku nežádoucí události. Při obnově systému se využívají záložní data.
96
Příloha
Prohlášení o aplikovatelnosti Tabulka F.1: Prohlášení o aplikovatelnosti Článek normy
Opatření Aplikace A.5 Bezpečnostní politika A.5.1 Bezpečnostní politika A.5.1.1 Dokument Dokument bezpečnostní politiky politika ISMS bezpečnostní poli- informací musí být schválen vetiky informací dením organizace, publikován a dán na vědomí všem zaměstnancům a relevantním externím stranám. A.5.1.2 Přezkou- Pro zajištění její neustálé použi- příručka ISMS mání bezpeč- telnosti, přiměřenosti a účinnosti nostní politiky musí být bezpečnostní politika informací informací přezkoumávána v plánovaných intervalech a vždy když nastane významná změna. A.6 Organizace bezpečnosti informací A.6.1 Interní organizace A.6.1.1 Závazek Vedení organizace musí stanovit příručka ISMS vedení směrem jasný směr a aktivně podporovat k bezpečnosti bezpečnost v rámci organizace. informací Mělo by demonstrovat svůj závazek a jednoznačně přiřadit a vymezit role v oblasti bezpečnosti informací.
97
F
F. Prohlášení o aplikovatelnosti Článek normy A.6.1.2 Koordinace bezpečnosti informací
Opatření Činnosti v oblasti bezpečnosti informací musí být koordinovány prostřednictvím zástupců různých útvarů z celé organizace s odpovídajícími rolemi a pracovním zařazením.
A.6.1.3 Přidělení odpovědností v oblasti bezpečnosti informací
Musí být jasně definovány odpovědnosti v oblasti bezpečnosti informací.
A.6.1.4 Schvalovací proces prostředků pro zpracování informací A.6.1.5 Dohody o ochraně důvěrných informací
Musí být stanoven a zaveden postup schvalování (vedoucími zaměstnanci) nových prostředků pro zpracování informací.
A.6.1.6 Kontakt s orgány veřejné správy A.6.1.7 Kontakt se zájmovými skupinami
98
Aplikace Fórum pro bezpečnost informací je vedení společnosti. (CEO, COO, Head of development, Chief solutions architect, Managing consultant) Odpovědnosti v oblasti bezpečnosti informací jsou zahrnuty v odpovědnostech vedení společnosti (není jmenován bezpečnostní ředitel) Příručka kvality – kapitola 7.4.2 – Informace pro nákup
Musí být vytvořeny a v pravidelných intervalech přezkoumávány dohody obsahující požadavky na ochranu důvěrnosti nebo povinnost zachovávat mlčenlivost, reflektující potřeby organizace na ochranu informací. Musí být udržovány přiměřené vztahy s orgány veřejné správy.
Mlčenlivost je podepisována při nástupu v rámci pracovní smlouvy.
Musí být udržovány přiměřené vztahy se zájmovými skupinami nebo speciálními fóry na bezpečnost a profesními sdruženími.
Zapojení do akcí cybersecurity.cz
příručka kvality
Článek normy A.6.1.8 Nezávislá přezkoumání bezpečnosti informací
A.6.2.1 Identifikace rizik plynoucích z přístupu externích subjektů
A.6.2.2 Bezpečnostní požadavky pro přístup klientů A.6.2.3 Bezpečnostní požadavky v dohodách se třetí stranou
A.7.1.1 aktiv
Evidence
Opatření Přístup organizace k řízení a implementaci bezpečnosti informací (tj. cíle opatření, jednotlivá opatření, politiky, směrnice a postupy) musí být v plánovaných intervalech (anebo v případě jakékoliv významné změny ve vztahu k implementaci bezpečnosti) nezávisle přezkoumávány. A.6.2 Externí subjekty Předtím, než je externím subjektům povolen přístup k informacím organizace a prostředkům pro zpracování informací, musí být identifikována rizika a implementována vhodná opatření na jejich pokrytí. Předtím, než je klientům umožněn přístup k informacím nebo aktivům organizace, musí být identifikované všechny požadavky na bezpečnost. Dohody uzavřené s třetími stranami zahrnující přístup, zpracování, sdělování nebo správu informací organizace nebo prostředků pro zpracování informací, případně dodávku produktů nebo služeb k zařízení pro zpracování informací, musí pokrývat veškeré relevantní bezpečnostní požadavky. A.7 Řízení aktiv A.7.1 Odpovědnost za aktiva Musí být jasně identifikována všechna aktiva organizace, všechna důležitá aktiva musí být evidována a jejich seznam udržován aktuální.
Aplikace příručka kvality
příručka ISMS
příručka ISMS
příručka kvality kapitola 7.4
Evidence součástí rizik
aktiv je analýzy
99
F. Prohlášení o aplikovatelnosti Článek normy A.7.1.2 Vlastnictví aktiv
Opatření Aplikace Veškeré informace a aktiva sou- Vlastník aktiva je urvisející s prostředky pro zpraco- čen v analýze rizik vání informací musí mít určeného vlastníka. Pojmem „vlastník“ je myšlen jedinec nebo entita, který má vedením organizace přidělenou odpovědnost za výrobu, vývoj, údržbu, použití a bezpečnost aktiv. Pojmem „vlastník“ není myšleno skutečné vlastnictví aktiva v právním pojetí. A.7.1.3 Přípustné Musí být určena, dokumentována Je součástí analýzy použití aktiv a do praxe zavedena pravidla pro rizik přípustné použití informací a aktiv souvisejících s prostředky pro zpracování informací. A.7.2 Klasifikace informací A.7.2.1 Doporu- Informace musí být klasifikovány Je popsáno v manučení pro klasifikaci a to s ohledem na jejich hodnotu, álech (ISMS manuál, právní požadavky, citlivost a kri- uživatelský manuál) tičnost. A.7.2.2 Označo- Pro označování informací a za- Je popsáno v manuvání a nakládání cházení s nimi musí být vytvo- álech (ISMS manuál, s informacemi řeny a do praxe zavedeny po- uživatelský manuál) stupy, které jsou v souladu s klasifikačním schématem přijatým organizací. A.8 Bezpečnost lidských zdrojů A.8.1 Před vznikem pracovního vztahu A.8.1.1 Role a od- Role a odpovědnosti zaměst- příručka ISMS povědnosti nanců, smluvních a třetích stran v oblasti bezpečnosti informací musí být definovány a dokumentovány v souladu s bezpečnostní politikou organizace.
100
Článek normy A.8.1.2 Prověřování
A.8.1.3 Podmínky výkonu pracovní činnosti
A.8.2.1 Odpovědnosti vedoucích zaměstnanců
A.8.2.2 Informovanost, vzdělávání a školení v oblasti bezpečnosti informací
Opatření Aplikace Všichni uchazeči o zaměstnání, příručka ISMS smluvní a třetí strany musí být prověřeni podle platných zákonů, předpisů a v souladu s etikou. Prověření musí být prováděna na základě požadavků stanovených organizací, dále s ohledem na klasifikaci informací, ke kterým by měli získat přístup, ale také z hlediska jejich spolehlivosti a potenciálních rizik. Pracovní smlouvy uzavřené se příručka ISMS zaměstnanci, smluvními a třetími stranami musí obsahovat ustanovení o jejich odpovědnostech za bezpečnost informací. Pracovním vztahem je myšleno: zaměstnání osob (pracovní poměr na dobu určitou nebo neurčitou), přidělení pracovní role, změna pracovní role, dohoda o pracovní činnosti, dohoda o provedení práce a nebo ukončení jakékoli z těchto vazeb. A.8.2 Během pracovního vztahu Vedoucí zaměstnanci musí po příručka ISMS uživatelích, smluvních a třetích stranách požadovat dodržování bezpečnosti v souladu se zavedenými politikami a postupy. Všichni zaměstnanci organizace, příručka ISMS a je-li to důležité, i pracovníci smluvních a třetích stran musí, s ohledem na svou pracovní náplň absolvovat odpovídající a pravidelně se opakující školení v oblasti bezpečnosti informací, bezpečnostní politiky a směrnic organizace.
101
F. Prohlášení o aplikovatelnosti Článek normy A.8.2.3 Disciplinární řízení
Opatření Aplikace Musí existovat formalizované dis- řeší škodní komise ciplinární řízení vůči zaměstnancům, kteří se dopustili narušení bezpečnosti. A.8.3 Ukončení nebo změna pracovního vztahu A.8.3.1 Odpověd- Musí být jasně určeny a při- výstupní list nosti při ukon- děleny odpovědnosti pro případ čení pracovního ukončení nebo změny pracovního vztahu vztahu. A.8.3.2 Navrácení Při ukončení pracovního vztahu, výstupní list zapůjčených pro- smluvního vztahu nebo dohody středků musí zaměstnanci, pracovníci smluvních a třetích stran odevzdat veškeré jim svěřené prostředky, které jsou majetkem organizace. A.8.3.3 Odebrání Při ukončení pracovního vztahu, výstupní list přístupových práv smluvního vztahu nebo dohody musí být uživatelům, smluvním a třetím stranám odejmuta nebo pozměněna přístupová práva k informacím a prostředkům pro zpracování informací. A.9 Fyzická bezpečnost a bezpečnost prostředí A.9.1 Zabezpečené oblasti A.9.1.1 Fyzický Při ochraně prostor, ve kte- manuál uživatele bezpečnostní rých se nachází informace nebo perimetr prostředky pro zpracování informací, musí být používány bezpečnostní perimetry (bariéry jako například zdi, vstupní turniket na karty nebo recepce). A.9.1.2 Fyzické Aby bylo zajištěno, že je pří- manuál uživatele kontroly vstupu stup do zabezpečených oblastí osob povolen pouze oprávněným osobám, musí být tyto oblasti chráněny vhodným systémem vstupních kontrol.
102
Článek normy A.9.1.3 Zabezpečení kanceláří, místností a prostředků A.9.1.4 Ochrana před hrozbami vnějšku a prostředí
A.9.1.5 Práce v zabezpečených oblastech A.9.1.6 Veřejný přístup, prostory pro nakládku a vykládku
A.9.2.1 Umístění zařízení a jeho ochrana
A.9.2.2 Podpůrná zařízení
Opatření Musí být navrženo a aplikováno fyzické zabezpečení kanceláří, místností a prostředků.
Aplikace manuál uživatele
Na ochranu proti škodám způsobeným požárem, povodní, zemětřesením, výbuchem, civilními nepokoji a jinými přírodními nebo lidmi zapříčiněnými katastrofami, musí být navrženy a aplikovány prvky fyzické ochrany. Pro práci v zabezpečených oblastech musí být navrženy a aplikovány prvky fyzické ochrany. Prostory pro nakládku a vykládku a další místa, kudy se mohou neoprávněné osoby dostat do prostor organizace, musí být kontrolovány a pokud možno by měly být izolovány od prostředků pro zpracování informací tak, aby se zabránilo neoprávněnému přístupu k nim. A.9.2 Bezpečnost zařízení Zařízení musí být umístěna a chráněna tak, aby se snížila rizika hrozeb a nebezpečí daná prostředím a aby se omezily příležitosti pro neoprávněný přístup. Zařízení musí být chráněno před selháním napájení a před dalšími výpadky způsobenými selháním podpůrných služeb.
manuál uživatele
vstupní karty
vstupní karty
všechna zařízení uvnitř fyzického perimetru
záložní zdroje budovy
103
F. Prohlášení o aplikovatelnosti Článek normy A.9.2.3 Bezpečnost kabelových rozvodů
Opatření Silové a telekomunikační kabelové rozvody, které jsou určeny pro přenos dat nebo podporu informačních služeb, musí být chráněny před odposlechem či poškozením.
A.9.2.4 zařízení
Zařízení musí být správně udržováno pro zajištění jeho stálé dostupnosti a integrity. Zařízení používané mimo prostory organizace musí být zabezpečeno s přihlédnutím k různým rizikům, která vyplývají z jeho použití mimo organizaci. Všechna zařízení obsahující paměťová média musí být kontrolována tak, aby bylo možné zajistit, že před jejich likvidací nebo opakovaným použitím budou citlivá data a licencované programové vybavení odstraněny nebo bezpečně přepsány. Zařízení, informace nebo programové vybavení nesmějí být bez předchozího schválení přemisťovány.
Údržba
A.9.2.5 Bezpečnost zařízení mimo prostory organizace A.9.2.6 Bezpečná likvidace nebo opakované použití zařízení
A.9.2.7 Přemístění majetku
Aplikace Vzhledem k aplikovanému bezpečnostnímu perimetru jsou rozvody kabelů považovány za bezpečné, kabelové rozvody nejsou ve vlastnictví společnosti, bezpečnost dat přes veřejné sítě je zajišťována šifrováním, bezdrátové sítě zabezpečeny aplikací šifrováním a řízením přístupů outsourcing AlenkaServices manuál uživatele
ALA_Information and Asset Disposal Procedure
AlenkaSoftware využívá zejména mobilní zařízení. Pro přemístění velké techniky (server) je vždy stanoven plán a ten je schválen vedením společnosti. A.10 Řízení komunikací a řízení provozu A.10.1 Provozní postupy a odpovědnosti
104
Článek normy A.10.1.1 Dokumentace provozních postupů A.10.1.2 změn
Řízení
A.10.1.3 Oddělení povinností
A.10.1.4 Oddělení vývoje, testování a provozu
Opatření Provozní postupy musí být zdokumentovány a udržovány a musí být dostupné všem uživatelům podle potřeby. Změny systémů a prostředků pro zpracování informací musí být řízeny. Pro snížení příležitostí k neoprávněné modifikaci nebo zneužití aktiv organizace musí být zajištěno oddělení jednotlivých povinností a odpovědností. Pro snížení rizika neoprávněného přístupu k provoznímu systému a nebo jeho změn musí být zajištěno oddělení prostředků vývoje, testování a provozu.
Aplikace příručka ISMS
manuál uživatele
příručka ISMS
Vývoj, testování a provoz prostředků se provádí každé na oddělených (alokovaných) fyzických prostředcích A.10.2 Řízení dodávek služeb třetích stran A.10.2.1 Dodávky Musí být zajištěno, aby bezpeč- Nastavování SLA, služeb nostní opatření, definice a úroveň kontrola SLA, Příposkytovaných služeb byly třetí ručka kvality stranou implementovány, provozovány a udržovány ve shodě s uzavřenými dohodami. A.10.2.2 Monito- Služby, zprávy a záznamy po- řízení dodavatelů rování a přezkou- skytované třetí stranou musí být mávání služeb tře- pravidelně monitorovány a přetích stran zkoumávány, audity musí být opakovány v pravidelných intervalech. A.10.2.3 Řízení Změny v poskytování služeb, příručka ISMS změn služeb včetně udržování a zlepšování poskytovaných existujících bezpečnostních potřetími stranami litik, postupů a bezpečnostních opatření musí být řízeny s ohledem na kritičnost systémů a procesů organizace, které jsou součástí opakovaného hodnocení rizik. A.10.3 Plánování a přejímání systémů
105
F. Prohlášení o aplikovatelnosti Článek normy A.10.3.1 Řízení kapacit
Opatření Aplikace Pro zajištění požadovaného příručka ISMS výkonu systému, s ohledem na budoucí kapacitní požadavky, musí být monitorováno, nastaveno a předvídáno využití zdrojů. A.10.3.2 Přejí- Musí být určena kritéria pro pře- příručka ISMS mání systémů jímání nových informačních systémů, jejich aktualizaci a zavádění nových verzí a vhodný způsob testování systému v průběhu vývoje a před zavedením do ostrého provozu. A.10.4 Ochrana proti škodlivým programům a mobilním kódům A.10.4.1 Opatření Na ochranu proti škodlivým pro- ESET antivirový na ochranu proti gramům a nepovoleným mobil- software, pravidelné škodlivým progra- ním kódům musí být implemen- školení pracovníků, mům tována opatření na jejich detekci, manuál uživatele prevenci a obnovu a zvyšováno odpovídající bezpečnostní povědomí uživatelů. A.10.4.2 Opatření Použití povolených mobilních ESET antivirový na ochranu proti kódů musí být nastaveno v sou- software, pravidelné mobilním kódům ladu s bezpečnostní politikou, školení pracovníků, musí být zabráněno spuštění manuál uživatele nepovolených mobilních kódů. A.10.5 Zálohování A.10.5.1 Záloho- Záložní kopie informací a pro- manuál uživatele vání informací gramového vybavení organizace musí být pořizovány a testovány v pravidelných intervalech. A.10.6 Správa bezpečnosti sítě A.10.6.1 Síťová Pro zajištění ochrany před mož- outsourcing Alenkaopatření nými hrozbami, pro zaručení bez- Services pečnosti systémů a aplikací využívajících sítí a pro zajištění bezpečnosti informací při přenosu musí být počítačové sítě vhodným způsobem spravovány a kontrolovány.
106
Článek normy A.10.6.2 Bezpečnost síťových služeb
Opatření Musí být identifikovány a do dohod o poskytování síťových služeb zahrnuty bezpečnostní prvky, úroveň poskytovaných služeb a požadavky na správu všech síťových služeb a to jak v případech, kdy jsou tyto služby zajišťovány interně, tak i v případech, kdy jsou zajišťovány cestou outsourcingu. A.10.7 Bezpečnost při zacházení s A.10.7.1 Správa Musí být vytvořeny postupy pro výměnných počí- správu výměnných počítačových tačových médií médií. A.10.7.2 Likvi- Jestliže jsou média dále provozně dace médií neupotřebitelná, musí být bezpečně a spolehlivě zlikvidována v souladu se schválenými postupy. A.10.7.3 Postupy Pro zabránění neautorizovanému pro manipulaci přístupu nebo zneužití informací s informacemi musí být stanoveny postupy pro manipulaci s nimi a pro jejich ukládání. A.10.7.4 Bezpeč- Systémová dokumentace musí nost systémové být chráněna proti neoprávnědokumentace nému přístupu.
A.10.8.1 Postupy a politiky při výměně informací
A.10.8.2 Dohody o výměně informací a programů
A.10.8 Výměna informací Musí být ustaveny a do praxe zavedeny formální politiky, postupy a opatření na ochranu informací při jejich výměně pro všechny typy komunikačních zařízení. Výměna informací a programového vybavení musí být založena na dohodách uzavřených mezi organizací a externími subjekty.
Aplikace outsourcing AlenkaServices
médii manuál uživatele
manuál uživatele
manuál uživatele
Systémová dokumentace je uložena na síťových discích s řízeným přístupem. zásadní výměna informací probíhá definovaným kanálem (sdílené disky, cloudová úložiště) zásadní výměna informací probíhá definovaným kanálem (sdílené disky, cloudová úložiště)
107
F. Prohlášení o aplikovatelnosti Článek normy A.10.8.3 Bezpečnost médií při přepravě
A.10.8.4 tronické zpráv
Elekzasílání
A.10.8.5 Informační systémy organizace
Opatření Média obsahující informace musí být během přepravy mimo organizaci chráněna proti neoprávněnému přístupu, zneužití nebo narušení. Elektronicky přenášené informace musí být vhodným způsobem chráněny.
Aplikace manuál uživatele
šifrování ukládaných citlivých informací a zálohovaných médií; e-mail šifrován v případě požadavku zákazníka příručka ISMS
Na ochranu informací v propojených podnikových informačních systémech musí být vytvořeny a do praxe zavedeny politiky a postupy. A.10.9 Služby elektronického obchodu A.10.9.1 Elektro- Informace přenášené ve veřej- AlenkaSoftware nický obchod ných sítích v rámci elektro- neprovozuje eleknického obchodování musí být tronický obchod. chráněny před podvodnými ak- V případě nákupu tivitami, před zpochybňováním přes e-shop je zasmluv, neoprávněným vyzraze- vedena politika ním či modifikací. přístupu. A.10.9.2 On-line Musí být zajištěna ochrana in- Outsourcing – Alentransakce formací přenášených při on-line kaServices; každý transakcích tak, aby byl zajištěn má svoji platební úplný přenos informací a zame- kartu, za ni pozilo se chybnému směrování, neo- depsána hmotná právněné změně zpráv, neopráv- zodpovědnost; poněnému vyzrazení, neoprávněné psáno v manuálu duplikaci nebo opakování zpráv. uživatele A.10.9.3 Veřejně Informace publikované na ve- veřejně přístupné přístupné infor- řejně přístupných systémech pouze www stránky mace musí být chráněny proti neoprávněné modifikaci. A.10.10 Monitorování
108
Článek normy A.10.10.1 Pořizování auditních záznamů
Opatření Auditní záznamy, obsahující chybová hlášení a jiné bezpečnostně významné události, musí být pořizovány a uchovány po stanovené období tak, aby se daly použít pro budoucí vyšetřování a pro účely monitorování řízení přístupu.
A.10.10.2 Monitorování používání systému
Musí být stanovena pravidla pro monitorování použití prostředků pro zpracování informací; výsledky těchto monitorování musí být pravidelně přezkoumávány.
A.10.10.3 Ochrana vytvořených záznamů
Prostředky pro zaznamenávání informací a vytvořené záznamy musí být vhodným způsobem chráněny proti zfalšování a neoprávněnému přístupu.
A.10.10.4 Administrátorský a operátorský deník A.10.10.5 Záznam selhání
Aktivity správce systému a systémového operátora musí být zaznamenávány. Musí být zaznamenány a analyzovány chyby a přijata příslušná opatření.
Aplikace Záznamy, obsahující chybová hlášení a jiné bezpečnostně významné události, jsou pořizovány a uchovány po stanovené období tak, aby se daly použít pro budoucí vyšetřování a pro účely monitorování řízení přístupu. Jsou stanovena pravidla pro monitorování použitých prostředků pro zpracování informací. Výsledky monitorování jsou přezkoumávány. Prostředky pro zaznamenávání informací a vytvořené záznamy jsou vhodným způsobem chráněny proti zfalšování a neoprávněnému přístupu. Aktivity správce systému a systémového operátora jsou zaznamenávány. Jsou zaznamenány a analyzovány chyby a přijata příslušná opatření.
109
F. Prohlášení o aplikovatelnosti Článek normy A.10.10.6 Synchronizace hodin
Opatření Hodiny všech důležitých systémů pro zpracování informací musí být v rámci organizace nebo bezpečnostní domény synchronizovány se schváleným zdrojem přesného času.
Aplikace Hodiny všech důležitých systémů pro zpracování informací jsou v rámci organizace nebo bezpečnostní domény synchronizovány se schváleným zdrojem přesného času.
A.11 Řízení přístupu A.11.1 Požadavky na řízení přístupu A.11.1.1 Politika Musí být vytvořena, zdokumen- příručka ISMS, řízení přístupu tována a v závislosti na aktu- přiděluje Alenkaálních bezpečnostních požadav- Services na základě cích přezkoumávána politika ří- požadavku oprávěné zení přístupu. osoby A.11.2 Řízení přístupu uživatelů A.11.2.1 Regis- Musí existovat postup pro for- příručka ISMS, trace uživatele mální registraci uživatele včetně přiděluje Alenkajejího zrušení, který zajistí au- Services na základě torizovaný přístup ke všem více- požadavku oprávěné uživatelským informačním systé- osoby mům a službám. A.11.2.2 Řízení Přidělování a používání privilegií příručka ISMS, privilegovaného musí být omezeno a řízeno. přiděluje Alenkapřístupu Services na základě požadavku oprávěné osoby A.11.2.3 Správa Přidělování hesel musí být řízeno příručka ISMS, uživatelských formálním procesem. přiděluje Alenkahesel Services na základě požadavku oprávěné osoby A.11.2.4 Pře- Vedení organizace musí v pravi- Je monitorováno zkoumání pří- delných intervalech provádět pře- pouze v oblasti stupových práv zkoumání přístupových práv uži- odebírání práv při uživatelů vatelů. výstupu zaměstnance A.11.3 Odpovědnosti uživatelů
110
Článek normy A.11.3.1 Používání hesel
A.11.3.2 Neobsluhovaná uživatelská zařízení A.11.3.2 (sic) Zásada prázdného stolu a prázdné obrazovky monitoru
A.11.4.1 Politika užívání síťových služeb
A.11.4.2 Autentizace uživatele pro externí připojení A.11.4.3 Identifikace zařízení v sítích A.11.4.4 Ochrana portů pro vzdálenou diagnostiku a konfiguraci A.11.4.5 Princip oddělení v sítích A.11.4.6 Řízení síťových spojení
Opatření Při výběru a používání hesel musí být po uživatelích požadováno, aby dodržovali stanovené bezpečnostní postupy. Uživatelé musí zajistit přiměřenou ochranu neobsluhovaných zařízení. Musí být přijata zásada prázdného stolu ve vztahu k dokumentům a výměnným médiím a zásada prázdné obrazovky monitoru u prostředků pro zpracování informací. A.11.4 Řízení přístupu k síti Uživatelé musí mít přístup pouze k těm síťovým službám, pro jejichž použití byli zvlášť oprávněni. Přístup vzdálených uživatelů musí být odpovídajícím způsobem autentizován. Pro autentizaci připojení z vybraných lokalit a zařízení musí být zváženo použití automatické identifikace zařízení. Fyzický i logický přístup k diagnostickým a konfiguračním portům musí být řízen. Skupiny informačních služeb, uživatelů a informačních systémů musí být v sítích odděleny. U sdílených sítí, zejména těch, které přesahují hranice organizace, musí být omezeny možnosti připojení uživatelů. Omezení musí být v souladu s politikou řízení přístupu a s požadavky aplikací (viz 11.1).
Aplikace manuál uživatele
manuál uživatele
manuál uživatele
příručka ISMS, přiděluje AlenkaServices na základě požadavku oprávěné osoby příručka ISMS
příručka ISMS
příručka ISMS
Topologie sítě
příručka ISMS
111
F. Prohlášení o aplikovatelnosti Článek normy A.11.4.7 Řízení směrování sítě
A.11.5 A.11.5.1 Bezpečné postupy přihlášení A.11.5.2 Identifikace a autentizace uživatelů
A.11.5.3 Systém správy hesel A.11.5.4 Použití systémových nástrojů
A.11.5.5 Časové omezení relace A.11.5.6 Časové omezení spojení
Opatření Pro zajištění toho, aby počítačová spojení a informační toky nenarušovaly politiku řízení přístupu aplikací organizace, musí být zavedeno řízení směrování sítě. Řízení přístupu k operačnímu Přístup k operačnímu systému musí být řízen postupy bezpečného přihlášení. Všichni uživatelé musí mít pro výhradní osobní použití jedinečný identifikátor (uživatelské ID), musí být také zvolen vhodný způsob autentizace k ověření jejich identity. Systém správy hesel musí být interaktivní a musí zajišťovat použití kvalitních hesel. Použití systémových nástrojů, které jsou schopné překonat systémové nebo aplikační kontroly, musí být omezeno a přísně kontrolováno.
Neaktivní relace se musí po stanovené době nečinnosti ukončit.
Aplikace příručka ISMS
systému manuál uživatele
identifikace pomocí username a heslem
manuál uživatele
Použití systémových nástrojů, které jsou schopné překonat systémové nebo aplikační kontroly, je omezeno a přísně kontrolováno. Neaktivní relace jsou dle svého charakteru ukončovány. Nevyskytují se rizikové aplikace
U vysoce rizikových aplikací musí být pro zajištění dodatečné bezpečnosti použito omezení doby spojení. A.11.6 Řízení přístupu k aplikacím a informacím A.11.6.1 Omezení Uživatelé aplikačních systémů, přidělování přístupu přístupu k infor- včetně pracovníků podpory, musí podle požadavků macím mít přístup k informacím a funk- oprávněných pracovcím aplikačních systémů omezen níků v souladu se definovanou politikou řízení přístupu.
112
Článek normy A.11.6.2 Oddělení citlivých systémů
Opatření Aplikace Citlivé aplikační systémy musí příručka ISMS mít oddělené (izolované) počítačové prostředí. A.11.7 Mobilní výpočetní zařízení a práce na dálku A.11.7.1 Mobilní Musí být ustavena formální pra- manuál uživatele výpočetní zařízení vidla a přijata bezpečnostní a sdělovací tech- opatření na ochranu proti rinika zikům používání mobilních výpočetních a komunikačních zařízení. A.11.7.2 Práce na Organizace musí vytvořit a do manuál uživatele dálku praxe zavést zásady, operativní plány a postupy pro práci na dálku. A.12 Akvizice, vývoj a údržba informačních systémů A.12.1 Bezpečnostní požadavky informačních systémů A.12.1.1 Analýza Požadavky organizace na nové v rámci výběru IS a specifikace bez- informační systémy nebo na roz- jsou brány v popečnostních poža- šíření existujících systémů musí taz bezpečnostní davků obsahovat také požadavky na opatření. bezpečnostní opatření. A.12.2 Správné zpracování v aplikacích A.12.2.1 Validace Vstupní data aplikací musí být příručka kvality vstupních dat kontrolována z hlediska správnosti a adekvátnosti. A.12.2.2 Kontrola Pro detekci jakéhokoliv poško- Používány pouze sysvnitřního zpraco- zení informací vzniklého chybami témy s validátory vání při zpracování nebo úmyslnými zásahy musí být začleněny kontroly validace dat do aplikace. A.12.2.3 Integrita U jednotlivých aplikací musí být v případě potřeby zpráv stanoveny požadavky na zajiš- je zavedeno (datová tění autentizace a integrity zpráv schránka) a podle potřeby identifikována a zavedena vhodná opatření. A.12.2.4 Validace Pro zajištění toho, že zpracování příručka kvality výstupních dat uložených informací je bezchybné a odpovídající dané situaci, musí být provedeno ověření platnosti výstupních dat z aplikace. A.12.3 Kryptografická opatření
113
F. Prohlášení o aplikovatelnosti Článek normy A.12.3.1 Politika pro použití kryptografických opatření A.12.3.2 Správa klíčů
Opatření Aplikace Musí být vytvořena a zavedena manuál uživatele politika pro používání kryptografických opatření na ochranu informací. Na podporu používání krypto- není využíváno grafických technik v organizaci musí existovat systém správy klíčů. A.12.4 Bezpečnost systémových souborů A.12.4.1 Správa Musí být zavedeny postupy pro V případě stanprovozního pro- kontrolu instalace programového dardního progragramového vyba- vybavení na provozních systé- mového vybavení vení mech. řeší AlenkaServices. V případě speciálních programů pro AlenkaSoftware platí následující postup: Rozhodnutí o implementaci nového programového vybavení je provedeno na poradě vedení, následně je nové programové vybavení otestováno v testovacím prostředí a o výsledcích je informováno vedení společnosti, které rozhodne, zda bude nové programové vybavení uvedeno do “ostrého” provozu. Záznamy z jednostlivých kroků jsou vedeny v zápisech z porad. A.12.4.2 Ochrana Testovací data musí být pečlivě data poskytují zásystémových tes- vybrána, chráněna a kontrolo- kazníci podle svých tovacích údajů vána. požadavků
114
Článek normy A.12.4.3 Řízení přístupu ke knihovně zdrojových kódů A.12.5 A.12.5.1 Postupy řízení změn A.12.5.2 Technické přezkoumání aplikací po změnách operačního systému
Opatření Přístup ke knihovně zdrojových kódů musí být omezen.
Bezpečnost procesů vývoje a Musí být zavedeny formální postupy řízení změn. V případě změny operačního systému musí být přezkoumány a otestovány kritické aplikace, aby bylo zajištěno, že změny nemají nepříznivý dopad na provoz nebo bezpečnost organizace.
Aplikace viz přidělování přístupových práv
podpory příručka kvality částečně IT (testování běžně používaných kancelářských aplikací), [LŘD odd. IT]; částečně oddělení vývoje (testování vývojových a testovacích nástrojů), [Head of Development]
115
F. Prohlášení o aplikovatelnosti Článek normy A.12.5.3 Omezení změn programových balíků
Opatření Modifikace programových balíků musí být omezeny na nezbytné změny, veškeré prováděné změny musí být řízeny.
Aplikace V případě standardního programového vybavení řeší AlenkaServices. V případě speciálních programů pro AlenkaSoftware platí následující postup: Rozhodnutí o implementaci nového programového vybavení je provedeno na poradě vedení, následně je nové programové vybavení otestováno v testovacím prostředí a o výsledcích je informováno vedení společnosti, které rozhodne, zda bude nové programové vybavení uvedeno do “ostrého” provozu. Záznamy z jednostlivých kroků jsou vedeny v zápisech z porad. politika ISMS, manuál uživatele Je využíváno standardní programové vybavení.
A.12.5.4 Únik in- Musí být zabráněno příležitosformací tem k úniku informací. A.12.5.5 Progra- Organizace musí dohlížet a monimové vybavení torovat vývoj programového vyvyvíjené externím bavení externím dodavatelem. dodavatelem A.12.6 Řízení technických zranitelností
116
Článek normy A.12.6.1 Řízení, správa a kontrola technických zranitelností
Opatření Aplikace Musí být zajištěno včasné zís- plán kontinuity kání informací o existenci technických zranitelností v provozovaném informačním systému, vyhodnocena úroveň ohrožení organizace vůči těmto zranitelnostem a přijata příslušná opatření na pokrytí souvisejících rizik. A.13 Zvládání bezpečnostních incidentů A.13.1 Hlášení bezpečnostních událostí a slabin A.13.1.1 Hlášení Bezpečnostní události musí být YouTrack bezpečnostních co nejrychleji hlášeny příslušudálostí nými řídícími kanály. A.13.1.2 Hlášení Všichni zaměstnanci, smluvní YouTrack bezpečnostních strany a ostatní uživatelé inforslabin mačního systému a služeb musí být povinni zaznamenat a hlásit jakékoliv bezpečnostní slabiny nebo podezření na bezpečnostní slabiny v systémech nebo službách. A.13.2 Zvládání bezpečnostních incidentů a kroky k nápravě A.13.2.1 Odpo- Pro zajištění rychlé, účinné a sys- YouTrack vědnosti a po- tematické reakce na bezpečnostní stupy incidenty musí být zavedeny odpovědnosti a postupy pro zvládání bezpečnostních incidentů. A.13.2.2 Ponau- Musí existovat mechanizmy, YouTrack čení z bezpečnost- které by umožňovaly kvantiních incidentů fikovat a monitorovat typy, rozsah a náklady bezpečnostních incidentů. A.13.2.3 Hlášení V případech, kdy vyústění bez- YouTrack bezpečnostních pečnostního incidentu směřuje slabin k právnímu řízení (podle práva občanského nebo trestního) vůči osobě a nebo organizaci, musí být sbírány, uchovávány a soudu předkládány důkazy v souladu s pravidly příslušné jurisdikce, kde se bude případ projednávat. A.14 Řízení kontinuity činností organizace 117
F. Prohlášení o aplikovatelnosti Článek normy Opatření Aplikace A.14.1 Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací A.14.1.1 Zahrnutí V rámci organizace musí exis- plán kontinuity bezpečnosti infor- tovat řízený proces pro rozvoj mací do procesu a udržování kontinuity činností řízení kontinuity organizace. činností organizace A.14.1.2 Kontinu- Musí být identifikovány možné je součástí analýzy ita činností orga- příčiny přerušení činností organi- rizik nizace a hodno- zace, včetně jejich pravděpodobcení rizik nosti, velikosti dopadu a možných následků na bezpečnost informací. A.14.1.3 Vytvá- Pro udržení nebo obnovu pro- plán kontinuity ření a imple- vozních činností organizace po mentace plánů přerušení nebo selhání kritických kontinuity procesů a pro zajištění dostupnosti informací v požadovaném čase a na požadovanou úroveň musí být vytvořeny a implementovány plány. A.14.1.4 Systém Pro zajištění konzistence plánů plán kontinuity plánování kon- kontinuity činností a pro určení tinuity činností priorit testování a údržby musí organizace být k dispozici jednotný systém plánů kontinuity činností organizace. A.14.1.5 Testo- Plány kontinuity činností organi- plán kontinuity vání, udržování zace musí být pravidelně testoa přezkoumávání vány a aktualizovány, aby se zaplánů kontinuity jistila jejich aktuálnost a efektivnost. A.15 Soulad s požadavky A.15.1 Soulad s právními normami A.15.1.1 Identifi- Pro každý informační systém sledují externí právní kace odpovídají- musí být jednoznačně defino- poradci cích předpisů vány, dokumentovány a udržovány aktuální veškeré relevantní zákonné, regulatorní a smluvní požadavky a způsob, jakým je organizace dodržuje.
118
Článek normy A.15.1.2 Ochrana duševního vlastnictví
A.15.1.3 Ochrana záznamů organizace
A.15.1.4 Ochrana dat a soukromí osobních informací A.15.1.5 Prevence zneužití prostředků pro zpracování informací
Opatření Pro zajištění souladu se zákonnými, regulatorními a smluvními požadavky na použití materiálů a aplikačního programového vybavení, které mohou být chráněny zákony na ochranu duševního vlastnictví, musí být zavedeny vhodné postupy. Důležité záznamy organizace musí být chráněny proti ztrátě, zničení a padělání a to v souladu se zákonnými, podzákonnými a smluvními požadavky a požadavky organizace. Ochrana dat a soukromí musí být zajištěna v souladu s odpovídající legislativou, předpisy, a pokud je to relevantní, se smlouvami. Musí být zakázáno používat prostředky pro zpracování informací jiným než autorizovaným způsobem.
Aplikace konzultace s externím právním poradcem
příručka kvality
příručka kvality
Nastavení přístupových práv neumožňuje neautorizovaný přístup jak do aplikací tak ke koncovým zařízením. A.15.1.6 Regulace Kryptografická opatření musí Není relevantní pro kryptografických být používána v souladu s pří- AlenkaSoftware opatření slušnými úmluvami, zákony – legislativa ČR a předpisy. neprovádí žádnou relevantní regulaci kryptografických opatření. A.15.2 Soulad s bezpečnostními politikami, normami a technická shoda A.15.2.1 Shoda Vedoucí zaměstnanci musí za- příručka kvality s bezpečnost- jistit, aby všechny bezpečnostní ními politikami postupy v rozsahu jejich odpoa normami vědnosti byly prováděny správně, v souladu s bezpečnostními politikami a normami.
119
F. Prohlášení o aplikovatelnosti Článek normy A.15.2.2 Kontrola technické shody
Opatření Informační systémy musí být pravidelně kontrolovány, zda jsou v souladu s bezpečnostními politikami a standardy. A.15.3 Hlediska auditu informačních A.15.3.1 Opatření Požadavky auditu a činnosti zak auditu infor- hrnující kontrolu provozních sysmačních systémů témů musí být pečlivě naplánovány a schváleny, aby se minimalizovalo riziko narušení činností organizace. A.15.3.3 (sic) Přístup k nástrojům určeným Ochrana nástrojů pro audit informačních systémů pro audit infor- musí být chráněn, aby se předemačních systémů šlo jejich možnému zneužití nebo ohrožení.
120
Aplikace příručka kvality
systémů příručka kvality
outsourcing AlenkaServices
Příloha
Obsah přiloženého CD
readme.txt...................................stručný popis obsahu CD src ann ....................... Elektronické přílohy – obrázky a tabulky thesis ...................... zdrojová forma práce ve formátu LATEX text ....................................................... text práce thesis.pdf ............................. text práce ve formátu PDF 121
G