Koncepce informační bezpečnosti

Transkript

1 Koncepce informační bezpečnosti Bezpečnost informačních systémů Luděk Mandok CISA, CRISC

2 Program Znáte povinnosti spojené s plněním zákonných požadavků? Víte, jak vyhovět zákonným požadavkům na ochranu informací? Víte, jak splnit zákonné požadavky na dlouhodobé řízení ISVS? Víte, jak dosáhnout atestace/certifikace? Znáte normy ISO řady 2700x? Víte, jakou dokumentaci vyžaduje ČSN ISO/IEC 27001? 2

3 Úvodem něco o informační bezpečnosti Tři základní požadavky na zajištění: důvěrnosti dostupnosti integrity rozšířeny o: autentizaci odpovědnost 3

4 Čtyři základní oblasti bezpečnosti Netechnická bezpečnost: Administrativní/organizační bezpečnost systém a hierarchie řízení, bezpečnostní struktura organizace, dokumentace... Personální bezpečnost nástup, průběh a ukončení PP, školení a vzdělávání, dohody o mlčenlivosti, odpovědnosti... Fyzická/objektová bezpečnost ochrana perimetru, fyzického vstupu... Technická/technologická bezpečnost počítačová a komunikační bezpečnost HW, SW, programové vybavení, aplikace, databáze, OS, komunikace, počítačová síť... 4

5 Zákony 5

6 Jaké jsou povinnosti ze zákona? Ochrana dat včetně osobních údajů Ochrana utajovaných informací Svobodný přístup k povinně zveřejňovaným informacím Funkčnost e-podatelny, resp. Spisové služby a komunikace prostřednictvím datových schránek Ochrana a dodržování autorských práv Dlouhodobé řízení informačních systémů veřejné správy (ISVS) Propojení agendových informačních systémů (se základními registry) 6

7 Ochrana osobních údajů Zákon č. 101/2000 Sb., o ochraně osobních údajů Oznamovací povinnost Povinnost ochrany OÚ a citlivých OÚ správcem /zpracovatelem Informování a poučení subjektů při shromažďování OÚ 7

8 Řešení pro ochranu osobních údajů: Implementace opatření k ochraně důvěrných (nejen osobních údajů) Audit výskytu osobních údajů/plnění povinností Analýza rizik Opatření pro zabezpečení dat: šifrování, elektronický podpis, bezpečný tisk, zálohování, bezpečná skartace Zpracování předpisové základny (politika, směrnice, havarijní plán) 8

9 Ochrana utajovaných informací Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací, ve znění nařízení vlády č. 240/2008 Sb. Povinnosti ochrany utajovaných dat dle klasifikace NBÚ: Vyhrazené, Důvěrné, Tajné a Přísně tajné 9

10 Seznamy certifikovaných technických prostředků: Elektrická zámková zařízení a systémy pro kontrolu vstupů Mechanické zábranné prostředky Speciální televizní systémy Zařízení elektrické požární signalizace Zařízení elektrické zabezpečovací signalizace a tísňové systémy Zařízení fyzického ničení nosičů informací Zařízení proti pasivnímu a aktivnímu odposlechu utajované informace Zařízení sloužící k vyhledávání nebezpečných látek nebo předmětů 10

11 Řešení pro přípravu na prověrku systému: Analýza rizik IS Implementace opatření k ochraně utajovaných informací ze zákona bezpečnost informačních systémů bezpečnost komunikačních systémů objektová bezpečnost personální bezpečnost administrativní bezpečnost kryptografická ochrana Zpracování požadované dokumentace, vč. testů 11

12 Svobodný přístup k informacím Zákon č. 106/1999 Sb., o svobodném přístupu k informacím Vyhláška č. 442/2006 Sb., kterou se stanoví struktura informací zveřejňovaných o povinném subjektu způsobem umožňujícím dálkový přístup Povinně zveřejňované informace dle 5 zákona a dále: právní předpisy vydávané v rámci jejich působnosti seznamy hlavních dokumentů, zejména koncepční, strategické a programové povahy registry, evidence, seznamy nebo rejstříky obsahující informace, které jsou na základě zvláštního zákona každému přístupné, zveřejňovat v přehledné formě způsobem umožňujícím i dálkový přístup 12

13 5 zákona: důvod a způsob založení povinného subjektu, podmínky a principy činnosti organizační strukturu, místo a způsob, jak získat informace, kde lze podat žádost, stížnost, návrh, podnět či jiné dožádání místo, lhůtu a způsob, kde lze podat opravný prostředek proti rozhodnutím povinného subjektu o právech a povinnostech osob postup při vyřizování všech žádostí, návrhů i jiných dožádání, včetně příslušných lhůt přehled nejdůležitějších předpisů, podle nichž povinný subjekt zejména jedná a rozhoduje, včetně informace, kde a kdy jsou tyto předpisy poskytnuty k nahlédnutí sazebník úhrad za poskytování informací výroční zprávu za předcházející kalendářní rok o své činnosti v oblasti poskytování informací ( 18) výhradní licence poskytnuté podle 14a odst. 4 usnesení nadřízeného orgánu o výši úhrad vydaná podle 16a odst. 7 adresu elektronické podatelny 13

14 Řešení pro zveřejňování údajů: Audit povinně zveřejňovaných údajů (OVS) Návrh a implementace DMS a publikačních nástrojů (www portály, správa dokumentů) Návrh a implementace prostředků pro ochranu zveřejňovaných údajů před neoprávněným pozměněním, zničením, znepřístupněním... Penetrační testy 14

15 Elektronický podpis Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 127/2005 Sb., o elektronických komunikacích Vyhláška 496/2004 Sb., o elektronických podatelnách Povinnosti: ověření platnosti a náležitostí uznávaného elektronického podpisu kontrola výskytu škodlivého kódu v datové zprávě 15

16 Řešení pro elektronický podpis: Analýza rizik elektronické komunikace Návrh a implementace PKI Návrh a implementace antivirové/antispamové ochrany Zpracování dokumentace (CP, CPS, příručky pro uživatele) 16

17 Spisová služba, archivnictví Zákon č. 499/2004 Sb., o archivnictví a spisové službě Vyhláška č. 645/2004 Sb., kterou se provádějí některá ustanovení zákona o archivnictví a spisové službě Povinně spisová služba v elektronické podobě (dle Národního standardu) do

18 Řešení pro spisovou službu: Realizace bezpečnostního auditu Návrh a implementace opatření: spisová služba v souladu s NS CA PKI (certifikáty k elektronickému podpisu, příp. autentizaci uživatelů) zpracování dokumentace 18

19 egovernment Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů požadavky a povinnosti při provádění elektronických úkonů OVM a při práci s DS a ISDS Povinnosti: využívat datovou schránku způsobem, který neohrožuje bezpečnost ISDS uvědomit neprodleně MV o tom, že hrozí nebezpečí zneužití datové schránky zacházet s přístupovými údaji tak, aby nemohlo dojít k jejich zneužití 19

20 Řešení pro egovernment: Bezpečnostní audit IS + ochrany dat Zpracování dokumentace (vč. havarijních plánů) Konektor do datové schránky 20

21 Autorská práva Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským Usnesení vlády č. 58 z o kontrole a evidenci počítačových programů Usnesení vlády č. 624 z o pravidlech, zásadách a způsobu zabezpečování kontroly užívání počítačových programů Povinnost: používat pouze legální SW v souladu s licenčním ujednáním Odpovědnost: za nelegální SW nainstalovaný na počítačích firmy nese fyzická osoba statutární orgán organizace 21

22 Řešení pro dodržování autorských práv: Kontrola legálnosti používaného SW: Realizace SW auditu Implementace nástrojů pro SW/HW audit Opatření na ochranu výkonu autorských práv v pracovních smlouvách a dokumentaci 22

23 Informační systémy veřejné správy (ISVS) Zákon č. 365/2000 Sb., o informačních systémech veřejné správy (novelizován Zákonem č. 81/2006 Sb.): např.: AIS, systém datových schránek, e-podatelna, spisová služba atd. Vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS o požadavcích na strukturu a obsah informační koncepce (IK) a provozní dokumentace, a na řízení bezpečnosti a kvality ISVS Povinnosti OVS správce ISVS: zajistit atestaci dlouhodobého řízení ISVS do mít zpracovánu informační koncepci a provozní dokumentaci do

24 Řešení pro dlouhodobé řízení ISVS: 24

25 Základní registry Zákon č. 111/2009 Sb., Zákon o základních registrech: registr obyvatel (MV) registr osob (ČSÚ) registr územní identifikace, adres a nemovitostí (ČÚZK) registr práv a povinností (MV) + ORG (ÚOOÚ) Povinnosti: konkrétní lhůty týkající se poskytování potřebných údajů oznamování výkonu své působnosti v agendě uvedení AIS do souladu s požadavky zákona 25

26 Normy 26

27 Jak na certifikace/atestace? Atest dlouhodobého řízení ISVS povinně předkládaná dokumentace k atestaci informační koncepce provozní dokumentace Certifikace dle normy (ISO) certifikační orgán na základě splnění požadavků normy ISMS (informační bezpečnost) = řada norem ISO 2700x 27

28 Normy ISO k informační bezpečnosti 28

29 Normy řady 2700x ISO ISMS Požadavky (2006) požadavky, podle kterých jsou systémy certifikovány: systém řízení (managementu) bezpečnosti informací odpovědnost vedení interní audity ISMS zlepšování ISMS přílohy cíle opatření a jednotlivá bezp. opatření, vztah mezi ISO 9001, a 27002) 29

30 Normy řady 2700x ISO ISMS Soubor postupů (2006) soubor postupů pro řízení informační bezpečnosti: hodnocení a zvládání rizik bezpečnostní politika organizace bezpečnosti informací řízení aktiv bezpečnost lidských zdrojů fyzická bezpečnost a bezpečnost prostředí řízení komunikací a řízení provozu řízení přístupu akvizice, vývoj a údržba informačních systémů zvládání bezpečnostních incidentů řízení kontinuity činností organizace soulad s požadavky 30

31 Co s tím vším? 31

32 ISMS Systém řízení informační bezpečnosti Příprava na certifikaci: I. Procesní shoda II. III. IV. audit zaměřený na prověření shody interních procesů s požadavky ISMS Technická shoda technicky zaměřený audit s bezpečnostními požadavky, realizace penetračních testů (externí - zvenčí, interní), Řízení rizik IS metodika analýzy rizik, identifikace aktiv, katalog hrozeb, identifikace a ohodnocení rizik, akceptace zbytkového rizika Plán bezpečnosti zpracování harmonogramu realizace přijatých bezpečnostních opatření - implementace bezpečnosti do praxe) 32

33 ... ISMS pokračování... V. Bezpečnostní dokumentace VI. bezpečnostní politika ICT bezpečnostní směrnice (bezp. manažer, správce IS) směrnice příručky, postupy a manuály (pro správu IT a uživatele) havarijní plán, plán obnovy a plán zajištění kontinuity Příprava na ISMS prohlášení o aplikovatelnosti plány přezkoumání shody záznamy o přezkoumání (vč. zprávy z analýzy rizik, penetračních testů atd.) VII. Bezpečnostní školení zajištění úvodního bezpečnostního školení a průběžného vzdělávání zaměstnanců v informační bezpečnosti 33

34 34 I. Procesní shoda Splnění zákonných požadavků? vypracujeme pro vás detailní přehled zákonných povinností zpracujeme informační koncepci a provozní dokumentaci k ISVS dle požadavků zákona, resp. vyhlášky (vč. bezpečnostní politiky, směrnic a příruček) poskytneme vám metodické vedení, podporu a zkušenosti při řízení rizik, tvorbě plánů a metrik pro měření bezpečnosti, havarijních plánů (vč. kontinuity a obnovy) Splnění požadavků na ICT a ochranu dat? zpracujeme dlouhodobou informační strategii, včetně aktualizace/tvorby veškeré potřebné dokumentace vytvoříme bezpečnostní plán, navrhneme řešení a zajistíme implementaci opatření ve všech oblastech informační bezpečnosti zajistíme školení a vzdělávání v ochraně ICT a dat

35 II. Technická shoda Technická (počítačová a komunikační) oblast bezpečnosti: řízení komunikací a řízení provozu řízení přístupu HW, SW, OS, technika a technologie: Důvěrnost: šifrování přístupová práva Integrita: šifrování, elektronický podpis přístupová práva Dostupnost: High Availability/Load Balancing Business Continuity Management (BCM), Disaster Recovery Planning (DRP) Zálohování 35

36 II. Technická shoda (...pokračování) optimalizace bezpečnostní infrastruktury návrh a doporučení vhodných a účinných opatření ochrana informací v elektronické podobě vhodný způsob šifrování citlivých informací bezpečný tisk citlivých informací antispamová ochrana elektronické pošty ochrana poštovních zpráv ( ů s citlivým obsahem) možnost využití PKI (Public Key Infrastructure) ochrana sítě před nežádoucím přístupem zvenčí i zevnitř (IDS, IPS) ochrana před škodlivými kódy a programy kontrola fyzického přístupu k systémům a zařízením bezpečnost mobilních zařízení (vč. nosičů dat) bezpečná likvidace dat v elektronické podobě 36

37 III. Řízení rizik IS Analýza rizik, audit shody s požadavky analýza rizik IS za použití vhodné metodiky identifikace hrozeb, zranitelností a rizik odhad pravděpodobnosti a dopadů na systém a data stanovení míry jednotlivých rizik otestování možnosti průniku do počítačové sítě zvenčí nebo zevnitř skenování systémů návrhy a doporučení opatření eliminujících bezpečnostní rizika Realizace certifikovanými odborníky (CISA, etický hacker ) 37

38 IV. Plán bezpečnosti Návrh komplexního projektu řízení bezpečnosti informací nebo vybraných částí Vytvoření harmonogramu implementace jednotlivých opatření plán bezpečnosti 38

39 V. Bezpečnostní dokumentace Strategie/koncepce řízení bezpečnosti informací a IS Metodika, plány a metriky pro měření bezpečnosti Bezpečnostní politika Bezpečnostní směrnice Příručky a postupy Havarijní plán, plán zajištění kontinuity a plán obnovy 39

40 VI. Příprava na ISMS Schválení plánu bezpečnosti vč. přidělení kapacit, lhůt, odpovědností, financí... Implementace opatření Vybudování systému řízení bezpečnosti informací (prohlášení vedení, ustavení ISMS, rolí a odpovědností) Příprava na předcertifikační audit ISMS dle normy ISO (metodika, realizace) Prohlášení o aplikovatelnosti Plány ověřování shody (přezkoumání) 40

41 VII. Bezpečnostní školení Rozsah požadovaného školení: jednorázové školení opakované kurzy průběžné vzdělávání Specifikace dle požadavků: trénink pro management školení pro uživatele speciální kurzy pro správce 41

42 Resumé: 100% bezpečnost neexistuje, lze ji však mít pod kontrolou. 42

43 Luděk Mandok CISA, CRISC IT Security konzultant Děkuji Vám za pozornost.

44 Zapomenutý server 44

45 Historie malware 1949 Cellular automata 1959 Core Wars války o jádro 1960 Králičí (Rabbit) programy 1971 První červ - Creeper 1978 červ Wampire 1982 virus pro Apple s efekty Elk Cloner 1985 Trojský kůň - EGABTR 1986 Brain první virus pro PC 1987 červ Christmas tree (Vánoční stromeček) 1988 Morrisův červ (někdy označován za první internetový červ) 45

46 Historie malware AIDS - trojský kůň vyděrač 1991 Tequila první polymorfní virus 1992 Michelangelo panika 1994 Good Times první em šířený hoax 1995 Concept první makro virus 1999 virusy v ech Mellisa, Bubbleboy 1999/2000 Y2K panika 2000 DoS útoky a I love You 2001 virusy a červi se šíří prostřednictvím webových stránek a síťových sdílených adresářů Nimda a Sircam 46

47 Historie malware první zombie (červ Sobig) a rybaření/phishing (červ Mimail) 2004 IRC boty 2005 nastupují rootkity 2006 vyděračský software se začíná šířit a dostává jméno Ransomware Zippo a Archiveus 2008 falešný antivirový program - AntiVirus Conficker jako mediální hvězda, nová vlna polymorfů 2010 červ Stuxnet 47