Studijní materiál k e‐learningovému kurzu Systém řízení bezpečnosti informací (ISMS)
01. 05. 2016
Obsah 00.
Co je to ISMS ............................................................................................................ 4
01.
Co představuje bezpečnost informací ................................................................... 5
01. Základní pojmy..................................................................................................................................5 01. Aktivum, hrozba, zranitelnost, riziko ...............................................................................................5 01. Bezpečnost aktiv ..............................................................................................................................6 01. Důvěrnost, dostupnost, integrita .....................................................................................................6 02. Autentizace, autorizace ..................................................................................................................6
02. 01.
03.
ISMS v PDCA cyklu .................................................................................................. 7 Schéma cyklu PDCA ........................................................................................................................7
Pravidla práce s informačním systémem .............................................................. 7
01. Hesla ..................................................................................................................................................8 01. Zásady správného používání hesla ................................................................................................8 02. Bezpečnostní návyky ......................................................................................................................8
04. 01.
Klasifikační stupně ...........................................................................................................................9
02.
Práce s osobními údaji ..................................................................................................................10
03.
Pravidla zacházení s informacemi ................................................................................................10
02.
Tisk a kopírování dokumentů ........................................................................................................11
03.
Likvidace dokumentů .....................................................................................................................13
05.
Bezpečnostní události a bezpečnostní incidenty ............................................... 14
01.
Co je bezpečnostní událost a bezpečnostní incident .................................................................14
02.
Typy bezpečnostních událostí ......................................................................................................14
03.
Postup hlášení bezpečnostních událostí .....................................................................................14
04.
Mimořádné události ........................................................................................................................15
06. 01.
07.
Klasifikace informací ............................................................................................... 9
Závazné normy a zákony....................................................................................... 15 Trestní zákoník................................................................................................................................16
Nebezpečí elektronické komunikace ................................................................... 17
01.
Viry ...................................................................................................................................................17
02.
Červi .................................................................................................................................................17
03.
Trojský kůň a jiné škodlivé programy ..........................................................................................17
04.
Spam, adware, hoax .......................................................................................................................18
05.
Sociální inženýrství - phishing, pharming ...................................................................................18
06.
Prevence ..........................................................................................................................................19
2
08.
Ochrana dat ............................................................................................................ 20
01.
Politika vytváření a rušení uživatelských účtů ............................................................................20
02.
Ukládání dat a zálohování..............................................................................................................20
03.
Šifrování ..........................................................................................................................................20
04.
Jak zabezpečit přenos dat e-mailem ............................................................................................21
05.
Správa přenosných médií a mobilní výpočetní techniky ...........................................................22
09.
Zabezpečení sítí ..................................................................................................... 22
01.
Hrozby..............................................................................................................................................22
02.
Útoky typu DoS nebo DDoS ..........................................................................................................22
03.
Ochrana před průnikem do sítě ....................................................................................................23
04.
Komunikační kanály .......................................................................................................................23
10.
Závěr (Desatero ISMS) ........................................................................................... 25
3
00.
Co je to ISMS
ISMS je anglické označení Information Security Management System, česky znamená Systém řízení bezpečnosti informací a jde o:
zajištění ochrany majetku proti počítačové kriminalitě i náhodnému selhání lidí, procesů a technologií;
ochranu informací před ztrátou a poškozením;
vyvážený přístup k řešení fyzické, technické, organizačně-procesní a personální bezpečnosti informací, založený na vyhodnocování rizik.
V oblasti ISMS platí pravidlo, že každý systém je tak pevný a bezpečný jako jeho nejslabší článek. Oblast bezpečnosti informací je zakotvena v sérii mezinárodních norem ČSN ISO/IEC 27000. Magistrát je držitelem certifikátu podle normy ČSN ISO/IEC 27001. Další nejčastěji používané metody řízení bezpečnosti informací jsou ITIL Security Management (soubor nejlepších řešení, jak efektivně plánovat a zkvalitňovat využití informačních technologií) a COBIT (soubor praktik, které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití zdrojů a minimalizaci IT rizik).
4
01.
Co představuje bezpečnost informací
Bezpečnost informací představuje ochranu informací ve všech jejich formách a po celý jejich životní cyklus - tedy během jejich vzniku, zpracování, ukládání, přenosu a likvidaci.
Předmětem ochrany jsou informace bez ohledu na to, zda jsou uloženy v informačním systému, vytištěny na papíře nebo existují pouze v něčí mysli.
Bezpečnost informací je důležitou součástí řešení informačního systému organizace, a zejména jeho provozu. Má řadu rovin a náhledů: technologický, právní, koncepční a lidský, který je zřejmě nejdůležitější. Lidský faktor je nejvíce chybující, což někdy vede k tvrzení, že otázka bezpečnosti informací je otázkou lidí.
Praktické informace k jednotlivým oblastem bezpečnosti lze nalézt na intranetu pod odkazem informace z odboru bezpečnosti Magistrátu.
01. Základní pojmy 01. Aktivum, hrozba, zranitelnost, riziko
Aktivum je vše, co je v rámci Magistrátu hlavního města Prahy ohraničitelné a má pro něj nějakou hodnotu. Jako aktivum jsou chápány také veškeré procesy realizované v rámci činnosti Magistrátu a veškeré informace zpracovávané v prostředí či na pracovních prostředcích Magistrátu. Rozsah systému řízení bezpečnosti informací (ISMS) je vymezen primárními a podpůrnými aktivy Magistrátu:
Primární aktivum je informace nebo služba, která je zpracovávána nebo poskytována na prostředcích výpočetní techniky, v informačních systémech, v listinné podobě a informace v nehmotné podobě.
Podpůrné aktivum je technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji a správě informačního systému, komunikačního systému. Technické aktivum je technické vybavení, komunikační prostředky a programové vybavení informačního systému nebo komunikačního systému a objekty, ve kterých jsou tyto systémy umístěny.
Informačním aktivem je primární aktivum anebo podpůrné aktivum. Pro informační aktiva platí definice vycházející ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Hrozba - potenciální příčina bezpečnostní události nebo bezpečnostního incidentu, jejímž výsledkem může být poškození aktiva. Zranitelnost - slabé místo aktiva, které může být využito hrozbou (např. neproškolený uživatel pro oblast bezpečnosti informací, neaktualizovaný antivirový software, nedostatečně fyzicky zabezpečený prostor serverovny apod.) Riziko - možnost, že hrozba využije zranitelnosti aktiva a způsobí tak Magistrátu škodu.
Příklad: pokud je poškozená střecha budovy (zranitelnost), na půdě je umístěn server (podpůrné aktivum) a prší (hrozba), hrozí poškození serveru a uložených informací (primární aktivum). Dopadem je finanční škoda a navíc po dobu opravy nefunkční IT služba.
5
01. Bezpečnost aktiv 01. Důvěrnost, dostupnost, integrita Ochrana informací je založena na třech principech informační bezpečnosti: Dostupnost je zajištění stavu, aby informace byla dostupná autorizovaným subjektům v čase, kdy k nim potřebují přistupovat;
Důvěrnost je zajištění stavu, aby informace byla dostupná pouze autentizovaným a autorizovaným subjektům nebo procesům;
Integrita je zajištění stavu, aby informace byla dostupná v neporušené, nezměněné a úplné podobě.
02. Autentizace, autorizace Bezpečnost informací neznamená pouze zajištění důvěrnosti, dostupnosti nebo integrity informace, za kterou bývá izolovaně zaměňována. V praxi je důležité zajistit také:
autentizaci, tj. ověření identity subjektu,
autorizaci, tj. oprávnění, povolení k úkonu nebo operaci,
nepopiratelnost, tj. vyloučení možnosti popřít dřívější provedení operace.
6
02.
ISMS v PDCA cyklu
Systém řízení bezpečnosti informací zahrnuje kontinuální proces zlepšování celého systému řízení informační bezpečnosti, tento proces probíhá podle modelu PDCA (též Demingův cyklus). PDCA z anglického Plan – Do – Check – Act znamená opakování čtyř základních činností Plánuj – Dělej – Kontroluj – Jednej.
01. Schéma cyklu PDCA
03.
Pravidla práce s informačním systémem
Práce v aplikaci informačního systému, k níž má uživatel přístupová oprávnění, probíhá jen po dobu nezbytně nutnou. Po ukončení práce je uživatel povinen aplikaci informačního systému řádně ukončit, aby nedošlo ke ztrátě nebo k poškození dat. Pro snížení rizika poškození provozních systémů platí následující opatření: systémové soubory a programy může instalovat pouze oprávněný zaměstnanec na vyhrazeném prostoru disku; nepověření zaměstnanci nesmí systémovou oblast jakkoli měnit; pravidelně se provádí instalace nových verzí programů a opravných patchů; aplikační programy jsou uváděny do provozu až po úspěšném otestování a akceptaci; je aktualizováno programové vybavení (např. antiviry, firewall, antispam), které napomáhá odstranit nebo redukovat bezpečnostní slabiny; fyzický nebo logický přístup je umožněn dodavatelům pouze tehdy, pokud je to třeba z provozních důvodů. Aktivity dodavatelů jsou monitorovány a vyhodnocovány. Běžní uživatelé nejsou oprávněni provádět jakékoliv zásahy do svěřeného firemního počítače:
měnit nastavení internetového prohlížeče a antivirové ochrany; instalovat software; zasahovat do hardware; používat internet za jiným účelem než pro plnění svých pracovních povinností.
7
Uživatelé jsou oprávněni:
zadávat žádosti o instalaci nového softwaru, event. opravu, doplnění a výměnu hardwaru výhradně prostřednictvím intranetové aplikace Service desk.
Uživatelům je zakázáno: stahovat z internetu např. hry, filmy, mp3 soubory a také software; navštěvovat internetové stránky se závadným, nezákonným nebo nevhodným obsahem, zejména pak jakékoli internetové stránky propagující násilí, nezákonné aktivity, rasovou, náboženskou nebo etnickou či národnostní nenávist, militantní nebo teroristická hnutí nebo extremistické skupiny, stránky s erotickým nebo pornografickým obsahem a stránky propagující počítačovou kriminalitu.
01. Hesla Heslo do informačního systému musí splňovat následující pravidla: délka hesla je alespoň 8 znaků; nesmí být použito existující (slovníkové) slovo a musí být tvořeno kombinací alespoň tří skupin znaků z následujících čtyř skupin: o velká písmena (A až Z); o malá písmena (a až z); o čísla (0 až 9); o speciální znaky (@#$%^&*()?”). Při tvorbě hesla je vhodné zvolit mnemotechnické nebo logické pomůcky, například použít počáteční písmena věty - Každé ráno musím vstávat do práce v 6, heslo tedy bude „Krmvdpv6“.
01. Zásady správného používání hesla Heslo do informačního systému organizace (ale i k jednotlivým aplikacím, pokud je vyžadují) musí být: pravidelně měněno (minimálně jedenkrát čtvrtletně); uchováváno v tajnosti; zaznamenávat si heslo lze pouze BEZPEČNĚ (např. do telefonu formou řetězce znaků 5n@61Ct_22jap9!H, kde každé třetí škrtnu); neprodleně změněno v případě prozrazení nebo podezření z prozrazení. Heslo nesmí být: za žádných okolností sděleno další osobě (ani nadřízenému) stejné heslo nesmí být používáno v nekontrolovaném prostředí (např. pro vstup do emailu, internetového bankovnictví apod.).
02. Bezpečnostní návyky Uživatel je povinen zajišťovat ochranu svého pracoviště dodržováním následujících bezpečnostních postupů tak, aby nemohlo dojít ke zneužití informací nepovolanou osobou: uzamknout kancelář (vč. uzavření oken) kdykoli při odchodu, pokud odchází jako poslední; uzamknout počítač, kdykoli se vzdálí z pracoviště (např. stiskem kláves WINDOWS+L nebo CTRL + ALT + DEL a potvrdit tlačítko „uzamknout tento počítač“); dodržovat pravidlo čistého stolu, tzn. neponechávat v době své nepřítomnosti volně položené dokumenty v listinné podobě a technické nosiče dat a informací, které obsahují neveřejné informace, ale ukládat je v uzamykatelných skříních.
8
04.
Klasifikace informací
Bezpečnostní standardy řady ČSN ISO/IEC 27000 definují následující opatření:
„Informace by měly být klasifikovány, a to s ohledem na jejich hodnotu, právní požadavky, citlivost a kritičnost.“ „Pro značení informací a zacházení s nimi by měly být vytvořeny a do praxe zavedeny postupy, které jsou v souladu s klasifikačním schématem přijatým organizací.“ „Pro zabránění neautorizovanému přístupu nebo zneužití informací by měla být stanovena pravidla pro manipulaci s nimi a pro jejich ukládání.“
Nastavené procesy by měly zajistit, aby veškeré informace v organizaci vznikající nebo jí procházející byly vždy klasifikovány příslušným stupněm. Podle tohoto stupně by pak s nimi mělo být manipulováno striktně v souladu s předem stanovenými pravidly. Za provádění klasifikace informací (tzn. za určení klasifikačního stupně) je odpovědný nositel informací, což je věcně příslušný vedoucí zaměstnanec. Stanovení klasifikačního stupně nových interně vznikajících dokumentů provádí ten, kdo dokument vytváří. Stanovení klasifikačního stupně dokumentů přicházejících do Magistrátu provádí ten, kdo dokument vyřizuje. Poznámka: Klasifikace v ISMS je řešena separátně od utajovaných informací ve smyslu zákona č. 412/2005 Sb., o ochraně utajovaných informací, ve znění pozdějších předpisů, který definuje kategorie Vyhrazené, Důvěrné, Tajné a Přísně tajné.
01. Klasifikační stupně
V rámci implementace ISMS na Magistrátu byly zavedeny tři stupně klasifikace informací: „veřejné“, „interní“ a „neveřejné“.
Veřejné informace jsou informace, které je možné zveřejnit nebo jde o veřejně přístupné informace. Tyto informace nemusí být z pohledu důvěrnosti nijak chráněny. V informačním systému spisové služby (GINIS ESSL) jsou nazývány: „Dokument ke zveřejnění“. Jedná se o informace poskytované na veřejných internetových stránkách hlavního města Prahy, informace o usnesení Rady hlavního města Prahy a Zastupitelstva hlavního města Prahy, tisková prohlášení a publikované články atd.
Interní informace jsou informace, u kterých je žádoucí, aby zůstaly pouze v perimetru organizace, tj. jsou určeny pro zaměstnance, případně další subjekty nebo osoby, které jsou vázány příslušnými dohodami o mlčenlivosti a tyto informace potřebují např. ke splnění svých smluvních (dodavatelských) závazků. V informačním systému spisové služby (GINIS ESSL) jsou nazývány: „Běžný dokument“. Jedná se například o obsah intranetu, provozní záznamy, předávací protokoly, přijaté faktury, interní sdělení apod.
Neveřejné informace jsou informace určeny pouze omezenému okruhu oprávněných uživatelů. V informačním systému spisové služby (GINIS ESSL) jsou nazývány: „Neveřejný dokument“. Jde například o dokumenty obsahující personální údaje, informace o probíhajícím trestním řízení, informace týkající se obchodního tajemství a další, které by mohly ohrozit, event. poškodit fyzické osoby nebo projekty Magistrátu.
9
Pro klasifikační stupně interní a neveřejné musí být nastavena bezpečnostní pravidla, která zajistí odpovídající ochranu při přenosu a ukládání, povinnou skartaci apod.
02. Práce s osobními údaji Osobní údaj je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Podstatná je tedy otázka, zda údaj nebo kombinace údajů, které má správce k dispozici nebo jsou mu přístupné, vede k identifikaci fyzické osoby. Citlivým osobním údajem se rozumí údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. Z hlediska klasifikace dokumentů mohou mít osobní údaje charakter interních informací nebo neveřejných informací podle svého rozsahu a obsahu. Citlivé osobní údaje jsou vždy neveřejnými informacemi. Každý správce osobních údajů má zákonná práva a povinnosti při zpracování osobních údajů. Povinnosti zaměstnanců jsou také regulovány interními předpisy Magistrátu hl. města Prahy: Písemnosti a záznamová média, která obsahují osobní údaje, musí ukládat v uzamykatelných skříních prostorů zaměstnavatele, popř. na jiných místech, kde je možno zajistit jejich ochranu. To platí i pro kopie písemností obsahující osobní údaje. Zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení pracovního poměru, a to bez časového omezení. Bezpečně nakládat s osobními údaji, které jsou uloženy v osobních počítačích. Data musí být zabezpečena před volným přístupem neoprávněných osob, před změnou, zničením, ztrátou, neoprávněnými přenosy a jiným neoprávněným zpracováním, jakož i jiným zneužitím osobních údajů. Ochrana osobních údajů je součástí ochrany osobnosti, která vyplývá z povinnosti stanovené zákonem na ochranu osobních údajů (zákon č.101/2000 Sb.) a slouží k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí.
03. Pravidla zacházení s informacemi Manipulace s veřejnými informacemi není omezena (s výjimkou podepsaných originálů usnesení Rady hlavního města Prahy a Zastupitelstva hlavního města Prahy). Označování informací stupněm klasifikace je z důvodů odlišnosti důvěrnosti a dostupnosti nezbytné. Pravidla zacházení s interními informacemi: Interní dokumenty nesmějí být vystaveny v prostorách Magistrátu, do kterých má přístup veřejnost. Verbální (ústní) komunikace musí být vedena tak, aby byla minimalizována možnost odposlechu. Při zasílání interních informací e-mailem vně Magistrátu (jiná doména než…@praha.eu) neuvádět tyto informace do textu (těla) e-mailové zprávy, ale jako přílohu zprávy, přičemž je vhodné chránit tyto přílohy heslem. Předávání na sdílené elektronické adresy je zakázáno.
10
Pravidla zacházení s neveřejnými informacemi: Neveřejné informace musí být ukládány v kancelářích v zamykatelných skříních nebo zásuvkách, trezorech, případně v místnostech s výlučným přístupem oprávněných osob. Verbální (ústní) komunikace musí být vedena tak, aby byla minimalizována možnost odposlechu neoprávněnou osobou. Tyto informace nesmí být komunikovány v dopravních prostředcích, restauracích a na dalších veřejných místech, kde je zvýšené nebezpečí jejich odposlechu. Informační systém Magistrátu a jednotlivé aplikace, které tyto informace zpracovávají, musí respektovat přidělená přístupová oprávnění. Předávání dokumentů (v listinné i elektronické formě) obsahujících neveřejné informace musí být prokazatelné. Předávání neveřejného dokumentu prostřednictvím elektronické pošty mimo Magistrát je možné pouze za předpokladu, že dokument je zašifrován; šifrovací prostředky poskytne odbor informatiky Magistrátu na základě schválené žádosti v Service desku. Předávání neveřejných informací mimo Magistrát je možné pouze na základě platného smluvního ujednání nebo ustanovení právního předpisu. Předávání na sdílené elektronické adresy je zakázáno. Zpracovatelé jsou povinni se řídit pravidly odpovídajícími příslušnému klasifikačnímu stupni; v případě pochybností se řídí následujícími zásadami: a) pokud není zřejmé, zda se jedná o veřejné či interní informace, manipulují s nimi jako s interními informacemi; b) pokud není zřejmé, zda se jedná o interní nebo neveřejné informace, manipulují s nimi jako s neveřejnými informacemi; c) pokud informace není označena a může se jednat o neveřejnou informaci, jsou povinni na to upozornit bezprostředně nadřízeného vedoucího zaměstnance a dále se řídit jeho pokyny.
02. Tisk a kopírování dokumentů Tisk dokumentů obsahujících interní a neveřejné informace na sdílených tiskárnách je možný pouze po zaheslování a za předpokladu, že po celou dobu je přítomna osoba oprávněná se s těmito informacemi seznamovat (nebo je tisk automaticky pozdržen a dojde k němu až po vložení identifikační karty zaměstnance). Po ukončení tisku je zaměstnanec povinen vymazat soubor z interní paměti tiskárny.
11
12
03. Likvidace dokumentů Pravidla likvidace interních a neveřejných informací: dokumenty lze likvidovat až po provedení řádného skartačního řízení v souladu se Spisovým řádem Magistrátu, výjimkou mohou být neevidované pracovní kopie nebo přípravné verze dokumentů, listinné dokumenty, CD/DVD disky, magnetické pásky, jednorázové pásky do tiskárny se skartují ve skartovacích zařízeních, která jsou k tomu určena (skartovačky, spalovny), opakovaně použitelné nosiče elektronických dat (HDD, flash disky) obsahující neveřejné informace musí být před novým použitím předány odboru informatiky, který provede nenávratné vymazání obsažených informací nebo fyzickou likvidaci nosiče elektronických dat, vadné pevné počítačové disky a jiná zařízení musí být fyzicky zlikvidovány odborem informatiky, žádné dokumenty a nosiče elektronických dat obsahující interní nebo neveřejné informace nesmí být vyhozeny do odpadkových košů nebo do nádob na tříděný odpad. Toto opatření se týká i pracovních kopií nebo přípravných verzí dokumentů.
13
05.
Bezpečnostní události a bezpečnostní incidenty
01. Co je bezpečnostní událost a bezpečnostní incident Bezpečnostní událost je identifikovatelný stav (systému, služby, sítě apod.) ukazující na možné porušení bezpečnostní politiky nebo selhání bezpečnostních opatření. Může se také jednat o jinou předtím nenastalou situaci, která může být důležitá z pohledu bezpečnosti. Bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných bezpečnostních událostí, u kterých došlo k narušení nebo existuje vysoká pravděpodobnost narušení bezpečnosti osob, majetku, informací nebo kompromitace činností organizace. Jedná se např. o následující události: vyzrazení nebo předání interních nebo neveřejných informací neoprávněné osobě, selhání, chybné fungování, přetížení nebo neobvyklé chování informačního systému Magistrátu, chybná manipulace s informacemi nebo s informačním systémem Magistrátu, nedodržení stanovených postupů, pravidel a dalších vnitřních předpisů Magistrátu, zjištění pokusu o útok na informace nebo na informační systém Magistrátu, výskyt viru nebo škodlivého kódu, chybná činnost hardwarového nebo programového vybavení, narušení fyzické bezpečnosti (vloupání, krádež atd.), prozrazení hesla nebo podezření na prozrazení hesla do informačního systému Magistrátu. Uživatelé informačního systému Magistrátu jsou povinni neprodleně hlásit jakoukoliv bezpečnostní událost prostřednictvím intranetové aplikace Service desk.
02. Typy bezpečnostních událostí V rámci Magistrátu se rozlišují následující typy bezpečnostních událostí a bezpečnostních incidentů: a) bezpečnost informací b) fyzická bezpečnost c) výhrůžky, napadení d) krádež e) úraz f)
ztráta klíče či identifikační karty
g) ostatní V případě, že se událost skládá z více typů událostí, uživatel zvolí ten, u něhož hrozí největší způsobení škody nebo je nejurgentnější. Ohlašovatel zvolí typ události, v případě nejednoznačnosti či pochybností zvolí kategorii „ostatní“.
03. Postup hlášení bezpečnostních událostí Aplikace Service desk automaticky zaznamená jméno ohlašovatele včetně data a času ohlášení. Ohlašovatel dále vyplní formulář bezpečnostní události: a) Název (krátké označení, které danou bezpečnostní událost charakterizuje).
14
b) Popis (co se přesně stalo). c) Vybere žadatele (sebe nebo osobu, za kterou událost ohlašuje). d) Kdy k bezpečnostní události došlo či kdy byla bezpečnostní událost zjištěna (volba s využitím kalendáře). e) Kde k bezpečnostní události došlo (s využitím číselníku objektů). f) Odhadovaný dopad (s využitím číselníku dopadů). g) Dotčené aktivum (s využitím číselníku aktiv).
04. Mimořádné události Mimořádnou událostí se rozumí škodlivé působení sil a jevů vyvolaných činností člověka, přírodními vlivy (požáry, povodně a zátopy, sesuvy půdy, atmosférické poruchy, zemětřesení) a také havárie, které ohrožují život, zdraví, majetek nebo životní prostředí a vyžadují provedení záchranných a likvidačních prací. V objektu Nové radnice Magistrátu hl. města Prahy je umístěno operační středisko Krizového štábu hl. m. Prahy (OSKŠ HMP), které je určeno pro koordinaci záchranných a likvidačních prací ve spolupráci se složkami Integrovaného záchranného systému (IZS), telefonní číslo OSKŠ: +420 222 022 200.
Nejpravděpodobnější mimořádné události, které mohou nastat v objektech Magistrátu a jak postupovat v případě, že k některé z nich dojde, jsou: napadení zaměstnance poskytnout pomoc v rámci svých možností a chovat se tak, aby nedošlo k porušení práv a svobod nebo ohrožení zdraví či života zainteresovaných osob a neprodleně uvědomit Policii ČR; zjištění došlé podezřelé zásilky zásilku v žádném případě neotevírat, za použití ochranných rukavic ji vložit buď do přiděleného igelitového pytle nebo uzavíratelné nádoby, kterou je nutno ihned uzavřít a vyčkat dalších pokynů od bezprostředně nadřízeného zaměstnance, příp. zástupce složek IZS; nález podezřelého předmětu předmětu se nedotýkat a informovat pracovníky dohledu daného objektu;
anonymní oznámení o uložení nástražného výbušného systému okamžitě zavolat na tísňovou linku 112 a na operační středisko krizového štábu, informovat bezprostředně nadřízeného zaměstnance a po příjezdu složek IZS se řídit jejich pokyny.
06.
Závazné normy a zákony
Pro používání, zabezpečení provozu, k řízení programů a provozování informačního systému a pro práci s daty, která jsou součástí informačních systémů, platí zejména: Vybrané právní předpisy: Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých dalších zákonů, ve znění pozdějších předpisů
15
Vybrané české státní normy a standardy pro ISMS: ČSN ISO/IEC 27000: Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník ČSN ISO/IEC 27001: Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky ČSN SO/IEC 27002: Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací ČSN ISO/IEC 27003: Informační technologie – Bezpečnostní techniky – Směrnice pro implementaci systému řízení bezpečnosti informací ČSN ISO/IEC 27004: Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Měření - pomůcka k měření a prezentaci efektivity systémů řízení bezpečnosti informací (ISMS) v organizaci ČSN ISO/IEC 27005: Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací
01. Trestní zákoník Trestní zákoník (zákon č. 40/2009 Sb.) posuzuje mimo jiné porušení zpráv, poškození záznamu, dále neoprávněný přístup k počítačovému systému a nosiči informací a další. Příklady týkající se bezpečnosti informací: § 182 Porušení tajemství dopravovaných zpráv (1) Kdo úmyslně poruší tajemství b) datové, textové, hlasové, zvukové či obrazové zprávy posílané prostřednictvím sítě elektronických komunikací a přiřaditelné k identifikovanému účastníku nebo uživateli, který zprávu přijímá, nebo c) neveřejného přenosu počítačových dat do počítačového systému, z něj nebo v jeho rámci, včetně elektromagnetického vyzařování z počítačového systému, přenášejícího taková počítačová data, bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti. § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci. § 232 Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (1) Kdo z hrubé nedbalosti porušením povinnosti vyplývající ze zaměstnání, povolání, postavení nebo funkce nebo uložené podle zákona nebo smluvně převzaté a) data uložená v počítačovém systému nebo na nosiči informací zničí, poškodí, pozmění nebo učiní neupotřebitelnými, nebo b) učiní zásah do technického nebo programového vybavení počítače nebo jiného technického zařízení pro zpracování dat, a tím způsobí na cizím majetku značnou škodu, bude potrestán odnětím svobody až na šest měsíců, zákazem činnosti nebo propadnutím věci.
16
07.
Nebezpečí elektronické komunikace
Pokud nepoužíváme šifrování, pak by citlivá data neměla být posílána e-mailem, protože ten je předáván na své cestě nešifrovaně mezi mnohými uzly a obsah e-mailu může být zachycen neoprávněnou osobou. E-mail bývá též příčinou mnoha virových nákaz, viry jsou často maskovány jako zajímavý obsah v příloze e-mailu. V dnešní době existují statisíce počítačových virů, škodlivých programů – kódů.
01. Viry Počítačový virus je nežádoucí program, který se dokáže sám šířit bez vědomí uživatele. Na paměťovém médiu vyhledává soubory, které pak "infikuje". Virus se šíří prostřednictvím takto infikovaného souboru. Některé viry mohou mít destrukční účinek, jiné mohou být obtěžující nebo mohou nadměrně zatěžovat počítačový systém. V průběhu doby se pojetí virů změnilo, dnes je za počítačový virus považován obecně jakýkoliv škodlivý kód. Další informace o počítačových virech zde. Makroviry - šíří se v dokumentech kancelářských balíků. Makrovirus může například vykrádat z vašeho počítače důvěrné informace, pracovat s vašimi soubory, spouštět aplikace.
02. Červi Počítačový červ je nežádoucí specifický program, který je schopen rozesílat svoje kopie na jiné počítače a je schopen převzít kontrolu nad síťovou komunikací. Tu pak využívá ke svému vlastnímu šíření. V nakaženém systému pak provádí činnosti podobně jako počítačový virus. V historii nejúspěšnějším počítačovým červem byl červ I Love You, který po svém vypuštění v roce 2000 napáchal škody v řádu desítek milionů amerických dolarů a ochromil provoz některých internetových služeb na několik dnů.
03. Trojský kůň a jiné škodlivé programy Trojský kůň je uživateli skrytá část programu nebo aplikace, která vykonává nežádoucí a škodlivé činnosti. Samotný program či aplikace, která obsahuje trojského koně, přitom může být plnohodnotně funkční a uživatel tak nemá o činnosti trojského koně tušení. Keylogger Jde o programy, které slouží k zaznamenávání stisku jednotlivých kláves a jejich ukládání do zvláštního, pro uživatele nepřístupného souboru. Tento druh programů umožní útočníkovi získat např. přihlašovací jména a hesla, čísla kreditních karet, obsah odesílaných e-mailů nebo vytvářených dokumentů apod. Rootkit Je program, který slouží k zamaskování škodlivého software v počítači
17
(např. virů, trojských koní apod.). Rootkity jsou nebezpečné zejména tím, že neumožňují uživatelům plnou kontrolu nad jejich systémem a svoji aktivitu maskují.
04. Spam, adware, hoax Spam je nevyžádané sdělení masově šířené internetem, zejména nevyžádané e-maily, ale i diskuzní fóra, komentáře nebo instant messaging. Hoax je nevyžádaná a nepravdivá poplašná zpráva vyzývající k jejímu rozšiřování. Jde např. o varování před smyšlenými viry a různými útoky na počítač, popis jiného nereálného nebezpečí, falešné prosby o pomoc, fámy o mobilních telefonech, petice a výzvy, pyramidové hry a různé nabídky na snadné výdělky, řetězové dopisy štěstí, žertovné zprávy. Další informace k tomu, jak poznat podvodné stránky a jak se bránit, najdete na serveru hoax.cz. Cílem serveru hoax.cz je informovat uživatele o nástrahách, se kterými se denně setkává a které znepříjemňují nebo ohrožují jeho běžné používání Internetu. Adware jsou programy, které uživatele při činnosti obtěžují reklamou. Nemusí jít o činnost tajnou, ale často i ukotvenou v licenci daného programu. Reklama se zde vyskytuje v podstatě v každém okně a její blokování je porušením licence.
05. Sociální inženýrství - phishing, pharming Phishing je nevyžádaná zpráva vyzývající prostřednictvím elektronické komunikace k poskytnutí důvěrných nebo osobních informací (přihlašovací údaje, čísla kreditních karet aj.) na falešné webové stránky, které napodobují přihlašovací okno k elektronickému bankovnictví, e-mailu apod., za účelem podvodu.
18
Pharming je technika podobná phishingu, na rozdíl od ní ale napadá informační systém a způsobí přesměrování klienta na falešné webové stránky. Cílem je získat důvěrné údaje k chráněnému účtu (jména, hesla, čísla účtů a čísla karet, osobní údaje) s podvodným úmyslem.
06. Prevence Základem prevence je bezpečné chování uživatele podpořené vhodným antivirovým programem. V síti organizace je antivirová ochrana zabezpečena administrátorem informačního systému a technickými opatřeními na perimetru podnikové sítě. Při použití technického nosiče dat a informací je uživatel povinen vždy provést jeho antivirovou kontrolu, nebude-li tato spuštěna automaticky. 9 rad bezpečného chování uživatelů: Zachovat chladnou hlavu. Velká část útočníků spoléhá na to, že uživatele vystresuje (hrozbou zrušení konta, zablokování kreditní karty, exekuce...), a ten pak zbrkle a bez přemýšlení provede požadovanou akci. Již dopředu přistupovat k informaci podezřívavě - citlivé údaje nikdy neposkytovat na základě výzvy e-mailem, neklikat na odkazy v e-mailech. Všímat si při čtení e-mailů nesrovnalostí, gramatických chyb, příloh v nezvyklém formátu, žádostí o vydání osobních údajů apod. V případě sebemenších pochybností neotevírat přílohy a hlásit událost na Service desk. Nepoužívat neznámý a podezřelý software. Nepoužívat připojení k nezabezpečené WiFi síti a internetové kavárny k online bankovnictví. Volit vhodné heslo a chránit jej. Preferovat šifrovanou komunikaci (https). Nenavštěvovat nebezpečné webové stránky.
19
08.
Ochrana dat
Data lze chránit různými způsoby, např.: Systémovými prostředky (firewall, antivir, antispam apod.) Politikou správy uživatelských účtů Chováním uživatelů v souladu s pravidly pro bezpečnosti IS (zálohování, šifrování, pravidlo čistého stolu apod.).
01. Politika vytváření a rušení uživatelských účtů
Uživatel, aby získal možnost užívat informační systém, musí mít vytvořen uživatelský účet pro připojení k PC a síti s patřičně nastavenými přístupovými právy. Optimální situace je, když uživatel má přidělena přesně taková práva, jaká potřebuje pro výkon své práce. Dodržování politiky spočívá nejen v zavádění, ale i ve včasném rušení účtů a přístupů do informačního systému v souladu s personálními změnami.
02. Ukládání dat a zálohování Uživatel PC může ukládat data do uživatelského adresáře Dokumenty, na plochu svého PC, do úložišť centrálních aplikací, do síťových úložišť informačního systému Magistrátu včetně přidělené osobní serverové složky. Pokud uživatel zvolí pro ukládání dat a informací jemu svěřenou mobilní výpočetní techniku, přebírá plnou odpovědnost za jejich ochranu (tj. důvěrnost, dostupnost a integritu) a zálohování. Zálohování dat umožňuje opětovné nahrání dat, která byla zničena nebo smazána např. při výpadku zařízení nebo při chybě softwaru. Zálohování podle rozsahu (z pohledu administrace informačního systému): Celková strategie, která spočívá v kompletní záloze veškerých dat. Tato strategie vyžaduje použití velkého množství zálohovacích médií apod. Inkrementální záloha provede zálohu pouze těch dat, která se změnila od poslední zálohy. Použitím této strategie vzniká sled datovaných záloh. Při obnově postupujeme od obnovy té nejstarší a přidáváme postupně změny až do aktuálního stavu. V praxi se obvykle používá kombinace obou strategií, kdy se v pravidelných intervalech provádí kompletní záloha a v mezidobí inkrementální zálohy. Zálohy je nutné někam uložit (datové pásky, CD-R, CD-RW, DVD±R, DVD±RW, pevný disk) a pečlivě se o ně starat. Některé kompletní zálohy je vhodné trvale uchovávat v archivu organizace (např. sejf v bance nebo na jiném pracovišti).
03. Šifrování Veškerá data, která jsou přenášena z místa na místo po nechráněné trase či na přenosném paměťovém médiu a na jejichž bezpečnosti nám záleží, by měla být šifrována. Ztráta či krádež přenosných médií pak sice zůstane nepříjemnou záležitostí, ale možnost zneužití ztracených dat se prudce sníží. Šifrování dat představuje zjednodušeně převod dat do nečitelné podoby a po zadání hesla pak opětovný převod do původního čitelného stavu.
20
Možností, jak šifrovat (kryptovat) data v počítači a na externích úložištích dat, je několik.
04. Jak zabezpečit přenos dat e-mailem Nejčastěji se k zabezpečení dat používá šifrování asymetrickou šifrou (AES), která používá vždy pár klíčů - veřejný klíč a privátní klíč. Obojí zajišťuje jak utajení obsahu komunikace, tak digitální podpis pro autentizaci odesílatele. Jednoduché podepisovací schéma
Schéma lze na příkladu vyložit takto: Chce-li odesílatel poslat příjemci šifrovanou a podepsanou zprávu, nejprve ji zašifruje svým privátním klíčem. Výsledkem je tedy podepsaná zpráva, kterou ale může každý dešifrovat. Proto ji poté zašifruje veřejným klíčem příjemce, aby ji mohl dešifrovat pouze příjemce a nikdo jiný. Takto podepsaná šifrovaná zpráva putuje přes komunikační kanál k příjemci, který ji nejprve dešifruje svým privátním klíčem. Výsledkem je odesílatelem podepsaná zpráva, kterou příjemce dešifruje odesílatelovým veřejným klíčem a získá původní zprávu. Díky dvojímu šifrování si příjemce může být jistý jednak tím, že odesílatel je autorem zprávy a také tím, že obsah zprávy nemohl nikdo přečíst.
21
05. Správa přenosných médií a mobilní výpočetní techniky Správou přenosných médií rozumíme řízení manipulace s veškerými paměťovými médii (technickými nosiči dat), která jsou v organizaci využívána pro přenos dat. Mezi taková média můžeme zařadit: CD, DVD, Blue-Ray, HD DVD a další paměťová média přenosné HDD flash disky Při používání mobilní výpočetní techniky (notebook, mobilní telefon, tablet apod.), která je majetkem organizace, si uživatelé musí být vědomi rizik s tím spojených. Jsou povinni dbát zvýšené opatrnosti. Vzhledem k vyšší pravděpodobnosti ztráty nebo odcizení mobilní výpočetní techniky je doporučeno používat pro ukládání služebních dat zabezpečenou oblast paměti. Je zakázáno nechávat mobilní výpočetní techniku bez dozoru (např. v zaparkovaných autech, v zavazadlovém prostoru autobusu či letadla). Uživatelé jsou povinni chránit přístup do mobilního zařízení heslem, PIN kódem nebo biometrickým snímačem, které je vyžadováno po době nečinnosti zařízení delší než 5 minut. Data, která byla na mobilní výpočetní technice pořízena, musí být zálohována na řádně označených technických nosičích dat a informací nebo ukládána v automaticky zálohované osobní serverové složce.
09.
Zabezpečení sítí
Počítačové sítě jsou základním komunikačním prostředkem v rámci fungování organizace. Z tohoto důvodu je nutné se vážně zabývat riziky, která by mohla fungování sítě ohrozit, stejně jako opatřeními, která lze realizovat k jejich ochraně.
01. Hrozby Aby bylo možné určit, postup při zabezpečení sítě, je nutné nejprve stanovit povahu hrozeb. Např. může jít o hrozby: virová nákaza (vysvětleno v části „nebezpečí komunikace“), útoky typu DoS a DDoS, průnik do sítě, odposlech provozu zařízení uvnitř organizace z vnějšku, přístup k nezabezpečeným komunikačním kanálům.
02. Útoky typu DoS nebo DDoS Útoky typu DoS (Denial of Services, česky odepření služby) a DDoS (Distributed Denial of Services, česky distribuované odmítnutí služby) jsou v dnešní době relativně častým jevem. Principem je, že útočník přetíží server a ten pak není schopen poskytovat služby, ke kterým byl zřízen. DoS a DDoS se liší počtem míst, ze kterých je útok veden (DoS jedno místo, DDoS stovky, tisíce míst). Obvyklým cílem těchto útoků bývají www servery, které musí být ze svého účelu přístupné z vnějšku, protože poskytují informace klientům zvenčí. Dalším cílem útoků tohoto typu mohou být portály služeb uvnitř organizace, které slouží pro jednoduchý přístup k informacím prostřednictvím tzv. tenkého klienta (prohlížeče www) ideálně odkudkoliv. Vyřazení takového portálu může být ještě závažnější než vyřazení běžných www stránek, protože může paralyzovat některé procesy. Obrana proti takovým útokům, zejména DDoS, může být velmi problematická, a technicky a finančně náročná.
22
03. Ochrana před průnikem do sítě Průniku do sítě je možné se bránit vhodným nasazením firewallů, IDS a IPS systémů (tj. systémy detekce a prevence), které provádějí monitoring a analýzu síťového provozu. Tato opatření umožní včas detekovat problém, který je možné řešit předtím, než dojde k zneužití zranitelnosti. Z hlediska prevence průniku do sítě je nutné mít zavedenou bezpečnostní politiku informačních technologií a politiku řízení přístupu k jednotlivým informačním systémům organizace.
04. Komunikační kanály Pro přístup do počítačové sítě organizace mohou být použity různé komunikační kanály: přístup do sítě organizace z internetu je možné chránit využitím šifrovaného připojení prostřednictvím VPN (Virtual Private Network). Takovéto připojení funguje tak, že při navázání komunikace je mezi počítači dohodnut šifrovací klíč pro symetrické šifrování a ten se používá pro šifrování celé „session“ (seance). Nevýhodou tohoto připojení je částečně snížená rychlost ve srovnání s nešifrovaným připojením a také vyšší nároky na výkon počítače, ke kterému se pomocí VPN klienta připojujeme.
využití Wi-fi přípojných bodů pro bezdrátová připojení různých zařízení do počítačové sítě nebo k Internetu. Problémem může být přípojný bod, který je špatně zabezpečen. K takovému bodu se mohou připojit také neoprávnění uživatelé, kteří tímto způsobem mohou získat přístup ke zdrojům sítě.
připojení prostřednictvím technologie Bluetooth není určeno k vytváření síťové infrastruktury srovnatelné s Wi-fi, umožňuje ale jednoduché připojení několika zařízení (myš, klávesnice, tablet, mobilní telefon apod.). Maximální dosah Bluetooth je okolo 9 metrů, s použitím specializovaného zařízení je ale možné komunikaci odposlouchávat ze vzdálenosti až stovek metrů.
23
Oproti Wi-fi je připojení pomocí Bluetooth chráněno podstatně méně, obvykle s použitím jednoduchého hesla.
24
10.
Závěr (Desatero ISMS)
Desatero ISMS (systému řízení bezpečnosti informací) 1.
Své heslo nesmíte NIKDY a NIKOMU prozradit.
2.
Při odchodu od počítače VŽDY zamkněte obrazovku stiskem kláves WINDOWS+L.
3.
Pokud odcházíte z kanceláře a jste poslední, musíte ji VŽDY uzamknout.
4.
Používáte-li mobilní výpočetní techniku, nesmíte ji NIKDY nechat mimo kancelář bez dozoru.
5.
Bezpečnostní události musíte neprodleně nahlásit prostřednictvím aplikace Service desk na intranetu.
6.
Při práci používáte informace VEŘEJNÉ (přístupné pro všechny), INTERNÍ (přístupné pouze pro zaměstnance a smluvní strany) a NEVEŘEJNÉ (přístupné pouze OPRÁVNĚNÝM osobám).
7.
INTERNÍ a NEVEŘEJNÉ informace nesmíte NIKDY nechávat ve veřejných prostorech (např. na tiskárnách), nesmíte je NIKDY vyhodit do koše, musí být VŽDY skartovány.
8.
NEVEŘEJNÉ informace (listinná podoba, CD, DVD, USB flash disk apod.) musíte v kanceláři VŽDY uzamknout do skříně nebo zásuvky.
9.
Nemluvte o INTERNÍCH a NEVEŘEJNÝCH informacích mimo pracoviště (včetně telefonních hovorů).
10. Potřebujete-li poradit v oblasti bezpečnosti na e-mail:
[email protected].
informací,
napište
25
