Management informační bezpečnosti. V Brně dne 26. září 2013

Transkript

1 Management informační bezpečnosti Úvod a základní pojmy V Brně dne 26. září 2013

2 Základní pojmy Informatika - proces spojený s automatizovaným zpracováním dat Manažerská informatika - propojení dvou oborů - informatiky a managementu, kde se využívá moderních informačních a komunikačních prostředků v manažerské činnosti Informační management pojmový a koncepční výraz IT - informační technologie ****** ICT - informační a komunikační technologie IS - informační systémy ****** ISMS Information Security Management System systém řízení bezpečnosti informací ČSN IEC/ISO ITSM - IT Service Management - řízení služeb informačních technologií ČSN IEC/ISO Management informační bezpečnosti 2

3 IT vs. ICT IT Information Technology (informační technologie) ICT Information and Communication Technology (informační a komunikační technologie) Prostředek přechodu od IT k ICT je konvergence 1. generace konvergence (přenos dat společně s hlasem) dala vzniknout společnému prostředí pro přenos obou signálů po jediném přenosovém médiu (analog a digital po jednom kabelu), poté přichází digitalizace Následuje logicky boj o přenosové protokoly s cílem sjednocení (vítězem je IP protokol pro téměř všechny druhy signálů) Následují další generace konvergence včetně konvergence sítí, služeb a médií (2. generace video, 3. generace bezdrát, 4. generace multimediální sítě) Výsledkem vývoje je bezpečnost IT platná i pro komunikace a nelze ji oddělit! Management informační bezpečnosti 3

4 Konvergence v ICT Základní dělení konvergence: - pasivní konvergence (využívá pasivně stávající kabelážní systémy) šíření analogových signálů po datové kabeláži - aktivní konvergence (využívá aktivně stávající kabelážní systémy) šíření konvergovaného signálu po datové kabeláži Cílem jsou sítě NGN (Next Generation Network), což jsou konvergované sítě poskytující komplexní síťové služby na úrovni dat, komunikací a multimediálních aplikací. Management informační bezpečnosti 4

5 Základní pojmy ICT ČSN ISO/IEC :1998 je standardem definujícím základní pojmy v ICT v podobě české normy. Informace - v informatice tvoří informaci kódovaná data (pozor, kódováním není myšleno kryptování!). Data - jsou plněním informace, kterou vytváří. Přenos dat - neboli digitální komunikace je přenos digitálních zpráv nebo digitalizovaného analogového signálu pomocí fyzického dvoubodového nebo vícebodového přenosového média, kterým může být metalický kabel, optický kabel nebo bezdrátový přenos. Signál - je fyzikální vyjádření informace ve formě změn fyzikální veličiny v čase Informační systém (IS) - lze chápat jako systém vzájemně propojených informací a procesů, které s těmito informacemi pracují. Management informační bezpečnosti 5

6 Základní pojmy ICT Síťová infrastruktura - je pojem zahrnující všechny síťové prvky a zařízení použité při realizaci ICT prostředí. Může také značit aktiva v oblasti informačních a komunikačních technologií sloužící k vytváření a podpoře informačního systému. Počítačová síť - je součástí síťové infrastruktury sloužící k realizaci komunikačního prostředí mezi uživateli sítě ISO/OSI model je sedmivrstvý referenční komunikační model podle něhož dochází k propojování p systémů. Management informační bezpečnosti 6

7 Základní pojmy bezpečnosti Bezpečnost organizace -zajišťuje j bezpečnost objektu a tím také majetku organizace. Informační bezpečnost - neboli bezpečnost informací řeší ochranu informací a dostupnost informací. Bezpečnost IS/ICT - chrání pouze aktiva informačního systému podporovaná informačními a komunikačními technologiemi. Management informační bezpečnosti 7

8 IMS IMS (Integrated Management System) - Integrovaný systém řízení je filozofie komplexního řízení organizací. QMS (Quality Management System) ISO 9001 EMS (Enviromental Management System) ISO OHSMS (Occupational Health and Safety Management System) OHSAS ISMS Information Security Management System systém řízení bezpečnosti informací (někdy také management bezpečnosti IS) ČSN IEC/ISO ITSM - IT Service Management - řízení služeb informačních technologií ČSN IEC/ISO Management informační bezpečnosti 8

9 PDCA Jde o metodu postupného zlepšování například kvality výrobků, služeb, procesů, aplikací či dat probíhající formou opakovaného provádění čtyř základních činností: plan (plánuj) naplánování zamýšleného zlepšení (záměr), do (dělej) realizace plánu, check (kontroluj) ověření výsledku realizace oproti původnímu záměru, act (jednej) úpravy záměru i vlastního provedení na základě ověření a plošná implementace zlepšení do praxe. Součástí modelu PDCA ja také dokumentace každé jeho etapy jako jedna zklíčových částí celého modelu. PDCA cyklus (model) = Demingův cyklus (model) W. Edwards Deming ( ) byl americký statistik, který definoval 7 smrtelných chorob firem a je spolutvůrcem TQM (Total Quality Management) Původním autorem metody PDCA je však Demingův duchovní otec Walter A. Shewhart Management informační bezpečnosti 9

10 Demingův cyklus Demingův model pro ISMS ve čtyřfázové formě: identifikovat procesy popsat a zdokumentovat procesy na základě dokumentace řídit procesy následně optimalizovat procesy ustanovení ISMS, zavádění a provoz ISMS, monitorování a přezkoumání ISMS, údržba a zlepšování ISMS. Management informační bezpečnosti 10

11 Historie ochrany informací V historické době se ochrana informací soustřeďovala hlavně na zajištění důvěrnosti tedy ochranu před vyzrazením informací. Spříchodem výpočetní techniky a následným rozvojem informačních systémů se však potřeby ochrany informací mění, protože elektronická data jsou snadno modifikovatelná a uložená v podstatě kdekoliv. V 80. létech minulého století byly vypracovány zásady ochrany informačních systémů známá oranžová kniha (standard TCSEC), která byla následována dalšími standardy (ITSEC, CC, atd.). V 90. letech k tomuto trendu, který řeší tuto problematiku především po technické stránce, přistupují standardy zabývající se bezpečnosti IS v konkrétním prostředí a umožňující dosažení určitého stupně bezpečnosti bez složitých technických procedur jedná se o standardy jako například ISO/IEC TR 13335, řada d BS 7799 a podobně. ě Vzniká samostatný obor zajímající se o ochranu dat a nabývající postupně na důležitosti. Management informační bezpečnosti 11

12 Základy bezpečnosti informací Důvěrnost (Confidentionality) - zajištění přístupu k informacím a poskytnutí pouze oprávněným osobám Integrita (Integrity)- zajištění správnosti a úplnosti informací Dostupnost (Availability) - zajištění dostupnosti informací pro oprávněné uživatele v okamžiku potřeby Bezpečnostní mechanizmus (Security Mechanism) - technika pro implementaci bezpečnostní funkce nebo její části Bezpečnostní funkce (Security Function) funkce systému přispívající k jeho bezpečnosti (řízení přístupů, autentizace, prokazatelnost operací, odpovědnost za ně, audit). Management informační bezpečnosti 12

13 Pojmy k bezpečnostní problematice Aktivum (Asset) - cokoli v organizaci, i co má nějakou cenu (hmotná a nehmotná) - veškerý hmotný a nehmotný majetek Hrozba (Treat) - akce nebo událost, která může ohrozit bezpečnost (zneužití zranitelnosti) Zranitelnost (Vulnerability) - jakékoliv slabé místo aktiva Opatření (Countremeasure) - jakákoliv aktivita, zařízení, technika či postup snižující sílu hrozby nebo zabránění účinku Riziko (Risk) - kombinace hrozby a zranitelnosti Dopad (Impact) - vznik škody v důsledku hrozby Hrozby Zranitelnosti Aktiva: služby a data informačního systému Dopady Management informační bezpečnosti 13

14 Normy, standardy Standard - je dokumentovaná úmluva obsahující technické specifikace nebo jiná podobná přesně stanovená kritéria důsledně používaná jako pravidla, směrnice, resp. jako definice charakteristických vlastností zabezpečující, že materiály, výrobky, procesy, služby apod. jsou takové, jaké se zamýšlelo (např. formát kreditní, čipové či telefonní karty, protokol komunikace, politika poskytování služby). Norma je doporučení pro daný standard nebo řešení (konkrétně v ICT se jedná o předpis či směrnici vydávanou různými konsorcii uživatelů a výrobců IT tedy jedná se o doporučení použitelných standardů k realizaci požadovaného kompatibilního řešení). Norma je tedy doporučení!!! Poznámka: Zatímco normy jsou velmi často výsledkem těžce dosaženého kompromisu, standardy velmi často bývají strojem k dynamickému prosazení technické politiky a následného pokroku. Management informační bezpečnosti 14

15 Normy bezpečnostní CC - Common Criteria - všeobecná kriteria pro hodnocení bezpečnosti IS (ISO 15408) ISMS (Information security managemet system) - systém řízení bezpečnosti informací ISO/IEC 27001, což je specifikace ISMS ISO/IEC (ISO/IEC 17799) soubor postupů ISO/IEC směrnice pro implementaci ISMS ISO/IEC metriky ISMS ISO/IEC metody řízení rizik ISO/IEC pravidla certifikace ISMS ISO/IEC směrnice auditora ISMS atd. Management informační bezpečnosti 15

16 Stupně auditu Audit - nezávislý a dokumentovaný proces s hodnocením kritérií ií Audit první stranou - interní audit (sebe ověření) Audit druhou stranou - externí audit (dle smluvních vztahů - dodavatel/odběratel) Audit třetí stranou - certifikační audit Management informační bezpečnosti 16

17 Certifikační problematika Certifikace - je potvrzení shody systému řízení í na základě norem (zvýšení důvěryhodnosti subjektu) Akreditace - postup pro potvrzení nezávislosti, objektivity a způsobilosti pro činnost Certifikační orgán - třetí strana hodnotící a certifikující systém řízení organizace v souladu s normami Příklad akreditačního znaku certifikační společnosti Management informační bezpečnosti 17

18 Hodnocení kvality IS/IT Hodnocení bezpečnosti IS/IT Druhy a standardy hodnocení kvality v oblasti IS/IT Management informační bezpečnosti 18