Prklady opatren, zranitelnost a hrozeb

Transkript

1 Prklady opatren, zranitelnost a hrozeb PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018

2 Obsah Prklad kategori opatren podle ISO/IEC 27001/27002 Prklady opatren dle z akona o kybernetick e bezpecnosti Prklady zranitelnost dle z akona o kybernetick e bezpecnosti Prklady hrozeb dle z akona o kybernetick e bezpecnosti Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 1

3 Kategorie opatren podle ISO/IEC 27001/ trd pokr yvajcch v etsinu aspekt u InfSec Vsechny uv ad en e generick e typy opatren (114) patr mezi nejleps zn am e pro dosazen InfSec, jsou voliteln e, vybraj se podle prohl asen o jejich aplikovatelnosti v vyd avan em na z aklade hodnoceni rizik Pro konkr etn implementace ISMS lze opatren libovoln e dopl novat A.5, Politiky informacn bezpecnosti A.5.1, Cl: sm ernice pro management o informacn bezpecnosti, jak politiky ps at, aktualizovat a revidovat A.5.1.1, Politiky InfSec: mus b yt denov any, schv alen e prslusn ym managementem, publikovan e a sdelen e zamestnanc um a prslusn ym vn ejs (tretm) stran am A.5.1.2, Prezkum politik InfSec: mus b yt v pl anovan ych intervalech nebo v prpade v yskyt u v yznamn ych zmen prezkoum avan e, aby se zajistila jejich trval a vhodnost, prim erenost a ucinnost. Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 2

4 Kategorie opatren podle ISO/IEC 27001/27002 politiky zajist'uj potrebnou urove n d uv ernosti, autenticity, integrity, dostupnosti vc. bezpecnosti transakc v distribuovan em prostred jsou vypracov avan e pro chr anen e oblasti a jsou, tam kde je to potreba, dopl novan e politikou bezpecnosti informac pro vztahy s dodavateli, { prov eren dodavatel u, identikace rizik tretch stran a bezpecnostnch opatren s promtnutm do smluv apod., politikou pouzv an mobilnch zarzen { evidence, kontrola platforem OS, BYOD, MDM (Mobile Device Management) apod. management m a denovat a prosazovat ucinn e bezpecnostn politiky, mus b yt srozumen se z amerem zaveden a provozov an ISMS a m a plne podporovat jeho v yvoj a provoz bezpecnostn politiky m a relevantn person al zn at mus b yt v souladu se strategickou (glob aln) bezpecnostn politikou organizace Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 3

5 Kategorie opatren podle ISO/IEC 27001/27002 A.6, Organizacn zajist en informacn bezpecnosti A.6.1, Cl v oblasti vnitrn organizace: vytvoren r amce pro iniciaci, rzen implementace a provozov an p ece o informacn bezpecnost v r amci organizace m a b yt denovan a rdic A kontroln infrastruktura { odpov edn y clen veden, bezpecnostn architekt, bezp. spr avce,... { kazd y clen organizace si je vedom sv ych odpovednost { existuj kan aly pro sd elov an info o utocch relevantnm autorit am organizacn zajist en pr existenci tretch stran viz A.15 A.6.1.1, Role a odpovednosti: mus b yt denovan e a pridelen e A.6.1.2, Odd elen povinnost: koniktn povinnosti a oblasti odpov ednosti mus b yt odd eleny, aby omezily prlezitosti pro neopr avnen e nebo ne umysln e zmene nebo zneuzit aktiv organizace. A.6.1.3, Kontakt s org any: mus se udrzovat prslusn e kontakty s prslusn ymi org any Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 4

6 Kategorie opatren podle ISO/IEC 27001/27002 A.6.1.4, Kontakt se speci alnmi z ajmov ymi skupinami: mus se udrzovat prslusn e kontakty se z ajmov ymi skupinami nebo s jin ymi odborn ymi bezpecnostnmi f ory a profesnmi sdruzenmi A.6.1.5, Informacn bezpecnost v projektov em rzen: mus b yt resena v pri projektov em rzen, bez ohledu na typ projektu A.6.2, Cl v oblasti pouzv an mobilnch zarzen a teleworkingu: zajistit InSec pri pouzv an mobilnch zarzen a teleworkingu A.6.2.1, Politika pouzv an mobilnch zarzen A.6.2.2, Politika teleworkingu Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 5

7 Kategorie opatren podle ISO/IEC 27001/27002 A.7, Perzon aln bezpecnost, bezpecnost lidsk ych zdroj u A.7.1, pred prijetm: A.7.1.1, Denice krit eri pro v yb er pracovnk u A.7.1.2, Deklarace pravidel a podmnek pri zam estnan, NDA,... A.7.2, b ehem zam estn an: A.7.2.1, Odpov ednost managementu, mus pozadovat po vsech zam estnancch a dodavatelch udrzov an InfSec v souladu se zaveden ymi z asadami a postupy organizace A.7.2.2, P estov an bezpecnostnho uv edom en, pravideln a bezpecnostn skolen zam estnanc u A.7.2.3, Disciplin arn rzen po zp usoben narusen InfSec A.7.3, ukoncen zam estn an, zm ena funkce v zam estn an: A.7.3.1, Ukoncen / zm ena povinnost a odpov ednost pri ukoncen zamestn an a zmene funkce, vr acen prostredk u IT, odebr an prstupov ych pr av,... Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 6

8 Kategorie opatren podle ISO/IEC 27001/27002 A.8, Spr ava (rzen) aktiv A.8.1, Odpov ednost za aktiva, informacn aktiva maj b yt zn am a (ex. soupis) a chr anen a pro kazd e aktivum m a b yt denovan a odpov edn a role (vlastnk aktiva) A.8.2, Klasikace aktiv, (tajn e, d uvern e,... ) a kazd a trda mus b yt relevantne chr anen a A.8.3, Pravidla pro zach azen m edii Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 7

9 Kategorie opatren podle ISO/IEC 27001/27002 A.9, Rzen prstupu A.9.1, Politika rzen prstupu { pozadavky dan e cinnosti organizace, stanoven z avazn ych pravidel pro prid elov an prstupov ych opr avn en A.9.2, Rzen prstupu uzivatel u { (de)registrace, evidence prid elen ych opr avn en, spr ava privilegovan ych opr avn en administr ator u, spr ava hesel, kontroly validity prstupov ych opr avn en A.9.3, Odpov ednosti uzivatel u { pouzv an hesel, neobsluhovan a zarzen, z asada pr azdn eho stolu a pr azdn e obrazovky A.9.4, Rzen prstupu k aplikacm a k syst em um { ochrana pred neautorizovan ym prstupem, registracn procedury, rzen prstupu na urovni st e/os/aplikace, zohledn en vzd alen ych prstup u, spr ava hesel,... Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 8

10 Kategorie opatren podle ISO/IEC 27001/27002 A.10, Kryptograe A.10.1, Kryptograck a opatren { pro zajist en spr avn eho a efektivnho vyuzit sifrov an na ochranu d uv ernosti, autenticity a / nebo integrity informacnch aktiv A , Politika pouzv an kryptograck ych opatren A , Spr ava klc u A.11, Fyzick a bezpecnost a bezpecnost prostred ochrana proti neautorizovan emu fyzick emu zprstupn en ochrana proti vnejsm vliv um prrody, kr adezm,... Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 9

11 Kategorie opatren podle ISO/IEC 27001/27002 A.12, Rzen provozu, provozn bezpecnost ex. aktualizovan e, auditovan e, dokumentovan e provozn postupy ex. pl anov an dostupnosti potrebn ych zpracov avatelsk ych kapacit je zavedena ochrana proti skodliv emu software prov ad se archivace prov ad se monitorov an incident u a informov an o incidentech (i o podezrench na ne) A.13, Bezpecnost komunikac A.13.1, Spr ava st'ov e bezpecnosti A.13.2, Prenos informac, v ym ena informac mezi organizacemi, transakce, je rzen a Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 10

12 Kategorie opatren podle ISO/IEC 27001/27002 A.14, Akvizice, v yvoj a udrzba Spr ava a rzen v yvoje syst em u A.14.1, InfSec informacnch syst em u A.14.2, InfSec pri v yvoji a udrzbe typy prostred: v yvojov e, testovac, akceptacn, provozn (ziv a data) A.14.3, Testovac data A.15, Vztahy s dodavateli zajist en InfSec ve vztazch s dodavateli spr ava dorucov an dodavatelsk ych sluzeb A.16, Zvl ad an bezpecnostnch incident u hl asen bezpecnostnch incident u pl any/procedury reakc na zjist en y bezpecnostn incident Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 11

13 Kategorie opatren podle ISO/IEC 27001/27002 A.17, Rzen kontinuity cinnosti organizace A.17.1, pl an pro udrzen nebo obnovu cinnost organizace po prerusen nebo selh an kritick ych proces u a pro zajist en dostupnosti informac v pozadovan em case a na pozadovanou urove n A.17.2, zajist en dostupnosti redundanc prostredk u pro zpracov an informac A.18, Soulad s pozadavky A.18.1, Soulad s pr avnmi a smluvnmi normami { Specick e pozadavky vypl yvajc ze z akona by mely b yt konzultov any s pr avnmi poradci organizace nebo jin ymi kvalikovan ymi pr avnky. { Legislativn pozadavky na informace vznikl e v jedn e zemi a pren asen e do jin e zeme jsou r uzn e a men se podle zem. { Soulad s bezpecnostnmi politikami, normami a technick a shoda A.18.2, Audit InfSec { n astroj ov eren dosazen souladu Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 12

14 Prklady opatren dle z akona o kybernetick e bezpecnosti Kategorie bezpecnostnch opatren jsou dv e organizacn opatren a technick a opatren. Organizacnmi opatrenmi jsou syst em rzen bezpecnosti informac, ISMS procesy rzen rizik, bezpecnostn politika, organizacn bezpecnost { management bezpecnosti v organizaci, stanoven bezpecnostnch pozadavk u pro dodavatele, rzen aktiv, bezpecnost lidsk ych zdroj u, rzen provozu a komunikac informacn infrastruktury rzen prstupu osob k informacn infrastrukture akvizice, v yvoj a udrzba informacn infrastruktury, zvl ad an bezpecnostnch ud alost a bezpecnostnch incident u, rzen kontinuity cinnost a kontrola a audit informacn infrastruktury Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 13

15 Prklady opatren dle z akona o kybernetick e bezpecnosti Technick ymi opatrenmi jsou n astroje pro zajist en fyzick e bezpecnosti, n astroje pro ochranu integrity komunikacnch st, n astroje pro ov erov an identity uzivatel u, n astroje pro rzen prstupov ych opr avn en, n astroje pro ochranu pred skodliv ym k odem, n astroje pro zaznamen av an cinnosti informacn infrastruktury, jejich uzivatel u a administr ator u, n astroje pro detekci bezpecnostnch ud alost, n astroje pro sb er a vyhodnocen bezpecnostnch ud alost, n astroje pro zajist en aplikacn bezpecnosti, kryptograck e prostredky, n astroje pro zajist'ov an urovn e dostupnosti informac a n astroje pro zajist en bezpecnosti pr umyslov ych a rdcch syst em u Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 14

16 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Syst em rzen bezpecnosti informac, ISMS, Information Security Management System jsou stanoven e hranice syst emu rzen bezpecnosti informac urcujc, kter ych organizacnch c ast a technick ych prvk u se syst em rzen bezpecnosti informac t yk a zajist'uje prov ad en proces u rzen rizik zajist'uje vytvoren a schv alen bezpecnostn politiky v oblasti ISMS, kter a obsahuje hlavn z asady, cle, bezpecnostn potreby, pr ava a povinnosti ve vztahu k rzen informacn bezpecnosti zajist'uje trval e monitorov an ucinnosti bezpecnostnch opatren zajist'uje pravideln e vyhodnocov an vhodnosti a ucinnosti bezpecnostn politiky zajist'uje pravideln e prov ad en auditu bezpecnosti, a to nejm ene jednou rocne zajist'uje nejm en e jednou rocn e vyhodnocen ucinnosti ISMS Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 15

17 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti zajist'uje aktualizaci ISMS a prslusn e dokumentaci na z aklad e zjist en audit u bezpecnosti, v ysledk u vyhodnocen ucinnosti ISMS a v souvislosti s prov aden ymi ci pl anovan ymi zmenami zajist'uje proveden nejm en e jednou za tri roky aktualizace zpr avy o hodnocen rizik, bezpecnostn politiky, pl anu zvl ad an rizik a pl anu rozvoje bezpecnostnho pov edom Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 16

18 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Procesy rzen rizik maj stanovenou metodiku pro identikaci a hodnocen aktiv a pro identikaci a hodnocen rizik vc. stanoven krit eri prijatelnosti rizik identikuj a hodnot d ulezitost aktiv, kter e patr do rozsahu ISMS a v ystupy zapracuj do zpr avy o hodnocen rizik identikuj rizika, pri kter ych zohledn hrozby a zranitelnosti, posoud mozn e dopady na aktiva, hodnot tato rizika, urc a schv al prijateln a rizika a zpracuj zpr avu o hodnocen rizik zpracuj na z aklad e bezpecnostnch potreb a v ysledk u hodnocen rizik prohl asen o aplikovatelnosti, kter e obsahuje prehled vybran ych a zaveden ych bezpecnostnch opatren a popis vazeb mezi identikovan ymi riziky a prslusn ymi bezpecnostnmi opatrenmi zpracuj zpracuj a zavedou pl an zvl ad an rizik, kter y obsahuje cle a prnosy bezpecnostnch opatren pro zvl ad an rizik, urc osoby odpov. za prosazov an bezpecnostnch opatren pro zvl ad an rizik, nutn e nancn, technick e, lidsk e a informacn zdroje a termn jejich zaveden Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 17

19 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Bezpecnostn politika se stanovuje pro oblasti syst em rzen bezpecnosti informac, ISMS organizacn bezpecnost, management informacn bezpecnosti rzen dodavatel u, klasikace aktiv, kter a zahrnuje pravidla pro bezpecn e nakl ad an s aktivy, bezpecnost lidsk ych zdroj u, rzen provozu a komunikac, rzen prstupu, bezpecn e chov an uzivatel u, z alohov an a obnova, bezpecn e pred av an a v ymena informac, rzen technick ych zranitelnost, Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 18

20 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti bezpecn e pouzv an mobilnch zarzen, licencov an software a informac, dlouhodob e ukl ad an a archivace informac, ochrana osobnch udaj u, fyzick a bezpecnost, bezpecnost st e, ochrana pred skodliv ym k odem, nasazen a pouzv an n astroje pro detekci bezpecnostnch ud alost, vyuzit a udrzba n astroje pro sb er a vyhodnocen bezpecnostnch ud alost pouzv an kryptograck e ochrany. Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 19

21 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Management informacn bezpecnosti v organizaci Bezpecnostn role v organizaci { manazer informacn bezpecnosti, { architekt informacn bezpecnosti, { auditor informacn bezpecnosti a { garant (vlastnk) aktiva Manazer informacn bezpecnosti { osoba odpov edn a za ISMS, kter a je pro tuto cinnost r adn e vyskolena a prok aze odbornou zp usobilost prax po dobu nejm en e XXX (tr) let s rzenm informacn bezpecnosti. Architekt informacn bezpecnosti je osoba odpov edn a za n avrh a implementaci bezpecnostnch opatren, kter a je pro tuto cinnost r adn e vyskolena a prok aze odbornou zp usobilost prax po dobu nejm en e XXX (tr) let s navrhov anm bezpecnostn architektury Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 20

22 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Auditor informacn bezpecnosti je osoba odpov edn a za prov ad en auditu informacn bezpecnosti, kter a je pro tuto cinnost r adn e vyskolena a prok aze odbornou zp usobilost prax po dobu nejm en e XXX (tr) let s prov ad enm audit u informacn bezpecnosti. Auditor informacn bezpecnosti vykon av a svoji roli nestrann e a v ykon jeho role je oddelen od v ykonu rol manazer, architekt a garant. Stanoven bezpecnostnch pozadavk u pro dodavatele pred uzavrenm smlouvy se prov ad hodnocen rizik podle, kter a jsou spojena s dod avkami od jednotliv ych dodavatel u s dodavateli se uzavr a smlouva o urovni sluzeb, kter a stanov zp usoby a urovn e realizace bezpecnostnch opatren a urc vztah vz ajemn e smluvn odpov ednosti za zaveden a kontrolu bezpecnostnch opatren prov ad se pravideln e hodnocen rizik a pravidelnou kontrolu zaveden ych bezpecnostnch opatren u poskytovan ych sluzeb jednotliv ymi dodavateli a zjist en e nedostatky po dohod e s dodavatelem se odstra nuj Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 21

23 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Rzen aktiv identikace a evidence aktiv, urcen garant u aktiv hodnocen vlastnost aktiv z hlediska d uv ernosti, integrity a dostupnosti a zarazen aktiv do klasikacnch urovn pri zohledn en { mry podlu osobnch udaj u nebo obchodnho tajemstv, { rozsahu dotcen ych pr avnch povinnost ci jin ych z avazk u, { rozsah narusen vnitrnch rdcch a kontrolnch cinnost, { poskozen verejn ych, obchodnch ci ekonomick ych z ajm u, { mozn e nancn ztr aty, { rozsahu narusen b ezn ych cinnost { dopad u na ztr atu dobr eho jm ena nebo dobr e povesti stanoven a zaveden pravidel ochrany, nutn ych pro zabezpecen jednotliv ych urovn aktiv urcen zp usob u pro spolehliv e smaz an nebo nicen pamet'ov ych m edi s ohledem na urove n aktiv Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 22

24 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Bezpecnost lidsk ych zdroj u pl an rozvoje bezpecnostnho pov edom, kter y obsahuje formu, obsah a d elku potrebn ych skolen a urcuje osoby prov ad ejc realizaci jednotliv ych cinnost, kter e jsou v pl anu uvedeny v souladu s pl anem rozvoje bezpecnostnho pov edom se prov ad poucen uzivatel u, administr ator u a osob zast avajcch bezpecnostn role o jejich povinnostech a o bezpecnostn politice formou vstupnch a pravideln ych skolen pravideln e se kontroluje dodrzov an bezpecnostn politiky ze strany uzivatel u, administr ator u a osob zast avajcch bezpecnostn role je zajist eno vr acen sv eren ych aktiv a odebr an prstupov ych opr avn en pri ukoncen smluvnho vztahu s uzivateli, administr atory nebo osobami zast avajcmi bezpecnostn role udrzuj se prehledy, kter e obsahuj predm et skolen a seznam osob, kter e skolen absolvovaly Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 23

25 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti jsou stanoven a pravidla pro urcen osob, kter e budou zast avat bezpecnostn role, role administr ator u nebo uzivatel u pravideln e se hodnot ucinnost pl anu rozvoje bezpecnostnho pov edom, proveden ych skolen a dalsch cinnost spojen ych s prohlubov anm bezpecnostnho pov edom jsou stanoven a pravidla a postupy pro resen prpad u porusen stanoven ych bezpecnostnch pravidel ze strany uzivatel u, administr ator u a osob zast avajcch bezpecnostn role je stanoven y postup zmen prstupov ych opr avnen pri zmene postaven uzivatel u, administr ator u nebo osob zast avajcch bezpecnostn role Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 24

26 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Rzen provozu a komunikac Existuj provozn pravidla a postupy obsahujc { pr ava a povinnosti osob zast avajcch bezpecnostn role, administr ator u a uzivatel u, { postupy pro spust en a ukoncen chodu syst emu, pro restart nebo obnoven chodu syst emu po selh an, pro osetren chybov ych stav u anebo mimor adn ych jev u { postupy pro sledov an kybernetick ych bezpecnostnch ud alost a pro ochranu prstupu k z aznam um o techto cinnostech, { spojen na kontaktn osoby, kter e jsou urceny jako podpora pri resen neocek avan ych syst emov ych nebo technick ych potz, { postupy rzen a schvalov an provoznch zm en a { postupy pro sledov an, pl anov an a rzen kapacity lidsk ych a technick ych zdroj u. Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 25

27 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Rzen provozu a komunikac, pokrac. je zajist eno odd elen v yvojov eho, testovacho a produkcnho prostred, prov ad se pravideln e z alohov an a prov erov an pouzitelnosti proveden ych z aloh zajist'uje se bezpecnost a integrita komunikacnch st a bezpecnost komunikacnch sluzeb jsou stanoven a pravidla a postupy pro ochranu informac, kter e jsou pren aseny komunikacnmi st emi prov ad se v ymena a pred av an informac na z aklade pravidel stanoven ych pr avnmi predpisy za soucasn eho zajist en bezpecnosti informac a tato pravidla se dokumentuj prov ad se v ymena a pred av an informac na z aklade psemn ych smluv, jejchz souc ast je ustanoven o bezpecnosti informac Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 26

28 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Rzen prstupu osob k informacn infrastrukture prid el pristupujcm aplikacm samostatn y identik ator, omez prid elov an administr atorsk ych opr avn en, prid eluje a odebr a prstupov a opr avn en v souladu s politikou rzen prstupu, prov ad pravideln e prezkoum an nastaven prstupov ych opr avn en vcetn e rozd elen jednotliv ych uzivatel u v prstupov ych skupin ach nebo rolch, vyuzv a n astroj pro overov an identity uzivatel u a n astroj pro rzen prstupov ych opr avn en a zavede bezpecnostn opatren potrebn a pro bezpecn e pouzv an mobilnch zarzen, prpadn e i bezpecnostn opatren spojen a s vyuzitm technick ych zarzen, kter ymi povinn a osoba nedisponuje. Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 27

29 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Akvizice, v yvoj a udrzba informacn infrastruktury identikuj, hodnot a rd rizika souvisejc s akvizic, v yvojem a udrzbou informacnho syst emu nebo komunikacnho syst emu zajist'uj bezpecnost v yvojov eho prostred a ochranu pouzvan ych testovacch dat a prov ad ej bezpecnostn testov an zm en informacnho syst emu nebo komunikacnho syst emu pred jejich zavedenm do provozu. Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 28

30 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Zvl ad an bezpecnostnch ud alost a bezpecnostnch incident u zajist'uje se u informacnho syst emu a u komunikacnho syst emu, aby uzivatel e, administr atori a osoby zast avajc bezpecnostn role oznamovali bezpecnostn ud alosti a o ozn amench se vedou z aznamy, pripravuje se prostred pro vyhodnocen ozn amen ych bezpecnostnch ud alost a ud alost detekovan ych technick ymi n astroji, prov ad se jejich vyhodnocen a identikuj se bezpecnostn incidenty, prov ad se klasikace bezpecnostnch incident u, prijmaj se opatren pro odvr acen a zmrn en dopadu bezpecnostnho incidentu, prov ad se hl asen bezpecnostnho incidentu a zajist'uje se sb er v erohodn ych podklad u potrebn ych pro anal yzu bezpecnostnho incidentu, prosetruj se a urcuj se prciny bezpecnostnho incidentu, vyhodnocuje se ucinnost resen bezpecnostnho incidentu a na z aklad e vyhodnocen se stanovuj nov a bezpecnostn opatren k zamezen opakov an resen eho bezpecnostnho incidentu a dokumentuje se zvl ad an kybernetick ych bezpecnostnch incident u. Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 29

31 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Rzen kontinuity cinnost jsou denovan a pr ava a povinnosti garant u aktiv, administr ator u a osob zast avajcch bezpecnostn role jsou denovan e cle strategie jejich dosazen v oblastech: Minim aln urove n poskytovan ych sluzeb, kter a je prijateln a pro uzv an, provoz a spr avu informacnho a komunikacnho syst emu. Doba obnoven chodu, b ehem kter e bude po bezpecnostnm incidentu obnovena minim aln urove n poskytovan ych sluzeb informacnho a komunikacnho syst emu. Doba obnoven dat jako termnu, ke kter emu budou obnovena data po bezpecnostnm incidentu vyhodnocuj se a dokumentuj se mozn e dopady r uzn ych bezpecnostnch incident u a posuzuj se mozn a rizika souvisejc s ohrozenm kontinuity cinnost je vypracov an, aktualizov an a pravideln e se testuje pl an kontinuity cinnost informacnho syst emu a komunikacnho syst emu Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 30

32 Prklady organizacnch opatren dle z akona o kyb. bezpecnosti Kontrola a audit informacn infrastruktury posuzuje se soulad obecn e z avazn ych pr avnch predpis u, vnitrnch predpis u, jin ych predpis u a smluvnch z avazk u vztahujcch se k informacnmu syst emu a komunikacnmu syst emu a urcuj se opatren pro jejich prosazov an prov ad se a dokumentuje se pravideln a kontrol dodrzov an bezpecnostn politiky a v ysledky t echto kontrol zohled nuj v pl anu rozvoje bezpecnostnho povedom a pl anu zvl ad an rizik Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 31

33 Prklady technick ych opatren dle z akona o kyb. bezpecnosti N astroje pro zajist en fyzick e bezpecnosti zamezuj neopr avn en emu vstupu do vymezen ych prostor, kde jsou uchov av any informace a umstena technick a aktiva zamezuj poskozenm a z asah um do vymezen ych prostor, kde jsou uchov any informace a umst ena technick a aktiva predch azej poskozen, kr adezi nebo kompromitaci aktiv nebo prerusen poskytov an sluzeb informacnho syst emu prklady { mechanick e z abrann e prostredky, { zarzen elektrick e zabezpecovac signalizace, { syst emy pro kontrolu vstupu, { kamerov e syst emy, { zajist en ochrany pred selh anm dod avky elektrick eho nap ajen { zarzen pro zajist en optim alnch provoznch podmnek Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 32

34 Prklady technick ych opatren dle z akona o kyb. bezpecnosti N astroje pro ochranu integrity komunikacnch st rzen bezpecn eho prstupu mezi vn ejs a vnitrn st, segmentace pouzitm demilitarizovan ych z on jako speci alnho typu st e pouzvan eho ke zv ysen bezpecnosti aplikac dostupn ych z vnejs ste a k zamezen prm e komunikace vnitrn ste s vnejs st, kryptograck e prostredky pro vzd alen y prstup nebo pro prstup pomoc bezdr atov ych technologi a opatren pro odstran en nebo blokov an pren asen ych dat, kter e neodpovdaj pozadavk um na ochranu integrity komunikacn st e. N astroje pro ov erov an identity uzivatel u zajist'uj ov eren identity uzivatel u a administr ator u pred zah ajenm jejich aktivit v informacnm syst emu Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 33

35 Prklady technick ych opatren dle z akona o kyb. bezpecnosti N astroje pro rzen prstupov ych opr avn en pro prstup k jednotliv ym aplikacm a dat um pro cten dat, pro z apis dat a pro zmenu opr avnen pro zaznamen av a pouzit prstupov ych opr avn en N astroje pro ochranu pred skodliv ym k odem ov eruj a kontroluj { komunikace mezi vnitrn st a vn ejs st, { server u a sdlen ych datov ych ulozist' a { pracovnch stanic, prov ad ej pravidelnou aktualizaci n astroj u pro ochranu pred skodliv ym k odem, jeho denic a signatur. Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 34

36 Prklady technick ych opatren dle z akona o kyb. bezpecnosti N astroje pro zaznamen av an cinnosti informacn infrastruktury, jejich uzivatel u a administr ator u zajist'uj sb er informac o provoznch a bezpecnostnch cinnostech (typ cinnosti, datum a cas, identikaci technick eho aktiva, kter e cinnost zaznamenalo, identikaci p uvodce a msta cinnosti, usp esnost nebo ne usp esnost cinnosti) a ochranu zskan ych informac pred neopr avn en ym ctenm nebo zm enou zaznamen avaj { prihl asen a odhl asen uzivatel u a administr ator u, { cinnosti proveden e administr atory, { cinnosti vedouc ke zmene prstupov ych opr avnen, { neproveden cinnost v d usledku nedostatku prstupov ych opr avn en { zah ajen a ukoncen cinnost technick ych aktiv, { automatick a varovn a nebo chybov a hl asen technick ych aktiv, { prstupy k z aznam um o cinnostech, pokusy o manipulaci se z aznamy o cinnostech a zm eny nastaven n astroje pro zaznamen av an cinnost { pouzit n astroj u identikace a autentizace vcetne zmeny udaj u, kter e slouz k prihl asen. Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 35

37 Prklady technick ych opatren dle z akona o kyb. bezpecnosti N astroje pro sb er a vyhodnocen bezpecnostnch ud alost zajisuj integrovan y sb er a vyhodnocen bezpecnostnch ud alost z informacnho syst emu zajisuj poskytov an informac pro urcen e bezpecnostn role o detekovan ych bezpecnostnch ud alostech v informacnm syst emu nepretrzit e vyhodnocuj bezpecnostnch ud alost s clem identikace bezpecnostnch incident u a vcasn e varuj urcen e bezpecnostn role. zajist'uj pravidelnou aktualizaci nastaven pravidel pro vyhodnocov an bezpecnostnch ud alost a vcasn e varov an zajist'uj vyuzv an informac, kter e jsou pripraveny n astrojem pro sb er a vyhodnocen bezpecnostnch ud alost, pro optim aln nastaven bezpecnostnch opatren informacnho syst emu Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 36

38 Prklady technick ych opatren dle z akona o kyb. bezpecnosti N astroje pro zajist en aplikacn bezpecnosti zajist'uj trvalou ochranu aplikac a informac dostupn ych z vn ejs st e pred neopr avn enou cinnost, poprenm proveden ych cinnost, kompromitac nebo neautorizovanou zm enou a zajist'uj trvalou ochranu transakc pred jejich nedokoncenm, nespr avn ym sm erov anm, neautorizovanou zm enou pred avan eho datov eho obsahu, kompromitac, neautorizovan ym duplikov anm nebo opakov anm Kryptograck e prostredky pouzvaj odoln e kryptograck e algoritmy a kryptograck e klce; minim aln pozadavky na kryptogr. alg. a klce stanovuje vyhl aska zajist'uj ochranu d uv ernosti a integrity pred avan ych nebo ukl adan ych dat a prok az an odpovednosti za proveden e cinnosti zajist'uj syst em spr avy klc u, kter y zajist generov an, distribuci, ukl ad an, archivaci, zm eny, nicen, kontrolu a audit klc u Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 37

39 Prklady technick ych opatren dle z akona o kyb. bezpecnosti N astroje pro zajist'ov an urovn e dostupnosti zajist'uj dostupnost informacnho syst emu a komunikacnho syst emu pro spln en cl u rzen kontinuity cinnost zajist'uj dostupnost informacnho syst emu a komunikacnho syst emu v uci bezpecnostnm incident um, kter e by dostupnost mohly snzit zajist'uj z alohov an d ulezit ych technick ych aktiv informacnho syst emu a komunikacnho syst emu vyuzitm redundance v n avrhu resen a zajist enm n ahradnch technick ych aktiv v urcen em case N astroje pro zajist'ov an bezpecnosti pr um. a rdicch syst em u omezuj fyzick y prstup k sti a zarzenm pr umysl. a rdcch syst em u omezuj propojen a vzd alen y prstup k sti pr umysl. a rdcch syst em u zajist'uj ochranu jednotliv ych technick ych aktiv pr umyslov ych a rdicch syst em u pred vyuzitm zn am ych zranitelnost zajist'uj obnoven chodu pr umyslov ych a rdicch syst em u po kybernetick em bezpecnostnm incidentu Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 38

40 Prklady zranitelnost dle z akona o kybernetick e bezpecnosti nedostatecn a ochrana vn ejsho perimetru chr an en eho syst emu nedostatecn e bezpecnostn pov edom uzivatel u a administr ator u nedostatecn a udrzba informacnho a komunikacnho syst emu nevhodn e nastaven prstupov ych opr avn en nedostatecn e postupy pro identikov an a odhalov an negativnch bezpecnostnch jev u { bezpecnostnch ud alost a incident u moznost nezjistitelnosti nedodrzov an bezpecnostn politiky, prov ad en neopr avn en ych cinnost, zneuzv an opr avn en administr atory kritick e informacn infrastruktury pochyben ze strany zam estnanc u a neschopnost jeho vcasn eho odhalen moznost utoku z vnitrn st e a zneuzit vnitrnch prostredk u moznost dlouhodob eho prerusen komunikacnch sluzeb, dod avky elektrick e energie nebo jin ych d ulezit ych sluzeb nedostatek zam estnanc u s potrebnou odbornou urovn Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 39

41 Prklady zranitelnost dle z akona o kybernetick e bezpecnosti zneuzitelnost vym eniteln ych pam et'ov ych m edi nedostatecn a mra prov ad en nez avisl e kontroly nedostatecn a ochrana prostredk u informacn infrastruktury nevhodn a bezpecnostn architektura nedostatecn e monitorov an cinnosti administr ator u nedostatecn e monitorov an cinnosti uzivatel u a administr ator u a neschopnost odhalit jejich nevhodn e ci z avadn e zp usoby chov an nedostatecn e stanoven bezpecnostnch pravidel, nepresn e nebo nejednoznacn e vymezen pr av a povinnost uzivatel u, administr ator u a bezpecnostnch rol. Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 40

42 Prklady hrozeb dle z akona o kybernetick e bezpecnosti porusen bezpecnostn politiky, proveden neopr avn en ych cinnost, zneuzit opr avn en ze strany uzivatel u a administr ator u, poskozen nebo selh an hardwaru nebo softwaru, zneuzit identity jin e fyzick e osoby, uzv an software v rozporu s licencnmi podmnkami, kybernetick y utok z vn ejs komunikacn st e, skodliv y k od (napr. viry, spyware, trojsk e kone), nedostatky pri poskytov an sluzeb informacnho a/nebo komunikacnho syst emu, projevy prrodnch jev u (napr. povodn e, klimatick e jevy), prerusen dod avky komunikacnch sluzeb nebo elektrick e energie, zneuzit nebo modikace udaj u a odcizen nebo poskozen aktiva.... Jan Staudek, FI MU Brno PV017 { Anatomie informacn bezpecnosti 41