Obsah. Příloha č. 2: Standardy a doporučení Verze:

Transkript

1 Příloha č. 2: Standardy a doporučení Verze: Obsah Obsah... 1 Právní předpisy... 2 Normy, které se týkají informační bezpečnosti... 3 Obecné zásady... 5 Doporučení pro řízení informační bezpečnosti ) Zavést řízení rizik jako součást řízení informační bezpečnosti ) Mít bezpečnostní politiku: ) Řídit informační bezpečnost ) Realizovat řízení aktiv ) Věnovat dostatečnou pozornost personální bezpečnosti ) Řešit fyzickou bezpečnost ) Řídit komunikace a provoz ) Řídit přístup k systémům ) Věnovat dostatečnou pozornost pořízení, vývoji a údržbě ) Řešit bezpečnostní incidenty a nedostatky ) Řídit správu kontinuity ) Zajistit soulad se standardy a právními normami... 9 Proces zavedení systému řízení informační bezpečnosti Další doporučení Hlavní procesy řízení životního cyklu bezpečnostní dokumentace Typy dokumentace Plány v rámci bezpečnosti IS... 13

2 Právní předpisy Mezi nejdůležitější právní předpisy České republiky se vztahem na informační bezpečnost patří: Ústavní zákon č. 23/1991 Sb., kterým se uvozuje Listina základních práv a svobod. Zákon č. 101/2000Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Zákon č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů. Zákon č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů. Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů. Zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů. Zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů. Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějšího předpisu. Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích). Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů. Zákon č. 480/2004 Sb., o některých službách informační společnosti. Usnesení vlády ČR č.624 ze dne 20. června 2001, o pravidlech, zásadách a způsobu zabezpečování kontroly užívání počítačových programů. Ústavní zákon č. 110/1998 Sb., o bezpečnosti ČR, ve znění pozdějšího předpisu. Zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně dalších zákonů, ve znění pozdějších předpisů. Vyhláška NBÚ č. 56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu. Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona 320/2002 Sb. Nařízení vlády 462/2000 Sb., k provedení 27 odst. 8 a 28 odst. 5 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon). Zákon č. 239/2000 Sb., o integrovaném záchranném systému a o změně některých zákonů, ve znění pozdějších předpisů. Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon). Zákon č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů. Zákon ČNR č. 552/1991 Sb., o státní kontrole, ve znění kontrolního předpisu. Zákon č. 166/1993 Sb., o Nevyšším kontrolním úřadu, ve znění pozdějších předpisů. Strana 2 z

3 Usnesení vlády: Usnesení č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky. Usnesení vlády ČR č. 271 ze dne 21. března 2001, k zabezpečení služeb komunikační infrastruktury informačních systémů veřejné správy (ISVS). Nejdůležitější legislativní předpisy Evropské unie pro oblast informační bezpečnosti jsou: Směrnice 1997/66/ES o ochraně dat v telekomunikacích. Směrnice 1995/46/ES o ochraně osobních dat. Směrnice 2002/58/ES o soukromí v elektronické komunikaci. Směrnice 1999/93/ES o zásadách Společenství pro elektronické podpisy. Směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí. Nařízení 2001/45/ES o ochraně fyzických osob při zpracování osobních údajů orgány a institucemi. Směrnice rady 1991/250/EHS o právní ochraně počítačových programů. Směrnice rady 2001/264/EC o ochraně utajovaných informacích. Směry rozvoje Evropské unie jsou vytýčeny v tzv. akčních programech a plánech: Elektronická výměna dat mezi administrativami [členských zemí] (IDA). eeurope 2005: informační společnost pro všechny. Víceletý program podpory k prosazování informační společnosti v Evropě. Uživatelsky přívětivá informační společnost. Bezpečnější internet. Normy, které se týkají informační bezpečnosti V rámci řízení informační bezpečnosti jsou nejvýznamnější (všeobecně nejvíce podporované) tyto normy: ČSN ISO/IEC 17799:2001 Informační technologie Soubor postupů pro řízení informační bezpečnosti. ČSN BS :2004 Systém managementu bezpečnosti informací - Specifikace s návodem pro použití. (Pozn. tento původně Britský standard BS 7799 se stal nejuznávanější normou v oblasti řízení informační bezpečnosti vzhledem k jeho vysoké kvalitě a srozumitelnosti.) Výčet příruček vydaných Britský normalizačním institutem, které úzce navazují na BS 7799: PD 3001:2002 Příprava na certifikaci podle BS (Preparing for BS certification), PD 3002:2002 Přiručka BS 7799 pro hodnoceni rizik (Guide to BS 7799 Risk Assessment), PD 3003:2002 Příručka pro hodnoceni shody (Compliance assessment workbook), PD 3004:2002 Přiručka pro implementaci a audit opatřeni BS 7799 (Guide to the implementation and auditing of BS 7799 controls), PD 3005:2002 Příručka pro výběr opatřeni BS 7799 (Guide on the selection of BS 7799 controls). ČSN ISO/IEC TR :1999 Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 1: Pojetí a modely bezpečnosti IT. ČSN ISO/IEC TR :2000 Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 2: Řízení a plánování bezpečnosti IT. ČSN ISO/IEC TR :2000 Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení bezpečnosti IT. ČSN ISO/IEC TR :2002 Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 4: Výběr ochranných opatření. ČSN ISO/IEC TR (zatím nevydáno) Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 5: Ochranná opatření pro externí spojení. Další normy, které se týkají informační bezpečnosti: ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT Část 1: Úvod a všeobecný model. ČSN ISO/IEC :2002 Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT Část 2: Bezpečnostní funkční požadavky. Strana 3 z

4 ČSN ISO/IEC :2002 Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT Část 3: Požadavky na záruky bezpečnosti. ČSN ISO/IEC 15816:2003 Informační technologie - Bezpečnostní techniky - Bezpečnostní informační objekty pro řízení přístupu. ČSN ISO/IEC :2002 Softwarové inženýrství - Jakost produktu - Část 1: Model jakosti. ČSN ISO/IEC :2000 Informační technologie - Hodnocení softwarového produktu - Část 1: Všeobecný přehled. ČSN ISO/IEC :2002 Softwarové inženýrství - Hodnocení produktu - Část 2: Plánování a management. ČSN ISO/IEC :2001 Softwarové inženýrství - Hodnocení produktu - Část 3: Postup pro projektanty. ČSN ISO/IEC :2001 Softwarové inženýrství - Hodnocení produktu - Část 4: Postup pro akvizitéry. ČSN ISO/IEC :1999 Informační technologie - Hodnocení softwarového produktu - Část 5: Postup pro hodnotitele. ČSN ISO/IEC :2002 Softwarové inženýrství - Hodnocení produktu - Část 6: Dokumentace vyhodnocovacích modulů. ČSN ISO/IEC 12207:1997(tisková změna2003) Informační technologie - Procesy v životním cyklu software. ČSN ISO/IEC 12119:1996 Informační technologie - Softwarové balíky - Požadavky na jakost a zkoušení. ČSN ISO/IEC :2001 Informační technologie Slovník Část 8: Bezpečnost. ČSN ISO/IEC TR :2004 Informační technologie - Bezpečnostní techniky - Směrnice pro používání a řízení služeb důvěryhodných třetích stran. ČSN ISO/IEC 10736:1998 Informační technologie - Telekomunikace a výměna informací mezi systémy - Bezpečnostní protokol transportní vrstvy. ČSN ISO/IEC :1998 Informační technologie - Propojení otevřených systémů -Bezpečnostní struktury otevřených systémů: Přehled. ČSN SO/IEC :1998 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura autentizace. ČSN ISO/IEC :1998 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura řízení přístupu. ČSN ISO/IEC :1999 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura nepopiratelnosti. ČSN ISO/IEC :1999 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura důvěrnosti. ČSN ISO/IEC :1999 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura integrity. ČSN ISO/IEC :1999 Informační technologie - Propojení otevřených systémů - Bezpečnostní struktury otevřených systémů: Struktura bezpečnostního auditu a alarmů. ČSN ISO/ IEC 9797:1997 Informační technologie - Bezpečnost techniky - Mechanismus integrity dat používající kryptografickou kontrolní funkci s využitím algoritmu blokové šifry. ČSN ISO IEC :2001 Informační technologie - Bezpečnostní techniky - Kódy pro autentizaci zprávy (MAC) - Část 1: Mechanismy používající blokovou šifru. ČSN ISO/IEC :1997 Informační technologie - Bezpečnostní techniky - Mechanismy autentizace entit - 1.část: Obecný model. ČSN ISO/IEC :2000 Informační technologie - Bezpečnostní techniky - Autentizace entit - Část 2: Mechanismy používající symetrické šifrovací algoritmy. ČSN ISO/IEC :1997 Informační technologie - Bezpečnostní techniky - Mechanismy autentizace entit - Část 3: Autentizace entit používající algoritmus s veřejným klíčem. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Autentizace entit - Část 4: Mechanismy používající kryptografickou kontrolní funkci. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Autentizace entit - Část 5: Mechanismy používající techniku nulových znalostí. Strana 4 z

5 ČSN ISO/IEC :1998 Informační technologie - Bezpečnostní techniky - Správa klíčů - Část 1: Struktura. ČSN ISO/IEC :1999 Informační technologie - Bezpečnostní techniky - Správa klíčů - Část 2: Mechanismy používající symetrické techniky. ČSN ISO/IEC :2002 Informační technologie - Bezpečnostní techniky - Správa klíčů - Část 3: Mechanismy používající asymetrické techniky. ČSN ISO/IEC 15945:2004 Informační technologie - Bezpečnostní techniky - Specifikace služeb TTP na podporu aplikace digitálních podpisů. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Nepopiratelnost - Část 1: Všeobecně. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Nepopiratelnost - Část 2: Mechanismy používající symetrické techniky. ČSN ISO/IEC :2001 Informační technologie - Bezpečnostní techniky - Nepopiratelnost - Část 3: Mechanismy používající asymetrické techniky. ČSN EN ISO 19011:2003 Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu. Obecné zásady Bezpečnostní cíle, bezpečnostní politika a všechny aktivity vyvíjené v oblasti informační bezpečnosti musí podporovat strategické cíle organizace. Řešení bezpečnosti musí být podporováno nejvyšším vedením organizace. Bezpečnost je komplexní a dynamická záležitost, je jedna a je nedělitelná. Procesy informační bezpečnosti jsou zaváděny s využitím modelu PDCA: Plánování zavedení - kontrola - využití. Bezpečnost je trvalý proces vzhledem k neustálým změnám. Bezpečnost se nedá zúžit pouze na informační systém (IS) nebo informační a komunikační technologie (ICT), musí se řešit všechny aspekty včetně organizačních procedur a chování jednotlivců. Bezpečnost musí pokrývat všechny její součásti, kterým musí být věnována stejná pozornost, aby se nestala některá část nejslabším, a tudíž nejnapadnutelnějším článkem. Bezpečnost se nedá zajistit na 100 %(vždy budou existovat zbytková rizika). Náklady vynaložené na bezpečnost musí být úměrné k hodnotě chráněných aktiv (respektive k míře rizika). Řešení informační bezpečnosti je vždy individuální a nelze ho přenést 1:1 z jiné (bytˇ velmi podobné) organizace, jelikož neexistují dvě navzájem identické organizace, které by byly v navzájem identickém bezpečnostním prostředí (liší se např.: lokalita, zaměstnanci, informační systém, procesy, použité technologie apod.). Každá organizace bude mít řešení informační bezpečnosti v jiném rozsahu včetně požadované dokumentace (jiný rozsah řešení bude v organizaci se 3 zaměstnanci, s účetnictvím na PC nepřipojeném do internetu a jiný ve firmě čítající zaměstnanců, s několika regionálními pracovišti a rozsáhlým informačním systémem). Strana 5 z

6 Doporučení pro řízení informační bezpečnosti Z důvodu zajištění dostatečné efektivity informační bezpečnosti se musí jednat o řízený proces vyvážený ve všech oblastech, který má podporu vedení a respektuje kulturu organizace. Každý uživatel informačního a komunikačního systému musí být seznámen s organizací a pravidly informační bezpečnosti (se směrnicemi), a aby pochopil účel bezpečnostních opatření, je potřebná soustavná osvěta a vzdělávání v oblasti informační bezpečnosti. Rozsah a struktura řízení informační bezpečnosti jsou závislé na řadě objektivních skutečností (velikost organizace, geografické umístění, rozsah a význam provozovaných informačních a komunikačních systémů, použité informační a komunikační technologie apod.). Toto je hlavní důvod, proč se aplikuje nejlepší praxe (normy, standardy a doporučení) pro zavedení informační bezpečnosti a nedá se použít univerzální šablonu. Obecně je třeba při budování informační bezpečnosti vycházet z analýzy výchozího stavu a z analýzy rizik. Doporučení pro řízení informační bezpečnosti vycházejí z norem ČSN ISO/IEC 17799:2005 a ČSN BS :2004 a jsou prosazována v dále uvedených 12 oblastech informační bezpečnosti. Zavedení procesů systému řízení informační bezpečnosti je popsáno v navazující části této přílohy. 1) Zavést řízení rizik jako součást řízení informační bezpečnosti Řízení rizik tvoří proces, který zahrnuje soustavný proces hodnocení rizik a jejich zvládání. Součástí procesu je identifikace hrozeb a z nich plynoucích rizik. Řízení rizik se musí stát nedílnou součástí celkového řízení informační bezpečnosti. To znamená, že rizika jsou monitorována a vyhodnocována, jsou navržena protiopatření na minimalizaci rizik a zbytková rizika jsou akceptovaná. 2) Mít bezpečnostní politiku: Bezpečnostní politika obsahuje cíl informační bezpečnosti a způsob jeho naplnění. Dále politika stručně uvádí návaznost budovaného systému řízení informační bezpečnosti na cíle organizace a regulatorní požadavky norem a legislativy. Důležitou součást politiky tvoří též určení základních odpovědností za budovaný systém řízení informační bezpečnosti a ustavení kritérií vůči kterým budou hodnocena rizika. Bezpečnostní politika pokrývá tyto oblasti informační bezpečnosti: a) Organizaci a řízení bezpečnosti; b) Řízení aktiv; c) Personální bezpečnost; Strana 6 z

7 d) Fyzickou bezpečnost a bezpečnost prostředí; e) Řízení komunikací a provozu; f) Řízení přístupu; g) Pořízení, vývoj a údržba informačních systémů; h) Správa incidentů informační bezpečnosti; i) Řízení kontinuity činností organizace; j) Soulad s požadavky. 3) Řídit informační bezpečnost Úkolem řízení informační bezpečnosti je zavést pravidla a postupy pro řízení informační bezpečnosti organizace. Pro řízení informační bezpečnosti v rámci organizace musí být jednoznačně popsána organizace řízení, odpovědnost za informační bezpečnost vedoucích pracovníků všech stupňů, odborných orgánů a rolí v systému informační bezpečnosti. Některé možné speciální role: Garant informačního systému - většinou vedoucí pracovník, v jehož působnosti je provozování konkrétního informačního systému, případně subsystému. Vlastník aktiva (informací) - pracovník spravující konkrétní informační a komunikační aktivum. Manažer informační bezpečnosti - vedoucí pracovník pro informační bezpečnost, jehož hlavním úkolem je organizovat, řídit a zajišťovat odborné úkoly informační bezpečnosti. Bezpečnostní správce informačního systému - odborný pracovník pro informační bezpečnost, jehož hlavním úkolem je výkon odborných činností spojených s informační bezpečností. Bezpečnostní koordinátor - vybraný uživatel informačního systému nebo pracovník správy informačního systému, který spolupracuje s bezpečnostním manažerem a s bezpečnostními správci při zavádění bezpečnostní politiky a bezpečnostních opatření (například u geograficky rozsáhlých informačních systémů). Správce systému informačních a komunikačních technologií - určený zaměstnanec, jehož úkolem je odborná správa, obsluha a údržba systémů informačních a komunikačních technologií. Uživatelé informačního systému - fyzická osoba, která má právo v předem definovaném rozsahu používat informační a komunikační systém organizace, zejména využívat a pořizovat informace v tomto informačním systému. Auditor informačních systémů - odborný pracovník pro provádění kontroly bezpečnosti informačních a komunikačních systémů, jehož hlavním úkolem je výkon činností spojených s nezávislou kontrolou správy informačního a komunikačního systému, bezpečnosti informačního a komunikačního systému a dodržování bezpečnosti uživateli. Pro dokumentaci se dají definovat tyto role: Schvalovatel - pracovník oprávněný schválit a vydat dokument. Gestor - pracovník odpovědný za zpracování, údržbu a věcnou správnost vlastník dokumentu. Zpracovatel - pracovník odpovědný za zpracování návrhu a za provedení připomínkového řízení. Oponent - pracovník určený k účasti na připomínkovém řízení. Adresát - pracovník, kterému je dokument určen a který je povinen respektovat jeho obsah. Správce - pracovník odpovědný za evidenci a distribuci dokumentu v písemné i elektronické formě. 4) Realizovat řízení aktiv Úkolem řízení aktiv je určit způsob identifikace, realizovat identifikaci a ohodnocení aktiv organizace. Aby mohla být důsledně zajištěna ochrana aktiv, měl by být veden registr aktiv informačního a komunikačního systému, který je důležitý i z hlediska řízení rizik. Pro každé významné aktivum by měl být stanoven vlastník tohoto aktiva, který je odpovědný za stanovení přiměřených opatření na ochranu tohoto aktiva v souladu s vydanými pravidly v rámci organizace. 5) Věnovat dostatečnou pozornost personální bezpečnosti Úkolem personální bezpečnosti je určit a zavést bezpečnostní pravidla a postupy pro oblast řízení lidských zdrojů. Lidé a jejich konání představují velkou hrozbu pro informační bezpečnost, ať ve formě prostých lidských chyb, nebo úmyslného jednání. Řešení personální bezpečnosti má snížit rizika Strana 7 z

8 spojená s lidským jednáním a měla by být zahrnuta v celém procesu řízení lidských zdrojů od přijímacího řízení po celou dobu trvání pracovního poměru i po jeho ukončení. 6) Řešit fyzickou bezpečnost Účelem je fyzická ochrana aktiv. Je účelné zavést bezpečnostní zóny (perimetry), popsat opatření a chování, která jsou v těchto zónách uplatňována (tzv. režimové směrnice).dále je potřebné řešit bezpečnost jednotlivých zařízení a prostředků v celém životním cyklu (pořízení likvidace) jak v rámci objektu, tak i mimo (např. přenosná výpočetní technika a média). 7) Řídit komunikace a provoz Úkolem řízení komunikace a provozu je definovat základní rámec bezpečného řízení komunikace a provozu. Bezpečný provoz a komunikace informačních a komunikačních technologií by měly být popsány v provozní a operativní dokumentaci: Provozní postupy; Postupy pro řešení bezpečnostních incidentů; Provozní a technické deníky; Karty zařízení; Kniha bezpečnostních incidentů a nedostatků. Změny prováděné v prostředcích pro zpracování informací musí podléhat řízenému procesu. Měl by se respektovat princip oddělení povinností a oddělení vývoje od provozu. Vhodným způsobem zavedené provozní a technické deníky slouží jako podklad pro plánování obnovy a výpočetní kapacity pro nové informační a komunikační systémy. Do provozní bezpečnosti patří i ochrana proti škodlivým programům, správa integrity, dostupnosti, správa komunikačních sítí, nakládání s nosiči informací (médii) a výměna (přenos) informací. 8) Řídit přístup k systémům Účelem tohoto procesu, zahrnujícím všechny fáze životního cyklu přístupu uživatele (registrace - změna - zrušení), je zabránit neoprávněnému přístupu k informačnímu a komunikačnímu systému (respektive systémům). Přístup k informacím musí být jasně stanoven pro každého uživatele na základě jeho pracovních povinností (na základě role, kterou má v informačním systému) podle pravidel a provozních požadavků (pravidlo potřeba znát ). Zvýšenou pozornost je nutné věnovat tzv. privilegovaným uživatelům, správě hesel a kontrole přístupových práv, přístupu k síťovým prostředkům, operačním a aplikačním systémům, přenosné výpočetní technice a soustavnému monitorování celého systému. Každý uživatel musí znát své povinnosti a odpovědnosti spojené s přístupem k informačním a komunikačním systémům. 9) Věnovat dostatečnou pozornost pořízení, vývoji a údržbě Úkolem při pořízení, vývoji a údržbě informačních systémů je řízení životního cyklu prostředků a systémů pro zpracování informací organizace v souladu s jejími bezpečnostními požadavky a potřebami. Při vývoji a údržbě infrastruktury a aplikačního vybavení musí být bezpečnost zahrnuta již ve fázi specifikace požadavků. Pozornost musí být věnována kryptografickým opatřením, systémovým souborům, procesům vývoje a údržby. 10) Řešit bezpečnostní incidenty a nedostatky Úkolem správy incidentů informační bezpečnosti je zajistit, aby události související s informační bezpečností a slabiny související s informačními systémy byly komunikovány způsobem, který umožní včasnou nápravu. Zjištěné bezpečnostní incidenty a nedostatky musí být dokumentovány a vyšetřeny s ohledem na příčiny, které je vyvolaly, aby mohlo být dosaženo nápravy. 11) Řídit správu kontinuity Úkolem řízení kontinuity činností organizace je bránit přerušení činnosti organizace a chránit organizaci před následky závažných chyb a katastrof nebo tyto následky minimalizovat. Řízení Strana 8 z

9 kontinuity tvoří systém opatření zaměřených na přípravu adekvátní reakce v případě ohrožení zásadních činností organizace. Řízení kontinuity zahrnuje systém dokumentace, testování, revizí a distribuce navržených opatření spolu s přidělením odpovídajících pravomocí. Pro zajištění kontinuity (minimalizaci výpadků) hlavních činností organizace je nutné zavést řízený proces vytvořením plánů postupů, jejich údržby, tyto plány pravidelně testovat a na základě výsledků testů plány aktualizovat (přehodnocovat). 12) Zajistit soulad se standardy a právními normami Úkolem zajištění souladu s právními a regulatorními požadavky je vyvarovat se porušení norem trestního, obchodního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků při zavádění bezpečnostních a technologických opatření v rámci organizace. Je nutné zajistit soulad s legislativními předpisy (zákonné a podzákonné normy) a ostatními závaznými dokumenty, čehož docílíme jejich zdokumentováním a provedením analýzy požadavků z nich vyplývajících. Strana 9 z

10 Proces zavedení systému řízení informační bezpečnosti Systém řízení informační bezpečnosti je budován a řízen v souladu s normou ČSN BS : Systém managementu bezpečnosti informací - specifikace s návodem pro použiti. Systém řízení informační bezpečnosti tvoří součást řídících činností organizace a jeho hlavním cílem je eliminovat nebo snížit rizika související s možným narušením integrity, dostupnosti a důvěrnosti informací organizace. Zavedeni ISMS (Information Security Management Systém) v souladu s normou BS :2002 je prováděno dle modelu PDCA (Plan - Do - Check - Act), který rozděluje celý proces řízení do čtyř kroků tvořících uzavřený cyklus řízení: - První krok plánování; - Druhý krok zavedení; - Třetí krok kontrola; - Čtvrtý krok - využití. První krok - plánování Plánování tvoří základ budování systému řízení informační bezpečnosti. Tento krok zahrnuje ustavení bezpečnostní politiky, plánů, cílů, procesů a postupů souvisejících s řízením rizik a zlepšováním informační bezpečnosti tak, aby poskytovaly výsledky v souladu s cíly organizace. Cílem je nastavit parametry budovaného ISMS v definovaném rozsahu na základě provedeného hodnocení rizik. V rámci plánování se provádějí následující činnosti: - Definování rozsahu systému řízení informační bezpečnosti; - Definování bezpečnostní politiky; - Identifikace a ohodnocení rizik; - Identifikace a ohodnocení aktiv; - Identifikace a ohodnocení hrozeb a zranitelností; Strana 10 z

11 - Ohodnocení existujících rizik; - Výběr cílů opatření a jednotlivých opatření (kontrol) pro pokrytí rizik; - Příprava Prohlášení o aplikovatelnosti. Druhý krok - zavedení V rámci zavedení systému řízení informační bezpečnosti jsou zavedena vybraná opatření informační bezpečnosti do praxe. Opatření jsou popsána a jsou s nimi seznámeni zaměstnanci organizace. Nedílnou součástí tohoto kroku je vytvoření systému detekce a reakce na bezpečnostní incidenty, které mohou ohrozit informace. Cílem je zavést, zdokumentovat a řídit vybraná bezpečnostní opatření (kontroly) a seznámit s nimi zaměstnance. V rámci zavedení se provádějí následující činnosti: - Zformulování a zavedení plánu zvládání rizik; - Zavedení opatření (kontrol) v souladu s potřebami organizace; - Zavedení programu zvyšování bezpečnostního povědomí; - Řízení dostupných zdrojů; - Řízení provozu - zavedení postupů pro správu dokumentů a záznamů; - Zavedení postupů pro včasnou detekci bezpečnostních incidentů a rychlou reakci. Třetí krok - kontrola Kontrola systému řízení informační bezpečnosti zajišťuje detekci chyb, identifikaci bezpečnostních incidentů a poskytuje podklady pro hodnocení účinnosti a efektivity provozovaného systému řízení informační bezpečnosti. K tomuto účelu se zavádí systém kontrolní činnosti a interních auditů informační bezpečnosti. Systém kontrolní činnosti posuzuje pokrytí zjištěních rizik bezpečnostními postupy a pravidly zavedenými v rámci organizace. Systém interního auditu informační bezpečnosti je zahrnut do systému interních auditů organizace. Cílem je zajistit správnost návrhu systému řízení informační bezpečnosti a efektivní pokrytí zjištěných rizik opatřeními. V rámci zavedení se provádějí následující činnosti: - Detekování bezpečnostních incidentů a sledování účinnosti opatření informační bezpečnosti; - Pravidelné posuzování účinnosti opatření informační bezpečnosti; - Pravidelná revize zbytkových a akceptovaných rizik; - Provádění pravidelných interních auditů informační bezpečnosti; - Pravidelné přehodnocení systému řízení informační bezpečnosti na úrovni vedení organizace; - Registrování událostí s dopadem na účinnost a efektivnost opatření informační bezpečnosti. Čtvrtý krok - využití Využití systému řízení informační bezpečnosti uzavírá cyklus zavedení, provozu a údržby ISMS. V rámci tohoto kroku se provádí, na základě provedených kontrol a auditů, nápravné a preventivní činnosti v procesech informační bezpečnosti a zavádějí se identifikované možnosti vylepšení systému řízení informační bezpečnosti. Cílem je odstranit zjištěný nesoulad v systému řízení informační bezpečnosti, zavést efektivnější postupy a dále zlepšovat zavedený systém. V rámci zavedení se provádějí následující činnosti: - Implementace zjištěných možností optimalizace systému řízení informační bezpečnosti; - Přijímání vhodných nápravných a preventivních opatření; - Projednání výsledků se všemi zainteresovanými stranami; - Kontrola, zda aplikováním zlepšení bylo dosaženo plánovaných cílů. Zavedení systému řízení informační bezpečnosti znamená že: a) jednotlivé oblasti jsou popsány v bezpečnostní politice, b) jednotlivé oblasti jsou popsány jako procesy, c) procesy jsou zavedeny, d) procesy jsou testovány, e) jednotlivé procesy tvoří integrální součást řízení. Strana 11 z

12 Další doporučení Oddělit řízení informační bezpečnosti od řízení informačních a komunikačních technologií z důvodu střetu zájmů a spojit řízení informační bezpečnosti například s řízením fyzické bezpečnosti. Zamezit kumulaci neslučitelných rolí, například správy informačního systému a kontroly. Oddělit vývoj, provoz, bezpečnost a kontrolu informačního a komunikačního systému. Zavést pravidla kontroly ( čtyř očí ) u významných činností, aby tyto činnosti nebyly vykonávány jedním pracovníkem. Hlavní procesy řízení životního cyklu bezpečnostní dokumentace Musí existovat ucelená soustava bezpečnostní dokumentace, která pokrývá celý životní cyklus informačního a komunikačního systému organizace a všechna jeho aktiva. Aby tato soustava splňovala požadavky na systém, který je možné řídit, musí být: zajištěna jednoznačná identifikace každého dokumentu, jednotně vedená evidence této dokumentace, vymezeny role v systému řízení, jejich působnost a odpovědnost, definovány procesy řízení životního cyklu této dokumentace. Důvody pro vedení řádné dokumentace: Čím kvalitnější je dokumentace, tím je kvalitnější podklad pro rozhodování a řízení. Bez popisu procesů nelze kvalitně provést jakoukoli změnu. Činnost, která je zdokumentována (popsána), příště trvá kratší dobu (opakuje se), je provedena kvalitněji, a není tak náročná na kvalifikaci pracovníka. Ochrana investic (nemoc, dovolená, odchod ze zaměstnání atd.) zajištěním zastupitelnosti. Pro úspěšný audit je řádně vedená dokumentace základním předpokladem. Bezpečnostní dokumentace obsahuje ve většině případů citlivé informace, proto musí být jejímu ukládání, uchovávání a distribuci věnována náležitá pozornost. Tvorba, Evidence, Distribuce, Prověrka aktuálnosti. Tvorba Evidence Aktualizace 4 hlavní procesy Prověrka aktuálnosti Distribuce Typy dokumentace Aby mohlo být řízení v organizaci efektivně vykonáváno, jsou obecně uváděny tři charakteristické třídy (stupně) dokumentace: 1. závazné předpisy (vnější obecně závazné a vnitřní představující vůli managementu), 2. standardy (normy) (jsou také vnější a vnitřní; na rozdíl od předpisů nejsou primárně závazné, ale mohou se závaznými stát například odkazem ze závazného předpisu), 3. záznamy (dokumentují soulad systému řízení s předpisy a standardy). Příklady typů dokumentů: Strana 12 z

13 Vnitřní normy informační bezpečnosti: Celková bezpečnostní politika Bezpečnostní politika informačních systémů (IS/ICT) Metodické pokyny pro uživatele Metodické pokyny pro správu uživatelů a řízení přístupu Metodické pokyny pro vlastníky informací Metodické pokyny pro havarijní plánování Metodické pokyny pro aplikaci bezpečnostních hledisek ve smlouvách Zásady řízení rozvoje a změn informačních a komunikačních systémů (projektová dokumentace) Systémová bezpečnostní politika (pro jednotlivé klíčové IS subsystémy ) Bezpečnostní příručka pro bezpečnostní správce Bezpečnostní příručka pro systémové správce Bezpečnostní příručka pro uživatele Provozní bezpečnostní dokumentace: Režimové směrnice pro bezpečnostní zónu Směrnice pro ostrahu objektu Směrnice pro nakládání s incidenty Havarijní plán Plán zálohování a obnovy Školicí a učební texty Operativní bezpečnostní dokumentace (záznamy): Přidělení/změna přístupových práv Kniha bezpečnostních incidentů Registr informačních a komunikačních aktiv Provozní deník Karta zařízení Plány v rámci bezpečnosti IS V rámci bezpečnosti by měly být vytvořeny následující plány: Plán zvládání rizik Plán zvládání rizik popisuje plán a postup redukce zjištěných rizik na potřebnou úroveň. Obsahuje popis způsobu realizace jednotlivých opatření a bezpečnostních projektů vedoucích k dosažení cílových stavů definovaných v bezpečnostní politice. Ke každému projektu, opatření jsou definovány minimálně následující atributy: kritičnost, doba realizace, odpovědnost, předpokládané náklady, výstup a případné následné kroky Plán zachování kontinuity (hlavních činností) Jedná se o plán, který má zajistit funkceschopnost hlavních činností (například bez podpory informačních a komunikačních technologií). Plán zálohování a obnovy Plán popisující procesy běžného provozního zálohování (dat, programů a nastavení) včetně popisu obnovy z této zálohy (například návratové procedury po chybné implementaci servisní opravy operačního systému). Havarijní plán (pro jednotlivé IS) + mapa všech havarijních plánů Plány, které řeší různé typy havárií jednotlivých IS. Celková mapa těchto plánů je důležitá pro stanovení, které části informačního a komunikačního systému je nezbytné zprovoznit jako první, jelikož mají vliv na ostatní (například aby bylo možné používat elektronickou poštu, musí být nejprve zprovozněno připojení na internet, potom lokální síť, všechny potřebné síťové služby a potom má smysl se zabývat poštovním serverem a koncovým uživatelským programem). Tato mapa rovněž stanovuje priority pro postupnou obnovu IS jako celku. Plán testování havarijních plánů Havarijní plány je nutné pravidelně testovat a na základě výsledků testů tyto plány přehodnocovat. Strana 13 z

14 Plán bezpečnostní výchovy a školení Aby vzdělávání bylo prováděno systematicky doporučuje se sestavit plán výchovy a školení informační bezpečnosti (pro jednotlivé role v IS). Plán auditů IS Do plánů mají být zahrnuty různé typy kontrol například běžné provozní kontroly, interní a externí audity a penetrační testy. Strana 14 z