24.10.2011
Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc.
Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze © Igor Čermák, 2011
Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 4 MI-POA
Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Informační bezpečnost (MI-IBE)
4.přednáška Systém řízení informační bezpečnosti (ISMS)
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
1
24.10.2011
Role manažerů v oblasti IS/IT a informační bezpečnosti
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Role manažerů •
Vyplývá z principů IT Governance: – Řízení IT je součástí řízení organizace – Důraz na aktivní zapojení IT do tvorby a naplnění firemní strategie • Strategie organizace a její business cíle určují strategii IT • Požadavky IT ovlivňují strategii organizace
•
– Jde o propojení řízení IT s řízení celé organizace Začlenění IT Governance do systému řízení IT – Strategické řízení IT • IT Governance • COBIT (manažerský framework pro plánování, řízení a kontrolu IS/ICT)
– Taktické a operativní řízení IT • ITIL (procesní nástroj a popis best-practices pro provoz a rozvoj IS/ICT infrastruktury a služeb • Využití norem (např. ISO/IEC 20000. ISO/IEC 2700x apod.)
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
2
24.10.2011
Role manažerů • role ředitele (manažera) informatiky (IS/IT) (Chief Information Officer - CIO): – Orientace IS/ICT na základní cíle podniku (obchodní orientace) – Spolupodílet se na formulaci těchto cílů (inicializace cílů využívající nové možnosti IS/ICT) – Zajištění integrity IS/ICT podniku a koordinace všech projektů
• Pozice CIO v organizaci a jeho vliv na globální strategii organizace – Závisí v zásadě na tom, jak je řízeno IS/ICT v organizaci – A zda je či není členem vrcholového vedení organizace
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Role manažerů - CISO • IT Security Manager – Chief Information Security Officer (CISO): – Ochrana informačních aktiv organizace • Před ztrátou (důvěrnost aktiv, dostupnost aktiv) • Před zneužitím (důvěrnost aktiv) • Před pozměněním nebo poškozením (integrita a dostupnost aktiv)
– Informační aktiva = informace, které mají pro organizaci hodnotu. – Informační bezpečnost= bezpečnost informací ve všech jejich formách během celého jejich „životního cyklu“
• Security Manager (SM) – bezpečnostní ředitel – Otázky bezpečnosti v rámci organizace • • • •
Fyzická ochrana Požární ochrana Ochrana zdraví a života Kontinuita provozu
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
3
24.10.2011
Role manažerů – CIO, CISO, SM • Pozice IT Security manažera: • Modely řízení bezpečnosti, IT bezpečnosti a informatiky
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
ISMS • …….Zpět k ISMS (i když jsme stále byli v oblasti řízení, kam spadá i ISMS)
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
4
24.10.2011
Systém řízení • „Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (MS)“ • Systém řízení umožňuje: – Určení požadovaných cílů – Stanovení metod jak cílů dosáhnout – Kontrolu dosažení cílů (pomocí určených metod)
• Systém řízení zavádí: – – – –
Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování – implementace zlepšení
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Součásti systému řízení • „MS pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny“ • • • • • •
Politika – Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování – Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz – Budování povědomí, školení Objektivní měření efektivity a výkonu – Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování – Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba
– „Management review“
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
5
24.10.2011
Information Security Management System (ISMS) • „ISMS je systém managementu bezpečnosti informací“ o Součást „globálního“ systému řízení organizace o Založen na přístupu vyhodnocování rizik o Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti • Zajištění systematické prevence vzniku incidentů • Spolehlivé vnitřní kontrolní mechanizmy • Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
ISMS • Systém řízení informační bezpečnosti – Pravidla fungování ISMS vymezena bezpečnostní politikou – Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) – Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
6
24.10.2011
Informační bezpečnost - přínosy • Přínosy systému informační bezpečnosti – minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.) – jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky případných výpadků a havárií) – vymezení povinností a zodpovědnosti zaměstnanců (snižuje riziko bezp. incidentů, zajišťuje nepopiratelnost) – naplnění legislativních požadavků
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Formální přístup • Pro zajištění bezpečnosti informací – Implementace souboru opatření, např. • • • •
Politiky Prováděcí postupy Organizační struktura Funkce software
– Opatření vybrána na základě posouzení rizik
• nutnost formálního přístupu Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
7
24.10.2011
Bezpečnostní politika • Koncepčnost – soulad s potřebami (i očekávanými) organizace
• Komplexnost – soubor technicko-org. opatření/postupů napříč org.
• Efektivita – nesmí být „brzdou“ řízení a rozvoje organizace
• Bezpečnostní politika (BP) – Soubor opatření – formální/normativní rámec InfoSec v org. – Implementace - promítnutí technicko-organizačních opatření do každodenní praxe
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Bezpečnostní politika • Bezpečnostní politika je základním kamenem informační bezpečnosti – základní dokument pokrývající bezpečnostní aspekty veškerých činností prováděných v organizaci – vyžaduje podporu vedení společnosti, aby byla zaručena její dostatečná účinnost – obsahuje základní záměry, cíle, role, vymezení pravomocí, obecné zásady a konkrétní opatření – má tři úrovně - strategickou, taktickou, operativní
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
8
24.10.2011
Úrovně bezpečnostní politiky strategické cíle, celková koncepce bezpečnosti
úroveň strategická
CO a PROČ má být chráněno
úroveň taktická
úroveň operativní
JAK bude požadované ochrany dosaženo
Zdroj: DCIT a.s.
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Úrovně bezpečnostní politiky Bezpečnostní politika
Koncepce ochrany informací
Detailní bezpečnostní směrnice
Strategická úroveň
Taktická úroveň
Navazující (technická) dokumentace
Zdroj: DCIT a.s.
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
9
24.10.2011
Bezpečnostní dokumentace Strategická část
Bezpečnostní dokumentace (Dokumentace bezpečnostní politiky) Bezpečnostní politika ·
závazná pro všechny zaměstnance definuje účel, cíle a principy řešení problematiky informační bezpečnosti v rámci organizace
Pravidla nakládání s informacemi · · · ·
závazná pro všechny zaměstnance definuje kategorizaci informací obsahuje pravidla pro nakládání s informacemi pokrývá informace v elektronické i papírové podobě
Pravidla pro práci s výpočetní technikou · · ·
Pravidla pro bezpečnostního manažera
závazná pro všechny zaměstnance povinnosti uživatelů výpočetní techniky laikům srozumitelná
·
dokument definuje procesy a procedury související s rolí bezpečnostního manažera
Detailní bezpečnostní pravidla IT · ·
závazná pro všechny pracovníky IT příp. externí subjekty obsahuje podrobná pravidla (komunikace, logování, monitorování, správa systémů, vývoj a nasazování systémů apod.)
Taktická část
·
Přílohy · ·
seznam informačních aktiv - přiřazení kategorií a vlastníků seznam aplikací, IS a osob schvalujících přidělení přístupu
dokumenty (případně jejich části) zpracované DCIT
Technická dokumentace IT Aplikace
Zálohování
...
LAN / WAN
Administrační postupy
Elektronická pošta
Bezpečnostní nastavení
dokumenty jsou součástí provozní dokumentace IT
Windows 2003
Postupy pro instalaci, zálohování
...
Zdroj: DCIT a.s.
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Reakce na změny hrozeb •
„Nové hrozby žádají nová protiopatření – neustále, efektivně a hlavně včas“
• Proměna stávajících hrozeb – vývoj způsobu práce
• Vznik nových hrozeb – nové technologie
• Mechanismus přizpůsobování – Reakce/modifikace přijatých opatření novým potřebám – Formálně definovaný/realizovaný postup průběžné analýzy, implementace, kontroly, údržby, zlepšování systému InfoSec – Efektivita řízení, přiměřené (=„rozumné“) nároky na zdroje
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
10
24.10.2011
Systém řízení • „Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (Management System)“ • Systém řízení umožňuje: – Určení požadovaných cílů – Stanovení metod jak cílů dosáhnout – Kontrolu dosažení cílů (pomocí určených metod)
• Systém řízení zavádí: – – – –
Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování – implementace zlepšení
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Součásti systému řízení • „Management System pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny“ • • • • • •
Politika – Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování – Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz – Budování povědomí, školení Objektivní měření efektivity a výkonu – Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování – Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba
– „Management review“ Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
11
24.10.2011
ISMS • „ISMS je systém managementu bezpečnosti informací“ – Součást „globálního“ systému řízení organizace – Založen na přístupu vyhodnocování rizik – Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti • Zajištění systematické prevence vzniku incidentů • Spolehlivé vnitřní kontrolní mechanizmy • Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
ISMS • Systém řízení informační bezpečnosti – Pravidla fungování ISMS vymezena bezpečnostní politikou – Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) – Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
12
24.10.2011
Zavádění ISMS • Velmi náročný úkol, řada překážek • „důležitější projekty“, „vysoké náklady“, „prodloužení doby trvání projektů“,…. • Klíčový moment: zapojení a podpora vrcholového vedení (top managementu) do bezpečnostní problematiky
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Zavádění ISMS • Možná cesta: – metodologie COBIT v oblasti řízení IT a definování zodpovědností, – Procesní charakter řešení bezpečnosti, – Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa)
• Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
13
24.10.2011
Informační bezpečnost - přínosy Řešení problematiky informační bezpečnosti v organizaci je příkladem „nekončícího“ procesu. Výstupem není nikdy „bezpečnost“, ale SYSTÉM ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI, zaručující při správné implementaci dosažení adekvátní úrovně bezpečnosti v daném období.
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Informační bezpečnost - přínosy • Informační bezpečnost zajišťuje hlavní procesy organizace (např. business procesy) a chrání tím organizaci před uplatněním hrozeb ohrožujících splnění jejich cílů, umožňuje organizaci plnit legislativní a smluvní požadavky, snižuje dopady bezpečnostních incidentů, havárií a výpadků.
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
14
24.10.2011
Důvody pro zavedení ISMS – zvýšení bezpečnosti informací ve společnosti • preventivní (posílení vnitřních kontrolních mechanismů, „obavy“ IT nebo jiných útvarů, výstup provedených auditů) • reakce na „vlastní“ incident • reakce na medializovaný „cizí“ incident – marketingová (obchodní) výhoda (certifikát ISMS) – zákony a regulatorní požadavky (např. z mateřské společnosti) – sebevědomí společnosti, taktika CIO, CISO,…. Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Předpoklady zavedení ISMS – podpora a odpovědnost vedení společnosti – kvalifikovaný tým pro zavedení ISMS – konzultační podpora – zavedené funkční řídící procesy ve společnosti (ISMS je součástí systému řízení společnosti): • ISO 9000 (kvalita) • ISO 14000 (životní prostředí) • ISO 20000 (procesy řízení IT služeb) – funkční řídící dokumentace – definovaný rozsah ISMS Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
15
24.10.2011
Zavádění ISMS •Možná cesta: – metodologie COBIT v oblasti řízení IT a definování zodpovědností, – Procesní charakter řešení bezpečnosti, – Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa)
•Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik. Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Zavádění ISMS – Proces správy a řízení rizik je základem ISMS – Bezpečnost informací nelze ztotožnit s bojem proti „hackerům“ a „spamu“ – Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,…….) Využití standardů při zavádění ISMS – norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti – ISMS není třeba nasazovat plošně.
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
16
24.10.2011
Role manažera – úspěšné zavedení a provozování ISMS by mělo být hlavním cílem a náplní činnosti manažera společnosti odpovědného za informační bezpečnost (CIO, CISO, bezpečnostní ředitel, jiný člen vedení společnosti,…); – pro dosažení tohoto cíle je nezbytná skutečná podpora vrcholového vedení společnosti (resp. generálního ředitele, CEO, předsedy představenstva,…..) – poskytnutí této podpory je jejich hlavním úkolem; – Rozpočet na oblast bezpečnosti – Organizační struktura – bezpečnostní fórum (rada, výbor) – Metriky pro měření bezpečnosti – Bezpečnostní audity Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
Otázky ?
Děkuji za pozornost RNDr. Igor Čermák, CSc.
[email protected]
Igor Čermák (ČVUT FIT)
Systém řízení informační bezpečnosti
MI-IBE 2011, Přednáška 4
17