Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Transkript

1 Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 7 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 7.přednáška Fyzická bezpečnost, organizační opatření 1

2 Struktura normy ISO/IEC (ISO 27002) 11 oblastí (clauses), 39 kategorií (objectives), 133 opatření (controls) včetně popisu způsobu implementace Bezpečnostní politika (1) Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Nákup, vývoj a údržba informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s požadavky (3) Fyzická bezpečnost Doporučení specifikována v normě ISO/IEC 27002; Požadavky specifikovány v normě ISO/IEC 27001: kapitola A.9 Fyzická bezpečnost a bezpečnost prostředí Kapitola A.9.1 Zabezpečené oblasti Kapitola A.9.2 Bezpečnost zařízení 2

3 A.9 Fyzická bezpečnost a bezpečnost prostředí A.9.1 Zabezpečené oblasti Cíl: Předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace. Prostředky IT, zpracovávající kritické nebo citlivé informace organizace, by měly být umístěny v zabezpečených zónách chráněných definovaným bezpečnostním perimetrem s odpovídajícími bezpečnostními bariérami a vstupními kontrolami. Tyto prostředky by měly být fyzicky chráněny proti neautorizovanému přístupu, poškození a narušení. Jejich ochrana by měla odpovídat zjištěným rizikům. A.9.1 Zabezpečené oblasti A Fyzický bezpečnostní perimetr Při ochraně prostor, ve kterých se nachází informace nebo zařízení pro zpracování informací, by měly být používány bezpečnostní perimetry (bariéry jako například zdi, vstupní turniket na karty nebo recepce). A Kontroly vstupu osob Aby bylo zajištěno, že je přístup do zabezpečených oblastí povolen pouze oprávněným osobám, měly by být tyto oblasti chráněny vhodným systémem kontrol vstupu. A Zabezpečení kanceláří, místností a zařízení Mělo by být navrženo a aplikováno fyzické zabezpečení kanceláří, místností a zařízení. 3

4 A.9.1 Zabezpečené oblasti A Ochrana před hrozbami vnějšího prostředí Na ochranu proti škodám způsobeným požárem, povodní, zemětřesením, výbuchem, civilními nepokoji a jinými přírodními nebo lidmi zapříčiněnými katastrofami by měly být navrženy a aplikovány prvky fyzické ochrany. A Práce v zabezpečených oblastech Pro práci v zabezpečených oblastech by měly být navrženy a aplikovány prvky fyzické ochrany. A Veřejný přístup, prostory pro nakládku a vykládku Prostory pro nakládku a vykládku a další místa, kudy se mohou neoprávněné osoby dostat do prostor organizace, by měla být kontrolována a pokud možno by měla být izolována od zařízení pro zpracování informací tak, aby se zabránilo neoprávněnému přístupu. A.9 Fyzická bezpečnost a bezpečnost prostředí A.9.2 Bezpečnost zařízení Cíl: Předcházet ztrátě, poškození nebo kompromitaci aktiv a přerušení činnosti organizace. Zařízení by měla být fyzicky chráněna proti bezpečnostním hrozbám a působení vnějších vlivů. Ochrana zařízení (včetně těch, která se používají mimo hlavní lokalitu) je nezbytná jak pro snížení rizika neautorizovaného přístupu k datům, tak k zajištění ochrany proti ztrátě nebo poškození. Pozornost by měla být věnována také jejich umístění a likvidaci. Na ochranu proti možnému ohrožení nebo neautorizovanému přístupu a na ochranu podpůrných prostředků, jako například dodávky elektrické energie a struktury kabelových rozvodů, mohou být požadována zvláštní opatření. 4

5 A.9.2 Bezpečnost zařízení A Umístění zařízení a jeho ochrana Zařízení by měla být umístěna a chráněna tak, aby se snížila rizika hrozeb a nebezpečí daná prostředím a aby se omezily příležitosti pro neoprávněný přístup. A Podpůrná zařízení Zařízení by mělo být chráněno před selháním napájení a před dalšími výpadky způsobenými selháním podpůrných služeb. A Bezpečnost kabelových rozvodů Silové a telekomunikační kabelové rozvody, které jsou určeny pro přenos dat a podporu informačních služeb, by měly být chráněny před poškozením či odposlechem. A.9.2 Bezpečnost zařízení A Údržba zařízení Zařízení by mělo být správně udržováno pro zajištění jeho stálé dostupnosti a integrity. A Bezpečnost zařízení mimo prostory organizace Zařízení používané mimo prostory organizace by mělo být zabezpečeno s přihlédnutím k různým rizikům vyplývajících z jejich činnosti mimo organizaci. A Bezpečné zničení nebo opakované použití zařízení Všechna zařízení obsahující paměťová média by měla být kontrolována, aby se zajistilo, že před jejich likvidací budou citlivá data a licencované programové vybavení odstraněna nebo přepsána. 5

6 A.9.2 Bezpečnost zařízení A Přemístění majetku Zařízení, informace nebo programové vybavení by bez schválení neměly být přemisťovány. Struktura normy ISO/IEC (ISO 27002) 11 oblastí (clauses), 39 kategorií (objectives), 133 opatření (controls) včetně popisu způsobu implementace Bezpečnostní politika (1) Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Nákup, vývoj a údržba informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s požadavky (3) 6

7 Organizační opatření Doporučení specifikována v normě ISO/IEC 27002; Požadavky specifikovány v normě ISO/IEC 27001: Příloha A: kapitola A.5 Bezpečnostní politika Příloha A: Kapitola A.6 organizace bezpečnosti informací Příloha A: Kapitola A.7 Řízení aktiv Příloha A: Kapitola A.8 Bezpečnost lidských zdrojů A.5 Bezpečnostní politika A.5.1 Bezpečnostní politika informací Cíl: Definovat směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky organice, příslušnými zákony a regulatorními požadavky. Vedení organizace by mělo stanovit jasný směr postupu v oblasti bezpečnosti informací, ukázat její podporu vydáním a aktualizací bezpečnostní politiky informací platné v celé organizaci. 7

8 A.5.1 Bezpečnostní politika informací A Dokument bezpečnostní politiky informací Dokument bezpečnostní politiky informací by měl být schválen vedením organizace, vydán a být dán na vědomí všem zaměstnancům a relevantním třetím stranám. A Přezkoumání a aktualizace bezpečnostní politiky informací Pro zajištění její neustálé použitelnosti, přiměřenosti a účinnosti by bezpečnostní politika informací měla být přezkoumávána v plánovaných intervalech a v případech, kdy nastane významná změna. Struktura normy ISO/IEC (ISO 27002) 11 oblastí (clauses), 39 kategorií (objectives), 133 opatření (controls) včetně popisu způsobu implementace Bezpečnostní politika (1) Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Nákup, vývoj a údržba informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s požadavky (3) 8

9 A.6 Organizace bezpečnosti informací A.6.1 Vnitřní organizace Cíl: Řídit bezpečnost informací v organizaci. Měl by být vytvořen řídící rámec pro zahájení a řízení implementace bezpečnosti informací v organizaci. Vedení organizace by mělo schválit politiku bezpečnosti informací, přiřadit role v oblasti bezpečnosti informací a koordinovat implementaci bezpečnosti v organizaci. A.6 Organizace bezpečnosti informací A.6.1 Vnitřní organizace Cíl: Řídit bezpečnost informací v organizaci. Jestliže je to nutné, pak by měl být v organizaci vytvořen specializovaný zdroj pro oblast bezpečnosti informací a měl by být dostupný pro celou organizaci. Aby bylo možné udržovat krok s posledními trendy v odvětví bezpečnosti informací, sledovat standardy, vybírat nejvhodnější metody a zajistit vhodné styčné body v případech bezpečnostních incidentů, měly by být uzavřeny smlouvy s externími odborníky v oboru bezpečnosti informací. Měl by být podporován multi-disciplinární přístup k bezpečnosti informací. 9

10 A.6.1 Vnitřní organizace A Závazek vedení Vedení organizace by mělo stanovit jasný směr a aktivně podporovat bezpečnost v rámci organizace. Mělo by demonstrovat svůj závazek a jednoznačně přiřadit a vymezit role v oblasti bezpečnosti informací. A Koordinace bezpečnosti informací Činnosti v oblasti bezpečnosti informací by měly být koordinovány prostřednictvím zástupců různých útvarů z celé organizace. A Přidělení odpovědností v oblasti bezpečnosti informací Měly by být jednoznačně určeny odpovědnosti v oblasti bezpečnosti informací. A.6.1 Vnitřní organizace A Schvalovací proces pro prostředky zpracování informací Měl by být ustaven a zaveden postup schvalování (vedoucími zaměstnanci) nových prostředků pro zpracování informací. A Dohody o ochraně důvěrných informací Měly by být určeny a v pravidelných intervalech přezkoumávány dohody s požadavky na ochranu důvěrnosti nebo povinnost zachovávat mlčenlivost, reflektující potřeby organizace na ochranu informací. A Kontakt s orgány veřejné správy Měly by být udržovány přiměřené vztahy s orgány veřejné správy. 10

11 A.6.1 Vnitřní organizace A Kontakt se zájmovými skupinami Měly by být udržovány přiměřené vztahy se zájmovými skupinami nebo speciálními fóry na bezpečnost a profesními sdruženími. A Nezávislá přezkoumání bezpečnosti informací Přístup organizace k řízení a implementaci bezpečnosti informací (tj. cíle opatření, jednotlivá opatření, politiky, směrnice a postupy) by měly být v pravidelných intervalech (a nebo v případě jakékoliv významné změny ve vztahu k bezpečnosti) nezávisle přezkoumávány. A.6 Organizace bezpečnosti informací A.6.2 Externí partneři Cíl: Zachovat bezpečnost informací organizace a zařízení pro zpracování informací, které jsou přístupné zpracovávané sdělované nebo spravované externími subjekty. Bezpečnost informací a zařízení pro zpracování informací by neměla být snížena při zavedení produktů a služeb třetích stran. Přístup externích subjektů k zařízení pro zpracování informací a k informacím by měl být kontrolován. Tam, kde z činností organizace vyplývá potřeba přístupu externích subjektů, by mělo být provedeno hodnocení rizik plynoucích z tohoto přístupu tak, aby se zjistily důsledky z hlediska bezpečnosti a aby se definovaly požadavky na opatření. Opatření by měla být schválena a definována ve smlouvě se třetí stranou. 11

12 A.6. Externí partneři A Identifikace rizik plynoucích z přístupu externích subjektů Předtím než je externím subjektům povolen přístup k informacím organizace a prostředkům pro zpracování informací, by měla být identifikována rizika a implementována vhodná opatření na jejich pokrytí. A Bezpečnostní požadavky pro přístup zákazníků Předtím, než je zákazníkům umožněn přístup k informací a aktivům organizace, by měly být zjištěny veškeré požadavky na bezpečnost. A Bezpečnostní požadavky v dohodách se třetí stranou Dohody uzavřené s třetími stranami zahrnující přístup, zpracování, šíření nebo správu informací organizace nebo správu zařízení pro zpracování informací (případně dodávku produktů nebo služeb k zařízení pro zpracování informací) by měly pokrývat veškeré Igor Čermák relevantní (ČVUT FIT) bezpečnostní Fyzická bezpečnost, požadavky. org. opatření MI-IBE 2011, Přednáška 7 A.6. Externí partneři A Bezpečnostní požadavky v dohodách se třetí stranou Dohody uzavřené s třetími stranami zahrnující přístup, zpracování, šíření nebo správu informací organizace nebo správu zařízení pro zpracování informací (případně dodávku produktů nebo služeb k zařízení pro zpracování informací) by měly pokrývat veškeré relevantní bezpečnostní požadavky. 12

13 Fyzická bezpečnost Doporučení specifikována v normě ISO/IEC 27002; Požadavky specifikovány v normě ISO/IEC 27001; Fyzická bezpečnost a bezpečnost prostředí Zabezpečené oblasti Fyzický bezpečnostní perimetr Fyzické kontroly vstupu osob Zabezpečení kanceláře, místnosti a prostředků Ochrana proti vnějším a vnitřním hrozbám Práce v zabezpečených oblastech Veřejný přístup, prostory pro nakládku a vykládku Bezpečnost zařízení 13

14 Fyzická bezpečnost a bezpečnost prostředí Bezpečnost zařízení Umístění zařízení a jeho ochrana Podpůrná zařízení Bezpečnost kabelových rozvodů Údržba zařízení Bezpečnost zařízení mimo prostory organizace Bezpečná likvidace nebo opakované použití zařízení Přemístění majetku Organizační opatření Doporučení specifikována v normě ISO/IEC 27002; Požadavky specifikovány v normě ISO/IEC 27001; 14

15 Bezpečnostní politika Politika bezpečnosti informací Dokument bezpečnostní politiky informací Přezkoumání bezpečnostní politiky informací Vlastník procesu (vytvoření, přezkoumání a aktualizace; možnosti pro zlepšení Při přezkoumání vedením organizace následující vstupy: Zpětná vazba Výsledky nezávislých přezkoumánáí Stav preventivních a nápravných opatření Výsledky z předchozích přezkoumání Výkonnost procesu a soulad s bezpečnostní politikou Změny, které by mohly mít vliv (organizační, technické, smlouvy, legislativa) Trendy v oblasti hrozeb a zranitelností Hlášení bezpečnostních incidentů Doporučení orgánů veřejné správy Výstupy: rozhodnutí a činnosti (zdroje, odpovědnosti, cíle opatření a opatření) Organizace bezpečnosti informací Interní organizace Závazek vedení směrem k bezpečnosti informací Koordinace bezpečnosti informací Přidělení odpovědnosti v oblasti bezpečnosti informací Schvalovací proces prostředků pro zpracování informací Dohody o ochraně důvěrných informací Kontakt s orgány veřejné správy Kontakt se zájmovými skupinami Nezávislé přezkoumání bezpečnosti informací 15

16 Organizace bezpečnosti informací Externí subjekty Identifikace rizik vyplývajících z přístupu externích subjektů Bezpečnostní požadavky pro přístup klientů Bezpečnostní požadavky v dohodách s třetí stranou Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 16