Případová studie. Zavedení ISMS dle standardu Mastercard

Transkript

1 Případová studie Případová studie Zavedení ISMS dle standardu Mastercard

2 Případová studie Verze 1.0 Obsah Zavedení ISMS dle standardu Mastercard Výchozí stav Zavedení ISMS dle standardu Mastercard Výchozí stav 1 Obchodní cíle 2 Řešení 3 Přínosy řešení 4 Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených na využití čipových karet v České a Slovenské republice. Hlavními produkty organizace jsou řešení v oblasti bezpečných transakčních systémů a souvisejících produktů jako je bezpečná komunikace a autentizace splňující nejvyšší bezpečnostní standardy. Řešení jsou využívána v bankovním sektoru, u velkých obchodních řetězců, v soukromých firmách či ve státní správě. Základem dodávaných řešení je vlastní vývoj aplikačního SW vybavení a personalizace karet. Stav řízení informační bezpečnosti nebyl do té doby řešen procesně a systémově. Byla nastavena určitá bezpečnostní pravidla, ale systémový přístup nebyl průkazný. Tento stav generoval následující problematické oblasti: 1. Pracné a nejednotné řízení informační bezpečnosti s různými nároky v jednotlivých útvarech Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených na využití čipových karet v České a Slovenské republice. 2. Izolovaná řešení v jednotlivých útvarech bez možnosti celofiremního pohledu na problematiku informační bezpečnosti 3. Malá informovanost o bezpečnostních incidentech v jednotlivých útvarech 4. Komplikované získávání podkladů o stavu informační bezpečnosti 5. Absence systému delegování odpovědností za jednotlivé oblasti bezpečnosti, neexistence role manažera pro informační bezpečnost 1

3 Obchodní cíle Vzhledem k tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních karet, stal se tento požadavek iniciátorem naplnění strategického cíle společnosti, a to implementacee systému řízení informační bezpečnosti (ISMS) v souladu se standardy ISO/IEC a Mastercard pro logickou a fyzickou bezpečnost. Implementace ISMS dle požadavků Mastercard není běžným projektem, jak je tomu u implementací ISMS dle ISO/IEC Od implementace ISMS dle ISO/IEC a požadavků Mastercard Organizace očekávala následující zlepšení: 1. Proniknutí na nové trhy a rozšíření portfolia sofistikovaných řešení 2. Integrace a sjednocení současných bezpečnostních postupů a politik do jednoho systému řízení 3. Definování centrální politiky ISMS 4. Nastavení pravidel a postupů dle požadavků Mastercard 5. Zavedení systémového přístupu k managementu rizik založenému na dokumentovaném postupu 6. Zlepšení logické a fyzické bezpečnosti personalizace Řešení Řešení implementace ISMS vycházelo z požadavku klienta na dosažení shody s požadavky normy ISO/IEC a standardů Mastercard pro logickou bezpečnost a dosažení certifikace Mastercard tak, aby bylo možno v 10/2012 zahájit výrobu bankovních karet. Implementace a následná certifikace ISMS dle požadavků Mastercard je, v mnoha ohledech, mnohem náročnější, než běžná implementace ISMS dle ISO/IEC Z pohledu implementace procesního a systémovéhoo řízení je postup obou implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem závaznější v oblasti aplikace jednotlivých bezpečnostních opatření, která jsou uvedena v příloze A normy ISO/IEC Vzhledem k tomu, že v mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou stranu nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen z pohledu implementace většinou technologických opatření, ale i z pohledu větších požadavků na potřebu lidských zdrojů a definování různých bezpečnostních rolí a jejich zastupitelnosti. Práce řešitelského týmu, který byl složen z konzultantů na procesní řízení ISMS, specialisty na management rizik a expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRINCE2 a s pomocí podpůrné aplikace MS Project. Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS. 2

4 Implementace byla rozdělena do devíti fází: 1. Fáze č. 1 Provedení úvodní analýzy ISMS, tj. hledání silných a slabých stránek (SWOT) ve stávajícím systému informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC a Mastercard. Součástí této fáze bylo i vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje. 2. Fáze č. 2 Stanovení rozsahu a struktury ISMS. Hned na začátku implementace je nutné stanovit rozsah a strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem pro stanovení rozsahu a struktury ISMS byla úvodní analýza (situační audit) ISMS. Dalším zdrojem pro stanovení rozsahu a struktury ISMS byl seznam informačních aktiv, které jsou důležité z hlediska informační bezpečnosti. V této fázi konzultanti Versa Systems společně s pracovníky Organizace vymezili předmět (rozsah) a hranice systému informační bezpečnosti. 3. Fáze č. 3 Stanovení bezpečnostní politiky (Politika ISMS). V této fázi byla stanovena politika ISMS tak, aby pokrývala rozsah a hranice ISMS, přičemž se zároveň vycházelo z výsledků úvodní analýzy, která je prakticky nezbytným podkladem pro definování základních principů v bezpečnostní politice. 4. Fáze č. 4 Zavedení systematického řízení rizik (management rizik), tj. zpracování metodiky pro analýzu, hodnocení a řízení rizik na základě vybraných hrozeb a zranitelností pro aktiva v rozsahu ISMS. Součástí metodiky bylo také stanovení postupuu pro definování akceptovatelné/neakceptovatelné úrovně rizika. V této fázi bylo nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k daným aktivům se identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých hrozeb. Nakonec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a zkušeného moderátora, přičemž se použila metoda WHAT IF. Výsledky analýzy rizik byly klíčové pro další postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich eliminaci. 5. Fáze č. 5 Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních opatření pro eliminaci neakceptovatelných rizik. Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems návrh variant pro eliminaci rizik a návrh opatření pro řízení rizik. Výstupem z této a předchozí fáze byla podrobná zpráva s popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla prezentována vedení organizace. Zástupci vedení spolu s pracovníky bezpečnostního výboru vybrali pro jednotlivá neakceptovatelná rizika nejvhodnější řešení. Při výběru bezpečnostních opatření vycházeli především z následujících priorit: vědomé přijetí rizik, je-li to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná rizika) vyhnutí se rizikům přenesení nebo rozložení míry rizika na další strany (například dodavatele, pojišťovny) splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů plánovaný rozvoj aktivit organizace a jejího ISMS uplatnění best practices 6. Fáze č. 6 - Implementace a provoz ISMS. Implementace bezpečnostních opatření a jejich testování. Jednalo se o nejsložitější a nejdelší fázi realizace projektu. Na začátku této fáze bylo nutno k vybraným opatřením pro snižování rizik vytvořit plány implementace těchto opatření, tzv. Programy pro zvládání rizik (RTP = Risk Treatment Plans). Takto sestavené plány bylo nutno realizovat v praxi a postupně jednotlivá opatření uvést do provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády, bezpečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a záznamy, které pokrývaly celý životní cyklus systému logické a fyzické bezpečnosti dle požadavků Mastercard. 3

5 7. Stěžejní dokumentace Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro transakční systém, pro systém personalizace a pro systém KSM (systém generování šifrovacích klíčů) a další dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené dokumentace byly i postupy pro havarijní plánování a obnovy funkčnosti a popis procesu managementu incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní testování, včetně postupů pro testování zranitelností a penetračních testů. V této fázi bylo nutné zejména: alokovat zdroje lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS připravit programy vzdělávání a zvyšování bezpečnostního povědomí zaměstnanců implementovat zvolená opatření prostřednictvím programů řízení rizik implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační bezpečnosti implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti ISMS implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans) 8. Fáze č. 7 Monitorování a přezkoumávání ISMS. Pro správnou funkci ISMS dle Mastercard bylo nutné zahájit co nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a informací z provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k prezentaci při auditu Mastercard. Základní činnostii monitorování a měření, které bylo nutné v této fázi provádět, byly následující: pravidelné ověřování ISMS z hlediska plnění bezpečnostní politiky, cílů a programů pro snižování rizik a s ohledem na výsledky bezpečnostních auditů, incidentů, příp. podnětů zákazníků a jiných stran pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s ohledem na změny v organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí atd. realizovat interní systémový audit ISMS, jako jeden ze základních kontrolních nástrojů pro zjištění stavu a úrovně zavedení ISMS provést přezkoumávání ISMS vedením zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a penetračních testů vést, zaznamenávat a vyhodnocovat auditní logy, záznamy o činnostech administrátorů atd. Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv. Plán bezpečnostních kontrol a údržby. Ve finální verzi tento plán obsahoval celkem 84 aktivit, které je nutné provádět v různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně) V rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí schváleného testovacího nástroje PCI OUTSCAN (certifikace dle PCI DSS) dle požadavků Mastercard. Tento test se musí provádět kvartálně. 9. Fáze č. 8 Certifikační proces Mastercard. K této fázi se přistoupilo po cca 12 měsících trvání projektu. Certifikace dle požadavků Mastercard je podobný proces jako u certifikace dle ISO/IEC s tím rozdílem, že trvá nepoměrně déle a je také mnohem důkladnější. Vzhledem k tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na technologie a systém ISMS také značné požadavky na kvalifikovaný a jazykově vybavený personál organizace. 4

6 Konzultanti Versa Systems byli v této fázi přítomni u auditního procesu a zajišťovali nezbytnou podporu pracovníků organizace, samozřejmě v mezích přípustných pravidel. Certifikační audit proběhl úspěšně a v současné době má organizace vydaný certifikát dokladující shodu s kritérii Mastercard a její jméno je zaneseno do schválených dodavatelů Mastercard. 10. Fáze č. 9 Údržba a zlepšování ISMS. Je to fáze udržování a dalšího rozvoje implementované a certifikovaného systému. V současné době má Versa Systems uzavřenou postimplementační dohodu (SLA ) o údržbě systému ISMS v Organizaci. Přínosy řešení Zákazník má implementovaný a certifikovaný ISMS dle požadavků Mastercard. Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor. Zavedením ISMS se nastavil systémový a procesní přístup k řízení informační bezpečnosti s jasně definovanými odpovědnostmi za jednotlivé oblasti ISMS, s jasně popsanými postupy a pravidly v ISMS. Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení důvěrnosti, integrity a dostupnosti informačních aktiv v Organizaci. Zavedeným a certifikovaným ISMS se Organizace stává kvalifikovaným dodavatelem v oblasti platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v bankovnictví. Organizace je díky certifikaci Mastercard lépe vnímána v bankovním sektoru. Zavedení ISMS je i ekonomicky výhodné, neboť náklady se postupně vrátí zejména cestou minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v dodávkách produktů, které podléhají certifikaci Mastercard. 5