Politika informacn bezpecnosti, Dodatek

Transkript

1 Obsah dodatku Politika informacn bezpecnosti, Dodatek PV 017 Bezpecnost IT Politika informacn bezpecnosti dle z akona o kybernetick e bezpecnosti Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 1 Bezpecnostn politika je nejefektivn ejs, kdyz si ji organizace napse sama Vyps anm bezpecnostnch cl u a pl an u se vytv ar dokument, kter y lze vyuzt pro vce ucel u { je n avodem kam zamerovat zabezpecovac usil { pom ah a merit uspesnost a/nebo postup implementace bezpecnosti { jestlize dojde k chybn emu zameren nebo se zjist ne uspesnost postupu, pom uze najt spr avn e zameren dalsho pracovnho usil { je z akladem pro budouc rozvoj a dolad'ov an bezpecnosti Napsanou BP mohou autorizovan jedinci cst a hodnotit. Napsan a BP se st av a spolecn ym standardem pro implementaci, rzen a administraci informacn bezpecnosti v organizaci Bez napsan e BP usil bude zabezpecovac usil chaotick e, neclevedom e a mnohdy nespolehliv e. Napsan a BP je pevn ym z akladem pro uspesnost zabezpecovacho usil. Politika informacn bezpecnosti by m ela b yt klcov ym faktorem pri vsech rozhodnutch o cinnosti organizace, nen pravda, ze ovliv nuje cinnost pouze IT odd elen Byly doby, kdy byl probl em informacn bezpecnosti povazovan y za probl em poctacov ych,,exot u" Ve svetle soucasn e informacn ekonomiky je bezpecnost informac b azov ym pozadavkem naprc vsemi aspekty mal e i velk e organizace. Bez uceln eho zajisten informacn bezpecnosti je organizace vystavena rizik um utok u jak zvenc, tak i zevnitr i rizik um n ahodn ych chyb. Prosazov an bezpecnostn politiky v r amci vsech v yznamn ych podnikatelsk ych rozhodnut je pom ah a predevsm z hlediska dlouhodob eho zachov an prolu organizace nez pri resen okamzit ych bezpecnostnch probl em u (resen takov ych probl em u podporuje Pl an zvl adnut rizik) Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 2 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 3

2 Zam estnanci mus b yt skolen pro dodrzov an bezpecnostn politiky Je chybou ocek avat, ze ze zamestnanci budou dodrzovat bezpecnostn politiku, pokud si nejsou vedomi jej existence a jejho obsahu. Pro dlouhodob e (trval e) dodrzov an bezpecnostn politiky nestac ani jednor azov e informov an zamestnanc u. Organizace mus zav est pr ubezn y trval y skolc syst em pro pestov an bezpecnostnho uvedomen. Vsichni zamestnanci maj absolvovat kazd y p ulrok, resp. jednou rocne z akladn skolen zameren e na udrzov an minim aln urovne informacn bezpecnosti v cel e organizaci. Na t eto b azi pak lze vyvinout specick a skolen zameren a na konkr etn pracovn role, clen a na dosazen maxim aln produktivity pr ace pri pouzv an bezpecnostnho syst emu. Vsechna bezpecnostn skolen mus b yt revidov ana tak casto, jak je aktualizov ana bezpecnostn politika. Zamestnance, kter opakovane porusuj bezpecnostn pravidla, se nutn e proskolit dodatecn ymi, rozsirujcmi kurzy. Pokud po takov ych dodatecn ych skolench zamestnanec d ale porusuje bezpecnost, mus b yt z pozice, na kter e bezpecnost porusuje, uvolnen y Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 4 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 5 Bezpecnostn politika nebude organizaci chr anit pred vsemi mozn ymi hrozbami. Clem bezpecnostn politiky je snzen rizika na akceptovatelnou urove n Jej r adn e zaveden a prosazov an zmar vetsinu generick ych utok u I pri neomezen em rozpoctu, vzdy budou existovat nezn am a rizika, nezn am e hrozby a neocek avan e utoky, kter e bezpecnost informac porus. Z adn a implementace bezpecnosti nezaruc perfektn bezpecnost, perfektn bezpecnostn opatren neexistuje, neexistuj nenapadnuteln e infrastruktury Smyslem zaveden informacn bezpecnosti je d at organizaci tu nejvets sanci odvr atit nebo prezt utoky, nikoli zarucit perfektn bezpecnost Ucinn a bezpecnostn politika je bezpecnostn politika, kter a se trvale aktualizuje a reviduje Nic netrv a vecne, nic netrv a { Panta rhei { vsechno plyne pravil pravil Platon, kdyz interpretoval H erakleitovo Nelze dvakrát vstoupit do téže řeky Bezpecnost nen nikdy statick y stav, rizika a hrozby, jimz cel organizace se neust ale men. Ch ap an bezpecnosti rychle zastar a a bude nedostatecn e, pokud nen pravidelne revidov ano a zlepsov ano. Utocnci rozvjej nov e utoky kazdodenne. Organizace mus sv e bezpecnostn ochrany zlepsovat alespo n se stejnou frekvenc jako utocnci Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 6 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 7

3 Bezpecnostn politika m a zahrnovat sledov an v ykonu. Je jednm z nejvce prehlzen ym cl u informacn bezpecnosti je ochrana dostupnosti. V yrazne se pozaduje ochrana d uvernosti a integrity, ochrana dostupnosti se casto ignoruje. Jeden aspekt ochrany dostupnosti je sledov an v ykonu. Sledov an trend u propustnosti, zpozden, chyb, prenosov ych tok u, frontov an zpr av, chyb pri komunikaci, vcasnosti varov an na selh an hardware, n alady zamestnanc u, infekc skodliv ym software nebo penetrac, umozn si vsimnou probl emu drve, nez nastane. Ochrana pred ztr atou energie se m a zamerit na vcasnost detekce a prevence, nikoli na rychlou reakci a zotaven. Co nem uzete obh ajit / dok azat u soudu, nen ani spolehliv e ani uzitecn e pro bezpecnost. Pokud zajisten bezpecnosti organizaci nepom uze vyhr at soudn prpad, zabr anit placen pokut za porusov an regulacnch omezen nebo ochr anit pred rucenm ci nedbalostmi, tak proste nen dobr e. Aby organizace mohla potrestat potrestat podezrel eho, mus mt siln e d ukazy o tom, co se delo a kdo to delal. Mus existovat konkr etn dokumentovan e politiky, ty se mus prsne dodrzovat, mus existovat chr anen e auditn syst emy, jasn e vymezen autorizace a neobejiteln a autentizace. V t ymu vyvjejcm bezpecnostn politiku by mel participovat technicky orientovan y pr avnk. Bezpecnost mus b yt implementovan a tak, aby v ysledkem pod an zaloby bylo vynesen rozsudku ve prospech organizace a ne odhalen nedostatk u v organizaci. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 8 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 9 Vsichni mus dodrzovat bezpecnostn politiky nebo celit d usledk um Z adn e v yjimky, z adn a bozsk a kr alovsk a pr ava, z adn e predpokl adan e n aroky. Kdo pracujete v/s/pro organizaci, mus dodrzovat jej bezpecnostn politiky. Odpovednost za bezpecnost m a kazd y v cel e person aln hierarchii, od vrcholov eho veden az po poslednho zamestnance Kazd y je fakticky clenem bezpecnostn t ymu Pokud nekdo aktivne nepodporuje bezpecnost, bezpecnostn usil organizace podkop av a Kdyz zamestnanci vid, ze clenov e veden nedodrzuj pravidla, ignoruj nebo aktivne porusuj restrikce, vnmaj tato omezen jako umel a a bezv yznamn a Co mus dodrzovat zamestnanec, mus dodrzovat i vrcholov e veden Kdyz dojde k narusov an bezpecnosti, mus b yt odpovdajc aktivity zastaveny a mus b yt aplikov any adekv atn reakce a p uvodce mus celit d usledk um. Zam estnanci potrebuj uvoln en. Studie prok azaly, ze zameren na pracovn ukoly po dobu dels nez 50 minut v dobe bez 5 az 10 minutov e prest avky zp usobuje snzen produktivity. Pokud se takov a moznost relaxace zamestnanc um neposkytne, budou si hledat vlastn skryt e cesty k takov emu uvolnen Je d ulezit e usilovat vyv azenost mezi lidskou prirozenost a bezpecnost a poskytnout zamestnanc um jist e mnozstv nepracovn svobody To si m uze vyz adat vytvoren zvl astnch st'ov ych cest, virtu alnch syst em u nebo alternativnch,,hracch/relaxacnch prostor u" Pokud je jist a svoboda poskytnuta v prim arnm produkcnm prostred mus se zmrnit prsnost Internetov ych ltr u, z akaz u pouzv an nekter eho software. Zamestnanci mus b yt informov ani, ze toto je jim nabzeno jako privilegium, ze jsou zamestn an proto, aby plnili pracovn ukoly. A jakmile se produktivita snz, toto privilegium se odebere. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 10 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 11

4 Bezpecnostn politika je predm etem k diskusi. To, ze vsichni v organizaci maj dodrzovat bezpecnostn politiku, jeste neznamen a, ze s n vsichni souhlas. Vsem zamestnanc um na vsech urovnch m a b yt d ana moznost politiku kritizovat a vzn aset n avrhy na zmeny jej implementace. N avrhy nemus b yt akceptov any, ale otevren se vnitrn diskusi a debat am o bezpecnosti vede ke zdravejs bezpecnosti, k produktivnejsm a bezpecnejsm infrastruktur am. A zamestnaci budou zasvetenejs a spokojenejs. Ucinnost a prijatelnost bezpecnosti jsou dva neodd eliteln e faktory. Bezpecnost vyzaduje udrzovat rovnov ahu mezi ucinn ymi preventivnmi opatrenmi eliminujcmi nez adouc ud alosti a unosnou komplikac pracovnch cinnost autorizovan ych osob Obstrukcn, tezkop adn e, narusujc nebo obtezujc opatren budou obch azena, porusov ana ci likvidov ana. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 12 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 13 Bezpecnostn politika mus b yt jasn a, ctiv a, srozumiteln a Nepiste bezpecnostn politiky v komplikovan e jazyku pr avnch predpis u nebo pouze pomoc obr azk u, Vsechny polozky v bezpecnostn politice vyj adrete explicitne a snadno pochopitelnou formou Kazdou akci nebo omezen kladen e na pracovnka napiste, vyj adrete alespo n tremi zp usoby, pokud to jde. Vzdy pouzijte jin a slov, jin e pojmy. Bud'te si jist, ze kazd y cten ar bezpecnostn politiky plne ch ape co se od nej ocek av a. Neporozumen a moznost odlisn ych v yklad u bezpecnostnch n avod u vede k porusov an bezpecnosti. Predpisy a dosazen souladu s nimi jsou nutn e zla Kazd y, kdo pracuje podle predpis u, z akon u nebo prkaz u v, ze je nesmrne d ulezit e b yt s nimi v souladu. Jejich nedodrzen m uze v est k prsn ym pokut am, k odebr an autorizace, ke ztr ate klient u/z akaznk u, ke zrusen smlouvy, m uze mt pr avn d usledky apod. Pri navrhov an a psan bezpecnostn politiky, je nutn e zact s predpisy jako se z akladem, a pak lze expandovat na dals bezpecnostn prvky z cel e bezpecnostn infrastruktury. Po dokoncen tvorby bezpecnostn politiky, vzdy zkontrolujte, ze soulad s predpisy z ustal uchov an. Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 14 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 15

5 Kdyz jste na pochyb ach, konzultujte standardy Vytvoren bezpecnostn politiky se stalo standardn podnikatelskou cinnosti, ale ne vsichni predstavitel e organizace maj vzdy dostatecn e znalosti k vytvoren nebo ke zhodnocen bezpecnostn politiky. Prim arn zdroje pro zsk an znalost, resp. pro porovn an, zda postupujete spr avne, jsou napr. { NIST SP Information Security Handbook { ISO Information technology - Security techniques - Code of practice for information security management { Standard of Good Practice (SoGP) - Information Security Forum (ISF) { IT GOVERNANCE, A Manager's Guide to Data Security and ISO 27001/ISO 27002, Alan Calder & Steve Watkins, Kogan Page Limited, ISBN Struktura politiky informacn bezpecnosti dle z akona o kybernetick e bezpecnosti Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 16 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 17 Politika syst emu rzen informacn bezpecnosti Cle, principy a potreby rzen informacn bezpecnosti Rozsah a hranice syst emu rzen informacn bezpecnosti Pravidla a postupy pro rzen dokumentace Pravidla a postupy pro rzen zdroj u a provozu syst emu rzen informacn bezpecnosti Pravidla a postupy pro prov aden audit u kybernetick e bezpecnosti Pravidla a postupy pro prezkoum an syst emu rzen informacn bezpecnosti Pravidla a postupy pro n apravn a opatren a zlepsov an syst emu rzen informacn bezpecnosti Politika organizacn bezpecnosti Urcen bezpecnostnch rol a jejich pr av a povinnost { Pr ava a povinnosti manazera informacn bezpecnosti { Pr ava a povinnosti architekta informacn bezpecnosti { Pr ava a povinnosti auditora informacn bezpecnosti { Pr ava a povinnosti garanta (vlastnka) aktiv { Pr ava a povinnosti v yboru pro rzen informacn bezpecnosti Pozadavky na oddelen odpovednost Politika rzen dodavatel u Pravidla a principy pro v yber dodavatel u Pravidla pro hodnocen rizik dodavatel u N alezitosti smlouvy o urovni sluzeb a zp usob u a urovn realizace bezpecnostnch opatren a o urcen vz ajemn e smluvn odpovednosti Pravidla pro prov aden kontroly zaveden bezpecnostnch opatren Pravidla pro hodnocen dodavatel u Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 18 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 19

6 Politika klasikace aktiv Identikace, hodnocen a evidence prim arnch aktiv { Urcen a evidence jednotliv ych aktiv vcetne urcen jejich garanta { Hodnocen d ulezitosti aktiv z hlediska d uvernosti, integrity a dostupnosti Pravidla ochrany jednotliv ych urovn aktiv { Zp usoby rozlisov an jednotliv ych urovn aktiv { Pravidla pro manipulaci a evidenci aktiv podle urovn aktiv { Prpustn e zp usoby pouzv an aktiv Zp usoby spolehliv eho smaz an nebo nicen pamet'ov ych m edi Politika bezpecnosti lidsk ych zdroj u Pravidla rozvoje bezpecnostnho povedom a zp usoby jeho hodnocen { zp usoby a formy poucen uzivatel u { zp usoby a formy poucen garant u aktiv { zp usoby a formy poucen administr ator u { zp usoby a formy poucen dalsch osob v bezpecnostnch rolch Bezpecnostn skolen nov ych zamestnanc u Pravidla pro resen prpad u porusen bezpecnostn politiky syst emu rzen informacn bezpecnosti Pravidla pro ukoncen pracovnho vztahu nebo zmenu pracovn pozice { vr acen sveren ych aktiv a odebr an pr av pri ukoncen pracovnho vztahu { zmena prstupov ych opr avnen pri zmene pracovn pozice Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 20 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 21 Politika rzen provozu a komunikac Pravomoci a odpovednosti spojen e s bezpecn ym provozem Postupy bezpecn eho provozu Pozadavky a standardy bezpecn eho provozu Rzen technick ych zranitelnost Pravidla a omezen pro prov aden audit u kybernetick e bezpecnosti a bezpecnostnch test u Politika rzen prstupu Princip minim alnch opr avnen/potreba zn at (need to know) Pozadavky na rzen prstupu Zivotn cyklus rzen prstupu Rzen privilegovan ych opr avnen Rzen prstupu pro mimor adn e situace Pravideln a revize prstupov ych opr avnen vcetne adres arov ych sluzeb Politika bezpecn eho chov an uzivatel u Pravidla pro bezpecn e nakl ad an s aktivy Bezpecn e pouzit prstupov eho hesla Bezpecn e pouzit elektronick e posty a prstupu na internet Bezpecn y vzd alen y prstup Bezpecn e chov an na soci alnch stch Bezpecnost ve vztahu k mobilnm zarzenm Politika z alohov an a obnovy Pozadavky na z alohov an a obnovu Pravidla a postupy z alohov an Pravidla bezpecn eho ulozen z aloh Pravidla a postupy obnovy Pravidla a postupy testov an z alohov an a obnovy Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 22 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 23

7 Politika bezpecn eho pred av an a v ym eny informac Pravidla a postupy pro ochranu pred avan ych informac Zp usoby ochrany elektronick e v ymeny informac Pravidla pro vyuzv an kryptograck e ochrany Politika rzen technick ych zranitelnost Pravidla pro omezen instalace software Pravidla a postupy vyhled av an opravn ych programov ych balck u Pravidla a postupy testov an oprav software Pravidla a postupy nasazen oprav software Politika bezpecn eho pouzv an mobilnch zarzen Pravidla a postupy pro bezpecn e pouzv an mobilnch zarzen Politika licencov an softwaru a informac Pravidla a postupy nasazen software a jeho evidence Pravidla a postupy pro kontrolu dodrzov an licencnch podmnek Politika dlouhodob eho ukl ad an a archivace informac Pravidla a postupy archivace dokument u a z aznam u Ochrana archivovan ych dokument u a z aznam u Politika prstupu k archivovan ym dokument um a z aznam um Politika ochrany osobnch udaj u Charakteristika zpracov avan ych osobnch udaj u. Popis prijat ych a proveden ych organizacnch opatren pro ochranu osobnch udaj u Popis prijat ych a proveden ych technick ych opatren pro ochranu osobnch udaj u Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 24 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 25 Politika fyzick e bezpecnosti Pravidla pro ochranu objekt u Pravidla pro kontrolu vstupu osob Pravidla pro ochranu zarzen Detekce narusen fyzick e bezpecnosti Politika bezpecnosti st e Pravidla a postupy pro zajisten bezpecnosti ste Urcen pr av a povinnost za bezpecn y provoz ste Pravidla a postupy pro rzen prstup u v r amci ste Pravidla a postupy pro ochranu vzd alen eho prstupu k sti Pravidla a postupy pro monitorov an ste a vyhodnocov an provoznch z aznam u Politika ochrany pred skodliv ym k odem Pravidla a postupy pro ochranu komunikace mezi vnitrn a vnejs st Pravidla a postupy pro ochranu server u a sdlen ych datov ych ulozist' Pravidla a postupy pro ochranu pracovnch stanic Politika nasazen a pouzv an n astroje pro detekci Pravidla a postupy nasazen n astroje pro detekci Provozn postupy pro vyhodnocov an a reagov an na detekovan e kybernetick e bezpecnostn ud alosti Pravidla a postupy pro optimalizaci nastaven n astroje pro detekci Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 26 Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 27

8 Politika vyuzit a udrzby n astroje pro sb er a vyhodnocen Pravidla a postupy pro evidenci a vyhodnocen Pravidla a postupy pravideln e aktualizace pravidel pro vyhodnocen Pravidla a postupy pro optim aln nastaven bezpecnostnch vlastnost n astroje pro sber a vyhodnocen Politika bezpecn eho pouzv an kryptograck e ochrany urove n ochrany s ohledem na typ a slu kryptograck eho algoritmu pravidla kryptograck e ochrany informac { pri prenosu po komunikacnch stch { pri ulozen na mobiln zarzen nebo vymeniteln e m edium syst em spr avy klc u Jan Staudek, FI MU Brno PV017 { Politika informacn bezpecnosti 28