BEZPEČNOSTI INFORMACÍ

Transkript

1 Systém managementu BEZPEČNOSTI INFORMACÍ Martin Drastich Vývoj a současnost standardů informační bezpečnosti Komentář normy ISO/IEC 27001:2005 Implementace systému managementu bezpečnosti informací Audit, auditor, fáze auditu Akreditace a certi kace ISMS Ukázka knihy z internetového knihkupectví UID: KOS214422

2 Ukázka knihy z internetového knihkupectví

3 Systém managementu BEZPEČNOSTI INFORMACÍ Martin Drastich

4 Upozornění pro čtenáře a uživatele této knihy Všechna práva vyhrazena. Žádná část této tištěné či elektronické knihy nesmí být reprodukována a šířena v papírové, elektronické či jiné podobě bez předchozího písemného souhlasu nakladatele. Neoprávněné užití této knihy bude trestně stíháno. Systém managementu bezpečnosti informací Martin Drastich Vydala Grada Publishing, a.s. U Průhonu 22, Praha 7 jako svou publikaci Recenzoval Doc. Mgr. Roman Jašek, Ph.D. Odpovědný redaktor Ing. Pavel Němeček Sazba Tomáš Brejcha Počet stran 128 První vydání, Praha 2011 Grada Publishing, a.s., 2011 V knize použité názvy programových produktů, firem apod. mohou být ochrannými známkami nebo registrovanými ochrannými známkami příslušných vlastníků. Vytiskla Tiskárna PROTISK, s.r.o., České Budějovice ISBN (tištěná verze) ISBN (elektronická verze ve formátu PDF) ISBN (elektronická verze ve formátu EPUB)

5 Obsah Úvod ČÁST I.: Geneze vývoje a současnost standardů informační bezpečnosti Vývoj informační bezpečnosti 1.1 Historie v souvislostech Období do konce 80. let Období 90. let Hodnocení úrovně bezpečnosti informačních systémů Globalizace a úrovně bezpečnosti Současný stav informační bezpečnosti Standardizace informační bezpečnosti Průzkum stavu informační bezpečnosti v České republice Důvody zavedení systému managementu bezpečnosti informací Normy řady ČSN ISO/IEC 2700x 2.1 Struktura norem řady ISO 2700x ISO Specifikace pro systémy řízení bezpečnosti informací ISO Návod na implementaci opatření ISO Návod na zavedení ISMS v souladu s ISO/IEC 27001: ISO Metriky ISMS ISO Management rizik bezpečnosti informací ISO Návod na implementaci opatření ISO Doporučení pro auditování ISMS tzv. technický audit ISO Informační bezpečnost ve zdravotnictví Připravované normy ČÁST II.: ISO/IEC 27001: Obsah normy ISO/IEC 27001: Cíle normy Procesní model ISMS Plánuj Dělej Kontroluj Jednej Povinná dokumentace Obsah 5

6 Odpovědnost, audit, přezkoumání a zlepšování 4.1 Odpovědnost managementu Osobní závazek vedení Řízení zdrojů Školení, informovanost a odborná způsobilost Interní audity ISMS Přezkoumání systému managementu ISMS Všeobecně Vstupy pro přezkoumání Výstupy pro přezkoumání Zlepšování ISMS Neustále zlepšování Opatření k nápravě Preventivní opatření Bezpečnostní politika 5.1 Politika bezpečnosti informací Dokument bezpečnostní politiky informací Přezkoumání bezpečnostní politiky informací Organizace bezpečnosti informací 6.1 Vnitřní organizace Závazek vedení organizace směrem ISMS Koordinace bezpečnosti informací Přidělení odpovědnosti v oblasti bezpečnosti informací Schvalovací proces pro prostředky zpracování informací Ujednání o ochraně důvěrných informací Kontakt s orgány veřejné správy Kontakty se speciálními zájmovými skupinami Nezávislé přezkoumání bezpečnosti informací Externí subjekty, partneři Identifikace rizik vyplývajících z přístupu externích subjektů Bezpečnostní požadavky pro přístup klientů Zohlednění bezpečnostních požadavků v dohodách s třetí stranou Řízení aktiv 7.1 Odpovědnost za aktiva Evidence aktiv Vlastnictví aktiv Přijatelné využívaní aktiv Klasifikace informací Doporučení pro klasifikaci Označování a zpracování informací Systém managementu bezpečnosti informací

7 Bezpečnost z hlediska lidských zdrojů 8.1 Před vznikem pracovního vztahu Role a odpovědnosti Prověřování osob Podmínky a požadavky při výkonu pracovní činnosti Během pracovního procesu Odpovědnosti vedoucích pracovníků Bezpečnostní povědomí, vzdělání a výcvik Disciplinární řízení Ukončení nebo změna pracovního vztahu Odpovědnost při ukončování pracovního vztahu Navrácení zapůjčených aktiv Odebraní přístupových práv Fyzická bezpečnost a bezpečnost prostředí 9.1 Zabezpečení prostoru Fyzický bezpečnostní perimetr Fyzické kontroly vstupu osob Zabezpečení kanceláří, místnosti a prostředků Ochrana před hrozbami vnějšku a prostředí Práce v zabezpečených oblastech Veřejný přístup, prostory pro nakládku a vykládku Bezpečnost zařízení Umístění zařízení a jeho ochrana Podpůrná zařízení, dodávky energie Bezpečnost kabelových rozvodů Údržba zařízení Bezpečnost zařízení používané mimo prostory organizace Bezpečná likvidace nebo opakované použití zařízení Odstranění a přemístění majetku Řízení komunikací a řízení provozu 10.1 Provozní postupy a odpovědnost Dokumentace provozních postupů Řízení změn Oddělení povinností Oddělení vývoje, testování a provozu Řízení dodávek služeb třetích stran Dodávky služeb Monitorování a přezkoumávání služeb zabezpečovaných třetí stranou Řízení změn ve službách zabezpečovaných třetími stranami Plánování a přejímání informačních systémů Řízení kapacit a kapacitní plánování Obsah 7 Ukázka knihy z internetového knihkupectví

8 Přejímání systémů Ochrana proti škodlivým programům a mobilním kódům Opatření na ochranu proti škodlivým programům Opatření na ochranu proti mobilním kódům Zálohování Zálohování informací Správa bezpečnosti sítě Síťová opatření Bezpečnost síťových služeb Bezpečnost při zacházení s médii Správa výměnných počítačových médii Likvidace médií Postupy pro manipulaci s informacemi Bezpečnost systémové dokumentace Výměna informací Postupy a politiky při výměně informací a programů Dohody o výměně informací a programů Bezpečnost médií při přepravě Elektronické zasílání zpráv Informační systémy organizace Služby elektronického obchodu Elektronický obchod On-line transakce Veřejně přístupné informace Monitorování Pořizovaní auditních záznamů Monitorování používání systému Ochrana vytvořených záznamů Administrátorský a operátorský deník Záznam o selhání Synchronizace hodin Řízení přístupu 11.1 Požadavky na řízení přístupu Politika řízení přístupu Řízení přístupu uživatelů Registrace uživatele Řízení privilegovaného přístupu Správa uživatelských hesel Přezkoumání přístupových práv uživatelů Odpovědnosti uživatelů Používaní hesel Neobsluhovaná zařízení uživatelů Zásada prázdného stolu a prázdné obrazovky Systém managementu bezpečnosti informací

9 11.4 Řízení přístupu k síti Politika užívání síťových služeb Autentizace uživatele pro externí připojení Identifikace zařízení v sítích Ochrana portů pro vzdálenou diagnostiku a konfiguraci Princip oddělení skupin v sítích Řízení síťových spojení Řízení směrování sítí Řízení přístupu k operačnímu systému Bezpečné postupy připojení Identifikace a autentizace uživatelů Systém správ hesel Použití systémových nástrojů Časové omezení relace Časové omezení spojení Řízení přístupu k aplikacím a informacím Omezení přístupu k informacím Oddělení citlivých systémů Mobilní výpočetní zařízení a práce na dálku Mobilní výpočetní zařízení a sdělovací technika Práce na dálku Sběr dat, vývoj a údržba informačních systémů 12.1 Požadavky na bezpečnost informačních systémů Analýza a specifikace požadavků na bezpečnost Správný postup zpracování v aplikacích Validace vstupních dat Kontrola a řízení vnitřního zpracování Celistvost zpráv Validace výstupních dat Kryptografické prostředky a opatřeni Politika pro použití kryptografických prostředků a opatření Správa klíčů Bezpečnost systémových souborů Správa provozního programového vybavení Ochrana dat pro testování systému Řízení přístupu do knihovny zdrojových kódů Bezpečnost procesů vývoje a podpory Postupy řízení změn Technické přezkoumání změn operačního systému Omezení změn programových balíků Únik informací Programové vybavení vyvíjené externím dodavatelem Obsah 9

10 12.6 Řízení technických zranitelností Řízení, správa a kontrola technických zranitelností Zvládání bezpečnostních incidentů 13.1 Hlášení bezpečnostních incidentů Hlášení bezpečnostních události Hlášení bezpečnostních slabin Zvládání bezpečnostních incidentů a kroky k nápravě Odpovědnosti a postupy Ponaučení z bezpečnostních incidentů Shromažďování důkazů Řízení kontinuity organizace 14.1 Aspekty bezpečnosti informací při řízení kontinuity činnosti organizace Zahrnutí bezpečnosti informací do procesu řízení kontinuity činnosti organizace Kontinuita činností organizace a hodnocení rizik Vytváření a implementace plánu kontinuity Systém plánování kontinuity činností organizace Testování, udržování a přezkoumávání plánu kontinuity Soulad a požadavky 15.1 Soulad s právními normami Identifikace odpovídajících předpisů Ochrana duševního vlastnictví Ochrana záznamů organizace Ochrana dat a soukromí osobních údajů Prevence zneužití prostředků pro zpracování informací Registrace kryptografických opatření Soulad s bezpečnostními politikami, normami a technická shoda Shoda s bezpečnostními politikami a normami Kontrola technické shody Hlediska auditu informačních systémů Opatření pro audit informačního systému Ochrana nástrojů pro audit systému ČÁST III.: Implementace Implementace 16.1 Rozhodnutí managementu o zavedení ISMS Ustanovení rozsahu a hranice ISMS Vstupní analýza Systém managementu bezpečnosti informací

11 16.4 Stanovení bezpečnostní politiky (politika ISMS) Analýza rizik Příklad harmonogramu implementace Vypracování povinných dokumentů Bezpečnostní příručka Prohlášení o aplikovatelnosti POA Směrnice řízení dokumentů a záznamů Směrnice interní audity Směrnice nápravných a preventivních opatření Implementace, zavádění do praxe, školení zaměstnanců Systémový audit Integrované systémy řízení ČÁST IV.: Audit Audit 17.1 Úvod do problematiky průběhu auditu Důvody, cíle a odpovědnosti auditu Rozsah činností auditu Auditor 18.1 Charakteristika auditora Etický kodex auditora Příslušný výcvik auditora Techniky řízení týmu Styly řízení auditu Řízení auditorského skupiny Fáze auditu 19.1 Fáze přípravy auditu Etapa vstupního plánování Předběžná prohlídka Podrobné plánování Fáze auditování Systémy dokumentace auditu Taktika a technika auditu Technika dotazů Kontrolní (check) listy Hledání objektivních důkazů Hledání kořenových příčin Neshody v systému Registrace neshod Obsah 11

12 Hlášení neshod Pozorování z auditu Fáze následných opatření Zpráva z auditu Příprava souhrnné zprávy Závěrečná schůzka a prezentace souhrnné zprávy Dohoda a následná nápravná opatření ČÁST V.: Akreditace a certifikace Akreditace a certifikace 20.1 Akreditace Certifikace Certifikační orgán Pracovníci certifikačního orgánu Provádění dozoru Certifikace procesů Certifikační dokument Certifikační audit První etapa certifikačního auditu Druhá etapa certifikačního auditu Zprávy a závěry z certifikačního auditu Pravidla a postupy certifikačního orgánu Žádost o prvotní audit a certifikace Přezkoumání žádosti k provedení auditu Certifikační stupně auditu První stupeň auditu Druhý stupeň auditu Závěry z prvotního certifikačního auditu Informace pro udělení prvotní certifikace Dozorové činnosti Udržování certifikace Plánování, opakování, udělení certifikace Změny v certifikačním řízení Závěr Bibliografie Pojmy Zkratky Summary Rejstřík Systém managementu bezpečnosti informací Ukázka knihy z internetového knihkupectví

13 Úvod Objev principů zemědělství přinesl lidstvu metodu přetváření přírodních zdrojů v bohatství, jež vyvolala první vlnu civilizačních změn. Druhá civilizační vlna přinesla tovární systém tvorby bohatství, vedla k hromadné výrobě, koncentraci průmyslu, ke snaze o vytvoření stále větších trhů a masovou spotřebu. Po zemědělské a průmyslové revoluci jsme v současné době v období nástupu třetí revoluční vlny 1 tzv. informační revoluce. Na vlastní kůži dnes prožíváme příchod třetí velké vlny změn v dějinách. Ocitáme se tak uprostřed procesu vytváření nové společnosti tzv. informační společnosti, která s sebou přináší odlišné způsoby práce a myšlení, digitální ekonomiku, internetové bankovnictví, e-goverment, firemní informační systémy, technologie B2B a B2C atp. Třetí vlna civilizačních změn je charakteristická tím, že primárním faktorem jsou informace. Mění se celá struktura společnosti. Homogenita druhé vlny je nahrazována heterogenitou třetí vlny, která si žádá stále více výměny informací mezi jejími uživateli firmami, státními správou, finančními úřady, soudy, dalšími institucemi a v neposlední řadě mezi jednotlivci. To vyvolává znalost informačních a komunikačních technologií. V souvislosti s používáním informačních a komunikačních technologií vyvstává otázka nejen pro management firem, státní organizace, ale i pro jednotlivce ohledně bezpečnosti a ochrany dat a informací. Na firemní účet (resp. u přepážky na pobočce banky), vlastní peněženku, občanský průkaz nebo cestovní pas jsme se naučili si dávat pozor, vkladní knížky bývají pečlivě uchovány, ale se zabezpečením nebo ochranou dat při využívání informačních a komunikačních technologií si již rady nevíme. Zejména firmy by si měly uvědomit, že vlastní spoustu citlivých informací o vlastní výrobě, dodavatelích, odběratelích, plánech, investicích, zaměstnancích atp. 1 TOFFLER, A., TOFFLEROVÁ, H. Nová civilizace. Třetí vlna a její důsledky. Praha: Nakladatelství Dokořán, 2001; s. 15. Úvod 13