Systém řízení informační bezpečnosti (ISMS)

24.10.2011

Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc.

Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze © Igor Čermák, 2011

Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 4 MI-POA

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

Igor Čermák (ČVUT FIT)

Systém řízení informační bezpečnosti

MI-IBE 2011, Přednáška 4

Informační bezpečnost (MI-IBE)

4.přednáška Systém řízení informační bezpečnosti (ISMS)




1

24.10.2011

Role manažerů v oblasti IS/IT a informační bezpečnosti




Role manažerů •

Vyplývá z principů IT Governance: – Řízení IT je součástí řízení organizace – Důraz na aktivní zapojení IT do tvorby a naplnění firemní strategie • Strategie organizace a její business cíle určují strategii IT • Požadavky IT ovlivňují strategii organizace

•

– Jde o propojení řízení IT s řízení celé organizace Začlenění IT Governance do systému řízení IT – Strategické řízení IT • IT Governance • COBIT (manažerský framework pro plánování, řízení a kontrolu IS/ICT)

– Taktické a operativní řízení IT • ITIL (procesní nástroj a popis best-practices pro provoz a rozvoj IS/ICT infrastruktury a služeb • Využití norem (např. ISO/IEC 20000. ISO/IEC 2700x apod.)




2

24.10.2011

Role manažerů • role ředitele (manažera) informatiky (IS/IT) (Chief Information Officer - CIO): – Orientace IS/ICT na základní cíle podniku (obchodní orientace) – Spolupodílet se na formulaci těchto cílů (inicializace cílů využívající nové možnosti IS/ICT) – Zajištění integrity IS/ICT podniku a koordinace všech projektů

• Pozice CIO v organizaci a jeho vliv na globální strategii organizace – Závisí v zásadě na tom, jak je řízeno IS/ICT v organizaci – A zda je či není členem vrcholového vedení organizace




Role manažerů - CISO • IT Security Manager – Chief Information Security Officer (CISO): – Ochrana informačních aktiv organizace • Před ztrátou (důvěrnost aktiv, dostupnost aktiv) • Před zneužitím (důvěrnost aktiv) • Před pozměněním nebo poškozením (integrita a dostupnost aktiv)

– Informační aktiva = informace, které mají pro organizaci hodnotu. – Informační bezpečnost= bezpečnost informací ve všech jejich formách během celého jejich „životního cyklu“

• Security Manager (SM) – bezpečnostní ředitel – Otázky bezpečnosti v rámci organizace • • • •

Fyzická ochrana Požární ochrana Ochrana zdraví a života Kontinuita provozu




3

24.10.2011

Role manažerů – CIO, CISO, SM • Pozice IT Security manažera: • Modely řízení bezpečnosti, IT bezpečnosti a informatiky




ISMS • …….Zpět k ISMS (i když jsme stále byli v oblasti řízení, kam spadá i ISMS)




4

24.10.2011

Systém řízení • „Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (MS)“ • Systém řízení umožňuje: – Určení požadovaných cílů – Stanovení metod jak cílů dosáhnout – Kontrolu dosažení cílů (pomocí určených metod)

• Systém řízení zavádí: – – – –

Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování – implementace zlepšení




Součásti systému řízení • „MS pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny“ • • • • • •

Politika – Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování – Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz – Budování povědomí, školení Objektivní měření efektivity a výkonu – Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování – Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba

– „Management review“




5

24.10.2011

Information Security Management System (ISMS) • „ISMS je systém managementu bezpečnosti informací“ o Součást „globálního“ systému řízení organizace o Založen na přístupu vyhodnocování rizik o Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti • Zajištění systematické prevence vzniku incidentů • Spolehlivé vnitřní kontrolní mechanizmy • Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany




ISMS • Systém řízení informační bezpečnosti – Pravidla fungování ISMS vymezena bezpečnostní politikou – Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) – Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi




6

24.10.2011

Informační bezpečnost - přínosy • Přínosy systému informační bezpečnosti – minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.) – jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky případných výpadků a havárií) – vymezení povinností a zodpovědnosti zaměstnanců (snižuje riziko bezp. incidentů, zajišťuje nepopiratelnost) – naplnění legislativních požadavků




Formální přístup • Pro zajištění bezpečnosti informací – Implementace souboru opatření, např. • • • •

Politiky Prováděcí postupy Organizační struktura Funkce software

– Opatření vybrána na základě posouzení rizik

•  nutnost formálního přístupu Igor Čermák (ČVUT FIT)



7

24.10.2011

Bezpečnostní politika • Koncepčnost – soulad s potřebami (i očekávanými) organizace

• Komplexnost – soubor technicko-org. opatření/postupů napříč org.

• Efektivita – nesmí být „brzdou“ řízení a rozvoje organizace

•  Bezpečnostní politika (BP) – Soubor opatření – formální/normativní rámec InfoSec v org. – Implementace - promítnutí technicko-organizačních opatření do každodenní praxe




Bezpečnostní politika • Bezpečnostní politika je základním kamenem informační bezpečnosti – základní dokument pokrývající bezpečnostní aspekty veškerých činností prováděných v organizaci – vyžaduje podporu vedení společnosti, aby byla zaručena její dostatečná účinnost – obsahuje základní záměry, cíle, role, vymezení pravomocí, obecné zásady a konkrétní opatření – má tři úrovně - strategickou, taktickou, operativní




8

24.10.2011

Úrovně bezpečnostní politiky strategické cíle, celková koncepce bezpečnosti

úroveň strategická

CO a PROČ má být chráněno

úroveň taktická

úroveň operativní

JAK bude požadované ochrany dosaženo

Zdroj: DCIT a.s.




Úrovně bezpečnostní politiky Bezpečnostní politika

Koncepce ochrany informací

Detailní bezpečnostní směrnice

Strategická úroveň

Taktická úroveň

Navazující (technická) dokumentace

Zdroj: DCIT a.s.




9

24.10.2011

Bezpečnostní dokumentace Strategická část

Bezpečnostní dokumentace (Dokumentace bezpečnostní politiky) Bezpečnostní politika ·

závazná pro všechny zaměstnance definuje účel, cíle a principy řešení problematiky informační bezpečnosti v rámci organizace

Pravidla nakládání s informacemi · · · ·

závazná pro všechny zaměstnance definuje kategorizaci informací obsahuje pravidla pro nakládání s informacemi pokrývá informace v elektronické i papírové podobě

Pravidla pro práci s výpočetní technikou · · ·

Pravidla pro bezpečnostního manažera

závazná pro všechny zaměstnance povinnosti uživatelů výpočetní techniky laikům srozumitelná

·

dokument definuje procesy a procedury související s rolí bezpečnostního manažera

Detailní bezpečnostní pravidla IT · ·

závazná pro všechny pracovníky IT příp. externí subjekty obsahuje podrobná pravidla (komunikace, logování, monitorování, správa systémů, vývoj a nasazování systémů apod.)

Taktická část

·

Přílohy · ·

seznam informačních aktiv - přiřazení kategorií a vlastníků seznam aplikací, IS a osob schvalujících přidělení přístupu

dokumenty (případně jejich části) zpracované DCIT

Technická dokumentace IT Aplikace

Zálohování

...

LAN / WAN

Administrační postupy

Elektronická pošta

Bezpečnostní nastavení

dokumenty jsou součástí provozní dokumentace IT

Windows 2003

Postupy pro instalaci, zálohování

...

Zdroj: DCIT a.s.




Reakce na změny hrozeb •

„Nové hrozby žádají nová protiopatření – neustále, efektivně a hlavně včas“

• Proměna stávajících hrozeb – vývoj způsobu práce

• Vznik nových hrozeb – nové technologie

•  Mechanismus přizpůsobování – Reakce/modifikace přijatých opatření novým potřebám – Formálně definovaný/realizovaný postup průběžné analýzy, implementace, kontroly, údržby, zlepšování systému InfoSec – Efektivita řízení, přiměřené (=„rozumné“) nároky na zdroje




10

24.10.2011

Systém řízení • „Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (Management System)“ • Systém řízení umožňuje: – Určení požadovaných cílů – Stanovení metod jak cílů dosáhnout – Kontrolu dosažení cílů (pomocí určených metod)

• Systém řízení zavádí: – – – –

Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování – implementace zlepšení




Součásti systému řízení • „Management System pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny“ • • • • • •

Politika – Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování – Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz – Budování povědomí, školení Objektivní měření efektivity a výkonu – Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování – Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba

– „Management review“ Igor Čermák (ČVUT FIT)



11

24.10.2011

ISMS • „ISMS je systém managementu bezpečnosti informací“ – Součást „globálního“ systému řízení organizace – Založen na přístupu vyhodnocování rizik – Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti • Zajištění systematické prevence vzniku incidentů • Spolehlivé vnitřní kontrolní mechanizmy • Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany




ISMS • Systém řízení informační bezpečnosti – Pravidla fungování ISMS vymezena bezpečnostní politikou – Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) – Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi




12

24.10.2011

Zavádění ISMS • Velmi náročný úkol, řada překážek • „důležitější projekty“, „vysoké náklady“, „prodloužení doby trvání projektů“,…. • Klíčový moment: zapojení a podpora vrcholového vedení (top managementu) do bezpečnostní problematiky




Zavádění ISMS • Možná cesta: – metodologie COBIT v oblasti řízení IT a definování zodpovědností, – Procesní charakter řešení bezpečnosti, – Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa)

• Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik Igor Čermák (ČVUT FIT)



13

24.10.2011

Informační bezpečnost - přínosy Řešení problematiky informační bezpečnosti v organizaci je příkladem „nekončícího“ procesu. Výstupem není nikdy „bezpečnost“, ale SYSTÉM ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI, zaručující při správné implementaci dosažení adekvátní úrovně bezpečnosti v daném období.




Informační bezpečnost - přínosy • Informační bezpečnost zajišťuje hlavní procesy organizace (např. business procesy) a chrání tím organizaci před uplatněním hrozeb ohrožujících splnění jejich cílů, umožňuje organizaci plnit legislativní a smluvní požadavky, snižuje dopady bezpečnostních incidentů, havárií a výpadků.




14

24.10.2011

Důvody pro zavedení ISMS – zvýšení bezpečnosti informací ve společnosti • preventivní (posílení vnitřních kontrolních mechanismů, „obavy“ IT nebo jiných útvarů, výstup provedených auditů) • reakce na „vlastní“ incident • reakce na medializovaný „cizí“ incident – marketingová (obchodní) výhoda (certifikát ISMS) – zákony a regulatorní požadavky (např. z mateřské společnosti) – sebevědomí společnosti, taktika CIO, CISO,…. Igor Čermák (ČVUT FIT)



Předpoklady zavedení ISMS – podpora a odpovědnost vedení společnosti – kvalifikovaný tým pro zavedení ISMS – konzultační podpora – zavedené funkční řídící procesy ve společnosti (ISMS je součástí systému řízení společnosti): • ISO 9000 (kvalita) • ISO 14000 (životní prostředí) • ISO 20000 (procesy řízení IT služeb) – funkční řídící dokumentace – definovaný rozsah ISMS Igor Čermák (ČVUT FIT)



15

24.10.2011

Zavádění ISMS •Možná cesta: – metodologie COBIT v oblasti řízení IT a definování zodpovědností, – Procesní charakter řešení bezpečnosti, – Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa)

•Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik. Igor Čermák (ČVUT FIT)



Zavádění ISMS – Proces správy a řízení rizik je základem ISMS – Bezpečnost informací nelze ztotožnit s bojem proti „hackerům“ a „spamu“ – Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,…….) Využití standardů při zavádění ISMS – norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti – ISMS není třeba nasazovat plošně.




16

24.10.2011

Role manažera – úspěšné zavedení a provozování ISMS by mělo být hlavním cílem a náplní činnosti manažera společnosti odpovědného za informační bezpečnost (CIO, CISO, bezpečnostní ředitel, jiný člen vedení společnosti,…); – pro dosažení tohoto cíle je nezbytná skutečná podpora vrcholového vedení společnosti (resp. generálního ředitele, CEO, předsedy představenstva,…..) – poskytnutí této podpory je jejich hlavním úkolem; – Rozpočet na oblast bezpečnosti – Organizační struktura – bezpečnostní fórum (rada, výbor) – Metriky pro měření bezpečnosti – Bezpečnostní audity Igor Čermák (ČVUT FIT)



Otázky ?

Děkuji za pozornost RNDr. Igor Čermák, CSc.

[email protected]




17

Systém řízení informační bezpečnosti (ISMS)

Recommend Documents